Ένα αυστηρότερο, σε υποχρεώσεις αλλά και κυρώσεις, πλαίσιο για την προστασία των προσωπικών δεδομένων από εταιρίες και επιχειρήσεις οι οποίες συλλέγουν και επεξεργάζονται, θα ισχύει από την 25η Μαΐου 2018. Το πλαίσιο αυτό αφορά στον νέο Γενικό Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 “για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα” και εισάγει το θεσμό της Λογοδοσίας (Accountability), σύμφωνα με τον οποίο οι εταιρείες που συλλέγουν και επεξεργάζονται προσωπικά δεδομένα οφείλουν να διαμορφώσουν τις διαδικασίες και τα συστήματα τους . Πέραν του – επιπλέον – κόστους που θα κληθούν να πληρώσουν οι εταιρίες για την αναβάθμιση των συστημάτων τους, η δαμόκλειος σπάθη των κυρώσεων θα τις απειλεί πλεον, με υψηλά πρόστιμα, σε περίπτωση παραβάσεων.
Κυρώσεις και πρόστιμα
Όπως αναφέρει ο Νικ. Κανελλόπουλος, αντιπρόεδρος του Συνδέσμου Δικηγορικών Εταιριών Ελλάδος (σε εκδήλωση του οποίου την 1η Φεβρουαρίου θα παρουσιαστεί αναλυτικά ο νέος ΓΚΠΔ με προτάσεις προς τις επιχειρήσεις ) ο νέος κανονισμός επιφέρει σημαντικές υποχρεώσεις στις εταιρίες. Συγκεκριμένα εκτοξεύεται το ύψος των επαπειλούμενων διοικητικών προστίμων σε περίπτωση διαπίστωσης παράβασης των διατάξεων του Κανονισμού, εφόσον δεν λαμβάνονται άλλα μέτρα.
Έτσι, “συγκεκριμένες παραβάσεις των υποχρεώσεων των υπευθύνων και εκτελούντων επεξεργασία επισύρουν πρόστιμα έως 10.000.000 € ή σε περίπτωση επιχειρήσεων έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (όποιο είναι υψηλότερο). Είναι, δε, χαρακτηριστικό ότι και αυτή η απουσία των κατάλληλων οργανωτικών μέτρων για συμμόρφωση με τον ΓΚΠΔ δύναται να επισύρει το εν λόγω πρόστιμο, χωρίς καν να υφίσταται περίπτωση παράβασης.
Τα βαρύτερα πρόστιμα επιφυλάσσονται για τις παραβάσεις σε βάρος των δικαιωμάτων των υποκειμένων των δεδομένων, των βασικών αρχών για την επεξεργασία, της διαβίβασης δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό και τη μη συμμόρφωση προς εντολή ή προς προσωρινό ή οριστικό περιορισμό της επεξεργασίας ή προς αναστολή της κυκλοφορίας δεδομένων που επιβάλλει η εποπτική αρχή ή μη παροχή πρόσβασης. Στις περιπτώσεις αυτές επιβάλλονται διοικητικά πρόστιμα έως 20.000.000 € ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο”.
Καινοτομίες
Οι καινοτομίες που επιφέρει ο νέος κανονισμός είναι :
-Η υποχρέωση για τους υπευθύνους επεξεργασίας να τηρούν αρχεία των δραστηριοτήτων επεξεργασίας όλων των δεδομένων προσωπικού χαρακτήρα, για τις οποίες είναι υπεύθυνοι, καθώς και με την υποχρέωση για τους εκτελούντες την επεξεργασία να τηρούν αρχεία όλων των κατηγοριών δραστηριοτήτων επεξεργασίας, που διεξάγονται για λογαριασμό υπευθύνου επεξεργασίας (Βλ. άρθρο 30 του ΓΚΠΔ).
-Υποχρέωση του υπεύθυνου επεξεργασίας προς διενέργεια εκτίμησης αντικτύπου (Data protection impact assessment – DPIA) σχετικά με την προστασία δεδομένων σε συγκεκριμένες κατηγορίες επεξεργασιών. Ειδικότερα, ο υπεύθυνος επεξεργασίας υποχρεούται ρητά σε διενέργεια DPIA πριν από την κρίσιμη επεξεργασία κάθε φορά που ένα είδος επεξεργασίας, ιδίως με τη χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας αυτής, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. (Βλ. άρθρο 35 παρ. 1 ΓΚΠΔ).
-Υποχρέωση για κατηγορίες υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία, να ορίσουν Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer-DPO) στη βάση συγκεκριμένων ποιοτικών κριτηρίων, που περιλαμβάνουν τη διενέργεια συγκεκριμένων τύπων επεξεργασιών. Επίσης ορίζονται οι περιπτώσεις υποχρεωτικού ορισμού DPO και παρέχεται η ευχέρεια όπως ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ή ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων ή εκτελούντων επεξεργασία, ορίσουν DPO και πέραν των περιπτώσεων του υποχρεωτικού ορισμού τούτου.