Ευάγγελος Μαργαρίτης: Πολλές επιχειρήσεις δεν έχουν «κουλτούρα» ορθής διαχείρισης προσωπικών δεδομένων
Ο Ευάγγελος Μαργαρίτης, Πιστοποιημένος Επαγγελματίας Προσωπικών Δεδομένων και με συμμετοχή σε έργα συμμόρφωσης με τις προβλέψεις του GDPR, ελληνικών και διεθνών εταιρειών, μίλησε στο epixeiro.gr αναφορικά με τον νέο αυτό Κανονισμό.
Γεια σας κ. Μαργαρίτη. Έχετε συμμετάσχει σε αρκετά έργα συμμόρφωσης με τις προβλέψεις του GDPR, ελληνικών και διεθνών εταιριών. Ποιες παρατηρείτε πως είναι οι μεγαλύτερες δυσκολίες που αντιμετωπίζουν οι επιχειρήσεις στην εφαρμογή του;
Η προστασία των προσωπικών δεδομένων και οι πολιτικές ορθής επεξεργασίας, συλλογής, χρήσης και διαβίβασης αυτών σε τρίτα μέρη (εντός ή εκτός Ελλάδος) δεν ξεκινάει (ούτε φυσικά τελειώνει) με το νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR). Ήδη από το 1995 με την οδηγία 46 του ίδιου έτους η ΕΕ δημιούργησε το πρώτο νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων, για το οποίο πρέπει να λεχθεί ότι αρκετές επιχειρήσεις («Υπεύθυνοι Επεξεργασίας»/ «controllers»). Έτσι, π.χ. τύχαινε μια φαρμακευτική ή ερευνητική εταιρεία ζητούσε και λάμβανε άδεια από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, την Εθνική Εποπτική αρχή, για τη διενέργεια των μελετών ή/ και τη διαβίβαση δεδομένων υγείας σε άλλη χώρα. Επίσης, ήταν σύνηθες πολλές επιχειρήσεις marketing να δίνουν το δικαίωμα «διαγραφής από newsletter» ήτοι το δικαίωμα opt – out.
Αυτό όμως δεν ήταν ο κανόνας. Απεναντίας, θα μπορούσε να λεχθεί με βάση την πείρα μας ότι πολλές επιχειρήσεις δεν έχουν «κουλτούρα» ορθής διαχείρισης (λήψης, τήρησης, χρήσης) προσωπικών δεδομένων. Δεν έχουν πολιτικές προστασίας απορρήτου, δεν τηρούν τις προϋποθέσεις ενημέρωσης και λήψης συγκατάθεσης για την επεξεργασία από το υποκείμενο, δεν τηρούν προϋποθέσεις γνωστοποίησης τήρησης αρχείου προσωπικών δεδομένων στην Αρχή. Εξ ίσου, τα στελέχη των επιχειρήσεων δεν ήταν εξοικειωμένα με το ισχύον πλαίσιο. Γενικά υπήρχε ένα καθεστώς «ότι δεν απαγορεύεται με κόκκινη γραμμή, ας γίνει». Όμως, ο κανόνας είναι το αντίθετο βάσει νόμου.
Η μεγαλύτερη δυσκολία λοιπόν έγκειται στην έλλειψη μιας «εταιρικής» νοοτροπίας χρήσης προσωπικών δεδομένων και συνείδησης ότι τα προσωπικά δεδομένα μπορούν να κυκλοφορούν, αλλά μόνο αν τηρείται ο νόμος.
Από την άλλη, οι αναλυτικές γνωστοποιήσεις που πρέπει να δίνονται στο υποκείμενο κατά τα άρθρα 13 και 14 του GDPR αντιμετωπίζονται από πολλές επιχειρήσεις ως τροχοπέδη στην ανάπτυξη των δραστηριοτήτων τους. Προβληματίζονται δηλαδή οι «πωλητές» με την ενσωμάτωση των κανονιστικών υποχρεώσεων στο everyday business τους σε τέτοιο σημείο, που βλέπουν ορθωμένα εμπόδια.
Ποια παρατηρείτε να είναι η τάση των επιχειρήσεων γενικά προς τον GDPR;
Είναι γεγονός ότι είμαστε «λαός της τελευταίας στιγμής». Αυτό εκδηλώθηκε και εδώ. Πρακτικά, ενώ οι μεγάλες εταιρείες είχαν ξεκινήσει διαδικασίες συμμόρφωσης ήδη από τις αρχές του 2017, από τις Αρχές Απρίλη 2018 και εξής διαπιστώνουμε ότι υπάρχει ένα GDPR frenzy για την άμεση συμμόρφωση μικρών και μεγάλων.
Είναι γεγονός ότι όλοι θέλουν να είναι GDPR compliant. Πια, όλοι έχουν ενημερωθεί. Όμως, η εξ αρχής έλλειψη εκτεταμένης ενημέρωσης του κοινού έχει όχι μόνο δημιουργήσει στρεβλώσεις για το GDPR (π.χ. κάποιοι λένε ότι ο ορισμός DPO είναι πάντα υποχρεωτικός, εξαπατώντας ουσιαστικά τους αδαείς), αλλά και σπεύδουν να κάνουν έργα «συμμόρφωσης» με μικρό κόστος, χωρίς όμως ουσιαστικές υποδομές και γνώση για την διεκπεραίωσή του. Σε τελική ανάλυση, ο GDPR είναι ένα νομικό κείμενο, εκτός από πηγή διαδικασιών και πολιτικών. Και ως νομικό κείμενο, ποιος είναι καλύτερο να το ερμηνεύσει και να το εφαρμόσει από τους νομικούς, και δη αυτούς που έχουν γνώση της Νομολογίας των Δικαστηρίων της Χώρας (πολιτικών και Συμβουλίου Επικρατείας το οποίο εξετάζει αιτήσεις ακύρωσης κατά των αποφάσεων της Αρχής) αλλά και των σχετικών κατ’ εξουσιοδότηση εκδοθεισών πράξεων της Αρχής;
Ποιες είναι οι υποχρεώσεις των επιχειρήσεων έναντι των δεδομένων που συλλέγουν και αυτών που είναι κάτοχοί τους;
Ο GDPR θεσπίζει αυξημένες υποχρεώσεις λογοδοσίας του υπεύθυνου επεξεργασίας με βάση τις αρχές της διαφάνειας, εμπιστευτικότητας και ακεραιότητας της επεξεργασίας.
Κατά το άρθρο 12 του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 13 και 14 σχετικά με τα δεδομένα τους που κατέχει και κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 έως 22 και του άρθρου 34 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς. Ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματος δυνάμει των άρθρων 15 έως 22 χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων.
Οι πληροφορίες αυτές παρέχονται δωρεάν. Οι πληροφορίες που πρέπει να παρέχονται στα υποκείμενα των δεδομένων σύμφωνα με τα άρθρα 13 και 14 μπορούν να παρέχονται σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιαστική επισκόπηση της σκοπούμενης επεξεργασίας. Εάν τα εικονίδια διατίθενται ηλεκτρονικά, είναι μηχανικώς αναγνώσιμα.
Όταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο των δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων, πληροφορίες σχετικά με την ταυτότητά του, το σκοπό της επεξεργασίας και τυχόν διαβιβάσεις σε τρίτον. Όπως επίσης και εγγυήσεις για την ασφαλή τήρησή τους. Αν η επεξεργασία των δεδομένων δεν στηρίζεται στη συναίνεση του υποκειμένου, τότε ο υπεύθυνος επεξεργασίας πρέπει να αποδεικνύει και τη νομιμότητα της επεξεργασίας. Παρόμοιες είναι οι υποχρεώσεις του υπεύθυνου επεξεργασίας όταν τα δεδομένα δεν έχουν συλλεγεί από το υποκείμενο, αλλά από τρίτον, π.χ. αρχεία τηλεφωνικού καταλόγου.
Στο ανωτέρω πλαίσιο λοιπόν, η διαφάνεια στην επεξεργασία είναι θεμελιώδες στοιχείο. Σκοπός των ρυθμίσεων όπως προκύπτει και από την αιτιολογική έκθεση – προοίμιο του Κανονισμού, είναι να δίδεται στο υποκείμενο των δεδομένων δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα τα οποία συλλέχθηκαν και το αφορούν και να μπορεί να ασκεί το εν λόγω δικαίωμα ευχερώς και σε εύλογα τακτά διαστήματα, προκειμένου να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας.
Η επεξεργασία λοιπόν δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη και δίκαιη. Θα πρέπει να είναι σαφές για τα φυσικά πρόσωπα ότι δεδομένα προσωπικού χαρακτήρα που τα αφορούν συλλέγονται, χρησιμοποιούνται, λαμβάνονται υπόψη ή υποβάλλονται κατ' άλλο τρόπο σε επεξεργασία, καθώς και σε ποιο βαθμό τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται ή θα υποβληθούν σε επεξεργασία. Η αρχή αυτή απαιτεί κάθε πληροφορία και ανακοίνωση σχετικά με την επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα να είναι εύκολα προσβάσιμη και κατανοητή και να χρησιμοποιεί σαφή και απλή γλώσσα. Αυτή η αρχή αφορά ιδίως την ενημέρωση των υποκειμένων των δεδομένων σχετικά με την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας και την περαιτέρω ενημέρωση ώστε να διασφαλιστεί δίκαιη και διαφανής επεξεργασία σε σχέση με τα εν λόγω φυσικά πρόσωπα και το δικαίωμά τους να λαμβάνουν επιβεβαίωση και να επιτυγχάνουν ανακοίνωση των σχετικών με αυτά δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία. Θα πρέπει να γνωστοποιείται στα φυσικά πρόσωπα η ύπαρξη κινδύνων, κανόνων, εγγυήσεων και δικαιωμάτων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και πώς να ασκούν τα δικαιώματά τους σε σχέση με την επεξεργασία αυτή. Ιδίως, οι συγκεκριμένοι σκοποί της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σαφείς, νόμιμοι και προσδιορισμένοι κατά τον χρόνο συλλογής των δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να είναι επαρκή και συναφή και να περιορίζονται στα αναγκαία για τους σκοπούς της επεξεργασίας τους. Αυτό απαιτεί ειδικότερα να διασφαλίζεται ότι το διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα να περιορίζεται στο ελάχιστο δυνατό. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία μόνο εάν ο σκοπός της επεξεργασίας δεν μπορεί να επιτευχθεί με άλλα μέσα. Για να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα δεν διατηρούνται περισσότερο από όσο είναι αναγκαίο, ο υπεύθυνος επεξεργασίας θα πρέπει να ορίζει προθεσμίες για τη διαγραφή τους ή για την περιοδική επανεξέτασή τους. Θα πρέπει να λαμβάνεται κάθε εύλογο μέτρο, ώστε να διασφαλίζεται ότι τα δεδομένα προσωπικού χαρακτήρα που δεν είναι ακριβή διορθώνονται ή διαγράφονται. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υφίστανται επεξεργασία κατά τρόπο που να διασφαλίζει την ενδεδειγμένη προστασία και εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων και για να αποτρέπεται κάθε ανεξουσιοδότητη πρόσβαση σε αυτά τα δεδομένα προσωπικού χαρακτήρα και στον εξοπλισμό που χρησιμοποιείται για την επεξεργασία τους ή η χρήση αυτών των δεδομένων προσωπικού χαρακτήρα και του εν λόγω εξοπλισμού.
Σε περίπτωση μη τήρησης των ανωτέρω υποχρεώσεων, προβλέπονται σε βάρος του υπεύθυνου επεξεργασίας αυστηρά πρόστιμα μέχρι 20εκ € ή 4% του παγκόσμιου τζίρου του, ενώ οι αστικές αξιώσεις αποζημίωσης των υποκειμένων δεν θίγονται.
Ας πούμε ότι ένα site, μια επιχείρηση έχει μια λίστα καταγεγραμμένων email, τα οποία απέκτησε προηγουμένως μέσω εγγραφών στο newsletter της. Μετά τις 25 Μαϊου, οφείλει να σβήσει αυτή τη λίστα; Ή θα πρέπει πρώτα να δώσει κάποια ενημέρωση στους χρήστες; Πώς ακριβώς λειτουργεί αυτό;
Αν μου επιτρέψετε, στο ερώτημα αυτό εντοπίζεται όλη η στρέβλωση γύρω από το GDPR. Το ερώτημα δεν είναι αν πρέπει να τα σβήσουν μετά τις 25, αλλά αν τα απέκτησαν νόμιμα πριν τις 25 Μάιου. Και όταν λέμε νόμιμα, εννοούμε με την τήρηση της ισχύουσας νομοθεσίας, δηλαδή ορθή ενημέρωση του υποκειμένου των δεδομένων σχετικά με όσα προβλέπει ο νόμος (ταυτότητα επιχείρησης που τα λαμβάνει, σκοπός επεξερασίας, διαβιβάσεις σε τρίτους, δικαίωμα πρόσβασης) καθώς και υπόδειξη του δικαιώματος Opt – out κατά το ν. 3471/2006. Αν τα ανωτέρω έχουν τηρηθεί, τότε όχι δεν πρέπει να τα σβήσουν. Αν δεν έχουν τηρηθεί, θα πρέπει να τα σβήσουν ανεξαρτήτως GDPR!
Συχνά λαμβάνουμε μηνύματα στα κινητά μας από εταιρίες που διαφημίζουν κάποιο προϊόν ή υπηρεσία. Μετά τις 25 Μαϊου θα είναι νόμιμο αυτό; Ή υπάρχει κάποια πρόβλεψη για αυτό;
Χρήση προσωπικών δεδομένων για σκοπούς απευθείας εμπορικής προώθησης μέσω ηλεκτρονικών συστημάτων είναι από τα πιο φλέγοντα ζητήματα. Αυτή τη στιγμή το ζήτημα δεν ρυθμίζεται από το GDPR, αλλά από την οδηγία 2002/58/ΕΚ και το ν. 3471/2006. Αν τηρούνται οι σχετικοί όροι, μπορούν να στέλνουν μηνύματα οι διαφημιζόμενοι, αλλά σε κάθε μήνυμα να δίνεται το δικαίωμα απεγγραφής από την υπηρεσία
Τι συμβαίνει σε περίπτωση που κάποιος επεξεργαστεί τα δεδομένα μου σε μια επιχείρηση, ή αν αυτά κλαπούν από τρίτους ή και ακόμη χρησιμοποιηθούν για εμπορικούς σκοπούς/εκπόνηση μελετών κλπ; Ποια είναι η πρόβλεψη εδώ;
Αρχικώς, θα πρέπει να γίνει ενημέρωση της Αρχής εντός 72 ωρών από τότε που έγινε γνωστή η παραβίαση. Ενδεχομένως, και να ενημερωθεί το υποκείμενο. Αν διαπιστωθεί ότι ο υπεύθυνος επεξεργασίας δεν τήρησε τα μέτρα ασφαλείας (π.χ. κλοπή πιστωτικών καρτών από eshop, διαρροή ιατρικών δεδομένων στον τύπο, μαζί παράνομη αποστολή διαφημιστικών μηνυμάτων) τότε ανοίγει ο δρόμος για επιβολή προστίμων από την Αρχή, καθώς και διεκδίκησης αποζημίωσης από κάθε υποκείμενο για την ηθική του βλάβη ενώπιον πολιτικών δικαστηρίων. Αυτό προβλέπεται και με τον υπάρχοντα νόμο, που έχει μάλιστα ελάχιστη αποζημίωση περίπου 6.000 € υπέρ του υποκειμένου που υπέστη «θύμα» παράνομης επεξεργασίας προσωπικών δεδομένων
Πείτε μας μερικά οφέλη που μπορεί να προσφέρει ο GDPR για μια επιχείρηση;
Το σπουδαιότερο είναι η προστασία και ο σεβασμός του πελάτη. Όταν ο πελάτης γνωρίζει ότι συναλλασσόμενος με μια επιχείρηση δεν θα είναι αντιμέτωπος με άλλες δέκα επιχειρήσεις που πάνε να τον ψαρέψουν και να τον βομβαρδίζουν με προγράμματα, είναι ασφαλής να εμπιστευτεί τον προμηθευτή του. ο GDPR είναι όμως μια βαθύτερη γνώση της ίδιας της επιχείρησης, των διαδικασιών, των πολιτικών και του προσωπικού της.
Σχόλια