Κανονισμός GDPR 2016/679

Το νέο θεσμικό πλαίσιο προστασίας των προσωπικών δεδομένων, με άμεση, υποχρεωτική εφαρμογή από την 25/5/2018, πρόκειται να αλλάξει άρδην την καθημερινότητα όλων των επιχειρήσεων και των δημοσίων φορέων, ακόμα και των ιδιωτών. Η Ευρωπαϊκή Ένωση αφουγκράστηκε την ανάγκη εκσυγχρονισμού της νομοθεσίας για την προστασία προσωπικών δεδομένων, ώστε να ανταποκρίνεται στις νέες τεχνολογίες και τους κινδύνους που αυτές ενέχουν για τα δεδομένα. Επιλέχθηκε, δε, η εισαγωγή της νέας νομοθεσίας στα Κράτη μέλη της Ένωσης, υπό τη μορφή Κανονισμού, για να επιτευχθεί ρυθμιστική συνεκτικότητα. Τα οφέλη της ενιαίας ρύθμισης τόσο στην ασφάλεια δικαίου όσο και στην προστασία των δεδομένων, θα επιτρέψουν την ανεμπόδιστη ροή δεδομένων και ως εκ τούτου την ενίσχυση της οικονομίας των δεδομένων σε στέρεη και νόμιμη βάση. Παράλληλα τα φυσικά πρόσωπα θα διατηρούν τον απόλυτο έλεγχο των δεδομένων τους.

Η διασφάλιση της προστασίας προσωπικών δεδομένων δεν συνιστά μία νέα υποχρέωση των επιχειρήσεων. Τα προσωπικά δεδομένα προστατεύονταν και υπό το προηγούμενο καθεστώς (Ν. 2472/1997 Οδηγία 95/46/ΕΚ). Ο Κανονισμός 2016/679 ενισχύει την προστασία, εισάγοντας πρόσθετα δικαιώματα για τα φυσικά πρόσωπα, στοχεύει δε, στην καλλιέργεια της αντίστοιχης κουλτούρας στις επιχειρήσεις, ώστε να αναπτύξουν πολιτικές προστασίας δεδομένων τόσο σε τεχνικό όσο και σε οργανωτικό επίπεδο. Σκοπός του νόμου είναι η εμπέδωση της προστασίας των δεδομένων από τους ίδιους τους υπευθύνους επεξεργασίας. Οι ίδιες οι επιχειρήσεις θα εφαρμόσουν, με συνειδητές επιλογές και σε συνεργασία με εξειδικευμένους επαγγελματίες, κατάλληλα τεχνικά και οργανωτικά μέτρα κατά την επεξεργασία προσωπικών δεδομένων που θα εξασφαλίζουν την προστασία τους, ήδη από τον «σχεδιασμό και εξ ορισμού».

Ο Γενικός Κανονισμός εισάγει αυστηρές κυρώσεις για την περίπτωση παραβίασης των διατάξεών του. Ωστόσο, ως ευχερώς γίνεται αντιληπτό, εφόσον οι επιχειρήσεις δια της αυτορρύθμισης συμμορφωθούν με τις επιταγές του νόμου και είναι σε θέση να το αποδείξουν , καμία ανησυχία δεν καταλείπεται. ’λλωστε, πολλές από τις υποχρεώσεις που προβλέπει ο Κανονισμός, ίσχυαν ήδη και υπό την καταργούμενη νομοθεσία, ωστόσο ο Κανονισμός φιλοδοξεί, έστω υπό την απειλή σοβαρών κυρώσεων, να εξασφαλίσει ότι οι διατάξεις του θα εφαρμοστούν από όλους ανεξαιρέτως και μάλιστα με πρωτοβουλία των επιχειρήσεων.

Ειδικότερα, η παράβαση των διατάξεων του Κανονισμού επισύρει, πέραν των ποινικών κυρώσεων, διοικητικά πρόστιμα έως 20.000.000 ευρώ ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο. Το πνεύμα αλλά και το γράμμα του Κανονισμού ενισχύουν την ανάπτυξη νοοτροπίας πρόληψης κινδύνων ώστε η επιβολή προστίμων να συνιστά τελευταίο καταφύγιο της Αρχής για την προστασία του ατόμου από παράνομη επεξεργασία των δεδομένων του.

Οι επιχειρήσεις, οφείλουν, συνεπώς, να οργανώσουν τις διαδικασίες συλλογής, φύλαξης, μετάδοσης και εν γένει επεξεργασίας των προσωπικών δεδομένων φυσικών προσώπων, εναρμονίζοντας πλήρως τη λειτουργία τους στις επιταγές του Κανονισμού, ασκώντας αυτοέλεγχο μεθόδων και αναγκαία προσαρμογή τους. Κάθε σχετική διαδικασία πρέπει να τύχει νομικής και τεχνικής επεξεργασίας. Οι επιχειρήσεις κατά το στάδιο της προετοιμασίας τους οφείλουν μεταξύ άλλων: 1. Να καταγράψουν τις εκτελούμενες επεξεργασίες προσωπικών δεδομένων, 2. Να διακρίνουν τις κατηγορίες προσωπικών δεδομένων που επεξεργάζονται, 3. Να προσδιορίσουν τους σκοπούς της κάθε επεξεργασίας, 4. Να συγκεκριμενοποιήσουν τα υποκείμενα των προσωπικών δεδομένων που επεξεργάζονται, 5. Να διαχωρίσουν τους ρόλους των εμπλεκομένων στην επεξεργασία φορέων, 6. Να απαριθμήσουν τους αποδέκτες των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν. Ακολούθως, μαζί με το υλικό που θα ζητηθεί, θα παραδώσουν τις πληροφορίες αυτές στον νομικό που θα αναλάβει το έργο της προσαρμογής στον Κανονισμό.

Από την ανωτέρω ανάλυση θα προκύψει και αν συντρέχει υποχρέωση της επιχείρησης όπως προσλάβει και απασχολεί Υπεύθυνο Προστασίας Δεδομένων (D.P.O.). Πρόκειται για νέο με τη μορφή της υποχρεωτικότητας που εισάγεται ανεξάρτητο θεσμό, για τον οποίο ο Κανονισμός προβλέπει μεταξύ άλλων νομικά δεσμευτικές εγγυήσεις κατά την άσκηση των καθηκόντων του, συμμετοχή στη λήψη αποφάσεων, εξασφάλιση αναγκαίων πόρων, εργασιακή ανεξαρτησία. Ανάμεσα στα καθήκοντά του είναι να παρακολουθεί τη συμμόρφωση της επιχείρησης με τον Κανονισμό, να ενημερώνει για τις υποχρεώσεις που προβλέπονται σε αυτόν, να παρέχει συμβουλές κατά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων, να συνεργάζεται με την εποπτική αρχή και να ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή, για ζητήματα που σχετίζονται με την επεξεργασία.

Ο νέος Γενικός Κανονισμός για την Προστασία Προσωπικών Δεδομένων έρχεται να αλλάξει τον τρόπο που οι επιχειρήσεις επεξεργάζονται τις πληροφορίες που αναφέρονται σε φυσικά πρόσωπα. Η φιλοσοφία του Κανονισμού είναι να περιοριστεί τον θεσμικό έλεγχο της συμμόρφωσης μέσω των ανεξάρτητων κρατικών αρχών και να υιοθετήσουν οι επιχειρήσεις τις κατάλληλες πολιτικές ασφάλειας δεδομένων με γνώμονα την πρόληψη και την εσωτερική οργάνωση. Αρωγοί σε αυτή την οργάνωση θα είναι οι καταρτισμένοι νομικοί σύμβουλοι που θα κληθούν να θωρακίσουν κατάλληλα την επιχείρησή σας.

Ενημερωθείτε από τους εξειδικευμένους νομικούς και τεχνικούς συμβούλους του www.internetlaw.gr για τους τρόπους απόδειξης της συμμόρφωσης, τις βέλτιστες πρακτικές, τις προϋποθέσεις νόμιμης λήψης συγκατάθεσης, την εκτίμηση αντικτύπου και τις υποχρεώσεις σας εν γένει που επιβάλει ο νέος Κανονισμός για την προστασία δεδομένων.