Οδηγίες προς ναυτιλλομένους στη… φουρτούνα του GDPR

Από Ν. ΤE 17:33 - 25/05/2018 Τελευταία Ενημέρωση 23:55 - 25/05/2018

Στη χώρα του αιώνιου…. παρά πέντε βρισκόμαστε σε πανικό, καθώς την Παρασκευή 25 Μαΐου εξέπνευσε η προθεσμία για τη συμμόρφωση με τον ευρωπαϊκό κανονισμό για την Προστασία των Δεδομένων (General Data Protection Regulation – GDPR) και η Ελλάδα δεν έχει συμμορφωθεί –τι πρωτότυπο…– εγκαίρως ενσωματώνοντας τον σχετικό κανονισμό στην εθνική νομοθεσία.

Του Νίκου Τσαγκατάκη

Φυσικά δεν είμαστε οι μόνοι «ανυπότακτοι Γαλάτες», καθώς και άλλα 7 κράτη-μέλη (Βέλγιο, Βουλγαρία, Κύπρος, Τσεχία, Ουγγαρία, Λιθουανία και Σλοβενία) έχουν το ίδιο πρόβλημα, παρ’ ότι υπήρχε η προθεσμία εδώ και δύο έτη, με αποτέλεσμα μέχρι να ενσωματωθεί ο κανονισμός στην εθνική νομοθεσία, δεν θα μπορούν να επιβληθούν στις υπόχρεες επιχειρήσεις ποινές και πρόστιμα για μη συμμόρφωση με τον ευρωπαϊκό κανονισμό από την Αρχή Προστασία Προσωπικών Δεδομένων.

Πού εφαρμόζεται

Ο Κανονισμός αποτελεί το νέο ενιαίο και άμεσα εφαρμόσιμο νομικό πλαίσιο που ρυθμίζει την επεξεργασία δεδομένων προσωπικού χαρακτήρα ατόμων που βρίσκονται στην Ευρωπαϊκή Ένωση, από άλλα άτομα, εταιρείες ή οργανισμούς, δεν αφορά πρόσωπα που έχουν αποβιώσει ή νομικά πρόσωπα και δεν εφαρμόζεται στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας. Με λίγα λόγια, ο GDPR εφαρμόζεται στην αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης για εμπορικούς σκοπούς. Αφορά δηλαδή σε πελάτες, προμηθευτές αλλά και υπαλλήλους μιας επιχείρησης.

Ως προσωπικά δεδομένα θεωρούνται τα στοιχεία ταυτότητας, η διεύθυνση, το e–mail, το τηλέφωνο και το επάγγελμα, και ως ευαίσθητα προσωπικά δεδομένα το φύλο, η υγεία, οι σεξουαλικές προτιμήσεις, οι συνδικαλιστικές ή πολιτικές πεποιθήσεις, το ποινικό ιστορικό και το εισόδημα, καθώς επίσης και όσα συνθέτουν την κοινωνική ταυτότητα και είναι γενετικού, οικονομικού και πολιτισμικού χαρακτήρα.

«Κλειδί» η ρητή συγκατάθεση

Η βασική ρύθμιση προβλέπει ότι οι εταιρείες θα πρέπει να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα με νόμιμο και διαφανή τρόπο και να τα συλλέγουν για συγκεκριμένους, ρητούς και νόμιμους σκοπούς, χωρίς να τα επεξεργάζονται για άλλους σκοπούς. Επιπλέον, οφείλουν, βάσει του κανονισμού, να συλλέγουν και να επεξεργάζονται μόνο τα συναφή και αναγκαία δεδομένα προσωπικού χαρακτήρα για κάθε περίπτωση και να είναι σε θέση να διαγράψουν ή να διορθώσουν ανακριβή δεδομένα προσωπικού χαρακτήρα όταν απαιτηθεί.

Σημαντική είναι η διατήρηση των δεδομένων μόνο για το απολύτως αναγκαίο διάστημα και η διασφάλισή τους από μη εξουσιοδοτημένες ή παράνομες επεξεργασίες και τυχόν απώλειες, καταστροφές ή φθορές. Αυτό δημιουργεί στις επιχειρήσεις την υποχρέωση να μπορούν να αποδείξουν ότι ο πολίτης έδωσε την ρητή συγκατάθεσή του στην επεξεργασία των δεδομένων του και ότι εύκολα μπορεί να την ανακαλέσει, ενημερώνοντας τον για ποια αιτία και για πόσο διάστημα ζητούνται τα δεδομένα, ποιοι θα έχουν πρόσβαση σε αυτά και πώς ο πολίτης θα έχει πρόσβαση στα στοιχεία που τηρεί η εταιρεία.

Αλαλούμ στον εμπορικό κόσμο

Ο κανονισμός 2016/679 έχει ευρύτατο πεδίο εφαρμογής ειδικά στον δημόσιο τομέα (εκπαίδευση, υγεία κτλ.), ωστόσο στον εμπορικό τομέα αναμένεται να δημιουργηθούν τα μεγαλύτερα ζητήματα μέχρι να γίνει κατανοητή και να ομαλοποιηθεί η εφαρμογή του, καθώς η μη συμμόρφωση με τον κανονισμό επιφέρει πρόστιμα έως 20 εκατ. ευρώ ή στο 4% του συνολικού ετήσιου τζίρου της επιχείρησης.

Το μεγαλύτερο πρόβλημα θα έχουν επιχειρήσεις που παρέχουν υπηρεσίες τηλεφωνικών πωλήσεων, προώθησης προϊόντων και απαίτησης οφειλών, ενώ ακόμα και οι προωθητικές ενέργειες μέσω e–mail απαιτούν στο εξής τη συγκατάθεση των ληπτών. Προκειμένου να μην παραβιαστεί ο Κανονισμός, η φράση-κλειδί που επιτρέπει πλέον την αποστολή e-mail είναι η εξής: «Ο παραλήπτης έχει επιβεβαιώσει ρητά ότι θέλει να λαμβάνει τη συγκεκριμένη πληροφορία», καθώς μόνο η ρητή συγκατάθεση συγχωρείται από τον νόμο. Δειγματοληπτικά αναφέρονται παραδείγματα επαγγελματιών που οφείλουν να συμμορφωθούν:

Ιατρός – Επαγγέλματα Υγείας, οι οποίοι μάλιστα επεξεργάζονται ευαίσθητα προσωπικά δεδομένα.
ΝΠΔΔ – σύλλογος (Υποχρεωτικά και διορισμός DPO).
Παιδικός σταθμός που συλλέγει μάλιστα δεδομένα προσωπικού χαρακτήρα ανηλίκου (π.χ. ηλικίες 2-5 ετών.
Web Site – eshop το οποίο συλλέγει δεδομένα προσωπικού χαρακτήρα και πιθανώς να καταρτίζει προφίλ των μελών. Ακόμη και εάν η συλλογή είναι απαραίτητη προς την εκπλήρωση των συμβατικών υποχρεώσεων προς τον αγοραστή (σχέση πωλητή – αγοραστή), ο ιστότοπος οφείλει να ενημερώσει το μέλος – επισκέπτη (ή αγοραστή) για τα δικαιώματά του και να του παράσχει τις εγγυήσεις για την ασφάλεια και το απόρρητο των δεδομένων που τον αφορούν.
Κατάστημα λιανικής πώλησης, το οποίο μάλιστα συλλέγει πληροφορίες από το πελατολόγιο με σκοπό μελλοντικές προωθητικές ενέργειες.
Γυμναστήριο, το οποίο συλλέγει δεδομένα προσωπικού χαρακτήρα των μελών του και πιθανότατα επεξεργάζεται και «ευαίσθητα» δεδομένα με σκοπό δημιουργίας «σωματικού» προφίλ για δημιουργία προγράμματος εκγύμνασης.
Παιδότοπος, ο οποίος εκτός των απαραίτητων πληροφοριών που συλλέγει για τα ανήλικα (όνομα επίθετο κ.λπ.) πιθανότατα να προβαίνει σε τακτική και συστηματική παρακολούθησή τους (π.χ. με σταθερή παρακολούθηση μέσω κάμερας ή/και WebCam).
Φροντιστήριο μέσης εκπαίδευσης – ξένων γλωσσών, το οποίο συλλέγει δεδομένα προσωπικού χαρακτήρα ανήλικων μαθητών, πιθανότατα δε και για ηλικίες μικρότερες των 15-16 ετών.

ΣΤΟΝ ΕΜΠΟΡΙΚΟ ΤΟΜΕΑ ΑΝΑΜΕΝΕΤΑΙ ΝΑ ΔΗΜΙΟΥΡΓΗΘΟΥΝ ΤΑ ΜΕΓΑΛΥΤΕΡΑ ΖΗΤΗΜΑΤΑ ΜΕΧΡΙ ΝΑ ΓΙΝΕΙ ΚΑΤΑΝΟΗΤΗ ΚΑΙ ΝΑ ΟΜΑΛΟΠΟΙΗΘΕΙ Η ΕΦΑΡΜΟΓΗ ΤΟΥ, ΚΑΘΩΣ Η ΜΗ ΣΥΜΜΟΡΦΩΣΗ
ΜΕ ΤΟΝ ΚΑΝΟΝΙΣΜΟ ΕΠΙΦΕΡΕΙ ΠΡΟΣΤΙΜΑ ΕΩΣ 20 ΕΚΑΤ. ΕΥΡΩ Η ΣΤΟ 4% ΤΟΥ ΣΥΝΟΛΙΚΟΥ ΕΤΗΣΙΟΥ ΤΖΙΡΟΥ ΤΗΣ ΕΠΙΧΕΙΡΗΣΗΣ

GDPR Επιχειρήσεις