Κανονισμός προσωπικών δεδομένων: Μόνο 100 ημέρες για συμμόρφωση

Rodiaki NewsRoom

Της Χρυσής Χρυσοχού
Δικηγόρου εξειδικευμένης στο Δίκαιο του Ιντερνετ, των προσωπικών δεδομένων και του κυβερνοεγκλήματος (LL.M)

Σε ακριβώς 100 μέρες απο σήμερα τίθεται σε εφαρμογή ο νέος Ευρωπαϊκός Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (ΕΕ) 2016/679 (GDPR - General Data Protection Regulation) αυτόματα σε όλα τα κράτη-μέλη της Ευρωπαϊκής 'Ένωσης (χωρίς να απαιτείται κάποια ειδική εθνική νομοθεσία).

Αυτό σημαίνει ότι από τις 25 Μαΐου 2018 καθιερώνεται ένα νέο -για τα μέχρι τώρα δεδομένα- ενιαίο νομικό πλαίσιο σε όλη την ΕΕ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και όλοι οφείλουν να έχουν συμμορφωθεί με αυτό, είτε πρόκειται για μικρές, μεσαίες ή μεγάλες ιδιωτικές επιχειρήσεις είτε πρόκειται για το Δημόσιο και τα ΝΠΔΔ.

Ο Κανονισμός επιφέρει σημαντικές και ριζικές αλλαγές σε σχέση με το ισχύον νομοθετικό πλαίσιο, καθώς περιλαμβάνει μια σειρά από ιδιαίτερα προστατευτικές διατάξεις των προσωπικών δεδομένων και επιβάλει υψηλότατα πρόστιμα μη συμμόρφωσης για όσους αμελήσουν την συμμόρφωση με τον Κανονισμό ή την πραγματοποιήσουν ελλιπώς ή εσφαλμένως.

Ο Κανονισμός εφαρμόζεται σε όλα τα νομικά πρόσωπα που επεξεργάζονται προσωπικά δεδομένα, που τηρούνται σε ηλεκτρονική και έντυπη μορφή, με δραστηριότητες εντός ΕΕ, ακόμα και αν η επεξεργασία των δεδομένων αυτών εκτελείται εκτός ΕΕ, καθώς και σε νομικά πρόσωπα εγκατεστημένα εκτός ΕΕ που προσφέρουν αγαθά/ υπηρεσίες εντός ΕΕ. Πρακτικά και συνοπτικά, ο Κανονισμός αυτός αφορά όλες συλλήβδην τις επιχειρήσεις που αποθηκεύουν, έστω και κατ' ελάχιστον προσωπικά δεδομένα.

Οι βασικότερες αλλαγές έχουν ως εξής:
• Με τον Κανονισμό ορίζονται τα Βασικά Δικαιώματα των Πολιτών: το δικαίωμα της ενημέρωσης και πρόσβασης στα δεδομένα, της διόρθωσης, του περιορισμού της επεξεργασίας, της εναντίωσης στην επεξεργασία, το δικαίωμα στη λήθη (διαγραφή) και της φορητότητας των δεδομένων.

Να σημειωθεί ότι ο Κανονισμός αναγνωρίζει το δικαίωμα των φυσικών προσώπων (αλλά και ενώσεων αυτών) να υποβάλλουν καταγγελία στην εποπτική αρχή καθώς και το δικαίωμά τους για δικαστική προσφυγή και αποζημίωση. Συνεπώς, οι μη συμμορφούμενες ή οι πλημμελώς συμμορφούμενες επιχειρήσεις είναι εκτεθειμένες σε αγωγές από τρίτου

• Ο Κανονισμός επιβάλλει μια σειρά νέων υποχρεώσεων κυρίως στους υπεύθυνους επεξεργασίας, αλλά και στους εκτελούντες την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Η πρώτη βασική διαφορά από το ισχύον νομοθετικό πλαίσιο είναι ότι καταργείται η διαδικασία γνωστοποίησής στην Αρχή Προστασίας Προσωπικών Δεδομένων και πλέον θεσπίζεται η αρχή της λογοδοσίας, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση του με όλες τις αρχές και διατάξεις του νέου Κανονισμού. Εισάγεται δηλαδή νέα υποχρέωση αυτοαξιολόγησης (Self-assessment) -αυτορύθμισης τον υπεύθυνου επεξεργασίας.

• Ενδεικτικά να αναφέρουμε ότι εισάγεται υποχρέωση τήρησης Αρχείου Δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων, υποχρέωση διενέργειας Μελέτης Εκτίμησης Αντικτύπου (Privacy Impact Assessιnent) -όπου αυτό είναι επιβεβλημένο- και υποχρέωση προστασίας των προσωπικών δεδομένων από τον σχεδιασμό (by design) και εξ ορισμού (by default), ενώ προβλέπονται νέοι κανόνες για τη συγκατάθεση των φυσικών προσώπων στην επεξεργασία αυτή και επέκταση περιεχομένου για τα ήδη υπάρχοντα και νέα δικαιώματα αυτών.

• Καθιερώνεται υποχρέωση των υπευθύνων επεξεργασίας, για κοινοποίηση στην Αρχή Προστασίας Προσωπικών δεδομένων ή αν κριθεί αναγκαίο στα ίδια τα υποκείμενα των δεδομένων αυτών, κάθε περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα, εντός 72 ωρών από τη γνώση αυτού και απώλειας προσωπικών δεδομένων στις αρμόδιες αρχές.

• Επίσης οι εταιρείες και οι δημόσιες αρχές που εκτελούν πράξεις επεξεργασίας δεδομένων που ενέχουν κινδύνους (υπο τις προϋποθέσεις του Κανονισμού) θα πρέπει να ορίσουν Υπεύθυνο Προστασίας Δεδομένων (DPO).

Ο Κανονισμός καθιερώνει ένα σύνολο υποχρεώσεων, με τις οποίες πρέπει να συμμορφωθούν όσοι αποθηκεύουν και επεξεργάζονται -έστω και στον ελάχιστο βαθμό- προσωπικά δεδομένα Ευρωπαίων πολιτών. Ωστόσο, αυτό που έχει ιδιαίτερη σημασία είναι ότι η συμμόρφωση με τον Κανονισμό δεν αποτελεί μια μεμονωμένη πράξη που γίνεται μια φορά από κάποιον εξειδικευμένο νομικό και IT expert, αλλά είναι μια διαρκής διαδικασία συμμόρφωσης που εξαρτάται απο ένα σύνολο παραγόντων όπως την τεχνολογία που χρησιμοποιεί η κάθε επιχείρηση, τις ανάγκες αυτής και την ομαλή ή μη εξέλιξη της σχέσης της επιχείρησης με τους φορείς των προσωπικών δεδομένων.

Η μη συμμόρφωση με τον Κανονισμό ή η πλημμελής συμμόρφωση με αυτόν συνεπάγεται πολύ αυστηρές κυρώσεις. Τα πρόστιμα που μπορεί να επιβληθούν μπορεί να ανέλθουν κατ' ανώτατο όριο στα 20 εκατ. Ευρώ ή στο 4°/ο του συνολικού ετήσιου κύκλου εργασιών τους (όποιο είναι μεγαλύτερο). Επιπλέον δε των διοικητικών προστίμων που προβλέπει ο Κανονισμός κάθε κράτος μέλος μπορεί να θεσπίσει και νέες ποινικές κυρώσεις, όπως εξάλλου ισχύει και σήμερα.

Η συμμόρφωση με τον Κανονισμό είναι ένα ζήτημα συλλογικό που αφορά το σύνολο των επιχειρηματιών με ελάχιστες εξαιρέσεις. Μεγάλες και μικρές επιχειρήσεις της Δωδεκανήσου, έχουν ήδη ξεκινήσει τις διαδικασίες συμμόρφωσης με εντατικούς ρυθμούς. Η συμμόρφωση πρέπει να πραγματοποιείται με την κατάθεση αναλυτικού πλάνου εργασιών και σταδίων ολοκλήρωσης στην κάθε επιχείρηση, απο κατάλληλους και εξειδικευμένους νομικούς συμβούλους με τη συμμετοχή ΙΤ security experts. Πλημμελής συμμόρφωση, με λάθη και ελλείψεις ισοδυναμεί με μη συμμόρφωση, πράγμα που πρακτικά ενισχύει εκ νέου τον κίνδυνο υψηλών προστίμων για τις επιχειρήσεις.

Η συμμόρφωση με τον Νέο Κανονισμό δεν είναι μια απλή και εύκολη διαδικασία. Αντιθέτως, είναι μια χρονοβόρα διαδικασία που απαιτεί ειδικές γνώσεις με σκοπό την πλήρη αναδιοργάνωση κάθε επιχείρησης ως προς τις πολιτικές τήρησης, συλλογής και επεξεργασίας προσωπικών δεδομένων, όχι μόνο πελατών αλλά και προσωπικού.

Όλοι οι επιχειρηματίες που συλλέγουν και επεξεργάζονται προσωπικά δεδομένα έχουν μόνο 100 ημέρες για να συμμορφωθούν πλήρως με τον Νέο Κανονισμό, επιλέγοντας το δρόμο της ανάπτυξης και όχι των προστίμων.