2016/679 GDPR E.E.: Όταν τα πρόστιμα δεν αφήνουν περιθώριο

Γράφει η Όλγα Ν. Τσιπτσέ

Δικηγόρος παρ’ Αρείω Πάγω / Διαπ. Διαμεσολαβήτρια ΥΔΔΑΔ / D.P.O. exec. GDPR expert.

http://gdpr.thesan.ventures/

Σε περίπου ένα μήνα, λήγει η 2ετής προθεσμία, που άφησε στα κράτη μέλη της η Ευρωπαϊκή Ένωση, προκειμένου αυτά να προετοιμαστούν κατάλληλα και να συμμορφωθούν με τον Νέο ΕΕ Γενικό Κανονισμό GDPR 2016/679.

Στις 25-05-2018 κορυφώνεται, λοιπόν, η φρενίτιδα που έχει κατακλύσει τους τελευταίους 4 μήνες, από αρχές έτους, ιδιωτικές επιχειρήσεις ΚΑΙ δημόσιο, καθώς τώρα μόλις συνειδητοποιούν, ότι βρίσκονται προ των πυλών υπέρογκων προστίμων για την μη συμμόρφωσή τους προς τον Νέο αυτό ΕΕ Γενικό Κανονισμό!

Και προς τι τόσος λόγος; Η αιτία είναι, η προστασία των, ευρύτατων πλέον ως έννοια, Προσωπικών Δεδομένων. Τι κι αν υπάρχει προστασία στο Σύνταγμα στο άρθρο 9^Α, τι κι αν υπάρχει ήδη εδώ και 20+ χρόνια ο νόμος για την προστασία των προσωπικών δεδομένων, ο Ν. 2472/97; Η ροή των δεδομένων αυτών γίνεται σε τέτοιο βαθμό, που πλέον κατέστησαν απαραίτητο ένα τόσο ευρύ και τόσο αυστηρό, για όλη την Ευρώπη, Κανονιστικό Πλαίσιο που ενισχύει στο έπακρο την προστασία τους.

Όταν μιλούμε για προσωπικά δεδομένα ξεκινούμε από το πιο απλό, όπως το ονοματεπώνυμο, η διεύθυνση ηλεκτρονικού ταχυδρομείου, η πινακίδα του οχήματός μας, και φθάνουμε ως τα ειδικά ή άλλως ευαίσθητα δεδομένα που αγγίζουν τις πιο σύνθετες εκφάνσεις μίας προσωπικότητας ενός Φυσικού και Ζώντος Ατόμου, όπως οι θρησκευτικές και πολιτικές πεποιθήσεις, η καταγωγή, οι σεξουαλικές προτιμήσεις, τα γενετικά και βιομετρικά δεδομένα κ.α. Η έννοια λοιπόν ενός δεδομένου ως προσωπικού έχει απολύτως διευρυνθεί με το νέο Κανονισμό, και αυτό κάνει πιο δύσκολη τη δουλειά των επιχειρήσεων, ώστε να μη παραβιάσουν το νομοθέτημα που απλώνεται στην Ευρώπη.

Όλοι λοιπόν οι οργανισμοί, δημόσιοι και ιδιωτικοί, που συλλέγουν και επεξεργάζονται δεδομένα ατόμων, πρέπει κατ’ αρχάς να συμμορφωθούν με τον νέο Κανονισμό ΠΡΙΝ τις 25-05-2018 ή τουλάχιστο να έχουν ξεκινήσει τη συμμόρφωση μέσω Ειδικών Συμβούλων, να έχουν απευθυνθεί δηλαδή στους ειδικούς, οι οποίοι με συγκεκριμένες κινήσεις θα ενημερώσουν και εκπαιδεύσουν τους οργανισμούς αυτούς, θα χαρτογραφήσουν τις επιχειρήσεις και θα βρουν τα κενά ώστε να προτείνουν τις λύσεις για να είναι συμβατοί οι οργανισμοί με τον Κανονισμό, θα έχουν ελέγξει -αλλάξει –συμπληρώσει –διορθώσει τις συμβάσεις, ρήτρες, πολιτικές κλπ των οργανισμών, θα κρατούν Αρχείο Δραστηριοτήτων, θα κάνουν δηλαδή ό,τι χρειάζεται και επιβάλλεται στο νέο νομοθέτημα.

Αυτά όλα πρέπει να έχουν γίνει ή να έχουν τουλάχιστο ξεκινήσει μέχρι τις 25-05-2018. Μέχρι τώρα όμως υπάρχει άγνοια, σε πάνω από 65% των οργανισμών και ακόμη και όταν υπάρχει γνώση, αυτή είναι ελλιπής και περιορισμένη. Και φυσικά αυτοί που έχουν αρχίσει να μαθαίνουν δε το κάνουν για να βελτιώσουν την κολτούρα τους, ή να δημιουργήσουν ανταγωνιστικό πλεονέκτημα της επιχείρησής τους και να εναρμονιστούν με τα ευρωπαϊκά πρότυπα, ανεβάζοντας την ποιότητα και την κατηγορία των παροχών τους, αλλά γιατί έχει πέσει ως κεραυνός εν αιθρία το άκουσμα μόνο των υπέρογκων προστίμων που θα επιβάλλονται στους οργανισμούς ιδιωτικούς και δημόσιους, στην περίπτωση που δε θα τηρούνται οι όροι των διατάξεων του Κανονισμού. Και τα πρόστιμα αυτά θα είναι εναρμονισμένα σε όλη την Ευρώπη και θα ξεκινούν για κάποιες περιπτώσεις παραβιάσεων από τα 10.000.000 ευρώ ή 2 % του παγκόσμιου ετήσιου τζίρου της προηγούμενης χρονιάς και θα φθάνουν τα 20.000.000 ευρώ ή 4% του εν λόγω τζίρου. Η επιλογή έχει να κάνει με το ότι θα προτιμάται ΑΥΤΟ ΠΟΥ ΕΙΝΑΙ ΥΨΗΛΟΤΕΡΟ!

«Μα, έχω μια μικρή ατομική επιχείρηση, δεν έχω προσωπικό δε με αφορά ο Κανονισμός» : συνηθισμένο ΣΦΑΛΜΑ καθώς οι επιχειρήσεις δεν εξετάζονται ως προς το οικονομικό τους μέγεθος αλλά ως προς το αν και σε ποιο βαθμό και πόσο συστηματικά συλλέγουν και επεξεργάζονται μέχρι ακόμη και καταστρέφουν δεδομένα. Άρα, και μια ατομική επιχείρηση ενός ατόμου που όμως επεξεργάζεται προσωπικά δεδομένα, κινδυνεύει.

«Α, εγώ δε θα κάνω κάτι από τώρα, θα περιμένω να δω τι θα γίνει και μάλλον είναι φούσκα και θα σκάσει» : ακόμη πιο συνηθισμένο ΣΦΑΛΜΑ. Ο Κανονισμός ΔΕΝ ΕΙΝΑΙ ΦΟΥΣΚΑ δε θα σκάσει, είναι ΑΜΕΣΑ ΕΦΑΡΜΟΣΤΟΣ μετά την 25^η Μάη 2018 και αν περιμένουμε να δούμε, ίσως θα είναι το μοιραίο χτύπημα καθώς το πρόστιμο δε θα επιτρέψει μία επιχείρηση να συνεχίσει τη δραστηριότητά της.

ΝΟΜΙΚΗ ΑΝΤΙΜΕΤΩΠΙΣΗ

Ο Κανονισμός στην ουσία είναι ένα νομοθέτημα. Μπορεί να ερμηνευθεί από Νομικούς αλλά λόγω των τεχνικών στοιχείων που έχει, η ομάδα που θα αναλάβει τη συμμόρφωση ενός οργανισμού πρέπει να μην αποτελείται μόνο από Νομικό αλλά και από Πληροφορικό.

Παραμένει, όμως ένα Νομικό Κείμενο, που θα αναλυθεί με τον πιο σίγουρο τρόπο από Νομικούς που έχουν σχετική εμπειρία και γνώση για την αντιμετώπιση του πιο δύσκολου, καινοτόμου και χαώδους Νομοθετήματος που έχει αντιμετωπισθεί ποτέ στην Ελλάδα!

Πέρα από τα πρόστιμα που απειλούν τους οργανισμούς και που ΔΕ θα έπρεπε να είναι το μοναδικό κίνητρο των επιχειρήσεων για την ενασχόλησή τους με τον Κανονισμό, υπάρχει και το ΥΣΤΕΡΑ. Ένα ύστερα που ξεκινά μετά την επιβολή ενός βαρύτατου προστίμου.

Τα πρόστιμα αναλυτικά είναι τα εξής:

Οι παραβάσεις των υποχρεώσεων των υπευθύνων επεξεργασίας και των εκτελούντων επεξεργασία, επισύρουν πρόστιμα έως 10.000.000 € ή σε περίπτωση επιχειρήσεων έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (όποιο είναι υψηλότερο). Ακόμη και η απουσία των κατάλληλων οργανωτικών μέτρων για συμμόρφωση με τον Κανονισμό, δύναται να επισύρει το εν λόγω πρόστιμο, χωρίς καν να υφίσταται περίπτωση παράβασης.

Τα βαρύτερα πρόστιμα αφορούν σε παραβάσεις σε βάρος των δικαιωμάτων των υποκειμένων των δεδομένων (όπως είναι το δικαίωμα στη διόρθωση των δεδομένων υποκειμένου, πρόσβασης, διαγραφής, μεταφοράς σε άλλο οργανισμό κα.), των βασικών αρχών για την επεξεργασία (όπως είναι της νομιμότητας, της αντικειμενικότητας, της διαφάνειας, του περιορισμού συλλογής και χρόνου διατήρησης των προσωπικών δεδομένων, της λογοδοσίας κ.α.), της διαβίβασης δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό και τη μη συμμόρφωση προς εντολή ή προς προσωρινό ή οριστικό περιορισμό της επεξεργασίας ή προς αναστολή της κυκλοφορίας δεδομένων που επιβάλλει η εποπτική αρχή ή μη παροχή πρόσβασης. Στις περιπτώσεις αυτές επιβάλλονται διοικητικά πρόστιμα έως 20.000.000 € ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

Τα ανωτέρω πρόστιμα επιβάλλονται από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) αρμόδια και ανεξάρτητη αρχή που εδρεύει στην Αθήνα αλλά έχει ελεγκτές ανά τη Ελλάδα. Πρόκειται για Διοικητικά πρόστιμα μετά από έλεγχο καταγγελίας.

Ο μόνος τρόπος προσβολής, πιθανής. των προστίμων αυτών, στην περίπτωση που αποδειχθεί, ότι το πρόστιμο επεβλήθη κακώς ή είναι υπέρογκο, είναι η Προσφυγή στα αρμόδια Διοικητικά Δικαστήρια. Η διαδικασία όμως αυτή είναι κοστοβόρρα και χρονοβόρρα και το αποτέλεσμα αβέβαιο, ενώ ο χειρισμός τέτοιων υποθέσεων απαιτεί εξειδίκευση και γνώση βαθειά του αντικειμένου.

Κατά συνέπεια, αυτό που πρέπει να γίνει τώρα, είναι, μέσω της πρόληψης των ανωτέρω προστίμων, η κατάλληλη για τον κάθε οργανισμό εξατομικευμένη διαδικασία συμμόρφωσης με αυτά που επιτάσσει ο Κανονισμός, και όχι η θεραπεία με τρόπους που θα επιβαρύνουν ακόμη περισσότερο τις επιχειρήσεις χωρίς βέβαιο αποτέλεσμα.

Χρειάζεται να αλλάξει ο τρόπος λειτουργίας και η κολτούρα των επιχειρήσεων, ΟΧΙ ΜΟΝΟ γιατί απειλούνται υπέρογκα πρόστιμα αλλά ΓΙΑΤΙ ήρθε η ώρα για ένα ολοκληρωτικό συμμάζεμα που θα οδηγήσει στο συγκριτικό πλεονέκτημα των επιχειρήσεων.

http://gdpr.thesan.ventures/

Νεότερη ανάρτηση Παλαιότερη Ανάρτηση