Γενικός Κανονισμός: Οι βασικές ενέργειες στις οποίες πρέπει να προχωρήσουν οι επιχειρήσεις

Ποιες είναι οι διατάξεις που ξεχωρίζουν στον Γενικό Κανονισμό για τα Προσωπικά Δεδομένα.

Του Αλέξανδρου Κολιοθωμά*

Alex_PhotoΣτις 25 Μαΐου 2018 τίθεται σε εφαρμογή ο Κανονισμός (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων, έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (εφεξής ο «Γενικός Κανονισμός»), ο οποίος θα ισχύει ομοιόμορφα για όλες τις επιχειρήσεις που ασκούν επιχειρηματική δραστηριότητα εντός της Ευρωπαϊκής Ένωσης.

Ο Γενικός Κανονισμός, θα αλλάξει άρδην το τοπίο της εν γένει διαχείρισης των δεδομένων προσωπικού χαρακτήρα, καθώς εισάγει νέες αυστηρότερες απαιτήσεις στον τομέα της προστασίας δεδομένων προσωπικού χαρακτήρα και αυστηρές κυρώσεις για τις επιχειρήσεις που δεν συμμορφώνονται με τις απαιτήσεις αυτές.

Οι διατάξεις του Γενικού Κανονισμού και οι υποχρεώσεις που αυτές ενσωματώνουν είναι εκτενείς. Ξεχωρίζουν όμως τα ακόλουθα ως νέες ή τροποποιημένες έννοιες:

Οι όροι για τη λήψη συγκατάθεσης έχουν γίνει αυστηρότεροι. Οι επιχειρήσεις θα πρέπει να επανεξετάσουν τους υφιστάμενους μηχανισμούς συγκατάθεσης προκειμένου να διασφαλίσουν ότι η συγκατάθεση παρέχεται ως γνήσια και ελεύθερη επιλογή του υποκειμένου.

Oι επιχειρήσεις θα πρέπει να παρέχουν εκτενείς πληροφορίες στα υποκείμενα σχετικά με την επεξεργασία των προσωπικών τους δεδομένων σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή. Προβλέπεται και η χρήση τυποποιημένων εικονιδίων και η Επιτροπή έχει τη δυνατότητα να επιλέξει να εισαγάγει αυτά μέσω κατ’ εξουσιοδότηση πράξεων σε μεταγενέστερο στάδιο.

Ανήλικοι (παιδιά) 16 ετών μπορούν να παράσχουν την συγκατάθεσή τους για επεξεργασία προσωπικών δεδομένων τους, που λαμβάνει χώρα σε επιγραμμικό περιβάλλον (online). Για παιδιά μεταξύ 13 και 15 ετών η επεξεργασία είναι σύννομη μόνο εάν και στον βαθμό που η εν λόγω συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού, αν και τα κράτη μέλη δύνανται να προβλέπουν διά νόμου μικρότερη ηλικία για τους εν λόγω σκοπούς. Παιδιά κάτω των 13 ετών δεν μπορούν σε καμία περίπτωση να παράσχουν συγκατάθεση για επεξεργασία των προσωπικών τους δεδομένων. Δεν προβλέπονται συγκεκριμένοι κανόνες αναφορικά με τη γονική συναίνεση για επεξεργασία δεδομένων εκτός επιγραμμικού περιβάλλοντος (offline). Στην περίπτωση αυτή εφαρμόζεται η εθνική νομοθεσία σχετικά με την ικανότητα δικαιοπραξίας.

Ρητά πλέον περιλαμβάνονται ορισμένες κατηγορίες επιγραμμικών (online) δεδομένων που μπορεί να αποτελούν προσωπικά δεδομένα, όπως επιγραμμικά αναγνωριστικά στοιχεία ταυτότητας (online identifiers), αναγνωριστικά στοιχεία ταυτότητας τα οποία παρέχονται από τις συσκευές (device identifiers), διευθύνσεις διαδικτυακού πρωτοκόλλου (IP addresses), αναγνωριστικά cookies ή άλλα αναγνωριστικά στοιχεία, όπως ετικέτες αναγνώρισης μέσω ραδιοσυχνοτήτων (radio frequency identification tags).

Οι ειδικές κατηγορίες δεδομένων (ευαίσθητα) διευρύνονται και περιλαμβάνουν τα γενετικά και βιομετρικά δεδομένα.

Εισάγεται πλαίσιο για γνωστοποίηση παραβίασης προσωπικών δεδομένων για όλους τους υπεύθυνους επεξεργασίας ανεξαρτήτως του κλάδου στον οποίον δραστηριοποιούνται.

Οι επιχειρήσεις πρέπει να είναι σε θέση να αποδείξουν τη συμμόρφωσή τους με τις αρχές του Γενικού Κανονισμού, συμπεριλαμβανομένης της υιοθέτησης ορισμένων μέτρων προστασίας των δεδομένων ήδη από τον σχεδιασμό (π.χ. χρήση ψευδωνυμοποίησης ), προγραμμάτων εκπαίδευσης προσωπικού και υιοθέτησης πολιτικών και διαδικασιών.

Στην περίπτωση κατά την οποία η επεξεργασία επιφέρει υψηλό κίνδυνο για τα δικαιώματα και ελευθερίες των υποκειμένων (συστηματική και εκτενής αξιολόγηση, μεγάλης κλίμακας επεξεργασία, συστηματική παρακολούθηση), θα πρέπει να διενεργηθεί εκτίμηση αντικτύπου.

Υπεύθυνοι και εκτελούντες την επεξεργασία μπορούν να διορίσουν Υπεύθυνο Προστασίας Δεδομένων (DPO). Τούτο είναι υποχρεωτικό για τις δημόσιες αρχές και φορείς, για όσους τακτικά διενεργούν συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή προβαίνουν σε επεξεργασία ορισμένων ειδικών κατηγοριών δεδομένων.

Κατοχυρώνεται ένα ευρύ φάσμα υφιστάμενων και νέων δικαιωμάτων για τα υποκείμενα, στα οποία περιλαμβάνονται το δικαίωμα στη λήθη, το δικαίωμα φορητότητας των δεδομένων, το δικαίωμα εναντίωσης και αυτοματοποιημένη ατομική λήψη αποφάσεων.

Εισάγεται η έννοια του «μηχανισμού μίας στάσης» (one-stop-shop), σύμφωνα με την οποία – και υπό τον όρο της συνεργασίας μεταξύ των εποπτικών αρχών – μία και μόνη επικεφαλής εποπτική αρχή που βρίσκεται στο κράτος μέλος όπου μία επιχείρηση έχει την «κύρια» ή «μόνη» εγκατάστασή της θα επιβλέπει τη συμμόρφωση της εν λόγω επιχείρησης με τον Γενικό Κανονισμό.

Η Ομάδα Εργασίας του Άρθρου 29 θα καταργηθεί και στη θέση της θα συσταθεί το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, το οποίο θα απαρτίζεται από τους προϊσταμένους των εποπτικών αρχών κάθε κράτους μέλους (ή τους αντίστοιχους εκπροσώπους τους) και από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

Ήδη το χρονικό διάστημα που διανύουμε και μέχρι τις 25 Μαΐου 2018 αποτελεί μία de facto μεταβατική περίοδο κατά τη διάρκεια της οποίας οι επιχειρήσεις θα πρέπει να αξιολογήσουν την υφιστάμενη προσέγγισή τους ως προς τον τρόπο διαχείρισης των προσωπικών δεδομένων, να προβούν σε ανάλυση του χάσματος μεταξύ της εν λόγω προσέγγισης και των νέων απαιτήσεων υπό το νέο καθεστώς του Γενικού Κανονισμού και τέλος να προχωρήσουν σε υλοποίηση εκείνων των αλλαγών και βελτιώσεων που απαιτούνται προκειμένου να συμμορφωθούν με αυτόν.

Με περίπου 3 μήνες να απομένουν, ο χρόνος τρέχει πιεστικά για όλες τις επιχειρήσεις να οριστικοποιήσουν τα σχέδιά τους, και σε κάθε περίπτωση να υλοποιήσουν άμεσα αυτά.

Το σημείο εκκίνησης για κάθε διαδικασία συμμόρφωσης με τις απαιτήσεις του Γενικού Κανονισμού είναι η κατανόηση του τί, γιατί, πώς και πού της υφιστάμενης επεξεργασίας προσωπικών δεδομένων. Ποια προσωπικά δεδομένα τηρούνται και χρησιμοποιούνται, για ποιον λόγο η επιχείρηση τα χρειάζεται και τα χρησιμοποιεί (όπερ δεν είναι αναγκαία το ίδιο πράγμα), με ποιον τρόπο γίνεται η επεξεργασία, που αποθηκεύονται τα δεδομένα και από πού επιτυγχάνεται πρόσβαση σε αυτά, τούτα είναι μερικά από τα ερωτήματα που χρήζουν απαντήσεως πριν καταστεί δυνατή η ανάλυση του χάσματος μεταξύ της υφιστάμενης προσέγγισης που τυχόν έχει υιοθετήσει κάθε επιχείρηση και των νέων απαιτήσεων υπό το νέο καθεστώς του Γενικού Κανονισμού.

Κάποιες βασικές ενέργειες στις οποίες οι επιχειρήσεις θα πρέπει να προχωρήσουν περιλαμβάνουν:

• Λεπτομερή καταγραφή των δραστηριοτήτων επεξεργασίας δεδομένων.

• Αναθεώρηση υφιστάμενων ειδοποιήσεων προστασίας δεδομένων

• Τροποποίηση υφιστάμενων συμβάσεων αναφορικά με την επεξεργασία δεδομένων ή/και σύνταξη νέων υποδειγμάτων σχετικών συμβατικών όρων

• Εκπόνηση και υλοποίηση σχεδίου διαχείρισης συμβάντων και παραβίασης ασφάλειας

• Σχεδιασμός διαδικασίας εκτίμησης αντικτύπου

• Εκπαίδευση προσωπικού και έλεγχος συστημάτων πληροφορικής

Υπενθυμίζεται τέλος ότι ο Γενικός Κανονισμός είναι προεξεχόντως ένα νομικό κείμενο, εκτενές και μάλιστα ειδικού περιεχομένου, που για να φτάσει στη σημερινή του μορφή παρήλθε περίπου μία δεκαετία διαπραγματεύσεων και διαβουλεύσεων. Η συμμόρφωση επομένως των επιχειρήσεων με τις απαιτήσεις του Γενικού Κανονισμού χρήζει ιδιαίτερης προσοχής, άλλως οι πιθανότητες «ατυχήματος», και εξ ού ζημίας στην επιχείρηση, είναι αυξημένες λαμβανομένου μάλιστα υπόψη ότι οι κυρώσεις που πλέον προβλέπονται είναι αυστηρές.

* Ο Αλέξανδρος Κολιοθωμάς είναι δικηγόρος (AVK Legal), ειδικός στο δίκαιο πληροφορικής, μέσων μαζικής ενημέρωσης και τηλεπικοινωνιών.