Τι είναι το GDPR και γιατί επηρεάζει τις ζωές όλων μας

Τι είναι το GDPR και γιατί επηρεάζει τις ζωές όλων μας
Δείτε τον κανονισμό που στόχο έχει να προστατεύσει τα προσωπικά μας δεδομένα

Μια από τις μεγαλύτερες αλλαγές των τελευταίων τριάντα χρόνων θα τεθεί σε άμεση εφαρμογή στις 25 Μαΐου του 2018 σε όλες τα κράτη μέλη της ΕΕ. Πρόκειται για τον λεγόμενο κανονισμό GDPR.

Στόχος του εν λόγω Κανονισμού είναι η προστασία όλων των ευρωπαίων πολιτών από τυχών κενά και παραλήψεις σε σχέση με την αξιοποίηση των προσωπικών τους δεδομένων. Η οδηγία που βρίσκεται σε εφαρμογή από το 1995 φαίνεται πλέον ξεπερασμένη και η ανάγκη για αντικατάσταση ήταν κάτι περισσότερο από επιβεβλημένη λόγω κυρίως της ανάπτυξης στην τεχνολογία . 

Αρμόδιο για την εφαρμογή και τους ελέγχους στην Κύπρο είναι το γραφείο της Επιτρόπου Προσασίας Δεδομένων Προσωπικού Χαρακτήρα, το οποίο όμως δεν έχει την επάρκεια σε ανθρώπινο δυναμικό και χρειάζεται άμεσα ενύσχιση για να μπορέσει να ανταπεξέλθει. 

Η Επίτροπος Προστασιάς Δεδομένων Προσωπικού Χαρακτήρα, Ειρήνη Λοϊζίδου Νικολαΐδου, ανέφερε στην Offsite, ότι η εφαρμογή του κανονισμού αυτού έρχεται να διορθώσει την ανομοιομορφία που υπήρχε μέχρι σήμερα στην εφαρμογή συγκεκριμένων προνοιών από κράτη μέλη της ΕΕ. Ανομοιομορφία η οποία όπως μας ανέφερε, δημιουργούσε διάφορα προβλήματα. 

Σύμφωνα με την Επίτροπο ο Κανονισμός αυτός ψηφίστηκε στις 25 Μαΐου του 2016 με άμεση ισχύ αλλά δόθηκε περίοδος δυο ετών για προετοιμασία του ιδιωτικού και του δημόσιου τομέα για τις αλλαγές που προνοούνται. Η εφαρμογή του κανονισμού που επηρεάζει εταιρείες, οργανισμούς αλλά και όλους του πολίτες, θα τεθεί σε εφαρμογή στις 25 Μαΐου του 2018. 

Το GDPR είναι μια τεράστια αλλαγή στις ζωές και στη λειτουργία εταιρειών και οργανισμών, καθώς δίνει εκτεταμένη δικαιοδοσία στις αρμόδιες αρχές για έλεγχο στον τρόπο που τυγχάνουν διαχείρισης και επεξεργασίας τα προσωπικά μας δεδομένα, ανεξάρτητα από τη χώρα στην οποία βρίσκεται η εκάστοτε εταιρεία.

Μέχρι σήμερα αυτό που ισχύει είναι ότι η οδηγία σχετικά με την επεξεργασία προσωπικών δεδομένων βασιζόταν στη χώρα-έδρα μιας εταιρείας. Πλέον με τον νέο κανονισμό αυτό δεν ισχύει, καθώς το GDPR ξεκαθαρίζει το πεδίο εφαρμογής του κανονισμού. Θα ισχύει στην επεξεργασία προσωπικών δεδομένων από υπεύθυνους και εκτελούντες εντός ΕΕ ανεξάρτητα αν η επεξεργασία και η διαχείρηση γίνονται εντός ΕΕ ή όχι. 

Θα έχει επίσης ισχύ στην επεξεργασία προσωπικών δεδομένων αν η επεξεργασία έχει σχέση με παροχή αγαθών και υπηρεσιών σε πολίτες εντός ΕΕ. Ακόμα και εταιρείες εκτός ΕΕ οι οποίες έχουν δραστηριότητες εντός ΕΕ θα πρέπει να καθορίσουν υπεύθυνο για τις συναλλαγές που γίνονται εντός ΕΕ για την επεξεργασία των προσωπικών δεδομένων. 

Πολλαπλασιάζονται οι ποινές

Σημαντική παράμετρος του GDPR είναι το γεγονός ότι οι ποινές που προβλέπει είναι πολλαπλάσιες του τι ίσχυε μέχρι σήμερα. Πλεόν οι ποινές θα αγγίζουν το ύψος των 20 εκ. ευρώ ή ακόμα και το 4% του τζίρου μιας εταιρείας την προηγούμενη χρονιά. Αυτό θα ισχύει για τις πλέον σοβαρές περιπτώσης που εταιρεία δεν θα έχει επαρκή άδεια από τον καταναλωτή για την επεξεργασία και αξιοποίηση των προσωπικών του δεδομένων. Σημαντικό να αναφέρουμε ότι υπάρχει η δυνατότητα ποινές να συντρέχουν για διαφορετικά αδικήματα της ίδιας εταιρείας. Αυτό θα ισχύει τόσο για τις εταιρείες που είναι υπεύθυνες όσο και για τις εταιρείες που θα ασχολούνται μόνο με την επεξεργασία των δεδομένων. 

Συγκατάθεση χρήσης προσωπικών δεδομένων

Πλέον η κάθε εταιρεία-οργανισμός-φορέας θα πρέπει με τον ποιο ξεκάθαρο τρόπο να  ζητά από τον καταναλωτή την άδεια  του για παραχώρηση, επεξεργασία,αξιοποίηση των προσωπικών δεδομένων και θα πρέπει να αποφεύγει τις παγίδες υποσημειώσεις και τα λεγόμενα "μικρά γράμματα" που πάντα νομικά είχαν κάποια διέξοδο για την εταιρεία με νομικά τερτίπια. 

​Επίσης ο κανονισμός δίνει την ευχέρεια για κάποια διαφοροποίηση σε εφαρμοστικές διατάξεις π.χ για παροχή υπηρεσιών από μέσα κοινωνικής δικτύωσης, οι ανήλικοι πρέπει να έχουν συγκατάθεση του κηδεμόνα αν είναι κάτω των 16. Με τον κανονισμό αυτό η κάθε χώρα έχει την ευχέρεια να παίξει με τις ηλικές από 13-16 και να κάνει είτε πιο αυστηρό είτε πιο ευέλικτο το πλαίσιο σε σχέση με την ηλικία. 

Έγκαιρη και επαρκής ειδοποίηση

Αν υποπέσει στην αντίληχη της εταιρείας η οποιαδήποτε παραβίαση των όσων προνοεί το GDPR, υποχρεωτικά πλέον θα πρέπει να ενημερώνουν για την παραβίαση αυτή εντός 72 ωρών. Η ενημέρωση του καταναλωτή θα πρέπει να γίνεται σε κάθε περίπτωση άμεσα. 

Δικαίωμα να ξεχαστείς

Πλέον το δικαίωμα του καθενός να ζητήσει να διαγραφούν όλα τα στοιχεία που τον αφορούν σαν να μην υπήρξε ποτέ θα είναι κατοχυρωμένο και θα μπορεί να γίνει σε συγκεκριμένες περιπτώσεις αν και εφόσον το ζητήσει ο καταναλωτής. 

Επιπτώσεις και στις εταιρείες

Ένα μεγάλο κομμάτι του GDPR αφορά τις εταιρείες. Όπως μας ανέφερε η Επίτροπος, μια εταιρεία η οποία έχει παραρτήματα για παράδειγμα σε τρεις χώρες, έχει το δικαίωμα πλέον να επιλέξει σε ποια από τις τρεις χώρες θα δηλώσει να ελέγχεται από την/τον αρμόδια/ο επίτροπο της χώρας αυτής. 

Τους προηγούμενους μήνες έγινε μεγάλη εκστρατεία από το γραφείο της Επιτρόπου για ενημέρωση και προετοιμασία τόσο του δημόσιου όσο και του ιδιωτικού τομέα για τις αλλαγές που θα επέλθουν από την εφαρμογή των προνοιών του κανονισμού αυτού. 

Πλέον, όπως μας είπε, ο κάθε οργανισμός, η κάθε εταιρεία θα πρέπει να υποδείξει ένα άτομο το οποίο θα είναι ο υπεύθυνος προστασιάς προσωπικών δεδομένων, ο οποίος θα έχει και την ευθύνη να λογοδοτεί στις αρμόδιες αρχές αλλά και να ελέγχει ότι ο οργανισμός-εταιρεία κάνει τις διαδικασίες που προνοεί ο κανονισμός. 

Ένα πρακτικό παράδειγμα του τι αλλάζει σε σχέση με τις μεγάλες εταιρείες, τα νοσοκομεία, τις ασφαλιστικές εταιρείες, είναι το ότι πλέον θα πρέπει να προβαίνουν στο λεγόμενο impact assessment, μια έκθεση ρίσκου, όπως θα μπορούσαμε να πούμε με διαφορετικό τρόπο. 

Το Γραφείο της Επιτρόπου χρειάζεται ενίσχυση 

Αρμόδια αρχή για την Κύπρο για τον έλεγχο όλων αυτών των νέων δεδομένων, είναι το Γραφείο της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ωστόσο δεν υπάρχει η απαιτούμενη επάρκεια σε ανθρώπινο δυναμικό. Μπορεί στον νέο προϋπολογισμό του 2018 να έχουν προστεθεί προσλήψεις για τρεις οργανικές θέσεις, ωστόσο αυτό απαιτεί χρόνο και διαδικασίες.

Όλοι οι λειτουργοί που εργοδοτούνται στο γραφείο της Επιτρόπου είναι εναλλάξιμο προσωπικό και δεν υπάρχει ούτε ένας λειτουργός που να βρίσκεται σε οργανικό πόστο. Κρίνεται ως επάναγκες να στελεχωθεί η Υπηρεσία αν θέλουμε γίνονται και οι απαραίτητοι ελέγχοι κάτι που σαφώς και θα πρέπει να δει κυβέρνηση άμεσα. 

10