Άρθρο Προέδρου ΕΣΕΕ & ΕΒΕΠ, Βασίλη Κορκίδη

Προστασία των Προσωπικών Δεδομένων για τις επιχειρήσεις

Νέος Ευρωπαϊκός Κανονισμός
  • Τετάρτη, 2 Μαΐου, 2018 - 06:08

Το αντικείμενο του γενικού Κανονισμού, το κόστος μη συμμόρφωσης, ποιους αφορά, ποιες υποχρεώσεις ανακύπτουν, καθώς επίσης και τα προβλήματα που πρέπει να απαντηθούν απασχολούν τους φορείς της αγοράς, στο πλαίσιο της ενημέρωσης των μικρομεσαίων επιχειρήσεων.

Ο Ευρωπαϊκός Κανονισμός 2016/679 (General Data Protection Regulation, GDPR) ψηφίστηκε στις 27.04.2016 και τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης στις 25.05.2018, διαμορφώνοντας ένα ενιαίο νομικό πλαίσιο, χωρίς την ανάγκη ψήφισης εθνικής νομοθεσίας και καταργώντας την υφιστάμενη νομοθεσία, ενώ έχει τεθεί προς δημόσια διαβούλευση μέχρι τις 5 Μαρτίου 2018. Αφορά όλες τις ιδιωτικές και δημόσιες επιχειρήσεις, καθώς και τις κρατικές αρχές, που με οποιονδήποτε τρόπο συγκεντρώνουν, επεξεργάζονται και, εν γένει, διαχειρίζονται δεδομένα προσωπικού χαρακτήρα πελατών, σχετιζόμενων με τους πελάτες τους, εργαζομένων, συνεργατών ή άλλων φυσικών προσώπων. Ως εκ τούτου, υπόκεινται στην τήρησή του όλες οι  επιχειρήσεις, εντός και εκτός Ευρωπαϊκής Ένωσης, εφόσον τα δεδομένα αφορούν Ευρωπαίους πολίτες.

Αξίζει να επισημάνουμε πως ο νέος Κανονισμός αυξάνει σημαντικά τις υποχρεώσεις των επιχειρήσεων, ενώ σε περίπτωση παράβασής του προβλέπονται σημαντικά αυξημένα πρόστιμα που, ανάλογα με το είδος και το μέγεθός της, φθάνουν έως τα 20 εκατομμύρια ευρώ ή το 4% του συνολικού ετήσιου κύκλου εργασιών. Για παράδειγμα, δεν θα μπορούμε πλέον να προσθέτουμε νέες διευθύνσεις στις ατελείωτες λίστες ηλεκτρονικού ταχυδρομείου ή να στέλνουμε μη στοχευμένες επικοινωνίες σε όλους τους εγγεγραμμένους χρήστες. Το βασικό συμπέρασμα που προκύπτει και πρέπει όλοι μας να έχουμε κατά νου, είναι πως η συγκατάθεση θεωρείται απαραίτητη και ζωτικής σημασίας για το νέο Κανονισμό. Τέλος, θα ήθελα να τονίσω ότι με μία σειρά πρωτοβουλιών ενημέρωσης, θα προσπαθήσουμε να προετοιμάσουμε το έδαφος και να σταθούμε αρωγός σε ό,τι σχετικό μας απασχολήσει μελλοντικά. Ευελπιστώ πως θα μπορέσουμε να συμμορφωθούμε με τις απαιτήσεις, αξιοποιώντας τις κατάλληλες λύσεις με τον περιορισμό των διαδικασιών στις μικρές επιχειρήσεις.

Η υλοποίηση ενός τέτοιου έργου απαιτεί την ύπαρξη υπευθύνου δεδομένων που θα οργανώσει άμεσα τη διαδικασία, υποστηρίζοντας και καθοδηγώντας την υλοποίηση μέσα από μία ολιστική συμμόρφωση και με τη δημιουργία αρχείου ενεργειών επεξεργασίας. Θα πρέπει, επίσης, να αξιολογεί τις επιπτώσεις προστασίας δεδομένων εντοπίζοντας άμεσα όλους τους πιθανούς κινδύνους (Privacy Impact Assessment). Είναι δε ουσιώδες, να αναπτύξει πολιτικές και διαδικασίες προστασίας προσωπικών δεδομένων, σε ένα πλήρες Σύστημα Διαχείρισης Προσωπικών Δεδομένων. Ολοκληρώνοντας, επισημαίνω ότι θα πρέπει να εφαρμοστούν επιθεωρήσεις ετοιμότητας (Compliance Audit), ως προς το νέο Κανονισμό, ενώ θα πρέπει να υπάρξει πιστοποίηση και επαλήθευση της συμμόρφωσης με βάση τα διεθνή πρότυπα που έχουν οριστεί.