ΤΟ ΝΕΟ ΕΝΙΑΙΟ ΝΟΜΙΚΟ ΠΛΑΙΣΙΟ ΘΑ ΙΣΧΥΣΕΙ ΑΠΟ ΤΗΝ 25η ΜΑΪΟΥ 2018 ΓΙΑ ΟΛΟΥΣ ΤΟΥΣ ΠΟΛΙΤΕΣ

ΜΕ ΤΟΝ ΝΕΟ ΚΑΝΟΝΙΣΜΟ ΑΠΑΙΤΕΙΤΑΙ ΣΥΜΜΟΡΦΩΣΗ ΑΠΟ ΟΛΕΣ ΤΙΣ ΟΝΤΟΤΗΤΕΣ ΟΙ ΟΠΟΙΕΣ ΔΙΑΧΕΙΡΙΖΟΝΤΑΙ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ, ΣΥΜΠΕΡΙΛΑΜΒΑΝΟΜΕΝΩΝ ΔΕΔΟΜΕΝΩΝ ΤΩΝ ΙΔΙΩΝ ΤΩΝ ΥΠΑΛΛΗΛΩΝ (Π.Χ. ΙΑΤΡΙΚΑ ΑΡΧΕΙΑ) ΚΑΙ ΙΔΙΑΙΤΕΡΑ ΑΠΟ ΟΡΓΑΝΙΣΜΟΥΣ ΠΟΥ ΛΕΙΤΟΥΡΓΟΥΝ ΣΤΟΥΣ ΤΟΜΕΙΣ ΜΕ ΧΡΗΜΑΤΟΟΙΚΟΝΟΜΙΚΕΣ ΔΡΑΣΤΗΡΙΟΤΗΤΕΣ, ΣΤΟΝ ΕΚΠΑΙΔΕΥΤΙΚΟ ΤΟΜΕΑ, ΚΑΘΩΣ ΚΑΙ ΣΤΟΥΣ ΠΑΡΟΧΟΥΣ ΥΠΗΡΕΣΙΩΝ ΥΓΕΙΑΣ

Σε ένα συνεχώς μεταβαλλόμενο επιχειρηματικό περιβάλλον, η εφαρμογή του Κανονισμού θα πρέπει να θεωρηθεί ως μια ευκαιρία, ιδιαίτερα σε μια εποχή όπου τα προσωπικά δεδομένα είναι ένα από τα πιο σημαντικά στοιχεία στην κατοχή ενός οργανισμού

Η προστασία προσωπικών δεδομένων είναι μια θεμελιώδης αρχή, με βάση την οποία έχει το δικαίωμα διαφύλαξης πληροφοριών ο κάθε Ευρωπαίος πολίτης. Τα προσωπικά δεδομένα, συμπεριλαμβανομένων των βιομετρικών και γενετικών δεδομένων, παραχωρούνται και γίνονται αντικείμενο διαχείρισης σε καθημερινή βάση σε διάφορες μορφές (όπως, για παράδειγμα, με το άνοιγμα ενός τραπεζικού λογαριασμού, άνοιγμα λογαριασμού στο διαδίκτυο, εγγραφή μέλους σε καταστήματα κ.λπ.), καθιστώντας τα προσωπικά δεδομένα ευάλωτα σε αρκετούς κινδύνους.

Η μεγαλύτερη αλλαγή στους κανόνες που διέπουν την προστασία προσωπικών δεδομένων φυσικών προσώπων τίθεται σε άμεση εφαρμογή στις 25 Μαΐου 2018, με βάση τον νέο Γενικό Ευρωπαϊκό Κανονισμό Προστασίας Δεδομένων 2016/679 (General Data Protection Regulation -GDPR), ο οποίος εκδόθηκε στις 27 Απριλίου 2016, διαμορφώνοντας ένα ενιαίο νομικό πλαίσιο, χωρίς την υποχρέωση ψήφισης εθνικής νομοθεσίας ή οδηγίας και εναρμόνισης με την υφιστάμενη κυπριακή νομοθεσία.

Συμμόρφωση απ' όλους

Ο Κανονισμός αυξάνει σημαντικά τις υποχρεώσεις όλων των οντοτήτων οι οποίες διαχειρίζονται προσωπικά δεδομένα εντός και εκτός Ευρωπαϊκής Ένωσης, εφόσον τα προσωπικά δεδομένα αφορούν Ευρωπαίους πολίτες, με πρόστιμα να φτάνουν από 2% μέχρι 4% του παγκόσμιου κύκλου εργασιών ή από 10 εκατ. μέχρι 20 εκατ. Ευρώ για επιχειρήσεις που δεν συμμορφώνονται. Με τον νέο Κανονισμό απαιτείται συμμόρφωση απ' όλες τις οντότητες οι οποίες διαχειρίζονται προσωπικά δεδομένα, συμπεριλαμβανομένων δεδομένων των ίδιων των υπαλλήλων (π.χ. ιατρικά αρχεία) και ιδιαίτερα από οργανισμούς που λειτουργούν στους τομείς με χρηματοοικονομικές δραστηριότητες, στον εκπαιδευτικό τομέα, καθώς και στους παρόχους Υπηρεσιών Υγείας. Οι Ευρωπαίοι ρυθμιστές προστασίας προσωπικών δεδομένων έχουν καταστήσει σαφές ότι προτίθενται να ασκήσουν τις ερευνητικές και διορθωτικές δικαιοδοσίες τους, ως προς την παρακολούθηση υλοποίησης των σχετικών θεμάτων ασφαλείας.

Ενίσχυση δικαιωμάτων

Ο νέος Κανονισμός ενισχύει τα υφιστάμενα δικαιώματα των Ευρωπαίων πολιτών (περιλαμβανομένων των ανηλίκων) σχετικά με τη Διαφάνεια, Φορητότητα Δεδομένων, Λογοδοσία, Ακρίβεια, Ακεραιότητα, Εμπιστευτικότητα, Συγκατάθεση, Πρόσβαση, τον περιορισμό αποθήκευσης και την ελαχιστοποίηση τήρησης δεδομένων.

Επίσης, ενισχύει το έργο των υφιστάμενων εποπτικών Αρχών, εφόσον τα προσωπικά δεδομένα πρέπει να:

• συλλέγονται για συγκεκριμένο και νόμιμο σκοπό και με τη συγκατάθεση του ατόμου

• μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό για τον οποίο λαμβάνονται

• να συλλέγονται μόνον όσα εξ αυτών είναι απαραίτητα

• είναι ακριβή και να επικαιροποιούνται

• αποθηκεύονται μόνο για όσο χρονικό διάστημα απαιτείται με βάση τις ισχύουσες νομοθετικές απαιτήσεις του κάθε οργανισμού

• τυγχάνουν επεξεργασίας με κατανοητό τρόπο και με τρόπο που να διασφαλίζεται η επαρκής ασφάλειά τους

Βασικοί παράγοντες επιτυχίας

Αρκετοί οργανισμοί έχουν κάνει διαβήματα και βρίσκονται σε προκαταρκτικά στάδια για την υιοθέτηση μέτρων και διαδικασιών διασφάλισης της συμμόρφωσης με τις απαιτήσεις του Κανονισμού, χωρίς ωστόσο να έχουν εφαρμοστεί ακόμη όλες οι απαραίτητες ενέργειες προς συμμόρφωση.

Οι βασικοί παράγοντες επιτυχίας σχετικά για τη διασφάλιση της συμμόρφωσης με τον Κανονισμό αφορούν τις ακόλουθες ενέργειες:

• Καθορισμό Στρατηγικής Απορρήτου, καθώς και κατάλληλα τεχνικά και οργανωτικά μέτρα και πολιτικές για την πρόληψη, τον έλεγχο και την παρακολούθηση οποιωνδήποτε παραβιάσεων

• Αξιολόγηση της τρέχουσας κατάστασης σε θέματα που αφορούν συστήματα, διαδικασίες, πολιτικές (Gap Analysis)

• Διενέργεια εκτίμησης επιπτώσεων (Privacy Impact Assessment)

• Καθορισμός ενός πλάνου υλοποίησης με βάση τα αποτελέσματα των πιο πάνω

• Ενσωμάτωση των προϋποθέσεων του Κανονισμού στις καθημερινές λειτουργίες

• Επαρκής ενημέρωση εμπλεκομένων ως προς τους κανονισμούς προστασίας προσωπικών δεδομένων

• Αναγνώριση από ενδιαφερόμενους φορείς αναφορικά με το ποιες προσωπικές πληροφορίες επεξεργάζεται ο οργανισμός, πού βρίσκονται, πώς φυλάσσονται, ποιος και πώς τις διαχειρίζεται

• Διάθεση επαρκών ελέγχων προς διασφάλιση ότι οι ροές δεδομένων είναι ασφαλείς και συμμορφώνονται με τις απαιτήσεις

• Τήρηση αρχείου στο οποίο να υπάρχουν πληροφορίες αναφορικά με την επεξεργασία δεδομένων

• Τήρηση επαρκούς ελεγκτικού ίχνους ζήτησης και αποδοχής της συγκατάθεσης χρήσης προσωπικών πληροφοριών

• Αξιολόγηση συμμόρφωσης περί απορρήτου χρησιμοποιώντας νέες τεχνολογίες (π.χ. Big Data, εφαρμογές για κινητά, προφίλ πελατών)

• Απογραφή δραστηριοτήτων, καθώς επίσης και κωδικών δεοντολογίας

• Εφαρμογή απαραίτητων διαδικασιών διασυνοριακής επεξεργασίας δεδομένων εντός ή εκτός Ε.Ε.

• Ορισμός Υπευθύνου Προστασίας Δεδομένων

Ευκαιρία

Οι οργανισμοί θα πρέπει να θέσουν σαφείς πολιτικές και διαδικασίες, έτσι ώστε να διασφαλιστεί η ετοιμότητα χειρισμού και γνωστοποίησης προς την Εποπτική Αρχή, κάθε παραβίασης δεδομένων, εντός 72 ωρών από τη στιγμή που αποκτάται γνώση του γεγονότος.

Οι πρόνοιες ισχύουν και θα πρέπει να εφαρμόζονται από οποιαδήποτε τρίτα μέρη διαχειρίζονται πληροφορίες (για παράδειγμα πράκτορες), τα οποία διέπονται από τις ίδιες συμβατικές υποχρεώσεις αναφορικά με την προστασία των δεδομένων, με τον οργανισμό στον οποίο προσφέρουν υπηρεσίες.

Σε ένα συνεχώς μεταβαλλόμενο επιχειρηματικό περιβάλλον, η εφαρμογή του Κανονισμού θα πρέπει να θεωρηθεί ως ευκαιρία, ιδιαίτερα σε μια εποχή όπου τα προσωπικά δεδομένα είναι ένα από τα πιο σημαντικά στοιχεία στην κατοχή ενός οργανισμού. Η διαχείριση αυτών των δεδομένων απαιτεί μια προσεκτικά επιλεγμένη στρατηγική ως προς την αξιοπιστία χρήσης τους, με την έγκαιρη λήψη συγκατάθεσης των ατόμων για τα οποία τηρούνται προσωπικά δεδομένα, αυξάνοντας, έτσι, την εμπιστοσύνη προς τους πολίτες. Άλλωστε, μια σωστή στρατηγική διαχείρισης απορρήτου μπορεί να προσφερθεί ως ανταγωνιστικό πλεονέκτημα.

Οι απαιτήσεις σχετικά με την προστασία προσωπικών δεδομένων και την ασφάλεια των πληροφοριών αυξάνονται σε παγκόσμιο επίπεδο, γεγονός που οδηγεί σε πολύπλοκες προδιαγραφές συμμόρφωσης. Είναι, επομένως, ζωτικής σημασίας για κάθε οργανισμό, να εντάξει εντός της κουλτούρας και του περιβάλλοντος που τον διέπουν τους απαραίτητους μηχανισμούς διαχείρισης προσωπικών δεδομένων, έτσι ώστε να είναι σε πλεονεκτική θέση να δύναται να ανταποκριθεί σε αυτές τις αυξανόμενες απαιτήσεις. Αυτό προϋποθέτει αλλαγές στην υποδομή, πέραν από την υιοθέτηση νέων δικλίδων ασφαλείας στις καθημερινές δραστηριότητες, καθώς και την ανάγκη ισχυρών διαδικασιών εσωτερικής διακυβέρνησης.

ΜΑΡΙΛΕΝΑ ΖΑΡΚΑ
Principal,
KPMG Limited,
τηλ. 22209000,
ηλεκτρ. διεύθ. [email protected]