Κωνσταντίνος Μενουδάκος: Η 25η Μαΐου δεν αποτελεί την ημερομηνία ολοκλήρωσης αλλά έναρξης της εφαρμογής του Γενικού Κανονισμού
Ο Κωνσταντίνος Μενουδάκος, Πρόεδρος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μιλάει στο epixeiro.gr με αφορμή την επικείμενη εφαρμογή του GDPR από τις επιχειρήσεις στις 25 Μαΐου 2018.
Αρχικά, κ. Μενουδάκο, για όσους δεν έχουν καταλάβει τον νέο κανονισμό GDPR, εξηγήστε μας τι ακριβώς είναι; Που αποσκοπεί ο νέος Κανονισμός;
Στις 25 Μαΐου 2018 τίθεται σε εφαρμογή ο Κανονισμός 2016/679 με τον τίτλο «Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων» που ψηφίστηκε τον Απρίλιο 2016. Το νέο αυτό ενωσιακό νομοθέτημα, με το οποίο αντικαθίσταται η Οδηγία 95/46/ΕΚ, αποτελεί ένα μεγάλο βήμα στην εξέλιξη της νομικής προστασίας των προσωπικών δεδομένων, χωρίς, ωστόσο, να εισάγει εντελώς νέες αντιλήψεις και μεθόδους στον τρόπο αντιμετώπισης των κινδύνων. Κατά βάση επαναπροσδιορίζει και αναπτύσσει περαιτέρω βασικές αρχές, γνωστές από το 1995, οι οποίες έχουν τύχει επεξεργασίας από τις εποπτικές αρχές και τα δικαστήρια.
Σε γενικές γραμμές, ο Γενικός Κανονισμός αφενός διευρύνει τα δικαιώματα των υποκειμένων των προσωπικών δεδομένων και αφετέρου αποσαφηνίζει και αυστηροποιεί τις υποχρεώσεις των υπευθύνων επεξεργασίας των δεδομένων, οι οποίες εν μέρει επεκτείνονται και στους εκτελούντες επεξεργασία. Επιπλέον, καθορίζει νέες διαδικασίες και μέσα για την αποτελεσματικότερη δυνατή εφαρμογή και τον έλεγχο του σεβασμού των κανόνων προστασίας. Συγχρόνως, προωθεί την ευαισθητοποίηση όλων των ενδιαφερομένων μερών για τα δικαιώματα και τις υποχρεώσεις τους. Απώτερος στόχος της ψήφισης του Γενικού Κανονισμού είναι η διαμόρφωση ενός ισχυρότερου και πιο συνεκτικού νομικού πλαισίου που θα έχει ομοιόμορφη εφαρμογή σε όλη την επικράτεια της Ένωσης. Στο πλαίσιο αυτό δίνεται έμφαση στη λειτουργία των Εποπτικών Αρχών, οι οποίες διατηρούν τον τριπλό ρόλο, ενημερωτικό, ρυθμιστικό και ελεγκτικό, τον οποίο έχουν υπό την ισχύ της Οδηγίας, αλλά και στην κατοχύρωση της ανεξαρτησίας τους.
Ποιο ακριβώς είναι το έργο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα;
Αποστολή της Αρχής είναι η προστασία των δικαιωμάτων της προσωπικότητας και της ιδιωτικής ζωής του ατόμου στην Ελλάδα, σύμφωνα με τις διατάξεις των Ν. 2472/1997 και 3471/2006, των οποίων έχει την εποπτεία. Πρωταρχικός σκοπός της είναι η προστασία του πολίτη από την παράνομη επεξεργασία των προσωπικών του δεδομένων αλλά και η συνδρομή προς αυτόν σε κάθε περίπτωση που διαπιστώνεται παραβίαση των σχετικών δικαιωμάτων του σε κάθε επιχειρησιακό τομέα, π.χ. χρηματοπιστωτικό, υγεία, ασφάλιση, εκπαίδευση, δημόσια διοίκηση, μεταφορές, ΜΜΕ, κ.ο.κ. Από τις 25 Μαΐου, ημερομηνία έναρξης της εφαρμογής του Γενικού Κανονισμού, η Αρχή θα ασκεί τις αρμοδιότητές της με βάση και τις διατάξεις του. Σημειώνεται ότι αναμένεται η έκδοση νόμου, με τον οποίο θα εξειδικεύονται κάποιες ρυθμίσεις του Γενικού Κανονισμού στο μέτρο που παρέχεται η δυνατότητα αυτή από τον ίδιο τον Γενικό Κανονισμό. Και του νόμου αυτού η εφαρμογή θα εμπίπτει στις αρμοδιότητες της Αρχής.
Ποια είναι ακριβώς αυτά τα ευαίσθητα προσωπικά δεδομένα;
Είναι τα δεδομένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή σε συναφείς με αυτά που ανέφερα ενώσεις προσώπων.
Τι σημαίνει «επεξεργασία προσωπικών δεδομένων»;
Είναι κάθε εργασία που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα. Παραδείγματος χάρη, η συλλογή, η καταχώριση, η αποθήκευση, η τροποποίηση, η χρήση, η διαβίβαση, η διασύνδεση, η καταστροφή, μεταξύ άλλων, δεδομένων που μας αφορούν. Όλες αυτές οι ενέργειες αποτελούν «επεξεργασία» των προσωπικών μας δεδομένων.
Ποια είναι η νομοθεσία για τα προσωπικά δεδομένα στην Ελλάδα;
Μέχρι να ψηφιστεί ο νέος νόμος για την προστασία των προσωπικών δεδομένων, ισχύει ο νόμος 2472/1997 που ενσωμάτωσε στην ελληνική έννομη τάξη την ευρωπαϊκή Οδηγία 95/46/ΕΚ, η οποία ορίζει ένα πλαίσιο κανόνων για την επεξεργασία των προσωπικών μας δεδομένων, κοινό σε όλες τις χώρες της Ευρωπαϊκής Ένωσης. Ο νόμος αυτός θα συνεχίσει να εφαρμόζεται από την Αρχή και μετά τις 25 Μαΐου στο μέτρο που δεν έρχεται σε αντίθεση με τον Γενικό Κανονισμό. Σημειώνεται ότι για το κρίσιμο θέμα της προστασίας των προσωπικών δεδομένων στις ηλεκτρονικές επικοινωνίες υπάρχει ο ειδικότερος νόμος 3471/2006 που ενσωματώνει στην ελληνική έννομη τάξη την ευρωπαϊκή οδηγία 2002/58/ ΕΚ.
Ποιους αφορά ο κανονισμός; Ποιοι είναι αυτοί που πρέπει να τον θέσουν σε εφαρμογή ακριβώς; Ποιες δραστηριότητες θα επηρεαστούν περισσότερο;
Ο Κανονισμός αφορά όσους επεξεργάζονται προσωπικά δεδομένα ή εκτελούν επεξεργασία προσωπικών δεδομένων. Ειδικότερα, αφορά φορείς του δημοσίου τομέα και κάθε κατηγορίας ιδιωτικές επιχειρήσεις και δραστηριότητες που διατηρούν προσωπικά δεδομένα για τους πελάτες, τους προμηθευτές, το προσωπικό τους, κ.λπ. Ο Κανονισμός εφαρμόζεται αν μια επιχείρηση ή οργανισμός επεξεργάζεται προσωπικά δεδομένα και εδρεύει στην ΕΕ, ανεξάρτητα από το πού ακριβώς πραγματοποιείται η επεξεργασία των δεδομένων· ή αν η επιχείρηση ή οργανισμός εδρεύει εκτός της ΕΕ αλλά προσφέρει αγαθά ή υπηρεσίες σε φυσικά πρόσωπα στην ΕΕ ή παρακολουθεί τη συμπεριφορά τους.
Ποιες είναι οι υποχρεώσεις των επιχειρήσεων με βάση τον Κανονισμό (GDPR);
Ο Κανονισμός επιβάλλει μια σειρά νέων υποχρεώσεων στους υπευθύνους επεξεργασίας, οι οποίες απορρέουν από τις βασικές αρχές και τα δικαιώματα των υποκειμένων και ιδίως την ενισχυμένη αρχή της διαφάνειας στον τρόπο συλλογής, επεξεργασίας και τήρησης δεδομένων, καθώς και από τη νέα αρχή της λογοδοσίας, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με όλες τις αρχές που διέπουν την επεξεργασία προσωπικών δεδομένων. Επιγραμματικά οι βασικές υποχρεώσεις τους είναι οι εξής: να εφαρμόζουν την εκ σχεδιασμού και εξ ορισμού προστασία δεδομένων, επιλέγοντας κατάλληλα τεχνικά και οργανωτικά μέτρα που διασφαλίζουν τις προβλέψεις του Κανονισμού, να διασφαλίζουν το ενδεδειγμένο επίπεδο ασφάλειας κατά την πραγματοποίηση της επεξεργασίας, να διενεργούν εκτίμηση επιπτώσεων στην προστασία δεδομένων, να ορίσουν υπεύθυνο προστασίας δεδομένων και, τέλος, προαιρετικά, να εκπονούν και να εφαρμόζουν κώδικες δεοντολογίας και να θεσπίζουν μηχανισμούς πιστοποίησης, σφραγίδων και σημάτων προστασίας δεδομένων για την απόδειξη της συμμόρφωσης προς τον Κανονισμό.
Πώς μπορώ να γνωρίζω αν κάποιοι έχουν τα προσωπικά μου δεδομένα και τα χρησιμοποιούν παράνομα; Ποια είναι τα δικαιώματα των υποκειμένων;
Πρώτα απ’ όλα θα πρέπει εμείς οι ίδιοι να είμαστε πολύ προσεκτικοί στο πού δίνουμε τα προσωπικά μας δεδομένα, να ζητάμε να μαθαίνουμε πώς αυτά θα χρησιμοποιηθούν και αν πράγματι εξυπηρετούν τον σκοπό για τον οποίο ζητούνται. Τα δικαιώματα των υποκειμένων των δεδομένων είναι το «δικαίωμα ενημέρωσης», δηλαδή όταν κάποιος επεξεργάζεται προσωπικά μας δεδομένα, οφείλει να μας ενημερώσει για την ταυτότητά του, τον σκοπό της επεξεργασίας των δεδομένων που συλλέγει, τους αποδέκτες αυτών. Το «δικαίωμα πρόσβασης», σύμφωνα με το οποίο μπορούμε να μαθαίνουμε από τον υπεύθυνο επεξεργασίας αναλυτικές πληροφορίες για τα δεδομένα που έχει στην κατοχή του και μας αφορούν και το «δικαίωμα αντίρρησης», να προβάλλουμε δηλαδή αντιρρήσεις και να ζητούμε τη διόρθωση ή και τη διαγραφή των προσωπικών μας δεδομένων από τα αρχεία του. Με τον νέο Κανονισμό, ενισχύονται αυτά και προστίθενται και άλλα, όπως το «δικαίωμα στη λήθη» και το δικαίωμα στη «φορητότητα των δεδομένων».
Η ενίσχυση προστασίας των προσωπικών δεδομένων αφορά μόνο τη δράση εταιρειών σε ευρωπαϊκό έδαφος;
Όπως προανέφερα, ο Κανονισμός αφορά και σε δράση εταιρειών που μπορεί να έχουν την έδρα τους εκτός Ευρώπης, εφόσον επεξεργάζονται προσωπικά δεδομένα υποκειμένων που κατοικούν σε ευρωπαϊκή χώρα.
Πώς βλέπετε τις εταιρίες στην Ελλάδα να τα πηγαίνουν όσον αφορά την εφαρμογή του κανονισμού; Ποιες κυριότερες δυσκολίες βλέπετε να αντιμετωπίζουν;
Διαπιστώνουμε ότι υπάρχει ενδιαφέρον, ιδίως, από τις μεγάλες εταιρείες και οργανισμούς, που απευθύνονται στην Αρχή και ζητούν την υποστήριξή της. Ωστόσο, είναι ακόμα νωρίς για να έχουμε διαμορφώσει μια πλήρη εικόνα.
Πώς οι email marketers, publishers, agencies, marketers θα αποφύγουν παγίδες και θα αξιοποιήσουν τις βέλτιστες πρακτικές;
Θα πρέπει να έχουν ως βασικό μέλημα τη συμμόρφωσή τους με τον Γενικό Κανονισμό, για την κάθε επεξεργασία που πραγματοποιούν να υφίσταται νομική βάση. Επίσης να ικανοποιούν τα δικαιώματα των υποκειμένων των δεδομένων και να ανταποκρίνονται στις υποχρεώσεις τους όπως αυτές απορρέουν από τη νομοθεσία.
Πιστεύετε η πλειοψηφία των εταιριών στην Ελλάδα θα ανταποκριθεί ως την καταλυτική ημερομηνία που είναι η 25η Μαΐου; Υπάρχει περίπτωση παράτασης;
Το χρονικό περιθώριο συμμόρφωσης των υπευθύνων επεξεργασίας στον Κανονισμό ήταν δύο έτη. Στις 25.5.2018 θα αρχίσει να εφαρμόζεται σε όλα τα κράτη μέλη της ΕΕ. Παράταση δεν θα υπάρξει. Ας μην ξεχνάμε όμως ότι η 25η Μαΐου δεν αποτελεί την ημερομηνία ολοκλήρωσης αλλά έναρξης της εφαρμογής του Γενικού Κανονισμού. Η συμμόρφωση είναι διαρκής υπόθεση, απαιτεί καλή ενημέρωση για τις διατάξεις του και την εξοικείωση με την εφαρμογή τους.
Ποια θα είναι τα πρόστιμα σε περίπτωση μη συμμόρφωσης;
Τα προβλεπόμενα πρόστιμα είναι υψηλά. Το ανώτατο όριο ορίζεται σε 10 εκατομμύρια ευρώ ή το 2% του ετήσιου τζίρου μιας εταιρείας και για ορισμένες παραβάσεις σε 20 εκατομμύρια ευρώ ή το 4% του ετήσιου τζίρου. Πρέπει να σημειωθεί, όμως, σε περιπτώσεις επιβολής του προστίμου, για την επιμέτρηση του ύψους του λαμβάνεται υπόψη σειρά κριτηρίων και συνεκτιμώνται οι συνθήκες που συντρέχουν σε κάθε υπόθεση.
Πόσο αυστηρή θα είναι η επιβολή κυρώσεων το πρώτο διάστημα ύστερα από την 25η Μαϊου; Θα υπάρξει κάποιου είδους ελαστικότητα ως προς τις επιχειρήσεις που δυσκολεύονται να εναρμονιστούν με τον Κανονισμό;
Ο Γενικός Κανονισμός ορίζει σειρά κριτηρίων που λαμβάνονται υπόψη ώστε οι επιβαλλόμενες κυρώσεις να είναι αναλογικές, αποτρεπτικές και αποτελεσματικές. Στα κριτήρια αυτά περιλαμβάνονται ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της, η τυχόν μη συμμόρφωση προς προηγούμενη απόφαση της Αρχής, τα οικονομικά οφέλη, τα οποία είχε, αμέσως ή εμμέσως, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία από την παράβαση και κάθε άλλο ελαφρυντικό ή επιβαρυντικό στοιχείο.
Κάθε παράβαση θα κρίνεται με βάση τα δεδομένα της συγκεκριμένης υπόθεσης. Έτσι δεν μπορεί να δώσει κάποιος γενική απάντηση στο ερώτημα. Μπορεί όμως να λεχθεί ότι, στο πλαίσιο της αρχής της αναλογικότητας, η συνδρομή συνθηκών, λόγω των οποίων καθίσταται δυσχερής η πλήρης εναρμόνιση με τον Κανονισμό, αποτελεί κριτήριο που λαμβάνεται υπόψη κατά το πρώτο διάστημα μετά την έναρξη εφαρμογής του Γενικού Κανονισμού.
Πείτε μας 3 οφέλη που μπορούν να έχουν οι εταιρίες που θα συμμορφωθούν στον κανονισμό.
Πρώτον και κυριότερο ο νέος Κανονισμός μειώνει τη γραφειοκρατία. Θα εξαλείψει, για παράδειγμα, την υποχρέωση για τις επιχειρήσεις να ειδοποιούν διαφορετικές εθνικές αρχές προστασίας δεδομένων σχετικά με τα δεδομένα που επεξεργάζονται. Μέχρι σήμερα οι επιχειρήσεις στην ΕΕ έπρεπε να ασχολούνται με 28 διαφορετικές νομοθεσίες για την προστασία των δεδομένων. Για πολλές εταιρείες που επεδίωκαν να αποκτήσουν πρόσβαση σε νέες αγορές αυτός ο κατακερματισμός δημιουργούσε δαπανηρές διοικητικές επιβαρύνσεις.
Δεύτερον, ενθαρρύνει την καινοτομία. Θα παρέχει κίνητρα σε επιχειρήσεις να καινοτομούν και να αναπτύσσουν νέες ιδέες, μεθόδους και τεχνολογίες για τη διασφάλιση και την προστασία των δεδομένων προσωπικού χαρακτήρα.
Τέλος, διευκολύνει τη διεθνή κυκλοφορία δεδομένων. Ο Κανονισμός διευκρινίζει τις προϋποθέσεις υπό τις οποίες μια εταιρεία μπορεί να διαβιβάζει δεδομένα προσωπικού χαρακτήρα Ευρωπαίων σε χώρες εκτός της ΕΕ, διασφαλίζοντας παράλληλα ένα υψηλό επίπεδο προστασίας για τα δεδομένα που μεταφέρονται στο εξωτερικό. Οι νέοι κανόνες επεκτείνουν τις δυνατότητες των εταιρειών να χρησιμοποιούν υφιστάμενα μέσα (όπως τυποποιημένες συμβατικές ρήτρες και δεσμευτικούς εταιρικούς κανόνες) και μειώνουν τη γραφειοκρατία. Επίσης, θεσπίζουν νέα μέσα για διεθνείς διαβιβάσεις, όπως εγκεκριμένους κώδικες δεοντολογίας ή μηχανισμούς πιστοποίησης (σφραγίδες ή σήματα προστασίας των δεδομένων).
Πρέπει να προστεθεί ότι σε περίπτωση επιβολής προστίμου οποιουδήποτε ύψους, οι συνέπειες για τη φήμη της επιχείρησης και τη θέση της στην αγορά μπορεί να συνιστούν βλάβη, ακόμη και οικονομική, σοβαρότερη από το ίδιο το πρόστιμο. Αυτός είναι ένας ισχυρός λόγος συμμόρφωσης προς τον Γενικό Κανονισμό.
Σχόλια