Η κακή διαχείριση και κάθε παραβίαση του Κανονισμού θα τιμωρείται με την υψηλότερη βαθμίδα κυρώσεων βάσει του GDPR
Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων 679/2016 (General Data Protection Regulation, εφεξής GDPR ή ο Κανονισμός) έχει ως στόχο να προσφέρει στους πολίτες της Ευρωπαϊκής Ένωσης (Ε.Ε.) μια ενιαία και εναρμονισμένη προσέγγιση όσον αφορά την προστασία της ιδιωτικής ζωής στην Ε.Ε. και παντού στον κόσμο, όπου πραγματοποιείται επεξεργασία αυτών των δεδομένων.
Επιδιώκει να ενισχύσει τα δικαιώματα των πολιτών για την προστασία των δεδομένων τους, όπως ορίζεται στο άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ε.Ε. Μετά από σχεδόν τέσσερα χρόνια συζήτησης, ο GDPR εγκρίθηκε από το Κοινοβούλιο της Ε.Ε. στις 14 Απριλίου 2016. Αν και το πλαίσιο άρχισε να ισχύει μόλις είκοσι (20) ημέρες μετά την ως άνω ημερομηνία έγκρισης, η ημερομηνία υποχρεωτικής εφαρμογής του GDPR καθορίστηκε στις 25 Μαΐου 2018.
Η κακή διαχείριση και κάθε παραβίαση του Κανονισμού θα τιμωρείται με την υψηλότερη βαθμίδα κυρώσεων βάσει του GDPR.
Οι κυρώσεις και τα πρόστιμα μπορούν να φθάσουν το 4% του συνολικού κύκλου εργασιών της εταιρείας που βρίσκεται σε παραβίαση ή 20 εκατομμύρια ευρώ (όποιο ποσό είναι μεγαλύτερο όπως αναφέρεται).
Η λογική πίσω από τα τεράστια πρόστιμα που αφορούν την νομοθεσία είναι αρκετά απλή: οι υψηλότερες κυρώσεις για τη μη συμμόρφωση θεωρούνται ότι οδηγούν σε υψηλότερα επίπεδα συμμόρφωσης.
Οι κυρώσεις στο πλαίσιο του GDPR θα εμπίπτουν σε δύο κατηγορίες όσον αφορά το ύψος του προστίμου:
- Μέχρι 2% του ετήσιου παγκόσμιου κύκλου εργασιών ή 10 εκατ. Ευρώ, όποιο είναι υψηλότερο, για παραβάσεις σε περιπτώσεις όπου:
1. Υπάρχει αδυναμία αναφοράς παραβίασης δεδομένων
2. Υπάρχει παραβίαση της αρχής του απορρήτου βάσει του σχεδιασμού, όπως ορίζεται στο άρθρο 25 του GDPR
3. Υπάρχει αδυναμία διορισμού αντιπροσώπου (όταν η οντότητα είναι εγκατεστημένη εκτός της ΕΕ)
4. Υπάρχει αδυναμία λήψης συγκατάθεσης κατά την επεξεργασία των δεδομένων παιδιών
5. Υπάρχει αδυναμία θέσπισης κατάλληλων ρητρών προστασίας δεδομένων στις συμβάσεις με τους πελάτες ή προμηθευτές
6. Υπάρχει αδυναμία ορισμού υπευθύνου προστασίας δεδομένων (DPO)
7. Υπάρχει αδυναμία διατήρησης γραπτών αρχείων
- Μέχρι 4% του ετήσιου παγκόσμιου κύκλου εργασιών ή 20 εκατ. Ευρώ, όποιο είναι υψηλότερο, για πιο σοβαρά αδικήματα όπως:
τη μη συμμόρφωση με τις αρχές της νόμιμης επεξεργασίας δεδομένων όπως ορίζονται στο GDPR τη μη τήρηση των διατάξεων σχετικά με τις μεταφορές δεδομένων προσωπικού χαρακτήρα εκτός της ΕΕ o τη μη συμμόρφωση με τα δικαιώματα των υποκειμένων των δεδομένων.
Οι ως άνω κυρώσεις συνοδεύονται από πρόσθετες εξουσίες που είναι εύκολα προσπελάσιμες από τις εποπτικές αρχές προστασίας δεδομένων, όπως η έκδοση προειδοποιήσεων για μη συμμόρφωση, η διενέργεια ελέγχων, η απαιτούμενη ειδική αποκατάσταση εντός συγκεκριμένου χρονικού πλαισίου, η παραγγελία διαγραφής δεδομένων και αναστολή της μεταφοράς δεδομένων σε τρίτη χώρα.
Σημειώνεται ότι στα πρόστιμα αντιστοιχούν και αυστηρές ποινικές κυρώσεις για τη Διοίκηση των Επιχειρήσεων ή των Οργανισμών που δε συμμορφώνονται.
H σύγχρονη επιχείρηση διατηρεί και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα τόσο εντός πληροφοριακών συστημάτων αλλά και εκτός, καθώς και πληροφορίες (σε ηλεκτρονικά ή / και φυσικά αρχεία), τα οποία μπορούν να ταυτοποιήσουν φυσικά πρόσωπα: εργαζομένους, συνεργάτες, προμηθευτές κ.ά.
Επιπροσθέτως, οι σύγχρονοι τρόποι ηλεκτρονικής διεκπεραίωσης των εγγράφων έχουν ως αποτέλεσμα την δραματική αύξηση των δεδομένων που υφίστανται επεξεργασία, αλλά και συντηρούνται στην υπολογιστική υποδομή της επιχείρησης, ενώ, είναι δεδομένο ότι οι διαδικασίες επεξεργασίας των δεδομένων δεν είναι πάντοτε ηλεκτρονικές, καθώς γίνεται και χρήση πρωτότυπων εγγράφων χωρίς να ακολουθείται και να τηρείται πλήρως μια διαδικασία προστασίας των ευαίσθητων προσωπικών δεδομένων που αυτά τυχόν περιέχουν.
Τα ανωτέρω καθιστούν κάθε επιχείρηση ευάλωτη σε σχέση με τις απαιτήσεις του Κανονισμού. Για τη λειτουργία μιας επιχείρησης σε συμμόρφωση με τον Κανονισμό απαιτούνται μια σειρά από ενέργειες και μέτρα, που κατ’ ελάχιστο θα πρέπει να υλοποιηθούν. Αυτά είναι (ενδεικτικώς):
- Διεξαγωγή αξιολογήσεων επιπτώσεων για τα υποκείμενα των δεδομένων
- Διατήρηση της κατάλληλης ασφάλειας των δεδομένων
- Υιοθέτηση μέτρων προστασίας για τις μεταφορές δεδομένων
- Υλοποίηση προστασίας της ιδιωτικότητας “εξ’ ορισμού” και “από το σχεδιασμό”
- Ανάληψη ευθύνης για την ασφάλεια τρίτων
- Λήψη των κατάλληλων συγκαταθέσεων για τη συλλογή δεδομένων και γνωστοποίηση των δραστηριοτήτων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα
- Ορισμός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer).
Προκειμένου να επιτευχθούν τα ανωτέρω, θα πρέπει πρώτα να αξιολογηθεί η υφιστάμενη κατάσταση κάθε επιχείρησης σε σχέση με τον Κανονισμό.
Οι εταιρίες συμβούλων ή τα νομικά γραφεία πρέπει να διαθέτουν την κατάλληλη εμπειρία, μεθοδολογία και επαγγελματική ικανότητα προκειμένου να ανταπεξέλθουν πλήρως, άρτια και ολοκληρωμένα στις απαιτήσεις του οικείου έργου και να συνδράμουν την επιχείρηση στην εκτίμηση της υφιστάμενης κατάστασης αυτής σε σχέση με τον GDPR.
Περαιτέρω, είναι ανάγκη να παρσχεθούν, εκτενώς νομικές συμβουλές και υπηρεσίες σε επιχειρήσεις στο πλαίσιο της επερχόμενης εφαρμογής του νέου Κανονισμού και του νέου νομικού περιβάλλοντος με το οποίο καλούνται να συμμορφωθούν οι επιχειρήσεις.
Πιο συγκεκριμένα:
- Υπηρεσίες Νομικής Αξιολόγησης της υφιστάμενης κατάστασης των επιχειρήσεων σε σχέση με τον Κανονισμό.
- Νομική Εναρμόνιση με τον Κανονισμό.
- Εκπαίδευση των στελεχών της επιχείρησης επί του θεσμικού πλαισίου για τα προσωπικά δεδομένα και τον Κανονισμό.
- Συμβουλευτική νομική υποστήριξη για την αποτελεσματική παρακολούθηση της συμμόρφωσης στο πλαίσιο του Κανονισμού.
Το αντικείμενο του έργου συμμόρφωσης με τον κανονισμό χωρίζεται σε δύο φάσεις τα αναλυτικά βήματα της κάθε μίας είναι τα ακόλουθα:
Α' Φάση
- Ενημέρωση αρμοδίων και δειγματοληπτικές συνεντεύξεις σε υπαλλήλους της επιχείρησης προκειμένου να διαπιστωθεί το επίπεδο εξοικείωσης με τον Κανονισμό και τις απαιτήσεις του.
- Αναγνώριση Δεδομένων που διακινούνται και αποθηκεύονται στην επιχείρηση και αφορούν προσωπικά δεδομένα προσωπικού, συνεργατών και τρίτων.
- Καταγραφή κατηγοριών Δεδομένων.
- Καταγραφή κατηγοριών Υποκειμένων.
- Χαρτογράφηση Ροών Δεδομένων (data flow mapping).
- Καταγραφή υφιστάμενων Διαδικασιών.
- Μελέτη Αποκλίσεων (ελλείψεις έως το κατάλληλο και επιθυμητό – Gap Analysis).
- Σχέδιο Δράσης που θα πρέπει να ακολουθήσει η επιχείρηση με σκοπό τη συμμόρφωση με τον Κανονισμό (Compliance Plan).
Β' Φάση
- Σύνταξη/Τροποποίηση Εταιρικής Πολιτικής έναντι των Υποκειμένων.
- Σύνταξη/Τροποποίηση Πολιτικής Απορρήτου της ιστοσελίδας της επιχείρησης.
- Τροποποίηση διαδικασίας αποστολής newsletters.
- Δημιουργία κατάλληλων εντύπων όπως λ.χ. Subject access request (form-page) και πρωτοκόλλων διακίνησης ή και καταστροφής αρχείων
- Τροποποίηση συμβάσεων με εργαζόμενους σε σχέση με τις σχετικές ρήτρες προστασίας δεδομένων και την εισαγωγή των απαραίτητων ρητρών προστασίας δεδομένων για τον περιορισμό του κινδύνου παραβίασης.
- Τροποποίηση συμβάσεων με τρίτα μέρη, τα οποία διαχειρίζονται προσωπικά δεδομένα πελατών/ προμηθευτών/ υπαλλήλων.
- Εκπαίδευση Στελεχών και μεταφορά κατάλληλης νομικής γνώσης σε συγκεκριμένο αριθμό στελεχών για την αρχική εξοικείωση τους με τις νέες διαδικασίες.
- Διορισμός Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer).
Κατά τη λήξη της πρώτης φάσης του έργου θα πρέπει να υποβάλλεται ΠΟΡΙΣΜΑ ΝΟΜΙΚΗΣ ΑΞΙΟΛΟΓΗΣΗΣ, το οποίο θα περιλαμβάνει τόσο τα βασικά συμπεράσματα της αξιολόγησης αυτής, όσο και «συστάσεις» και «κατευθύνσεις» προς την εταιρεία για την εναρμόνισή της με το Νέο Κανονισμό. Κατά τη λήξη της δεύτερης φάσης του έργου θα πρέπει να υποβάλλεται ΤΕΛΙΚΗ ΕΚΘΕΣΗ ΝΟΜΙΚΟΥ ΕΛΕΓΧΟΥ- ΥΛΟΠΟΙΗΣΗΣ ΕΡΓΟΥ.
Δημήτρης Κ. Καμμένος
Αντιπρόεδρος της Βουλής των Ελλήνων
www.bankingnews.gr
Επιδιώκει να ενισχύσει τα δικαιώματα των πολιτών για την προστασία των δεδομένων τους, όπως ορίζεται στο άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ε.Ε. Μετά από σχεδόν τέσσερα χρόνια συζήτησης, ο GDPR εγκρίθηκε από το Κοινοβούλιο της Ε.Ε. στις 14 Απριλίου 2016. Αν και το πλαίσιο άρχισε να ισχύει μόλις είκοσι (20) ημέρες μετά την ως άνω ημερομηνία έγκρισης, η ημερομηνία υποχρεωτικής εφαρμογής του GDPR καθορίστηκε στις 25 Μαΐου 2018.
Η κακή διαχείριση και κάθε παραβίαση του Κανονισμού θα τιμωρείται με την υψηλότερη βαθμίδα κυρώσεων βάσει του GDPR.
Οι κυρώσεις και τα πρόστιμα μπορούν να φθάσουν το 4% του συνολικού κύκλου εργασιών της εταιρείας που βρίσκεται σε παραβίαση ή 20 εκατομμύρια ευρώ (όποιο ποσό είναι μεγαλύτερο όπως αναφέρεται).
Η λογική πίσω από τα τεράστια πρόστιμα που αφορούν την νομοθεσία είναι αρκετά απλή: οι υψηλότερες κυρώσεις για τη μη συμμόρφωση θεωρούνται ότι οδηγούν σε υψηλότερα επίπεδα συμμόρφωσης.
Οι κυρώσεις στο πλαίσιο του GDPR θα εμπίπτουν σε δύο κατηγορίες όσον αφορά το ύψος του προστίμου:
- Μέχρι 2% του ετήσιου παγκόσμιου κύκλου εργασιών ή 10 εκατ. Ευρώ, όποιο είναι υψηλότερο, για παραβάσεις σε περιπτώσεις όπου:
1. Υπάρχει αδυναμία αναφοράς παραβίασης δεδομένων
2. Υπάρχει παραβίαση της αρχής του απορρήτου βάσει του σχεδιασμού, όπως ορίζεται στο άρθρο 25 του GDPR
3. Υπάρχει αδυναμία διορισμού αντιπροσώπου (όταν η οντότητα είναι εγκατεστημένη εκτός της ΕΕ)
4. Υπάρχει αδυναμία λήψης συγκατάθεσης κατά την επεξεργασία των δεδομένων παιδιών
5. Υπάρχει αδυναμία θέσπισης κατάλληλων ρητρών προστασίας δεδομένων στις συμβάσεις με τους πελάτες ή προμηθευτές
6. Υπάρχει αδυναμία ορισμού υπευθύνου προστασίας δεδομένων (DPO)
7. Υπάρχει αδυναμία διατήρησης γραπτών αρχείων
- Μέχρι 4% του ετήσιου παγκόσμιου κύκλου εργασιών ή 20 εκατ. Ευρώ, όποιο είναι υψηλότερο, για πιο σοβαρά αδικήματα όπως:
τη μη συμμόρφωση με τις αρχές της νόμιμης επεξεργασίας δεδομένων όπως ορίζονται στο GDPR τη μη τήρηση των διατάξεων σχετικά με τις μεταφορές δεδομένων προσωπικού χαρακτήρα εκτός της ΕΕ o τη μη συμμόρφωση με τα δικαιώματα των υποκειμένων των δεδομένων.
Οι ως άνω κυρώσεις συνοδεύονται από πρόσθετες εξουσίες που είναι εύκολα προσπελάσιμες από τις εποπτικές αρχές προστασίας δεδομένων, όπως η έκδοση προειδοποιήσεων για μη συμμόρφωση, η διενέργεια ελέγχων, η απαιτούμενη ειδική αποκατάσταση εντός συγκεκριμένου χρονικού πλαισίου, η παραγγελία διαγραφής δεδομένων και αναστολή της μεταφοράς δεδομένων σε τρίτη χώρα.
Σημειώνεται ότι στα πρόστιμα αντιστοιχούν και αυστηρές ποινικές κυρώσεις για τη Διοίκηση των Επιχειρήσεων ή των Οργανισμών που δε συμμορφώνονται.
H σύγχρονη επιχείρηση διατηρεί και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα τόσο εντός πληροφοριακών συστημάτων αλλά και εκτός, καθώς και πληροφορίες (σε ηλεκτρονικά ή / και φυσικά αρχεία), τα οποία μπορούν να ταυτοποιήσουν φυσικά πρόσωπα: εργαζομένους, συνεργάτες, προμηθευτές κ.ά.
Επιπροσθέτως, οι σύγχρονοι τρόποι ηλεκτρονικής διεκπεραίωσης των εγγράφων έχουν ως αποτέλεσμα την δραματική αύξηση των δεδομένων που υφίστανται επεξεργασία, αλλά και συντηρούνται στην υπολογιστική υποδομή της επιχείρησης, ενώ, είναι δεδομένο ότι οι διαδικασίες επεξεργασίας των δεδομένων δεν είναι πάντοτε ηλεκτρονικές, καθώς γίνεται και χρήση πρωτότυπων εγγράφων χωρίς να ακολουθείται και να τηρείται πλήρως μια διαδικασία προστασίας των ευαίσθητων προσωπικών δεδομένων που αυτά τυχόν περιέχουν.
Τα ανωτέρω καθιστούν κάθε επιχείρηση ευάλωτη σε σχέση με τις απαιτήσεις του Κανονισμού. Για τη λειτουργία μιας επιχείρησης σε συμμόρφωση με τον Κανονισμό απαιτούνται μια σειρά από ενέργειες και μέτρα, που κατ’ ελάχιστο θα πρέπει να υλοποιηθούν. Αυτά είναι (ενδεικτικώς):
- Διεξαγωγή αξιολογήσεων επιπτώσεων για τα υποκείμενα των δεδομένων
- Διατήρηση της κατάλληλης ασφάλειας των δεδομένων
- Υιοθέτηση μέτρων προστασίας για τις μεταφορές δεδομένων
- Υλοποίηση προστασίας της ιδιωτικότητας “εξ’ ορισμού” και “από το σχεδιασμό”
- Ανάληψη ευθύνης για την ασφάλεια τρίτων
- Λήψη των κατάλληλων συγκαταθέσεων για τη συλλογή δεδομένων και γνωστοποίηση των δραστηριοτήτων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα
- Ορισμός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer).
Προκειμένου να επιτευχθούν τα ανωτέρω, θα πρέπει πρώτα να αξιολογηθεί η υφιστάμενη κατάσταση κάθε επιχείρησης σε σχέση με τον Κανονισμό.
Οι εταιρίες συμβούλων ή τα νομικά γραφεία πρέπει να διαθέτουν την κατάλληλη εμπειρία, μεθοδολογία και επαγγελματική ικανότητα προκειμένου να ανταπεξέλθουν πλήρως, άρτια και ολοκληρωμένα στις απαιτήσεις του οικείου έργου και να συνδράμουν την επιχείρηση στην εκτίμηση της υφιστάμενης κατάστασης αυτής σε σχέση με τον GDPR.
Περαιτέρω, είναι ανάγκη να παρσχεθούν, εκτενώς νομικές συμβουλές και υπηρεσίες σε επιχειρήσεις στο πλαίσιο της επερχόμενης εφαρμογής του νέου Κανονισμού και του νέου νομικού περιβάλλοντος με το οποίο καλούνται να συμμορφωθούν οι επιχειρήσεις.
Πιο συγκεκριμένα:
- Υπηρεσίες Νομικής Αξιολόγησης της υφιστάμενης κατάστασης των επιχειρήσεων σε σχέση με τον Κανονισμό.
- Νομική Εναρμόνιση με τον Κανονισμό.
- Εκπαίδευση των στελεχών της επιχείρησης επί του θεσμικού πλαισίου για τα προσωπικά δεδομένα και τον Κανονισμό.
- Συμβουλευτική νομική υποστήριξη για την αποτελεσματική παρακολούθηση της συμμόρφωσης στο πλαίσιο του Κανονισμού.
Το αντικείμενο του έργου συμμόρφωσης με τον κανονισμό χωρίζεται σε δύο φάσεις τα αναλυτικά βήματα της κάθε μίας είναι τα ακόλουθα:
Α' Φάση
- Ενημέρωση αρμοδίων και δειγματοληπτικές συνεντεύξεις σε υπαλλήλους της επιχείρησης προκειμένου να διαπιστωθεί το επίπεδο εξοικείωσης με τον Κανονισμό και τις απαιτήσεις του.
- Αναγνώριση Δεδομένων που διακινούνται και αποθηκεύονται στην επιχείρηση και αφορούν προσωπικά δεδομένα προσωπικού, συνεργατών και τρίτων.
- Καταγραφή κατηγοριών Δεδομένων.
- Καταγραφή κατηγοριών Υποκειμένων.
- Χαρτογράφηση Ροών Δεδομένων (data flow mapping).
- Καταγραφή υφιστάμενων Διαδικασιών.
- Μελέτη Αποκλίσεων (ελλείψεις έως το κατάλληλο και επιθυμητό – Gap Analysis).
- Σχέδιο Δράσης που θα πρέπει να ακολουθήσει η επιχείρηση με σκοπό τη συμμόρφωση με τον Κανονισμό (Compliance Plan).
Β' Φάση
- Σύνταξη/Τροποποίηση Εταιρικής Πολιτικής έναντι των Υποκειμένων.
- Σύνταξη/Τροποποίηση Πολιτικής Απορρήτου της ιστοσελίδας της επιχείρησης.
- Τροποποίηση διαδικασίας αποστολής newsletters.
- Δημιουργία κατάλληλων εντύπων όπως λ.χ. Subject access request (form-page) και πρωτοκόλλων διακίνησης ή και καταστροφής αρχείων
- Τροποποίηση συμβάσεων με εργαζόμενους σε σχέση με τις σχετικές ρήτρες προστασίας δεδομένων και την εισαγωγή των απαραίτητων ρητρών προστασίας δεδομένων για τον περιορισμό του κινδύνου παραβίασης.
- Τροποποίηση συμβάσεων με τρίτα μέρη, τα οποία διαχειρίζονται προσωπικά δεδομένα πελατών/ προμηθευτών/ υπαλλήλων.
- Εκπαίδευση Στελεχών και μεταφορά κατάλληλης νομικής γνώσης σε συγκεκριμένο αριθμό στελεχών για την αρχική εξοικείωση τους με τις νέες διαδικασίες.
- Διορισμός Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer).
Κατά τη λήξη της πρώτης φάσης του έργου θα πρέπει να υποβάλλεται ΠΟΡΙΣΜΑ ΝΟΜΙΚΗΣ ΑΞΙΟΛΟΓΗΣΗΣ, το οποίο θα περιλαμβάνει τόσο τα βασικά συμπεράσματα της αξιολόγησης αυτής, όσο και «συστάσεις» και «κατευθύνσεις» προς την εταιρεία για την εναρμόνισή της με το Νέο Κανονισμό. Κατά τη λήξη της δεύτερης φάσης του έργου θα πρέπει να υποβάλλεται ΤΕΛΙΚΗ ΕΚΘΕΣΗ ΝΟΜΙΚΟΥ ΕΛΕΓΧΟΥ- ΥΛΟΠΟΙΗΣΗΣ ΕΡΓΟΥ.
Δημήτρης Κ. Καμμένος
Αντιπρόεδρος της Βουλής των Ελλήνων
www.bankingnews.gr
Σχόλια αναγνωστών