-Τι προβλέπει ο νέος Κανονισμός και ποιές κυρώσεις θα επιβάλλονται στους παραβάτες!
Όπως πληροφορούμαστε από σχετικά δημοσιεύματα του Τύπου, από την 25 Μαΐου 2018 τίθεται σε εφαρμογή σε όλα τα κράτη-μέλη της Ε.Ε., άρα και στην Ελλάδα, ο Κανονισμός της Ευρωπαϊκής Ενωσης (2016/679, «General Data Protection Regulation») για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Στην έννοια των παραπάνω δεδομένων εμπίπτουν όσες πληροφορίες μπορούν να οδηγήσουν στην ταυτοποίηση ενός ατόμου, όπως είναι ενδεικτικά το ονοματεπώνυμο, η διεύθυνση κατοικίας, τα φυσικά χαρακτηριστικά, η οικονομική κατάσταση, τα ψηφιακά ίχνη κ.λπ. Τα ευαίσθητα προσωπικά δεδομένα, ως ειδική υποκατηγορία, περιλαμβάνουν πληροφορίες, που αναφέρονται στις θρησκευτικές ή πολιτικές πεποιθήσεις ενός ατόμου, στη φυλετική ή εθνική του προέλευση, στην υγεία του κ.λπ. Με τον παραπάνω Κανονισμό εισάγονται αυξημένες υποχρεώσεις και περιορισμοί για τις επιχειρήσεις, που διατηρούν, διαχειρίζονται και επεξεργάζονται προσωπικά δεδομένα.
Σε περιπτώσεις παραβίασης των διατάξεων του Κανονισμού για την προστασία των δεδομένων προβλέπονται αυστηρές κυρώσεις. Συγκεκριμένα, προβλέπεται η δυνατότητα επιβολής διοικητικού προστίμου μέχρι και του ιλιγγιώδους ποσού των 20 εκατομμυρίων ευρώ ή ποσού έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του ομίλου κατά το προηγούμενο έτος (ανάλογα με το ποιο είναι υψηλότερο).
Ποιές είναι οι υποχρεώσεις, που εισάγει ο Κανονισμός για την προστασία των δεδομένων προσωπικού χαρακτήρα
Κατά τον προσδιορισμό του τελικού ποσού του διοικητικού προστίμου εξετάζονται διάφορα κριτήρια, όπως, ενδεικτικά, είναι η φύση, η βαρύτητα και η διάρκεια της παράβασης, οι κατηγορίες των προσωπικών δεδομένων που επηρεάζει η παράβαση, η ύπαρξη δόλου ή αμέλειας κ.ά. Οι επιχειρήσεις, που επεξεργάζονται δεδομένα για λογαριασμό τρίτων, ενδέχεται επίσης να φέρουν ευθύνη για παραβίαση του Κανονισμού, σε περίπτωση μη συμμόρφωσης με τις υποχρεώσεις τους.
Μεταξύ των υποχρεώσεων που εισάγει ο Κανονισμός, περιλαμβάνονται:
α) Ή δημιουργία μητρώου, όπου θα τηρούνται απαραίτητες πληροφορίες, όπως ενδεικτικά ο σκοπός της επεξεργασίας των δεδομένων, ο τύπος των δεδομένων, οι κατηγορίες των δραστηριοτήτων επεξεργασίας κ.λπ.,
β) ο ορισμός ενός προσώπου ως Υπεύθυνου Επεξεργασίας Δεδομένων («Data Protection Officer-DPO»), υποχρέωση που ισχύει για επιχειρήσεις που διατηρούν ή επεξεργάζονται δεδομένα σε συστηματική βάση ή σε μεγάλη κλίμακα,
γ) η διενέργεια ειδικών αξιολογήσεων προστασίας δεδομένων (Data Protection Impact Assessments – DPIAs) όταν το είδος επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα των προσώπων, όπως για παράδειγμα, όταν γίνεται χρήση νέων τεχνολογιών.
Σε κάθε περίπτωση, οι επιχειρήσεις πρέπει να έχουν λάβει την ρητή συγκατάθεση ενός ατόμου για την λήψη ή χρήση των προσωπικών του δεδομένων!
Ο Κανονισμός προβλέπει την υποχρέωση αναφοράς όλων των περιστατικών παραβίασης των προσωπικών δεδομένων, που ενέχουν υψηλό κίνδυνο, εντός 72 ωρών από την εκδήλωση του περιστατικού. Υπό προϋποθέσεις, μάλιστα, η ενημέρωση αυτή πρέπει να απευθύνεται και προς τα πρόσωπα των οποίων τα δεδομένα έχουν εκτεθεί σε κίνδυνο. Για να ανταποκριθούν επαρκώς στην παραπάνω υποχρέωση, οι επιχειρήσεις πρέπει να έχουν σχεδιάσει και υιοθετήσει αντίστοιχη πολιτική και να έχουν αναπτύξει μία σειρά από κατάλληλες εσωτερικές διαδικασίες.
Κάθε πρόσωπο δικαιούται να ζητήσει την διαγραφή των προσωπικών του δεδομένων από την ηλεκτρονική βάση της επιχείρησης, εφόσον δεν υφίσταται λόγος που να δικαιολογεί τη συνεχιζόμενη διατήρηση ή επεξεργασία τους. Εξαίρεση προβλέπεται σε περιπτώσεις, όπου ο ίδιος ο Νόμος απαιτεί την διατήρηση ή επεξεργασία των δεδομένων αυτών. Επίσης, κάθε πρόσωπο έχει δικαίωμα πρόσβασης, ενημέρωσης ή και διόρθωσης των προσωπικών του δεδομένων, ενώ μπορεί υπό προϋποθέσεις να ζητήσει και την μεταφορά τους σε άλλη υπηρεσία ή επιχείρηση μέσω αυτοματοποιημένης διαδικασίας. Σε κάθε περίπτωση, οι επιχειρήσεις πρέπει να έχουν λάβει την ρητή συγκατάθεση ενός ατόμου για την λήψη ή χρήση των προσωπικών του δεδομένων. Η λήψη της συγκατάθεσης πρέπει να γίνεται με κατανοητό προς το άτομο τρόπο και μέσω της χρήσης ευκρινών μέσων.
Τα στελέχη της επιχείρησης είναι απαραίτητο να έχουν γνώση για τις υποχρεώσεις και τα όρια που τίθενται με τον Κανονισμό!
Η καταγραφή των προσωπικών δεδομένων, που συλλέγει μία επιχείρηση, ο τρόπος που αυτά αποκτήθηκαν και οι δίαυλοι επικοινωνίας, μέσω των οποίων διακινούνται, αποτελεί κρίσιμη διαδικασία και πολύ σημαντικό βήμα για την προετοιμασία μιας επιχείρησης, στο πλαίσιο συμμόρφωσης με τον Κανονισμό. Τα στελέχη της επιχείρησης είναι απαραίτητο να έχουν γνώση για τις υποχρεώσεις και τα όρια που τίθενται με τον Κανονισμό. Και αυτό, γιατί από την εφαρμογή του νέου Κανονισμού δεν επηρεάζεται μόνον η διεύθυνση πληροφορικής μιας επιχείρησης, αλλά και τμήματα, όπου αδιαμφισβήτητα γίνεται χρήση και επεξεργασία προσωπικών δεδομένων, όπως ενδεικτικά το τμήμα μισθοδοσίας, η νομική υπηρεσία, το τμήμα ανθρώπινου δυναμικού κ.ά.
Ο Κανονισμός για την προστασία προσωπικών δεδομένων έχει εφαρμογή και ως προς επιχειρήσεις εγκατεστημένες εκτός της Ευρωπαϊκής Ενωσης (Ε.Ε.), εφ’ όσον αυτές επεξεργάζονται δεδομένα προσώπων που βρίσκονται εντός της Ε.Ε. Εχει επίσης εφαρμογή και σε περιπτώσεις, που η επεξεργασία των δεδομένων διενεργείται εκτός της Ε.Ε.
