Koumentakis

Ετικέτα: gdpr

  • Επιχειρήσεις και Εμπιστευτικότητα

    Επιχειρήσεις και Εμπιστευτικότητα

    [vc_row][vc_column][vc_column_text]

    1. Η σημασία της διασφάλισης της εμπιστευτικότητας

    Κάθε επιχείρηση αντιμετωπίζει σωρεία προκλήσεων για να καταστεί και παραμείνει υγιής αλλά και για να διατηρήσει τα υψηλά standards τα οποία έχει ενδεχομένως επιτύχει, όσον αφορά τη λειτουργία, την αποτελεσματικότητα και την κερδοφορία της. Η διατήρηση (και, πολύ περισσότερο, η επαύξηση) του μεριδίου της αγοράς της στις γεωγραφικές περιοχές της δραστηριοποίησής της προϋποθέτει υπερπήδηση, καθημερινά, σειράς εμποδίων.

    Η επίτευξη και διατήρηση της υγιούς επιχειρηματικότητας είναι πάντοτε όχι μόνον ένα ζητούμενο αλλά και μια καθημερινή πρόκληση. Μια από τις προϋποθέσεις της μάλιστα συναρτάται με την διασφάλιση πως εκείνες οι πληροφορίες που η επιχείρηση προσδιορίζει ως εμπιστευτικές θα διατηρηθούν ως τέτοιες και, μεταξύ άλλων, δεν θα διαχυθούν στον ανταγωνισμό.

    Σε κάποιες, ειδικές, περιπτώσεις η υποχρέωση διαφύλαξης της εμπιστευτικότητας των πληροφοριών τις οποίες διακινεί η επιχείρηση επιβάλλεται από το θεσμικό πλαίσιο (ιδ. κατωτέρω σχετικά με τα προσωπικά δεδομένα). Στις περιπτώσεις αυτές οι συνέπειες δεν αναφέρονται στην ομαλή λειτουργία και ανάπτυξη της επιχείρησης. Οι συνέπειες μπορεί να αναφέρονται σε απροσδιόριστα υψηλά πρόστιμα και ποινικές κυρώσεις!

    1. Πρόσωπα που καταλαμβάνει η υποχρέωση εμπιστευτικότητας

    Η υποχρέωση διαφύλαξης της εμπιστευτικότητας είναι μια υποχρέωση που καταλαμβάνει όλους. Ανεξαιρέτως!

    Όπως δεν εξαιρείται ο εργάτης ή ο κλητήρας μιας επιχείρησης έτσι (αυτονοήτως) δεν εξαιρούνται τα στελέχη, το ανώτερο management, ο Διευθύνων Σύμβουλος ή ακόμα και ο βασικός μέτοχος. Είναι σημαντικό, όμως, να τονισθεί πως η συγκεκριμένη υποχρέωση καταλαμβάνει και οποιονδήποτε τρίτο που γίνεται κοινωνός εμπιστευτικών πληροφοριών, λ.χ. ένας στενός συνεργάτης ή σύμβουλος μιας επιχείρησης.

    1. Μορφή και τρόπος γνώσης των προστατευόμενων πληροφοριών

    Δεν έχει οποιαδήποτε σημασία για την προστασία τους η μορφή των πληροφοριών: Μπορεί να πρόκειται για έγγραφα, για ηλεκτρονικά αρχεία ακόμα και για προφορική πληροφόρηση που διαχέεται σε συγκεκριμένο αριθμό προσώπων και αφορά συγκεκριμένη επιχείρηση ή όμιλο επιχειρήσεων.

    Δεν έχει όμως οποιαδήποτε σημασία και ο τρόπος περιέλευσης σε γνώση των πληροφοριών τις οποίες καταλαμβάνει η υποχρέωση εμπιστευτικότητας. Μπορεί να πρόκειται για πληροφορίες των οποίων (λ.χ.) ένα στέλεχος καθίσταται κοινωνός κατά την ενάσκηση των καθηκόντων του στον χώρο εργασίας του ή ακόμα και εκτός αυτού (λ.χ. στις εγκαταστάσεις πελατών της επιχείρησης). Μπορεί ακόμα να πρόκειται για πληροφορίες που αφορούν θέματα που χειρίζεται ο υπόχρεος, συνάδελφοί του, συνεργάτες ή σύμβουλοι της επιχείρησης. Μπορεί, τέλος, να πρόκειται για θέματα που αφορούν ακόμα και πελάτες της τελευταίας.

    1. Προστατευόμενες πληροφορίες

    Οι πληροφορίες που καταλαμβάνονται από την υποχρέωση εμπιστευτικότητας μπορεί να αναφέρονται στο εμπορικό know-how (εμπορικής φύσεως πληροφορίες: λ.χ. κατάλογοι πελατών και προμηθευτών, κοστολόγια και υπολογισμοί τιμών, στρατηγικές πωλήσεων, μέθοδοι marketing κ.ο.κ.) ή/και στο τεχνικό know-how (τεχνογνωσία-πληροφορίες τεχνικής φύσεως). Μπορεί να αφορούν μεθοδολογία, διαδικασίες, σχεδιασμό, στοιχεία, εξέλιξη και αποτελέσματα οποιασδήποτε επιχειρηματικής δραστηριότητας, διαδικασίας, έρευνας, παραγωγή προϊόντος ή παροχή υπηρεσίας, Μπορεί να αφορούν διαδικασίες, πολιτικές, έγγραφα εποπτικών αρχών που συνδέονται με την επιχείρηση. Μπορεί, εν τέλει, να αφορούν οτιδήποτε σημαντικό για την επιχείρηση.

    1. Ειδικά για τα προσωπικά (απλά και ευαίσθητα) δεδομένα

    Κάποιες όμως από τις προστατευόμενες πληροφορίες είναι μάλιστα δυνατό να συνδέονται με προσωπικά δεδομένα-απλά και ευαίσθητα. Το ενδεχόμενο αυτό δημιουργεί επιπρόσθετες υποχρεώσεις για τις επιχειρήσεις όπως προβλέπεται τόσο με βάση το υφιστάμενο θεσμικό πλαίσιο (Οδηγία ΕΕ/1995/46 που ενσωματώθηκε με τον ν. 2472/1997) όσο και μ’ εκείνο του νέου Κανονισμού (ΕΕ/2016/679) ο οποίος θα τεθεί σε εφαρμογή από 25.5.2018 και εντεύθεν-ανεξάρτητα από την ψήφιση ή μη (του αναμενόμενου) εφαρμοστικού νόμου.

    Το σημαντικό όμως δεν είναι μόνον οι επιπρόσθετες υποχρεώσεις των επιχειρήσεων που δημιουργούνται από υφιστάμενο και νέο θεσμικό πλαίσιο όσον αφορά τα απλά και ευαίσθητα δεδομένα αλλά και, ιδίως, οι επαπειλούμενες κυρώσεις σε περίπτωση μη συμμόρφωσης ή/και παραβίασης (περί όλων αυτών όμως ιδ. στη σχετική δημοσίευση “Προστασία Προσωπικών δεδομένων και Επιχειρήσεις“)

    1. Οι υποχρεώσεις των στελεχών και των συνεργατών

    Στις συμβάσεις που συνδέουν τους κάθε λογής εργαζόμενους κι εξωτερικούς συνεργάτες με μια επιχείρηση (πρέπει να) εμπεριέχονται ρυθμίσεις τέτοιες που να περιορίζουν τη χρήση των πληροφοριών των οποίων γίνονται κοινωνοί κατά τη διάρκεια και στο πλαίσιο της συνεργασίας τους και μόνον. Κι ακόμα περισσότερο: (οφείλουν να) ρυθμίζουν τις υποχρεώσεις των εργαζομένων και συνεργατών κατά το χρονικό διάστημα μετά τη λήξη της συνεργασίας τους (λ.χ. επιστροφή εντύπων, εγγράφων, σημειώσεων, διαγραφή ή επιστροφή ηλεκτρονικών αρχείων) καθώς και τις κυρώσεις από την παραβίαση των σχετικών (συμβατικών και μετασυμβατικών) υποχρεώσεών τους (συνήθως υψηλές ποινικές ρήτρες-πέραν των γενικής φύσεως αξιώσεων αποζημίωσης).

     

    1. Ειδικά η ΑΠ 1/2017

    Απόφαση-σταθμός για το συγκεκριμένο θέμα υπήρξε η συγκεκριμένη απόφαση.

    Mε αυτήν έγινε δεκτό πως συνταγματικά κατοχυρωμένα δικαιώματα (μεταξύ άλλων και των εργαζομένων) όπως αυτά του απορρήτου των επιστολών και της επικοινωνίας (19Σ), του απαραβίαστου της ιδιωτικής και οικογενειακής ζωής (9Σ) και της προστασίας των προσωπικών δεδομένων (9Α Σ) είναι δυνατόν να περιοριστούν με βάση την επίσης συνταγματικά κατοχυρωμένη αρχή της αναλογικότητας (25Σ).

    Στο πλαίσιο, λοιπόν, της εκδίκασης της συγκεκριμένης απόφασης κρίθηκε πως το δικαίωμα της έννομης προστασίας (20 παρ. 1 Σ) και της επιχειρηματικής ελευθερίας (5 & 106 παρ. 2. Σ) ενός εργοδότη/μιας επιχείρησης είναι δυνατό να υπερισχύσουν των προαναφερθέντων δικαιωμάτων των εργαζομένων.

    Τι σήμαινε όμως πρακτικά ο περιορισμός συνταγματικά κατοχυρωμένων δικαιωμάτων των εργαζομένων στην συγκεκριμένη και αντίστοιχες υποθέσεις;

    Αναγνωρίστηκε το δικαίωμα του Εργοδότη (του οποίου τα προαναφερθέντα-αντίστοιχα συνταγματικά κατοχυρωμένα δικαιώματα θεωρήθηκε ότι, στην συγκεκριμένη περίπτωση και υπό τις συγκεκριμένες συνθήκες, υπερτερούσαν):

    • Να παρακολουθεί την ηλεκτρονική (επαγγελματική και προσωπική) αλληλογραφία των εργαζομένων του όπως αυτή αποτυπώνεται στους υπολογιστές και λοιπά μέσα της επιχείρησής του
    • Να ανασύρει τη διαγραφείσα αλληλογραφία από τους εν λόγω υπολογιστές ιδιοκτησίας του
    • Να καταγράφει τα στοιχεία που αντλούνται από τους υπολογιστές της επιχείρησής του και, ιδίως,
    • Να ασκεί νόμιμα δικαιώματά του με βάση στοιχεία που εμπεριέχονται σε επαγγελματική ή προσωπική αλληλογραφία των εργαζομένων του η οποία έλαβε χώρα μέσα από υπολογιστές της επιχείρησης ακόμα και αν αυτά είχαν εντωμεταξύ διαγραφεί.

    Δεν απομένει οποιαδήποτε αμφιβολία πως η συγκεκριμένη απόφαση είναι εξαιρετικά σημαντική: Η Επιχείρηση δεν παραμένει (νομικά) απροστάτευτη έναντι κακοπροαίρετων εργαζομένων οι οποίοι, υπό το πρόσχημα συνταγματικώς κατοχυρωμένων δικαιωμάτων τους επιχειρούν να την βλάψουν προσδοκώντας σε ίδιον όφελος.

    1. Πότε υποχωρεί η υποχρέωση εμπιστευτικότητας;

    Η υποχρέωση εμπιστευτικότητας υποχωρεί:

    • όταν οι πληροφορίες στις οποίες αναφέρεται είναι δημόσια (και εκ των προτέρων) γνωστές
    • όταν υπάρχει υποχρέωση αποκάλυψης των συγκεκριμένων πληροφοριών από το υφιστάμενο θεσμικό πλαίσιο ή επιβάλλεται από αρμόδια αρχή ή το αρμόδιο δικαστήριο.

    1. Ρυθμίσεις σχετικά με την εμπιστευτικότητα στο επίπεδο της επιχείρησης

    Σε επίπεδο επιχείρησης οι διατάξεις που αφορούν την εμπιστευτικότητα εμπεριέχονται κατά κανόνα (ή πρέπει να εμπεριέχονται):

    • στις συμβάσεις εργασίας, ανεξαρτήτων υπηρεσιών, έργου κ.λ.π. της επιχείρησης
    • στον Κανονισμό Εργασίας της επιχείρησης (όταν υφίσταται)
    • στον Code of Ethics (ή, κατ’ άλλους, Code of Conduct)-Κώδικα Ηθικής και Δεοντολογίας της επιχείρησης
    • στα NDA’s (ή συμβάσεις εμπιστευτικότητας) τόσο της επιχείρησης όσο και των πελατών της (στο μέτρο που οι τελευταίες καλύπτουν και την ίδια την επιχείρηση και, αυτονοήτως, τους εργαζόμενούς της)

    1. Ρυθμίσεις σχετικά με την εμπιστευτικότητα στο επίπεδο της νομοθεσίας-γενικά

    Στις περιπτώσεις που (αντίθετα από όσα έχουν συμφωνηθεί ή όσα ο νόμος επιτάσσει) εκείνος που παραβιάζει την υποχρέωση εμπιστευτικότητας προξενεί ζημία, ο υπαίτιος υποχρεούται να την αποκαταστήσει στο σύνολό της (θετική και αποθετική-αρθρ. 914 ΑΚ, ηθική βλάβη-932ΑΚ)

    Ανεξάρτητα όμως από τις αστικές αξιώσεις που διατηρεί εκείνος που ζημιώθηκε σε βάρος του υπαίτιου υπάρχει σωρεία ποινικών διατάξεων που αναφέρονται στον ποινικό κολασμό του παραβάτη [ενδ.: 370 ΠΚ (παραβίαση απορρήτου επιστολών), 370Α ΠΚ (παραβίαση απορρήτου τηλεφωνικής συνομιλίας και της προφορικής συνομιλίας), 370Γ ΠΚ (παράνομη πρόσβαση σε πληροφοριακό σύστημα) και οι συναφείς 370Β ΠΚ, 370Δ ΠΚ, 370Ε ΠΚ]

    Υπάρχουν βέβαια και οι διατάξεις που αναφέρονται σε ειδικά θέματα που δημιουργούνται από την παραβίαση της εμπιστευτικότητας, όπως (ενδεικτικά):

    11.Ειδικότερες ρυθμίσεις:

    (α) Όσον αφορά παραβίαση των προσωπικών δεδομένων

    Κάθε φορά που η παραβίαση της υποχρέωσης εμπιστευτικότητας συνδέεται με παραβίαση προσωπικών δεδομένων συντρέχουν διοικητικές, ποινικές και αστικές κυρώσεις που άμεσα ή έμμεσα βαρύνουν (και) τον παραβάτη.

    Με βάση το υφιστάμενο θεσμικό πλαίσιο (ν. 2472/1997) που ισχύει μέχρι τις 25.5.2018-οπότε και τίθεται σε εφαρμογή ο Κανονισμός 2016/679- http://koumentakislaw.gr/prostasia-prosopikon-dedomenon-kai-epixeirhseis/ σε περίπτωση παραβίασης προσωπικών δεδομένων προβλέπονται συγκεκριμένες διοικητικές κυρώσεις (αρθρ. 21), ποινικές κυρώσεις (αρθρ. 22) αλλά και αστική ευθύνη του παραβάτη (αρθρ. 23).

    Στον Κανονισμό βέβαια 2016/679 προβλέπονται αντίστοιχα πολύ σοβαρές διοικητικές κυρώσεις (αρθρ. 83και αστική ευθύνη εκείνου που παραβιάζει προσωπικά δεδομένα (αρ. 82). Αναμένεται από τον εφαρμοστικό νόμο που τελεί ήδη υπό επεξεργασία να εξειδικεύσει περαιτέρω τις εν λόγω κυρώσεις ή επιβάλλει και επιπρόσθετες (λ.χ. ποινικές) για τους παραβάτες (αρ. 84).

    (β) Όσον αφορά τον αθέμιτο ανταγωνισμό

    Στις περιπτώσεις που μέσω της παραβίασης της εμπιστευτικότητας έχουμε παραβίαση των διατάξεων του αθέμιτου ανταγωνισμού (ν. 146/1914) προβλέπονται τόσο ποινικές κυρώσεις (αρθρ. 16 & 17) όσο αστικές (αρθρ. 18) κυρώσεις.

    (γ) Όσον αφορά Κώδικες Δεοντολογίας

    Δεν είναι ασύνηθες την λειτουργία επιμέρους επιχειρηματικών κλάδων να διέπουν Κώδικες Δεοντολογίας. Στους Κώδικες αυτούς συχνά συναντούμε διάφορες διατάξεις που αφορούν την υποχρέωση διασφάλισης εμπιστευτικών δεδομένων και κυρωτικές διατάξεις για το ενδεχόμενο της παραβίασής τους. (Ενδ.: Κώδικας Ελληνικής Φαρμακευτικής Δεοντολογίας-διατάξεις των αρθρ. 26-κεφ. Α και 4 του κεφ. Γ)

    1. Κυρώσεις από την παραβίαση της εμπιστευτικότητας: Νομικής, επιχειρηματικής φύσεως και όχι μόνον…

    Γενικά θα μπορούσε να πει κανείς, λαμβάνοντας υπόψη του τα ανωτέρω δεδομένα, πως η υποχρέωση διαφύλαξης της εμπιστευτικότητας βρίσκει άμεσα ή έμμεσα ερείσματα σε όλο, σχεδόν, το φάσμα του δικαίου (λ.χ. αστικό, ποινικό, διοικητικό). Ειδικότερες διατάξεις του υφισταμένου θεσμικού πλαισίου όσο και των εκάστοτε δημιουργούμενων συμβατικών σχέσεων εξειδικεύουν τόσο την εν λόγω υποχρέωση όσο και τις πολυποίκιλες συνέπειες από την παραβίασή της.

    Οι προβλεπόμενες κυρώσεις αφορούν τους παραβάτες-φυσικά πρόσωπα αλλά και, κάποιες φορές, τις αμέσως ή εμμέσως εμπλεκόμενες επιχειρήσεις: Αυτές που δεν έπραξαν τα δέοντα για να προφυλάξουν τους θιγόμενους κι εκείνες που ώθησαν τους παραβάτες στις έκνομες ενέργειές τους.

    Οι κυρώσεις όμως δεν είναι μόνον νομικές:

    Όσον αφορά τα φυσικά πρόσωπα-παραβάτες της εν λόγω υποχρέωσης συνοδεύονται και από την αντίστοιχη προσωπική και επαγγελματική απαξία.

    Όσον αφορά όμως τις επιχειρήσεις στις οποίες οι παραβάτες απασχολούνταν οι συνέπειες είναι, ενίοτε, δυσβάστακτες: Πόση ζωή μπορεί, άραγε, να έχει μια επιχείρηση όταν δει στοιχεία, προσωπικά δεδομένα (ή, ακόμα, χειρότερα ευαίσθητα προσωπικά δεδομένα) πελατών της να διακινούνται στο διαδίκτυο; Πόση ζωή μπορεί να έχει μια επιχείρηση που κρίσιμα επιχειρηματικά μυστικά της (είτε αφορούν συνταγές είτε πελατολόγιο είτε μεθόδους παραγωγής ή marketing είτε ό,τι άλλο) διαχέονται στον ανταγωνιστές της;

    1. Αναγκαιότητα τήρησης και συνέπειες από τη μη εφαρμογή της εμπιστευτικότητας-ο ρόλος του Νομικού Συμβούλου

    Η αποθήκευση και διάχυση της πληροφορίας (και σε επίπεδο επιχείρησης) αποτελεί στοιχείο της καθημερινότητας-τέτοιο που μοιάζει να μην διαφοροποιείται από ζωτικές, ανθρώπινες, λειτουργίες.

    Η διαφύλαξη της ακεραιότητας και εμπιστευτικότητας των πληροφοριών, ανεξάρτητα από την αποφυγή των εκάστοτε επαπειλούμενων κυρώσεων, διασφαλίζει την ύπαρξη υψηλών επαγγελματικών προτύπων (ιδίως) για τις επιχειρήσεις τις οποίες αφορά. Το γεγονός αυτό, κατ’ αναπόδραστη συνέπεια, αντανακλάται στην ύπαρξη και ανάπτυξή της, στις σχέσεις με τους πελάτες και προμηθευτές της. Αντανακλάται στους μετόχους, εργαζόμενους, συνεργάτες και οικογένειές τους.

    Δεν χωρεί οποιαδήποτε αμφιβολία πως η διασφάλιση της εμπιστευτικότητας αποτελεί υποχρέωση όλων όσων αμέσως ή εμμέσως εμπλεκόμαστε στη λειτουργία της επιχείρησης. Η ευθύνη όμως του νομικού συμβούλου είναι λίγο περισσότερο ιδιαίτερη καθώς φέρει το βάρος : (α) της ενημέρωσης των εμπλεκομένων, (β) της δημιουργίας ενός, συναφούς, αποτρεπτικού για την παραβίασή της πλέγματος συμβατικών και λοιπών ρυθμίσεων και (γ) της διαχείρισης των κρίσιμων καταστάσεων που δημιουργούνται στην περίπτωση της παραβίασης των πάσης φύσεως εμπιστευτικών πληροφοριών.

    Δεν είναι εξάλλου ήσσονος σημασίας και η εμπλοκή του Νομικού σας Συμβούλου στα θέματα Κινδύνων Κυβερνοχώρου (Cyber Risk), για τα οποία έχει ήδη προβλέψει η Οδηγία 2016/1148 που αφορά τα Μέτρα για Υψηλό Κοινό Επίπεδο Ασφαλείας Συστημάτων Δικτύου και Πληροφοριών σε ολόκληρη την Ένωση (Network and Information Security Directive 2016/1148-η γνωστή και ως NIS)-περί αυτών όμως θα ακολουθήσει εξειδικευμένη εξέταση και αποτύπωσή του στο ίδιο site.

    1. Η πρόκληση (αντί επιλόγου)

    Σε κάθε περίπτωση, είναι περισσότερο από προφανές πως η διασφάλιση της εμπιστευτικότητας αποτελεί μία από τις προκλήσεις της σύγχρονης επιχείρησης. Εναπόκειται σ’ εμάς, τους αμέσως και εμμέσως εμπλεκόμενους (ιδίως στους εξ ημών Νομικούς Συμβούλους), να συνδράμουμε και ανταποκριθούμε θετικά στη συγκεκριμένη πρόκληση βάζοντας το δικό μας λιθαράκι στην από όλους ευκταία διασφάλιση και ανάπτυξη της υγιούς επιχειρηματικότητας.

    Koumentakis-and-Associates-Stavros-Koumentakis

    Σταύρος Κουμεντάκης
    Senior Partner

    [/vc_column_text][/vc_column][/vc_row]

  • Προστασία Προσωπικών Δεδομένων και Επιχειρήσεις

    Προστασία Προσωπικών Δεδομένων και Επιχειρήσεις

    [vc_row][vc_column][vc_column_text]

    Ευρωπαϊκή επιταγή η ενίσχυση για την Προστασία Προσωπικών Δεδομένων. Νέοι κανόνες συμμόρφωσης (Κανονισμός 2016/679)

     

    Προοίμιο: Τι σημαίνει άραγε η μη συμμόρφωση

    Είναι αλήθεια πως κάθε νέα υποχρέωση που δημιουργείται σε μια επιχείρηση επιβαρύνει το λειτουργικό της κόστος. Θα μπορούσε όμως κανένας να εισηγηθεί τη μη συμμόρφωση με τις υποχρεώσεις που απορρέουν από τον συγκεκριμένο Κανονισμό για την Προστασία Προσωπικών Δεδομένων;

    Η συγκεκριμένη περίπτωση δεν είναι από αυτές που θα μπορούσαν να μας αφήσουν αδιάφορους. Ο Ευρωπαϊκός Κανονισμός 2016/679) ισχύει χωρίς να υπάρχει ανάγκη επικύρωσής του από τον Έλληνα νομοθέτη.

    Οι κυρώσεις που απειλούνται; Δυσβάστακτες! Χωρίς να υπεισέλθουμε στις ποινικές κυρώσεις, τα ανώτατα όρια των διοικητικών κυρώσεων (πρόστιμα) κινούνται στα 10.000.000 ή 20.000.000€ και ποσοστιαία στο 2% ή 4% αντιστοίχως του παγκόσμιου κύκλου εργασιών του παραβάτη (αν τα προαναφερθέντα ποσά υπολείπονται των αντίστοιχων  ποσοστών επί του παγκόσμιου κύκλου εργασιών του!)

    Τα πράγματα ΔΕΝ είναι απλά…

     

    Το υφιστάμενο θεσμικό πλαίσιο

    Την ανάγκη προστασίας των προσώπων από την διαρκώς κλιμακούμενη (λόγω της ραγδαίας προόδου της τεχνολογίας) έκθεση των Προσωπικών τους Δεδομένων, και την διαμόρφωση ενός εξασφαλιστικού modus operandi των φορέων που επεξεργάζονται δεδομένα,  υπογραμμίζει ο Ευρωπαϊκός Κανονισμός 679 της 27.4.2016, που τίθεται σε πλήρη εφαρμογή για όλα τα κράτη μέλη (βεβαίως και την χώρα μας) την 25.5.2018.  

    Με τον ν. 2472/1997 περί Προστασίας του ατόμου από την επεξεργασία Προσωπικών Δεδομένων (και τις αναθεωρήσεις του) ο Έλληνας νομοθέτης ενσωμάτωσε την ευρωπαϊκή Οδηγία 95/46/ΕΚ «Για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και της ελεύθερης κυκλοφορίας των δεδομένων αυτών».

    Τα βασικά θεμέλια για την Προστασία Προσωπικών Δεδομένων που είχαν ήδη τεθεί, λοιπόν, είκοσι χρόνια πριν αφορούσαν στον προσδιορισμό:

    (α) των  βασικών εννοιών όπως «αρχείο», «υποκείμενο δεδομένων», «δεδομένα απλά», «δεδομένα ευαίσθητα», «υπεύθυνος επεξεργασίας», «εκτελών την επεξεργασία»,

    (β) των δικαιωμάτων των Υποκειμένων της Επεξεργασίας (του καθενός από  εμάς)

    (γ) των υποχρεώσεων των Υπευθύνων Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (φυσικών και νομικών προσώπων, φορέων και οργανισμών με τους οποίους στην καθημερινότητά μας καλούμαστε να έχουμε συναλλαγές, από τον εργοδότη μας μέχρι το μητρώο μιας Εφορίας) και

    (δ) την σύσταση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα η οποία θα λειτουργούσε στο εξής ανεξάρτητα, εποπτικά και ως θεσμική εγγυήτρια για τον έλεγχο τήρησης των ευρωπαϊκών επιταγών.

    Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει συσταθεί και λειτουργεί έκτοτε έχει δε πλούσια δράση και έχει απασχολήσει με τις αποφάσεις της όχι μόνο τον νομικό κόσμο αλλά και το σύνολο της κοινής γνώμης όπως στην περίπτωση της αναγραφής του θρησκεύματος στις ταυτότητες.

    Το Ευρωπαϊκό Κοινοβούλιο επιλέγει με τον εν λόγω Κανονισμό μία πιο δυναμική θέση έναντι της προηγούμενης Οδηγίας, καθώς ο πρώτος αποτελεί δίκαιο αυξημένης τυπικής ισχύος (υπέρκειται του νόμου του κάθε κράτους μέλους) και είναι (σε αντίθεση με την Οδηγία) εφαρμοστέος οριζόντια κατά τρόπο άμεσο (δεν απαιτείται ενσωμάτωσή του από το εθνικό νομοθέτη).

     

    Η αυστηροποίηση για την προστασία προσωπικών δεδομένων στο πλαίσιο του ευρωπαϊκού Κανονισμού

    Με τον Κανονισμό αυστηροποιείται το πλαίσιο προστασίας και ειδικά:

    (α) ο Υπεύθυνος Επεξεργασίας υποχρεούται να επιλέγει τα πλέον εξασφαλιστικά, οργανωτικά και τεχνικά μέτρα τόσο κατά τη στιγμή του καθορισμού των μέσων συλλογής και επεξεργασίας των δεδομένων όσο και κατά τη στιγμή της επεξεργασίας τους.

    Οι υποχρεώσεις του Υπευθύνου και του Εκτελούντος την επεξεργασία διευρύνονται (:τήρηση αρχείου- συγκεκριμένων προδιαγραφών- δραστηριοτήτων επεξεργασίας) ενώ αποκτά συγκεκριμένη ευθύνη να λάβει και να είναι σε θέση να αποδείξει ότι έχει λάβει όλα τα απαραίτητα μέτρα για να διασφαλίσει ότι η επεξεργασία διενεργείται σύμφωνα με τον Κανονισμό.

    (β) Διευρύνονται τα δικαιώματα των Υποκειμένων, περιλαμβάνοντας τα δικαιώματα: (i) στην πρόσβαση, (ii) στη διόρθωση (ή συμπλήρωση) (iii) στη λήθη (διαγραφή των δεδομένων υπό προϋποθέσεις), (iv) στην εναντίωση (v) στη φορητότητα των δεδομένων.

     (γ) Προβλέπεται ειδικά για περιπτώσεις συστηματικής, εκτενούς και ευρείας κλίμακας αξιολόγησης προσωπικών δεδομένων ή συστηματικής παρακολούθησης σε μεγάλη κλίμακα δημοσίων χώρων υποχρέωση για διεξαγωγή μίας εκτίμησης αντικτύπου (impact assessment) των πιθανών κινδύνων και επιπτώσεων για τα δικαιώματα και τις ελευθερίες των ατόμων, από τον τρόπο, το πλαίσιο, το εύρος και τον σκοπό που τελείται η επεξεργασία.

    (δ) ο Υπεύθυνος επεξεργασίας υποχρεούται να ενημερώνει άμεσα την αρχή για κάθε παραβίαση της ασφάλειας του συστήματός του (μέσα σε 72 ώρες από τη στιγμή που θα λάβει γνώση)

    (ε) ο Υπεύθυνος Επεξεργασίας (στις περιπτώσεις που λεπτομερώς ορίζονται στον Κανονισμό, ενδεικτικά επεξεργασία δεδομένων σε μεγάλη κλίμακα ή/και ευαίσθητων δεδομένων) ορίζει έναν Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer) ήτοι ένα εσωτερικό εποπτικό όργανο (υπάλληλο ή εξωτερικό συνεργάτη), που δρα ανεξάρτητα (σημ: όπως έναν τεχνικός ασφαλείας) και ο οποίος θα διασφαλίζει την τήρηση του κανονιστικού πλαισίου (του Κανονισμού σε συνδυασμό με όποια ειδικότερη ρύθμιση, τυχόν, προβλέψει ο εθνικός νομοθέτης, στα πεδία που του δίνεται διακριτική ευχέρεια) και έχει άμεση επαφή, συνεργασία και υποχρέωση αναφοράς για κάθε παραβίαση στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

    (στ) Προβλέπονται σημαντικά αυστηρότερες από τις υφιστάμενες διοικητικές και ποινικές κυρώσεις με τα πρόστιμα να κινούνται στα 10.000.000 ή 20.000.000€ ή και ποσοστιαία επί του κύκλου εργασιών της επιχείρησης ανάλογα με την περίπτωση και τον φορέα παραβίασης (αν το ποσοστό αυτό υπερβαίνει τα ως άνω ποσά).

    Σημαντική διαφορά με το ισχύον νομικό πλαίσιο είναι ότι δεν προβλέπονται Γνωστοποιήσεις στην Αρχή παρά η διαθεσιμότητα του υλικού (:αρχείου επεξεργασίας) σε άμεση ζήτηση της Αρχής. Ωστόσο, ο κάθε εθνικός νομοθέτης μπορεί να εξειδικεύσει τις απαιτήσεις του και να ζητήσει Γνωστοποιήσεις ή έκδοση Αδειών ειδικά σε περιπτώσεις που αφορούν σε επεξεργασία Ευαίσθητων Προσωπικών Δεδομένων. Για την εξέταση του ενδεχομένου λήψης νομοθετικών μέτρων για την εφαρμογή του Κανονισμού έχει ήδη συσταθεί (ΦΕΚ 1913/27.6.2016) νομοπαρασκευαστική επιτροπή της οποίας το έργο αναμένουμε να ολοκληρωθεί πριν τον χρόνο εφαρμογής του Κανονισμού.

    Είναι επιβεβλημένο κάθε Υπεύθυνος Επεξεργασίας να ελέγξει (με τους κατάλληλους προς τούτο συνεργάτες) το status ασφαλείας των τεχνικών του συστημάτων και της οργανωτικής του δομής ώστε να είναι σε ετοιμότητα να εναρμονισθεί με τις απαιτήσεις του Κανονισμού.

     

    Υπάρχει, άραγε, χρόνος;

    Όπως ήδη αναφέρθηκε η ημερομηνία εφαρμογής του νέου Ευρωπαϊκού Κανονισμού είναι η 25.5.2018-σε μια πρώτη ανάγνωση δηλαδή έχουμε αρκετό χρόνο για να δράσουμε. Είναι όμως έτσι;

    Πολλοί παράγοντες είναι αυτοί που θα πρέπει να αξιολογηθούν για να απαντήσουμε: «εντάξει, έχουμε καιρό».

    Το είδος της επιχειρηματικής δραστηριότητας, η συμμόρφωση με το σήμερα ισχύον θεσμικό πλαίσιο, η συγκέντρωση (ή/και διακίνηση) ευαίσθητων, εκτός από τα απλά, προσωπικών δεδομένων, κ.ο.κ.

    Κι ας μη βιαστούμε να απαντήσουμε πως «ευαίσθητα προσωπικά δεδομένα εμείς δεν διαθέτουμε». Μήπως ζητάμε ποινικά μητρώα για κάποιους από τους εργαζόμενους μας; Μήπως διαθέτουμε κάποιο αρχείο για την κατάσταση της υγείας κάποιων από αυτούς; Μήπως διαθέτουμε κάμερες ασφαλείας για την ασφάλεια της επιχείρησής μας;

     

    Συμπέρασμα

    Μολονότι αναμένουμε (και) όσα ο εθνικός νομοθέτης θα επιβάλλει, το θεσμικό πλαίσιο για την προστασία των προσωπικών δεδομένων έχει ήδη καταστεί περισσότερο περίπλοκο. Οι επαπειλούμενες κυρώσεις όχι μόνον δεν είναι αμελητέες αλλά και, κατ’ ακρίβεια, δραματικά υψηλές.

    Η προετοιμασία της επιχείρησης, τις περισσότερες φορές, ούτε εύκολη ούτε ταχεία.

    Η ανάγκη για λεπτομερέστερη ενημέρωση, μια πρώτη αξιολόγηση και τα πρώτα διαδικαστικά βήματα, παρούσα.

    Σήμερα!

    [/vc_column_text][/vc_column][/vc_row]

Η περιοχή αυτή είναι καταχωρημένη στο wpml.org ως περιοχή ανάπτυξης. Μεταβείτε σε τοποθεσία παραγωγής με κλειδί στο remove this banner.