Τις τελευταίες ημέρες, όλο και περισσότεροι άνθρωποι φαίνεται να αναρωτιούνται τι στο καλό είναι αυτό το GDPR, το ακρώνυμο για τον νέο Γενικό Κανονισμό για την Προστασία Δεδομένων, που έχει οδηγήσει πολλούς στα όρια της νευρικής κρίσης. Εμείς είμαστε εδώ για να σου εξηγήσουμε με απλά λόγια όσα πρέπει να γνωρίζεις για το GDPR και πώς πρόκειται να αλλάξει τη ζωή σου από την 25η Μαΐου.
Τι είναι ο κανονισμός GDPR;
Είναι ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων (General Data Protection Regulation) που θέσπισε η Ευρωπαϊκή Ένωση. Αντικαθιστά την Οδηγία της ΕΕ για την προστασία των δεδομένων που εφαρμόζεται από το 1995 και παρέχει τη δυνατότητα σε μεμονωμένα άτομα να έχουν μεγαλύτερο έλεγχο στα προσωπικά δεδομένα τους, επιβάλλοντας ταυτόχρονα πολλές νέες υποχρεώσεις στους οργανισμούς που συλλέγουν, χειρίζονται και αναλύουν προσωπικά δεδομένα. Παράλληλα, οι νέες ρυθμίσεις δίνουν στους εθνικούς νομοθέτες μεγαλύτερες εξουσίες για την επιβολή σημαντικών προστίμων σε οργανισμούς που παραβιάζουν το νόμο.
Πότε τίθεται σε εφαρμογή ο Κανονισμός;
Η υποχρεωτική εφαρμογή του Κανονισμού ξεκινάει από τις 25 Μαΐου 2018. Εδώ θα πρέπει να σημειώσουμε ότι οι νέες νομοθετικές ρυθμίσεις έχουν ενσωματωθεί σε Κανονισμό και όχι σε Οδηγία, κάτι που σημαίνει ότι θα έχουν ευθεία και άμεση εφαρμογή και στην ελληνική επικράτεια, χωρίς να χρειάζεται η ψήφιση σχετικού νόμου στη Βουλή. Παρόλα αυτά, η Ελλάδα θα πρέπει να ψηφίσει νόμο σχετικά με τις νέες αρμοδιότητες της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, που θα είναι καθ' ύλην αρμόδια για την εξέταση καταγγελιών παραβίασης του Κανονισμού, συμμόρφωσης των εταιρειών και επιβολής των σχετικών προστίμων.
Ποιος είναι ο βασικός στόχος του νέου Κανονισμού;
Ο βασικός στόχος του Κανονισμού GDPR είναι να αλλάξει εκ θεμελίων τον τρόπο με τον οποίο οι εταιρείες συγκεντρώνουν και αναλύουν τα δεδομένα των πελατών τους, οδηγώντας σε μεγαλύτερη προστασία των στοιχείων και της ιδιωτικότητας των πολιτών της ΕΕ, σε μία εποχή όπου αυξάνονται οι κυβερνοεπιθέσεις και οι διαρροές προσωπικών δεδομένων.
Ποιος επηρεάζεται από την εφαρμογή του;
Τον νέο Κανονισμό θα κληθούν να εφαρμόσουν όσες εταιρείες ή οργανισμοί διατηρούν, επεξεργάζονται ή χρησιμοποιούν δεδομένα πολιτών που ζουν στην ΕΕ, χωρίς να παίζει ρόλο το πού έχουν την νόμιμη έδρα τους. Οι εταιρείες μπορεί να μη σχετίζονται ευθέως με την ΕΕ Ένωση -για παράδειγμα, μπορεί να έχουν την έδρα τους εκτός ΕΕ- και παρόλα αυτά να υπάγονται στις νέες ρυθμίσεις, εφόσον συνδέονται με επιχειρηματικές δραστηριότητες με πελάτες που βρίσκονται στην ΕΕ. Για παράδειγμα, ένα call center που εξυπηρετεί επιχειρήσεις που πωλούν προϊόντα εντός της ΕΕ, θα υπαχθεί επίσης στο νέο Κανονισμό, ακόμα και αν το ίδιο δεν βρίσκεται σε επικράτεια κράτους-μέλους.
Γιατί κάποιες επιχειρήσεις δεν έχουν δει τον GDPR με καλό μάτι;
Πρώτον, η συμμόρφωση στις νέες ρυθμίσεις είναι εξαιρετικά κοστοβόρα. Σύμφωνα με τον οργανισμό International Association of Privacy Professional, οι 500 εταιρείες που ανήκουν στο Fortune Global (πρόκειται για τις μεγαλύτερες επιχειρήσεις παγκοσμίως) ξόδεψαν σχεδόν επτά δισ. ευρώ, για να προσαρμοστούν στα προβλεπόμενα από τον Κανονισμό. Δεύτερον, επικρατεί ένας γενικότερος πονοκέφαλος στις μικρότερες επιχειρήσεις, καθώς ο νέος Κανονισμός έφερε ριζικές αλλαγές στο προηγούμενο νομοθετικό πλαίσιο και πολλές εταιρείες δεν ξέρουν ακόμα πώς ακριβώς θα συμμορφθωθούν, με αποτέλεσμα να κινδυνεύουν με ποινές και υψηλά πρόστιμα. Αυτός είναι και ο λόγος που τις τελευταίες ώρες εταιρείες στέλνουν σαν τρελές mail σε όλο τον κόσμο, προειδοποιώντας ότι «η πολιτική προστασίας προσωπικών δεδομένων έχει αλλάξει», ζητώντας από τους χρήστες τους να κάνουν αποδεκτή τη συνέχεια της επικοινωνίας την τελευταία στιγμή, αφού αύριο Παρασκευή εκπέει η προθεσμία συμμόρφωσης στον Κανονισμό. Σε κάθε περίπτωση, οι Βρυξέλλες σκέφτονται να δώσουν μία νέα περίοδο χάριτος, κατά τη διάρκεια της οποίας οι εταιρείες θα έχουν το περιθώριο συμμόρφωσης στον Κανονισμό.
Είναι έτοιμες οι ελληνικές επιχειρήσεις να συμμορφωθούν στον νέο Κανονισμό;
Σύμφωνα με έρευνα που πραγματοποίησε η Γενική Συνομοσπονδία Επαγγελματιών Βιοτεχνών Εμπόρων Ελλάδας (ΓΣΕΒΕΕ) σε συνεργασία με το Σύνδεσμο Εταιρειών Κινητών Εφαρμογών Ελλάδος (ΣΕΚΕΕ) και την Kapa Research, μάλλον οι περισσότεροι στην Ελλάδα δεν ξέρουν ακόμη πού πάνε τα τέσσερα. Συγκεκριμένα, μία στις τρεις επιχειρήσεις δεν γνωρίζει αν έχει υποχρέωση δήλωσης στην Αρχή Προστασίας Προσωπικών Δεδομένων σχετικά με τα αρχεία που τηρεί για τους πελάτες της. Το 43% των επιχειρήσεων δεν γνωρίζει τίποτα σχετικά με τον νέο Κανονισμό προστασίας προσωπικών δεδομένων και μόνο μία στις τέσσερις επιχειρήσεις έχει λάβει γνώση για το νέο Κανονισμό. Το 80% των επιχειρήσεων δεν έχει κάνει ακόμα τίποτα. Το 47% των επιχειρήσεων δεν γνωρίζει ποιες είναι οι υποχρεώσεις σχετικά με την τήρηση του νέου Κανονισμού, ενώ τέσσερις στις πέντε επιχειρήσεις δεν έχουν προβεί σε καμιά ενέργεια για να προετοιμαστούν εσωτερικά γι' αυτόν. Παρά το γεγονός πως το 80% των επιχειρήσεων που τηρούν αρχεία, τα έχουν καταχωρημένα σε ηλεκτρονική μορφή, το 82% δεν διαθέτει καν ένα σχέδιο έκτακτης δράσης για την παραβίαση των δεδομένων.
Ποιες είναι οι βασικές απαιτήσεις του Κανονισμού;
Όσοι οργανισμοί συλλέγουν, αναλύουν και αποθηκεύουν προσωπικά δεδομένα θα πρέπει να συμμορφωθούν με τις παρακάτω έξι βασικές αρχές:
- Διαφάνεια, αντικειμενικότητα και νομιμότητα ως προς το χειρισμό και τη χρήση των προσωπικών δεδομένων.
- Περιορισμός της επεξεργασίας των προσωπικών δεδομένων για καθορισμένους, ρητούς και νόμιμους σκοπούς.
- Συλλογή και αποθήκευση μόνο των ελάχιστων προσωπικών δεδομένων που απαιτούνται για έναν σκοπό.
- Διασφάλιση της ακρίβειας των δεδομένων, συμπεριλαμβανομένης της δυνατότητας διαγραφής και επεξεργασίας τους.
- Περιορισμός της περιόδου αποθήκευσης των προσωπικών δεδομένων.
- Διασφάλιση της ασφάλειας, της ακεραιότητας και της εμπιστευτικότητας των προσωπικών δεδομένων.
Με τον νέο Κανονισμό, οι εταιρείες θα μπορούν και πάλι να συγκεντρώνουν τα δεδομένα μας;
Ναι. Ωστόσο το νέο νομοθετικό πλαίσιο επιβάλλει στις εταιρείες να έχουν μία «νομική βάση» για να το κάνουν. Για παράδειγμα, μία τέτοια νομική βάση μπορεί να είναι ένα συμβόλαιο της εταιρείας με έναν πελάτη της, ένας νόμος που επιβάλλει στην εταιρεία να διατηρεί και να επεξεργάζεται προσωπικά δεδομένα χρηστών και πελατών της ή ακόμη και η ίδια η συναίνεση του προσώπου. Ωστόσο, αυτό που αλλάζει με το νέο Κανονισμό είναι ότι το αίτημα μίας εταιρείας για να συγκεντρώνει και να αποθηκεύει τα δεδομένα χρηστών της θα πρέπει να είναι γραπτό, σαφές και σίγουρα όχι «χωμένο» σε γενικούς όρους χρήσης που ποτέ κανείς δεν διαβάζει, όπως συνέβαινε κατά βάση μέχρι σήμερα.
Τι θα συμβεί αν οι εταιρείες αποτύχουν στο να συμμορφωθούν στις νέες ρυθμίσεις;
Θα βρεθούν αντιμέτωπες με υψηλότατα πρόστιμα, αφού μπορεί να κληθούν να πληρώσουν έως και 20 εκατ. ευρώ ή το 4% του παγκόσμιου κύκλου εργασιών τους για το προηγούμενο οικονομικό έτος, ανάλογα με το ποιο από τα δύο είναι υψηλότερο.
Γράφει: Θοδωρής Χονδρόγιαννο;
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου
Σημείωση: Μόνο ένα μέλος αυτού του ιστολογίου μπορεί να αναρτήσει σχόλιο.