Μεγάλα πρόστιμα για το θέμα των προσωπικών δεδομένων

Ελευθερία Πελλού

Με βάση τον νέο κανονισμό, όπως επισημαίνει η δικηγόρος Χρυσή Χρυσοχού

Στα Ιωάννινα θα διεξαχθεί το 1ο Πανελλήνιο Συνέδριο για τα Προσωπικά Δεδομένα και τον GDPR, στις 11-12 Μαΐου 2018. Πρόκειται για ένα ιδιαιτέρως σημαντικό συνέδριο, καθώς στις 25 Μαΐου του 2018 τίθεται σε εφαρμογή ο Νέος Γενικός Κανονισμός για τα Προσωπικά Δεδομένα που αφορά πλήθος επιχειρήσεων αλλά και τον Δημόσιο τομέα και απειλεί με πρόστιμα έως 20 εκατομμύρια Ευρώ (!), όσες επιχειρήσεις δεν συμμορφωθούν ορθά και εμπράκτως με τις διατάξεις αυτού!
Μεταξύ των ομιλητών είναι δικηγόροι εξειδικευμένοι στον τομέα των προσωπικών δεδομένων, ακαδημαϊκοί, δικαστές και εισαγγελείς ενώ στο συνέδριο θα παραστούν εκπρόσωποι της Αρχής Προστασίας Προσωπικών δεδομένων και ο Ταξίαρχος Γεώργιος Παπαπροδρόμου, Διευθυντής της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος.

Τη Ρόδο και τα Δωδεκάνησα σε αυτό το συνέδριο θα εκπροσωπήσει η δικηγόρος Ρόδου Χρυσή Χρυσοχού, η οποία είναι εξειδικευμένη στο Δίκαιο του Ίντερνετ και των Προσωπικών Δεδομένων κατέχοντας μεταπτυχιακό τίτλο και παρέχοντας υπηρεσίες για τα προσωπικά δεδομένα ήδη από το 2013 και έχει κληθεί ως ομιλήτρια!

Στο συνέδριο αυτό η κα Χρυσή Χρυσοχού θα παρουσιάσει όλες τις αλλαγές που επιφέρει ο Νέος Κανονισμός (GDPR) στον τομέα του ηλεκτρονικού εμπορίου (e-commerce και e-shop), τις υπηρεσίες διαφήμισης και digital marketing. Η ομιλία της αφορά όχι μόνο τις επιχειρήσεις που παρέχουν υπηρεσίες διαφήμισης σε τρίτους αλλά και όσες επιχειρήσεις ασχολούνται με το digital marketing δευτερευόντως για προωθητικούς λόγους (newsletters, emails κτλ)
Με αφορμή το πολύ σημαντικό αυτό συνέδριο αλλά και την ανησυχία πολλών επιχειρηματιών για την εφαρμογή του νέου Κανονισμού και της εκπνοής της προθεσμίας συμμόρφωσης (25 Μαΐου η κα. Χρυσοχού μίλησε στη «Ροδιακή» δίνοντας σημαντικές απαντήσεις σε φλέγοντα ζητήματα σχετικά με τον Νέο Κανονισμό.

Καταληκτική η ημερομηνία της 25ης Μαΐου για τη Συμμόρφωση με τον νέο Κανονισμό ή θα δοθεί παράταση σε αυτή την προθεσμία;
Ο Κανονισμός αυτός έχει ψηφιστεί ήδη από το 2016 και το χρονικό διάστημα αυτό μέχρι και τις 25 Μαΐου είχε οριστεί ως η περίοδος συμμόρφωσης όλων των επιχειρήσεων, ώστε να μεταβάλλουν τις πολιτικές τους και να διαχειρίζονται τα προσωπικά δεδομένα με νόμιμο τρόπο σεβόμενοι τα δικαιώματα των πολιτών και φορέων των προσωπικών αυτών δεδομένων. Επομένως, δε θα δοθεί παράταση και ο Κανονισμός αυτός θα ισχύσει από 25 Μαΐου του 2018 και εφεξής.

Ποιες εταιρείες αφορά ο Νέος Κανονισμός Προστασίας Δεδομένων;
Ο GDPR αφορά κάθε επιχείρηση ιδιωτικού και δημοσίου τομέα ανεξαρτήτως κλάδου – είτε μιλάμε για e-commerce, εταιρεία συμβουλευτικών υπηρεσιών, διαφημιστική εταιρεία, ξενοδοχείο, τράπεζα, κλινική είτε για απλό ενημερωτικό Portal που συλλέγει, αποθηκεύει και επεξεργάζεται δεδομένα φυσικών προσώπων (υπαλλήλων ή επισκεπτών). Ο Νέος Κανονισμός περιλαμβάνει συγκεκριμένες διαδικασίες για τη συλλογή και την επεξεργασία των προσωπικών δεδομένων (υπαλλήλων, τρίτων, προμηθευτών, καταναλωτών κτλ) υποχρεώνοντας παράλληλα τις εταιρείες να γνωστοποιούν με σαφήνεια και διαφάνεια στους καταναλωτές ποιος εμπλέκεται στην επεξεργασία των δεδομένων τους, ποια δεδομένα επεξεργάζεται, με ποιο σκοπό και για πόσο χρονικό διάστημα τα τηρεί.

Τι αλλαγές επιφέρει εν ολίγοις ο νέος Κανονισμός των Προσωπικών Δεδομένων;
Ο Νέος Κανονισμός των προσωπικών δεδομένων έχει αποκτήσει μεγάλη δημοσιότητα εξαιτίας των πολύ μεγάλων προστίμων που θα επιβληθούν σε όσους δεν συμμορφωθούν με τις διατάξεις του. Συνολικά, αρκετά δικαιώματα και υποχρεώσεις που περιγράφονται στον Νέο Κανονισμό υπήρχαν ήδη και στο -ακόμα σε ισχύ- νομοθετικό καθεστώς.
Ο Νέος Κανονισμός έχει αυξήσει τα δικαιώματα των φορέων των προσωπικών δεδομένων, δηλαδή των πολιτών, των καταναλωτών, καθένα εξ ημών, ώστε να τα προστατεύουμε με κάθε δυνατό τρόπο, αποφεύγοντας παραβιάσεις και μεταβιβάσεις αυτών, χωρίς τη γνώση και τη συναίνεσή μας.

Από την άλλη πλευρά, καθορίζει σημαντικές υποχρεώσεις σε όσες επιχειρήσεις συλλέγουν με οποιονδήποτε τρόπο προσωπικά δεδομένα, ακόμα και αν δεν το κάνουν μόνο ηλεκτρονικά αλλά τηρώντας βιβλία και άλλες χειρόγραφες καταγραφές εντύπων, καταλόγων, γνωματεύσεων κλπ.

Είναι η πρώτη φορά που κάποιο νομοθέτημα για την προστασία των προσωπικών δεδομένων αναφέρεται ρητά σε μέτρα προστασίας αυτών που επιβάλλονται με τη χρήση της τεχνολογίας και των μεθόδων αποτροπής των ηλεκτρονικών παραβιάσεων σύμφωνα με τα διεθνή πρότυπα. Ο Κανονισμός αναφέρεται για πρώτη φορά σε μεθόδους κρυπτογράφησης και ψευδωνυμοποίησης δεδομένων αλλά εγκαθιστά και την έννοια του privacy by design- του σχεδιασμού δηλαδή μιας υπηρεσίας ή επιχειρηματικού μοντέλου, έτσι ώστε να σέβεται το πλαίσιο της προστασίας των προσωπικών δεδομένων ήδη απο τον σχεδιασμό και την κατασκευή αυτού (προληπτικά) και όχι εκ των υστέρων. Συναφής με την παραπάνω έννοια είναι η διεξαγωγή μελέτης εκτίμησης αντικτύπου, η οποία έχει ως στόχο τη διαχείριση των κινδύνων για την προστασία των δικαιώματων και των ελευθεριών των φυσικών προσώπων που συνεπάγεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ιδίως με τη χρήση νέων τεχνολογιών (π.χ. applications) ή για παράδειγμα την επεξεργασία ευαίσθητων προσωπικών δεδομένων (δεδομένα υγείας κ.α.).

Ισχύει ότι όλες οι επιχειρήσεις θα πρέπει να προσλάβουν Data Protection Officer (DPO);
Αυτός είναι ένας μεγάλος μύθος. Δεν υποχρεούνται όλες οι επιχειρήσεις να διορίσουν DPO, αλλά μόνο όσες προβλέπονται από τον Κανονισμό και πληρούν τις ακόλουθες προϋποθέσεις:
α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα,
β) όσες δραστηριότητες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή
γ) όσες δραστηριότητες συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (όπως δεδομένα υγείας, εθνικής/φυλετικής καταγωγής, θρησκευτικές πεποιθήσεις κτλ) και δεδομένων που αφορούν ποινικές καταδίκες (πχ. Τήρηση αρχείων ποινικών μητρώων)

Oι επιχειρηματίες θα πρέπει να απευθυνθούν σε εξειδικευμένους νομικούς ώστε να μάθουν εάν υποχρεούνται να διορίσουν DPO ή όχι, με βάση τις επεξεργασίες δεδομένων που πραγματοποιούν και μετά από ενδελεχή έλεγχο αυτών να προβούν σε διορισμό.
Σημαντικό να τονιστεί στο σημείο αυτό, είναι ότι το έργο συμμόρφωσης με τις διατάξεις του Νέου Κανονισμού είναι μια χρονοβόρα και περίπλοκη διαδικασία και πρέπει να γίνεται από εξειδικευμένους και έμπειρους νομικούς και πάντα σε συνεργασία με ΙΤ experts και δεν πρέπει σε καμία περίπτωση να συγχέεται ούτε να συνδέεται με το διορισμό DPO, του οποίου οι αρμοδιότητες και το έργο είναι συγκεκριμένες και αφορούν συνήθως τη παροχή εξειδικευμένων συμβούλων στον τομέα των προσωπικών δεδομένων μετά την ολοκλήρωση του έργου συμμόρφωσης και μόνο.

Ποιες είναι οι επιπτώσεις για τις επιχειρήσεις που οφείλουν να συμμορφωθούν με το Νέο Κανονισμό;
Οι περισσότεροι βλέπουν τον GDPR σαν ένα δυσβάκτακτο και αναγκαίο κακό, εξαιτίας του φόβου των υψηλών προστίμων. Εγώ θεωρώ πως ο Νέος αυτός Κανονισμός και η σωστή συμμόρφωση με αυτόν, η οποία θα γίνει μία φορά σωστά και από εκεί και πέρα θα ακολουθηθεί μια ενιαία και ανανεούμενη τακτικά πολιτική, είναι μια τεράστια ευκαιρία για τις επιχειρήσεις να “συμμαζέψουν” τα δεδομένα που τηρούν, να εφαρμόσουν ορθές πολιτικές, να τροποποιήσουν την εσωτερική τους λειτουργία προς όφελος της παραγωγικότητας, να ενισχύσουν τη θέση τους στην αγορά βελτιώνοντας το brand name τους και ενδυναμώνοντας την αξιοπιστία τους, να προστατεύσουν την επιχείρησή τους έναντι τρίτων κακόβουλων, πελατών ή ανταγωνιστών και να εξωτερικεύσουν τις δραστηριότητές τους, στοχεύοντας στο εξωτερικό, μέσω διαδικτύου και συνεργασιών με μεγάλες εταιρείες.
Να μην ξεχνάμε ότι πριν την ψήφιση του Κανονισμού αυτού, όσες εταιρείες δραστηριοποιούνταν σε πολλές χώρες της Ε.Ε., όφειλαν να προσαρμόσουν τις πολιτικές τους στις απαιτήσεις του εκάστοτε δικαίου της κάθε χώρας και να συνεργάζονται με τις αντίστοιχες ανεξάρτητες αρχές των χωρών αυτών, εφαρμόζοντας διαφορετικές πολιτικές σε κάθε χώρα σε σχέση με τα προσωπικά δεδομένα. Με τον Νέο αυτό Κανονισμό ιδρύεται για πρώτη φορά η υπηρεσία-μιας-στάσης (one-stop-shop), δηλαδή για κάθε επιχείρηση που δραστηριοποιείται στην ΕΕ ορίζεται μια ανεξάρτητη αρχή ως υπεύθυνη (lead authority), η οποία φέρει και το κύριο βάρος του ελέγχου και της συνεργασίας για την εν λόγω επιχείρηση.

Ποιοι είναι πιστοποιημένοι να πραγματοποιήσουν το έργο συμμόρφωσης;
Ο Νέος Κανονισμός στο αρ. 42 αναφέρεται σε προαιρετική πιστοποίηση εταιρειών, και όχι προσώπων. Αναλόγως, και ειδικά για τους DPO δεν αναφέρεται σε καμία υποχρέωση πιστοποίησής τους ούτε καν προαιρετικής πιστοποίησης. Η Αρχή Προστασίας Προσωπικών Δεδομένων ήδη από το 2017 έχει εκδώσει δελτίο Τύπου, δηλώνοντας ρητώς ότι δεν υφίστανται νόμιμες πιστοποιήσεις προσώπων και επιχειρήσεων σχετικά με τον Κανονισμό Προσωπικών Δεδομένων και οποιαδήποτε εκπαίδευση πραγματοποιείται σε άτομα έχει μόνο ενημερωτικό χαρακτήρα σχετικά με τις διατάξεις του Νέου Κανονισμού. Το έργο συμμόρφωσης εξαιτίας της πολυπλοκότητάς του και του ουσιαστικού σκοπού της αποφυγής επιβολής προστίμων, πρέπει να γίνεται από εξειδικευμένους νομικούς στον τομέα των Προσωπικών Δεδομένων σε συνεργασία πάντοτε με ΙΤ experts και business advisors. Είναι μια χρονοβόρα και δαπανηρή διαδικασία, η οποία εάν γίνει σωστά θα γίνει μία φορά και θα απαλλάξει τους επιχειρηματίες από σοβαρούς μπελάδες.

Η Χρυσή Χρυσοχού είναι Δικηγόρος εξειδικευμένη στο Δικαιο του Internet, των Προσωπικών Δεδομένων και των νέων τεχνολογιών,TMT and Privacy Lawyer, GDPR Advisor.