Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR)

«Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της συλλογής και της ανταλλαγής δεδομένων προσωπικού χαρακτήρα αυξήθηκε σημαντικά. Η τεχνολογία επιτρέπει τόσο σε ιδιωτικές όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την επιδίωξη των δραστηριοτήτων τους. Τα φυσικά πρόσωπα ολοένα και περισσότερο δημοσιοποιούν προσωπικές πληροφορίες και τις καθιστούν διαθέσιμες σε παγκόσμιο επίπεδο...».

Η παραπάνω, υπ’ αριθμόν 6, αιτιολογική σκέψη του Κανονισμού περιγράφει με τον εναργέστερο τρόπο την εικόνα που επικρατεί σήμερα στον χώρο των προσωπικών δεδομένων. 
Έχει δικαίως ειπωθεί ότι ζούμε στην εποχή της τέταρτης βιομηχανικής επανάστασης. Έχει επίσης πολύ εύστοχα σημειωθεί ότι τα προσωπικά δεδομένα αποτελούν το «καύσιμο» της νέας αυτής βιομηχανικής επανάστασης. Τον Μάιο του 2017 το γνωστό βρετανικό περιοδικό The Economist έγραφε πως οι πηγές προσωπικών δεδομένων είναι πλέον πολυτιμότερες των πετρελαιοπηγών. 
(The world’s most valuable resource is no longer oil, but data).

Είναι γνωστό στους «παροικούντες την Ιερουσαλήμ» ότι η «κατάρα» της νομικής επιστήμης είναι να ακολουθεί τις εξελίξεις, οι οποίες συνεχώς προηγούνται. Έτσι, στη σημερινή εποχή, η νομική επιστήμη προσπαθεί να ακολουθήσει ασθμαίνοντας την τεχνολογία, η οποία αναπτύσσεται τα τελευταία χρόνια με ραγδαίους ρυθμούς.

 Στην προσπάθεια της να προλάβει για πρώτη φορά τις εξελίξεις η Ευρωπαϊκή Ένωση  ψήφισε, μετά από 4 χρόνια διαβουλεύσεων, στις 27 Απριλίου 2016, τον Γενικό Κανονισμό Προστασίας Δεδομένων (General Data Protection Regulation), ο οποίος καταργεί την Οδηγία 95/46/ΕΚ και αναμένεται να εφαρμοστεί υποχρεωτικά από 25 Μαΐου 2018 σε όλα τα κράτη-μέλη της Ένωσης. 

Με τον νέο αυτό Κανονισμό ενισχύονται τα δικαιώματα των υποκειμένων των δεδομένων, αυξάνονται, ποσοτικά και ποιοτικά, οι υποχρεώσεις των υπεύθυνων και εκτελούντων την επεξεργασία και γενικώς ενισχύεται σημαντικά η προστασία των προσωπικών δεδομένων των πολιτών της ΕΕ.

Ο Κανονισμός αυτός δικαίως χαρακτηρίστηκε «Δρακόντειος» καθώς με την εφαρμογή του εκτοξεύεται το ύψος των επαπειλούμενων διοικητικών προστίμων σε περίπτωση διαπίστωσης παράβασης των διατάξεων του, εφόσον δεν λαμβάνονται άλλα μέτρα.
Έτσι, είναι σημαντικό να αναφερθεί ότι ο κανονισμός προβλέπει διοικητικά πρόστιμα έως 20.000.000 EUR ή 4% επί του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιό είναι υψηλότερο.



Μια ακόμη πολύ σημαντική καινοτομία του Κανονισμού είναι η υποχρέωση λογοδοσίας για την επιχείρηση (αρχή της λογοδοσίας). Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα ο υπεύθυνος επεξεργασίας θα πρέπει να γνωστοποιήσει την παραβίαση εντός 72 ωρών στην αρμόδια εποπτική αρχή. Επιπλέον, με την ισχύ του νέου Κανονισμού, ο υπεύθυνος επεξεργασίας θα φέρει την ευθύνη να αποδείξει ότι έχει λάβει όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση, διαβίβαση κα., και ότι συμμορφώνεται πλήρως με τον νέο Κανονισμό. Για παράδειγμα, με την ισχύουσα νομοθεσία, το υποκείμενο των δεδομένων πρέπει να αποδείξει την διαρροή των δεδομένων του από τη βάση του υπευθύνου επεξεργασίας. Αυτό αλλάζει με τον νέο Κανονισμό. Πλέον, ο υπεύθυνος επεξεργασίας πρέπει να αποδεικνύει ότι τα δεδομένα δεν έχουν  διαρρεύσει από αυτόν. Ο νέος Κανονισμός αντιστρέφει θα λέγαμε το «βάρος απόδειξης» της παραβίασης.


 Προκειμένου όμως  να κατανοήσουμε τον νέο Κανονισμό, τις βασικές έννοιες και τους κύριους στόχους του, θα πρέπει πρώτα να αναφερθούμε ενδεικτικά σε κάποιους από τους ορισμούς του άρθρου 4 αυτού.

Έτσι, ως δεδομένο προσωπικού χαρακτήρα  ορίζεται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.
Έρευνα έχει δείξει ότι το φύλο, η ημερομηνία γέννησης και ο ταχυδρομικός κώδικας μπορεί να ταυτοποιήσουν σε μεγάλο ποσοστό ένα συγκεκριμένο άτομο. Αν λοιπόν κάποιος ανατρέξει στα άρρενα τέκνα που γεννήθηκαν στις 10 Σεπτεμβρίου του έτους 1990 στην περιοχή με ταχυδρομικό κώδικα 69132, θα φτάσει με ποσοστό επιτυχίας, που μπορεί να αγγίξει τη βεβαιότητα, στην ταυτοποίηση του γράφοντος.
Έτσι γίνεται κατανοητό το μεγάλο φάσμα των στοιχείων εκείνων που αποτελούν προσωπικά δεδομένα.



Το ταυτοποιήσιμο φυσικό πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα ονομάζεται υποκείμενο των δεδομένων .


  Ως επεξεργασία προσωπικών δεδομένων ορίζεται κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
Όλες οι παραπάνω ΕΝΔΕΙΚΤΙΚΑ αναφερόμενες πράξεις συνιστούν επεξεργασία προσωπικών δεδομένων. 


  Ο υπεύθυνος επεξεργασίας είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Με απλά λόγια οποίος συλλέγει, καταχωρεί, οργανώνει, αποθηκεύει, χρησιμοποιεί, διαβιβάζει, διαδίδει, συνδυάζει, συσχετίζει κ.α., για οποιονδήποτε λόγο, προσωπικά δεδομένα ονομάζεται υπεύθυνος επεξεργασίας προσωπικών δεδομένων.

  Ο εκτελών την επεξεργασία είναι οποιοσδήποτε επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό υπεύθυνου επεξεργασίας, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός. Σε μια επιχείρηση ο ρόλος αυτός ανατίθεται συνήθως σε κάποιον υπάλληλο της.

Ποιά είναι τα πρώτα βασικά βήματα που θα πρέπει να κάνει μια επιχείρηση προκειμένου να μην κινδυνεύει με επιβολή διοικητικού προστίμου;
  Αρχικά θα πρέπει να μελετήσει και να κατανοήσει τον νέο Κανονισμό. Τα προσωπικά δεδομένα σαν νομική έννοια είναι σχετικά καινοφανής. Η ανάγκη προσδιορισμού και νομοθετικής προστασίας των προσωπικών δεδομένων εμφανίστηκε στην ενωσιακή έννομη τάξη μόλις πριν από 22 χρόνια. Το πρώτο μεγάλο βήμα της Ε.Ε προς της κατεύθυνση της προστασίας των προσωπικών δεδομένων ήταν η Οδηγία 95/46/ΕΚ, η οποία ενσωματώθηκε στην ελληνική έννομη τάξη με τον Ν. 2472/1997. Μόλις πριν από μερικούς μήνες η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα γιόρταζε τα εικοστά γενέθλιά της. 
Η Οδηγία 95/46/ΕΚ, αν και σε γενικές γραμμές αναγνωρίζεται ότι πέτυχε τον σκοπό της, παρόλα αυτά κρίθηκε ότι δεν μπορεί να ανταπεξέλθει στη νέα, ραγδαία αναπτυσσόμενη τεχνολογική πραγματικότητα. 
Τα προσωπικά δεδομένα λοιπόν σαν νομική έννοια «ενηλικιώθηκαν» σχετικά πρόσφατα και δεν έχουν ακόμα διαμορφώσει πλήρως τον χαρακτήρα τους. Για τον λόγο αυτό η ερμηνεία και η εφαρμογή του Κανονισμού καθίσταται δυσχερής ακόμα και για τους ανθρώπους του νομικού κόσμου. Σύμμαχός μας στην ερμηνεία του νέου Κανονισμού είναι οι κατευθυντήριες γραμμές της Ομάδας Εργασίας του άρθρου 29.
  Η προστασία της επεξεργασίας των δεδομένων θα πρέπει να γίνεται «by design and by default» (Privacy by Design and Privacy by Default). Αυτό σημαίνει ότι ο υπεύθυνος προστασίας θα πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει μέτρα τα οποία ανταποκρίνονται στις αρχές της προστασίας των δεδομένων ήδη από τον αρχικό σχεδιασμό και εξ’ ορισμού. Τέτοια μέτρα θα μπορούσαν να περιλαμβάνουν, μεταξύ άλλων, και τα παρακάτω:

  I. Ο περιορισμός της επεξεργασίας των προσωπικών δεδομένων μόνο στα δεδομένα εκείνα που είναι απαραίτητα για την διεκπεραίωση των εργασιών της και η διακοπή της επεξεργασίας των υπολοίπων. Ελαχιστοποιώντας τον όγκο της επεξεργασίας των δεδομένων μειώνονται οι πιθανότητες και το μέγεθος ενδεχόμενης παραβίασης. 
Ωστόσο, δε θα πρέπει υπό καθεστώς φόβου να υπερβάλουμε, και φτάνοντας στο άλλο άκρο, να επεξεργαζόμαστε λιγότερα από όσα χρειαζόμαστε. Σκοπός του κανονισμού δεν είναι να περιορίσει την επεξεργασία, αλλά αναγνωρίζοντας τη σημασία που τα προσωπικά δεδομένα έχουν στη σύγχρονη ζωή, την κοινωνία και την οικονομία, ο Κανονισμός επιδιώκει να προωθήσει τη χρήση τους προστατεύοντας ταυτόχρονα το υποκείμενο των δεδομένων.
 

 II. Σε κάθε περίπτωση κρίσιμη είναι η εξασφάλιση της ρητής και ανεπιφύλακτης συγκατάθεσης του Υποκειμένου στην επεξεργασία των προσωπικών δεδομένων του. Ο υπεύθυνος επεξεργασίας φέρει το βάρος να αποδείξει ότι υπήρχε συγκατάθεση του υποκείμενου κατά τον κρίσιμο χρόνο της επεξεργασίας καθώς και ότι έχει ενημερώσει πλήρως το Υποκείμενο για το είδος των προσωπικών δεδομένων που πρόκειται να συλλέξει, τον ακριβή σκοπό της επεξεργασίας τους (αρχή της διαφάνειας) καθώς και ότι έχει ενημερώσει αυτό σχετικά με τα δικαιώματά του που απορρέουν από τον νέο Κανονισμό (π.χ. δικαίωμα πρόσβασης, δικαίωμα στη λήθη, δικαίωμα φορητότητας κα). Το υποκείμενο έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του οποιαδήποτε στιγμή. Η δυνατότητα ανάκλησης της συγκατάθεσης πρέπει προβλέπεται ρητά.
 

III. Η μετατροπή σε ψηφιακή μορφή όλων των αρχείων προσωπικών δεδομένων που διαθέτει ήδη η επιχείρηση σε φυσική μορφή. Η εικόνα των στοιβαγμένων φακέλων επάνω στο γραφείο ή μέσα σε ντουλάπια, οι οποίοι είναι προσβάσιμοι από τον καθένα με κίνδυνο να διαρρεύσουν προσωπικά δεδομένα πελατών, έρχεται σε αντίθεση με τον νέο Κανονισμό. Όλο το αρχείο που βρίσκεται σε έντυπη μορφή πρέπει να μετατραπεί σε ένα ηλεκτρονικό αρχείο, όπου θα έχουν πρόσβαση μόνο ο υπεύθυνος επεξεργασίας και οι εκτελούντες την επεξεργασία που αυτός έχει ορίσει.

  IV. Η κρυπτογράφηση των ηλεκτρονικών αρχείων το συντομότερο δυνατό ώστε να καθιστούν «μη αναγνώσιμα» από τρίτους. Χρήσιμος αρωγός στην προσπάθεια αυτή στέκεται η τεχνολογία. Με τη ραγδαία ανάπτυξη της τα τελευταία χρόνια υπάρχουν δυνατότητες, με κόστος που δεν το καθιστούν απαγορευτικό ακόμα και για μια μικρή επιχείρηση, να αποθηκεύει τα αρχεία των πελατών της σε έναν κοινό «τόπο», ο οποίος θα είναι προσβάσιμος από όλους τους υπαλλήλους της επιχείρησης και εξ αποστάσεως, μέσω του Διαδικτύου. Δίνεται λοιπόν η ευκαιρία να συνεχίσουμε από το σπίτι την εργασία που αφήσαμε στη μέση χωρίς να χρειάζεται να μεταφέρουμε ούτε ένα έγγραφο, ενώ ταυτόχρονα προστατεύουμε σε μέγιστο βαθμό τα δεδομένα των πελατών μας.

  V. Απαραίτητη κρίνεται επίσης η εκπαίδευση, η δική μας και του προσωπικού μας. Θα πρέπει να εκπαιδευτούμε πάνω στις νέες τεχνολογίες και στα προγράμματα που πρόκειται να χρησιμοποιήσουμε, αλλά και να αποκτήσουμε μια γενικότερη παιδεία αναφορικά με τα προσωπικά δεδομένα, την ασφάλεια και την προστασία τους. 
Για παράδειγμα, στίκερς πάνω στα οποία αναγράφονται οι κωδικοί πρόσβασης του υπολογιστή ή του ηλεκτρονικού ταχυδρομείου και είναι κολλημένα πάνω στην οθόνη, την κεντρική μονάδα ή πλησίον του υπολογιστή είναι κάτι που δεν συμβαδίζει με τον νέο Κανονισμό. Οι κωδικοί πρόσβασης θα πρέπει να είναι αυστηρά προσωπικοί και απόρρητοι.



Ο υπεύθυνος προστασίας δεδομένων (Data Protection Officer)

 Ο DPO έχει καθήκον, μεταξύ των άλλων, να διασφαλίζει ότι μια επιχείρηση συμμορφώνεται με τον Κανονισμό. Ο διορισμός του είναι υποχρεωτικός μόνο στις παρακάτω περιπτώσεις: Σε κάθε περίπτωση όταν η  επεξεργασία διενεργείται από δημόσια αρχή (υπουργεία, περιφέρειες, δήμοι, ν.π.δ.δ.). 
Οι ιδιωτικοί φορείς από την άλλη είναι υποχρεωμένοι να ορίσουν υπεύθυνο προστασίας δεδομένων όταν επεξεργασία γίνεται σε μεγάλη κλίμακα ή όταν επεξεργάζονται «ευαίσθητα» προσωπικά δεδομένα, δεδομένα δηλαδή που αφορούν στη φυλετική ή εθνική του προέλευση, στα πολιτικά του φρονήματα, στις θρησκευτικές ή φιλοσοφικές του πεποιθήσεις, στη συμμετοχή του σε συνδικαλιστική οργάνωση, στην υγεία του, στην κοινωνική του πρόνοια, στην ερωτική του ζωή, τις ποινικές διώξεις και καταδίκες του. Παρά το γεγονός ότι ο διορισμός του δεν είναι υποχρεωτικός για τις υπόλοιπες επιχειρήσεις, οι υπηρεσίες του κρίνονται εξαιρετικά χρήσιμες.
 

Η κυβερνο-ασφάλιση (cyber-insurance)

  Η ραγδαία εξέλιξη της τεχνολογίας τα τελευταία χρόνια, η μάστιγα των κυβερνοεπιθέσεων, τα τσουχτερά πρόστιμα και η ανεπανόρθωτη βλάβη στη φήμη της εταιρίας που μπορεί να προκληθεί από ένα περιστατικό παραβίασης προσωπικών δεδομένων (βλέπε το πρόσφατο σκάνδαλο Cambridge Analytica, όπου η εταιρία Facebook «έχασε» μέσα σε τρεις μέρες περισσότερα από 50 δισ. δολάρια) ανάγκασαν τις μεγάλες ασφαλιστικές εταιρίες του κόσμου να δημιουργήσουν νέα προγράμματα ασφάλισης. 
Σε γενικές γραμμές οι ασφάλειες αυτές καλύπτουν την Αστική Ευθύνη έναντι τρίτων οι οποίοι υπέστησαν ζημιά λόγω απώλειας των προσωπικών τους δεδομένων από την εταιρία στην οποία τα είχαν δώσει. Έτσι, η ασφάλιση αυτή θα καλύψει τις απαιτήσεις των πελατών σε περίπτωση που αυτοί ζημιωθούν από διαρροή των δεδομένων τους.
Καλύπτει επίσης τα διοικητικά πρόστιμα που τυχόν θα επιβληθούν από τις αρμόδιες αρχές για περιστατικά απώλειας δεδομένων (data breach). Η ασφαλιστική εταιρία θα πληρώσει τα υπέρογκα πρόστιμα που τυχόν επιβάλει στην επιχείρηση η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Επιπλέον στην ασφαλιστική κάλυψη περιλαμβάνονται τα έξοδα και οι υπηρεσίες διαχείρισης περιστατικών παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών. Μια οργανωμένη κυβερνοεπίθεση είναι πολύ δύσκολο να αντιμετωπιστεί και για τον σκοπό αυτό απαιτούνται εξειδικευμένοι τεχνικοί.
Τέλος η ασφαλιστική εταιρία θα καλύψει τα διαφυγόντα κέρδη λόγω διακοπής της επιχειρηματικής δραστηριότητας από περιστατικά παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών.
 Αυτά είναι μόνο τα πρώτα βασικά βήματα που πρέπει να κάνει κάθε επιχείρηση προκειμένου να συμμορφωθεί με τον νέο Κανονισμό. Και φυσικά το σημαντικότερο όλων είναι η συνεργασία με ανθρώπους που έχουν τις απαραίτητες γνώσεις στο αντικείμενο των προσωπικών δεδομένων και της πληροφορικής. 
Εν αναμονή λοιπόν της εφαρμογής του νέου Κανονισμού και της ψήφισης του εφαρμοστικού νόμου στην Ελλάδα, που σύμφωνα με το σχέδιο νόμου αναμένεται να καταργήσει τον Ν. 2472/97, ο νομικός κόσμος και οι επιχειρήσεις δουλεύουν πυρετωδώς ώστε η αυγή της 25ης Μαΐου να τους βρει σύμφωνους με τους νέους κανόνες για την προστασία των Προσωπικών Δεδομένων.