Από τις 25 Μαΐου 2018, οι εταιρείες που δραστηριοποιούνται στην Ελλάδα καλούνται να συμμορφωθούν με τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR – General Data Protection Regulation), ο οποίος επιβάλλει αυστηρούς κανόνες στην επεξεργασία προσωπικών δεδομένων των κατοίκων της Ε.Ε.
των Τζένης Πάνου*-Γιώργου Σαμοθράκη*
Από νομοθετικής πλευράς επίκεινται η κωδικοποίηση των διατάξεων για τα προσωπικά δεδομένα και η ενσωμάτωση της οδηγίας 2016/ 680 για την προστασία των δεδομένων από τις διωκτικές και προανακριτικές αρχές και τις εισαγγελίες.
Ο ΓΚΠΔ εισάγει νέα εργαλεία και διαδικασίες με στόχο την εξασφάλιση ευρύτερης και αποτελεσματικότερης προστασίας των δεδομένων προσωπικού χαρακτήρα, όπως ενδεικτικά μέσω της τήρησης αρχείου δραστηριοτήτων της επεξεργασίας, της διενέργειας εκτίμησης αντικτύπου και –κυρίως– του ορισμού υπευθύνου Προστασίας Δεδομένων (DPO).
Τυχόν παραβίαση του νέου Κανονισμού επισύρει διοικητικά πρόστιμα από την αρμόδια Αρχή Προστασίας Προσωπικών Δεδομένων, τα οποία μπορεί να φτάσουν έως και τα 20 εκατ. ευρώ ή έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους της επιχείρησης, ανάλογα με το ποιο ποσό είναι υψηλότερο.
Την ίδια ώρα, πρόσφατες έρευνες στην Ελλάδα αποκαλύπτουν ότι 4 στις 6 επιχειρήσεις δεν γνωρίζουν ούτε ότι ο Κανονισμός ήδη επηρεάζει σημαντικά τις υπάρχουσες δομές τους ούτε με ποιον τρόπο θα πρέπει να δρομολογήσουν την άμεση συμμόρφωσή τους. Σε αυτό το πλαίσιο, οι ειδικοί σύμβουλοι του AS Network δημιούργησαν έναν οδικό χάρτη με τα βασικά βήματα που πρέπει να ακολουθήσει κάθε εταιρεία, που δραστηριοποιείται στην Ελλάδα, προκειμένου να συμμορφωθεί με το ΓΚΠΔ:
Βήμα 1: Κατ’ αρχάς θα πρέπει να γίνει μια «χαρτογράφηση» των ροών προσωπικών δεδομένων (data flow mapping) και να διερευνηθούν τα παρακάτω ζητήματα:
- Ποια είναι τα προσωπικά δεδομένα, πώς αποκτήθηκαν, για ποιο σκοπό, σε ποιες κατηγορίες ανήκουν (απλά, ευαίσθητα, δημόσια);
- Ποια είναι τα υποκείμενα των προσωπικών δεδομένων
- Πού φυλάσσονται τα προσωπικά δεδομένα (ηλεκτρονικό/ φυσικό αρχείο);
- Ποιος έχει πρόσβαση σε αυτά και σε ποιους θα κοινοποιηθούν/διαβιβαστούν;
- Υπάρχει συγκατάθεση του υποκειμένου για την επεξεργασία;
- Για πόσο χρόνο διατηρούνται τα προσωπικά δεδομένα;
- Υπάρχει διαδικασία καταστροφής;
- Ποια τεχνικά και οργανωτικά μέτρα έχουν ληφθεί για την προστασία των δεδομένων;
Βήμα 2: Το επόμενο βήμα είναι να εντοπιστούν τα υφιστάμενα κενά/προβλήματα και να αναλυθούν οι ελλείψεις (Gap analysis). Θα πρέπει να διενεργηθεί εκτίμηση του αντικτύπου πριν από την επεξεργασία των δεδομένων. Αν από την εκτίμηση προκύπτει υψηλός κίνδυνος, ο υπεύθυνος επεξεργασίας οφείλει να ζητήσει γνωμοδότηση της Αρχής Προστασίας Δεδομένων προσωπικού χαρακτήρα.
Βήμα 3: Εν συνεχεία η επιχείρηση θα πρέπει να προχωρήσει στην υιοθέτηση των αναγκαίων τεχνικών και οργανωτικών μέτρων για την ασφάλεια των δεδομένων.
Βήμα 4: Οι επιχειρήσεις θα πρέπει πλέον να διασφαλίζουν τη διαρκή συμμόρφωσή τους με τον ΓΚΠΔ και να είναι σε θέση να αποδεικνύουν τη συμμόρφωση αυτή. Στο πλαίσιο αυτό είναι αναγκαίες οι κατωτέρω ενέργειες:
Διορισμός υπευθύνου προστασίας δεδομένων και υποστήριξή του από ομάδα ατόμων και τους απαραίτητους πόρους για την άσκηση των καθηκόντων του. Διατήρηση αρχείου για κάθε μορφή επεξεργασίας δεδομένων που λαμβάνει χώρα. Καταγραφή και εφαρμογή των πολιτικών προστασίας δεδομένων. Υιοθέτηση πρακτικών για την αντιμετώπιση περιπτώσεων παραβίασης προσωπικών δεδομένων – έλεγχος αποτελεσματικότητας. Ειδικές ρήτρες περί προσωπικών δεδομένων στις συμβάσεις με προσωπικό, πελάτες και προμηθευτές. Δικαιώματα των υποκειμένων περί πρόσβασης, διόρθωσης, εναντίωσης, περιορισμού επεξεργασίας, φορητότητας δεδομένων κ.ά. Εκπαίδευση – ευαισθητοποίηση του προσωπικού.
* Η κ. Τζένη Πάνου και ο κ. Γιώργος Σαμοθράκης είναι υπεύθυνοι του φορολογικού τμήματος της ASnetwork (www.asnetwork.gr).
πηγη: Έντυπη Καθημερινή