Νέος Ευρωπαϊκός Γενικός Κανονισμός για τα Προσωπικά Δεδομένα
Στις 14 Απριλίου 2016, το Ευρωπαϊκό Κοινοβούλιο ενέκρινε τo Γενικό Κανονισμό για τα Προσωπικά δεδομένα.
Ο κανονισμός αναμένεται να τεθεί σε ισχύ την άνοιξη του 2016 και θα αρχίσει να εφαρμόζεται την άνοιξη του 2018.
Ο κανονισμός περιγράφει τα δικαιώματα του υποκειμένου των δεδομένων, δηλαδή του ατόμου του οποίου τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία. Αυτά τα ενισχυμένα δικαιώματα παρέχουν στα άτομα μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων, μεταξύ άλλων μέσω:
- την ανάγκη ύπαρξης σαφούς συγκατάθεσης του ενδιαφερομένου για την επεξεργασία των προσωπικών του δεδομένων
- της ευκολότερης πρόσβασης του ενδιαφερομένου στα προσωπικά του δεδομένα
- των δικαιωμάτων διόρθωσης, διαγραφής και «λήθης»
- του δικαιώματος εναντίωσης, μεταξύ άλλων στη χρησιμοποίηση των δεδομένων προσωπικού χαρακτήρα για την «κατάρτιση προφίλ»
- του δικαιώματος φορητότητας των δεδομένων από πάροχο σε πάροχο
Θεσπίζει επίσης την υποχρέωση των υπεύθυνων επεξεργασίας των δεδομένων να παρέχουν διαφανείς και εύκολα προσβάσιμες πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά την επεξεργασία των δεδομένων τους.
Ο Νέος Κανονισμός ορίζει αναλυτικά τις γενικές υποχρεώσεις που έχουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία των δεδομένων προσωπικού χαρακτήρα για λογαριασμό αυτών. Και οι δύο έχουν την υποχρέωση τήρησης κατάλληλων μέτρων ασφαλείας ανάλογα με τον κίνδυνο τον οποίον ενέχουν οι πράξεις επεξεργασίας δεδομένων τις οποίες εκτελούν.
Οι υπεύθυνοι επεξεργασίας σε ορισμένες περιπτώσεις, πρέπει να κοινοποιούν τα περιστατικά παραβίασης δεδομένων προσωπικού χαρακτήρα εντός 72 ωρών από την ανακάλυψη του περιστατικού παραβίασης και απώλειας προσωπικών δεδομένων στις αρμόδιες αρχές και στα υποκείμενα των δεδομένων αν η φύση των δεδομένων που χάθηκαν το απαιτεί.
Επίσης για τις εταιρείες και τις δημόσιες αρχές που εκτελούν πράξεις επεξεργασίας δεδομένων που ενέχουν κινδύνους θα πρέπει να έχουν ορίσει υπεύθυνο προστασίας δεδομένων.
Για τους υπεύθυνους επεξεργασίας ή τους εκτελούντες την επεξεργασία δεδομένων οι οποίοι παραβιάζουν τους κανόνες για την προστασία των δεδομένων προβλέπονται πολύ αυστηρές κυρώσεις.
Στους υπευθύνους επεξεργασίας δεδομένων μπορεί να επιβληθεί πρόστιμο που μπορεί να ανέλθει σε 20 εκατ. € ή στο 4% του συνολικού ετήσιου κύκλου εργασιών τους.
Για την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται υπόψη ενδεικτικά τα ακόλουθα:
- η φύση, η βαρύτητα και η διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση, την έκταση ή το σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων των δεδομένων που έθιξε η παράβαση και το βαθμό ζημίας που υπέστησαν,
- ο δόλος ή η αμέλεια που προκάλεσε την παράβαση,
- οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων,
- ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν,
- τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία,
- ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της,
- οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση,
- ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση,
- σε περίπτωση που διατάχθηκε προηγουμένως η λήψη των μέτρων που αναφέρονται κατά του εμπλεκόμενου υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα,
- η τήρηση εγκεκριμένων κωδίκων δεοντολογίας ή εγκεκριμένων μηχανισμών πιστοποίησης σύμφωνα και
- κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.
Ο κανονισμός αναγνωρίζει το δικαίωμα των υποκειμένων των δεδομένων να υποβάλλουν καταγγελία σε εποπτική αρχή καθώς και το δικαίωμά τους για δικαστική προσφυγή και αποζημίωση έτσι οι εταιρίες είναι εκτεθειμένες σε αγωγές από τρίτους των οποίων χάθηκαν τα προσωπικά τους δεδομένα.
Για να δείτε το Νέο Κανονισμό στα Ελληνικά κάντε κλικ εδώ
O Ρόλος και οι ευθύνες του Data Protection Officer
Στις 16 Απριλίου 2016 ψηφίσθηκε από το Ευρωπαικό Κοινοβούλιο ο Γενικός Κανονισμός Προσωπικών Δεδομένων, νομοθέτημα άμεσης εφαρμογής σε όλα τα κράτη μέλη της Ευρωπαικής Ενωσης, το οποίο θα τεθεί σε ισχύ μετά την παρέλευση της μεταβατικής περιόδου για την προσαρμογή των κρατών δηλαδή στις 25 Μαίου 2018.
Το νομοθέτημα αυτό αλλάζει ριζικά το τοπίο στον χώρο της Προστασίας των Προσωπικών Δεδομένων επιβάλλοντας πρόσθετες υποχρεώσεις σε Υπεύθυνους Επεξεργασίας και Εκτελούντες την Επεξεργασία προσωπικών δεδομένων ανάμεσα στις οποίες είναι ο υποχρεωτικός διορισμός Data Protection Officer. (Σ.Σ. Θα διατηρήσω τον αγγλικό όρο καθώς αποδίδει πληρέστερα την ουσία του συγκεκριμένου όρου).
Ηδη από τον Φεβρούαριο 2016 η Επιτροπή του άρθρου 29 (Article 29 Working Party) η οποία αποτελεί την εποπτεύουσα αρχή των εθνικών Αρχών Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και Συμβουλευτικό Οργανο της Ευρωπαικής Επιτροπής ανακοίνωσε ότι θα εκδώσει διευκρινιστικές οδηγίες σχετικά με τον ρόλο και την ευθύνη του Data Protection Officer, όπως αυτή προδιαγράφεται στα άθρα 37-39 του Κανονισμού. Οι Οδηγίες αυτές εκδόθηκαν στις 16 Δεκεμβρίου 2016 αποσαφήνιζοντας αρκετά – όχι όμως όλα – ερωτήματα αναφορικά με τον θεσμό που αποκτά νέα βαρύτητα μετά την εισαγωγή του Κανονισμού
Τα βασικά σημεία της Διευκρινιστικής Οδηγίας της Επιτροπής του άρθρου 29 συνοψίζονται ως εξής :
Ι. Σε ποιές περιπτώσεις είναι υποχρεωτικός ο διορισμός του Υπεύθυνου Προσωπικών Δεδομένων (Data Protection Officer)
– O Κανονισμός προδιάγραφει τρεις βασικές κατηγορίες περιπτώσεων :
Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:
α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή
γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.
Οι διευκρινήσεις της Επιτροπής του άρθρου 29 εστιάζουν στην διασαφήνιση της έννοιας «βασικές δραστηριότητες» (Core Activities) οι οποίος περιγράφονται ως «αναπόσπαστο τμήμα της επίδιωξης των εταιρικών σκοπών του Υπευθύνου ή Εκτελούντος την Επεξεργασία όπως για παράδειγμα οι δραστηριότητες παρακολούθησης μιας εταιρίας παροχής υπηρεσιών ασφαλείας, με τις οποίες ελέγχει/παρακολουθεί έναν δημόσιο ή ιδιωτικό χώρο , οι δραστηριότητες επεξεργασίας ιατρικών φακέλων ασθενών που νοσηλεύονται σε ένα νοσοκομείο καθώς και οι δραστηριότητες επεξεργασίας προσωπικών δεδομένων υπαλλήλων από έναν εξωτερικό συνεργάτη που διαχειρίζεται την μισθοδοσία του προσωπικού μιας εταιρίας.
Η έννοια «Συστηματική» και «Τακτική» Παρακολούθηση των υποκειμένων σε μεγάλη κλίμακα (regular and systematic monitoring) στην οποία εντάσσονται όλες οι μορφες on line παρακολούθησης όπως για παράδειγμα η παρακολούθηση των μετακινήσεων του υποκειμένου (location tracking) η επεξεργασία που στοχεύει στον καθορισμό της καταναλωτικής συμπεριφοράς και συνηθειών του υποκειμένου για διαφημιστιούς σκοπούς (behavioral advertising) καθώς και ο καθορισμός του Προφίλ του υποκειμένου με βάση συγκεκριμένα προσωπικά δεδομένα που αφορούν την καταναλωτική του ταυτότητα, τις προτιμήσεις του, επισκεψιμότητα σε συγκεκριμένα καταστήματα, (Profiling).
Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (των «Ευαίσθητων Προσωπικών Δεδομένων της Οδηγίας 96/45) σε «μεγάλη κλίμακα», όπως δεδομένων που αφορουν την θρησκεία, πολιτικές πεποιθήσεις, σεξουαλικό προσανατολισμό, συμμετοχή σε συνδικαλιστικές οργανώσεις αλλά και Γενετικα Δεδομένων ή Υλικό όπως και Βιομετρικά Στοιχεία τα οποία ορίζονται ως « Ειδικά Προσωπικά Δεδομένα» με το Νέο Κανονισμό.
II. Η διευκρίνση της έννοια επεξεργασίας σε μεγάλη κλίμακα (Large Scale Processing) όμως παραμένει ασαφής και μάλλον αόριστη καθώς τόσο το κείμενο του Κανονισμού όσο και οι Οδηγίες της Επιτροπής Α29 , δεν παραθέτουν αριθμητικά όρια για τον ορισμό της μεγάλης κλίμακας αλλά γενικά παραδείγματα όπως ασφαλιστικη εταιρία ή τράπεζα που επεξεργάζονται προσωπικά δεδομένων πελάτους, τους, ή την επεξεργασία σε πραγματικό χρόνο των γεο- τοπογραφικών δεδομένων (Geo _ Location Data) πελατών μια διεθνούς εταιρίας fast food για στατιστικούς σκοπούς.
III. Δημόσιοι Φορείς ή Αρχές, που ασχολούνται με την Υγεία, Τηλεπικονωνίες, Μεταφορές, ΔΕΚΟ κλπ φαίνεται ότι θα υποχρεωθούν να διορίσουν Data Protection Officer. Το ίδιο και πολλές ιδιωτικές εταιρίες και οργανισμοί, συμπεριλαμβανομένων και Μικρομεσαίων Επιχειρήσεων, που επεξεργάζονται « Ειδικά Προσωπικά Δεδομένα» σε ‘Μεγάλη Κλίμακα» όπως οι Εταιρίες που διενεργούν Κλινικές Μελέτες (CRO’s), οι εταιρίες που διαχειρίζονται μισθοδοσία προσωπικού ή επεξεργάζονται καταναλωτικά προφίλ για κατηγορίες βασικών καταναλωτικών αγαθών.
IV. Ερευνες που διενεργήθηκαν πανευρωπαικά, συμπέραναν ότι μόνο το 50% των επιχειρήσεων είναι έτοιμες για να αντιμετώπισουν τα νέα δεδομένα που εισάγει ο Γενικός Κανονισμός ενώ οι εκτιμήσεις των ειδικών προδιαγράφουν ανάγκη για διορισμό/ δημιουργία θέσεων εργασίας για 28.000!!!!!! Data Protection Officers σύμφωνα με μελέτη του iapp σε πανευρωπαικό επίπεδο.
V. ΠΩΣ ΘΑ ΕΝΤΑΧΘΕΙ ΣΤΗΝ ΑΓΟΡΑ Ο DATA PROTECTION OFFICER ? TI ΠΡΕΠΕΙ ΝΑ ΚΑΝΟΥΝ ΟΙ ΕΠΙΧΕΙΡΗΣΕΙΣ ΓΙΑ ΝΑ ΑΠΟΦΥΓΟΥΝ ΤΑ ΒΑΡΥΤΑΤΑ ΠΡΟΣΤΙΜΑ ΠΟΥ ΠΡΟΒΛΕΠΕΙ Ο ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΄
Είναι όμως έτοιμη η αγορά να αποδεχθεί τον θεσμικό ρόλο του Data Protection Officer όπως αυτός προδιαγράφεται στον Κανονισμό ?
Δηλαδή ως ανεξάρτητο ειδικό στον χώρο των προσωπικών δεδομένων , με αποδεδειγμένη (πιστοποιημένη από ανεξάρτητο φορέα) γνώση και εμπειρία στη νομοθεσία και πρακτική εφαρμογή των Προσωπικών Δεδομένων, ο οποίος θα έχει εχέγγυα ανεξαρτησίας και θα αναφέρεται απευθείας στον CEO ή σε μέλος του Δ.Σ μιας εταιρίας ?
Θα ανατρέξουν οι εταιρίες στην «εύκολη» λύση της «εμβάπτισης» του εσωτερικού νομικού συμβούλου ή έμμισθου δικηγόρου σε Data Protection Officer ανεξάρτητα από το εαν ο τελευταίος έχει την ειδική γνώση και εμπειρία να αντιμετωπίσει την ευθύνη και τα καθήκοντα του θεσμικού αυτού ρόλου ?
Η θα αντιμετώπισουν με τρόπο ουσιαστικό τις προκλήσεις και τις ανάγκες της νέας πραγματικότητας είτε εκπαιδεύοντας εσωτερικά τα στελέχη τους, να λειτουργήσουν ΑΠΟΚΛΕΙΣΤΙΚΑ ως Data Protection Officers, είτε προσλαμβάνοντας ανεξάρτητους επαγγελματίες, ( με σύμβαση παροχής ανεξάρτητων υπηρεσιών ή με σύμβαση εξαρτημένης εργασίας, στην οποία όμως θα προδιαγράφεται σαφώς ο ρόλος και τα καθήκοντας του Data Protection Officer κατά τρόπο ώστε να αποφεύγεται η σύγκρουση συμφερόντων του τελευταίου πχ εαν έχει παράλληλα καθήκοντα που αφορούν στην επεξεργασία προσωπικών δεδομένων στην εταιρία» .
VI. Η Οδηγίες της Επιτροπής του Ά29 διευκρίνησαν ότι ο Data Protection Officer, ΔΕΝ ΘΑ ΕΧΕΙ ΠΡΟΣΩΠΙΚΗ ΕΥΘΥΝΗ, στο πλαίσιο της άσκησης των καθηκόντων του, ότι περισσότερες εταιρίες ή Ομιλοι Εταιριών που δραστηριοποιούνται σε διάφορα εδαφικά όρια, μπορουν να διορίσουν έναν ΚΟΙΝΟ Data Protection Officer, αρκεί να μην ανακύπτει θέμα σύγκρουσης συμφερόντων του DPO, και ακόμα πως ο Data Protection Officer, μπορεί να είναι ανεξάρτητος – σύμβουλος- μιας εταιρίας αρκεί να διασφαλίζονται οι προυποθέσεις που θέτει ο Κανονισμός δηλαδή η προσβασιμότητα του στα προσωπικά δεδομένα που τηρούνται στην επιχείρηση και η γνώση του αντικειμένου της επιχειρήσεις, της εσωτερικής δομής και των πολιτικών της τελευταίας.
VII. Ο ρόλος του Data Protection Officer, ως εξειδικευμένου, λειτουργικά ανεξάρτητου, στελέχους δεν περιορίζεται μόνο στην υποχρεωτική , κατά το Νέο Κανονισμό, παρουσία του σε μία εταιρία με την έννοια της τυπικής πλήρωσης μιας θέσης εργασίας (tick box) όπως αντίστοιχα ο Ιατρός Εργασίας ή ο Τεχνικός Ασφαλείας .
Ο Data Protection Officer αναλαμβάνει ουσιαστικά να εκπροσωπήσει την Επιχείρηση έναντι των Αρχών, Εθνικών και Ευρωπαικών, να διασφαλίσει την εναρμόνιση της λειτουργίας της επιχείρησης σε ότι αφορά τις πολιτικές πρακτικές και μεθοδολογία επεξεργασίας, αποθήκευσης και μεταφοράς Δεδομένων Προσωπικού Χαρακτήρα με το νέο αυστηρό νομοθετικό πλαίσιο και να προστατέψει την επιχείρηση από τους κινδύνους επιβολής των σημαντικότατων και βαρύτατων διοικητικών προστίμων που προβλέπει ο Κανονισμός τα οποία εκκινούν από 10.000.000 Ευρώ ή το 2% του παγκόσμιου τζίρου εαν πρόκειται για διεθνή όμιλο και φτάνουν σε περίπτωση παράβασης βασικών διατάξεων του κανονισμού σε 20.000.000 ή στο 4% του παγκόσμιου τζίρου.
Για να μπορέσουν οι επαγγελματίες του χώρου των προσωπικών δεδομένων να ανταποκριθούν στις αυξήμενες υποχρεώσεις και σοβαρότατη ευθύνη του ρόλου του Data Protection Officer απαιτείται η ουσιαστική επιμόρφωση και εκπαίδευση τους, τόσο σε ότι αφορά τον Γενικό Κανονισμό Προσωπικών Δεδομένων, αλλά και σε ειδικά θέματα προσωπικών δεδομένων, όπως η κατάρτιση Data Privacy Impact Assessment (DPIA) σε περίπτωση εισαγωγής νέων υπηρεσιών ή προιόντων που συνεπάγονται την επεξεργασία σε μεγάλη κλίμακα προσωπικών δεδομένων ή διαχειρίζονται ειδικά προσωπικά δεδομένα, την κατάρτιση ενός Προγράμματος/Πλαισίου Προσωπικών Δεδομένων εντός της Επιχείρησης/Εταιρίας, ο καθορισμός και η επικοινωνία Πολιτικής Προστασίας /Κανονισμού Προστασίας Προσωπικών Δεδομένων και η Κοινοποίηση του στην Εθνική Αρχή Προστασία Δεδομένων Προσωπικού Χαρακτήρα και άλλα αντίστοιχα θέματα.
VIII. Ο Data Protection Officer, θα πρέπει- κατά την άποψη μου, να λειτουργήσει ως επικεφαλής ομάδας ειδικών (Task Force) που θα περιλαμβάνει μέλη του IT, PR, Legal/Compliance και Information Security δημιουργώντας μια εύελικτη ομάδα που θα αντιμετωπίσει επιτυχώς όλες τις προκλήσεις που θα ανακύψουν κατά την εφαρμογή του νέου αυστηρού νομοθετικου πλαισίου στον χώρο των προσωπικών δεδομένων, και να έχει άμεση πρόσβαση στην διοίκηση της εταιρίας ή των εταιριών που εκπροσωπεί. Σε αντίθετη περίπτωση υπάρχει σοβαρότατος κίνδυνος επιβολής εξοντωτικών για τις επιχειρήσεις διοικητικών προστίμων, αλλά πέραν αυτών, κίνδυνος αναστολής της επεξεργασίας ή μεταφοράς συγκεκριμένων προσωπικών δεδομένων από τις εταιρίες που πρακτικά μπορεί να σημαίνει αναστολής της δραστηριότητας της επιχείρησης με τις αντίστοιχες συνέπειες.
IX. Είναι αναγκαία η αφύπνιση και η δραστηριόποιηση της αγοράς ώστε στον χρόνο που απομένει μέχρι την έναρξη ισχύος του Γενικού Κανονισμού να προετοιμασθεί κατάλληλα και επαρκώς γι να αντιμετώπισει τα νέα δεδομένα, και στους επαγγελματίες των Προσωπικών Δεδομένων να επικαιροποιήσουν και εξειδικεύσουν την γνώση τους ώστε να μπορέσουν να αναλάβουν υπεύθυνα και ουσιαστικά τα καθήκοντα του Data Protection Officer.
*O Ιωάννης Ε. Γιαννακάκης είναι νομικός σύμβουλος Νότιας Ευρώπης του Ομίλου G4S, εξειδικευμένος στον τομέα της προστασίας προσωπικών δεδομένων. Είναι Certified Information Privacy Professional /Europe και Certified Information Privacy Manager απο τον International Association of Privacy Professionals (IAPP) και Certified GDPR/Foundation Consultant από το IT Governance κατά ISO 17024.
Δείτε το DPO Toolbox κάνοντας κλίκ εδώ.