Ο Βασίλης Καρκατζούνης, ειδικός σε ζητήματα προστασίας προσωπικών δεδομένων, κυβερνοασφάλειας και νομικής πληροφορικής, μιλάει στο epixeiro.gr για τον νέο Κανονισμό GDPR.
Αρχικά κ. Καρκατζούνη, εξηγήστε μας με απλά λόγια, τι είναι το GDPR και ποιες οι βασικές αρχές του Γενικού Κανονισμού Προστασίας Δεδομένων;
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων – ευρύτερα γνωστός με το εξαιρετικά “catchy” ακρωνύμιο GDPR – αποτελεί ένα νέο, ενιαίο για όλη την Ευρωπαϊκή Ένωση και άμεσα εφαρμόσιμο νομικό πλαίσιο, το οποίο ρυθμίζει την επεξεργασία προσωπικών δεδομένων ατόμων που βρίσκονται στην ΕΕ.
Ο Κανονισμός, λαμβάνοντας υπόψη τη ραγδαία ανάπτυξη της τεχνολογίας, τοποθετεί στο επίκεντρο τους πολίτες και τα δικαιώματά τους ως προς την προστασία των δεδομένων τους. Για τη διασφάλισή τους, ο GDPR θέτει ορισμένες βασικές αρχές σε σχέση με την επεξεργασία, όπως η ασφάλειά της, η ύπαρξη ορισμένης νομικής βάσης και ο περιορισμός των δεδομένων που τυγχάνουν επεξεργασίας στο ελάχιστο δυνατό, αναλόγως πάντα του σκοπού.
Ποιες είναι (συνοπτικά) οι βασικές αλλαγές στο πεδίο των προσωπικών δεδομένων με τον GDPR;
Παρά την αντίθετη πεποίθηση που παρατηρείται συχνά στην αγορά, ο GDPR δεν έρχεται ως “κεραυνός εν αιθρία”. Πέραν του γεγονότος ότι αποτελεί ψηφισμένο νομοθετικό κείμενο εδώ και δύο χρόνια, δύσκολα θα βρει κανείς κάποια διάταξή του που να μην αποτελεί επανάληψη, ενίσχυση ή εξέλιξη κάποιας ήδη υπάρχουσας αρχής για την προστασία δεδομένων.
Αυτό δε σημαίνει, ωστόσο, ότι δεν περιλαμβάνει σημαντικές καινοτομίες, όπως:
Το ενισχυμένο εδαφικό πεδίο εφαρμογής: Προκειμένου να πετύχει το στόχο της ουσιαστικής προστασίας δεδομένων σε ένα πλήρως παγκοσμιοποιημένο ψηφιακό περιβάλλον, ο GDPR εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων που αφορούν πρόσωπα που βρίσκονται στην Ένωση, ακόμα και σε ορισμένες περιπτώσεις που ο υπεύθυνος ή αυτός που εκτελεί την επεξεργασία ή εκτελούντα την επεξεργασία δεν είναι εγκατεστημένος στην ΕΕ. Δεδομένου του υψηλού ενδιαφέροντος όλων των εταιρειών τεχνολογίας για το ευρωπαϊκό κοινό, είναι αρκετά πιθανό ο GDPR να οδηγήσει σε μία “παγκόσμια” αναβάθμιση της νομοθεσίας για την προστασία δεδομένων.
Τα ενισχυμένα δικαιώματα των υποκειμένων των δεδομένων: Δίνοντας ιδιαίτερη έμφαση στην αρχή της διαφάνειας, ο GDPR θέτει ένα ενισχυμένο πλαίσιο προστασίας των δικαιωμάτων ων υποκειμένων (των ατόμων δηλαδή που αφορούν τα δεδομένα). Το πλαίσιο αυτό αποτελείται από “παραδοσιακά” δικαιώματα, όπως η πρόσβαση, η διόρθωση και η διαγραφή, από δικαιώματα που διαμορφώθηκαν πάνω στη βάση ήδη υπαρχόντων δικαιωμάτων, όπως το δικαίωμα στη λήθη, και από νέα δικαιώματα που προέκυψαν από την εκτεταμένη διείσδυση της τεχνολογίας στις ζωές μας, όπως το δικαίωμα στη φορητότητα των δεδομένων.
Η αρχή της λογοδοσίας: Ένας από τους στόχους του GDPR είναι η μείωση της γραφειοκρατίας (π.χ. γνωστοποιήσεις) και του βάρους που συνεπαγόταν για επιχειρήσεις και εποπτικές αρχές. Στο πλαίσιο αυτό, η κάθε επιχείρηση έχει μία σειρά από υποχρεώσεις προκειμένου να εξασφαλίζει ότι οι πρακτικές της τελούν σε συμμόρφωση με τον Κανονισμό. Κι επειδή η γυναίκα του Καίσαρα δεν αρκεί να είναι τίμια, αλλά πρέπει και να φαίνεται τίμια, κομβικής σημασίας είναι η δυνατότητα απόδειξης της συμμόρφωσης μέσα από μία σειρά εργαλείων που παρέχει ο κανονισμός (όπως η εκτίμηση αντικτύπου και ο ορισμός DPO).
Προλαβαίνω να συμμορφωθώ μέχρι τις 25/5 με τον GDPR αν ξεκινήσω τώρα;
Καταρχάς θεωρώ ότι δεν είναι σωστό να βλέπουμε την 25 Μαΐου ως deadline, καθώς πρόκειται για μία δύσκολη μετάβαση σε μία νέα εποχή για την προστασία δεδομένων. Δεν πρέπει άλλωστε να ξεχνάμε ότι ο GDPR αποτελεί ένα νέο πλαίσιο για όλα τα εμπλεκόμενα μέρη: εταιρείες, οργανισμούς, πολίτες, Δημόσιο, εποπτικές αρχές. Η συμμόρφωση πρέπει να είναι μία συνεχιζόμενη διαδικασία, με στόχο να ενταχθεί η κουλτούρα προστασίας δεδομένων στον πυρήνα των δραστηριοτήτων των εταιρειών, των οργανισμών και, φυσικά, του Δημοσίου. Ωστόσο, σε κάθε περίπτωση ο GDPR θα τεθεί σε ισχύ στις 25/5. Ως εκ τούτου, είναι απαραίτητο κάθε επιχείρηση που δεν έχει ήδη ξεκινήσει να σχεδιάζει τη συμμόρφωσή της, να τοποθετήσει τον GDPR στην κορυφή της ατζέντας της για τους επόμενους μήνες.
Ποιες είναι οι τεχνικές απαιτήσεις συμμόρφωσης των επιχειρήσεων με τον Κανονισμό (GDPR);
Ο GDPR έχει πολλούς “ακολούθους” τόσο από το χώρο της πληροφορικής όσο και της νομικής, καθώς αποτελεί ένα από τα κυριότερα - αν όχι το κυριότερο - σημεία επαφής της ασφάλειας πληροφοριών και της προστασίας δεδομένων. Για του λόγου το αληθές, ο GDPR ορίζει την ασφάλεια δεδομένων («ακεραιότητα και εμπιστευτικότητα») ως βασική αρχή για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, θέτοντας ως στόχο την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων.
Είναι σαφές ότι κάθε επιχείρηση έχει ένα ιδιαίτερο πλαίσιο λειτουργίας που συνδιαμορφώνεται από διάφορους παράγοντες, όπως οι υποδομές, το προσωπικό, το αντικείμενο της δραστηριότητας της, κ.ο.κ. Ως εκ τούτου, η κάθε επιχείρηση έχει διαφορετικές ανάγκες για τη συμμόρφωσή της, οι οποίες εξαρτώνται σε σημαντικό βαθμό από το επίπεδο των κινδύνων που εμπεριέχει η επεξεργασία δεδομένων (risk based approach). Οι λέξεις κλειδιά για την τεχνική υπόσταση του GDPR είναι σίγουρα τα “Κατάλληλα Τεχνικά και Οργανωτικά Μέτρα”, η “κρυπτογράφηση”, η “ψευδωνυμοποίηση” (προσοχή στη συχνή τάση σύγχυσης με την ανωνυμοποίηση) και φυσικά η διασφάλιση του τρίπτυχου εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα (CIA).
Προκειμένου να καλυφθούν οι τεχνικές απαιτήσεις συμμόρφωσης, θα πρέπει να δοθεί ιδιαίτερη προσοχή, μεταξύ άλλων, στα πληροφοριακά συστήματα που χρησιμοποιούνται, τα σημεία αποθήκευσης δεδομένων, ενδεχομένως σε υπηρεσίες cloud, τα συστήματα ελέγχου πρόσβασης, την πολιτική κωδικών και πολλά ακόμα στοιχεία. Είναι σαφές ότι η συμβολή ενός ειδικού στην ασφάλεια πληροφοριών στο πρόγραμμα συμμόρφωσης μίας επιχείρησης είναι απολύτως απαραίτητη.
Τι συμβαίνει σε περίπτωση ελέγχου ηλεκτρονικού υπολογιστή εργαζομένου από τον εργοδότη;
Η προστασία δεδομένων εργαζομένων αποτελεί από τα πιο “ευαίσθητα” ζητήματα στο δίκαιο προστασίας δεδομένων, καθώς απαιτείται μία κατά κανόνα σύνθετη στάθμιση των δικαιωμάτων των εργαζομένων (ως υποκειμένων των δεδομένων) και των έννομων συμφερόντων του εργοδότη.
Δεν είναι άλλωστε τυχαίο ότι το ελληνικό σχέδιο νόμου για την προστασία δεδομένων αφιέρωσε ένα ολόκληρο άρθρο (με 22 παραγράφους) στο ζήτημα αυτό, ενώ αποτέλεσε και το άρθρο με τα περισσότερα σχόλια στη διαβούλευση.
Είναι αδύνατο να αναλύσουμε ένα τόσο ακανθώδες ζήτημα σε λίγες παραγράφους, ωστόσο η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει πλούσια νομολογία επί του θέματος, παρέχοντας κατευθυντήριες γραμμές και οδηγίες. Είναι σημαντικό να επισημάνουμε ότι για κάθε δραστηριότητα που σχετίζεται με δεδομένα εργαζομένων, καταλυτικής σημασίας παράγοντες αποτελούν η ενημέρωση των εργαζομένων (βλέπε και πρόσφατη νομολογία Ευρωπαϊκού Δικαστηρίου) και, κατά περίπτωση, η συγκατάθεσή τους, η αναγκαιότητα του μέτρου που λαμβάνεται (π.χ. κάμερες, λογισμικά καταγραφής οθόνης, κ.α.) και, φυσικά, η αναλογικότητά του σε σχέση με τα δικαιώματα του εργαζομένου.
Πείτε μας δυο λόγια για τον DPO. Ποιος ακριβώς είναι ο ρόλος του; Είναι απαραίτητο να τον έχει κάθε επιχείρηση;
Ο Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer) αποτελεί ένα ρόλο-κλειδί στο νέο πλαίσιο προστασίας δεδομένων και, πιθανότατα, το πιο πολυσυζητημένο αντικείμενο του GDPR προς το παρόν.
Με λίγα λόγια, ο DPO είναι το πρόσωπο το οποίο συντονίζει και διασφαλίζει τη συμμόρφωση μίας επιχείρησης/ενός οργανισμού με τη νομοθεσία περί προσωπικών δεδομένων. Ανεξαρτήτως αν πρόκειται για υπάλληλο του οργανισμού ή εξωτερικό συνεργάτη, απαραίτητο χαρακτηριστικό του DPO αποτελεί η ανεξαρτησία κατά την εκτέλεση των καθηκόντων του.
Καθήκοντα τα οποία είναι πολλά και εξαιρετικά σημαντικά, όπως η παροχή συμβουλών και ενημέρωσης στη Διοίκηση και το προσωπικό του οργανισμού, η παρακολούθηση της συμμόρφωσης, η επικοινωνία με την εποπτική αρχή και τα υποκείμενα δεδομένων και άλλα.
Ο ρόλος του DPO είναι κομβικής σημασίας για την εφαρμογή της αρχής της λογοδοσίας από τους οργανισμούς, ειδικά στις περιπτώσεις που ο ορισμός του είναι υποχρεωτικός με βάση τον GDPR (λ.χ. δημόσια αρχή ή φορέας). Ακόμα, όμως, και όταν ο ορισμός του δεν είναι υποχρεωτικός, ενθαρρύνεται η ύπαρξη ενός DPO ή έστω ενός προσώπου με παρεμφερή ρόλο εντός του οργανισμού. Άλλωστε, για μία σειρά από ενδογενείς αλλά και εξωγενείς παράγοντες που σχετίζονται με τη συμμόρφωση ενός οργανισμού με τον GDPR, η ανάγκη ύπαρξης ενός ατόμου ή ομάδας ατόμων με εποπτικό ρόλο καθίσταται μάλλον επιτακτική στην πράξη.
Ποια ακριβώς είναι τα δικαιώματα που αποκτούν οι πολίτες/πελάτες με τον GDPR;
Όπως προαναφέραμε, προκειμένου να υπάρξει αποτελεσματική προστασία των προσωπικών δεδομένων, ο GDPR ενισχύει τα δικαιώματα των υποκειμένων αλλά και τους μηχανισμούς άσκησής τους.
Συνοπτικά, τα βασικά δικαιώματα των υποκειμένων σχετικά με τα προσωπικά τους δεδομένα είναι:
Κατ' αρχήν, τα υποκείμενα ασκούν τα δικαιώματά τους δωρεάν, ενώ θα πρέπει να λαμβάνουν απάντηση εντός μηνός.
1. Δικαίωμα ενημέρωσης
Θα πρέπει να παρέχονται ορισμένες πληροφορίες, είτε τα δεδομένα συλλέγονται από το ίδιο το υποκείμενο (άρθρο 13), είτε όχι (άρθρο 14)
2. Δικαίωμα πρόσβασης
Επιβεβαίωση (ή διάψευση) ότι τα δεδομένα του υποκειμένου υφίστανται επεξεργασία και παροχή σχετικών πληροφοριών (άρθρο 15)
3. Δικαίωμα διόρθωσης
Το υποκείμενο μπορεί να ζητήσει τη διόρθωση ανακριβών ή τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα που το αφορούν.
4. Δικαίωμα διαγραφής (δικαίωμα στη λήθη)
Το υποκείμενο μπορεί να ζητήσει τη διαγραφή δεδομένων που το αφορούν από τον υπεύθυνο (ή και από άλλους), υπό προϋποθέσεις (άρθρο 17).
5. Δικαίωμα περιορισμού της επεξεργασίας
Μπορεί να ζητηθεί ο περιορισμός της επεξεργασίας των δεδομένων που αφορούν το υποκείμενο υπό τις προϋποθέσεις του άρθρου 18
6. Δικαίωμα στη φορητότητα των δεδομένων
Το υποκείμενο μπορεί, υπό προϋποθέσεις, να ζητήσει να λάβει τα δεδομένα που το αφορούν ή να διαβιβαστούν σε άλλο υπεύθυνο σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο (άρθρο 20)
7. Δικαίωμα εναντίωσης
Το υποκείμενο μπορεί να αντιτάσσεται υπό προϋποθέσεις, στην επεξεργασία δεδομένων που το αφορούν (άρθρο 21).
8. Αυτοματοποιημένη ατομική λήψη αποφάσεων (+κατάρτιση προφίλ)
Το δικαίωμα του υποκειμένου να μην υπόκειται σε απόφαση, η οποία λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας (συμπεριλαμβάνεται η κατάρτιση προφίλ) και παράγει έννομα αποτελέσματα ή το επηρεάζει σημαντικά.
Ποιο είναι το μεγαλύτερο πρόστιμο που έχει επιβληθεί στην Ελλάδα για παραβίαση προσωπικών δεδομένων;
Εξ όσων γνωρίζω το ανώτατο προβλεπόμενο διοικητικό πρόστιμο (150.000 ευρώ με βάση τον Νόμο 2472/1997) έχει επιβληθεί στη Γενική Γραμματεία Πληροφοριακών Συστημάτων το 2013 για παραβίαση της υποχρέωσης λήψης κατάλληλων μέτρων ασφάλειας, η οποία είχε ως αποτέλεσμα τη διαρροή δεδομένων για το σύνολο σχεδόν των φορολογουμένων στην Ελλάδα.
Επ’ ευκαιρία, είναι σημαντικό να επισημάνουμε ότι ο GDPR εφαρμόζεται κανονικά σε αρκετές πτυχές της επεξεργασίας δεδομένων από το Δημόσιο ενώ, όπως, διευκρινίζεται και στο σχέδιο για τον (ελληνικό) νόμο περί προστασίας δεδομένων, η ΑΠΔΠΧ μπορεί να επιβάλλει πρόστιμα και σε δημόσιες αρχές και φορείς δημοσίου τομέα.
Υπάρχει περίπτωση να δοθεί παράταση;
Ο Κανονισμός εφαρμόζεται κανονικά από 25/5 και δεν υπάρχει καμία δυνατότητα παράτασης ή αναβολής. Την ίδια στιγμή όμως σε πολλές χώρες, μεταξύ των οποίων και η Ελλάδα, δεν έχει ψηφιστεί ο νόμος ο οποίος περιλαμβάνει απαραίτητες διατάξεις για την εφαρμογή του GDPR, ενώ η πλειονότητα των εποπτικών αρχών στην ΕΕ αντιμετωπίζουν σοβαρά προβλήματα στελέχωσης και χρηματοδότησης. Ως εκ τούτου - και αυτό αποτελεί προσωπική άποψη διατυπωμένη με κάθε επιφύλαξη - είναι πολύ πιθανό, κατά τους πρώτους μήνες εφαρμογής του GDPR, να υιοθετηθεί και στην Ελλάδα μία πιο “ρεαλιστική” προσέγγιση του νέου πλαισίου, όπως στη Γαλλία (CNIL). Αυτό σημαίνει ότι στο παρόν στάδιο θα πρέπει να δοθεί μεγαλύτερη έμφαση από τις επιχειρήσεις στις θεμελιώδεις και προϋπάρχουσες υποχρεώσεις σχετικά με την επεξεργασία δεδομένων, ενώ σημαντική θα είναι η επίδειξη των στοχευμένων προσπαθειών για συμμόρφωση.
Σχόλια