Μια νέα πρόκληση για τις επιχειρήσεις.
Ο κανονισμός γενικής προστασίας δεδομένων (GDPR) που ψηφίστηκε από το ευρωκοινοβούλιο το 2016 με έναρξη εφαρμογής την 25η Μαΐου 2018, αντικαθιστά την υφιστάμενη Ευρωπαϊκή οδηγία του EK/46/1995 για την προστασία των προσωπικών δεδομένων. Μια βασική διαφορά με την υφιστάμενη νομοθεσία είναι ότι πρόκειται για κανονισμό και όχι οδηγία, που σημαίνει ότι έχει άμεση εφαρμογή στα Κράτη μέλη της ΕΕ, χωρίς να είναι απαραίτητη η κατάρτιση τοπικών νομοθετικών πράξεων (άρθρο 83).
Βασικό χαρακτηριστικό του κανονισμού είναι η προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, ειδικότερα η προστασία των δεδομένων προσωπικού χαρακτήρα (άρθρο 1).
Ο κανονισμός ορίζει ένα νέο πλαίσιο στο τρόπο που η εταιρία διαχειρίζεται προσωπικά δεδομένα των πελατών της, καθορίζοντας με σαφήνεια αφενός τα δικαιώματα των φυσικών προσώπων (άρθρα 12-22), και αφετέρου τη σχεδίαση των πληροφοριακών συστημάτων των εταιρειών με γνώμονα την εξ ορισμού προστασία των προσωπικών δεδομένων των φυσικών προσώπων (άρθρο 25).
Για παράδειγμα, οι όροι και οι προϋποθέσεις συγκατάθεσης ενός φυσικού προσώπου για επεξεργασία των προσωπικών δεδομένων του, πρέπει να είναι πλέον σε απλή κατανοητή γλώσσα, να διατυπώνονται με σαφήνεια, ενώ παράλληλα υπάρχει η δυνατότητα ανάκλησης της συγκατάθεσης αυτής (Άρθρο 7). Πρακτικά αυτό σημάνει ότι το φυσικό πρόσωπο θα πρέπει να έχει επίγνωση ότι συγκατατίθεται και σε τι συγκατατίθεται και σε καμία περίπτωση δεν μπορεί να είναι με χρήση προσυμπληρωμένων πεδίων ή να τίθεται ως προϋπόθεση για την εκτέλεση σύμβασης ή της παροχής μιας υπηρεσίας. Οι όροι συγκατάθεσης γίνονταν ακόμα ποιο αυστηροί αν η επεξεργασία αφορά παιδιά (άρθρο 8).
Αναλύοντας ένα προς ένα τα άρθρα του νέου κανονισμού γίνεται αντιληπτό ότι τα ψηφιακά δεδομένα μια εταιρίας αποτελούν πλέον το νέο περιουσιακό της στοιχείο όπως πολύτιμα και άξια προστασίας είναι για τους πολίτες τα προσωπικά τους δεδομένα. Μένει να δούμε αν ο κανονισμός μπορεί να ισορροπήσει ανάμεσα τους, αφήνοντας ζωτικό χώρο για το επιχειρείν προστατεύοντας παράλληλα τους πολίτες της Ευρωπαϊκής Ένωσης.
Ποιους αφορά και τι πρέπει να κάνουν οι επιχειρήσεις .
Ο κανονισμός και η ανάγκη συμμόρφωσης αφορά οποιαδήποτε ιδιωτική ή δημόσια επιχειρήση, που με οποιοδήποτε τρόπο διαχειρίζεται δεδομένα προσωπικού χαρακτήρα εργαζομένων (π.χ μισθοδοσία, ωράρια κλπ), πελατών (τιμολόγια, αποδείξεις παροχής υπηρεσίας, κλπ), πελατών των πελατών τους, συνεργατών – προμηθευτών τους ή άλλων φυσικών προσώπων.
Δηλαδή ο κανονισμός αφορά επι της ουσίας όλες τις επιχειρήσεις, εντός και εκτός Ευρωπαϊκής Ένωσης, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες.
Κάθε επιχείρηση / οργανισμός θα πρέπει:
1. Να προσδιορίσει αν διατηρεί αρχείο (φυσικό ή ηλεκτρονικό) με δεδομένα προσωπικού χαρακτήρα. Σε τέτοια περίπτωση θα πρέπει απαρέγκλιτα να συμμορφωθεί με τον κανονισμό
2. Να προσδιορίσει τη φύση των δεδομένων, να τα κατηγοριοποιήσει, να τεκμηριώσει το σκοπό συλλογής τους καθώς και το χρόνο και τον τρόπο αποθήκευσης τους.
3. Να ελέγξει, κάνοντας χρήση του κανονισμού, τη νομιμότητα σε ότι αφορά την επεξεργασία των δεδομένων στην οποία προβαίνει.
4. Να συμμορφωθεί με τις βασικές αρχές του κανονισμού και να σχεδιάσει διαδικασίες που αφορούν τα δικαιώματα των ατόμων για τα οποία φυλάσσουν δεδομένα (υποκείμενα των δεδομένων).
5. Τέλος, αποτελεί ευθύνη κάθε επιχείρησης / οργανισμού να αποδεικνύει, εάν χρειαστεί, τη συμμόρφωση της με τον κανονισμό .
Προσφυγές, ευθύνη και κυρώσεις.
Ο κανονισμός ορίζει (άρθρα 77-84) μια σειρά από διοικητικά πρόστιμα που η εποπτική αρχή μπορεί να επιβάλει σε περίπτωση που υπάρχει παράβαση ή μη συμμόρφωση στα άρθρα του. Παράλληλα, κάθε φυσικό πρόσωπο μπορεί να αξιώσει αποζημίωση (άρθρο 82) αν υποστεί υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του κανονισμού.
Ο νέος κανονισμός ορίζει ως μέγιστο πρόστιμο σε περίπτωση παραβίασης του το ποσό των 20 εκατ. € ή το 4% του συνολικού ετήσιου κύκλου εργασιών της επιχείρησης. Μένει να δούμε πως θα διαμορφωθούν τα παραπάνω πρόστιμα στην Ελλάδα και ποια θα είναι η αναλογικότητά τους ανάλογα με την παράβαση.
Παρόλα αυτά, ο νέος κανονισμός δίνει (άρθρο 82) τις βασικές κατευθυντήριες γραμμές για την αναγκαία πλέον συμμόρφωση στα άρθρα του. Η επιβολή και το ύψος κάθε διοικητικού προστίμου καθώς και οι αξιώσεις για αποζημίωση κάθε φυσικού προσώπου θα είναι συνάρτηση της βαρύτητας και της διάρκειας της παράβασης, της φύσης, της αμέλειας και γενικότερα θα αξιολογείται αν η εταιρία έχει λάβει όλα εκείνα τα απαραίτητα μέτρα για τη συμμόρφωση με τον κανονισμό καθώς επίσης αν έχει αναπτύξει πολιτικές και διαδικασίες για την ασφάλεια των πληροφοριακών της συστημάτων.
Αντί επιλόγου.
Ο κανονισμός θέτει νέα δεδομένα στο επιχειρείν προσπαθώντας να τυποποιήσει τις διαδικασίες προστασίας προσωπικών δεδομένων. Οι πολίτες θα πρέπει να αισθάνονται σιγουριά κάθε φορά που δίδουν τα προσωπικά τους δεδομένα ή είναι online, αξιοποιώντας τις νέες τεχνολογίες προς όφελός τους.
Η σχέση εμπιστοσύνης που προσπαθεί να θεμελιώσει ο κανονισμός μεταξύ επιχείρησης και πελάτη σίγουρα θα αποτελέσει μοχλό καινοτομίας, και γιατί όχι ανάπτυξης, προσδίδοντας μια προστιθέμενη αξία σε κάθε επιχείρηση που σέβεται τα προσωπικά δεδομένα των πελατών της και λαμβάνει όλα τα απαραίτητα μέτρα ασφάλειας στα πληροφοριακά της συστήματα.
Η συμμόρφωση της εταιρείας στον κανονισμό αποτελεί πλέον μονόδρομο καθώς θωρακίζει την επιχείρηση από πιθανή απώλεια δεδομένων και μη εξουσιοδοτημένη πρόσβαση στα πληροφοριακά της συστήματα, μειώνοντας τις πιθανές οικονομικές ζημίες που μπορούν να προκληθούν.
Παράλληλα όμως αναβαθμίζεται γενικότερα το προφίλ κάθε επιχείρησης που συμμορφώνεται στον κανονισμό αποδεικνύοντας με έμπρακτο τρόπο ότι σέβεται τα προσωπικά δεδομένα των πελατών της και επομένως αποκτά ένα ακόμα συγκριτικό πλεονέκτημα. Τέλος, εξασφαλίζει την επιχειρησιακή συνέχεια μειώνοντας τις πιθανότητες εκδήλωσης λειτουργικών κρίσεων μέσα στην επιχείρηση. Άλλωστε έχει αποδειχθεί ότι η βιωσιμότητα μιας επιχείρησης συνδέεται άμεσα με την ασφάλεια των πληροφοριακών της συστημάτων.
Βιβλιογραφία.
1. Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων).
2. NetWeek 2017, Special Edition, leading the digital business revolution: A practical guide to GDPR.
- Ο Δρ. Δερμιτζάκης Εμμ. Ελευθέριος είναι απόφοιτος του τμήματος Επιστήμης Υπολογιστών (Παν/μιο Κρήτης) με μεταπτυχιακή ειδίκευση στην επιχειρησιακή έρευνα και διδακτορικό στα συστήματα παραγωγής (Πολυτεχνείο Κρήτης).