GDPR: Η συνέχεια

Πόσες από τις εταιρείες στην Ελλάδα, αλλά και τους επαγγελματίες που επεξεργάζονται προσωπικά δεδομένα έχουν ήδη συμμορφωθεί;

Μετατρέψτε τον GDPR σε ανταγωνιστικό πλεονέκτημα για την επιχείρησή σας.

Αυτές τις ημέρες συμπληρώνουμε εννιά μήνες περίπου από την έναρξη ισχύος του νέου Γενικού Κανονισμού Προστασίας Δεδομένων, του «διάσημου» σχεδόν πλέον Κανονισμού που έγινε γνωστός με την αγγλική του συντομογραφία, τον GDPR. Η χώρα μας, όπως και όλες οι Ευρωπαϊκές χώρες είχαν δύο χρόνια από το 2016 για να συμμορφωθούν με τη νέα νομοθεσία για την προστασία των προσωπικών δεδομένων. Θα έλεγε κανείς ότι ο χρόνος ήταν κάτι παραπάνω από αρκετός για όλες τις ελληνικές επιχειρήσεις να συμμορφωθούν με το νέο νομικό πλαίσιο, το οποίο είναι αρκετά πιο αυστηρό από αυτό που καταργήθηκε στις 25 Μαΐου 2018. Πόσες, όμως, από τις εταιρείες στην Ελλάδα, αλλά και τους επαγγελματίες που επεξεργάζονται προσωπικά δεδομένα έχουν ήδη συμμορφωθεί; Δυστυχώς η απάντηση είναι απογοητευτική.

Το ποσοστό συμμόρφωσης των επιχειρήσεων στην Ελλάδα είναι πράγματι χαμηλό και δεν χρειάζεται ιδιαίτερη μελέτη για να γίνει αυτό αντιληπτό.

Πολλές εταιρείες συνεχίζουν να λειτουργούν με τις ίδιες πολιτικές που μόνο “privacy friendly” δεν είναι και με λίγα λόγια να αγνοούν σε μεγάλο βαθμό, τόσο τις νέες αυστηρές διατάξεις του GDPR, όσο και τις βασικές διατάξεις του προϊσχύσαντος δικαίου για την προστασία των προσωπικών δεδομένων.

Για περισσότερα νομικά θέματα κάντε εγγραφή στο κανάλι μας στο YouTube   

Ωστόσο, δεν μπορούμε να αποδώσουμε ευθύνη στις εταιρείες, καθώς το πρόβλημα ξεκίνησε αρχικά με την παντελή απουσία σχετικής ενημέρωσης του επιχειρηματικού κόσμου, στη συνέχεια την καθυστερημένη, ελλιπή και αποσπασματική ενημέρωσή του και εν τέλει τη συνολική παραπληροφόρηση που αναπτύχθηκε γύρω από τον GDPR, ιδίως όσο πλησίαζε η καταληκτική ημερομηνία για την έναρξη της εφαρμογής του.

Τι πρέπει όμως να ξέρει σήμερα κάθε ελληνική επιχείρηση τέσσερις μήνες μετά τον πανικό που δημιουργήθηκε στις 25 Μαΐου 2018, εκτός από τα βαριά πρόστιμα που επισύρει ο Κανονισμός; Τι πρέπει να κάνει μια επιχείρηση για να μη κινδυνεύει από καταγγελίες, αγωγές και χρηματικά πρόστιμα; Δεν χρειάζεται κανένας πανικός, μόνο σωστή νομική καθοδήγηση από τον κατάλληλο νομικό σύμβουλο και πολύ δουλειά!

Τα βήματα για μία σωστή και ολοκληρωμένη συμμόρφωση είναι απλά:

1. Σε συνεργασία με τον εξειδικευμένο σε ζητήματα προσωπικών δεδομένων νομικό σας σύμβουλο κάνετε μια καταγραφή των προσωπικών δεδομένων που επεξεργάζεται η επιχείρησή σας. Όλες οι δομές και οι διαδικασίες της επιχείρησης εξετάζονται υπό το πρίσμα των νομικών προβλέψεων του Ελληνικού, Ευρωπαϊκού και διεθνούς (όπου χρειάζεται) δικαίου για την προστασία των προσωπικών δεδομένων (το γνωστό data mapping και gap analysis, αλλά ας τα πούμε απλά γιατί τελικά έχουμε μένει στην ορολογία και αφήσαμε πίσω την ουσία).

2. Ο νομικός σας σύμβουλος (privacy lawyer) σας συμβουλεύει σε ποιες ενέργειες πρέπει να προβείτε στην πράξη για να διασφαλίσετε τα προσωπικά δεδομένα της επιχείρησής σας (πελατών, εργαζομένων, συνεργατών, τρίτων). Ετοιμάζεται το σχέδιο δράσης σας (action plan).

3. Καταγράφονται οι ενέργειες που πρέπει να γίνουν και μάλιστα με σειρά προτεραιότητας.

4. Ξεκινά η σύνταξη των απαραίτητων εγγράφων που απαιτεί ο GDPR τα οποία και θα αποδεικνύουν τη συμμόρφωση της επιχείρησής σας, καθώς «η γυναίκα του Καίσαρα δεν πρέπει να είναι μόνο τίμια αλλά και να φαίνεται». Θα χρειαστείτε όλα αυτά τα έγγραφα για τυχόν λογοδοσία που θα σας ζητηθεί. Ενδεικτικά έγγραφα που θα χρειαστείτε:

– Πολιτική προστασίας προσωπικών δεδομένων (privacy notice) για την ιστοσελίδα (website) της επιχείρησής σας, σε περίπτωση που έχετε ηλεκτρονική παρουσία, αλλά και στην περίπτωση που η επιχείρησή σας λειτουργεί ηλεκτρονικό κατάστημα (e-shop). Στην περίπτωση αυτή, το σωστό privacy notice που θα «ανεβάσετε» στην ιστοσελίδα σας είναι το πρώτο μέλημά σας.

– Πολιτική προστασίας προσωπικών δεδομένων που αφορά την εσωτερική λειτουργία της επιχείρησης (privacy policy guidelines). Εξαιρετικά χρήσιμο εργαλείο συμμόρφωσης, ιδίως αν απασχολείτε προσωπικό, εσωτερικούς ή εξωτερικούς συνεργάτες.

– Σύμβαση για την επεξεργασία των δεδομένων ανάμεσα σε εσάς και τρίτους επαγγελματίες – εταιρείες (data processing agreement). Πολύ σημαντική σύμβαση με την οποία οριοθετούνται υποχρεώσεις και ευθύνες ιδίως ανάμεσα σε υπεύθυνους επεξεργασίας και εκτελούντες την επεξεργασία.

– Αρχείο δραστηριοτήτων επεξεργασίας (records of processing activities). Ένα πολύτιμο εργαλείο για την παρακολούθηση της συμμόρφωσής σας αλλά και την απόδειξη αυτής.

– Μελέτη εκτίμησης αντικτύπου (data protection impact assessment). Απαραίτητο έγγραφο συμμόρφωσης με τον GDPR. Δεν απαιτείται σε όλες τις περιπτώσεις, αλλά όπου απαιτείται προβλέπεται επί ποινή υψηλού προστίμου.

5. Εξετάζετε μαζί με το νομικό συνεργάτη που έχει αναλάβει τη συμμόρφωση της επιχείρησής σας για το αν θα πρέπει να ορίσετε υπεύθυνο προστασίας δεδομένων (DPO). Η παράλειψη αυτής της υποχρέωσης, όπου υφίσταται, επισύρει βαρύτατο πρόστιμο.

6. Ελέγχετε όλες τις νομικές σας συμβάσεις (συμβάσεις εργασίας, προμηθευτών, εμπιστευτικότητας κα.), ώστε να είναι συμβατές με το νέο πλαίσιο για την προστασία των προσωπικών δεδομένων.

7. Παράλληλα, εφαρμόζετε στην πράξη τα τεχνικά μέτρα που είναι απαραίτητα για την ασφάλεια των προσωπικών δεδομένων της επιχείρησής σας.

8. Είστε έτοιμοι στη θεωρία, αλλά και στην πράξη και είστε εφοδιασμένοι με όλα τα αναγκαία έγγραφα. Ελέγχετε για τυχόν διορθωτικές ενέργειες.

9. Μπορείτε να διαφημίζεστε πλέον ότι είστε μια επιχείρηση privacy friendly, η οποία σέβεται και φροντίζει για την προστασία των προσωπικών δεδομένων των πελατών της. Μη ξεχνάτε, όμως, ότι η συμμόρφωση είναι μια συνεχής και ζωντανή διαδικασία. Απαιτεί διαρκή επιτήρηση, επικαιροποίηση και τυχόν διορθωτικές ενέργειες, όπου θα απαιτηθεί. Μην επαναπαύεστε! Συμβουλεύεστε πάντα τον εξειδικευμένο νομικό σας σύμβουλο.

Ο Ευρωπαϊκός Κανονισμός για την προστασία των προσωπικών δεδομένων (GDPR), ο οποίος καταργεί την ευρωπαϊκή οδηγία για τα προσωπικά δεδομένα την 95/46/ΕΕ, καθώς επίσης και τον ελληνικό νόμο 2472/1997, που είχε θεσπιστεί σε εφαρμογή της οδηγίας.

Όπως αντιληφθήκατε ο GDPR δεν πρέπει να προκαλεί ούτε πανικό, ούτε φόβο γιατί ο μόνος κερδισμένος από τη συμμόρφωση θα είναι η επιχείρησή σας. Ωστόσο, θέλει και τρόπο και κόπο! Καλή συμμόρφωση!