GDPR, ο κανονισμός για την προστασία των προσωπικών δεδομένων και ο αντίκτυπος στις μικρές επιχειρήσεις

Υπηρεσία

Ο GDPR απευθύνεται σε κάθε επιχείρηση στην οποία θα διατίθενται προσωπικά δεδομένα. Η μεταρρύθμιση παρέχει στους πολίτες της ΕΕ έλεγχο επί των δεδομένων. Ένας πολίτης της ΕΕ πρέπει να είναι σίγουρος, μεταξύ άλλων, μέσα από δρακόντειες τιμωρίες ότι τα δεδομένα του θα προστατεύονται. Ο GDPR θα εφαρμοστεί σε όλες τις χώρες της ΕΕ από τις 25 Μαΐου 2018. Το κείμενο βρίσκεται στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης L του 2016 Αρ. 119, σελ. 1.

GDPR - νέοι κανονισμοί

Λόγω της επικείμενης ημερομηνίας έναρξης ισχύος του GDPR, υπάρχουν πολυάριθμα ερωτήματα και αμφιβολίες για το εύρος εφαρμογής των νέων ρυθμίσεών τους μεταξύ των ιδιοκτητών μικρομεσαίων επιχειρήσεων. Οι διατάξεις του GDPR εισάγουν πολλές αλλαγές στην προσέγγιση για την προστασία των προσωπικών δεδομένων, όπως: η ανάγκη να λαμβάνεται υπόψη η προστασία των προσωπικών δεδομένων ήδη στο στάδιο του σχεδιασμού των λύσεων πληροφορικής, η υποχρέωση τήρησης μητρώου δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων, την υποχρέωση ανάλυσης των επιπτώσεων των ενεργειών του επιχειρηματία όσον αφορά την προστασία των προσωπικών δεδομένων, την υποχρέωση ενημέρωσης της εποπτικής αρχής για παραβίαση των κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα.

Οι διατάξεις του GDPR θα ισχύουν για όλους τους επιχειρηματίες που, ως μέρος των επιχειρηματικών τους δραστηριοτήτων, επεξεργάζονται (δηλαδή αποθηκεύουν) προσωπικά δεδομένα με οποιονδήποτε τρόπο (συμπεριλαμβανομένου ονόματος και επωνύμου, ΑΦΜ, διεύθυνση ηλεκτρονικού ταχυδρομείου κ.λπ.) άτομα (π.χ. πελάτες τους) είτε έχουν υπαλλήλους είτε όχι. Για παράδειγμα, ένας επιχειρηματίας που διευθύνει ένα λογιστικό γραφείο ενός ατόμου, στο πλαίσιο του οποίου εγκαθιστά άλλους μονοπρόσωπους επιχειρηματίες, θα είναι υποχρεωμένος να εφαρμόζει τις διατάξεις του GDPR, επειδή το λογιστικό γραφείο επεξεργάζεται προσωπικά δεδομένα των πελατών του (επιχειρηματίες που εγκαθιστά), αλλά επίσης προσωπικά δεδομένα των εργολάβων των πελατών της (προσωπικά δεδομένα που περιέχονται στα τιμολόγια πελατών). Μπορεί να είναι μια δραστηριότητα σε οποιαδήποτε νομική μορφή: εταιρεία, ατομική επιχείρηση ή ακόμα και υποκατάστημα στην ΕΕ επιχειρηματία που εδρεύει εκτός ΕΕ, αλλά η εθνικότητα των προσώπων των οποίων τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία και η τοποθεσία των διακομιστών είναι άσχετη.

Δραστηριότητες που υπόκεινται στον GDPR

Οι δραστηριότητες που υπόκεινται στον GDPR είναι η επεξεργασία προσωπικών δεδομένων που συνίσταται στη συλλογή, αποθήκευση, διαγραφή, επεξεργασία και κοινή χρήση δεδομένων. Ο διαχειριστής δεδομένων είναι ο Χ που ασκεί ατομική επιχείρηση, εταιρεία περιορισμένης ευθύνης και όχι ο πρόεδρος του διοικητικού συμβουλίου ή ο διευθυντής μάρκετινγκ. Το μητρώο δραστηριοτήτων δεν χρειάζεται να τηρείται από επιχειρηματίες που απασχολούν λιγότερα από 250 άτομα, εκτός εάν: η επεξεργασία μπορεί να παραβιάζει τα δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων, περιλαμβάνει ειδικές κατηγορίες δεδομένων ή δεδομένα για ποινικές καταδίκες, δεν αποτελεί περιστασιακή φύση.

Ο GDPR δεν επιβάλλει συγκεκριμένες οδηγίες σχετικά με τις διαδικασίες που πρέπει να ακολουθεί μια εταιρεία για την προστασία δεδομένων. Η προστασία μπορεί να παρέχεται με διάφορα μέτρα κατάλληλα για το προφίλ της επιχείρησης. Καθήκον του επιχειρηματία θα είναι να αναπτύξει ένα ολοκληρωμένο μοντέλο προστασίας δεδομένων που να αντιστοιχεί στην κατάσταση στην αγορά και στο προφίλ της δραστηριότητάς του. Η επαλήθευση εάν έχουν εφαρμοστεί οι κατάλληλες διαδικασίες και ότι το συμφέρον του καταναλωτή διασφαλίζεται κατάλληλα πραγματοποιείται κατά την εφαρμογή αυτών των παραδοχών. Σύμφωνα με τις απαιτήσεις του GDPR, οι εταιρείες θα πρέπει να παρέχουν στους πελάτες πολύ λεπτομερείς πληροφορίες σχετικά με την επεξεργασία των προσωπικών τους δεδομένων και να ζητούν τη συγκατάθεσή τους για χρήση τους στο πλαίσιο μιας συγκεκριμένης επιχειρηματικής διαδικασίας. Κάθε συγκατάθεση για την επεξεργασία δεδομένων θα πρέπει να χαρακτηρίζεται από τα ακόλουθα χαρακτηριστικά:

  • εκούσιο,

  • ειδικότητα,

  • επίγνωση,

  • ασάφεια.

Σύμφωνα με τον GDPR, η συγκατάθεση μπορεί να λάβει τη μορφή όχι μόνο δήλωσης, αλλά και σαφούς θετικής ενέργειας. Οι μορφές συγκατάθεσης είναι γραπτή, ηλεκτρονική ή προφορική δήλωση. Είναι πολύ σημαντικό να αναφέρεται ρητά ότι η σιωπή, τα πλαίσια που έχουν επιλεγεί από προεπιλογή ή η αδράνεια δεν πρέπει να ερμηνεύονται ως συναίνεση. Στο πρόσωπο που συναινεί θα πρέπει να παρέχονται τα δεδομένα, δηλαδή η ταυτότητα του διαχειριστή, τα στοιχεία επικοινωνίας του και οι επιδιωκόμενοι σκοποί της επεξεργασίας, η προγραμματισμένη περίοδος αποθήκευσης τους. Θα πρέπει επίσης να ενημερώσετε για το δικαίωμα να ζητήσετε από τον διαχειριστή πρόσβαση στα προσωπικά σας δεδομένα, να τα διορθώσει, να τα διαγράψει, να περιορίσετε την επεξεργασία, να αντιταχθείτε στην επεξεργασία, καθώς και το δικαίωμα μεταφοράς δεδομένων. Εάν η επεξεργασία πραγματοποιείται βάσει συγκατάθεσης - ενημερώστε σχετικά με το δικαίωμα ανάκλησης της συγκατάθεσης ανά πάσα στιγμή και το δικαίωμα υποβολής καταγγελίας στο εποπτικό όργανο (αυτές οι εκτεταμένες υποχρεώσεις ενημέρωσης πρέπει να εξαιρεθούν σε σχέση με επιχειρηματίες που απασχολούν λιγότερα από 250 άτομα , επεξεργασία δεδομένων προσωπικού χαρακτήρα που είναι απαραίτητα για τη χρήση της επιχειρηματικής δραστηριότητας, ιδίως για τους σκοπούς της σύναψης συμβάσεων και της τήρησης λογιστικών). Ως αποτέλεσμα, η συγκατάθεση δεν είναι αφηρημένη. Σύμφωνα με τους νέους κανονισμούς, θα είναι δυνατή η λήψη μιας συγκατάθεσης για την επεξεργασία προσωπικών δεδομένων για πολλούς διαφορετικούς σκοπούς. Οι υποχρεώσεις ενημέρωσης σε περίπτωση συγκατάθεσης για την επεξεργασία προσωπικών δεδομένων έχουν τη μορφή του λεγόμενου ρήτρα συναίνεσης για την επεξεργασία δεδομένων. Δεν απαιτείται, για παράδειγμα, όταν είναι απαραίτητη η επεξεργασία δεδομένων για την εκτέλεση της σύμβασης (πώληση βιβλίων μέσω διαδικτύου μέσω αλληλογραφίας - η επεξεργασία δεδομένων θα είναι σύμφωνα με τον GDPR όπως απαιτείται για την εκτέλεση της σύμβασης πώλησης), όταν η επεξεργασία είναι απαραίτητη για την εκπλήρωση της νομικής υποχρέωσης που έχει ο διαχειριστής (π.χ. δεν απαιτείται συναίνεση) ή η επεξεργασία είναι απαραίτητη για την υλοποίηση του έννομου συμφέροντος του υπεύθυνου επεξεργασίας δεδομένων ή τρίτου μέρους (π.χ. η υποβολή αγωγής για πληρωμή κατά ανέντιμου πελάτη δεν απαιτεί τη συγκατάθεσή του στην επεξεργασία δεδομένων).

Προσοχή!

Απαιτείται συναίνεση στην περίπτωση αποστολής εμπορικών πληροφοριών μέσω ηλεκτρονικής επικοινωνίας (διαφημίσεις) ή χρήσης τηλεπικοινωνιακών τελικών συσκευών για σκοπούς άμεσου μάρκετινγκ (π.χ. SMS με διαφημιστικό περιεχόμενο). Η δημιουργία προφίλ απαιτεί πάντα την ενημέρωση σχετικά με τα άτομα που επηρεάζονται από αυτήν τη διαδικασία, π.χ. άτομα που επιλέγονται αυτόματα μέσω δραστηριότητας σε έναν δεδομένο ιστότοπο.

Μία από τις μεγαλύτερες προκλήσεις θα είναι το λεγόμενο το δικαίωμα στη λήθη, που σημαίνει ότι τα δεδομένα των προσώπων που το επιθυμούν, εφόσον πληρούται μία από τις προϋποθέσεις (π.χ. δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα για τους σκοπούς για τους οποίους συλλέχθηκαν, αντίρρηση, ανάκληση συγκατάθεσης, παραβίαση του νόμου ) πρέπει να αφαιρεθεί εντελώς από τα συστήματα του διαχειριστή. Αυτό ισχύει επίσης για αντίγραφα, συνδέσμους, αναφορές και έντυπη τεκμηρίωση, για παράδειγμα εκτυπώσεις ή σαρώσεις εγγράφων. Εάν αυτά τα δεδομένα ήταν προηγουμένως διαθέσιμα ή διατέθηκαν στο Διαδίκτυο, ο διαχειριστής πρέπει να βεβαιωθεί ότι όλα τα αντίγραφα και οι σύνδεσμοι έχουν διαγραφεί και αφαιρεθεί, ακόμη και αν βρίσκονται ήδη στην κατοχή άλλων οντοτήτων. Ο GDPR παρέχει επίσης το δικαίωμα στη φορητότητα των δεδομένων. Μπορεί να πραγματοποιηθεί μόνο εάν: η επεξεργασία δεδομένων βασίζεται σε συγκατάθεση ή για εκτέλεση σύμβασης και όταν γίνεται με αυτοματοποιημένο τρόπο, δεν περιλαμβάνει παραδοσιακά αρχεία δεδομένων σε χαρτί.

Σπουδαίος!

Στις δραστηριότητες των περισσότερων επιχειρηματιών, ανατίθεται η επεξεργασία προσωπικών δεδομένων (π.χ. χρήση υπηρεσιών λογιστικού γραφείου, χρήση υπηρεσιών ιστότοπου που παρέχει υπηρεσίες ηλεκτρονικού ταχυδρομείου). Μια οντότητα που επεξεργάζεται προσωπικά δεδομένα κατόπιν αιτήματος θα πρέπει να συνάψει μια κατάλληλη συμφωνία ανάθεσης (σε γραπτή ή ηλεκτρονική μορφή) με τον υπεύθυνο επεξεργασίας δεδομένων, στην οποία θα καθορίζονται οι κανόνες για την επεξεργασία των δεδομένων. Επιλέξτε μια πιστοποιημένη οντότητα. Θα εκδοθούν πιστοποιητικά για την πιστοποίηση της συμμόρφωσης της επεξεργασίας δεδομένων από πιστοποιημένη οντότητα.

Πρέπει να θεσπίζονται κανόνες ασφαλείας σε κάθε επιχείρηση:

ΠΡΟΣΩΠΙΚΗ ΚΑΙ ΟΡΓΑΝΩΤΙΚΗ ΑΣΦΑΛΕΙΑ

  • καθιέρωση διαδικασιών ασφαλείας στην εταιρεία και συμμόρφωση με αυτές,

  • υποχρέωση τήρησης μητρώου δραστηριοτήτων επεξεργασίας δεδομένων,

  • σωστή εκπαίδευση των εργαζομένων,

  • σύστημα εσωτερικού ελέγχου, αναφορά διαρροών δεδομένων.

ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΚΗΣ

  • ασφάλεια και επίβλεψη συστημάτων πληροφορικής στην εταιρεία και έλεγχος πρόσβασης σε ευαίσθητα δεδομένα,

  • παρακολούθηση της ασφάλειας.

ΣΩΜΑΤΙΚΗ ΑΣΦΑΛΕΙΑ

  • την ασφάλεια των χώρων,

  • εξασφάλιση έντυπης τεκμηρίωσης,

  • έλεγχος πρόσβασης δωματίου.

Εναπόκειται σε έναν υπάλληλο του γραφείου προστασίας δεδομένων να αξιολογήσει εάν έχουν επιλεγεί σωστά. Σίγουρα συνιστάται η σωστή εκπαίδευση των εργαζομένων και η ευαισθησία τους, ώστε να χειρίζονται τα δεδομένα που λαμβάνουν ή μοιράζονται με προσοχή. Η μεταφορά δεδομένων στο cloud μπορεί να είναι η λύση για πολλές εταιρείες. Σε περίπτωση παραβίασης προσωπικών δεδομένων, για παράδειγμα ως αποτέλεσμα επίθεσης hacking, η εταιρεία θα πρέπει να αναφέρει αμέσως αυτό το γεγονός στον Γενικό Επιθεωρητή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, σε περίπτωση τυχαίας ή παράνομης καταστροφής ή απώλειας, τροποποίησης προσωπικών δεδομένων, μη εξουσιοδοτημένης αποκάλυψης, μη εξουσιοδοτημένης πρόσβασης σε δεδομένα προσωπικού χαρακτήρα που αποστέλλονται, αποθηκεύονται ή υποβάλλονται σε επεξεργασία, υπάρχει υποχρέωση αναφοράς παραβιάσεων δεδομένων. Θα υπάρχουν μόνο 72 ώρες για αυτό. Αυτή η νέα υποχρέωση απαιτεί όχι μόνο τον εντοπισμό της παραβίασης που έχει συμβεί, αλλά και την προετοιμασία διαδικασιών για την αντιμετώπιση περιστατικών προστασίας δεδομένων (οι υποχρεώσεις αναφοράς περιστατικών πρέπει να εξαιρεθούν σε σχέση με επιχειρηματίες που απασχολούν λιγότερα από 250 άτομα, που επεξεργάζονται προσωπικά δεδομένα που είναι απαραίτητα για τη χρήση των επιχειρήσεων δραστηριότητα, ιδίως με σκοπό τη σύναψη συμβάσεων και τη λογιστική).

Αξίζει να γίνει αυτό, διότι πρέπει να θυμόμαστε ότι προβλέπονται αυστηρές κυρώσεις για τη μη συμμόρφωση της επιχείρησης με τις νομοθετικές απαιτήσεις - έως 20 εκατομμύρια ευρώ ή έως και 4% της αξίας του ετήσιου παγκόσμιου κύκλου εργασιών της επιχείρησης. Θα επιβάλλονται αναλογικά, ανάλογα με το μέγεθος της παράβασης.

Ο GDPR υποτίθεται ότι είναι τεχνολογικά ουδέτερος, ευέλικτος και δίνει στους επιχειρηματίες μεγαλύτερη ελευθερία δράσης, γι' αυτό και περιέχει μόνο γενικούς κανονισμούς. Πρέπει να συνηθίσετε αυτή την αλλαγή στην προσέγγιση για την προστασία των προσωπικών δεδομένων και να οργανώσετε σωστά τις διαδικασίες επεξεργασίας στη δική σας, έστω και μικρή εταιρεία.Ρενάτα Σομπολέφσκα