Αυξημένο επίπεδο προστασίας των φυσικών προσώπων από την επεξεργασία των προσωπικών τους δεδομένων, αλλά και εγγυήσεις για τη διασφάλιση της ελεύθερης κυκλοφορίας προσωπικών δεδομένων και τη διασυνοριακή ροή δεδομένων παρέχει ο νέος Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, γνωστός με την ονομασία GDPR (General Data Protection Reform). Ο GDPR θα επηρεάσει κάθε εταιρία που αποκτά ή διαχειρίζεται με οποιονδήποτε τρόπο προσωπικά δεδομένα, αλλά και κάθε οργανισμό ή εταιρία που συναλλάσσεται στην επικράτεια της Ευρωπαϊκής Ένωσης.
Ο νέος Κανονισμός, άμεσα δεσμευτικός από τη φύση του, τίθεται σε ισχύ σε όλα τα Κράτη Μέλη της ΕΕ την 25η Μαΐου 2018 και περιλαμβάνει μια σειρά από ρυθμίσεις που θα έχουν άμεσο αντίκτυπο στη λειτουργία και τις υποχρεώσεις επιχειρήσεων και δημοσίων αρχών, οι οποίες θα πρέπει άμεσα να συμμορφωθούν με αυτές, καθώς διαφέρουν ουσιωδώς σε πολλά σημεία από το υφιστάμενο καθεστώς (Οδηγία 95/46/ΕΚ και δευτερευόντως Οδηγία 2002/58/ΕΚ ειδικά για τα προσωπικά δεδομένα στο χώρο των τηλεπικοινωνιών). Τα πρόστιμα και οι κυρώσεις που προβλέπονται για τη μη συμμόρφωση είναι ιδιαίτερα τσουχτερά.
Το νέο κανονιστικό πλαίσιο έχει παγκόσμιες προεκτάσεις, καθώς τα αυστηρά ευρωπαϊκά στάνταρντ που εισάγονται θα εφαρμόζονται σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, οπουδήποτε στον κόσμο και αν γίνεται αυτή, ακόμα και αν ο υπεύθυνος της επεξεργασίας δεν έχει εγκατάσταση εντός ευρωπαϊκού εδάφους. Μόνη προϋπόθεση, τα πρόσωπα που αφορούν οι πληροφορίες να είναι πολίτες ή απλά κάτοικοι της Ε.Ε. Με άλλα λόγια, οποιοσδήποτε έχει πρόσβαση σε δεδομένα ευρωπαϊκής προέλευσης, έχει και τις υποχρεώσεις προστασίας (και την ευθύνη) που προβλέπει η ευρωπαϊκή νομοθεσία. Την ίδια ευθύνη με τον υπεύθυνο επεξεργασίας έχει και όποιος την εκτελεί για λογαριασμό του, αν παραβεί τις εντολές του σχετικά με τους σκοπούς και τα μέσα επεξεργασίας σε περίπτωση παρέκκλισης. Ακόμα πιο αυστηρές είναι οι διατυπώσεις για τη διαβίβαση προσωπικών δεδομένων εκτός Ε.Ε., η οποία επιτρέπεται μόνο αν κριθεί ότι η χώρα στην οποία διαβιβάζονται εξασφαλίζει ικανό επίπεδο προστασίας.
Οι υποχρεώσεις των επιχειρήσεων για συμμόρφωση επεκτείνονται, με τον Κανονισμό να προβλέπει ότι ο υπεύθυνος της επεξεργασίας οφείλει να ελέγχει την υποδομή και τις εγκαταστάσεις των τρίτων στους οποίους αναθέτει όλη ή μέρος της επεξεργασίας, ενώ η παραβίαση των προσωπικών δεδομένων επισύρει βαρύτατες ευθύνες σε όποιον ενεπλάκη στην επεξεργασία τους. Ταυτόχρονα, πολλές επιχειρήσεις θα υποχρεωθούν να ορίσουν κάποιον Υπεύθυνο Προστασίας, μέλος του προσωπικού τους ή τρίτο, στον οποίο θα ανατεθεί η επίβλεψη της τήρησης των απαιτούμενων μέτρων προστασίας και ασφάλειας.
Παράλληλα, οι πολίτες έχουν δικαίωμα να απαιτήσουν την προστασία από ανεπιθύμητη επεξεργασία ή και τη διαγραφή των προσωπικών τους δεδομένων (δικαίωμα στη λήθη), εφόσον αποδεικνύεται ότι η επεξεργασία δεν είναι σύννομη ή υφίσταται υπέρτερο ατομικό συμφέρον. Σημαντικό είναι επίσης και το δικαίωμα του πολίτη να προσφύγει στις εθνικές εποπτικές αρχές ή/και στα δικαστήρια, καθώς και να διεκδικήσει αποζημίωση από οποιονδήποτε εμπλεκόμενο.
Στη φαρέτρα των επιχειρήσεων και δημοσίων αρχών, προκειμένου να αποδείξουν τη συμμόρφωσή τους με τις απαιτήσεις του Κανονισμού, περιλαμβάνονται μια σειρά από εργαλεία, που περιλαμβάνουν:
- την τήρηση των ελαχίστων προϋποθέσεων νομιμότητας (ορθή και πλήρης ενημέρωση των πολιτών για τα δικαιώματά τους, εξασφάλιση συναίνεσης για την επεξεργασία, παροχή επιλογής opt-out),
- τη συνεργασία με τις εποπτικές αρχές (διαβούλευση με τις εθνικές αρχές, υιοθέτηση των συστάσεών τους, ενημέρωση «αμελλητί» σε περίπτωση παραβίασης)
- τη χρήση τεχνικών προστασίας (ανωνυμοποίηση, ψευδωνυμοποίηση και κρυπτογράφηση των δεδομένων, ώστε να θεωρούνται ασφαλή σε εύλογο βαθμό).
Είναι σαφές ότι οι επιχειρήσεις που χειρίζονται προσωπικά δεδομένα κάθε μορφής πρέπει να προβούν σε σημαντικές οργανωτικές αλλαγές, ώστε να διασφαλίσουν τη συμμόρφωσή τους, όπως είναι, ενδεικτικά οι ακόλουθες:
- Ορισμός Υπευθύνου Προστασίας (Data Protection Officer, DPO), είτε μέλους του προσωπικού, είτε εξωτερικού συμβούλου (σε όσες κτηγορίες επιχειρήσεων απιτείται). Είναι αυτός στον οποίο απευθύνονται οι εποπτικές αρχές και οι πολίτες, για κάθε σχετικό θέμα μιας επιχείρησης και έχει την ευθύνη παρακολούθησης της συμμόρφωσης με τον GDPR, ενημέρωσης της επιχείρησης σχετικά με υποχρεώσεις και ενδεδειγμένες ενέργειες, αξιολόγησης των επιπτώσεων διαχείρισης των προσωπικών δεδομένων.
- Τήρηση υποχρέωσης ενημέρωσης των εποπτικών αρχών σε περίπτωση παραβίασης του συστήματος ή των δεδομένων της επιχείρησης άμεσα (σε κάθε περίπτωση εντός 72 ωρών) και, υπό προϋποθέσεις, ενημέρωση και των υποκειμένων των δεδομένων.
- Σχεδιασμός κάθε νέας υπηρεσίας ή προϊόντος υπό το πρίσμα της προστασίας των προσωπικών δεδομένων (protection by design).
- Πραγματοποίηση εκτίμησης των επιπτώσεων της προστασίας δεδομένων (εκτίμηση των επιπτώσεων της ιδιωτικής ζωής) σε δραστηριότητες επεξεργασίας «υψηλού κινδύνου», με στόχο τον εντοπισμό και την ελαχιστοποίηση των κινδύνων μη συμμόρφωσης.
- Εφαρμογή των κατάλληλων οργανωτικών και τεχνικών μέτρων προστασίας των δεδομένων (κρυπτογράφηση, ανωνυμοποίηση, ψευδωνυμοποίηση).
- Διασφάλιση τήρησης αυξημένων μέτρων ασφαλείας για τη διαβίβαση δεδομένων εκτός Ε.Ε.
- Εκπαίδευση προσωπικού, τροποποίηση διαδικασιών πρόσβασης στα προσωπικά δεδομένα από το κοινό
- Ετοιμότητα για την ικανοποίηση δικαιωμάτων του κοινού, όπως πχ της διαγραφής προσωπικών δεδομένων, στις περιπτώσεις που αυτό επιβάλλεται από το κανονιστικό πλαίσιο, του περιορισμού της χρήσης «προφίλ» χωρίς συναίνεση, της ικανοποίησης του αιτήματος «φορητότητας» των δεδομένων
- Τήρηση του κατάλληλου τύπου και περιεχομένου για την παροχή ρητής συγκατάθεσης στην επεξεργασία (παροχή σαφούς και πλήρους ενημέρωσης, δικαιώματος απεγγραφής – opt out, δικαιώματος αντίρρησης στην επεξεργασία δεδομένων για εμπορική προώθηση, δικαιώματος αναφοράς στην αρμόδια εποπτική αρχή).
Σε μια πρώτη εκτίμηση, ο νέος Κανονισμός αποτελεί την αντανάκλαση των τεχνολογικών και νομοθετικών εξελίξεων στον ευρωπαϊκό χώρο. Παρόλο που η προστασία των προσωπικών δεδομένων, στενά συνδεδεμένη με την έννοια της «ιδιωτικότητας» (privacy), απασχολεί την Ευρωπαϊκή Ένωση εδώ και πάνω από 35 χρόνια, δεν πρόκειται για μια μονοσήμαντη έννοια. Από την πρώτη απόπειρα κανονιστικής ρύθμισης στον ευαίσθητο αυτό χώρο, στόχος ήταν η εξισορρόπηση του δικαιώματος του «πληροφοριακού αυτοκαθορισμού», με την ελευθερία έκφρασης και πληροφόρησης, αλλά και με τις απαιτήσεις για ελεύθερη κυκλοφορία προϊόντων, υπηρεσιών και προσώπων, στο πλαίσιο της πλήρους και εμβαθυμένης λειτουργίας της εσωτερικής αγοράς. Η επιδίωξη αυτή αποτυπώνεται και στο νέο ρυθμιστικό πλαίσιο, που επιχειρεί το συγκερασμό θεμελιωδών ατομικών δικαιωμάτων με τις ανάγκες του διεθνούς επιχειρηματικού περιβάλλοντος.
