Του Γιώργου Χλωμούδη*
Στις 26 Αυγούστου τέθηκε σε ψήφιση από το Ελληνικό Κοινοβούλιο ο νέος νόμος για τα δεδομένα προσωπικού χαρακτήρα και λίγο αργότερα, στις 29 Αυγούστου, δημοσιεύτηκε στην Εφημερίδα της Κυβέρνησης για να αποτελέσει πλέον και εθνικό νόμο (Ν.4624/19).
Ως γενικό σχόλιο, θα ήθελα να σημειώσω ότι ο νέος νόμος δεν ακολουθεί τη ροή του Κανονισμού 679/2016 (ΓΚΠΔ, GDPR) και διαφοροποιείται σε αρκετά σημεία.
Η ψήφιση του νέου νόμου ουσιαστικά «δίνει πράσινο φως» στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), ούτως ώστε να προβεί σε ελέγχους πλέον πιο οργανωμένα και συστηματικά.
Στο πλαίσιο αυτό, διά του παρόντος, θα ήθελα να αναφερθώ εν συντομία, στα κρίσιμα σημεία του νέου νόμου αλλά και στις εξειδικευμένες υπηρεσίες συμμόρφωσης που φαίνεται να έχει απόλυτη ανάγκη πλέον η ελληνική αγορά.
Πιο συγκεκριμένα, μέσω του νέου εθνικού νόμου προστασίας προσωπικών δεδομένων:
* Ρυθμίζονται ειδικές περιπτώσεις επεξεργασίας, όπως η επεξεργασία των δεδομένων στο πλαίσιο της απασχόλησης ή για σκοπούς επιστημονικής ή ιστορικής έρευνας ή συλλογής και τήρησης στατιστικών στοιχείων ή αρχειοθέτησης προς το δημόσιο συμφέρον.
* Ορίζεται ότι προϋπόθεση για τη νόμιμη επεξεργασία δεδομένων ανηλίκου, κατά την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε αυτόν, είναι ο ανήλικος να έχει συμπληρώσει το 15ο έτος της ηλικίας του και να παρέχει τη συγκατάθεσή του, ενώ για την ηλικία κάτω των 15 ετών απαιτείται η συγκατάθεση των νομίμων αντιπροσώπων του ανηλίκου.
* Διευκρινίζονται οι όροι υπό τους οποίους επιτρέπεται κατ’ εξαίρεση η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (ευαίσθητα δεδομένα),
* Απαγορεύεται ρητά η επεξεργασία γενετικών δεδομένων για σκοπούς ασφάλισης υγείας και ζωής,
* Δίδεται η διακριτική ευχέρεια στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα να θέτει στο αρχείο αιτήσεις, ερωτήματα ή καταγγελίες που κρίνονται προδήλως αόριστα, αβάσιμα ή καταχρηστικά ή υποβάλλονται ανωνύμως,
* Διασφαλίζεται η εξουσία πρόσβασης της Αρχής κατά την άσκηση των ελεγκτικών της καθηκόντων σε κάθε δεδομένο και πληροφορία προσωπικού χαρακτήρα,
* Ρυθμίζονται οι προϋποθέσεις για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από Δημόσιους Φορείς,
* Προβλέπεται απαλλαγή από την υποχρέωση παροχής πληροφοριών σύμφωνα με το άρθρο 13 παράγραφος 3 του Κανονισμού υπό προϋποθέσεις, και συγκεκριμένα όταν η χορήγηση της πληροφόρησης θα απαιτούσε δυσανάλογη προσπάθεια και το ενδιαφέρον του υποκειμένου στην παροχή πληροφοριών σχετικά με τις περιστάσεις της κάθε υπόθεσης, ιδίως λόγω του πλαισίου στο οποίο συλλέχθηκαν τα δεδομένα, θεωρείται ότι δεν είναι μεγάλο,
* Περιορίζονται υπό προϋποθέσεις τα δικαιώματα πρόσβασης και διαγραφής τα οποία διαθέτει το υποκείμενο των δεδομένων,
* Περιορίζεται το δικαίωμα εναντίωσης του υποκειμένου των δεδομένων προσωπικού χαρακτήρα έναντι Δημόσιου Φορέα κατά το μέρος που η επεξεργασία επιβάλλεται από υπέρτερο δημόσιο συμφέρον που υπερισχύει των συμφερόντων του υποκειμένου ή απαιτείται από διάταξη νόμου,
* Θεσπίζονται ποινικές κυρώσεις με αναλογικό και αποτρεπτικό χαρακτήρα για παραβάσεις του Κανονισμού 679/2016 και της εθνικής νομοθεσίας που τον εφαρμόζει,
* Θεσπίζονται διοικητικές κυρώσεις σε βάρος Δημοσίων Φορέων, εξαιρουμένων των δημοσίων επιχειρήσεων και των οργανισμών του Κεφαλαίου Α’ του ν. 3429/2005 (ΔΕΚΟ), για συγκεκριμένες παραβάσεις του Κανονισμού και της εθνικής νομοθεσίας που τον εφαρμόζει.
Ως εκ των ανωτέρω, γίνεται σαφές ότι η διασφάλιση ενός αυστηρού και αποτελεσματικού πλαισίου προστασίας των δεδομένων προσωπικού χαρακτήρα αποτελεί θεμελιώδη επιταγή του νέου νόμου.
Επιπλέον, προκύπτει με σαφήνεια η ιδιαίτερη έμφαση που δίνει ο νέος νόμος στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα των εργαζομένων στο πλαίσιο της εργασιακής σχέσης. Το γεγονός αυτό, δε, σε συνδυασμό με το πρόσφατο από 26.07.2019 πρώτο χρηματικό πρόστιμο ύψους 150.000,00 ευρώ, το οποίο επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα κατά γνωστής συμβουλευτικής εταιρείας για παράνομη επεξεργασία των δεδομένων προσωπικού χαρακτήρα των εργαζομένων, καταδεικνύει περισσότερο την εξέχουσα βαρύτητα που υπέχει η προστασία των δεδομένων των εργαζομένων και, συνακόλουθα, την προτεραιότητα που θα πρέπει να δοθεί από τους εκάστοτε φορείς και εταιρείες για τη λήψη κατάλληλων μέτρων προς την κατεύθυνση της διασφάλισής τους.
Ωστόσο, η προστασία και επεξεργασία των προσωπικών δεδομένων των εργαζομένων (ή των υποψήφιων) είναι μόνο ένα μέρος του συνολικού εύρους των διαφορετικών κατηγοριών των υποκειμένων – φυσικών προσώπων στα οποία εφαρμόζονται οι απαιτήσεις του Κανονισμού.
Αυστηρές κυρώσεις
Προσωπικά θεωρώ ότι οι πολύ αυστηρές ποινές και κυρώσεις που επιφέρει ο Κανονισμός δεν θα πρέπει να αποτελούν τον μοναδικό ή έστω τον βασικότερο λόγο των δράσεων συμμόρφωσης, αλλά πολύ περισσότερο η έννοια και ιδέα της εξασφάλισης των δικαιωμάτων και ελευθεριών των φυσικών προσώπων μέσω της ιδιωτικότητας και της προστασίας των προσωπικών τους δεδομένων.
Παρ’ όλα αυτά, οι σχετικές ποινές και κυρώσεις είναι γεγονός που δεν μπορούμε να παραβλέψουμε. Η γενική αρχή, η οποία διαπνέει τα προβλεπόμενα περί επιβολής διοικητικών κυρώσεων, αποτελεί το γεγονός ότι τα πρόστιμα τα οποία επιβάλλονται πρέπει να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά. Κάθε περίπτωση θα πρέπει να αξιολογείται μεμονωμένα, με γνώμονα το πιο κατάλληλο μέτρο για την περίσταση.
Κριτήρια προστίμου
Στο πλαίσιο αυτό, κρίσιμα σημεία για τον προσδιορισμό του ύψους του ποσού του προστίμου, σε περίπτωση τυχόν επιβολής του, είναι τα εξής:
* τα πρόστιμα θα εξαρτώνται από τον βαθμό και το είδος της συμμόρφωσης με τον Κανονισμό,
* η εκπαίδευση του προσωπικού αποτελεί ουσιώδες στάδιο της διαδικασίας συμμόρφωσης, όπως επίσης και βασική υποχρέωση του Υπευθύνου Προστασίας Δεδομένων (DPO),
* ο κίνδυνος είναι ιδιαίτερα αυξημένος όσον αφορά το προσωπικό της εταιρείας, καθώς οι εργαζόμενοι αποτελούν και υποκείμενα των Δεδομένων Προσωπικού Χαρακτήρα.
Οι επιχειρήσεις που επεξεργάζονται καθ’ οιονδήποτε τρόπο προσωπικά δεδομένα ήδη αντιμετωπίζουν και θα αντιμετωπίσουν στο άμεσο μέλλον σοβαρές προκλήσεις που καθιστούν αναγκαία την αρωγή και υποστήριξη διεπιστημονικών ομάδων με εμπειρία και εξειδίκευση σε ποικίλους τομείς (π.χ. ασφάλειας, τεχνολογίας, διαχείρισης κινδύνων, συμμόρφωσης, νομικής αξιολόγησης κ.ά.).
Το γεγονός αυτό, σε συνδυασμό με τη διαφαινόμενη αδυναμία πολλών εταιρειών να διαθέτουν το αναγκαίο και ικανό ανθρώπινο δυναμικό να αναλάβει την αποτελεσματική διαχείριση των συγκεκριμένων απαιτήσεων του νόμου σε κάθε διαφορετική εταιρική λειτουργία και επεξεργασία, περιορίζει τις διαθέσιμες επιλογές και αυξάνει τις πιθανότητες υποτίμησης, άγνοιας ή ακόμα και υπερεκτίμησης των ορατών κινδύνων.
Διεπιστημονική ομάδα
Αυτήν ακριβώς την αδυναμία καλύπτει η Comply.Data εξασφαλίζοντας ολοκληρωμένη και αποτελεσματική διαχείριση μέσω της διεπιστημονικής ομάδας με εμπειρία και εξειδίκευση σε κάθε διαφορετικό κλάδο της αγοράς και για κάθε ειδική, εταιρική λειτουργία και επεξεργασία δεδομένων (π.χ. συλλογή βιογραφικών, αξιολόγηση υποψηφίων, μισθοδοσία, marketing, πωλήσεις, τεχνολογία, διαχείριση πιστοληπτικής ικανότητας, κατάρτιση προφίλ, διαβίβαση δεδομένων εντός και εκτός Ευρωπαϊκής Ένωσης, κ.ά.).
H Comply.Data αποτελεί μέλος του Ομίλου Εταιρειών της ICAP. H ICAP A.E., η μεγαλύτερη εταιρεία παροχής υπηρεσιών προς επιχειρήσεις στην Ελλάδα, κατά τη διάρκεια του 2018 μέχρι και σήμερα, ολοκλήρωσε και συνεχίζει να ολοκληρώνει με επιτυχία πλήρεις συμβουλευτικές μελέτες συμμόρφωσης με το Νέο Γενικό Κανονισμό για την Προστασία των Προσωπικών Δεδομένων (GDPR) σε μεγάλο αριθμό εταιρειών ακόμα και σε σύνθετους και ευαίσθητους κλάδους όπως στην Υγείας, Ασφαλιστικών Υπηρεσιών, Παραγωγής, Μεταφορών, Διαχείρισης Δανείων, ΜΜΕ / Τύπου, Επιλογής και Διαχείρισης Ανθρώπινου Δυναμικού, Λιανικού Εμπορίου κ.ά.
Η συμμόρφωση με τις απαιτήσεις του κανονισμού δεν είναι εύκολα διαχειρίσιμη ούτε και δεδομένη. Απαιτεί καταρχάς εμπεριστατωμένη γνώση του κανονισμού, αναγνώριση και σωστή αξιολόγηση των αποκλίσεων με τις απαιτήσεις και των συνεπαγόμενων κινδύνων και μεθοδική προσέγγιση αντιμετώπισης αυτών στην σωστή τους διάσταση.
Στη «μάχη» της συμμόρφωσης, η επιλογή των αποδεδειγμένα κατάλληλων εξωτερικών συνεργατών και συμβούλων, συνεχίζει να αποτελεί μεγάλο «στοίχημα» που, αν χαθεί, κοστίζει ακριβά.
*Γενικός διευθυντής της συμβουλευτικής εταιρίας Comply.Data και επικεφαλής DPO του τμήματος Data Protection & Privacy του Ομίλου ICAP (Group Data Protection Officer)