Γιώργος Γιαννόπουλος: Το πλαίσιο εφαρμογής είναι δεόντως αυστηρό, άσχετα από τους ψιθύρους ανοχής στην αρχική περίοδο
Ο Γιώργος Γιαννόπουλος, Επίκουρος Καθηγητής στη Νομική Αθηνών με γνωστικό αντικείμενο «Νομική Πληροφορική» και Διευθυντής του Εργαστηρίου Νομικής Πληροφορικής, μιλάει στο epixeiro.gr με αφορμή τον GDPR.
Ποια η διαφορά του νέου Ευρωπαϊκού Κανονισμού από την ισχύουσα μέχρι σήμερα Ευρωπαϊκή Οδηγία (95/46/ΕΚ);
Οι βασικές αρχές προστασίας δεδομένων παραμένουν αναλλοίωτες επί 30 έτη. Αυτό που αλλάζει, εκτός από την επαύξηση των δικαιωμάτων των πολιτών, είναι η μετάθεση της ευθύνης για συμμόρφωση στον οργανισμό /επιχείρηση με σύστημα λογοδοσίας (accountability).
Τι ορίζεται ως προσωπικό δεδομένο;
Kάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («Yποκείμενο των δεδομένων»). H ταυτοποίηση μπορεί να είναι άμεση με κάποιο αναγνωριστικό στοιχείο ταυτότητας, όπως το όνομα, ο αριθμός ταυτότητας, τα δεδομένα θέσης, η κάποιο αναγνωριστικό σε απ’ ευθείας σύνδεση όπως π.χ. η ΙP address. Μπορεί όμως να είναι και έμμεση με βάση έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα κάποιου φυσικού προσώπου.
Τι προβλέπεται στην περίπτωση όταν μια εταιρία κατέχει προσωπικά δεδομένα ανήλικων παιδιών;
Ο Κανονισμός θεωρεί ότι τα παιδιά απαιτούν ειδική προστασία, επειδή μπορεί να έχουν μικρότερη επίγνωση των σχετικών κινδύνων. Έτσι, αυτή η ειδική προστασία ισχύει ιδίως στη χρήση δεδομένων με σκοπό την εμπορία ή τη δημιουργία προφίλ και τη συλλογή δεδομένων σε σχέση με παιδιά ή κατά τη χρήση υπηρεσιών που προσφέρονται σε παιδί. Ειδικότερα, κατά τη στάθμιση του υπέρτερου εννόμου συμφέροντος λαμβάνεται ιδιαίτερα υπ’ όψιν αν το Υποκείμενο είναι παιδί. Επίσης, αν κάποιος είναι κάτω από το όριο ηλικίας (13-16 έτη ανάλογα με τη απόφαση κάθε κράτους) ο Υπεύθυνος Επεξεργασίας πρέπει να αναζητήσει την συγκατάθεση των προσώπων που ασκούν τη γονική μέριμνα. Εάν η επεξεργασία απευθύνεται σε παιδί, θα πρέπει να διατυπώνεται σε σαφή και απλή γλώσσα την οποία το παιδί να μπορεί να κατανοεί εύκολα.
Τι ισχύει σχετικά με τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς;
Για τις διαβιβάσεις σε τρίτες χώρες είναι απαραίτητο να έχει αποφασίσει η Επιτροπή ότι διασφαλίζεται επαρκές επίπεδο προστασίας. Διαφορετικά ο Υπεύθυνος Επεξεργασίας ή ο Εκτελών την Επεξεργασία πρέπει να παράσχει κατάλληλες εγγυήσεις και στην τρίτη χώρα να διαπιστωθεί ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα Υποκείμενα των δεδομένων. Οι εν λόγω εγγυήσεις μπορούν να προβλέπονται σε α) δεσμευτικούς εταιρικούς κανόνες (Binding Corporate Rules – BCRs), β) τυποποιημένες ρήτρες προστασίας δεδομένων (Standard Contractual Clauses – SCCs) που εκδίδονται από την Επιτροπή ή από εθνική Αρχή, γ) εγκεκριμένο κώδικα δεοντολογίας, ή δ) εγκεκριμένο μηχανισμού πιστοποίησης,
Είναι υποχρεωτικό μια εταιρία να λάβει κάποιου είδους συγκεκριμένη πιστοποίηση που θα δείχνει ότι εναρμονίζεται με τον GDPR;
Όχι, αλλά εφ’όσον την επιλέξει προβλέπεονται μια σειρά από πλεονεκτήματα όπως π.χ. διευκολύνεται η απόδειξη της συμμόρφωσης ή όπως ανωτέρω καλύπτονται οι εγγυήσεις για τους Υπευθύνους ή Εκτελούντες που βρίσκονται σε τρίτη χώρα, ή ακόμη λαμβάνονται υπ’ όψιν κατά την επιβολή προστίμων.
Δεδομένου ότι τώρα οι επιχειρήσεις θα χρειαστεί να προσλάβουν αρκετούς DPO, θεωρείτε υπάρχει αρκετός αριθμός ατόμων με αυτήν την ειδικότητα;
Ο ρόλος του DPO έτσι όπως τον περιγράφει ο Κανονισμός είναι εξαιρετικά σύνθετος. Πρέπει να είναι πρόσωπο με βαθειά γνώση του αντικειμένου, αυτό υπονοεί η φράση «… διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων…»
Πόσο αυστηρό ήταν το πλαίσιο της συμμόρφωσης ως τις 25 Μαΐου;
Το πλαίσιο είναι δεόντως αυστηρό, άσχετα από τους ψιθύρους ότι οι Αρχές θα επιδείξουν κάποια ανοχή στην αρχική περίοδο εφαρμογής.
Ποια είναι η διαδικασία επιβολής και είσπραξης των προστίμων που προβλέπει ο ΓΚΠΔ (GDPR);
Τα πρόστιμα μπορούν να ανέλθουν έως 20 000 000€ ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο. Οι λεπτομέρειες είσπραξης καθορίζονται από την εθνική νομοθεσία.
Τι θα λαμβάνει στα υπόψιν η Εποπτική Αρχή για την επιβολή προστίμων;
Κατά τον Κανονισμό τη φύση, τη βαρύτητα και τη διάρκεια της παράβασης, αλλά λησμονούμε ότι κυρίως θα λάβει υπ’ όψιν την αρχή της αναλογικότητας και, συναφώς, την αποτρεπτική / παιδευτική λειτουργία του προστίμου.
Είναι γεγονός πως στην Ελλάδα υπάρχουν πολλές μικρομεσαίες επιχειρήσεις οι οποίες ενδεχομένως να αποθηκεύουν μεγάλους όγκους δεδομένων. Πώς μπορεί λοιπόν να γίνει μια σωστή διαχείριση της κατάστασης από τέτοιες εταιρίες;
Το κρίσιμο δεν είναι το μέγεθος της εταιρίας ή ο όγκος των δεδομένων, αλλά η «επικινδυνότητα», ιδίως αν μιλάμε για ειδικές κατηγορίες δεδομένων (τα παλαιά «ευαίσθητα»). Μία μικρή κλινική μπορεί να διαχειρίζεται δεδομένα υγείας ή γενετικά που παρουσιάζουν υψηλό κίνδυνο, σε αντίθεση με έναν μεγάλο οργανισμό που μπορεί να μην επεξεργάζεται δεδομένα υψηλού κινδύνου. Επομένως, θα πρέπει να προηγηθεί έλεγχος συμμόρφωσης που ανάλογα με τα δεδομένα και τις διαδικασίες κάθε οργανισμού/εταιρίας θα διατυπώσει προτάσεις για την διαχείρισή τους σύμφωνα με τον ΓΚΠΔ
Σχόλια