της Βίκυς Γερασίμου
Στο νέο ευρωπαϊκό νομοθετικό πλαίσιο που διέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να εναρμονιστούν οι επιχειρήσεις που διαχειρίζονται προσωπικά στοιχεία πελατών από τις 25 Μαΐου του 2018.
Πρόκειται για μία κανονιστική αλλαγή που θα επηρεάσει σε μεγάλο βαθμό την ασφαλιστική αγορά, που λόγω του αντικειμένου της διατηρεί βάσεις με ευαίσθητα δεδομένα, αλλά και γενικότερα όλες τις επιχειρήσεις ανεξαρτήτως μεγέθους που συλλέγουν στο πλαίσιο της δραστηριοποίησης τους προσωπικές πληροφορίες. Το νέο περιβάλλον που θα ισχύσει για όλες τις επιχειρήσεις της ΕΕ μέσα στα επόμενα δύο χρόνια έχει «ανοίξει» σε πολλές χώρες τη συζήτηση του κατά πόσο θα έπρεπε να καταστεί υποχρεωτική η ασφάλιση δεδομένων προσωπικού χαρακτήρα.
Τα κόστη από τις διοικητικές αρχές είναι τεράστια και ανάλογα με την παράβαση θα ανέρχονται σε κάποιες περιπτώσεις από 10 έως 50 εκατ. ευρώ και σε κάποιες άλλες στο 2-4% του τζίρου της επιχείρησης.
Διεξοδικά αναφέρθηκε στο νέο πλαίσιο από τη βήμα του 2nd Athens Summit, ο κ. Δ. Ζωγραφόπουλος, Ειδικός επιστήμων της Αρχής Προστασίας Προσωπικών Δεδομένων, ο οποίος επισήμανε μεταξύ άλλων ότι επειδή καταργείται η αδειοδότηση για την επεξεργασία δεδομένων που αποτελούσε για τις αρχές βασικό μέσο στην εύρεση ύποπτων υποθέσεων «θα ήταν σκόπιμο να συζητηθεί εάν πρέπει να καταστεί εκ του νόμου υποχρεωτική η ασφάλιση δεδομένων προσωπικού χαρακτήρα, για όλες τις δραστηριότητες εξαιρουμένων των δραστηριοτήτων που αφορούν πχ οικιακή χρήση, λαμβάνοντας υπόψη την ευθύνη από τη διακινδύνευση όσο και του διακυβεύματος που είναι η προστασία θεμελιωδών δικαιωμάτων».
Οι βασικές αλλαγές του νέου πλαισίου
- Διευρύνει την συνεργασία των αρμοδίων σε κάθε εταιρεία με τις αρχέ
- Επιτάσσει την τήρηση λεπτομερέστερων αρχείων και πληροφοριών, δημιουργώντας περισσότερη «γραφειοκρατία» για τις εταιρείες
- Ενισχύει την αυτοτελή ευθύνη του εκτελούντος την επεξεργασία
- Καθιστά στην ουσία αναγκαίο τον DPO officer
- Χαρακτηρίζει τα βιομετρικά και γενετικά δεδομένα ως προσωπικού χαρακτήρα από τη στιγμή που οδηγούν στην ταυτοποίηση του καταναλωτή.
- Ορίζει μεγάλα πρόστιμα για τις εταιρείες
Από την ιδιωτικότητα στην προστασία ΔΠΧ
Ο νέος κανονισμός μεταβαίνει από την έννοια της ιδιωτικότητας (όπως ορίζεται στη σύμβαση για τα δικαιώματα του ανθρώπου και το πώς έχει καθιερωθεί στις αγγλοσαξωνικές χώρες και κατεξοχήν στις ΗΠΑ) στην έννοια της προστασίας δεδομένων προσωπικού χαρακτήρα, που αφορά την προστασία δημόσιας ζωής ενός προσώπου. Όπως ανέφερε ο κ. Ζωγραφόπουλος «θεσπίζει πολλές νέες διαδικασίες, δικαιώματα και υποχρεώσεις αλλά στηρίζεται σε βασικές διαχρονικές αρχές του δικαίου για την προστασία ΔΠΧ όπως το ότι ο σκοπός για την επεξεργασία πρέπει να είναι θεμιτός, να υπάρχει αναλογικότητα-αναγκαιότητα, τα στοιχεία να είναι ακριβή και να τηρούνται μόνο για το χρονικό διάστημα που απαιτεί ο σκοπός επεξεργασίας τους».
Αυξάνεται η ευθύνη του υπεύθυνου και εκτελούντος επεξεργασία
Μία από τις βασικότερες αλλαγές για τις επιχειρήσεις είναι ότι δίνεται από το νομοθέτη μεγάλη έμφαση στη λογοδοσία του υπευθύνου επεξεργασίας αλλά και του ανθρώπου που εν τέλει εκτελεί την επεξεργασία, καθώς συχνά οι εταιρείες αναθέτουν σε τρίτους τη διαχείριση δεδομένων. Όπως ανέφερε ο κ. Ζωγραφόπουλος «η πρώτη εξαιρετικά σημαντική απόφαση του Δικαστηρίου της ΕΕ αφορούσε τα μέσα κοινωνικής δικτύωσης και εκεί είχε αποφανθεί ότι ο υπεύθυνος επεξεργασίας είναι ο πάροχος αλλά και ο καθένας από εμάς που έχει ένα site και ανεβάζει πληροφορίες προσωπικού χαρακτήρα. Αυξάνει η ευθύνη του προσώπου που διενεργεί την επεξεργασία για τον υπεύθυνο επεξεργασίας που συχνά είναι και εξωτερικές εταιρείες και υπέχει διοικητικές κυρώσεις. Ο υπεύθυνος επεξεργασίας και πλέον και ο εκτελών επεξεργασίας οφείλουν να έχουν DPO Officer, δηλαδή υπεύθυνο προστασίας δεδομένων». Όπως τόνισε «ο Γενικός Κανονισμός προβλέπει τον Data Protection Officer όπου υπάρχει υψηλή επικινδυνότητα. Θεωρώ ότι και εκεί που δεν απαιτείται πρέπει να θεσπίζεται εθελοντικά».
Στενή συνεργασία με την ΑΠΔΠΧ
Το νέο πλαίσιο εισάγει και τη λογική της στενής συνεργασίας με τις κατά τόπους ΑΠΔΠΧ. Εντάσσει πλέον στην έννοια των δεδομένων π.χ. τα γενετικά και βιομετρικά δεδομένα, εφόσον οδηγούν στην ταυτοποίηση ενός προσώπου. Με δεδομένο ότι το 99,9% των βιομετρικών δεδομένων είναι προσωπικά, επιχειρήσεις όπως οι τράπεζες θεωρείται ότι χρησιμοποιούν ευαίσθητες πληροφορίες.
Σταματάει η λήψη άδειας για την επεξεργασία δεδομένων
Για να μην θεωρείται γραφειοκρατικός φόρτος παύει να αδειοδοτείται η επεξεργασία δεδομένων. Σύμφωνα με τον κ. Ζωγραφόπουλο η εξέλιξη αυτή για τις επιχειρήσεις δεν είναι απαραίτητα θετική, υπό την έννοια ότι δεν συνεπάγεται μείωση στα κόστη των εταιρειών δεν συνεπάγεται μείση στα κόστη για τις επιχειρήσει, καθώς παράλληλα με την αδειοδότηση υπήρχαν και κάποιες απαλλαγές που επίσης παύουν να ισχύουν. «Έτσι θα ισχύει το άρθρο 30 του Γενικού Κανονισμού για την ΠΔΠΧ με βάση το οποίο ο κάθε υπεύθυνος επεξεργασίας δεδομένων είναι υποχρεωμένος να τηρεί λεπτομερή αρχεία των πληροφοριών που επεξεργάζεται και να τα θέσει στην διάθεση της αρχής εφόσον του ζητηθούν (πολιτική ασφαλείας αρχείου, διαπιστευμένα πρόσωπα). Αυτό απαιτεί μία δημοσιονομική προσαρμογή που είναι τεράστια καθώς οι διατάξεις θα τεθούν σε ισχύ σε 2 χρόνια. Τα κόστη επίσης από τις διοικητικές αρχές είναι τεράστια και ανάλογα με την παράβαση θα είναι από 10-50 εκατ. ευρώ και σε κάποιες περιπτώσεις θα ανέρχονται στο 2-4% του τζίρου της επιχείρησης.
Δείτε την ομιλία του κ. Ζωγραφόπουλου (25:05) στο video που ακολουθεί:
