Βασικά Βήματα Συμμόρφωσης με τον GDPR

Βασικά Βήματα Συμμόρφωσης με τον GDPR

Της Χρυσιάνας Αντωνοπούλου

H προστασία των προσωπικών δεδομένων των φυσικών προσώπων νομοθετικά προϋπήρχε της εφαρμογής του ευρέως γνωστού Γενικού Κανονισμού Προστασίας Δεδομένων της ΕΕ, άλλως GDPR ως ακρωνύμιο του General Data Protection Regulation. Πάρα ταύτα, η 25η Μαΐου 2018, ημερομηνία υποχρεωτικής εφαρμογής του Κανονισμού σε όλα τα κράτη μέλη της ΕΕ, ήταν το ορόσημο που ουσιαστικά σηματοδότησε την αρχή για την ενσωμάτωση της νοοτροπίας προστασίας της προσωπικής πληροφορίας στις επιχειρήσεις και παράλληλα την αφύπνιση των φυσικών προσώπων σχετικά με τα δικαιώματά τους.
Ο Κανονισμός που αφορούσε και αφορά οριζόντια κάθε επιχείρηση (δηλαδή όλες τις επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα φυσικών προσώπων), ανεξάρτητα από τον κλάδο οικονομικής δραστηριότητας και το μέγεθος, αύξησε σημαντικά τις υποχρεώσεις των οργανισμών αναφορικά με τη διαχείριση προσωπικών δεδομένων, και το μέγεθος των προβλεπόμενων προστίμων σε περιπτώσεις μη συμμόρφωσης, και ο ενδεχόμενος αυτός κίνδυνος δεν πέρασε απαρατήρητος κυρίως από τις επιχειρήσεις που έσπευσαν να συμμορφωθούν με τον Κανονισμό ο οποίος έφερε τα στοιχεία της υποχρεωτικότητας και της άμεσης εφαρμογής σε όλα τα κράτη μέλη χωρίς να υπάρχει υποχρέωση για την ενσωμάτωσή του στην εθνική νομοθεσία του κάθε κράτους μέλους μέσω νέου νομοθετήματος.

Τα βήματα Συμμόρφωσης με τον GDPR και την εν γένει νομοθεσία που διέπει την προστασία των προσωπικών δεδομένων σε εθνικό και ευρωπαϊκό επίπεδο δεν είναι ίδια για όλες τις επιχειρήσεις. Ο βαθμός δυσκολίας της Συμμόρφωσης διαφέρει ανάλογα με τα χαρακτηριστικά της κάθε επιχείρησης. Βασικά χαρακτηριστικά που επηρεάζουν τις απαιτήσεις συμμορφώσεις είναι:

  • Ο αριθμός απασχολούμενων ατόμων στην επιχείρηση
  • Η συχνότητα και το εύρος των επεξεργασιών που διενεργούνται από την επιχείρηση (περιστασιακή ή συστηματική, αφορούσα μεγάλη κλίμακα φυσικών προσώπων ή μικρή)
  • Σε συνδυασμό με το είδος των προσωπικών δεδομένων που επεξεργάζονται, «απλά» δεδομένα προσωπικού χαρακτήρα ή «ευαίσθητα», δηλαδή ειδικής κατηγόριας, όπως είναι τα δεδομένα που αφορούν την υγεία ή τη φυλετική και εθνοτική καταγωγή φυσικών πρόσωπων.

Όμως, κάποια βήματα είναι κοινά, ανεξαρτήτως του μεγέθους της επιχείρησης και της φύσης των επεξεργασιών της:

  1. Ενημέρωση και Εκπαίδευση της Διοίκησης της επιχείρησης και όλου του προσωπικού ώστε να γνωρίζουν τι επιτρέπεται και τι απαγορεύεται, ποια είναι τα δικαιώματα των φυσικών προσώπων και οι υποχρεώσεις της Διοίκησης, και σταδιακή εμπέδωση της νοοτροπίας προστασίας των προσωπικών δεδομένων ώστε να είναι σε θέση να αντιληφθούν ενδεχόμενους κινδύνους.
    Εξάλλου, η επιχείρηση ως «Υπεύθυνος Επεξεργασίας» οφείλει να είναι σε θέση να αποδείξει ανά πάσα στιγμή τη συμμόρφωσή της (αρχή της Λογοδοσίας), και αυτό απαιτεί κατανόηση και γνώση τόσο του GDPR όσο και του τρόπου λειτουργίας της ιδίας της επιχείρησης στο τομέα της επεξεργασίας προσωπικών δεδομένων.
  2. Χαρτογράφηση των δεδομένων (Data mapping)
    Με τη χαρτογράφηση των δεδομένων που επεξεργάζονται από την επιχείρηση, επιτυγχάνεται ο εντοπισμός της ροής των δεδομένων, από τη συλλογή τους μέχρι την αρχειοθέτηση ή την καταστροφή τους.
    Κατά τη διαδικασία της χαρτογράφησης ανακύπτουν και τυχόν παραβιάσεις της επιχείρησης που συντελούνται ακουσίως (π.χ. προκύπτει ότι ζητούνται παραπάνω προσωπικά δεδομένα από όσα είναι πράγματι απαραίτητα για να επιτευχθεί ο σκοπός για τον οποίο τα συλλέγουμε) ή αναδύεται το πρόβλημα χρόνιας αποθήκευσης δεδομένων (π.χ. η επιχείρηση κρατάει τεράστιο όγκο δεδομένων για χρόνια τα οποία δεν είναι επικαιροποιημένα, χωρίς λόγο και χωρίς να υπάρχει κάποια πολιτική διαγραφής τους ή ασφαλούς καταστροφής τους).
  3. Τεκμηρίωση της Νομιμότητας της Επεξεργασίας
    Η επεξεργασία προσωπικών δεδομένων δεν είναι εξ ορισμού παράνομη, απλά χρειάζεται να υπάρχει ένας από τους προβλεπόμενους στον GDPR λόγος για τον οποίο γίνεται η επεξεργασία.
    Ο λόγος αυτός (ή αλλιώς νόμιμη βάση για την επεξεργασία) πρέπει να έχει προσδιοριστεί προσεκτικά πριν τη διενέργεια της επεξεργασίας και να γνωστοποιείται στα φυσικά πρόσωπα (υποκείμενα των δικαιωμάτων).
    Η επιλογή της νόμιμης βάσης έχει πρακτικές συνέπειες, διότι ορισμένα δικαιώματα ατόμων θα τροποποιηθούν ανάλογα με την επιλεχθείσα νόμιμη βάση για την επεξεργασία των προσωπικών δεδομένων.
    Η λανθασμένη επιλογή νόμιμης βάσης μπορεί να οδηγήσει σε επιβολή προστίμου, λόγω της παραπλανητικής ενημέρωσης που θα προκύψει απέναντι στους φορείς των δικαιωμάτων, δηλαδή τα φυσικά πρόσωπα των οποίων τα δεδομένα υφίστανται επεξεργασία.
    Παράδειγμα
    H «συγκατάθεση» είναι εξαιρετικά απίθανο να συνιστά νομική βάση για την επεξεργασία δεδομένων στην εργασία, δεδομένου ότι στο πλαίσιο των εργασιακών σχέσεων δεν μπορεί να θεωρηθεί ως «ελεύθερη» (απαραίτητη προϋπόθεση της σύννομης λήψης της) λόγω της εγγενούς ανισότητας των μερών.
    Οι εργαζόμενοι μπορούν να παρέχουν ελεύθερη συγκατάθεση μόνο σε εξαιρετικές περιστάσεις, όταν καμία απολύτως συνέπεια δεν συνδέεται με την αποδοχή ή απόρριψη της πρότασης.
    Εάν, η επιχείρηση λοιπόν δημιουργήσει την εσφαλμένη εντύπωση στους εργαζόμενους ότι επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα τους κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης, ενώ στην πραγματικότητα τα επεξεργάζεται με άλλη νομική βάση (π.χ. εκτέλεση σύμβασης), για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι, παραβιάζεται η αρχή της διαφάνειας, και συνακόλουθα η υποχρέωση ενημέρωσης, ενώ ο εργαζόμενος θα βρεθεί αντιμέτωπος με το άτοπο σε ενδεχομένη ανάκληση της συγκατάθεσής του για επεξεργασία των προσωπικών του δεδομένων, η επιχείρηση παρά ταύτα να εξακολουθεί να τα επεξεργάζεται με άλλη νομική βάση.
  4. Ενημέρωση Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
    Κάθε επιχείρηση θα πρέπει να παρέχει εγγράφως και με τη δέουσα σαφήνεια ενημέρωση τουλάχιστον αναφορικά με τα στοιχεία:Ειδικότερα, κάθε φυσικό πρόσωπο θα μπορεί να λαμβάνει πληροφορίες για την επεξεργασία των προσωπικών του δεδομένων με αίτημά του προς την επιχείρηση, ασκώντας το δικαίωμά του στην πληροφόρηση.

      • του Υπεύθυνου Επεξεργασίας (που μπορεί να ταυτίζονται με τα στοιχεία του νομικού προσώπου),
      • του Υπευθύνου Προστασίας Δεδομένων (DPO) αν υπάρχει,
      • τα Δικαιώματα των υποκείμενων και
      • τον Τρόπο άσκησής τους, και
      • να γίνεται ιδιαίτερη μνεία στο δικαίωμα υποβολής Καταγγελίας στη αρμόδια εποπτική αρχή. Δηλαδή στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

    Ειδικότερα, κάθε φυσικό πρόσωπο θα μπορεί να λαμβάνει πληροφορίες για την επεξεργασία των προσωπικών του δεδομένων με αίτημά του προς την επιχείρηση, ασκώντας το δικαίωμά του στην πληροφόρηση.

  5. Έλεγχος των Τεχνικών και Οργανωτικών μέτρων και προστασία των δεδομένων από τον Σχεδιασμό
    Η επιχείρηση πρέπει να εξετάσει:

    • τα υφιστάμενα πληροφοριακά συστήματα που διαθέτει
    • τα υφιστάμενα οργανωτικά μέτρα ασφαλείας που διαθέτει

και να προβεί στις απαραίτητες τροποποιήσεις συμμόρφωσης.

Παραδείγματα
Έλεγχος για:

  • Ασφάλεια Πληροφοριακών Συστημάτων, Δικτύων, Λογισμικού και
  • Φυσική Ασφάλεια.
  • Περιορισμένη και Ελεγχόμενη πρόσβαση στα αρχεία δεομένων.
  • Κρυπτογράφηση ή ψευδωνυμοποίηση αρχείων όπου απαιτείται.

Σχέδια που να εξασφαλίζουν την προστασία δεδομένων εξ αρχής και εξ ορισμού.

  • Εκπαίδευση και διαρκής ενημέρωση του ανθρώπινου δυναμικού.
  • Σαφείς και τεκμηριωμένες Πολιτικές και Διαδικασίες.
  • Σχέδιο ανάκτησης δεδομένων επιχειρηματικής συνέχειας, αντιμετώπισης περιστατικών παραβίασης ασφάλειας

Τα παραπάνω αποτελούν βασικά σημεία συμμόρφωσης που πρέπει να ακολουθήσει κάθε οργανισμός ή επιχείρηση (συμπεριλαμβανομένων των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων) που «επεξεργάζεται» προσωπικά δεδομένα φυσικών προσώπων που βρίσκονται στην Ευρωπαϊκή Ένωση.

Επιπλέον διαδικασίες εναρμόνισης με τον GDPR όπως ο Ορισμός Υπεύθυνου Προστασίας Δεδομένων, η υποχρεωτική τήρηση Αρχείου Δραστηριοτήτων Επεξεργασίας, η Διενέργεια Εκτίμησης Αντίκτυπου σχετικά με την προστασία δεδομένων και η προηγούμενη διαβούλευση, επιβάλλονται ανάλογα με τα χαρακτηριστικά κάθε επιχείρησης και προϋποθέτει εξατομικευμένο έλεγχο και διαδικασία συμμόρφωσης.

Εν κατακλείδι, μπορεί η υιοθέτηση του GDPR να έχει ως επί τω πλείστων ως μοχλό πίεσης τα υψηλά πρόστιμα (έως και τις 20.000.000 ευρώ ή το 4% του συνολικού κύκλου εργασιών του προηγούμενου έτους, ανάλογα ποιο ποσό είναι μεγαλύτερο), όμως τα μακροπρόθεσμα οφέλη για την επιχείρηση δεν εξαντλούνται στην αποφυγή άμεσης οικονομικής ζημίας.

Η έμπρακτη προαγωγή του σεβασμού προς τα δικαιώματα του πελάτη, η βελτίωση της φήμης της επιχείρησης, η ασφάλεια των ηλεκτρονικών της συστημάτων από ενδεχόμενη επίθεση και διαρροή πληροφοριών, η αύξηση της παραγωγικότητας της επιχείρησης που προκύπτει από την σωστή οργάνωση των πληροφοριών αποτελούν πυλώνες ανάπτυξης και προστασίας των κεκτημένων κάθε επιχείρησης.

Νομική Σύμβουλος της UHY ΑΞΩΝ ΟΡΚΩΤΟΙ ΕΛΕΓΚΤΕΣ Α.Ε.

Με εξειδίκευση σε θέματα GDPR
E-mail: cantonopoulou@axonaudit.gr