GDPR – Δικαιο Πληροφορικης

GDPR – Δικαιο Πληροφορικης

Δικηγορικό Γραφείο, Θεσσαλονίκη, Παπουτσής Χρήστος, Ποινικό, Εμπορικό, Αστικό, Πληροφορικής Δίκαιο, Διαμεσολάβση, GDPR

Η εφαρμογή του Γενικού Κανονισμού 679/2016 για την προστασία των Προσωπικών Δεδομένων (General Data Protection Regulation) σε ολόκληρη την Ευρώπη είναι πλέον γεγονός. H πολύχρονη εμπειρία των δικηγόρων μας στο χώρο του Δικαίου Πληροφορικής είναι πολύτιμη. Η συμμόρφωση (compliance) του δημόσιου και του ιδιωτικού τομέα με τις διατάξεις του Κανονισμού είναι αναγκαία. Η διασφάλιση της ιδιωτικότητας αποτελεί κατοχυρωμένο δικαίωμα κάθε πολίτη και η προσβολή της μπορεί να αποκατασταθεί δικαστικώς.

O έγκαιρος εντοπισμός κενών ως προς την τήρηση του GDPR αλλά και της νομοθεσίας του ηλεκτρονικού εμπορίου (e-Commerce), απαιτείται για τη θωράκιση της επιχείρησης και την ευχερέστερη δικαστική της προστασία σε περίπτωση αντιδικίας.

Συχνες ερωτησεις

Εν μέρει ναι. Οι βασικές απαιτήσεις του Κανονισμού αφορούν όλες τις επιχειρήσεις. Ορισμένες ιδιαίτερες απαιτήσεις, όμως, όπως η δημιουργία μόνιμου αρχείου δραστηριοτήτων επεξεργασίας δεδομένων, η διενέργεια αναλυτικής εκτίμησης αντικτύπου και ο διορισμός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer / DPO), ισχύουν για ορισμένες επιχειρήσεις, ανάλογα με το μέγεθός τους, το μέγεθος της κλίμακας επεξεργασίας δεδομένων κ.α.

Για δύο λόγους: Πρώτον, για να αποκτήσει η επιχείρηση το ανταγωνιστικό πλεονέκτημα συμμόρφωσης, το οποίο θα λαμβάνεται υπόψη από τους πελάτες. Δεύτερον, για να αποφευχθεί η επιβολή προστίμου, λόγω μη συμμόρφωσης, το οποίο μπορεί να φτάσει μέχρι και στο 4% επί του τζίρου της επιχείρησης.

Τα κύρια βήματα είναι οκτώ.

1ο βήμα. Πλήρης ενημέρωση και δέσμευση της διοίκησης της επιχείρησης σχετικά με την αναγκαιότητα συμμόρφωσης με τον Κανονισμό, μέσω της δημιουργίας ομάδας που θα χειριστεί τη διαδικασία συμμόρφωσης.

2ο βήμα. Η χαρτογράφηση (Data Mapping) των δεδομένων, δηλαδή η πλήρης καταγραφή όλων ανεξαιρέτως των κατηγοριών δεδομένων προσωπικού χαρακτήρα, των οποίων γίνεται οποιουδήποτε είδους επεξεργασία στην επιχείρηση, καθώς και των ατόμων που έχουν πρόσβαση σε αυτά.

3ο βήμα. Ο εντοπισμός των σημείων της χαρτογράφησης, τα οποία εμφανίζουν κενό (Gap Analysis) ως προς τις απαιτήσεις του GDPR, και για τα οποία πρέπει να προσδιοριστούν τα νομικά και τεχνικά μέτρα υλοποίησης της συμμόρφωσης με τον Κανονισμό.

4ο βήμα. Ο σχεδιασμός και η υιοθέτηση νομικών και τεχνολογικών μέτρων, ώστε να λειτουργεί η επιχείρηση εξ ορισμού (by default) και από το σχεδιασμό της (by design) με επίκεντρο την προστασία των δεδομένων.

5ο βήμα. Ο έλεγχος σχετικά με το αν χρειάζεται αναλυτική διενέργεια Εκτίμησης Αντικτύπου, ως προς την επεξεργασία των δεδομένων, οπότε πρέπει να διενεργηθεί η σχετική Έκθεση με βάση τη μεθοδολογία των ευρωπαικών προτύπων.

6ο βήμα. Η σύνταξη αναλυτικής πολιτικής ασφαλείας, αλλά και συμβάσεων με όλα τα πρόσωπα τα οποία έρχονται σε επαφή με προσωπικά δεδομένα, καθώς και η συγκατάθεση των προσώπων, στα οποία ανήκουν τα προσωπικά δεδομένα, ώστε, όπου είναι δυνατό, να κατοχυρώνεται η εμπιστευτικότητα ως προς την επεξεργασία των δεδομένων, και η συγκατάθεση των προσώπων που σχετίζονται επαγγελματικά με την επιχείρηση, στη συλλογή των δεδομένων τους.

7ο βήμα. Η εκπαίδευση των υπαλλήλων, ώστε να αποκτήσει η επιχείρηση την απαραίτητη κουλτούρα ως προς την προστασία των προσωπικών δεδομένων από όλο το προσωπικό της επιχείρησης, και, αν είναι απαραίτητο, ο διορισμός του Υπεύθυνου Προστασίας Δεδομένων (DPO), ο οποίος θα αποτελεί τον αρμόδιο υπεύθυνο ελέγχου της προστασίας των δεδομένων και με τον οποίο θα έχει συνεργασία η Αρχή Προστασίας Δεδομένων, για την τήρηση των διατάξεων του νόμου.

8ο βήμα. Είναι ο τελικός επανέλεγχος της λειτουργίας της επιχείρησης, ως προς την τήρηση του Κανονισμού με βάση τα νομικά και τεχνολογικά μέτρα και την εκπαίδευση του προσωπικού, και η συνεχής παρακολούθηση με περιοδικούς ελέγχους.