Των

Δημήτριου Γκολέμη Δικηγόρου παρ’ Αρείω Πάγω

Γεώργιου Σαφαρίκα MSc Περιβαλλοντολόγου – Συμβούλου Επιχειρήσεων

 

Το τελευταίο διάστημα στην Ελλάδα, υπάρχει ένα έντονος διάλογος σχετικά με τα προσωπικά δεδομένα, με έναυσμα την επικείμενη ισχύ του νέου κανονισμού 679/2016 της ΕΕ για την προστασία των δεδομένων προσωπικού χαρακτήρα. Ουσιαστικά, ο Νέος Ευρωπαϊκός Κανονισμός GDPR 679/2016 αντικαθιστά την Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης. Σύμφωνα με τον Κανονισμό 2016/679 κάθε φυσικό ή νομικό πρόσωπο που επεξεργάζονται προσωπικά δεδομένα έχουν την υποχρέωση εφαρμογής του Κανονισμού ο οποίος τίθεται σε υποχρεωτική ισχύ από τις 25/05/2018.

Στόχος του Κανονισμού GDPR είναι η προστασία των ατομικών ελευθεριών και του προσωπικού απορρήτου για όλα τα φυσικά πρόσωπα στα οποία ανήκουν τα δεδομένα, προκειμένου να έχουν ολοκληρωμένα δικαιώματα διαχείρισης με πιο σημαντικά: α) να αποκτούν εύκολη πρόσβαση σε αυτά, β) να εναντιώνονται στην επεξεργασία τους, γ) να μπορούν να ζητούν την διαγραφή των προσωπικών τους δεδομένων και δ) να ζητούν την διόρθωση σφαλμάτων.

Συγχρόνως μέσα από την εφαρμογή του Κανονισμού: 1. Επιβάλλονται νέες υποχρεώσεις στους υπεύθυνους επεξεργασίας, 2. Ενισχύεται η νομική θέση των πολιτών, 3. Εισάγεται η υποχρέωση γνωστοποίησης των παραβιάσεων δεδομένων, 4. Θεσπίζονται νέα μοντέλα και τέλος 5. Προβλέπονται κυρώσεις για τους παραβάτες.

Οι κυρώσεις για την παράβαση του Κανονισμού ή την μη συμμόρφωση σε αυτόν, είναι εξαιρετικά αυστηρές και τα πρόστιμα υψηλά (αγγίζουν δυνητικά τα 20 εκατ. Ευρώ ή το 4% του ετήσιου τζίρου της επιχείρησης/οργανισμού) με αποτέλεσμα η συμμόρφωση σε αυτόν, αλλά και η ευαισθητοποίηση και η εκπαίδευση των εμπλεκομένων στα θέματα προστασίας προσωπικών δεδομένων να καθίσταται επιτακτική.

Με βάση τον Νέο Κανονισμό GDPR, όλοι οι φορείς, οι εταιρείες και οι ελεύθεροι επαγγελματίες θα πρέπει να εφαρμόζουν πολιτικές και διαδικασίες. Επίσης, κατά την διαδικασία εφαρμογής του GDPR, απαραίτητο είναι να καθορίζονται οι υποχρεώσεις συμμόρφωσης, η υποχρέωση τήρησης των διαδικασιών γνωστοποίησης στην εποπτική αρχή που βαρύνουν κατά κύριο λόγο τον υπεύθυνο επεξεργασίας και όχι αυτόν που εκτελεί την εργασία. Όροι όπως: α) Υπεύθυνος Επεξεργασίας, β) Εκτελών την Επεξεργασία, γ) Υπεύθυνος Προστασίας δεδομένων και δ) Επεξεργασία Δεδομένων, είναι στοιχεία που θα συναντάμε καθημερινά κατά την εφαρμογή του Κανονισμού. Επιπλέον, στα βασικά χαρακτηριστικά του Κανονισμού είναι να διαχωρίσουμε τι θεωρούνται προσωπικά δεδομένα και τι ευαίσθητα δεδομένα.

Όλοι οι φορείς, οι εταιρείες και οι ελεύθεροι επαγγελματίες, οι οποίοι υπόκεινται στην εφαρμογή του κανονισμού θα πρέπει:

Να ενημερωθούν, να εκπαιδευτούν, ώστε να σχεδιασθεί και να χαραχθεί η στρατηγική που πρέπει να εφαρμοσθεί.

Να υπάρξει αναλυτική περιγραφή και χαρτογράφηση των προσωπικών δεδομένων.

Να υπάρξει μελέτη εκτίμησης αποκλίσεων, όπου θα εντοπισθούν τα σημεία εκείνα που χρήζουν βελτίωσης

Να υπάρξει εκτίμηση επικινδυνότητας, όσον αφορά την προστασία των προσωπικών δεδομένων

Να σχεδιαστεί ολοκληρωμένο πλάνο ενεργειών και σχέδιο δράσης για συμμόρφωση με το GDPR

Συμπερασματικά, αυτό που πρέπει να γίνει κατανοητό είναι ότι ο Κανονισμός ισχύει για όλους όσους επεξεργάζονται προσωπικά δεδομένα. Το γεγονός ότι δεν απαιτείται σε όλες τις περιπτώσεις Υπεύθυνος Προστασίας Δεδομένων, δεν σημαίνει ότι δεν πρέπει και δεν οφείλει να εφαρμόζει τον Κανονισμό. Ως εκ τούτου, η ανάπτυξη και εγκατάσταση του συστήματος προσαρμογής, όπως αναφέρθηκε ανωτέρω, απαιτούν μια σειρά ενεργειών προετοιμασίας, σχεδιασμού, υλοποίησης και παρακολούθησης, σε οργανωτικό, νομικό και τεχνολογικό επίπεδο, προκειμένου μια εταιρεία, ένας φορέας, ή ο ελεύθερος επαγγελματίας να συμμορφωθούν πλήρως με τις απαιτήσεις του Κανονισμού.