Πολύ πιο προσεκτικές με τη χρήση – διαχείριση των προσωπικών δεδομένων των πολιτών θα πρέπει να είναι οι δημόσιες Υπηρεσίες, οι φορείς και οι επιχειρήσεις από τις 25 Μαΐου 2018 καθώς τίθεται σε εφαρμογή ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ), που περιλαμβάνει νέο πλαίσιο, νέες υποχρεώσεις, νέες απαιτήσεις και πολύ πιο τσουχτερά πρόστιμα, σε περίπτωση παραβίασής του.
Τα βασικά σημεία του νέου Γενικού Κανονισμού Προστασίας Δεδομένων παρουσίασε απόψε, στην κατάμεστη από κόσμο αίθουσα εκδηλώσεων της Συνεταιριστικής Τράπεζας Χανίων (γεγονός ενδεικτικό του μεγάλου ενδιαφέροντος) η καθηγήτρια του Πανεπιστημίου Αιγαίου, δικηγόρος και πρόεδρος της Νομοπαρασκευαστικής Επιτροπής για την προσαρμογή του εθνικού δικαίου στον Γενικό Κανονισμό Προστασίας Δεδομένων και την ενσωμάτωση της Οδηγίας ΕΕ/ 2016/680, Λίλιαν Μήτρου – Αυγουστιανάκη, στη διάρκεια ημερίδας, με τίτλο «Το νέο πλαίσιο για την προστασία προσωπικών δεδομένων (GDPR). Νέες υποχρεώσεις και απαιτήσεις για τις επιχειρήσεις», που διοργάνωσε το Περιφερειακό Τμήμα Δυτικής Κρήτης του Οικονομικού Επιμελητηρίου Ελλάδας σε συνεργασία με τη ΔΙΑΣΤΑΣΗ Εκπαιδευτικές & Συμβουλευτικές Υπηρεσίες.
Η κα Μήτρου – Αυγουστιανάκη επεσήμανε, στη διάρκεια της ομιλίας της, ότι «κάθε επιχείρηση συλλέγει και επεξεργάζεται προσωπικά δεδομένα (κάθε πληροφορία που αφορά ένα φυσικό πρόσωπο, ταυτοποιημένο ή ταυτοποιήσιμο), για τους κάθε λογής συναλλασσόμενους με αυτή, αλλά και για τους εργαζόμενούς της. Κάθε φορέας και κάθε επιχείρηση υποχρεούται σε συμμόρφωση προς το κανονιστικό πλαίσιο, δεδομένου ότι η μη συμμόρφωση συνεπάγεται έκθεση σε κίνδυνο υψηλών προστίμων και αγωγών από τα πρόσωπα, τα δικαιώματα των οποίων προσβάλλονται».
Όπως ανέφερε η κα Μήτρου Αυγουστιανάκη, «η υποχρέωση τήρησης ουσιαστικών και διαδικαστικών κανόνων για την προστασία προσωπικών δεδομένων υφίσταται εδώ και 21 χρόνια, με την ψήφιση του ν. 2472/97. Δυστυχώς επικράτησε μάλλον η αντίληψη της τυπικής συμμόρφωσης ή της πλημμελούς συμμόρφωσης Η κρατούσα αντίληψη ήταν ότι η επεξεργασία προσωπικών δεδομένων δεν γεννά ουσιώδεις κινδύνους για μία επιχείρηση, καθώς και οι κυρώσεις ήταν μάλλον σχετικά χαμηλές. Μετά την 25η Μαΐου 2018 τα πράγματα αλλάζουν», υπογράμμισε, τονίζοντας ότι «ο ΓΚΠΔ επιβάλλει εξειδικεύει υφιστάμενες υποχρεώσεις και εισάγει νέες. Η συμμόρφωση με τον ΓΚΠΔ συνεπάγεται ότι πρέπει ν’ αλλάξουν εταιρικές συνήθειες, διαδικασίες, λογικές, πρακτικές. Πλέον, με τον ΓΚΠΔ η επεξεργασία προσωπικών δεδομένων παύει να είναι μία ήσσονος σημασίας εταιρική δραστηριότητα», σημείωσε η κα Μήτρου – Αυγουστιανάκη.
Μιλώντας στο HANIA.news, η κα Μήτρου – Αυγουστιανάκη επεσήμανε ότι «ο Κανονισμός είναι μια μετεξέλιξη της ευρωπαϊκής νομοθεσίας, της Οδηγίας του 1995 και αντίστοιχα της νομοθεσίας που ισχύει στην Ελλάδα από το 1997 με τον νόμο 2472/97. Εισάγει ωστόσο αρκετές νέες απαιτήσεις που αφορούν τις τεχνολογικές υποδομές, οι οποίες δεν προκύπτουν πάντα άμεσα από τον Κανονισμό, αλλά από τις αλλαγές που χρειάζεται να γίνουν σε διαδικασίες, ώστε οι επιχειρήσεις να συμμορφωθούν με τις νέες ρυθμίσεις. Πρακτικά, ο κανονισμός μεταθέτει με ουσιαστικό τρόπο την ευθύνη της συμμόρφωσης εσωτερικά. Η επιχείρηση δεν υποχρεούται πλέον να γνωστοποιήσει στην Αρχή Προστασίας Προσωπικών Δεδομένων τις επεξεργασίες της ή να αιτηθεί άδεια αν πρόκειται για ευαίσθητα. Ωστόσο, αν τελικά η επεξεργασία, οι επιλογές που κάνει ως προς τα δεδομένα που επεξεργάζεται δεν συνάδουν με τις απαιτήσεις του νόμου είναι -προφανώς- υπεύθυνη. Οπότε έχουμε μια μείωση της γραφειοκρατίας, αλλά παράλληλα μια αύξηση των ευθυνών. Για παράδειγμα, μέχρι τώρα για να πάρει κάποιος δεδομένα υγείας τρίτου από ένα νοσοκομείο για να τα χρησιμοποιήσει στο πλαίσιο μίας δικαστικής διαφοράς (π.χ επιμέλεια παιδιού), η διοίκηση του νοσοκομείου απευθύνονταν στην Αρχή Προστασίας Δεδομένων, έπαιρνε τη σχετική άδεια και έδινε τα δεδομένα στον αιτούμενο. Τώρα, η διοίκηση του νοσοκομείου θα πρέπει να πάρει την απόφαση μόνη της, αν και δεν έχει ληφθεί εν προκειμένω η τελική απόφαση, καθώς ο Κανονισμός επιτρέπει να υπάρξουν σε εθνικό επίπεδο κάποιες εγγυήσεις. Αυτό σημαίνει ότι η επιχείρηση θα πρέπει να ελέγξει τα αρχεία και τις επεξεργασίες προσωπικών δεδομένων, να τροποποιήσει ή να θεσπίσει διαδικασίες που να συμμορφώνονται με τη νέα νομοθεσία, να οργανώσει τη διαχείριση των αιτημάτων, αλλά και την άσκηση νέων δικαιωμάτων από τα πρόσωπα. Αντίστοιχα πρέπει να ελέγξει τα πληροφοριακά συστήματα, τις εφαρμογές, τις βάσεις του, ώστε να επιβεβαιώσει ότι υποστηρίζουν τη συμμόρφωση».
Η κα Μήτρου – Αυγουστιανάκη τόνισε, ακόμη, ότι «το εγχείρημα αυτό αναμένεται να είναι ακόμα δυσκολότερο για τις δημόσιες Υπηρεσίες, οι οποίες διαχειρίζονται ένα σημαντικό ποσοστό προσωπικών δεδομένων. Είναι σημαντικό να αντιληφθούν και αυτές, όπως όλοι, τη σημασία αυτού του νομοθετήματος, αλλά και των επιπτώσεων της μη συμμόρφωσης. Σας θυμίζω ότι το μεγαλύτερο πρόστιμο που έχει επιβάλει η Αρχή Προστασίας Δεδομένων επιβλήθηκε σε δημόσια Υπηρεσία», ανέφερε η κα Μήτρου – Αυγουστιανάκη.
Παράλληλα, διευκρίνισε ότι «ο ορισμός ενός εσωτερικού υπευθύνου επεξεργασίας των προσωπικών δεδομένων, του λεγόμενου DPO, δεν είναι υποχρεωτικός σε όλες τις επιχειρήσεις. Ωστόσο, η παρουσία του είτε μέσα στην εταιρεία είτε ως εξωτερικός συνεργάτης, ως outsourcing, αποτελεί μία ισχυρή ένδειξη ότι η επιχείρηση έκανε το καλύτερο δυνατό για να επεξεργαστεί και να προστατεύσει τα προσωπικά δεδομένα με νόμιμο και επαρκή τρόπο. Ένα θέμα το οποίο πρέπει να τύχει ιδιαίτερης προσοχής, είναι η συγκατάθεση, η δήλωση δηλαδή με την οποία συμφωνεί κάποιος να αποτελέσουν τα δεδομένα του αντικείμενο επεξεργασίας. Σκεφθείτε το πιο καθημερινό παράδειγμα. Κάποιος κάνει τις αγορές του σε ένα σούπερ μάρκετ και χρησιμοποιεί μια κάρτα πιστότητας κι έχει δώσει τη συγκατάθεσή του τα δεδομένα να είναι αξιοποιήσιμα από την εταιρεία, η οποία εξάγει συμπεράσματα για το αγοραστικό του προφίλ. Η νέα νομοθεσία είναι αρκετά πιο αυστηρή όσον αφορά το θέμα της συγκατάθεσης και επιπλέον επιβάλλει να έχει ο καθένας τη δυνατότητα να ανακαλεί τη συγκατάθεση με την ίδια ευκολία με την οποία την έδωσε. Αυτό σημαίνει ότι θα πρέπει οι διαδικασίες του opt in και του opt out να είναι εξίσου απλές και εύχρηστες. Οπότε, και σε αυτήν την περίπτωση, χρειάζεται ένας νέος σχεδιασμός των τεχνολογικών υποδομών».
Η κα Μήτρου – Αυγουστιανάκη επεσήμανε, ακόμη, ότι «θα μπορούσαμε να αναφέρουμε ως σημαντική αλλαγή την υποχρέωση για εκτίμηση των επιπτώσεων της τήρησης και επεξεργασίας προσωπικών δεδομένων. Αφού αξιολογηθούν οι επιπτώσεις, οι κίνδυνοι που αντιμετωπίζει η επιχείρηση θα πρέπει να ελεγχθεί εάν είναι νόμιμο, ορθό να εξακολουθεί να τηρεί όσα δεδομένα έχει συλλέξει. Το κόστος κτήσης και συντήρησης υποδομών επιτρέπει πλέον στις επιχειρήσεις να διατηρούν μεγάλες ποσότητες δεδομένων για μακρά διαστήματα και φαίνεται να συμφέρει πιο πολύ να εξακολουθούν να τα τηρούν από το να ασχοληθούν αν θα τα διαγράψει. Θα πρέπει όμως να εκτιμήσουν το ρίσκο που έχουν»
Αναφερόμενη, τέλος, στα νέα υψηλά πρόστιμα, η κα Μήτρου – Αυγουστιανάκη είπε ότι «ο Κανονισμός προβλέπει και κριτήρια ως προς το ύψος των προστίμων. Ορίζει τα ανώτατα όρια και μέσα σε αυτό το πλαίσιο μπορεί να κινηθεί η Εποπτική Αρχή. Και βέβαια, μία επιχείρηση μπορεί να αμφισβητήσει ένα πρόστιμο, ζητώντας την ακύρωση της απόφασης της Αρχής Προστασίας Προσωπικών Δεδομένων».