GDPR – Πρακτικό σημείωμα – Ο Γ.Χριστόπουλος αύριο βράδυ στις ειδήσεις της ΕΡΤ για το General Data Protection Regulation
Το θέμα του νέου Ευρωπαϊκού Κανονισμού, γνωστού και με την ορολογία General Data Protection Regulation (GDPR) 679/2016, που ψηφίσθηκε από το Ευρωπαϊκό Κοινοβούλιο στις 16 Απριλίου 2016 και από τις 25 Μαΐου 2018, θα εφαρμόζεται ως νομοθέτημα από όλες τις χώρες μέλη της Ευρωπαϊκής Ένωσης, θίγει αύριο Κυριακή η ΕΡΤ 1, με ρεπορτάζ της έγκριτης δημοσιογράφου Χρύσας Παπασταύρου, στο βραδινό δελτίο ειδήσεων. Στο ρεπορτάζ φιλοξενείται μέρος των απόψεων του επιστημονικού συνεργάτη του κόμβου μας Γιώργου Χριστόπουλου. Προς χάριν του ενδιαφέροντος και της ενημέρωσης των συναδέλφων Λογιστών – Φοροτεχνικών, που ήδη άρχισαν να δέχονται ερωτήσεις από τους πελάτες τους – επιχειρήσεις σχετικά με τις υποχρεώσεις εφαρμογής του κανονισμού, δημοσιεύουμε το πρακτικό σημείωμα του. Στην ουσία τι επιδιώκει ο Κανονισμός για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα ;Έχει να κάνει με την προστασία των φυσικών προσώπων από την οποιαδήποτε επεξεργασία των δεδομένων προσωπικού χαρακτήρα και επίσης με την προστασία κατά την ελεύθερη κυκλοφορία των δεδομένων αυτών.Για το λόγο αυτό ο κανονισμός θα προβλέψει την εγγύηση όσον αφορά τα δικαιώματα των φυσικών προσώπων σχετικά με τα προσωπικά τους δεδομένα.Δηλαδή: • Πως θα γίνεται η ασφαλής επεξεργασία των προσωπικών τους δεδομένων,• Πως θα δεν θα δημιουργεί προβλήματα η ελεύθερη και ανεμπόδιστη κυκλοφορία και μεταβίβαση των προσωπικών τους δεδομένων εντός των ορίων της Ευρωπαϊκής Ένωσης• Πως θα εξασφαλίζεται όταν απαιτείται η διαβίβαση προσωπικών δεδομένων εκτός Ευρωπαϊκής Ένωσης.• Πως θα αντιμετωπίζεται δημοσίευση των περιστατικών διαρροής προσωπικών δεδομένων.• Ποιες περιπτώσεις θα συνιστούν κατά παράβαση του κανονισμού περιουσιακή ή και ηθική βλάβη, που προκλήθηκε σε φυσικό πρόσωπο και πότε και πως θα αποζημιώνονται τα Άτομα που υπέστησαν ζημιά.Έτσι θα μας πει εκ προοιμίου ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα θα πρέπει να προορίζεται να εξυπηρετεί τον άνθρωπο και ότι «Ο παρών κανονισμός σέβεται όλα τα θεμελιώδη δικαιώματα και τηρεί τις ελευθερίες και αρχές που αναγνωρίζονται στον Χάρτη όπως κατοχυρώνονται στις Συνθήκες, ιδίως τον σεβασμό της ιδιωτικής και οικογενειακής ζωής, της κατοικίας και των επικοινωνιών, την προστασία των δεδομένων προσωπικού χαρακτήρα, την ελευθερία σκέψης, συνείδησης και θρησκείας, την ελευθερία έκφρασης και πληροφόρησης, την επιχειρηματική ελευθερία, το δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου και την πολιτιστική, θρησκευτική και γλωσσική πολυμορφία». Κάθε οργανισμός που χειρίζεται προσωπικά δεδομένα τα οποία αφορούν σε άτομα εντός της Ευρωπαϊκής Ένωσης, θα είναι υποχρεωμένος να συμμορφωθεί πλήρως με το νέο κανονισμό. Δηλαδή να επανεξετάσει και να αναθεωρήσει όλες τις διαδικασίες διαχείρισης και επεξεργασίας των πληροφοριών του.Γίνεται επομένως ζητούμενο για τις ελληνικές επιχειρήσεις, καθώς αφενός θα πρέπει να ενημερωθούν έγκυρα για τις απαιτήσεις του νέου πλαισίου και αφετέρου να προετοιμασθούν για μια έγκαιρη συμμόρφωσή τους, μέσα στο σύντομο στάδιο μετάβασης από τις διατάξεις του Ν.2472/1997 που ισχύει σήμερα για την «ΠΡΟΣΤΑΣΙΑ ΤΟΥ ΑΤΟΜΟΥ ΑΠΟ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ», στις ρυθμίσεις του νέου Κανονισμού.Προς την κατεύθυνση αυτή πρέπει να προσθέσω ότι το όλο θέμα βρίσκεται στην επικαιρότητα και το ενδιαφέρον γίνεται όλο και πιο μεγάλο γιατί εκτός των νέων και πολλών απαιτήσεων του Κανονισμού GDPR, το όλο πλαίσιο είναι πολύ πιο αυστηρό, σε σχέση με το προηγούμενο, αφού τα διοικητικά πρόστιμα για μη συμμόρφωση της επιχείρησης-οργανισμού φθάνουν στο 4% του ετήσιου κύκλου εργασιών και μέχρι το ποσό των 20 εκατ. ευρώ.Τι πρέπει να κάνει επομένως η κάθε επιχείρηση και ιδίως ο λογιστής – φοροτεχνικός της που θα κληθεί να απαντήσει στα ερωτήματα που ήδη του υποβάλλονται;• Να επιδιώξει κατ’ αρχή μια γνωριμία με τον Γενικό Κανονισμό GDPR για να ενημερωθεί πάνω στις βασικές αρχές και απαιτήσεις του GDPR ( Γνωριμία του αντικείμενου και των βασικών χαρακτηριστικών του κανονισμού , ποιο είναι το θεσμικό πλαίσιο εφαρμογής του και οι λόγοι που δημιουργήθηκε ο κανονισμός.• Να ενημερωθεί για τους νόμους περί προστασίας δεδομένων (για το ισχύον εθνικό και ευρωπαϊκό πλαίσιο – βασικοί ευρωπαϊκοί νόμοι και ρυθμιστικοί κανόνες για την προστασία των δεδομένων – θεμελιώδεις αρχές για τη νομιμότητα κάθε επεξεργασίας –το κρίσιμο ζήτημα της συγκατάθεσης του υποκειμένου των δεδομένων- τα δικαιώματα του υποκειμένου- η προστασία των παιδιών, κλπ) • Να ενημερωθεί σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα (αρχές επεξεργασίας δεδομένων και επεξεργασίας με βάση τον νέο Ευρωπαϊκό Κανονισμό, νόμιμες βάσεις για την επεξεργασία προσωπικών δεδομένων κλπ)• Να ενημερωθεί για τα δικαιώματα των φυσικών προσώπων σχετικά με τα δεδομένα τους. ( δικαιώματα των υποκειμένων των δεδομένων, εφαρμογές των δικαιωμάτων και υποχρεώσεις του υπεύθυνου επεξεργασίας και του βοηθού).• Να ενημερωθεί για την ασφάλεια επεξεργασίας ( διασφάλιση των προσωπικών δεδομένων και ειδοποίηση για παραβιάσεις δεδομένων).• Να ενημερωθεί για τις διεθνείς μεταφορές δεδομένων ( επιλογές και υποχρεώσεις μεταφοράς δεδομένων εκτός του Ευρωπαϊκού Οικονομικού Χώρου, συμπεριλαμβανομένων των αποφάσεων επάρκειας και των κατάλληλων διασφαλίσεων και παρεκκλίσεων).• Να ενημερωθεί για την εποπτεία και επιβολή (εξουσίες και διαδικασίες των εποπτικών αρχών. Σύνθεση και τα καθήκοντα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Ο ρόλος του Ευρωπαίου Επόπτη Προστασίας Δεδομένων και διορθωτικά μέτρα, υποχρεώσεις και κυρώσεις για μη συμμόρφωση).• Να δει πως θα εφαρμόσει τον ρόλο του Υπεύθυνου Προστασίας Προσωπικών Δεδομένων και του βοηθού Επεξεργασίας ( Ο κανονισμός περιγράφει τους ρόλους και τις σχέσεις των υπευθύνων επεξεργασίας και των βοηθών. Το καθεστώς του ΥΠΔ, την θέση του στον φορέα που υπηρετεί καθώς και τα καθήκοντα και τις αρμοδιότητες του).• Τέλος να κάνει τις απαιτούμενες αλλαγές στην εταιρία ( Τα πρώτα βήματα για την συμμόρφωση της επιχείρησης – τα τεχνικά μέτρα για την υλοποίηση – την ασφάλεια δικτύων – τη διαχείριση περιστατικών ασφαλείας – ψηφιακές αποδείξεις – καθώς και τη δημιουργία σχεδίου δράσης για την εφαρμογή του με περιγραφή των διαδικασιών που πρέπει να εφαρμοστούν και πώς να συνδυαστούν με τις υφιστάμενες).Χαμηλό το επίπεδο ετοιμότητας των ελληνικών επιχειρήσεων:Ωστόσο σύμφωνα με ρεπορτάζ της «Καθημερινής» (βλ. Τρίτη 13 Φεβρουαρίου 2018, http://www.kathimerini.gr/948480/article/oikonomia/), που επικαλείται αποκαλυπτικά συμπεράσματα της έρευνας που πραγματοποίησε η Icap σε δείγμα 210 επιχειρήσεων διαφόρων μεγεθών και κλάδων (μεταποίηση, εμπόριο, τουρισμός και άλλες υπηρεσίες), είναι χαμηλό το επίπεδο ετοιμότητας των ελληνικών επιχειρήσεων σε ό,τι αφορά τη συμμόρφωση με τον νέο Γενικό Κανονισμό για την Προστασία Δεδομένων. Αν και οι επιχειρήσεις σε σημαντικό ποσοστό, της τάξης του 75%, δηλώνουν ότι έχουν γνώση του νέου κανονισμού με το ποσοστό αυτό να είναι ακόμη υψηλότερο στις μεγάλες εταιρείες, μόλις το 19,7% γνωρίζει το επίπεδο συμμόρφωσης της επιχείρησης με τις απαιτήσεις του GDPR.e-mail: [email protected]