Μικρές & Μεσαίες Επιχειρήσεις: 12 Πρακτικά Βήματα Συμμόρφωσης προς τον GDPR [Α' Μέρος]
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (εφεξής Κανονισμός, GDPR) τέθηκε σε εφαρμογή στις 25 Μαΐου 2018. Κατ΄αρχάς να υπογραμμιστεί ότι δεν υπάρχει κανένας λόγος για πανικό. Η ίδια η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει, και ορθώς, επισημάνει ότι η 25 Μαΐου 2018 δεν αποτελεί το τέλος αλλά την αρχή μιας διαδικασίας προσαρμογής. Επομένως, τα πρόστιμα που προβλέπει ο Κανονισμός μπορούν να περιμένουν, προς ώρας τουλάχιστον. Εντούτοις, ο εφησυχασμός αντενδείκνυται.
Το συγκεκριμένο άρθρο απευθύνεται στις μικρές και μεσαίες επιχειρήσεις οι οποίες ως υπεύθυνοι επεξεργασίας δεν έχουν συνήθως τη δυνατότητα να επενδύσουν σε πόρους, υλικούς και ανθρώπινους, όπως οι μεγάλες επιχειρήσεις, προκειμένου να συμμορφωθούν προς τις απαιτήσεις του Κανονισμού. Σε δώδεκα απλά βήματα αναλύουμε τον «οδικό χάρτη» που συστήνουμε να ακολουθήσουν προκειμένου να αποφύγουν «περιπέτειες» σε περίπτωση που τους γίνει έλεγχος από την αρμόδια εποπτική αρχή ή υπάρξουν καταγγελίες σε βάρος τους.
Συνιστούμε στις μικρές και μεσαίες επιχειρήσεις ως υπεύθυνους επεξεργασίας να προβούν στα εξής:
1) Διαμόρφωση συνείδησης προστασίας προσωπικών δεδομένων στην επιχείρηση (awareness). Τούτο προϋποθέτει ενημέρωση όχι μόνο της διοίκησης (management) αλλά και όλου του προσωπικού για το ότι ο Κανονισμός επιφέρει αλλαγές στην προστασία των δεδομένων και κατ’ επέκταση, ενδεχομένως, και στη λειτουργία της επιχείρησης. Συνεπώς, όλοι οι εργαζόμενοι επιβάλλεται να γνωρίζουν, στο βαθμό που είναι αναγκαίο για την ορθή άσκηση των καθηκόντων τους, τί επιτρέπεται και τί απαγορεύεται, τί είναι υποχρεωτικό και τί προαιρετικό, με βάση τον Κανονισμό. Ακόμη και αν όλα τα τεχνικά μέτρα προστασίας που η επιχείρηση εφαρμόζει είναι άψογα, εφόσον δεν υπάρξει ευαισθητοποίηση και κινητοποίηση του ανθρώπινου δυναμικού της, θα ανακύπτουν συνεχώς προβλήματα συμμόρφωσης.
2) Χαρτογράφηση των προσωπικών δεδομένων τα οποία η επιχείρηση επεξεργάζεται, τις πηγές από τις οποίες τα αντλεί και τους αποδέκτες τους. Ανάλογα με την περίπτωση, είναι πιθανό να απαιτείται ένας ενδελεχής πληροφορικός έλεγχος (information audit).
3) Αναθεώρηση της πολιτικής απορρήτου (γνωστή και ως πολιτική προστασίας δεδομένων, privacy notice) ώστε να είναι συμβατή με τις διατάξεις του Κανονισμού. Προκειμένου η πολιτική απορρήτου να καταστεί όσο γίνεται περισσότερο προσπελάσιμη και ευρύτερα γνωστή, συνιστάται η ανάρτησή της στην αρχική ιστοσελίδα της επιχείρησης. Oι υπεύθυνοι επεξεργασίας, εκτός της ταυτότητάς τους και του τρόπου με τον οποίο σκοπεύουν να χρησιμοποιήσουν τα προσωπικά δεδομένα που συλλέγουν, υποχρεώνονται πλέον από τον Κανονισμό να γνωστοποιούν στο υποκείμενο των δεδομένων τη νόμιμη βάση επεξεργασίας των δεδομένων του, το χρόνο τήρησής τους και το δικαίωμά του για υποβολή καταγγελίας στην αρμόδια εποπτική αρχή. Η πληροφόρηση πρέπει πάντα να γίνεται σε ύφος “λακωνικό” (όχι υπερπληροφόρηση) και σε γλώσσα σαφή και εύκολα κατανοητή στο μέσο πολίτη.
4) Έλεγχος των υφιστάμενων διαδικασιών της επιχείρησης ώστε να εξακριβωθεί αν και κατά πόσο διασφαλίζουν την υλοποίηση των νέων καθώς και των ήδη υφιστάμενων αλλά ενισχυμένων πλέον από τον Κανονισμό δικαιωμάτων των υποκειμένων των δεδομένων. Πρόκειται για τα:
- δικαίωμα ενημέρωσης
- δικαίωμα πρόσβασης
- δικαίωμα διόρθωσης
- δικαίωμα διαγραφής (“δικαίωμα στη λήθη”)
- δικαίωμα στον περιορισμό της επεξεργασίας
- δικαίωμα στη φορητότητα των δεδομένων
- δικαίωμα εναντίωσης
- δικαίωμα στην ανθρώπινη παρέμβαση
Ας δώσουμε δύο παραδείγματα.
Σε περίπτωση που ένα υποκείμενο δεδομένων ζητά από μια επιχείρηση να διαγράψει τα προσωπικά του δεδομένα από τα αρχεία της, προκύπτουν οι εξής ερωτήσεις:
- Έχει λάβει η επιχείρηση τα κατάλληλα οργανωτικά και τεχνικά μέτρα ώστε να είναι σε θέση κατ’ αρχάς να εντοπίσει και στη συνέχεια να διαγράψει τα δεδομένα του συγκεκριμένου υποκειμένου;
- Έχει ορίσει το άτομο ή την ομάδα που θα έχει την αποφασιστική αρμοδιότητα περί διαγραφής ή μη;
Το δεύτερο παράδειγμα αφορά στο νέο δικαίωμα στη φορητότητα των δεδομένων. Αν η επιχείρηση προβαίνει σε αυτοματοποιημένη επεξεργασία δεδομένων με βάση σύμβαση ή τη συγκατάθεση του υποκειμένου, οφείλει να ελέγξει και αναλόγως να αναθεωρήσει τις διαδικασίες της, ώστε να είναι σε θέση να παρέχει στο υποκείμενο τα δεδομένα του σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα διαλειτουργικό μορφότυπο, δωρεάν και μέσα σε προθεσμία ενός μηνός.
5) Έλεγχος αν έχουν υιοθετηθεί τα κατάλληλα οργανωτικά και τεχνικά μέτρα προκειμένου η επιχείρηση να μπορεί αμέσως και ευχερώς να ανταποκρίνεται σε αιτήματα των υποκειμένων των δεδομένων για πρόσβαση σ’ αυτά, ιδίως μάλιστα αν αναμένονται πολλά τέτοια αιτήματα. Εφιστάται η προσοχή στην άσκηση του δικαιώματος πρόσβασης του υποκειμένου διότι στις πλείστες περιπτώσεις το δικαίωμα πρόσβασης παρέχεται δωρεάν, ενώ η προθεσμία απάντησης είναι μόνο ένας μήνας. Σε περίπτωση άρνησης ικανοποίησης του δικαιώματος πρόσβασης ο υπεύθυνος επεξεργασίας οφείλει να εξηγήσει στο υποκείμενο των δεδομένων χωρίς αναίτια καθυστέρηση και το αργότερο σε έναν μήνα το λόγο άρνησης, και ταυτόχρονα να ενημερώσει το υποκείμενο για το δικαίωμά του να υποβάλει καταγγελία στην αρμόδια εποπτική αρχή και να προσφύγει δικαστικά κατά του υπευθύνου επεξεργασίας. Στο μέτρο του δυνατού ή του επιθυμητού, αποτελεί “καλή πρακτική” η εγκατάσταση IT συστήματος που επιτρέπει την επιγραμμική (online) πρόσβαση του υποκειμένου στα προσωπικά του δεδομένα.
6) Απαντήσεις στα ακόλουθα ερωτήματα:
- Έχει προσδιοριστεί και καταγραφεί η νόμιμη βάση επεξεργασίας των προσωπικών δεδομένων και έχει συνδεθεί με συγκεκριμένο και ρητό σκοπό ή σκοπούς επεξεργασίας;
- Τηρείται η αρχή της «ελαχιστοποίησης των δεδομένων», δηλαδή γίνεται επεξεργασία των απολύτως αναγκαίων δεδομένων για την επίτευξη του εκάστοτε σκοπού επεξεργασίας, και όχι περισσότερων δεδομένων απ’ ότι χρειάζεται;
Οι απαντήσεις στα παραπάνω ερωτήματα πρέπει να συμπεριληφθούν και να επεξηγηθούν στην πολιτική απορρήτου της επιχείρησης (βλέπε υπό 3).
Υπό το παλιό νομικό καθεστώς της Οδηγίας 95/46/ΕΚ η νόμιμη βάση επεξεργασίας δεν είχε ιδιαίτερες πρακτικές επιπτώσεις. Με τον Κανονισμό η κατάσταση αλλάζει. Τα υποκείμενα αποκτούν πλέον επισήμως ισχυρό δικαίωμα διαγραφής των δεδομένων τους στις περιπτώσεις όπου η συγκατάθεση αποτελεί τη νόμιμη βάση επεξεργασίας.
Η συνέχεια του άρθρου θα ακολουθήσει τη Δευτέρα 4/6/2018.
Επισημαίνεται ότι το παρόν άρθρο εκφράζει προσωπικές απόψεις της γράφουσας και όχι της Αρχής Προστασίας Προσωπικών Δεδομένων της οποίας είναι τακτικό μέλος.
Σχόλια