Τι πρέπει να γνωρίζουν οι επιχειρήσεις για την Προστασία των Προσωπικών Δεδομένων

Τι πρέπει να γνωρίζουν οι επιχειρήσεις για την Προστασία των Προσωπικών Δεδομένων
Open Image Modal
mixmagic via Getty Images

Όπως όλοι γνωρίζουμε, οι αλλαγές στο ευρωπαϊκό δίκαιο περί προστασίας προσωπικών δεδομένων, γνωστές ως Γενικός Κανονισμός Γενικής Προστασίας Δεδομένων (GDPR), τέθηκαν σε ισχύ στις 25 Μαΐου 2018.

Ο Κανονισμός είναι ένα φιλόδοξο σύνολο κανόνων που καλύπτει τις απαιτήσεις ενημέρωσης των ρυθμιστικών αρχών και των ενδιαφερομένων (πελατών-υπαλλήλων κτλ) σχετικά με παραβιάσεις δεδομένων (εντός 72 ωρών, όχι λιγότερο), και θεμελιώνει την υποχρέωση διαφάνειας προς τους χρήστες σχετικά με τα δεδομένα που συλλέγονται γιαυτούς και γιατί. Τυχόν παράβαση των υποχρεώσεων μπορεί να οδηγήσει σε βαριά πρόστιμα.

Στη συνάντηση του Ευρωπαϊκού Κοινοβουλίου, λίγες ημέρες πριν την καταληκτική ημερομηνία εφαρμογής, ο Mark Zuckerberg δήλωσε ότι το Facebook θα είναι συμβατό με GDPR εντός της προθεσμίας. Ωστόσο, τόνισε πως η εταιρεία του θα είναι στην μειοψηφία.

Ποια είναι τα βασικά βήματα που θα πρέπει να κάνει μια εταιρεία για να συμμορφωθεί με το GDPR;

Πρώτη υποχρέωση είναι η δημιουργία τεχνικών μηχανισμών για την απόδειξη της λήψης αβίαστης συναίνεσης από τους χρήστες (πελάτες, υπαλλήλους κτλ), οι οποίο θα πρέπει να είναι εμφανής και ξεκάθαροι. Οι επιχειρήσεις είναι υποχρεωμένες να χρησιμοποιούν σαφή, μη νομικίστικη γλώσσα που επιτρέπει στο πρόσωπο να παρέχει τη σαφή και ειλικρινή του συγκατάθεση. Εάν η εταιρεία σας λόγου χάρη συλλέγει προσωπικά στοιχεία μέσω μιας φόρμας ιστού, είναι αναγκαίο να δημοσιεύσετε με σαφήνεια τον τρόπο με τον οποίο θα χρησιμοποιηθούν αυτές οι πληροφορίες. Σε περίπτωση εξ επαφής συλλογής δεδομένων, όπως σε μια εκδήλωση, μια βίντεο-μαρτυρία ή για εγγραφή στο κατάστημα, ζητήστε τη συγκατάθεσή και συμπεριλάβετε ένα πλαίσιο ελέγχου ή άλλο πεδίο για να αποδείξετε ότι το άτομο έδωσε συγκατάθεση ή όταν το άτομο έχει συμφωνήσει να αποστείλετε ένα επιβεβαιωτικό μήνυμα μέσω ηλεκτρονικού ταχυδρομείου. Επίσης προτείνεται οι διοργανωτές εκδηλώσεων να διανέμουν μια εξήγηση σχετικά με τον τρόπο συλλογής και χρήσης των προσωπικών δεδομένων κατά την εγγραφή.

Συμπεριλάβετε σαφείς οδηγίες στην πολιτική προστασίας απορρήτου στον ιστότοπο σας, συμπεριλαμβανομένων των πληροφοριών που συλλέγονται, του τρόπου αποθήκευσης των δεδομένων και του τρόπου επικοινωνίας με τον ιδιώτη. Η πολιτική προστασίας απορρήτου θα πρέπει είναι σαφώς διατυπωμένη, απλή και ολοκληρωμένη. Ο καταναλωτής θα πρέπει να γνωρίζει πότε συλλέγονται τα δεδομένα του, για ποιο λόγο συλλέγονται , με ποιον τρόπο χρησιμοποιούνται και πόσο τις διατηρεί ο επαγγελματίας. Ειδικότερα ο σκοπός της επεξεργασίας των προσωπικών δεδομένων θεωρείται εξαιρετικά σημαντικός και θα πρέπει να είναι γνωστός στα άτομα των οποίων τα δεδομένα επεξεργάζονται. Δεν αρκεί η υπόδειξη ότι απλώς ότι τα προσωπικά δεδομένα θα συλλέγονται και θα υποβάλλονται σε επεξεργασία (αρχή του περιορισμού του σκοπού) .

Επιπλέον θα πρέπει να είναι ενήμερος για τα δικαιώματα του, όπως το δικαίωμα του να ζητήσει την διαγραφή των δεδομένων του από τον επιχειρηματία, την λήψη αντιγράφου των δεδομένων του, το δικαίωμα να μην υπόκεινται τα δεδομένα του σε αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της μορφοποίησης. Μεταξύ των βασικών στοιχείων που θα πρέπει να αναφερθούν είναι και πως ο επιχειρηματίας προστατεύει τα δεδομένα των πελατών και υπαλλήλων του από τυχόν παραβιάσεις από τρίτους. Ο τρόπος προστασίας μπορεί να είναι ηλεκτρονικός και φυσικός ( έγχαρτα αντίγραφα κτλ). Ένας εξειδικευμένος νομικός μπορεί να σας βοηθήσει με την αποτύπωση ενός ολοκληρωμένου σετ κανόνων για την ιστοσελίδα και την επιχείρηση σας.

Υπάρχουν πολλές αναφορές για αύξηση των παραπόνων που αφορούν τη συλλογή δεδομένων από μεγαλύτερες εταιρίες κυρίες, δηλαδή τράπεζες, ασφαλιστικές και εταιρίες δεδομένων. Αυτό είναι και το νόημα του Κανονισμού, υπό την έννοια ότι στοχεύει στην ανάπτυξη μιας συνετής “ηλεκτρονικής” συμπεριφορά από την πλευρά των χρηστών και αφορά περισσότερο εταιρίες που έχουν ως κύριο μέλημα τους την συλλογή δεδομένων ή έχουν μεγάλες εγγραφές δεδομένων, τα οποία μπορεί να υπεκλαπούν από τρίτους. Τέτοιες εταιρίες είναι τα μέσα κοινωνικής δικτύωσης, όπως Facebook, Twitter, αλλά και τράπεζες, νοσοκομεία και άλλοι παρόμοιοι οργανισμοί. Δεν υπάρχει βολιδοσκόπηση καταρχήν των μικρότερων επιχειρήσεων, χωρίς αυτό να σημαίνει ότι η μη προσαρμογή θα συγχωρείται.

H ελληνική κυβέρνηση δεν έχει ακόμη ενσωματώσει τον κανονισμό στην εθνική νομοθεσία, όπως βέβαια και άλλα τουλάχιστον έξη κράτη-μέλη της ΕΕ (Βέλγιο, Βουλγαρία, Τσεχία, Ουγγαρία, Λιθουανία και Σλοβενία), τη στιγμή που υπήρξε παραπάνω από δύο χρόνια περιθώριο για να θεσπιστούν τα αναγκαία νομοθετήματα. Στην Ελλάδα, δεν έχει κατατεθεί σχέδιο νόμου, ενώ με απόφαση του Υπουργείου Δικαιοσύνης ορίστηκε η 31η Δεκεμβρίου 2018 ως νέα ημερομηνία περάτωσης των εργασιών της ειδικής νομοπαρασκευαστικής επιτροπής. Μέχρι και σήμερα δεν έχει δοθεί περίοδος προσαρμογής, ωστόσο ίσως συμβεί de facto από την συμπεριφορά της Αρχής.