NEWSROOM

GDPR και Επιχειρήσεις: Τι ισχύει τρία χρόνια μετά



Έχουν περάσει σχεδόν τρία χρόνια από την ψήφιση του νόμου 4624/ 2019, με τον οποίο λήφθηκαν μέτρα για την εφαρμογή  του Ευρωπαϊκού Κανονισμού για την Προστασία Προσωπικών Δεδομένων, πιο γνωστού ως GDPR.

Στη διάρκεια της τριετίας αυτής, πολλά γράφτηκαν αναφορικά με την αξία, τη σημασία αλλά και την εφαρμογή του GDPR σε σχέση με το σύνολο των επιχειρήσεων ενώ αντίστοιχα οι ελληνικές εταιρείες ανέλαβαν δράση σε πολλαπλά επίπεδα. Έτσι, πλέον, η πλειονότητά τους έχει πραγματοποιήσει μια σειρά από σχετικές κινήσεις ώστε να είναι σύμφωνη με τις απαιτήσεις του GDPR, «θωρακίζοντας» ταυτόχρονα στην πράξη τα προσωπικά δεδομένα τόσο των εργαζομένων όσο και των πελατών και των συνεργατών τους.

Εντούτοις, η πολυπλοκότητα του GDPR, αλλά και η μεσολάβηση της πανδημίας έχουν οδηγήσει σε μια σειρά από κενά αλλά και παραλείψεις. Τα μεγαλύτερα τέτοια θέματα αντιμετωπίζουν οι νεοφυείς επιχειρήσεις που δεν έχουν προλάβει να ενσωματώσουν τις επιταγές του GDPR στη δράση τους αλλά και οι μικρές και μεσαίες επιχειρήσεις, οι οποίες ακόμα και σήμερα καλούνται να υλοποιήσουν μια σειρά από ενέργειες με στόχο την προστασία των δεδομένων προσωπικού χαρακτήρα που διαχειρίζονται.

Τι είναι ο GDPR

Για να κατανοήσει κανείς τη σημασία και το ρόλο του GDPR είναι σημαντικό να γνωρίζει την ιστορία του Κανονισμού αλλά και το σκεπτικό πίσω από την εφαρμογή του.

Η ιστορία του GDPR λοιπόν ξεκινά από το Μάιο του 2016 οπότε τέθηκε σε ισχύ, προβλέποντας διετή προθεσμία για την πλήρη συμμόρφωση των κρατών – μελών της ΕΕ. Συνιστά  ένα ενιαίο ρυθμιστικό πλαίσιο της διαχείρισης των προσωπικών δεδομένων για ολόκληρο τον Ευρωπαϊκό Οικονομικό Χώρο.

Στη χώρα μας, ο σχετικός νόμος 4624/ 2019 ψηφίστηκε από την Ολομέλεια της Βουλής με τη διαδικασία του κατεπείγοντος στις 26/08/2019, δηλαδή σχεδόν πριν από τρία χρόνια.

Με βάση λοιπόν τα σχετικά νομικά κείμενα, ως δεδομένα προσωπικού χαρακτήρα ορίζονται όλες οι πληροφορίες που αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Ανάμεσα σε αυτά περιλαμβάνονται τα παρακάτω:  

  • Όνομα
  • Διεύθυνση
  • Αριθμός δελτίου ταυτότητας/διαβατηρίου
  • Εισόδημα
  • Διεύθυνση διαδικτυακού πρωτοκόλλου (ΙΡ)
  • Ιατρικά στοιχεία


Τι ισχύει για τις επιχειρήσεις

Στα τέσσερα περίπου χρόνια που ακολούθησαν από την εφαρμογή του GDPR μέχρι και σήμερα έχουν γίνει μια σειρά από ενέργειες ανάμεσα στις επιχειρήσεις, που έσπευσαν να προσαρμοστούν.

Με βάση τη μέχρι στιγμής εμπειρία, η πλειονότητα από τις πολυεθνικές αλλά και τις μεγάλες επιχειρήσεις -και δη εισηγμένες- έχει ολοκληρώσει τα σχετικά βήματα προσαρμογής και στην πλειονότητα των περιπτώσεων έχει ενσωματώσει τις απαιτήσεις του GDPR στη λειτουργία της.  

Εντούτοις, το τοπίο είναι πιο «θολό» ανάμεσα μικρομεσαίες επιχειρήσεις, καθώς λόγω μεγέθους, κόστους αλλά και αντανακλαστικών αρκετές δεν έκαναν ακόμη όλες τις απαραίτητες ενέργειες.

Για παράδειγμα, σε επιχειρήσεις με βασική δραστηριότητα την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μεγάλη κλίμακα  είναι απαραίτητη η ύπαρξη ενός υπεύθυνου προστασίας δεδομένων (Data Protection Officer-DPO). Έτσι, με την προσθήκη -ή την εκπαίδευση- του στελέχους αυτού, εξασφαλίζεται σε μεγάλο βαθμό η παρακολούθηση της συμμόρφωσης με το GDPR ενώ υπάρχει πάντα ένας άνθρωπος που μπορεί να συμβουλεύει την επιχείρηση με τα σχετικά ζητήματα.

Κάτι τέτοιο όμως δεν είναι αναγκαστικό για μικρές και μεσαίες επιχειρήσεις, παρά μόνο αν επεξεργάζονται δεδομένα σε μεγάλη κλίμακα. Έτσι, υπάρχει κίνδυνος παραλείψεων που με τη σειρά τους θα μπορούσαν να οδηγήσουν σε «τσουχτερά» πρόστιμα.

Έτσι, προκειμένου να αποφύγουν τις νομικές κυρώσεις αλλά και να εξασφαλίσουν ουσιαστική προστασία για τα δεδομένα τους, οι επιχειρήσεις ανεξαρτήτως μεγέθους συνίσταται να προβούν σε μια σειρά από ενέργειες.
Ανάμεσα σε αυτές, περιλαμβάνεται η δημιουργία αρχείου δραστηριοτήτων που σχετίζονται με επεξεργασία προσωπικών δεδομένων αλλά και η θέσπιση μιας σχετικής πολιτικής για την προστασία τους.
Πολιτική που με τη σειρά της θα πρέπει να εξειδικευθεί σε συγκεκριμένες διαδικασίες, αλλά και τρόπους ενημέρωσης τόσο των εργαζομένων όσο και των πελατών για τον τρόπο και τον σκοπό που πραγματοποιείται η επεξεργασία των δεδομένων.

Ειδικά δε στην περίπτωση ύπαρξης κλειστού κυκλώματος τηλεόρασης (CCTV) μεταξύ άλλων θα πρέπει να υπάρχει πλήρης ενημέρωση των υποκειμένων για την ύπαρξη του συστήματος, οι κάμερες να είναι τοποθετημένες σύμφωνα με τα προβλεπόμενα σημεία και το υλικό να διαγράφεται ανά 15 ημέρες.

GDPR και Διαδίκτυο

Ειδικά για τις επιχειρήσεις με διαδικτυακή παρουσία, ο κανονισμός GDPR περιλαμβάνει συγκεκριμένες προβλέψεις για την επεξεργασία των δεδομένων των χρηστών. Συγκεκριμένα, η εκάστοτε επιχείρηση οφείλει να ζητά την συγκατάθεση του χρήστη, η οποία με τη σειρά της πρέπει να δίνεται ελεύθερα, συγκεκριμένα και χωρίς ασάφειες με δήλωση διατυπωμένη σε απλή και κατανοητή γλώσσα.

Επιπλέον, η επιχείρηση οφείλει να ενημερώνει τους χρήστες σχετικά με το ποιος επεξεργάζεται τα προσωπικά τους δεδομένα και γιατί, ενώ ειδικά στην περίπτωση αποστολής newsletters ή SMS οι χρήστες θα πρέπει να δίνουν ξεκάθαρη και ρητή συγκατάθεση για το αν επιθυμούν να λαμβάνουν τέτοιες επικοινωνίες / ενημερώσεις (opt-in).

Η ασφάλεια των δεδομένων

Μια ακόμη σημαντική παράμετρος του GDPR που αφορά κυρίως μικρές και μεσαίες επιχειρήσεις έχει να κάνει με την ασφαλή φύλαξη των δεδομένων, είτε αυτά διατηρούνται σε φυσική είτε σε ηλεκτρονική μορφή. Έτσι, για την πρώτη περίπτωση συνίσταται να υπάρχουν ειδικά σημεία αποθήκευσης (συρτάρια, ντουλάπες κλπ) όπου θα κλειδώνονται οι σχετικοί φάκελοι αλλά και η λήψη όλων των απαραίτητων μέτρων ασφαλείας, όπως εγκατάσταση συστημάτων συναγερμού και πυροπροστασίας.

Αντίστοιχα, για τα δεδομένα που φυλάσσονται ηλεκτρονικά, συνίσταται η εγκατάσταση των σχετικών συστημάτων ασφαλείας όπως antivirus και firewall καθώς και η λήψη αντιγράφων ασφαλείας σε τακτά χρονικά διαστήματα.

AS Network και GDPR

Όλα τα παραπάνω έχουν μεγάλη σημασία και για το AS Network, καθώς έχουμε λάβει όλα τα απαραίτητα μέτρα προκειμένου να είμαστε σύννομοι με τις επιταγές του GDPR, αλλά και απολύτως βέβαιοι για την προστασία των δεδομένων μας αλλά και αυτών των πελατών μας. Μάλιστα, συγκαταλεγόμαστε ανάμεσα στις λίγες εταιρείες στην Ελλάδα που είναι  πιστοποιημένες από κορυφαίο διεθνή φορέα σύμφωνα με τα πρότυπα ISO 27001 που αφορά το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών αλλά και ISO 22301, το οποίο θεσπίζει διαδικασίες για την απρόσκοπτη λειτουργία και επιβίωση μιας επιχείρησης από κινδύνους, που μπορεί να διακόψουν τη λειτουργία της.