Ο Ευρωπαϊκός Κανονισμός 2016/679 (General Data Protection Regulation, GDPR) ψηφίστηκε στις 27.04.2016 και τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης στις 25.05.2018, διαμορφώνοντας ένα ενιαίο νομικό πλαίσιο, χωρίς την ανάγκη ψήφισης εθνικής νομοθεσίας και καταργώντας την υφιστάμενη νομοθεσία. Ο νέος κανονισμός αυξάνει σημαντικά τις υποχρεώσεις των επιχειρήσεων, ενώ το μέγεθος των προβλεπόμενων προστίμων τον τοποθετεί πολύ υψηλά στην ατζέντα της ανώτατης διοίκησης.
Ο Κανονισμός αυτός, ο οποίος από τις 25/5/2018 θα έχει ισχύ νόμου, διαμορφώνει ένα ιδιαίτερα δυνατό νομικό πλαίσιο για την επεξεργασία των προσωπικών δεδομένων στα κράτη μέλη της ΕΕ, και θέτει μια σειρά περιορισμών και νέων υποχρεώσεων στις επιχειρήσεις σχετικά με την επεξεργασία των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους, από τη συλλογή έως και την καταστροφή τους, τη δυνατότητα μεταφοράς τους σε άλλες χώρες, την προστασία των δικαιωμάτων των φυσικών προσώπων, την ασφάλεια (εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα) των προσωπικών δεδομένων και τις ενέργειες γνωστοποίησης που οφείλει να κάνει η επιχείρηση σε περίπτωση παραβίασης.
Ο Κανονισμός αυτός αφορά ΟΛΕΣ τις επιχειρήσεις εντός αλλά και εκτός ΕΕ, εφόσον τα δεδομένα αφορούν πολίτες της ΕΕ.
Οι επιχειρήσεις θα υποχρεωθούν να τηρούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων, δηλαδή να τα συλλέγουν για συγκεκριμένο νόμιμο σκοπό και μόνο όσα εξ’ αυτών είναι απαραίτητα για τον σκοπό αυτό, να μην τα υποβάλουν σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό, να τα επικαιροποιούν, να τα αποθηκεύουν για το ελάχιστο χρονικό διάστημα που απαιτείται και μετά να τα διαγράφουν, να λαμβάνουν σε κάθε περίπτωση την ελεύθερη και σαφή συγκατάθεση των φυσικών προσώπων, να τα μεταφέρουν σε χώρες εκτός ΕΕ μόνον υπό συγκεκριμένες προϋποθέσεις, να δίνουν πρόσβαση στα προσωπικά δεδομένα σε συνεργάτες τους μόνον υπό συγκεκριμένες συνθήκες και εφόσον αυτοί αποδεικνύουν τη συμμόρφωσή τους με τον GDPR, να αναπτύξουν ηλεκτρονικά εργαλεία για την έγκαιρη και δωρεάν ανταπόκριση σε αιτήματα για:
• ανάκληση της συγκατάθεσης των φυσικών προσώπων
• πρόσβαση στα δεδομένα
• διόρθωση των δεδομένων
• διαγραφή των δεδομένων
• περιορισμό της επεξεργασίας
• παράδοση των δεδομένων σε ηλεκτρονική μορφή
• μεταφορά των δεδομένων σε άλλο φορέα
• να γνωστοποιούν κατάλληλα και εγκαίρως στα φυσικά πρόσωπα τα δικαιώματά τους
• να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους
• να τηρούν σε αρχείο και να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα.
Ορισμός ενός ΥΠΔ.
Ο πρωταρχικός ρόλος του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ) Data Protection Officer (DPO) είναι να εξασφαλίσει ότι ο οργανισμός επεξεργάζεται τα προσωπικά δεδομένα του προσωπικού του, των πελατών του, των παροχέων ή οποιονδήποτε άλλων φυσικών προσώπων σύμφωνα με τους κανόνες προστασίας δεδομένων (GDPR).
Ο ΥΠΔ θα πρέπει να είναι ειδικά εκπαιδευμένος για να μπορεί να συμβουλεύει και να καθοδηγεί την εταιρεία και τα τμήματα της προς την συμμόρφωση. Θα έχει την θέση «internal auditor» και θα ελέγχει την εταιρεία και όλα τα τμήματα αφού θα γνωρίζει τις διαδικασίες και τα έγγραφα τα οποία απαιτούνται προς την συμμόρφωση (DPIA, Data Audit, BCRs etc).
Ο ορισμός ενός ΥΠΔ πρέπει βεβαίως να βασίζεται στις προσωπικές και επαγγελματικές του ικανότητες, αλλά θα πρέπει να δοθεί ιδιαίτερη προσοχή στις ειδικές γνώσεις του για την προστασία των δεδομένων και την νομοθεσία. Χρειάζεται επίσης καλή κατανόηση του τρόπου λειτουργίας της εταιρείας (οργανισμού).
Ο Υπεύθυνος Προστασίας Δεδομένων είναι ένας κύριος ρόλος στην εταιρεία, και ο ορισμός του από τον οργανισμό εξασφαλίζει την συμμόρφωση (του οργανισμού) προς τον κανονισμό της Ε.Ε.
Παρόλα αυτά ο ΥΠΔ θα πρέπει να ασκεί τα καθήκοντα του με τρόπο ανεξάρτητο. Στα θεσμικά όργανα και τους οργανισμούς της ΕΕ υπάρχουν ορισμένες εγγυήσεις που εγγυώνται αυτή την ανεξαρτησία:
Οι εφαρμοστέοι κανόνες για τα θεσμικά όργανα και τους οργανισμούς της ΕΕ προβλέπουν ρητώς ότι ο ΥΠΔ:
Δεν λαμβάνει οδηγίες σχετικά με την εκτέλεση των καθηκόντων του.
Δεν πρέπει να υπάρχει σύγκρουση συμφερόντων μεταξύ των καθηκόντων του ΥΠΔ και των άλλων καθηκόντων του, εάν υπάρχουν. Για να αποφευχθεί η σύγκρουση, συνιστάται:
- ‘Ενας ΥΠΔ δεν πρέπει επίσης να είναι υπεύθυνος των δραστηριοτήτων επεξεργασίας (για παράδειγμα αν είναι επικεφαλής του HR)
- Ο ΥΠΔ δεν πρέπει να είναι υπάλληλος με σύμβαση μικρής ή μερικής απασχόλησης, αλλά μόνιμης απασχόλησης.
- ‘Ενας ΥΠΔ δεν πρέπει να αναφέρει σε άμεσο ανώτερο
- Ένας υπεύθυνος προστασίας δεδομένων θα πρέπει να είναι υπεύθυνος για τη διαχείριση του δικού του προϋπολογισμού.
Ο οργανισμός θα πρέπει να προσφέρει προσωπικό και πόρους για να υποστηρίξει τον ΥΠΔ να εκτελεί τα καθήκοντά του.
Ο ΥΠΔ πρέπει να έχει την εξουσία να διερευνά.
Οι υπεύθυνοι (Department Managers, Managers, Directors κτλ) πρέπει επίσης να παρέχουν πληροφορίες και απαντήσεις στις ερωτήσεις του.
Πρέπει να οριστεί από τον οργανισμό ελάχιστη διάρκεια διορισμού και αυστηροί όροι απόλυσης στη θέση ΥΠΔ.
Τι κάνει ο ΥΠΔ
Ο Υπεύθυνος Προστασίας Δεδομένων πρέπει να διασφαλίσει ότι τηρούνται οι κανόνες προστασίας δεδομένων σε συνεργασία με την αρχή προστασίας δεδομένων. Γενικά, ο ΥΠΔ πρέπει να:
- Εξασφαλίζει ότι οι χειριστές των δεδομένων και τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, ενημερώνονται σχετικά με τα δικαιώματα, τις υποχρεώσεις και τις ευθύνες τους όσον αφορά την προστασία των δεδομένων και την ευαισθητοποίηση σχετικά με αυτά.
- Παροχή συμβουλών και συστάσεων στον οργανισμό σχετικά με την ερμηνεία ή την εφαρμογή των κανόνων προστασίας δεδομένων.
- Δημιουργία μητρώου επεξεργασιών εντός του οργανισμού και κοινοποίηση στον European Data Protection Supervisor (EDPS) εκείνων που παρουσιάζουν ειδικούς κινδύνους (αποκαλούμενοι εκ των προτέρων έλεγχοι).
- Εξασφάλιση της συμμόρφωσης του οργανισμού με την προστασία των δεδομένων και παροχή βοήθειας στον οργανισμό για να είναι υπεύθυνος στο θέμα αυτό.
- Αντιμετώπιση ερωτημάτων ή καταγγελιών κατόπιν αιτήματος του οργανισμού ή του υπεύθυνου επεξεργασίας ή άλλου προσώπου ή με δική του πρωτοβουλία.
- Συνεργασία με τον EDPS (απάντηση στα αιτήματά του σχετικά με τις έρευνες, τη διεκπεραίωση των καταγγελιών, τις επιθεωρήσεις που διενεργεί ο EDPS κ.λπ.) ·
- Θέτει την προσοχή του οργανισμού σε τυχόν μη συμμόρφωση του με τους ισχύοντες κανόνες προστασίας δεδομένων.
Στην Κύπρο, ο νόμος του 2001 περί επεξεργασίας δεδομένων προσωπικού χαρακτήρα (προστασία προσώπων) μεταφέρει τις διατάξεις της οδηγίας 95/46 / ΕΚ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Τον Μάιο του 2016, τέθηκε σε ισχύ ένα ολοκληρωμένο πακέτο δύο νομοθετικών πράξεων της ΕΕ για την προστασία δεδομένων: ο γενικός κανονισμός (ΕΕ) 2016/679, ο οποίος καταργεί την οδηγία 95/46 / ΕΚ (GDPR) και την οδηγία 2016/680, στον τομέα της επιβολής του νόμου.
Ο κανονισμός θα τεθεί σε εφαρμογή από τις 25 Μαΐου 2018 και η οδηγία πρέπει να μεταφερθεί στην εθνική νομοθεσία έως τις 6 Μαΐου 2018.
Ο νέος κανονισμός ισχύει για όλες τις εταιρείες που επεξεργάζονται προσωπικά δεδομένα των υποκειμένων των δεδομένων, οι οποίοι διαμένουν στην επικράτεια της Ευρωπαϊκής Ένωσης. Ο νέος κανονισμός θα εφαρμοστεί στην επεξεργασία προσωπικών δεδομένων στην ΕΕ, ανεξάρτητα από το εάν η επεξεργασία πραγματοποιείται στην ΕΕ ή όχι.
Με τον νέο κανονισμό, υπάρχει μια αυστηρότατη πολιτική επιβολής κυρώσεων:
Πρόστιμο έως 10. 000. 000 ευρώ ή 2% του συνολικού ετήσιου κύκλου εργασιών παγκοσμίως κατά το προηγούμενο έτος, όποιο είναι υψηλότερο, για μια παραβίαση.
Ένα πρόστιμο έως 20. 000. 000 ευρώ ή το 4% του συνολικού ετήσιου κύκλου εργασιών παγκοσμίως κατά το προηγούμενο οικονομικό έτος, όποιο είναι υψηλότερο, για περισσότερες ή σοβαρότερες ή επαναλαμβανόμενες παραβιάσεις.
Καμία εταιρεία δεν θα επιθυμεί σε καμία περίπτωση να ρισκάρει οιαδήποτε επιβολή προστίμου, λόγω του ότι οι κυρώσεις σε σχέση με το κόστος συμμόρφωσης με τον νέο νόμο είναι δυσανάλογα υψηλές και ουσιαστικά ισοδυναμούν με οικονομική καταστροφή της εταιρείας.
Σκοπός του Νόμου δεν είναι όμως η οικονομική καταστροφή των εταιρειών αλλά η άμεση συμμόρφωση τους με τους κανονισμούς.
Είναι ιδιαιτέρως σημαντικό οι εταιρείες στην Κύπρο όπως ενημερωθούν άμεσα για τον νέο κανονισμό ούτως ώστε να είναι σε θέση να μπορούν μέχρι τις 25 Μαΐου 2018 να συμμορφωθούν με αυτόν και να διορίσουν ένα Υπεύθυνο Προστασίας Δεδομένων.
Για αρχή οι εταιρείες πρέπει να γνωρίσουν την νέα νομοθεσία, να χαράξουν μια κατεύθυνση δράσης, να είναι σε θέση να γνωρίζουν ποια δεδομένα αποτελούν προσωπικά δεδομένα, και άρα εμπίπτουν κάτω από την προστασία του νόμου και ποια δεδομένα εμπίπτουν κάτω από άλλες κατηγορίες (sensitive, special κτλ), να γνωρίζουν ποιο τμήμα έχει πρόσβαση σε προσωπικά δεδομένα και σε ποια προσωπικά δεδομένα έχει πρόσβαση. Θα πρέπει να μπορούν να αξιολογήσουν τους κινδύνους για όλα τα προσωπικά δεδομένα και να αναθεωρήσουν τις πολιτικές και τις διαδικασίες τις οποίες ακολουθούν.
Ιλιάνα Κέλη-Γεωργίου, Νομικός Σύμβουλος LLB-LLM
