Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων που θα ισχύει από τα τέλη Μαρτίου 2018 στην Ελλάδα και σε όλη την Ευρώπη, αφορά κάθε πολίτη, αλλά και μεγάλο αριθμό επιχειρήσεων και οργανισμών που επεξεργάζονται προσωπικά στοιχεία και θα αποτελέσει ένα από τα ζητήματα που θα βρεθεί στην επικαιρότητα τις αμέσως προσεχείς εβδομάδες.
Τι προβλέπει ο νέος κανονισμός, ποιες επιχειρήσεις θα πρέπει να τον εφαρμόσουν, γιατί τελικά πρέπει να είναι ενήμερος ο απλός πολίτης; Σε αυτά και άλλα ερωτήματα που έθεσε το Αθηναϊκό Μακεδονικό Πρακτορείο Ειδήσεων (ΑΠΕ-ΜΠΕ), απαντά η Αργυρώ Χατζοπούλου, διευθύντρια Εταιρικής Διακυβέρνησης της TÜV AUSTRIA HELLAS, παρουσιάζοντας και τα πρόσφατα συμπεράσματα μεγάλου συνεδρίου που έγινε στην Αθήνα.
Θα μας περιγράψετε συνοπτικά τι προβλέπει ο Γενικός Κανονισμός Προστασίας Δεδομένων;
Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων -οι περισσότεροι πλέον αναφέρονται σε αυτόν με το ακρωνύμιο GDPR- περιγράφει έναν τρόπο για την αναγνώριση και προστασία των δεδομένων προσωπικού χαρακτήρα.
Ο GDPR μας δίνει τους βασικούς ορισμούς, ώστε να μπορέσουμε αρχικά να αναγνωρίσουμε ποια είναι δεδομένα προσωπικού χαρακτήρα, δηλαδή κάθε πληροφορία που αφορά φυσικό πρόσωπο, με βάση την οποία ταυτοποιείται/αναγνωρίζεται.
Επιπλέον, καθορίζει σε ποιες περιπτώσεις επιτρέπεται αυτά τα δεδομένα να τα έχουμε, χρησιμοποιούμε, αποθηκεύουμε, διαγράφουμε, μεταβιβάζουμε και εν γένει επεξεργαζόμαστε και τέλος, με βάση ποιον τρόπο μπορούμε να τα προστατεύουμε.
Ποιες επιχειρήσεις και οργανισμούς αφορά; (Τράπεζες, ασφαλιστικούς οργανισμούς)
Ειδικά για το GDPR θα ήταν λάθος να πούμε ότι αφορά αποκλειστικά συγκεκριμένους τύπους επιχειρήσεων ή οργανισμών. Στην πραγματικότητα, το αν πρέπει να εφαρμοστεί από έναν οργανισμό ο GDPR, εξαρτάται από το αν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα ή όχι. Αν η απάντηση σε αυτή την ερώτηση είναι ναι, είτε είναι σχολείο, είτε είναι τράπεζα, πρέπει να συμμορφωθεί προς τις απαιτήσεις του κανονισμού, μέχρι τις 25.05.2018.
Γιατί η εφαρμογή του πρέπει να ενδιαφέρει κάθε ενεργό πολίτη; Τι έχει να «κερδίσει»; Από τι θα προστατεύεται; Το σημαντικότερο, τι θα αλλάξει σε σχέση με σήμερα; Πρακτικά παραδείγματα.
Αν κάποιον πρέπει να ενδιαφέρει πρωτίστως είναι τον κάθε πολίτη. Τα δεδομένα που προστατεύονται χάρις στον κανονισμό, είναι πληροφορίες που αφορούν τον ίδιο. Είναι όλα τα στοιχεία τα οποία περιγράφουν ποιος είναι και τι κάνει καθένας από εμάς.
Για παράδειγμα, προσωπικό δεδομένο είναι τα ψώνια που κάνω στο supermarket -και οι 15 σοκολάτες που αγόρασα, για παράδειγμα σοκολάτες υγείας με στέβια- και το ταξίδι που έκανα την προηγούμενη εβδομάδα. Με βάση τα δεδομένα αυτά, θα μπορούσε κάποιος να με διαχωρίσει από άλλους ανθρώπους ή να τα χρησιμοποιήσει προκειμένου να προσπαθήσει να με επηρεάσει ή να προωθήσει κάποιο προϊόν. Αν δεν του έχω δώσει αυτό το δικαίωμα εν γνώσει μου, δεν πρέπει να το κάνει. Είναι στέρηση ενός μέρους της ελευθερίας μου.
Το πρόβλημα με τα προσωπικά δεδομένα, ειδικά τώρα με την εξέλιξη της τεχνολογίας, είναι ότι δεν είναι άμεσα αντιληπτό από εμάς. Αν ήταν πιο ξεκάθαρο πόσο συχνά μοιραζόμαστε τα προσωπικά μας στοιχεία εν αγνοία μας, νομίζω ότι θα είχαμε όλοι μας πολύ διαφορετικές αντιδράσεις.
Μια αναλογία των δεδομένων προσωπικού χαρακτήρα και της χρήσης τους χωρίς άδεια θα μπορούσε να είναι η ακόλουθη:
Φανταστείτε να περπατάτε στο δρόμο και να διασταυρωθείτε με έναν άλλο άνθρωπο, ο οποίος σας χαμογελάει.
Συνειδητοποιείτε ότι δεν γνωρίζεστε, οπότε δεν κάνετε κάτι. Παρόλα αυτά, συνεχίζει να έρχεται προς το μέρος σας, λέει το όνομά σας και ότι προχτές πήρατε 15 σοκολάτες υγείας με στέβια από το σουπερμάρκετ και αν θα θέλατε να πάρετε και μερικές ακόμα που είναι σε προσφορά ή αν θέλετε να πάρετε ένα πρόγραμμα δίαιτας, γιατί 60 σοκολάτες το μήνα είναι πολλές για την ηλικία και το φύλο σας. Σκεφτείτε πόσο άβολα θα νιώθατε με μια τέτοια συμπεριφορά.
Τελικά, ποια θεωρούνται προσωπικά δεδομένα και τι σημαίνει επεξεργασία προσωπικών δεδομένων;
Δεδομένα προσωπικού χαρακτήρα είναι κάθε πληροφορία που αφορά φυσικό πρόσωπο, με βάση την οποία ταυτοποιείται/αναγνωρίζεται. Αυτό μπορεί να είναι το όνομα, επώνυμο, ο ΑΦΜ, ο ΑΜΚΑ, καθώς και οποιαδήποτε άλλη πληροφορία μέσα από την οποία μπορεί να εξακριβωθεί, άμεσα ή έμμεσα η ταυτότητα ενός ατόμου.
Σε συγκεκριμένες περιπτώσεις και υπό προϋποθέσεις, επιτρέπεται για τα δεδομένα αυτά η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή. Όλες οι παραπάνω ενέργειες ονομάζονται επεξεργασία προσωπικών δεδομένων.
Ποια ήταν τα συμπεράσματα του συνεδρίου GDPR Conferenceτης TÜV AUSTRIA HELLAS;
Όταν κάποιος συνειδητοποιεί ότι πρέπει να υιοθετήσει και να συμμορφωθεί με τις επιταγές του GDPR, το συναίσθημα που επικρατεί είναι πανικός. Στο GDPR Conference TÜV AUSTRIA HELLAS, παρουσιάστηκε μια μεθοδολογία με 3 βήματα, τα οποία, όταν οι οργανισμοί τα ακολουθήσουν, θα μπορέσουν να κατακτήσουν τη συμμόρφωση με τον GDPR.
Τα βήματα είναι:
Εκπαίδευση: Καθώς ο κανονισμός απαιτεί συγκεκριμένες γνώσεις από διαφορετικά αντικείμενα (νομικά, πληροφορικής, ασφάλειας και άλλα), απαιτείται ενημέρωση από εξειδικευμένους επιστήμονες, οι οποίοι βοηθούν τους συμμετέχοντες να κατανοήσουν τις απαιτήσεις και τους ρόλους τους στα πλαίσια του κανονισμού.
Πιστοποίηση γνώσεων: Για την υλοποίηση και την συνεχιζόμενη συμμόρφωση προς τις απαιτήσεις του GDPR, χρειάζεται η απασχόληση στελεχών που αποδεδειγμένα έχουν τις κατάλληλες γνώσεις.
Έλεγχος και πιστοποίηση της εφαρμογής των απαιτήσεων του υπόχρεου οργανισμού.
(Με πληροφορίες από ΑΠΕ-ΜΠΕ)