Από χθες εφαρμόζεται ο Γενικός Κανονισμός προστασίας Προσωπικών Δεδομένων σύμφωνα με την Ε.Ε. κάτι που φυσικά αποδέχθηκε και η Ελλάδα μη μπορώντας να κάνει κάτι διαφορετικό. Το θέμα πλέον από εδώ και πέρα μετά και το “φιάσκο” της κυβέρνησης να δημοσιοποιήσει “άθελα” της, εμείς θα λέγαμε λόγω ανικανότητας να αντιληφθεί το όλο θέμα, προσωπικά δεδομένα, είναι κατά πόσον οι Έλληνες πολίτες μπορεί να αισθάνονται ασφαλείς με ένα κράτος μπάχαλο και ένα δημόσιο ξέφραγο αμπέλι. Κρατάμε στα αρχεία μας χώρο τήρησης αρχείων με ευαίσθητα προσωπικά δεδομένα από μεγάλο νοσοκομείο της Θράκης όπου η πόρτα ορθάνοιχτη, το νοσοκομείο άδειο και όποιος ήθελε μπορούσε να ψάξει με την άνεση του όποιον φάκελο ασθενή επιθυμούσε χωρίς κανένας να τον ελέγξει.
Είναι βέβαιο ότι οι ιδιωτικές επιχειρήσεις θα είναι εν τάξη με τον κανονισμό. Το Ελληνικό Δημόσιο όμως;
Τι πρέπει να γνωρίζουμε για το δικαίωμά μας στην προστασία της ιδιωτικότητας. Πώς θα προστατεύσουν τα προσωπικά δεδομένα οι επιχειρήσεις
«Είναι τα προσωπικά δεδομένα σας. Πάρτε στα χέρια σας τον έλεγχό τους». Αυτή είναι η γενική αρχή που ορίζει η Ε.Ε. μέσω του Γενικού Κανονισμού προστασίας Προσωπικών Δεδομένων (ΓΚΠΔ) που ψηφίστηκε το 2016 και μετά από δύο χρόνια προσαρμογής σήμερα είναι η πρώτη μέρα εφαρμογής του σ’ όλες τις χώρες της Ε.Ε. μεταξύ των οποίων και στην χώρα μας. Ουσιαστικά με τον Κανονισμό προασπίζεται το δικαίωμα της ιδιωτικότητας των ευρωπαίων πολιτών που είχε κατοχυρωθεί με νόμο από το 1997 και προβλέπονται βαριές ποινές για τις εταιρείες και τους δημόσιους φορείς που θα τους παραβιάσουν. Το πρόστιμο μπορεί να φθάσει το 4% των ετήσιων εσόδων μιας εταιρείας και έως και 20 εκ. ευρώ! Ζητούμενο βέβαια είναι το κατά πόσο είναι έτοιμη η χώρα μας να τον εφαρμόσει σ’ όλο το φάσμα του δημόσιου και του ιδιωτικού τομέα με δεδομένο ότι δεν έχουν διαμορφωθεί μέχρι σήμερα οι κατάλληλες πολιτικές που θα διασφαλίσουν την προστασία των προσωπικών δεδομένων των φυσικών προσώπων.
Τι αλλάζει από σήμερα
Το ηλεκτρονικό τοπίο μέχρι και χθες ήταν τελείως άναρχο. Ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου. Δεκάδες διαφημίσεις στα μέσα κοινωνικής δικτύωσης που «ακολουθούν» τον κάθε πολίτη, μόνο και μόνο επειδή επέλεξε μια αγορά μέσω διαδικτύου. Εταιρείες λιανικού εμπορίου ή ταξιδίων που αποστέλλουν μαζικά email σε ανθρώπους που κάποτε έγραψαν την ηλεκτρονική τους διεύθυνση σε μια απόδειξη παραλαβής ή έκλεισαν ξενοδοχείο σε κάποιον προορισμό. Από χθες όμως κάτι άρχισε ν’ αλλάζει. Όσοι έχουμε e – mail, ή προφίλ σε Μέσα κοινωνικής δικτύωσης λαμβάνουμε ειδοποιήσεις από επιχειρήσεις που έχουμε συναλλαγές (e – αγορές) ή σελίδες που έχουμε επισκεφτεί οι οποίες μας ζητούν τη συναίνεσή μας μέσω της συμπλήρωσης μια φόρμας για να συνεχίσουν το ηλεκτρονικό μας αλησβερίσι ή απλά προβαίνουν στην επισήμανση τύπου: «Θυμηθείτε: Για να συνεχίσετε να λαμβάνετε τις ενημερώσεις μας μετά τις 25 Μαΐου θα πρέπει να το δηλώσετε, πατώντας τον παρακάτω σύνδεσμο (και μπορείτε πάντα να αναθεωρήσετε την επιλογή σας)», ζητώντας έτσι την ενεργή συγκατάθεσή μας. Αυτό συμβαίνει για πρώτη φορά και είναι αποτέλεσμα της επικείμενης εφαρμογής του Κανονισμού και εντάσσεται στο πλαίσιο της συμμόρφωσης των επιχειρήσεων στα όσα ο Κανονισμός ορίζει. Έτσι περισσότεροι από 500 εκατομμύρια άνθρωποι που για οποιονδήποτε λόγο βλέπουν εταιρείες στο διαδίκτυο να διαχειρίζονται τα προσωπικά τους δεδομένα για εμπορικούς λόγους, θα πρέπει να αισθάνονται περισσότερο ασφαλείς.
Τι πρέπει να γνωρίζουμε
Όλοι οι Ευρωπαίοι πολίτες θα έχουν το δικαίωμα να λαμβάνουν σαφείς και κατανοητές πληροφορίες για το ποιός επεξεργάζεται τα προσωπικά δεδομένα τους και γιατί. Θα μπορούν να ζητούν από όλες τις εταιρείες να έχουν οι ίδιοι πρόσβαση και να μαθαίνουν ποιά ακριβώς στοιχεία οι εταιρείες διατηρούν γι’ αυτούς.
Θα έχουν επίσης το δικαίωμα στη «λήθη», δηλαδή, αν θέλουν, θα απαιτούν αυτά τα δεδομένα να διαγραφούν από τις βάσεις δεδομένων των εταιρειών. Αυτό δεν θα αφορά μόνο τις εταιρείες τεχνολογίας (π.χ. Facebook ή Google), αλλά τράπεζες, καταστήματα λιανεμπορίου και οποιαδήποτε άλλη εταιρεία ή οργανισμό κρατά προσωπικά δεδομένα, του εργοδότη συμπεριλαμβανομένου.
Για παράδειγμα, θα μπορεί κανείς, αν δεν είναι δημόσιο πρόσωπο, να ζητήσει από μία μηχανή αναζήτησης (π.χ. Google) να διαγράψει τους συνδέσμους (links), όπως ένα άρθρο εφημερίδας, που αναφέρονται σε μια προσωπική υπόθεση του παρελθόντος.
Αν, αντίστροφα, προσωπικά δεδομένα χαθούν ή κλαπούν, η εταιρεία πρέπει μέσα σε 72 ώρες να ενημερώσει το άτομο και, αν δεν το κάνει, κινδυνεύει με πρόστιμο. Εάν κάποιος έχει υποστεί ζημία, μπορεί επίσης να ζητήσει αποζημίωση προσφεύγοντας στη δικαιοσύνη. Με δεδομένες τις συχνές κυβερνοεπιθέσεις χάκερ κατά εταιρειών, γίνεται αντιληπτή η σημασία αυτού του δικαιώματος.
Αν ο χρήστης-πολίτης υποψιάζεται ότι γίνεται κατάχρηση στη συλλογή δεδομένων που τον αφορούν, μπορεί να προσφύγει στην αρμόδια εθνική αρχή προστασίας προσωπικών δεδομένων, η οποία υποχρεούται να ερευνήσει το ζήτημα. Οι πολίτες μπορούν να προσφύγουν και ομαδικά εναντίον κάποιας εταιρείας, κάτι που έως τώρα ήταν ασυνήθιστο στην Ευρώπη, αντίθετα με τις ΗΠΑ.
Οργανώσεις πολιτών μπορούν να προσφύγουν για λογαριασμό ομάδων πολιτών. Αν μία υπόθεση κερδηθεί, αναμένεται να δημιουργηθεί νομικό προηγούμενο και για άλλες υποθέσεις, κάτι που θα αναγκάσει τις εταιρείες να πάρουν το ζήτημα της ιδιωτικότητας πιο σοβαρά.
Επίσης, δίνεται το δικαίωμα της «φορητότητας δεδομένων», δηλαδή δεν θα επιτρέπεται τα δεδομένα ενός προσώπου να «κλειδώνονται» σε μια εταιρεία ή πάροχο υπηρεσιών. Οι εταιρείες είναι υποχρεωμένες να επιτρέπουν στο χρήστη-καταναλωτή να «κατεβάζει» τα προσωπικά δεδομένα του και να τα μεταφέρει σε ανταγωνιστική εταιρεία, είτε πρόκειται για οικονομικά στοιχεία από τράπεζα σε τράπεζα, είτε για τη μεταφορά μιας playlist τραγουδιών από το Spotify σε ανταγωνιστική μουσική υπηρεσία streaming.
“Μπάχαλο” στην Δημόσια Διοίκηση
Σημειώνεται ότι την αρμοδιότητα για την εφαρμογή του Κανονισμού έχει η ανεξάρτητη Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).
Τον Κανονισμό Προστασίας Προσωπικών δεδομένων υποχρεούται να εφαρμόσει και ο δημόσιος τομέας , διαμορφώνοντας ένα σύστημα διαχείρισης των προσωπικών δεδομένων του προσωπικού του αλλά και των συναλασσομένων. Την αρμοδιότητα αυτή αναλαμβάνει ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ), του οποίου ο ορισμός είναι υποχρεωτικός στο δημόσιο τομέα και σε κάποιες περιπτώσεις στις ιδιωτικές επιχειρήσεις. Κρίσιμος τομέας είναι εκείνος της υγείας (νοσοκομεία, ιατρικά κέντρα κ.λπ.).
Στο μεγαλύτερό του ο μέρος ο δημόσιος τομέας δεν έχει προβεί σε ενέργειες συμμόρφωσης με τον νέο κανονισμό και παρατηρείται ότι αν και η χώρα μας υστερεί σε επίπεδο προσαρμογής, περισσότερη ενεργοποίηση επιδεικνύουν οι ιδιωτικές επιχειρήσεις.
Δημόσιος και ιδιωτικός τομέας, όχι μόνο στη χώρα μας, έχει ζητήσει την παράταση της προθεσμίας έναρξης ισχύος του κανονισμού κι έχουν υπάρξει κάποιες συζητήσεις, ωστόσο δεν έχουν προκύψει ακόμη αποφάσεις από τις αρμόδιες αρχές της Ευρώπης.
Τι πρέπει να κάνουν οι επιχειρήσεις
Προκειμένου να συμμορφωθούν οι επιχειρήσεις με το νέο γενικό κανονισμό, οφείλουν να υιοθετήσουν μέτρα και διαδικασίες που θα διασφαλίσουν τη δυνατότητα άσκησης των δικαιωμάτων των ατόμων.
-Καταρχάς, θα πρέπει να γίνουν κατανοητά τα ζητήματα που ανακύπτουν από τον Κανονισμό. Να δημιουργηθεί μία ομάδα υποστήριξης ή να προσληφθεί ένας DPO (υποχρεωτικός μόνο σε ορισμένες κατηγορίες επιχειρήσεων).
-Να γίνει καταγραφή των δεδομένων και των διαδικασιών που πρέπει να ακολουθηθούν, των συστημάτων και των αρχείων (φυσικών και ψηφιακών) που τα περιέχουν.
-Να γίνει αποτύπωση των κενών στην προστασία και ανάλυση της απόκλισης από τη συμμόρφωση με τον Κανονισμό.
-Να υπάρξει σχεδιασμός ή/και ανασχεδιασμός των κατάλληλων πολιτικών ροών δεδομένων και των επεξεργασιών που διενεργούνται, ώστε ο φορέας ή η εταιρεία να είναι σε θέση να παρακολουθεί και να δημιουργήσει σύστημα τήρησης αρχείων.
-Να εκπαιδευτούν κατάλληλα ώστε να ευαισθητοποιηθούν οι εργαζόμενοι, ώστε να διαμορφωθεί τόσο εντός της επιχείρησης όσο και σε σχέση με τους πελάτες σχετική κουλτούρα.
-Σε περίπτωση παραβίασης δεδομένων να ενημερώνουν εντός 72 ωρών την Αρχή προστασίας προσωπικών δεδομένων και στη συνέχεια (ενδεχομένως) τους πελάτες τους.