ΔΗΜΟΣΙΕΥΜΑΤΑ

Σε αναβρασμό οι εταιρείες λόγω του κανονισμού GDPR

Του Δημήτρη Δελεβέγκου Capital.gr

Σε πανικό βρίσκονται, αυτό το διάστημα, οι επιχειρήσεις, όχι μόνο στην Ελλάδα, αλλά και στις περισσότερες χώρες της Ευρωπαϊκής Ένωσης, καθώς την Παρασκευή 25 Μαΐου εκπνέει η προθεσμία για τη συμμόρφωση με τον ευρωπαϊκό κανονισμό για την Προστασία των Δεδομένων (General Data Protection Regulation (GDPR). Αυτό σημαίνει πως για οποιουδήποτε είδους προσωπικά δεδομένα διαθέτουν, από διευθύνσεις ηλεκτρονικού ταχυδρομείου (e-mails) έως βιομετρικά δεδομένα, θα πρέπει, καταρχάς, να εξασφαλίσουν τη συγκατάθεση των ατόμων που αυτά αφορούν.

Ταυτόχρονα, θα πρέπει να καθιερώσουν μηχανισμούς προστασίας από μη εξουσιοδοτημένη πρόσβαση στα δεδομένα αυτά (π.χ. μέσω κρυπτογράφησης, ενώ θα πρέπει να εξασφαλίζεται, μεταξύ άλλων, το δικαίωμα στη λήθη. Θα πρέπει, δηλαδή, τα άτομα να έχουν τη δυνατότητα να διαγράφουν τα προσωπικά δεδομένα τους. H συμμόρφωση των επιχειρήσεων με τον κανονισμό GDPR έχει κόστος αρκετών χιλιάδων ευρώ. Και για ενδεχόμενη παραβίαση δεδομένων που συνδέεται με την μη συμμόρφωση με τον κανονισμό προβλέπεται πρόστιμο έως 20 εκατ. ευρώ ή το 4% του συνολικού ετήσιου τζίρου.

Τεράστιος ο όγκος δουλειάς

Όπως αναφέρουν παράγοντες της αγοράς, ο φόρτος εργασίας είναι πολύ μεγάλος, με τις εταιρείες να πρέπει να προχωρήσουν στη χαρτογράφηση των προσωπικών δεδομένων που διατηρούν. Αλλά και στην προστασία των δεδομένων μέσω της χρήσης ειδικών λογισμικών, προγραμμάτων κρυπτογράφησης και της ασφάλειας των κωδικών πρόσβασης.

Όπως αναφέρει ο δικηγόρος Νίκος Σιαμάκης, οι εταιρείες θα πρέπει να διασφαλίσουν ότι έχουν λάβει τα προσωπικά δεδομένα σύμφωνα με μία νομική βάση. Αυτή μπορεί να περιλαμβάνει, μεταξύ άλλων, τη λήψη συγκατάθεσης από τα υποκείμενα των δεδομένων ή την επεξεργασία βάσει συμβάσεων.

Το κόστος για τη συμμόρφωση με τον ευρωπαϊκό κανονισμό είναι σε συνάρτηση με το μέγεθος μίας εταιρείας και κυμαίνεται από 2.000 ευρώ έως 20.000 ευρώ.

Χάνεται η προθεσμία

Και μπορεί οι περισσότερες εταιρείες να επιταχύνουν τις διαδικασίες ενόψει της 25ης Μαΐου, αλλά δεν είναι βέβαιο εάν η Ελλάδα θα συμμορφωθεί έγκαιρα επειδή δεν έχει ενσωματώσει τον κανονισμό GDPR στην εθνική νομοθεσία. Το ίδιο βέβαια, συμβαίνει σε άλλα επτά κράτη-μέλη (Βέλγιο, Βουλγαρία, Κύπρος, Τσεχία, Ουγγαρία, Λιθουανία και Σλοβενία), την στιγμή που διέθεταν περίπου δύο χρόνια για να θεσπίσουν τα αναγκαία νομοθετήματα. Αυτό πρακτικά σημαίνει, ότι ωσότου ενσωματωθεί στην εθνική νομοθεσία ο κανονισμός, δεν θα είναι δυνατή η επιβολή ποινών για μη συμμόρφωση με τον ευρωπαϊκό κανονισμό από την Αρχή Προστασία Προσωπικών Δεδομένων.

Γι’ αυτό, όπως ανέφερε, πρόσφατα, η Ευρωπαία Επίτροπος Δικαιοσύνης Vera Jourova δεν αποκλείεται να υπάρξει προσφυγή της Κομισιόν στο Ευρωπαϊκό Δικαστήριο κατά των κρατών -μελών που δεν έχουν ενσωματώσει τον κανονισμό στην εθνική νομοθεσία.

Πάντως, μετά τις 25 Μαΐου, οι συνθήκες θα δυσκολέψουν για σειρά εταιρειών που παρέχουν υπηρεσίες τηλεφωνικών πωλήσεων, προώθησης προϊόντων και απαίτησης οφειλών.

“Πολλές από τις επιχειρήσεις αυτής της κατηγορίας, που λειτουργούσαν, ήδη, στα όρια της νομιμότητας, θα πρέπει να εξασφαλίσουν τη συγκατάθεση των ατόμων των οποίων τα προσωπικά δεδομένα επεξεργάζονται. Ειδάλλως, θα υπόκεινται στην επιβολή προστίμων ύστερα από καταγγελία στην Αρχή Προστασίας Προσωπικών Δεδομένων” εξηγεί ο κ. Σιαμάκης.

Αλλά και για εταιρείες που δραστηριοποιούνται στο Blockchain εκτιμάται ότι οι συνθήκες θα καταστούν δυσκολότερες. Είναι χαρακτηριστικό ότι η εταιρεία Parity ICO Passport Service (PICOPS) έχει ανακοινώσει ότι θα διακόψει την λειτουργία της από τις 24 Μαΐου, αδυνατώντας να συμμορφωθεί στο κανονισμό για τα προσωπικά δεδομένα.

Τι προβλέπει ο κανονισμός GDPR

Στα δεδομένα που αφορά ο κανονισμός (GDPR) συγκαταλέγονται τα προσωπικά, όπως όνομα, διεύθυνση, e-mail, τηλέφωνο και ενδιαφέροντα και τα ευαίσθητα, όπως το φύλο, η υγεία, οι προτιμήσεις, οι συνδικαλιστικές πεποιθήσεις, το ποινικό ιστορικό και το εισόδημα. Όπως και αυτά που σχετίζονται με την κοινωνική ταυτότητα και είναι γενετικού, οικονομικού και πολιτισμικού χαρακτήρα.

Η συγκεκριμένη ρύθμιση προβλέπει ότι η επεξεργασία των εν λόγω δεδομένων θα πρέπει να διέπεται από συγκεκριμένες αρχές, όπως της  νομιμότητας, της αντικειμενικότητας και διαφάνειας, του περιορισμού της περιόδου αποθήκευσης, της ακεραιότητα και εμπιστευτικότητα και της λογοδοσίας.

Ως εκ τούτου, οι εταιρείες θα πρέπει να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα με θεμιτό και διαφανή τρόπο και να τα συλλέγουν για συγκεκριμένους, καθορισμένους, ρητούς και νόμιμους σκοπούς, χωρίς να τα επεξεργάζονται για άλλους σκοπούς. Επιπλέον, οφείλουν, βάσει του κανονισμού, να συλλέγουν και να επεξεργάζονται μόνο τα συναφή και αναγκαία δεδομένα προσωπικού χαρακτήρα για κάθε περίπτωση και να είναι σε θέση να διαγράψουν ή να διορθώσουν ανακριβή δεδομένα προσωπικού χαρακτήρα.

Θα πρέπει, ακόμη, να διατηρούν τα δεδομένα μόνο για το απολύτως αναγκαίο διάστημα και να λαμβάνουν τα κατάλληλα τεχνικά ή οργανωτικά μέτρα, ώστε η επεξεργασία τους να εγγυάται την ασφάλειά τους από μη εξουσιοδοτημένες ή παράνομες επεξεργασίες και τυχόν απώλειες, καταστροφές ή φθορές.

Στο πλαίσιο αυτό, οι επιχειρήσεις θα πρέπει να είναι σε θέση να αποδείξουν ότι το υποκείμενο έδωσε τη συγκατάθεσή του στην επεξεργασία των δεδομένων του. Ταυτόχρονα, το αίτημα για συγκατάθεση θα πρέπει να υποβάλλεται σε κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή διατύπωση, ενώ το υποκείμενο θα πρέπει να ενημερώνεται ότι έχει το δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Θα πρέπει να διευκρινίσουμε ότι η ανάκληση της συγκατάθεσης θα πρέπει να είναι εξίσου εύκολη με την παροχή της.

Με στόχο την εναρμόνισή τους με τον κανονισμό, οι επιχειρήσεις θα πρέπει, μεταξύ άλλων, να ενημερώνουν για το λόγο για τον οποίο ζητούν τα δεδομένα, για το χρονικό διάστημα που θα τα διακρατήσουν και για το ποιοι θα έχουν πρόσβαση σε αυτά. Όπως και να προχωρούν στη διαμόρφωση ηλεκτρονικών σελίδων, ώστε τα υποκείμενα να έχουν πρόσβαση στα δεδομένα τους.

dimitris.delevegos@capital.gr