2 Απριλίου, 2018 | 08:25

Το 2018 θα είναι το έτος που θα αλλάξουν πολλά όσον αφορά στη διαχείριση των προσωπικών δεδομένων μας 

Το 2018 θα είναι το έτος που θα αλλάξουν πολλά όσον αφορά στη διαχείριση των προσωπικών δεδομένων μας και αιτία γι’ αυτό είναι o Γενικός Κανονισμός για την Προστασία των Δεδομένων (General Data Protection Regulation ή εν συντομία GDPR) που τίθεται σε ισχύ από τις 25 Μαΐου 2018.

Πρόκειται για ένα νομικό πλαίσιο κανόνων της Ευρωπαϊκής Ένωσης προκειμένου να εξασφαλίσει στους πολίτες των 28 κρατών-μελών της μία ασφαλέστερη εμπειρία πλοήγησης στο διαδίκτυο, αλλάζοντας τον τρόπο με τον οποίο οι εταιρείες εντός και εκτός Ένωσης συλλέγουν, χρησιμοποιούν, επεξεργάζονται και αποθηκεύουν τα ευαίσθητα προσωπικά δεδομένα των χρηστών.

Το πλάνο για τον GDPR ξεκίνησε επί της ουσίας το 2012 με τη δημοσίευση της αρχικής πρότασης, για να εγκριθεί από το Ευρωπαϊκό Κοινοβούλιο τέσσερα χρόνια αργότερα και συγκεκριμένα τον Απρίλιο του 2016. Προβλέφθηκε μάλιστα μία περίοδος χάριτος δύο ετών, κατά την οποία οι επιχειρήσεις θα έπρεπε να συμμορφωθούν με τα όσα προβλέπει, έτσι ώστε να είναι έτοιμες την καταληκτική ημερομηνία υποχρεωτικής εφαρμογής της 25ης Μαΐου.

Τι προβλέπει ο GDPR;

Ο GDPR εστιάζει στα προσωπικά δεδομένα των χρηστών. Ποια είναι αυτά; Πληροφορίες όπως το ονοματεπώνυμο, ο ΑΦΜ, η διεύθυνση κατοικίας, το email, τραπεζικοί λογαριασμοί ή η τοποθεσία, με τη βοήθεια των οποίων μπορεί να γίνει ταυτοποίηση ενός ατόμου. Στόχος του είναι να υποχρεώσει τις εταιρείες που συλλέγουν και διαχειρίζονται τέτοια δεδομένα, να το κάνουν τηρώντας συγκεκριμένα στάνταρ ασφαλείας, με σκοπό την αντιμετώπιση κινδύνων όπως η κλοπή ταυτότητας, η μη εξουσιοδοτημένη δημοσιοποίηση και η διαδικτυακή παρενόχληση –μεταξύ άλλων.

Στην πράξη, ο GDPR αφορά κάθε επιχείρηση ιδιωτικού και δημοσίου τομέα ανεξαρτήτως κλάδου που συλλέγει, αποθηκεύει και επεξεργάζεται δεδομένα φυσικών προσώπων (υπαλλήλων, συνεργατών, επισκεπτών, πελατών). Περιλαμβάνει συγκεκριμένες διαδικασίες για τη συλλογή, την οργάνωση, την αποθήκευση, τη διαβίβαση και τη διαγραφή κάθε τύπου πληροφορίας, υποχρεώνοντας παράλληλα τις εταιρείες να γνωστοποιούν ξεκάθαρα και με σαφήνεια στους χρήστες ποιος επεξεργάζεται τα δεδομένα τους, ποια δεδομένα επεξεργάζεται και γιατί.

Ο κανονισμός της Ευρωπαϊκής Ένωσης είναι ο ίδιος για όλα τα κράτη-μέλη ενώ αφορά ακόμα και φυσικά ή νομικά πρόσωπα που έχουν έδρα σε άλλη χώρα εκτός της Ένωσης, αρκεί να διαχειρίζονται και να επεξεργάζονται  προσωπικά δεδομένα πολιτών της Ένωσης – κίνηση που διευκολύνει σε μεγάλο βαθμό τις εταιρείες με διακρατική δραστηριοποίηση καθώς πλέον δεν χρειάζεται να λάβουν υπ’ όψιν τυχόν εθνικές νομοθεσίες αλλά να προσαρμοστούν στον GDPR. Ανάλογα με τον τομέα της, τον βαθμό στον οποίο επεξεργάζεται δεδομένα χρηστών αλλά και τη συχνότητα με την οποία γίνεται αυτό, μία εταιρεία ενδεχομένως να πρέπει να ορίσει ακόμα και συγκεκριμένο άνθρωπο (Υπεύθυνος Προστασίας Δεδομένων, Data Protection Officer ή DPO) που θα είναι ο υπεύθυνος για την τήρηση του GDPR και τη συμμόρφωση με τους κανόνες του.

Τι σημαίνει όμως για τους χρήστες;

Με τον GDPR, οι χρήστες αποκτούν μια σειρά δικαιωμάτων σε ό,τι αφορά τα προσωπικά τους δεδομένα. Με περισσότερους από 250 εκατ. Ευρωπαίους πολίτες να χρησιμοποιούν το διαδίκτυο σε καθημερινή βάση και ολοένα και περισσότερες εταιρείες να βασίζουν τη λειτουργία τους πάνω στα προσωπικά δεδομένα που συλλέγουν καθημερνά, η Ευρωπαϊκή Ένωση θέλησε να τοποθετήσει τους ίδιους τους χρήστες σε θέση ισχύος έναντι των επιχειρήσεων

Βάσει του GDPR λοιπόν, τα φυσικά πρόσωπα στην Ευρωπαϊκή Ένωση δικαιούνται:

• Να γνωρίζουν ξεκάθαρα και κατανοητά ποιος επεξεργάζεται τα δεδομένα τους, για ποια δεδομένα πρόκειται ακριβώς και για ποιον λόγο συμβαίνει αυτό.
• Να υποβάλλουν αίτημα πρόσβασης στα προσωπικά τους δεδομένα που διαθέτει ένας οργανισμός.
• Να ζητούν από έναν πάροχο υπηρεσιών να διαβιβάσει τα προσωπικά τους δεδομένα σε άλλο πάροχο σε περίπτωση αλλαγής του (π.χ. πρόγραμμα κινητής, σύνδεση broadband, υπηρεσίες cloud κλπ).
• Να ζητούν τη διαγραφή προσωπικών δεδομένων αν δεν επιθυμούν αυτά να αποτελούν πλέον αντικείμενο επεξεργασίας και εφ’ όσον υπάρχει λόγος να τα κατέχει νομίμως μία εταιρεία (το λεγόμενο “δικαίωμα στη λήθη”).
• Να δίνουν τη ρητή συγκατάθεσή τους κάθε φορά που εταιρεία ή οργανισμός χρειάζεται να επεξεργαστεί δεδομένα τους, γνωρίζοντας παράλληλα τον τρόπο με τον οποίο θα γίνει η επεξεργασία αυτή.
• Να ενημερωθούν άνευ καθυστέρησης σε περίπτωση που τα δεδομένα τους χαθούν ή κλαπούν –και η παραβίαση αυτή θα μπορούσε να τους βλάψει.
• Να απαιτούν τυχόν πληροφορίες που απευθύνονται σε παιδιά, να είναι εύκολα προσβάσιμες και γραμμένες σε απλή και κατανοητή γλώσσα.

Στην πράξη λοιπόν, όσοι συλλέγουν, επεξεργάζονται και αποθηκεύουν προσωπικά δεδομένα, πρέπει να λειτουργούν με πλήρη διαφάνεια και παράλληλα να είναι σε θέση να αποδείξουν ανά πάσα στιγμή ότι πληρούν τα απαραίτητα στάνταρ ασφαλείας (κρυπτογράφηση, διασφάλιση εμπιστευτικότητας και ακεραιότητας, δυνατότητα άμεσης αποκατάστασης πρόσβασης κλπ).

Φαινόμενα εταιρειών που ζητούν υπερβολικά πολλά δεδομένα για μία υπηρεσία (π.χ. αριθμός κινητού τηλεφώνου για παροχή δωρεάν Wi-Fi) ή επιχειρήσεων που αποστέλλουν μαζικά ενημερωτικά/προωθητικά emails  σε χρήστες που ουδέποτε έδωσαν τη συγκατάθεσή τους θα εκλείψουν αναγκαστικά, σε διαφορετική περίπτωση αυτές θα έρθουν αντιμέτωπες με ιδιαιτέρως υψηλά πρόστιμα –κρατήστε το αυτό το τελευταίο, θα επανέλθουμε.

Τι πρέπει να γνωρίζουν developers και webmasters;

Όπως αναφέραμε, ο GDPR αφορά όλα τα φυσικά ή νομικά πρόσωπα που συλλέγουν και διαχειρίζονται προσωπικά δεδομένα χρηστών, όσο μεγάλα ή μικρά κι αν είναι αυτά. Με αυτό κατά νου, κάθε ιστοσελίδα θα πρέπει να λάβει τα μέτρα της, αλλάζοντας συγκεκριμένες διαδικασίες και προσθέτοντας επιπλέον λειτουργίες –δίνοντας έτσι μεγαλύτερη ελευθερία στους χρήστες/επισκέπτες της- ώστε να μη βρεθεί προ εκπλήξεως.

Μια λίστα βασικών βελτιώσεων/προσθηκών, θα μπορούσε να συνοψιστεί στα κάτωθι:

•  Οι χρήστες θα πρέπει να έχουν το δικαίωμα να διαγράψουν άπαξ διά παντός το προφίλ τους με όλα τα προσωπικά τους δεδομένα εφ’ όσον το επιθυμούν.
•  Η λίστα χρηστών/μελών μίας σελίδας δεν θα πρέπει να είναι προσβάσιμη από τους εργαζόμενους στην ιδιοκτήτρια εταιρεία μέσω του CMS.
•  Οι χρήστες θα πρέπει να έχουν τη δυνατότητα να προβάλλουν μέσα από το περιβάλλον της ιστοσελίδας που βρίσκονται, όλα τα δεδομένα που έχει γι’ αυτούς εκείνη. 
•  Η διαγραφή προσωπικών δεδομένων από μία σελίδα, θα πρέπει να ακολουθείται από την ίδια διαδικασία σε κάθε site που έχει πάρει τα δεδομένα αυτά από την εν λόγω σελίδα.
•  Ύπαρξη πλαισίων ελέγχου (checkboxes) αποδοχής για κάθε επεξεργασία δεδομένων που λαμβάνει χώρα –το γενικό «αποδέχομαι τους όρους και τις προϋποθέσεις» δεν αρκεί πλέον. Για τις περιπτώσεις που ο χρήστης έχει αποδεχθεί απλώς όρους και προϋποθέσεις, πρέπει να εξασφαλιστεί η συγκατάθεσή του εκ νέου.
•  Οι χρήστες θα πρέπει να έχουν τη δυνατότητα να τροποποιήσουν το προφίλ τους και καθετί περιλαμβάνει αυτό.
•  Τα δεδομένα δεν θα πρέπει να φυλάσσονται για μεγαλύτερο χρονικό διάστημα απ’ ό,τι απαιτείται.
•  Δεν θα πρέπει να ζητούνται παραπάνω δεδομένα από όσα είναι απαραίτητα για τη λειτουργία της κάθε ιστοσελίδας και την προσφορά των υπηρεσιών της.
•  Στις περιπτώσεις που ο χρήστης είναι κάτω των 16 ετών, μία ιστοσελίδα θα πρέπει να βρει τον τρόπο να επικοινωνήσει με τον γονέα/κηδεμόνα του και να πάρει την συγκατάθεσή του (κάτι το οποίο βέβαια μπορεί εύκολα να παρακαμφθεί από πλευράς χρήστη όμως σε κάθε περίπτωση ένα site είναι υποχρεωμένο να το κάνει).

Επιπρόσθετα, μία εταιρεία θα πρέπει να διασφαλίσει ότι τα δεδομένα που διαβιβάζει ή/και κρατά αποθηκευμένα, καθώς επίσης και τα αντίγραφα ασφαλείας της, είναι επαρκώς κωδικοποιημένα. Θα πρέπει να υιοθετήσει μεθόδους ψευδωνυμοποίησης και να γνωρίζει ανά πάσα στιγμή σε ποιες περιπτώσεις ζητά από τους χρήστες/πελάτες της τη συγκατάθεσή τους. Κάθε προσπάθεια προσπέλασης δεδομένων χρηστών θα πρέπει να καταγράφεται ενώ θα πρέπει να αποφεύγεται η ανώνυμη πρόσβαση API σε αυτά.

Γενικότερα, οι ιστοσελίδες οφείλουν να γνωστοποιούν στους χρήστες κάθε επεξεργασία των πληροφοριών τους ενώ είναι υπεύθυνες για τους τρίτους στους οποίους γνωστοποιούν τα δεδομένα που έχουν στη διάθεσή τους. Εδώ, θα πρέπει να αναφέρουμε ότι παρά τα όσα γράφονται, το πρότυπο ISO 27001:2013 δεν εξασφαλίζει πλήρη τήρηση του GDPR. Βρίσκεται μεν πολύ κοντά στα όσα απαιτεί ο κανόνας όμως σε καμία περίπτωση δεν τον υποκαθιστά –παρ’ όλα αυτά είναι ένα πολύ καλό πρώτο βήμα.

Κάτι λέγαμε για πρόστιμα;

Σχετικά με τον GDPR, αξίζει να  διευκρινιστεί πως πρόκειται για κανονισμό και όχι οδηγία –όπως αυτή του 1995 που στην ουσία αντικαθιστά. Επί του πρακτέου, αυτό σημαίνει πως ό,τι αναφέρει, εφαρμόζεται άμεσα (από τις 25 Μαΐου) σε όλα τα κράτη-μέλη της Ευρωπαϊκής Ένωσης χωρίς την ανάγκη για επιπλέον τοπικές νομοθετικές πράξεις. Στα της ελληνικής πραγματικότητας, απομένει η ψήφιση του σχεδίου νόμου που ρυθμίζει τις –νέες- αρμοδιότητες της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία και είναι υπεύθυνη για την εξέταση των καταγγελιών, την επιδίκαση, την επιβολή και την είσπραξη των προστίμων. Ακόμη όμως και αν δεν έχει προλάβει να τεθεί σε εφαρμογή τέτοιος νόμος (ο οποίος είναι ήδη στο στάδιο της δημόσιας διαβούλευσης), ο GDPR θα έχει άμεση εφαρμογή άνευ ετέρου.

Σε ό,τι αφορά τα πρόστιμα, το ύψος τους για τα πιο σοβαρά αδικήματα μπορεί να φτάσει ακόμα και τα 20€ εκατ. ή το 4% του παγκόσμιου κύκλου εργασιών μίας εταιρείας για το προηγούμενο οικονομικό έτος –όποιο από τα δύο είναι υψηλότερο. Όπως εύκολα αντιλαμβάνεται κανείς, η ζημιά για μία “απρόσεχτη” εταιρεία μπορεί να είναι τεράστια και όταν μέσα σε λίγους μήνες θα αρχίσουν να πληθαίνουν οι έλεγχοι και οι προειδοποιήσεις, καθώς επίσης να επιβάλλονται και να δημοσιοποιούνται –αναπόφευκτα- τα πρώτα πρόστιμα, πολύ δύσκολα κάποιος θα εξακολουθήσει να “κωφεύει” μπροστά στις απαιτήσεις του GDPR.

Εν κατακλείδι

Στην εποχή που τα προσωπικά δεδομένα μας κυκλοφορούν ελεύθερα στο διαδίκτυο, το γεγονός ότι η Ευρωπαϊκή Ένωση έρχεται να αντικαταστήσει κεντρικά μία παρωχημένη οδηγία με έναν κανονισμό, είναι αν μη τι άλλο θετικό. Με το ίντερνετ να αποτελεί ένα μέσο του οποίου ο ρόλος συνεχώς ενισχύεται, οι χρήστες πρέπει να νιώσουν σίγουροι για τις πληροφορίες που μοιράζονται με εταιρείες, φορείς και οργανισμούς. Η έρευνα του Ευρωβαρόμετρου 2015, κατέδειξε ότι 8 στους 10 Ευρωπαίοι νιώθουν ότι δεν έχουν τον πλήρη έλεγχο των δεδομένων προσωπικού χαρακτήρα που τους αφορούν και αυτό είναι κάτι που ο GDPR επιδιώκει να αλλάξει συν τω χρόνω.

Προς το παρόν έχουμε μπει στην τελική ευθεία πριν την υποχρεωτική εφαρμογή του GDPR στις 25 Μαΐου, με σημαντικό αριθμό εταιρειών να έχουν αναθεωρήσει τις μεθόδους συλλογής, επεξεργασίας και αποθήκευσης προσωπικών δεδομένων –θυμηθείτε ότι αφορά και οντότητες που δεν είναι εγκατεστημένες στην Ευρωπαϊκή Ένωση, εφ’ όσον προσφέρουν προϊόντα/υπηρεσίες σε άτομα εντός της Ένωσης. Το μόνο βέβαιο είναι πως ο GDPR έχει πολλά κεφάλαια ακόμα, καθώς  αναμένεται να εμπλουτιστεί με ακόμα περισσότερους και συγκεκριμένους κανόνες για την αποτελεσματικότερη προστασία των προσωπικών δεδομένων των φυσικών προσώπων στην Ευρωπαϊκή Ένωση.

Το παρόν αποτελεί ένα πρώτο άρθρο του Insomnia που είναι αφιερωμένο στο GDPR και σύντομα θα επανέλθουμε με νεώτερα και πιο συγκεκριμένα παραδείγματα.