Δευτέρα, 22 Ιουλίου 2019

ev media-logo

Για την προστασία των προσωπικών δεδομένων. Γράφει ο Χρήστος Τσάμπρας, Πρόεδρος του Επιμελητηρίου Ευρυτανίας

Γράφει ο Χρήστος Τσάμπρας, Πρόεδρος του Επιμελητηρίου Ευρυτανίας

Σήμερα βρισκόμαστε λίγες μέρες πριν την εφαρμογή του νέου Ευρωπαϊκού κανονισμού για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Σημαντικό είναι να επισημανθεί ότι ο κανονισμός αφορά το σύνολο των επιχειρήσεων ασχέτως μεγέθους. Δεν θα πρέπει να μας παραπλανούν οι αιτιάσεις ότι οι μικρές επιχειρήσεις δεν κατέχουν ούτε επεξεργάζονται προσωπικά δεδομένα. Διότι προσωπικό δεδομένο μπορεί να είναι τα στοιχεία κάθε προμηθευτή ή υπαλλήλου της επιχείρησης. Επίσης τα τυχόν πρόστιμα είναι «τσουχτερά» και ανέρχονται στο 4% επί του τζίρου της επιχειρήσεως.prosopika-dedomena

Στο παρόν άρθρο θα προσπαθήσουμε να καταδείξουμε τα βασικά στοιχεία του κανονισμού. Αναφέροντας επιγραμματικά το πεδίο εφαρμογής του, το τι θεωρείται Δεδομένο Προσωπικού Χαρακτήρα, καθώς και τις βασικές πρόνοιες του κανονισμού. 

1. Πεδίο Εφαρμογής Κανονισμού: Ο Ευρωπαϊκός Κανονισμός 2016/679 (General Data Protection Regulation, GDPR) για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων (Γενικός Κανονισμός για την Προστασία Δεδομένων), τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης στις 25.05.2018, καταργώντας την υφιστάμενη νομοθεσία. Ο εν λόγω κανονισμός αφορά όλες τις ιδιωτικές και δημόσιες επιχειρήσεις, που με οποιοδήποτε τρόπο διαχειρίζονται δεδομένα προσωπικού χαρακτήρα.

2. Ποια Θεωρούνται Ως Δεδομένα Προσωπικού Χαρακτήρα: Κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· Ενδεικτικά στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση κλπ), φυσικά χαρακτηριστικά, εκπαίδευση,  οικονομική κατάσταση ενδιαφέροντα, δραστηριότητες, συνήθειες.

3. Βασικές Πρόνοιες Του Κανονισμού:

● Ρητή συγκατάθεση: Απαιτείται η ρητή, σαφής και συγκεκριμένη συγκατάθεση του ατόμου για την συλλογή, επεξεργασία και τήρηση των προσωπικών του δεδομένων, εκτός εξαιρέσεων που τίθεται από τον Κανονισμό

● Σεβασμός Δικαιωμάτων Ατόμου: Τα δικαιώματα του υποκειμένου των δεδομένων έχουν αυξηθεί με τον Νέο Κανονισμό και στα άρθρα 13-21 του Κανονισμού προβλέπονται τα εξής δικαιώματα: α) το δικαίωμα ενημέρωσης β) το δικαίωμα πρόσβασης, γ) το δικαίωμα διόρθωσης, δ) το δικαίωμα διαγραφής «δικαίωμα στη λήθη», ε) το δικαίωμα  περιορισμού της επεξεργασίας, στ) το δικαίωμα φορητότητας των δεδομένων και ζ) το δικαίωμα εναντίωσης

● Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer-DPO): Ο Κανονισμός προβλέπει ότι για συγκεκριμένες κατηγορίες  επιχειρήσεων, ο διορισμός Υπευθύνου Προστασίας Δεδομένων είναι υποχρεωτικός, όπως είναι για δημόσιες αρχές και φορείς.

● Περιορισμός και Ασφάλεια της Επεξεργασίας: Η επιχείρηση που επεξεργάζεται προσωπικά δεδομένα οφείλει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα, αλλά και να επεξεργάζεται μόνο τα κατάλληλα, συναφή και απολύτως αναγκαία δεδομένα και μόνο για την επίτευξη των νόμιμων σκοπών της

● Γνωστοποίηση παραβίασης εντός 72 ωρών: Σε περίπτωση παραβίασης ασφαλείας που αφορά προσωπικά δεδομένα, ο οργανισμός οφείλει να ενημερώσει εντός 72 ωρών, από τη στιγμή που το αντιληφθεί, τις αρμόδιες Αρχές, πλην εξαιρέσεων. Υπό προϋποθέσεις, οφείλει να ενημερώσει και το υποκείμενο των δεδομένων

● Ευθύνη και Λογοδοσία: Η επιχείρηση είναι υπόλογη ως προς την εφαρμογή του Κανονισμού και οφείλει να βρίσκεται σε θέση να αποδείξει τη συμμόρφωσή της

4. Κυρώσεις Λόγω Της Μη Συμμόρφωσης Με Τις Επιταγές Του Κανονισμού: Οι κυρώσεις λόγω μη συμμόρφωσης έχουν διοικητικό, αστικό και ποινικό χαρακτήρα. Ειδικότερα, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μπορεί να επιβάλει διοικητικά πρόστιμα έως 20.000.000 ευρώ ή σε περίπτωση επιχειρήσεων έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο, πέραν των λοιπών αστικών και ποινικών επιπτώσεων τις οποίες προβλέπει ο Νόμος.

Συμπερασματικά, η συμμόρφωση των ιδιωτικών και δημοσίων επιχειρήσεων αποτελεί ένα δύσκολο και πολύπλοκο έργο, που απαιτεί  εξειδικευμένες γνώσεις από διαφορετικά επιστημονικά πεδία (νομική, επιστήμη της πληροφορικής) ωστόσο, μετά την καταληκτική ημερομηνία της 25ης Μαΐου 2018, θα είναι υποχρεωτική εκ του Νόμου.