Μετά από έναν και πλέον χρόνο καθυστέρησης, ψηφίστηκε στις 26.08.2019 με τη διαδικασία του κατεπείγοντος, ο νόμος για την προσαρμογή στην ελληνική έννομη τάξη του Γενικού Κανονισμού 2016/679 για την Προστασία των Δεδομένων Προσωπικού Χαρακτήρα (GDPR), καθώς και για την ενσωμάτωση της Οδηγίας 2016/680 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από διωκτικές αρχές ή «Αστυνομικής Οδηγίας» όπως έχει γίνει γνωστή (δείτε εδώ).
Είχε προηγηθεί σύντομη δημόσια διαβούλευση του σχεδίου νόμου την περίοδο του Δεκαπενταύγουστου λόγω των πιέσεων για άμεση ενσωμάτωση της Οδηγίας, καθώς η Ευρωπαϊκή Επιτροπή έχει ήδη παραπέμψει τη χώρα μας στο Δικαστήριο της Ευρωπαϊκής Ένωσης με απειλούμενες κυρώσεις ύψους €5.287,50 για κάθε ημέρα καθυστέρησης. Ο ΣΕΒ ανταποκρίθηκε άμεσα και συμμετείχε ενεργά στη διαβούλευση με προτάσεις που προήλθαν από τα μέλη της Ομάδας Εργασίας για την Προστασία των Προσωπικών Δεδομένων.
Ο νέος νόμος αναμένεται να άρει σε μεγάλο βαθμό τη νομική αβεβαιότητα που επικράτησε στην αγορά λόγω της καθυστέρησης στην προσαρμογή των διατάξεων του Κανονισμού GDPR στην ελληνική νομοθεσία. Αποτέλεσμα της αβεβαιότητας αυτής υπήρξε η, συχνά υπερβολική, αύξηση του κόστους συμμόρφωσης των επιχειρήσεων. Η πρακτική εφαρμογή του, ωστόσο, συνιστά πλέον τη μεγαλύτερη πρόκληση, καθώς τα περιθώρια για βελτίωση παραμένουν ανοιχτά και μετά την ψήφισή του.
Ο Κανονισμός GDPR με απλά λόγια
Η προστασία των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα κατοχυρωμένο στον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης. Η ψηφιακή επανάσταση και οι διαρκείς τεχνολογικές εξελίξεις πυροδότησαν μια άνευ προηγουμένου διεύρυνση του πλήθους και των κατηγοριών των προσωπικών δεδομένων που καθημερινά διακινούνται, αλλά και των κινδύνων που απορρέουν από αυτή, οδηγώντας στην ανάγκη ενίσχυσης και εκσυγχρονισμού του πλαισίου προστασίας τους. Ο Κανονισμός GDPR, λαμβάνοντας υπόψη τα νέα δεδομένα, οριοθετεί και περιγράφει τον τρόπο και τις προϋποθέσεις υπό τις οποίες επιχειρήσεις και κράτος επιτρέπεται να επεξεργάζονται προσωπικά δεδομένα, αποσκοπώντας στην αποτελεσματικότερη διαφύλαξη τους και στη δημιουργία και εμπέδωση μιας ευρύτερης κουλτούρας διαφύλαξής τους.
Οι σημαντικότερες ρυθμίσεις του νέου νόμου
• Ειδικότερες διατάξεις για την επεξεργασία προσωπικών δεδομένων από δημόσιους φορείς και τον ορισμό Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ) σε αυτούς
• Θέσπιση κατώτατου ορίου ηλικίας στα 15 έτη για την έγκυρη συγκατάθεση ανηλίκου στο πεδίο της κοινωνίας των πληροφοριών (ΚτΠ)
• Αποσαφήνιση του επιτρεπτού πλαισίου επεξεργασίας προσωπικών δεδομένων των εργαζομένων από τον εργοδότη και διεύρυνση των περιπτώσεων νόμιμης επεξεργασίας των ειδικών κατηγοριών προσωπικών δεδομένων, όπως δεδομένα υγείας, γενετικά και βιομετρικά.
• Άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων, ιδίως του δικαιώματος πρόσβασης και γνωστοποίησης παραβιάσεων
• Διαπίστευση μέσω του ΕΣΥΔ των φορέων πιστοποίησης που θα βεβαιώνουν τη συμμόρφωση με τον GDPR,
• Ποινικές κυρώσεις για παραβάσεις και επέκταση διοικητικών κυρώσεων και στους δημόσιους φορείς.
Πώς ωφελούνται οι επιχειρήσεις;
Στο μεγαλύτερο μέρος τους, οι υποχρεώσεις των επιχειρήσεων είναι πλέον σαφείς, εφόσον αποσαφηνίζονται ζητήματα όπως η κατ’ εξαίρεση χρήση της συγκατάθεσης του εργαζομένου ως νομική βάση για την επεξεργασία των δεδομένων του από τον εργοδότη, οι προϋποθέσεις για την επεξεργασία δεδομένων των ανηλίκων, αλλά και η δυνατότητα δημοσιοποίησης δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία στο πλαίσιο έρευνας, μετά από ψευδωνυμοποίησή τους, εφόσον δεν προηγήθηκε συγκατάθεση.
Οι επιχειρήσεις μπορούν πλέον να λάβουν με μεγαλύτερη βεβαιότητα τα απαραίτητα τεχνικά και οργανωτικά μέτρα για τη συμμόρφωσή τους με τους νέους κανόνες ενώ, ειδικά για τις μικρότερες εξ’ αυτών το γεγονός αυτό αναμένεται να ενθαρρύνει τον ανασχεδιασμό της εσωτερικής οργάνωσης και των διαδικασιών προς αποκατάσταση τυχόν κενών στο σύστημα προστασίας προσωπικών δεδομένων. Έτσι, όποια επιχείρηση επιτύχει την εφαρμογή ενός πλαισίου διαρκούς διασφάλισης των προσωπικών δεδομένων μπορεί να κερδίσει «ανταγωνιστικό πλεονέκτημα», προστατεύοντας τη φήμη της και ενισχύοντας την εμπιστοσύνη των καταναλωτών, των προμηθευτών αλλά και των εργαζομένων της.
Ο ΣΕΒ, όπως και η BusinessEurope, στηρίζει την προσπάθεια της Ευρώπης για ένα ενιαίο πλαίσιο προστασίας των δεδομένων, τη βελτίωση της σχετικής συμμόρφωσης και, συνολικά, μια φιλική ως προς την επιχειρηματικότητα εφαρμογή αυτού.
Πώς ωφελούνται οι πολίτες;
Το νέο πλαίσιο συμβάλλει στην πληρέστερη κατανόηση της σημασίας των προσωπικών δεδομένων, στην ενημέρωση για τον τρόπο που πρέπει αυτά να υπόκεινται σε επεξεργασία και αξιοποίηση και στον ουσιαστικότερο έλεγχο της διάθεσής τους. Δεν εμποδίζει την ελεύθερη κυκλοφορία τους, αλλά ρυθμίζει τον τρόπο που αυτή πρέπει να γίνεται, απλουστεύοντας τις καθημερινές συναλλαγές των πολιτών με τις επιχειρήσεις και το κράτος.
Τι φέρνει η επόμενη μέρα;
Η ταχύτητα ολοκλήρωσης της διαδικασίας διαβούλευσης, σε συνδυασμό με την κρισιμότητα των υπό ρύθμιση ζητημάτων και το βάθος των σχολίων αφήνει περιθώρια για περαιτέρω βελτιώσεις:
• Την καθιέρωση ειδικής νομικής βάσης επεξεργασίας δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς
• Τον κίνδυνο επιβολής ποινικών κυρώσεων ανεξαρτήτως της ύπαρξης υπαιτιότητας
• Τα κριτήρια για τη διαπίστωση στην πράξη της έγκυρης συγκατάθεσης του ανηλίκου κατά την παροχή υπηρεσιών ΚτΠ
• Την παροχή διευκρινίσεων για τις επιτρεπόμενες περιπτώσεις και τις προϋποθέσεις άρνησης παροχής πληροφοριών στο υποκείμενο των δεδομένων
• Τον ορισμό των συμπληρωματικών απαιτήσεων διαπίστευσης από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και τη σχετική διαδικασία.
Ο ΣΕΒ έχει ήδη επιτελέσει σημαντικό ρόλο στην εμπέδωση της σημασίας του σεβασμού των προσωπικών δεδομένων από τις επιχειρήσεις, εκδίδοντας ειδική θεματική μελέτη και special report.
Το επόμενο διάστημα θα παρακολουθούμε την εφαρμογή του νέου νόμου επανερχόμενοι με στοχευμένες προτάσεις με σκοπό την ενίσχυση της λειτουργικότητάς του.
Τι είναι «προσωπικό δεδομένο»;
Σύμφωνα με τον Κανονισμό GDPR ως «δεδομένα προσωπικού χαρακτήρα» ορίζεται «κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»).Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου».