Eleni Bardaktsian

GDPR: Το κομμάτι του πάζλ που έλειπε από την ευρωπαϊκή νομοθεσία

Posted on Posted in Αναλύσεις, Πληροφόρηση και Ασφάλεια

Γράφει η Ελένη Μπαρντακτσιάν, Δόκιμη Αναλύτρια ΚΕΔΙΣΑ

Η τεχνολογική εξέλιξη οδηγεί στην θεσμοθέτηση ενός συστήματος προστασίας όπου η Ευρωπαϊκή Ένωση σε συνεργασία με τα μέλη της, δημιουργούν το κατάλληλο θεσμικό πλαίσιο για την προάσπιση των συμφερόντων των πολιτών της.

Στις 25 Μαΐου 2018 θα τεθεί σε εφαρμογή ο νέος Ευρωπαϊκός Κανονισμός Προστασίας Προσωπικών Δεδομένων (General Data Protection Regulation-GDPR) 2016/679 και θα επιφέρει τεράστιες αλλαγές στον τρόπο με τον οποίο χειριζόταν μέχρι τώρα οι οργανισμοί και οι εταιρείες τα προσωπικά δεδομένα των πολιτών. Σκοπός του νόμου είναι η θέσπιση των προϋποθέσεων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα προς προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων και ιδίως του δικαιώματος προστασίας προσωπικών δεδομένων. Μία από τις βασικές τροποποιήσεις αποτελεί το ζήτημα του εδαφικού πεδίου εφαρμογής δηλαδή τη χώρα που βρίσκεται ο κάθε πολίτης. Ο κανονισμός θα εφαρμόζεται στην επεξεργασία δεδομένων Ευρωπαίων πολιτών από έναν υπεύθυνο επεξεργασίας (controller) ή εκτελούντα την επεξεργασία (processor) ανεξάρτητα εάν αυτοί είναι εγκατεστημένοι εντός της Ευρωπαϊκής Ένωσης. Ο κανονισμός GDPR θέτει αναμφίβολα μία πιο αυστηρή βάση ως προς τις αρχές που ισχύουν μέχρι σήμερα για τον χειρισμό προσωπικών δεδομένων και δημιουργεί νέες υποχρεώσεις στις επιχειρήσεις. Απαιτεί την λήψη  τεχνικών και οργανωτικών μέτρων καθώς και βελτίωση των υφιστάμενων δομών. Επιπλέον οι επιχειρήσεις έχουν την υποχρέωση να ενημερώνουν την Αρχή Προστασίας Προσωπικών Δεδομένων εντός 72 ωρών από τη στιγμή που θα λάβουν γνώση για οποιαδήποτε παραβίαση των προσωπικών δεδομένων. Κατ’ αυτόν τον τρόπο η Αρχή Προστασίας Προσωπικών Δεδομένων αναμένεται να αποκτήσει ισχυρότερο ελεγκτικό ρόλο με τα πρόστιμα να αγγίζουν μέχρι τα 20 εκατομμύρια € ή 4%  του παγκόσμιου τζίρου τους ανά παραβίαση ανά άτομο. Σε περίπτωση ζημιογόνου συμβάντος θα υπάρχει κατάλληλη ασφαλιστική κάλυψη γνωστή και ως Cyber Risks Insurance που θα αποτελεί τεκμήριο συμβατότητας με το GDPR καθώς η υλοποίηση της προϋποθέτει να υπάρχουν τα κατάλληλα συστήματα. Όλα τα παραπάνω θα υλοποιηθούν υπό τις κατευθυντήριες γραμμές της ομάδας εργασίας του άρθρου 29 που είναι ένα ανεξάρτητο συμβουλευτικό σώμα που ασχολείται με την προστασία των δεδομένων προσωπικού χαρακτήρα και την ιδιωτικότητα στην Ευρωπαϊκής Ένωσης. Μεγάλο μέρος του GDPR αποτελεί η συγκατάθεση η οποία εξειδικεύεται περαιτέρω και αποτελεί μια από τις νόμιμες βάσεις για την επεξεργασία προσωπικών δεδομένων σύμφωνα με την κατηγοριοποίηση του άρθρου 6. Εκεί βασίζεται και το άρθρο 35 που κάνει λόγο για ενδεχόμενο υψηλό κίνδυνο <<για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων>>. Η παραπομπή <<στα δικαιώματα και τις ελευθερίες>> των υποκειμένων των δεδομένων αφορά πρωτίστως τα δικαιώματα προστασίας των δεδομένων και της ιδιωτικής ζωής. Ενδέχεται  όμως να συμπεριλαμβάνει κι άλλα θεμελιώδη δικαιώματα όπως την ελευθερία του λόγου, την ελευθερία κυκλοφορίας, την απαγόρευση διακρίσεων. Δεδομένου αυτού οι υπεύθυνοι επεξεργασίας πρέπει να αξιόλογουν συνεχώς τους κινδύνους που απορρέουν από τις δραστηριότητες επεξεργασίας τους για να εξακριβώνουν ποτέ ένα είδος επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Με βάση αυτά τα δεδομένα οι εταιρείες direct marketing θα πρέπει οπωσδήποτε να λαμβάνουν την ελεύθερη ρητή και ειδική συγκατάθεση του χρήστη ακολουθώντας ειδικές διαδικασίες προσέγγισης καθώς και να αναφέρουν τον σκοπό της χρήσης, το χρόνο διατήρησης δεδομένων κ.α.

Ενόψει αυτής της ευρωπαϊκής οδηγίας οι επιχειρηματίες είναι ιδιαιτέρως προβληματισμένοι αφού μόλις μια στις τρεις εταιρείες έχουνε καταρτίσει σχέδιο δράσης, γεγονός που επιβεβαιώνεται και από την έρευνα της EY Global Forensic Data Analytics Survey. Οι ευρωπαϊκές επιχειρήσεις φαίνονται καλύτερα προετοιμασμένες σε ποσοστό 60% εν αντίθεσιν με το 87% των email marketers στην Αμερική που δήλωσε έλλειψη εξοικείωσης με τον κανονισμό GDPR. Στην ίδια έρευνα το 19% των αμερικανικών επιχειρήσεων δηλώνει αβεβαιότητα στην διατήρηση βάσης δεδομένων των ευρωπαίων πολιτών. Σε άλλες αγορές ο αριθμός των επιχειρήσεων που  δηλώνουν έτοιμες να συμμορφωθούν στο GDPR είναι αισθητά μικρότερος συμπεριλαμβανομένων των αγορών της Αφρικής και Μέσης Ανατολής στο 27% και της περιοχής Ασίας-Ειρηνικό με 12%. Σχολιάζοντας τα ευρήματα της έρευνας ο κ. Ιωάννης Δρακούλης, επικεφαλής του Τμήματος Διερεύνησης Οικονομικής Απάτης των Εταιρικών Αντιδικιών της Ελλάδος δήλωσε: «Ο ρυθμός των κανονιστικών αλλαγών, ο οποίος συνεχίζει να επιταχύνεται, και η εισαγωγή πλαισίου σχετικά με την προστασία των δεδομένων και της ιδιωτικής ζωής, όπως το GDPR, αποτελούν κύριες προκλήσεις για παγκόσμιους οργανισμούς. Και στη χώρα μας παρατηρείται ότι η συμμόρφωση με τις απαιτήσεις του Κανονισμού αποτελεί υψηλή προτεραιότητα για τις ελληνικές επιχειρήσεις. Ωστόσο, χρειάζεται ακόμη πολλή δουλειά προς αυτήν την κατεύθυνση, καθώς πολλές επιχειρήσεις ξεκινούν ή έχουν ξεκινήσει διαγνωστικά έργα κενών ως προς τις απαιτήσεις του Κανονισμού». Στην Ελλάδα ο κανονισμός GDPR αντιμετωπίζεται με σχετική απάθεια από αρκετές επιχειρήσεις ή ακόμα και ως απειλή από ορισμένους εξαιτίας των προβλεπόμενων αυστηρών πρόστιμων.

Συμπερασματικά ο νέος κανονισμός δεν αποτελεί απαραίτητα φραγμό στην δραστηριότητα των επιχειρήσεων αλλά αντιθέτως μια νέα πρόκληση συμμόρφωσης προς την Προστασία Προσωπικών Δεδομένων. Με την εφαρμογή των κατάλληλων νομικών, τεχνικών και οργανωτικών μέτρων μπορεί να μετουσιωθεί σε κλειδί επιτυχίας και μακροημέρευσης. Μέσα σε αυτό το πλαίσιο εκσυγχρονισμού οφείλει η ελληνική αγορά να δει σφαιρικά μια τέτοια ασφάλιση που αποτελεί συστατικό του σύγχρονου επιχειρείν.

Πηγές :