Ο Κανονισμός (ΕΕ) 2016/679 για την προστασία προσωπικών δεδομένων (εφεξής «Κανονισμός» ή «ΓΚΠΔ») , έχει οριζόντια εφαρμογή σε όλα τα κράτη μέλη του Ευρωπαϊκού Οικονομικού Χώρου από τις 25/05/2018. Στην Ελλάδα, με το ν. 4624/2019, πολλές διατάξεις του Κανονισμού συγκεκριμενοποιήθηκαν, ιδιαίτερα σε ό,τι αφορά στο Δημόσιο Τομέα και στις Δικαστικές Αρχές και σε συνδυασμό με το ν. 3471/2006 και τις Γνωμοδοτήσεις, Αποφάσεις, Οδηγίες και Κατευθυντήριες Γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «Υφιστάμενη Νομοθεσία») έχει δημιουργηθεί ένα συγκεκριμένο και αυστηρό πλαίσιο αναφορικά με την επεξεργασία προσωπικών δεδομένων.
Ποιους αφορά;
Οποιοδήποτε Φυσικό ή Νομικό Πρόσωπο (όπου και εάν βρίσκεται), που επεξεργάζεται δεδομένα κατοίκων της Ευρωπαϊκής Ένωσης για σκοπούς που δεν είναι προσωπικοί. Προσοχή! Η χρήση του όρου «επεξεργασία» πολλές φορές οδηγεί στο συμπέρασμα ότι ο Κανονισμός αφορά αποκλειστικά όσους χρησιμοποιούν εφαρμογές λογισμικού ή διαδικτυακές πλατφόρμες κ.ο.κ. Ωστόσο, ο Κανονισμός αφορά όσους επεξεργάζονται προσωπικά δεδομένα με αυτοματοποιημένα μέσα (ακόμα και το email ή τα αρχεία word και excel στα οποία έχουμε πρόσβαση με υπολογιστή ή smartphone) καθώς και όσους επεξεργάζονται δεδομένα χειροκίνητα τα οποία αποτελούν ή πρόκειται να αποτελέσουν μέρος αρχείου (λ.χ. τετράδια, καταστάσεις, λίστα επαφών, τιμολόγια κ.ο.κ.). Συνεπώς, με μικρές εξαιρέσεις, η Υφιστάμενη Νομοθεσία για την Προστασία Προσωπικών Δεδομένων αφορά όλες τις επιχειρήσεις και φορείς του Ιδιωτικού και Δημόσιου Τομέα.
Εντούτοις, πολλές επιχειρήσεις στην Ελλάδα δεν έχουν προχωρήσει στις απαραίτητες ενέργειες ώστε να συμμορφωθούν με τις επιταγές της Υφιστάμενης Νομοθεσίας και παραμένουν έκθετες σε αστικές, ποινικές και διοικητικές κυρώσεις (οι οποίες μπορεί να φτάσουν έως και τις 20.000.000 ευρώ ή το 4% του συνολικού κύκλου εργασιών του προηγούμενου έτους, ανάλογα ποιο ποσό είναι μεγαλύτερο) καθώς και σε αστικές και ποινικές κυρώσεις.
Γιατί συμβαίνει αυτό;
Ένας πρώτος λόγος είναι η σοβαρή έλλειψη ενημέρωσης και ευαισθητοποίησης εντός της ελληνικής αγοράς. Τόσο οι ίδιοι οι επιχειρηματίες όσο και οι πελάτες δεν γνωρίζουν τα βασικά ως προς τις υποχρεώσεις και τα δικαιώματά τους αντίστοιχα. Χαρακτηριστικό παράδειγμα οι «μύθοι» που κυριαρχούν όπως[1]:
- Ότι το καθεστώς προστασίας προσωπικών δεδομένων / ο Κανονισμός δεν ισχύει για αυτούς,
- Ότι δεν διενεργούν «επεξεργασία»[2] και σε κάθε περίπτωση η οποία επεξεργασία δεν αφορά σε «προσωπικά δεδομένα»[3],
- Ότι δεν θα ελεγχθούν ή δεν θα τους επιβληθεί πρόστιμο γιατί «τα πρόστιμα αφορούν τις μεγάλες εταιρείες/διαδικτυακούς κολοσσούς»,
- Ότι χρειάζεται μόνο η συγκατάθεση του υποκειμένου των δεδομένων για την επεξεργασία προσωπικών δεδομένων και ως εκ τούτου μια σχετική μνεία στα έντυπα αρκεί,
- Ότι δεν εμπίπτουν στον Κανονισμό γιατί δεν χειρίζονται ειδικές κατηγορίες προσωπικών δεδομένων ή δεν δραστηριοποιούνται στον κλάδο της υγείας,
- Ότι η προστασία δεδομένων αφορά αποκλειστικά συγκεκριμένα ζητήματα (λ.χ. Συστήματα CCTV, Ψηφιακές Πλατφόρμες, κλπ.).
Ένας δεύτερος λόγος είναι η έλλειψη χρηματοδότησης και ουσιαστικής υποστήριξης προς την Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία ούσα υποστελεχωμένη, καλείται να καλύψει όλη την Ελληνική Επικράτεια.
10 + 1 βήματα, στα οποία πρέπει να προβεί μια επιχείρηση για να συμμορφωθεί
Βασικός πυλώνας για την ανταπόκριση μιας επιχείρησης στις επιταγές της Υφιστάμενης Νομοθεσίας για τα Προσωπικά Δεδομένα είναι η ενσωμάτωση στο modus operandi της των βασικών Αρχών που προβλέπει η Υφιστάμενη Νομοθεσία για την προστασία προσωπικών δεδομένων. Στο πλαίσιο αυτό ενδεικτικές ενέργειες αποτελούν:
Βήμα 1ο: Να καταγράψει τις ροές δεδομένων εντός της επιχείρησης,
Βήμα 2ο: Να εντοπίσει τις νομικές βάσεις, στις οποίες βασίζεται η κάθε επεξεργασία και βάσει αυτών να προχωρήσει στις απαιτούμενες ενέργειες, (λ.χ. εάν η επεξεργασία βασίζεται στη συγκατάθεση, να διασφαλιστεί η εγκυρότητά της ή εάν βασίζεται στο έννομο συμφέρον να γίνουν οι απαραίτητες προπαρασκευαστικές ενέργειες όπως στάθμιση εννόμου συμφέροντος) ώστε να βεβαιωθεί ότι δεν ενέχονται κίνδυνοι για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων,
Βήμα 3ο: Να φροντίσει να χρησιμοποιούνται αποκλειστικά τα ελάχιστα δυνατά δεδομένα που είναι απαραίτητα για την επίτευξη συγκεκριμένων και διακριτών σκοπών και να τα διαγράφει όταν δεν τα χρειάζεται,
Βήμα 4ο: Να παρέχει πλήρη ενημέρωση στα άτομα τα οποία αφορούν τα δεδομένα (υποκείμενα των δεδομένων) για τις επεξεργασίες που διενεργεί, τις τεχνολογίες που χρησιμοποιεί καθώς και για τα δικαιώματά τους (λ.χ. πολιτικές απορρήτου στα websites, ενημερωτικά σημειώματα στους εργαζομένους, ενημερωτικές πινακίδες όπου έχουν εγκατασταθεί συστήματα CCTV κ.ο.κ.),
Βήμα 5ο: Να αναπτύξει εσωτερικές πολιτικές για τη διεκπεραίωση αιτημάτων των υποκειμένων των δεδομένων, λ.χ. για όσους επιθυμούν να αποκτήσουν πρόσβαση στα προσωπικά τους δεδομένα του ή να τα διαγράψουν καθώς και να διαμορφώσει διαδικασίες για την έγκαιρη (εντός 72 ωρών) γνωστοποίηση στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα περιστατικού παραβίασης (σε περίπτωση λ.χ. που τα δεδομένα κοινοποιηθούν σε μη εξουσιοδοτημένο τρίτο, κλαπούν, διαγραφούν χωρίς να πρέπει κ.ο.κ.),
Βήμα 6ο: Να εφαρμόσει τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ακρίβειας, της ακεραιότητας και της εμπιστευτικότητας των προσωπικών δεδομένων που επεξεργάζεται (λ.χ. πυρασφάλεια, συναγερμός, ντουλάπια/ράφια που κλειδώνουν, περιορισμένη πρόσβαση σε συγκεκριμένα έγγραφα, μέτρα κυβερνοασφάλειας, μέτρα επαλήθευσης συγκατάθεσης για επιχειρήσεις που παρέχουν υπηρεσίες μέσω ψηφιακής πλατφόρμας όπως τα e-shop, κ.ο.κ. ),
Βήμα 7ο: Να διενεργήσει ελέγχους στις συμβάσεις με προμηθευτές, παρόχους, συνεργάτες κ.ο.κ. και να προσθέσει ή/και επικαιροποιήσει ρήτρες/παραρτήματα προστασίας δεδομένων (λ.χ. στις συμβάσεις με ιατρό εργασίας, λογιστικό γραφείο/εταιρεία),
Βήμα 8ο: Να προχωρήσει στη διενέργεια, όπου απαιτείται[4], Εκτίμησης Αντίκτυπου Προστασίας Δεδομένων και αν αυτό δεν αρκεί, να προχωρήσει σε προηγούμενη διαβούλευση με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,
Βήμα 9ο: Να φροντίσει ότι ο σχεδιασμός κάθε νέου συστήματος ή/και διαδικασίας πληροί τα κριτήρια της «προστασίας δεδομένων από τον σχεδιασμό και εξ’ ορισμού».
Βήμα 10ο: Να προχωρήσει στην εκπαίδευσης και κατάρτιση των εργαζομένων της τόσο με τις γενικές επιταγές της Υφιστάμενης Νομοθεσίας, όσο και με τις πολιτικές/διαδικασίες τις οποίες υιοθέτησε η επιχείρηση.
+1: Η σημαντικότερη επένδυση που μπορεί να κάνει μια επιχείρηση για να διασφαλιστεί πλήρως για οτιδήποτε μπορεί να προκύψει, είναι να ορίσει Υπεύθυνο Προστασίας Δεδομένων (DPO), ο οποίος θα έχει το γνωσιολογικό υπόβαθρο και την τεχνική κατάρτιση ώστε να εξασφαλίζεται η ορθή εφαρμογή και η διαρκής και εμπεριστατωμένη επικαιροποίηση όλων των κατωτέρω,
Εξαιρούνται οι μικρομεσαίες επιχειρήσεις;
Κατ΄ αρχήν όχι. Απολαμβάνουν, ωστόσο, ορισμένα προνόμια. Για παράδειγμα, επιχειρήσεις που απασχολούν λιγότερους από 250 εργαζομένους εξαιρούνται της υποχρέωσης:
- Τήρησης Αρχείου Δραστηριοτήτων εκτός εάν
- Οι επεξεργασίες που διενεργούν δεν είναι περιστασιακές,
- Οι επεξεργασίες τους ενέχουν κινδύνους για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων ή
- Οι επεξεργασίες τους αφορούν σε ειδικές κατηγορίες δεδομένων[5] ή ποινικά μητρώα.
- Ορισμού Υπεύθυνου Προστασίας Δεδομένων εκτός εάν:
- Οι βασικές δραστηριότητες της επιχείρησης συνιστούν ή περιλαμβάνουν τακτική και συστηματική παρακολούθηση των ατόμων που αφορούν τα δεδομένα σε μεγάλη κλίμακα, ή
- Οι βασικές δραστηριότητες της επιχείρησης συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (λ.χ. δεδομένα υγείας).
*Νικόλας Κανελλόπουλος
Διευθύνων Εταίρος
Ν. Κανελλόπουλος – Χ. Ζέρβα & Συνεργάτες
Δικηγορική Εταιρεία
Υπεύθυνος Προστασίας Δεδομένων Ε.Ε.Α.
.
[1] Dr David Barnard-Wills, Ms. Leanne Cochrane, Mr. Kai Matturi, Dr Filippo Marchetti, Support Small and Medium Enterprises on the Data Protection Reform II, Budapest – Brussels – Waterford, Ιούλιος 2019, σελ.35
[2] Δηλαδή κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή
[3] Κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
[4] Σύμφωνα με το άρθρο 35 του Κανονισμού, την απόφαση 65/2018 (ΦΕΚ Β΄ 1622/10-5-2019) και τις σχετικές Κατευθυντήριες Γραμμές της Ομάδας Εργασίας του Άρθρου 29 (WP248), τις οποίες επικύρωσε το ΕΣΠΔ
[5] Δεδομένα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό