Τί είναι ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων;
Το τελευταίο διάστημα έχουμε κατακλυστεί από newsletters και ειδοποιήσεις στο κινητό περί «προστασίας των προσωπικών μας δεδομένων» και περί συναινέσεων που πρέπει να δοθούν επί ποινή απώλειας της «σχέσης» παρόχου υπηρεσίας με αποδέκτη υπηρεσιών. Άλλαξε κάτι πράγματι από τις 25-5-2018;
Η απάντησή είναι…
ΟΧΙ. ΤΙΠΟΤΑ ΔΕΝ ΑΛΛΑΞΕ. Με τη νομοθεσία του 1995-1997(ευρωπαϊκές οδηγίες και εθνική νομοθεσία) όφειλε ο κάθε Υπεύθυνος επεξεργασίας δεδομένων να έχει λάβει συναίνεση από το υποκείμενο των δεδομένων, να του έχει εξηγήσει με σαφήνεια για ποιο λόγο επεξεργάζεται τα προσωπικά του δεδομένα, και εν γένει να πράξει ο,τι απαιτείται ώστε να μην χρησιμοποιούνται τα δεδομένα ά-σκοπα,ή για διαφορετικό σκοπό από ο,τι έχει δοθεί η συναίνεση.
«Ο Κανονισμός δεν αλλάζει την ουσία, κωδικοποιεί δικαιώματα και υποχρεώσεις και εισάγει ισχυρό σύστημα διαδικασιών.»
Τότε προς τι ο πανικός; Ο πανικός για την προστασία αφορά σήμερα τις υψηλές κυρώσεις. Μέχρι 2 εκατομμύρια ευρώ πρόστιμο ή 2% του κύκλου εργασιών (ανάλογα τι είναι υψηλότερο), θα κληθεί να πληρώσει μία επιχείρηση ή ένας υπεύθυνος επεξεργασίας (φυσικό ή νομικό πρόσωπο), εάν επεξεργάζεται (δηλαδή αποθηκεύει, διαβάζει, ακόμα και καταστρέφει) προσωπικά δεδομένα ζώντων φυσικών προσώπων (και όχι εταιρειών) χωρίς να έχει (ή να μπορεί να αποδείξει) την συναίνεσή τους.
Κυρώσεις έχω. Τι υποχρεώσεις έχω; Το δύσκολο κομμάτι είναι αυτό της συμμόρφωσης. Δυστυχώς οι περισσότεροι θεώρησαν ότι αρκεί να στείλουν ένα newsletter, να αλλάξουν την Πολιτική Προστασίας στο site και να λάβουν αφειδώς συναινέσεις (εξ ου και η γραφειοκρατία πλέον με τις έγγραφες συναινέσεις) και όλα θα πάνε καλά. Εδώ είναι ο ρόλος του νομικού συμβούλου που θα βοηθήσει έναν φορέα (ΦΠ ή ΝΠ), Υπεύθυνο Επεξεργασίας να συμμορφωθεί στις νέες του υποχρεώσεις και να μην κινδυνεύσει με υψηλά πρόστιμα ή αγωγές από τα φυσικά πρόσωπα των οποίων τα δεδομένα παραβιάζονται.
- Διατήρηση Αρχείων Δραστηριοτήτων Επεξεργασίας Προσωπικών Δεδομένων (Άρθρο 30 GDPR) (χαρτογράφηση δεδομένων και αξιολόγηση κενών στην επεξεργασία)
- Εκτίμηση κινδύνου και διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (Data Protection Impact Assessment – DPIA) (Άρθρο 35 GDPR)
- Ορισμός Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer – DPO) (Άρθρο 37 GDPR)
- Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς (άρθρο 44)
- Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή (άρθρο 33)
- Εφαρμογή της Προστασίας των Δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού (data protection by design and by default) (Άρθρο 25 GDPR)
«ο Δικηγόρος πώς μας βοηθάει;» Το γραφείο μας αναλαμβάνει την συμμόρφωση του Υπεύθυνου Επεξεργασίας στο νέο κανονιστικό πλαίσιο που επιβάλλει νέα οργανωτικά και τεχνικά μέτρα ασφαλείας, νέες συνήθειες (τήρηση αρχείου επεξεργασίας, εκπόνηση μελέτης εκτίμησης αντικτύπου) και νέες συμβάσεις με τους υπαλλήλους, προμηθεύτές και εξωτερικούς συνεργάτες. Όλοι πρέπει να εκπαιδευτούν στην νέα πραγματικότητα που επιβάλει ασφαλή επεξεργασία προσωπικών δεδομένων και σαφή οριοθέτηση των υποχρεώσεων και δυνατοτήτων των εκτελούντων την επεξεργασία και των βοηθών εκπλήρωσής τους. Ο λογιστής σας, ο υπάλληλός σας, ο γραμματέας, αυτός που βγάζει τις φωτοτυπίες εκτελούν επεξεργασίες για τις οποίες εσείς είστε αρμόδιοι και υπεύθυνοι. Τι κάνετε γι’αυτό;
Στο γραφείο μας, η Αικατερίνη Τσιώνα υπεύθυνη του γραφείου, έχει παρακολουθήσει ειδικό κύκλο σεμιναρίων από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και τον Δικηγορικό Σύλλογο Αθηνών και αναλαμβάνει επιχειρήσεις και φορείς ώστε να συμμορφωθούν στο νέο πλαίσιο. Έίναι υποψήφια διδάκτωρ Ευρωπαϊκού Δικαίου με εξειδίκευση σε ζητήματα ευρωπαϊκού και δοικητικού δικαίου.
Ανάλογα με τη φύση της δραστηριότητας, το είδος των δεδομένων γίνεται μία πλήρης καταγραφή των δεδομένων που αποτελούν αντικείμενο επεξεργασίας και σας προτείνεται το αναγκαίο πλάνο δράσης.
Αναλαμβάνουμε την εκπαίδευση του προσωπικού και του φορέα, τις συμβάσεις με τους εργαζόμενους και τους προμηθευτές και την τήρηση όλων των απαιτούμενων αρχείων επεξεργασίας που απαιτεί η νομοθεσία.
Τι αναλαμβάνουμε εμείς:
- Εκπαίδευση και κατανόηση του πλαισίου προστασίας των προσωπικών δεδομένων (awareness)
- Νομική ανάλυση των υπαρχόντων συστημάτων και διαδικασιών προστασίας προσωπικών δεδομένων
- Διεξαγωγή νομικών ελέγχων επιπέδου προστασίας (Privacy Audit, DPIA)
- Νομικός σχεδιασμός των απαραίτητων πολιτικών και διαδικασιών ασφάλειας και προστασίας της ιδιωτικότητας- Εκπαίδευση αρμόδιων στελεχών (leaders)
- Νομική/επιχειρηματική αποτύπωση των αναγκών για προσωπικά δεδομένα και αποσαφήνιση του είδους και του αριθμού δεδομένων που χρειάζονται να διατηρούνται (privacy book).
- Σχεδιασμός Πολιτικών Ασφάλειας με γνώμονα τη διατήρηση των δεδομένων που πραγματικά χρειάζεται η επιχείρηση.
- Σχεδιασμός πολιτικής διαχείρισης κρίσεων (Incident Response, Breach Notification, Επικοινωνία με υποκείμενα και Εποπτική Αρχή).
- Εκπόνηση Κωδίκων Αυτορρύθμισης, Γνωμοδοτήσεις, Παρακολούθηση Συμμόρφωσης
Ποιες επιχειρήσεις αφορά; Όλες. Γιατί όλες επεξεργαζόμαστε προσωπικά δεδομένα. Ονόματα, τηλέφωνα, ΑΦΜ, mail. Ειδικά επιχειρήσεις που επεξεργάζονται ευαίσθητα προσωπικά δεδομένα (ιατροί, ψυχολόγοι, λογοθεραπευτές, δικηγόροι, διαγνωστικά κέντρα) ή επιχειρήσεις που έχουν κάμερες ασφαλείας, θα πρέπει οπωσδήποτε να κάνουνε μία ολοκληρωμένη προσπάθεια να συμμορφωθούν άλλως απειλούνται με τσουχτερά πρόστιμα.
Πότε ξεκινάω; Από 25.5.2018 ο ΓΚΠΔ είναι σε ισχύ.