Μικρές και Μεσαίες Επιχειρήσεις: 12 Πρακτικά Βήματα Συμμόρφωσης προς τον GDPR
Άρθρο της Ελένης Μαρτσούκου, τακτικού Μέλους της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, στο epixeiro.gr (μέρος Β`): «ΜΙΚΡΕΣ & Μεσαίες Επιχειρήσεις: 12 Πρακτικά Βήματα Συμμόρφωσης προς τον GDPR«. Ελένη ΜαρτσούκουΔικηγόρος / Τακτικό Μέλος ΑΠΔΠΧ Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (εφεξής Κανονισμός, GDPR) τέθηκε σε εφαρμογή στις 25 Μαΐου 2018. Κατ΄αρχάς να υπογραμμιστεί ότι δεν υπάρχει κανένας λόγος για πανικό. Η ίδια η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει, και ορθώς, επισημάνει ότι η 25 Μαΐου 2018 δεν αποτελεί το τέλος αλλά την αρχή μιας διαδικασίας προσαρμογής. Επομένως, τα πρόστιμα που προβλέπει ο Κανονισμός μπορούν να περιμένουν, προς ώρας τουλάχιστον. Εντούτοις, ο εφησυχασμός αντενδείκνυται. Το συγκεκριμένο άρθρο απευθύνεται στις μικρές και μεσαίες επιχειρήσεις οι οποίες ως υπεύθυνοι επεξεργασίας δεν έχουν συνήθως τη δυνατότητα να επενδύσουν σε πόρους, υλικούς και ανθρώπινους, όπως οι μεγάλες επιχειρήσεις, προκειμένου να συμμορφωθούν προς τις απαιτήσεις του Κανονισμού. Σε δώδεκα απλά βήματα αναλύουμε τον «οδικό χάρτη» που συστήνουμε να ακολουθήσουν προκειμένου να αποφύγουν «περιπέτειες» σε περίπτωση που τους γίνει έλεγχος από την αρμόδια εποπτική αρχή ή υπάρξουν καταγγελίες σε βάρος τους. Συνιστούμε στις μικρές και μεσαίες επιχειρήσεις ως υπεύθυνους επεξεργασίας να προβούν στα εξής: 1) Διαμόρφωση συνείδησης προστασίας προσωπικών δεδομένων στην επιχείρηση (awareness). Τούτο προϋποθέτει ενημέρωση όχι μόνο της διοίκησης (management) αλλά και όλου του προσωπικού για το ότι ο Κανονισμός επιφέρει αλλαγές στην προστασία των δεδομένων και κατ’ επέκταση, ενδεχομένως, και στη λειτουργία της επιχείρησης. Συνεπώς, όλοι οι εργαζόμενοι επιβάλλεται να γνωρίζουν, στο βαθμό που είναι αναγκαίο για την ορθή άσκηση των καθηκόντων τους, τί επιτρέπεται και τί απαγορεύεται, τί είναι υποχρεωτικό και τί προαιρετικό, με βάση τον Κανονισμό. Ακόμη και αν όλα τα τεχνικά μέτρα προστασίας που η επιχείρηση εφαρμόζει είναι άψογα, εφόσον δεν υπάρξει ευαισθητοποίηση και κινητοποίηση του ανθρώπινου δυναμικού της, θα ανακύπτουν συνεχώς προβλήματα συμμόρφωσης.2) Χαρτογράφηση των προσωπικών δεδομένων τα οποία η επιχείρηση επεξεργάζεται, τις πηγές από τις οποίες τα αντλεί και τους αποδέκτες τους. Ανάλογα με την περίπτωση, είναι πιθανό να απαιτείται ένας ενδελεχής πληροφορικός έλεγχος (information audit).3) Αναθεώρηση της πολιτικής απορρήτου (γνωστή και ως πολιτική προστασίας δεδομένων, privacy notice) ώστε να είναι συμβατή με τις διατάξεις του Κανονισμού. Προκειμένου η πολιτική απορρήτου να καταστεί όσο γίνεται περισσότερο προσπελάσιμη και ευρύτερα γνωστή, συνιστάται η ανάρτησή της στην αρχική ιστοσελίδα της επιχείρησης. Oι υπεύθυνοι επεξεργασίας, εκτός της ταυτότητάς τους και του τρόπου με τον οποίο σκοπεύουν να χρησιμοποιήσουν τα προσωπικά δεδομένα που συλλέγουν, υποχρεώνονται πλέον από τον Κανονισμό να γνωστοποιούν στο υποκείμενο των δεδομένων τη νόμιμη βάση επεξεργασίας των δεδομένων του, το χρόνο τήρησής τους και το δικαίωμά του για υποβολή καταγγελίας στην αρμόδια εποπτική αρχή. Η πληροφόρηση πρέπει πάντα να γίνεται σε ύφος “λακωνικό” (όχι υπερπληροφόρηση) και σε γλώσσα σαφή και εύκολα κατανοητή στο μέσο πολίτη.4) Έλεγχος των υφιστάμενων διαδικασιών της επιχείρησης ώστε να εξακριβωθεί αν και κατά πόσο διασφαλίζουν την υλοποίηση των νέων καθώς και των ήδη υφιστάμενων αλλά ενισχυμένων πλέον από τον Κανονισμό δικαιωμάτων των υποκειμένων των δεδομένων.
Πρόκειται για τα:
- δικαίωμα ενημέρωσης
- δικαίωμα πρόσβασης
- δικαίωμα διόρθωσης
- δικαίωμα διαγραφής (“δικαίωμα στη λήθη”)
- δικαίωμα στον περιορισμό της επεξεργασίας
- δικαίωμα στη φορητότητα των δεδομένων
- δικαίωμα εναντίωσης
- δικαίωμα στην ανθρώπινη παρέμβαση
Ας δώσουμε δύο παραδείγματα. Σε περίπτωση που ένα υποκείμενο δεδομένων ζητά από μια επιχείρηση να διαγράψει τα προσωπικά του δεδομένα από τα αρχεία της, προκύπτουν οι εξής ερωτήσεις:
- Έχει λάβει η επιχείρηση τα κατάλληλα οργανωτικά και τεχνικά μέτρα ώστε να είναι σε θέση κατ’ αρχάς να εντοπίσει και στη συνέχεια να διαγράψει τα δεδομένα του συγκεκριμένου υποκειμένου;
- Έχει ορίσει το άτομο ή την ομάδα που θα έχει την αποφασιστική αρμοδιότητα περί διαγραφής ή μη;
Το δεύτερο παράδειγμα αφορά στο νέο δικαίωμα στη φορητότητα των δεδομένων. Αν η επιχείρηση προβαίνει σε αυτοματοποιημένη επεξεργασία δεδομένων με βάση σύμβαση ή τη συγκατάθεση του υποκειμένου, οφείλει να ελέγξει και αναλόγως να αναθεωρήσει τις διαδικασίες της, ώστε να είναι σε θέση να παρέχει στο υποκείμενο τα δεδομένα του σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα διαλειτουργικό μορφότυπο, δωρεάν και μέσα σε προθεσμία ενός μηνός. 5) Έλεγχος αν έχουν υιοθετηθεί τα κατάλληλα οργανωτικά και τεχνικά μέτρα προκειμένου η επιχείρηση να μπορεί αμέσως και ευχερώς να ανταποκρίνεται σε αιτήματα των υποκειμένων των δεδομένων για πρόσβαση σ’ αυτά, ιδίως μάλιστα αν αναμένονται πολλά τέτοια αιτήματα. Εφιστάται η προσοχή στην άσκηση του δικαιώματος πρόσβασης του υποκειμένου διότι στις πλείστες περιπτώσεις το δικαίωμα πρόσβασης παρέχεται δωρεάν, ενώ η προθεσμία απάντησης είναι μόνο ένας μήνας. Σε περίπτωση άρνησης ικανοποίησης του δικαιώματος πρόσβασης ο υπεύθυνος επεξεργασίας οφείλει να εξηγήσει στο υποκείμενο των δεδομένων χωρίς αναίτια καθυστέρηση και το αργότερο σε έναν μήνα το λόγο άρνησης, και ταυτόχρονα να ενημερώσει το υποκείμενο για το δικαίωμά του να υποβάλει καταγγελία στην αρμόδια εποπτική αρχή και να προσφύγει δικαστικά κατά του υπευθύνου επεξεργασίας. Στο μέτρο του δυνατού ή του επιθυμητού, αποτελεί “καλή πρακτική” η εγκατάσταση IT συστήματος που επιτρέπει την επιγραμμική (online) πρόσβαση του υποκειμένου στα προσωπικά του δεδομένα.6) Απαντήσεις στα ακόλουθα ερωτήματα:
- Έχει προσδιοριστεί και καταγραφεί η νόμιμη βάση επεξεργασίας των προσωπικών δεδομένων και έχει συνδεθεί με συγκεκριμένο και ρητό σκοπό ή σκοπούς επεξεργασίας;
- Τηρείται η αρχή της «ελαχιστοποίησης των δεδομένων», δηλαδή γίνεται επεξεργασία των απολύτως αναγκαίων δεδομένων για την επίτευξη του εκάστοτε σκοπού επεξεργασίας, και όχι περισσότερων δεδομένων απ’ ότι χρειάζεται;
Οι απαντήσεις στα παραπάνω ερωτήματα πρέπει να συμπεριληφθούν και να επεξηγηθούν στην πολιτική απορρήτου της επιχείρησης (βλέπε υπό 3). Υπό το παλιό νομικό καθεστώς της Οδηγίας 95/46/ΕΚ η νόμιμη βάση επεξεργασίας δεν είχε ιδιαίτερες πρακτικές επιπτώσεις. Με τον Κανονισμό η κατάσταση αλλάζει. Τα υποκείμενα αποκτούν πλέον επισήμως ισχυρό δικαίωμα διαγραφής των δεδομένων τους στις περιπτώσεις όπου η συγκατάθεση αποτελεί τη νόμιμη βάση επεξεργασίας.7) Αναθεώρηση της πολιτικής της επιχείρησης αναφορικά με τη λήψη της συγκατάθεσης ώστε να είναι σύμφωνη προς τις επιταγές του Κανονισμού. Η συγκατάθεση καθίσταται πλέον ρητή, το λεγόμενο opt-in. Με άλλα λόγια, δήλωση συγκατάθεσης δεν συνάγεται από την αδράνεια ή τη σιωπή του υποκειμένου ή τις προεπιλογές (πχ. προσυμπληρωμένα τετραγωνίδια) του υπευθύνου επεξεργασίας. Επιπλέον πρέπει:
- το αίτημα για συγκατάθεση του υποκειμένου να τίθεται κατά τρόπο σαφώς διακριτό από άλλα θέματα,
- η παροχή της συγκατάθεσης να είναι χωριστή από άλλους όρους και προϋποθέσεις,
- αν η επεξεργασία αφορά πολλαπλούς σκοπούς, τότε να λαμβάνεται συγκατάθεση για όλους τους σκοπούς,
- η ανάκληση της συγκατάθεσης να μπορεί να γίνεται ευχερώς.
8) Έλεγχος αν υπάρχει ανάγκη υιοθέτησης μέτρων επαλήθευσης της ηλικίας των υποκειμένων των δεδομένων καθώς και μέτρων λήψης της συγκατάθεσης των γονέων ή κηδεμόνων για κάθε επεξεργασία δεδομένων παιδιών.9) Έλεγχος αν ήδη υφίστανται ή πρέπει να υιοθετηθούν κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων καθώς και κατάλληλες διαδικασίες για τον εντοπισμό και διερεύνηση των περιπτώσεων παραβίασης προσωπικών δεδομένων και τη γνωστοποίησή τους, ανάλογα με την περίπτωση παραβίασης, στην αρμόδια εποπτική αρχή ή και στο υποκείμενο των δεδομένων. Η επιβολή προστίμου ελλοχεύει ακριβώς στις περιπτώσεις παραβίασης προσωπικών δεδομένων που ο υπεύθυνος επεξεργασίας ήταν υποχρεωμένος να ανακοινώσει στο υποκείμενο ή στην αρμόδια εποπτική αρχή και παραταύτα παρέμεινε αδρανής. Επομένως, κάθε επιχείρηση οφείλει να καταρτίσει εκ των προτέρων σχέδιο αντιμετώπισης περιστατικών παραβίασης προσωπικών δεδομένων.Υιοθέτηση, ακόμη και από τις μικρομεσαίες επιχειρήσεις, της προστασίας της ιδιωτικότητας εξ ορισμού[1] (Privacy by Default) καθώς και εκ σχεδίου και δια σχεδιασμού[2] (Privacy by Design). Παραδείγματα ιδιωτικότητας εξ ορισμού:
- η ελαχιστοποίηση των υπό επεξεργασία δεδομένων ως προς τον όγκο τους καθώς και ως προς την ένταση και έκταση της επεξεργασίας και τη διάρκεια τήρησης αυτών,
- η παροχή στο χρήστη της δυναtότητας ο ίδιος ενεργά να προσδιορίζει την «ορατότητα» του προφίλ του.
Παραδείγματα της προστασίας εκ σχεδίου και δια σχεδιασμού (Privacy by Design) που αναφέρονται στο ίδιο το Προοίμιο του Κανονισμού:
- πάλι η ελαχιστοποίηση της επεξεργασίας δεδομένων,
- η ψευδωνυμοποίηση το συντομότερο δυνατόν,
- η διαφάνεια όσον αφορά την επεξεργασία, ώστε να μπορεί το υποκείμενο των δεδομένων να παρακολουθεί την επεξεργασία των δεδομένων του και να είναι σε θέση ο υπεύθυνος επεξεργασίας να δημιουργεί και να βελτιώνει τα χαρακτηριστικά ασφαλείας.
Υπογραμμίζουμε ωστόσο ότι η λήψη μέτρων προστασίας εκ σχεδίου και δια σχεδιασμού θα πρέπει να γίνεται λαμβάνοντας υπόψη όχι μόνο τις τελευταίες τεχνολογικές εξελίξεις αλλά και το κόστος εφαρμογής των μέτρων αυτών καθώς και την πιθανότητα και σοβαρότητα των κινδύνων που μπορεί να προκύψουν (risk assessment). Όπου απαιτείται από τον Κανονισμό, η επιχείρηση οφείλει να προχωρεί σε εκπόνηση εκτίμησης αντικτύπου στην προστασία των προσωπικών δεδομένων, τη γνωστή πλέον Data Protection Impact Assessement (DPIA). Επομένως κάθε επιχείρηση οφείλει να διερευνήσει
- αν της επιβάλλεται από τον Κανονισμό να εκπονήσει DPΙA (πχ. περιπτώσεις επεξεργασιών υψηλού κινδύνου),
- ποιος θα τη διενεργήσει και ποιοι ακόμη χρειάζεται να εμπλακούν (πχ. υπεύθυνος επεξεργασίας, χρήστες του συστήματος, ειδικοί νομικοί και πληροφορικοί),
- ποια θα είναι η μεθοδολογία και τα τεχνικά πρότυπα (πχ. ISOs) που θα ακολουθηθούν.
Μετά την εκπόνηση της DPIA η επιχείρηση συμμορφώνεται προς τις συστάσεις της και εφαρμόζει τα μέτρα προστασίας προσωπικών δεδομένων που προτείνει. Υπογραμμίζεται ότι σε κάθε περίπτωση και ανεξάρτητα από το αν η εκπόνηση DPIA είναι υποχρεωτική ή όχι, κάθε επιχείρηση είναι υποχρεωμένη να καταρτίσει και να υλοποιήσει σχέδιο ενεργειών συμμόρφωσης προς τον Κανονισμό, στο μέτρο που ο Κανονισμός την αφορά. 11) Ορισμός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer) στις περιπτώσεις που επιβάλλεται από τον Κανονισμό.[3] Πχ. σε μια επιχείρηση όπου η επεξεργασία προσωπικών δεδομένων γίνεται με σκοπό τη μισθοδοσία των εργαζομένων, η επεξεργασία δεδομένων θα μπορούσε να μην χαρακτηριστεί βασική δραστηριότητα του υπευθύνου ή του εκτελούντος την επεξεργασία αλλά παρεπόμενη ή βοηθητική, επομένως να μην απαιτείται διορισμός Υπεύθυνου Προστασίας Δεδομένων (ΥΠΟ). Αντίθετα, ακόμη και σε μικρές και μεσαίες επιχειρήσεις που παρέχουν ηλεκτρονικές επικοινωνίες ή προβαίνουν σε διαδικτυακή επεξεργασία δεδομένων με σκοπό την εμπορική προώθηση-διαφήμιση ή σε profiling, επιβάλλεται ο διορισμός ΥΠΟ. Σημειώνεται ότι ο ΥΠΟ μπορεί να είναι και εξωτερικός συνεργάτης με σύμβαση παροχής υπηρεσιών.Για τον προσδιορισμό της μεγάλης κλίμακας επεξεργασίας πρέπει να λαμβάνονται υπόψη: α) ο αριθμός των εμπλεκομένων υποκειμένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του πληθυσμού, β) ο όγκος και το εύρος των δεδομένων, γ) η διάρκεια ή ο μόνιμος χαρακτήρας της επεξεργασίας, δ) η γεωγραφική έκταση της επεξεργασίας.Ανεξάρτητα αν ο διορισμός ΥΠΟ είναι υποχρεωτικός ή προαιρετικός, η επιχείρηση οφείλει να ορίσει φυσικό πρόσωπο ή ομάδα προσώπων που να είναι αρμόδια για τη συμμόρφωση με τον Κανονισμό και να ενσωματώσει αυτή τη νέα αρμοδιότητα στη δομή και λειτουργία της. 12) Αν η επιχείρηση δραστηριοποιείται σε περισσότερα από ένα κράτη μέλη της Ευρωπαϊκής Ένωσης, υποχρεούται να αποφασίσει και να καταγράψει ποια είναι η επικεφαλής εποπτική της αρχή. Για τον καθορισμό της επικεφαλής εποπτικής αρχής το κριτήριο είναι πού βρίσκεται η κύρια ή η μόνη εγκατάσταση του υπευθύνου επεξεργασίας. Αν μια επιχείρηση δεν είναι σίγουρη για το πού βρίσκεται η κύρια εγκατάστασή της, τότε ενδείκνυται μέσω χαρτογράφησης να εντοπίσει τη χώρα όπου λαμβάνονται οι σημαντικότερες αποφάσεις αναφορικά με τις πράξεις επεξεργασίας προσωπικών δεδομένων ώστε βάσει αυτού του κριτηρίου να καθοριστεί η κύρια εγκατάστασή της. Ιδιαίτερη σημασία έχει ο σωστός καθορισμός της επικεφαλής εποπτικής αρχής όταν η επιχείρηση προβαίνει σε διασυνοριακή επεξεργασία προσωπικών δεδομένων πχ. διαβιβάσεις δεδομένων σε περισσότερες από μία χώρες της ΕΕ.Εν κατακλείδι, τα παραπάνω δώδεκα βήματα δεν είναι εξαντλητικά των ενεργειών στις οποίες οι μικρές και μεσαίες επιχειρήσεις οφείλουν ή ενδείκνυται να προβούν προκειμένου να συμμορφωθούν προς τον Κανονισμό. Εντούτοις, όπως επισημάνθηκε στην αρχή του άρθρου, συνιστούν έναν «οδικό χάρτη», ο οποίος, εφόσον κατά την εφαρμογή του ληφθούν υπόψη οι ιδιαιτερότητες και οι ειδικές ανάγκες της κάθε επιχείρησης και στο μέτρο που θα υλοποιηθεί, εξασφαλίζει στην επιχείρηση ομαλή προσαρμογή στις απαιτήσεις του Κανονισμού και επαρκές, βάσει του Κανονισμού, επίπεδο προστασίας προσωπικών δεδομένων.
———————–[1] Privacy by default: η επιταγή του Κανονισμού για διασφάλιση της πληροφορικής ιδιωτικότητας ως βασική και κατά κανόνα επιλογή ενός συστήματος ή μιας εφαρμογής.[2] Privacy by design: η επιταγή του Κανονισμού ο υπεύθυνος επεξεργασίας να λαμβάνει τόσο κατά το στάδιο του προσδιορισμού των μέσων επεξεργασίας όσο και κατά την επεξεργασία αυτή τα κατάλληλα τεχνικά και οργανωτικά μέτρα που έχουν σχεδιαστεί για την προστασία των δεδομένων καθώς και να ενσωματώνει τις απαραίτητες εγγυήσεις στην επεξεργασία.[3] Για τις ιδιωτικές επιχειρήσεις, μεγάλες αλλά και μεσαίες και μικρές, ο ορισμός ΥΠΟ είναι υποχρεωτικός όταν:•Απαιτείται τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα (π.χ. ασφαλιστικές ή τραπεζικές υπηρεσίες, υπηρεσίες τηλεφωνίας ή διαδικτύου, παροχή υπηρεσιών ασφαλείας, όλες οι μορφές παρακολούθησης και διαμόρφωσης «προφίλ» στο διαδίκτυο, όπως για σκοπούς συμπεριφορικής διαφήμισης).•Διενεργείται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων (πχ. επεξεργασία δεδομένων υγείας από νοσοκομεία και κλινικές) ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.Επισημαίνεται ότι το παρόν άρθρο εκφράζει προσωπικές απόψεις της γράφουσας και όχι της Αρχής Προστασίας Προσωπικών Δεδομένων της οποίας είναι τακτικό μέλος.
Πηγή: Taxheaven