Άρθρο του κ. Ν.Ροδόπουλου, Προέδρου της Ελληνικής Εταιρείας Logistics και Προέδρου ΔΣ της OnLine Data
Είναι αυστηρός, πρέπει να εφαρμοστεί στο σύνολο των επιχειρήσεων και προβλέπει αυξημένα πρόστιμα. Πρόκειται για τον Ευρωπαϊκό Κανονισμό 2016/679 (General Data Protection Regulation, GDPR) o οποίος τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης στις 25.05.2018, διαμορφώνοντας ένα ενιαίο νομικό πλαίσιο, χωρίς την ανάγκη ψήφισης εθνικής νομοθεσίας και καταργώντας την όποια υφιστάμενη.
Τι είναι ο GDPR και σε τι μας υποχρεώνει;
Πρόκειται για το νέο κανονισμό προστασίας προσωπικών δεδομένων ο οποίος αυξάνει σημαντικά τις υποχρεώσεις των επιχειρήσεων, ενώ το μέγεθος των προβλεπόμενων προστίμων τον τοποθετεί πολύ υψηλά στην ατζέντα των διοικήσεων των εταιρειών.
Με βάση τον GDPR οι επιχειρήσεις και οργανισμοί θα πρέπει:
1. Να τηρούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων, δηλαδή να τα συλλέγουν για συγκεκριμένο νόμιμο σκοπό και μόνο όσα εξ? αυτών είναι απαραίτητα.
2. Να μην τα υποβάλουν σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο.
3. Να τα αποθηκεύουν για το μικρότερο δυνατό χρονικό διάστημα, λαμβάνοντας πάντα την ελεύθερη και σαφή συγκατάθεση των φυσικών προσώπων.
4. Να τα μεταφέρουν σε χώρες εκτός ΕΕ μόνον υπό συγκεκριμένες προϋποθέσεις.
5. Να αναπτύξουν ηλεκτρονικά εργαλεία για την έγκαιρη και δωρεάν ανταπόκριση σε αιτήματα για: ανάκληση της συγκατάθεσης, πρόσβαση στα δεδομένα, διόρθωση και διαγραφή των δεδομένων, περιορισμό της επεξεργασίας, παράδοση των δεδομένων σε ηλεκτρονική μορφή, μεταφορά των δεδομένων σε άλλο φορέα.
6. Να γνωστοποιούν εγκαίρως στα φυσικά πρόσωπα τα δικαιώματά τους εξασφαλίζοντας την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους.
7. Να τηρούν σε αρχείο και να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αλλά και στα φυσικά πρόσωπα με απευθείας ενημέρωση ή δημόσια ανακοίνωση.
8. Να αποδεικνύουν ότι τηρούν όλες τις απαιτήσεις του Κανονισμού.
Τα ερωτηματικά που προκύπτουν είναι αρκετά. Για παράδειγμα ποια θα πρέπει να είναι τα δεδομένα που μπορούν να συλλέξουν οι επιχειρήσεις, ποιοι εμπλέκονται, με ποια εργαλεία και με ποιες διαδικασίες θα επιτρέπεται να γίνεται η επεξεργασία αυτή; Πως θα προκύπτουν οι συγκαταθέσεις για τη χρήση τους; Πόσο τακτικός πρέπει να είναι ο έλεγχος για την κάλυψη των απαιτήσεων του κανονισμού σε κάθε στάδιο επεξεργασίας των δεδομένων;
Γίνεται σαφές πως η εφαρμογή του νέου κανονισμού πρέπει να αντιμετωπιστεί με συνέπεια και σοβαρότητα. Η υλοποίηση ενός τέτοιου έργου απαιτεί την ύπαρξη ομάδας εργασίας που θα οργανώσει άμεσα τη διαδικασία, υποστηρίζοντας και καθοδηγώντας την υλοποίηση μέσα από μία ολιστική συμμόρφωση και με τη δημιουργία αρχείου ενεργειών επεξεργασίας. Θα πρέπει επίσης να αξιολογεί τις επιπτώσεις προστασίας δεδομένων εντοπίζοντας άμεσα όλους τους πιθανούς κινδύνους (Privacy Impact Assessment). Είναι δε ουσιώδες να αναπτύξει πολιτικές και διαδικασίες προστασίας προσωπικών δεδομένων, σε ένα πλήρες Σύστημα Διαχείρισης Προσωπικών Δεδομένων. Τέλος, θα πρέπει να εφαρμόζει επιθεωρήσεις ετοιμότητας (Compliance Audit) ως προς το νέο κανονισμό. Όταν η διαδικασία ολοκληρωθεί θα πρέπει να υπάρξει πιστοποίηση και επαλήθευση της συμμόρφωσης με βάση τα διεθνή πρότυπα που έχουν οριστεί.
Η τροποποίηση των υφιστάμενων μηχανογραφικών υποδομών είναι αναμενόμενη, ενώ οι εταιρείες θα πρέπει μέσα στον 5μηνο ορίζοντα που έχουμε μπροστά μας να προχωρήσουν στην ψηφιοποίηση των διαδικασιών τους με συστήματα ψηφιακής διαχείρισης εγγράφων, κρυπτογράφησης των δεδομένων τους, ασφαλείας δικτύου και διαδικτύου κοκ.
Σε πολύ σύντομο χρονικό διάστημα η εφαρμογή του GDPR θα αποτελεί προαπαιτούμενο για τη συναλλαγή εντός ΕΕ, ενώ σε περίπτωση παράβασης προβλέπονται σημαντικά αυξημένα πρόστιμα, που μπορεί να φτάσουν έως τα 20 εκατομμύρια ευρώ ή το 4% του συνολικού ετήσιου κύκλου εργασιών.
Μας αφορά όλους
Ο GDPR αφορά όλες τις ιδιωτικές και δημόσιες επιχειρήσεις, καθώς και τις κρατικές αρχές που με οποιονδήποτε τρόπο συγκεντρώνουν και διαχειρίζονται δεδομένα προσωπικού χαρακτήρα. Τι σημαίνει αυτό; Ότι o νέος κανονισμός πρακτικά αφορά όλες τις επιχειρήσεις, εντός και εκτός Ευρωπαϊκής Ένωσης, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες.