Από την έντυπη έκδοση
Της Αθηνάς Βουνάτσου
Η ψηφιακή επανάσταση και οι διαρκείς τεχνολογικές εξελίξεις πυροδότησαν μια άνευ προηγουμένου διεύρυνση του πλήθους και των κατηγοριών των προσωπικών δεδομένων που καθημερινά διακινούνται, αλλά και των κινδύνων που απορρέουν από αυτή, οδηγώντας στην ανάγκη ενίσχυσης και εκσυγχρονισμού του πλαισίου προστασίας τους. Ο Ευρωπαϊκός Κανονισμός για την προστασία των δεδομένων προσωπικού χαρακτήρα (GDPR), λαμβάνοντας υπόψη τα νέα δεδομένα, οριοθετεί και περιγράφει τον τρόπο και τις προϋποθέσεις υπό τις οποίες επιχειρήσεις και κράτος επιτρέπεται να επεξεργάζονται προσωπικά δεδομένα, αποσκοπώντας στην αποτελεσματικότερη διαφύλαξή τους και στη δημιουργία και εμπέδωση μιας ευρύτερης κουλτούρας διαφύλαξής τους.
Μεταφορά στην ελληνική νομοθεσία
Το δεκαπενταύγουστο τέθηκε σε δημόσια διαβούλευση το σχέδιο νόμου για τη μεταφορά του Κανονισμού στην ελληνική νομοθεσία. Οι επιχειρήσεις και επαγγελματίες του χώρου των προσωπικών δεδομένων, περιλαμβανομένου του ΣΕΒ (δείτε εδώ σχετικό flash report), ανταποκρίθηκαν άμεσα, αναρτώντας στο χρονικό διάστημα των μόλις 9 ημερών που διήρκεσε η διαβούλευση, πάνω από 200 σχόλια στα επιμέρους άρθρα του νομοσχεδίου, γεγονός που δείχνει το μεγάλο ενδιαφέρον της αγοράς για το θέμα.
Αυτό δεν είναι καθόλου περίεργο, αν αναλογιστεί κανείς ότι ο Ευρωπαϊκός Κανονισμός έχει αυτόματη και ομοιόμορφη δεσμευτική ισχύ για όλα τα κράτη-μέλη, από τον Μάιο του 2016 που τέθηκε σε εφαρμογή.
Όσο η ελληνική αγορά περίμενε τον εθνικό νόμο, πολλές επιχειρήσεις είχαν προβεί στην αναζήτηση και λήψη μέτρων συμμόρφωσης με τις διατάξεις του Κανονισμού, συχνά όμως με αυξημένα περιττά κόστη, εξαιτίας της αβεβαιότητας που συνεπαγόταν η απουσία ειδικότερων διατάξεων του εθνικού πλαισίου. Και αυτό γιατί ο Κανονισμός παρέχει την ευχέρεια στον εκάστοτε εθνικό νομοθέτη να προσδιορίσει συγκεκριμένα πεδία του, όπως η επεξεργασία των δεδομένων στο πλαίσιο της απασχόλησης ή για τους σκοπούς της επιστημονικής έρευνας.
Τέλος στην ανασφάλεια
Το κείμενο που ψηφίστηκε πριν από μερικές μέρες, με τη διαδικασία του κατεπείγοντος, έχοντας κάνει δεκτά αρκετά από τα σχόλια των συμμετεχόντων στη διαβούλευση, έβαλε σε μεγάλο βαθμό ένα τέλος στην ανασφάλεια που επικρατούσε σχετικά με ζητήματα, όπως το ηλικιακό όριο για το επιτρεπτό της επεξεργασίας προσωπικών δεδομένων ανηλίκων, οι προϋποθέσεις νόμιμης επεξεργασίας ειδικών κατηγοριών δεδομένων όπως τα γενετικά και τα βιομετρικά, ή η δυνατότητα δημοσιοποίησης δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία στο πλαίσιο έρευνας, μετά από ψευδωνυμοποίησή τους, εφόσον δεν προηγήθηκε συγκατάθεση.
Η προστιθέμενη αξία όμως του νέου νόμου έγκειται στην ανάδειξη σε εθνικό, πλέον, επίπεδο του σεβασμού που πρέπει αποδεδειγμένα να επιδεικνύουν τόσο οι φορείς του Δημοσίου όσο και οι επιχειρήσεις στα προσωπικά δεδομένα των πολιτών, καταναλωτών και εργαζομένων. Δεν είναι ένα μέσο οριζόντιων εμποδίων στη χρήση των προσωπικών δεδομένων και δεν αποσκοπεί στη δημιουργία περιττού κόστους συμμόρφωσης.
Αντίθετα, περιγράφει ένα ολοκληρωμένο πλαίσιο όρων και προϋποθέσεων επεξεργασίας των δεδομένων αυτών, επιτρέποντας στους υπεύθυνους επεξεργασίας, ανάλογα με τον όγκο και το είδος των δεδομένων που χειρίζονται, να προβούν στις κατάλληλες τεχνικές και οργανωτικές προσαρμογές.
Θέματα προς διευκρίνιση
Παραμένουν, βέβαια, θέματα προς διευκρίνιση που θα δοκιμαστούν στην πράξη όπως η ανάγκη θέσπισης των συμπληρωματικών απαιτήσεων διαπίστευσης και η σχετική διαδικασία, η τυχόν επιβολή ποινικών κυρώσεων ανεξαρτήτως της ύπαρξης υπαιτιότητας στο πρόσωπο του υπεύθυνου επεξεργασίας, οι περιπτώσεις και προϋποθέσεις για την άρνηση παροχής πληροφοριών στο υποκείμενο των δεδομένων και άλλα.
Σε κάθε περίπτωση, οι επιχειρήσεις έχουν πλέον στα χέρια τους ένα πλαίσιο που μπορούν να παρακολουθούν στην πράξη και καθημερινά, ώστε να κατανοήσουν πλήρως τις υποχρεώσεις με τις οποίες πρέπει να συμμορφώνονται αλλά και να είναι σε ετοιμότητα στο επόμενο διάστημα να προτείνουν τις απαραίτητες βελτιώσεις και αλλαγές.
