Εταιρείες αλλά και δημόσιοι φορείς που επεξεργάζονται προσωπικά δεδομένα, δηλαδή ασφαλιστικές, ταξιδιωτικά γραφεία αλλά και καταστήματα με κάρτες μέλους, τρέχουν να προλάβουν τον ευρωπαϊκό κανονισμό για την Προστασία των Δεδομένων (GDPR), καθώς την Παρασκευή 25 Μαΐου εκπνέει η προθεσμία για τη συμμόρφωση τους.
Στη χώρα μας πολλές εταιρείες ξεκίνησαν την τελευταία στιγμή την διαδικασία επικοινωνώντας με πελάτες τους και ζητώντας την έγκριση τους για χρήση των προσωπικών τους δεδομένων.
Ένα μεγάλο πλήθος εταιρειών ανταποκρίθηκε έστω και αργά στην νέα κανονιστική οδηγία του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR) κλείνοντας έτσι την ψαλίδα, που είχε αναδείξει προηγούμενη έρευνα της ICAP στο βαθμό ενημέρωσης και συμμόρφωσης (70%), αναφέρει η εταιρεία.
Ο Απόστολος Τσούμπρης, Εκτελεστικός Διευθυντής της ICAP δήλωσε σχετικά: «Χαιρόμαστε ιδιαίτερα που έστω και την τελευταία στιγμή οι περισσότερες εταιρείες προχώρησαν σε δραστικές ενέργειες προκειμένου να συμμορφωθούν. Καλύπτουμε ήδη συμβουλευτικά, εταιρείες από όλους τους κλάδους της οικονομίας, ανταποκρινόμενοι με τον βέλτιστο τρόπο. Παραμένουμε αισιόδοξοι ότι το μεγαλύτερο μέρος των ελληνικών εταιρειών θα συμμορφωθεί με το GDPR».
Καθυστερήσεις βέβαια παρατηρούνται και σε άλλα επτά κράτη-μέλη (Βέλγιο, Βουλγαρία, Κύπρος, Τσεχία, Ουγγαρία, Λιθουανία και Σλοβενία), την στιγμή που διέθεταν περίπου δύο χρόνια για να θεσπίσουν τα αναγκαία νομοθετήματα.
Πώς οφείλουν να συμμορφωθούν οι εταιρείες
Για οποιουδήποτε είδους προσωπικά δεδομένα διαθέτουν, από διευθύνσεις ηλεκτρονικού ταχυδρομείου (e-mails) έως βιομετρικά δεδομένα, θα πρέπει, καταρχάς, να εξασφαλίσουν τη συγκατάθεση των ατόμων που αυτά αφορούν.
Ταυτόχρονα, θα πρέπει να καθιερώσουν μηχανισμούς προστασίας από μη εξουσιοδοτημένη πρόσβαση στα δεδομένα αυτά (π.χ. μέσω κρυπτογράφησης, ενώ θα πρέπει να εξασφαλίζεται, μεταξύ άλλων, το δικαίωμα στη λήθη. Θα πρέπει, δηλαδή, τα άτομα να έχουν τη δυνατότητα να διαγράφουν τα προσωπικά δεδομένα τους.
H συμμόρφωση των επιχειρήσεων με τον κανονισμό GDPR έχει κόστος αρκετών χιλιάδων ευρών. Και για ενδεχόμενη παραβίαση δεδομένων που συνδέεται με την μη συμμόρφωση με τον κανονισμό προβλέπεται πρόστιμο έως 20 εκατ. ευρώ ή το 4% του συνολικού ετήσιου τζίρου.
Όπως αναφέρουν παράγοντες της αγοράς, ο φόρτος εργασίας είναι πολύ μεγάλος, με τις εταιρείες να πρέπει να προχωρήσουν στη χαρτογράφηση των προσωπικών δεδομένων που διατηρούν. Αλλά και στην προστασία των δεδομένων μέσω της χρήσης ειδικών λογισμικών, προγραμμάτων κρυπτογράφησης και της ασφάλειας των κωδικών πρόσβασης.
Τα πρόστιμα
Σύμφωνα με τις διατάξεις του GDPR οι εποπτικές αρχές μπορούν να επιβάλλουν διοικητικά πρόστιμα έως 20 εκατ. ευρώ ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους
Τα διοικητικά πρόστιμα αποτελούν κεντρικό στοιχείο του νέου καθεστώτος επιβολής που έχει θεσπιστεί με τον GDPR, και ένα ισχυρό εργαλείο στα χέρια των εποπτικών αρχών, μαζί με τα άλλα μέτρα που προβλέπονται στο άρθρο 58, για την εφαρμογή των νέων διατάξεων.
Τι προβλέπει ο κανονισμός GDPR
Στα δεδομένα που αφορά ο κανονισμός (GDPR) συγκαταλέγονται τα προσωπικά, όπως όνομα, διεύθυνση, e-mail, τηλέφωνο και ενδιαφέροντα και τα ευαίσθητα, όπως το φύλο, η υγεία, οι προτιμήσεις, οι συνδικαλιστικές πεποιθήσεις, το ποινικό ιστορικό και το εισόδημα. Όπως και αυτά που σχετίζονται με την κοινωνική ταυτότητα και είναι γενετικού, οικονομικού και πολιτισμικού χαρακτήρα.
Η συγκεκριμένη ρύθμιση προβλέπει ότι η επεξεργασία των εν λόγω δεδομένων θα πρέπει να διέπεται από συγκεκριμένες αρχές, όπως της νομιμότητας, της αντικειμενικότητας και διαφάνειας, του περιορισμού της περιόδου αποθήκευσης, της ακεραιότητα και εμπιστευτικότητα και της λογοδοσίας.
Ως εκ τούτου, οι εταιρείες θα πρέπει να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα με θεμιτό και διαφανή τρόπο και να τα συλλέγουν για συγκεκριμένους, καθορισμένους, ρητούς και νόμιμους σκοπούς, χωρίς να τα επεξεργάζονται για άλλους σκοπούς.
Επιπλέον, οφείλουν, βάσει του κανονισμού, να συλλέγουν και να επεξεργάζονται μόνο τα συναφή και αναγκαία δεδομένα προσωπικού χαρακτήρα για κάθε περίπτωση και να είναι σε θέση να διαγράψουν ή να διορθώσουν ανακριβή δεδομένα προσωπικού χαρακτήρα.
Θα πρέπει, ακόμη, να διατηρούν τα δεδομένα μόνο για το απολύτως αναγκαίο διάστημα και να λαμβάνουν τα κατάλληλα τεχνικά ή οργανωτικά μέτρα, ώστε η επεξεργασία τους να εγγυάται την ασφάλειά τους από μη εξουσιοδοτημένες ή παράνομες επεξεργασίες και τυχόν απώλειες, καταστροφές ή φθορές.
Στο πλαίσιο αυτό, οι επιχειρήσεις θα πρέπει να είναι σε θέση να αποδείξουν ότι το υποκείμενο έδωσε τη συγκατάθεσή του στην επεξεργασία των δεδομένων του.
Ταυτόχρονα, το αίτημα για συγκατάθεση θα πρέπει να υποβάλλεται σε κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή διατύπωση, ενώ το υποκείμενο θα πρέπει να ενημερώνεται ότι έχει το δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή.
Θα πρέπει να διευκρινίσουμε ότι η ανάκληση της συγκατάθεσης θα πρέπει να είναι εξίσου εύκολη με την παροχή της.
Με στόχο την εναρμόνισή τους με τον κανονισμό, οι επιχειρήσεις θα πρέπει, μεταξύ άλλων, να ενημερώνουν για το λόγο για τον οποίο ζητούν τα δεδομένα, για το χρονικό διάστημα που θα τα διακρατήσουν και για το ποιοι θα έχουν πρόσβαση σε αυτά. Όπως και να προχωρούν στη διαμόρφωση ηλεκτρονικών σελίδων, ώστε τα υποκείμενα να έχουν πρόσβαση στα δεδομένα τους.
0 σχόλια:
Δημοσίευση σχολίου