Ο «Γενικός Κανονισμός για την Προστασία Δεδομένων» GDPR έχει επισήμως τεθεί σε ισχύ. Τι άλλαξε στην καθημερινότητά μας από την Παρασκευή;
Έπειτα από μία βδομάδα «βομβαρδισμού» του inbox τους στο ηλεκτρονικό ταχυδρομείο, όντως οι άνθρωποι αισθάνονται πως πλέον ο έλεγχος των προσωπικών τους δεδομένων πέρασε στα χέρια τους; Η μεγαλύτερη αλλαγή επήλθε για τους απλούς χρήστες του διαδικτύου ή για τις επιχειρήσεις και τους μεγάλους οργανισμούς; Κι αν κάποιοι δεν πρόλαβαν να συμμορφωθούν;
Τι έχει αλλάξει πραγματικά και τι μένει να φανεί στη συνέχεια;
Η Καθηγήτρια Δικαίου Πληροφορικής, στο Τμήμα Εφαρμοσμένης Πληροφορικής του Πανεπιστημίου Μακεδονίας Ευγενία Αλεξανδροπούλου - Αιγυπτιάδου, Διευθύντρια του Μεταπτυχιακού Προγράμματος «Δίκαιο και Πληροφορική» του Πανεπιστημίου Μακεδονίας και της Νομικής Σχολής του Δημοκριτείου Πανεπιστημίου Θράκης και πρώην Αναπληρώτρια Πρύτανη του Πανεπιστημίου Μακεδονίας, μίλησε στη Σμαρώ Αβραμίδου από το Αθηναϊκό - Μακεδονικό Πρακτορείο Ειδήσεων για τις καινοτομίες που εισήγαγε ο νέος κανονισμός στην προστασία προσωπικών δεδομένων και εξηγεί ποια είναι τα βήματα που πρέπει να ακολουθήσουν οι επιχειρήσεις, προκειμένου να εναρμονιστούν πλήρως με τις επιταγές του.
Το κενό που ήλθε να καλύψει ο GDPR αφορά στην αναγνώριση των προσωπικών δεδομένων ή στο να μπουν όρια στην δυνατότητα επεξεργασίας και χρήσης τους;
Προσωπικά δεδομένα είναι οποιαδήποτε πληροφορία αφορά συγκεκριμένο φυσικό, όχι νομικό πρόσωπο. Ήδη, εδώ και περισσότερα από 20 χρόνια, και με την Ευρωπαϊκή Οδηγία 95/46 και με τον Νόμο -με τον Ν.2472/1997 ενσωματώθηκε στην ελληνική νομοθεσία η προηγούμενη Οδηγία- τα προσωπικά δεδομένα προστατεύονται. Αυτό που έκανε ο Κανονισμός είναι, χρησιμοποιώντας τις ίδιες αρχές προστασίας των προσωπικών δεδομένων της Οδηγίας 95/46/ΕΚ, να ενδυναμώσει τις υποχρεώσεις των υπεύθυνων επεξεργασίας, καθώς και τα δικαιώματα των υποκειμένων των δεδομένων, δηλ. των ατόμων, των φυσικών προσώπων , του καθενός από εμάς.
Πώς ορίζεται η εδαφική εμβέλεια του GDPR;
Ο κανονισμός εφαρμόζεται στον Ευρωπαϊκό Οικονομικό Χώρο, δηλαδή στην Ευρωπαϊκή Ένωση και σε Λιχτενστάιν, Νορβηγία και Ισλανδία. Μέχρι τώρα εφαρμοζόταν η Οδηγία για την προστασία των προσωπικών δεδομένων, εφόσον ο υπεύθυνος επεξεργασίας των δεδομένων, που μπορεί να είναι είτε φυσικό είτε νομικό πρόσωπο πχ μια εταιρία , είχε εγκατάσταση στην Ευρωπαϊκή Ένωση ή είχε προσέφευγε σε μέσα επεξεργασίας που βρίσκονταν στην ΕΕ. Με τον GDPR επεκτάθηκε αυτό και ακόμη και υπεύθυνοι επεξεργασίας που δεν είναι εγκατεστημένοι στην ΕΕ δεσμεύονται από τους κανόνες του GDPR, εφόσον είτε προσφέρουν αγαθά ή υπηρεσίες σε άτομα που βρίσκονται στην ΕΕ είτε παρακολουθούν τη συμπεριφορά των προσώπων αυτών π.χ στο πλαίσιο συμπεριφορικής διαφήμισης.
Δηλαδή, οι νέες διατάξεις καλύπτουν πλέον όλους τους Οργανισμούς και εταιρείες, που πρέπει;
Φτάσαμε σχεδόν στο «όλους», όταν λέμε «όχι μόνο αυτοί που είναι εγκατεστημένοι στην Ευρωπαϊκή Ένωση αλλά και οργανισμοί οι οποίοι είναι και εκτός Ευρωπαϊκής Ένωσης, αλλά παρέχουν αγαθά ή υπηρεσίες στην Ευρωπαϊκή Ένωση εκ του μακρόθεν, εξ αποστάσεως από το διαδίκτυο ή παρακολουθούν συμπεριφορά ατόμων που είναι στην Ευρωπαϊκή Ένωση πχ για να δημιουργήσουν καταναλωτικά προφίλ , προκειμένου να στοχεύσουν την προσφορά των προϊόντων τους. Έχει διευρυνθεί πάρα πολύ το πεδίο εφαρμογής και αυτό σημαίνει ότι προστατεύεται περισσότερο το άτομο, το φυσικό πρόσωπο. Επομένως είναι μεγαλύτερη η προστασία των ατόμων με τον Κανονισμό, λόγω της διεύρυνσης της εδαφικής εμβέλειας. Είναι μία σπουδαία καινοτομία του κανονισμού.
Ποιες άλλες καινοτομίες εισήγαγε ο GDPR;
Aπό τις σημαντικότερες καινοτομίες είναι η εισαγωγή νέων δικαιωμάτων του υποκειμένου των δεδομένων (π.χ. δικαίωμα διαγραφής /δικαίωμα στη λήθη, στη φορητότητα), η προσθήκη νέων αρχών επεξεργασίας (όπως της διαφάνειας, της λογοδοσίας, της ακεραιότητας και εμπιστευτικότητας), το ενισχυμένο πλέγμα υποχρεώσεων του υπευθύνου επεξεργασίας (όπως η λογοδοσία, η γνωστοποίηση παραβιάσεων προσωπικών δεδομένων στην Εποπτική Αρχή και στο υποκείμενο, η προστασία των δεδομένων ήδη από το σχεδιασμό της επεξεργασίας και εξ ορισμού:privacy by design/privacy by default, η εκτίμηση αντικτύπου όταν η επεξεργασία ενέχει σοβαρούς κινδύνους για τα προσωπικά δεδομένα), η αύξηση των υποχρεώσεων του εκτελούντος την επεξεργασία, ο θεσμός του υπευθύνου προστασίας δεδομένων, οι ειδικές προστατευτικές ρυθμίσεις για τα προσωπικά δεδομένα των παιδιών, η ρητή δυνατότητα ανάκλησης της συγκατάθεσης του υποκειμένου, η απάλειψη της γενικής υποχρέωσης δήλωσης της επεξεργασίας στην Εποπτική Αρχή ή λήψη της σχετικής άδειας, η θέσπιση του Ευρωπαϊκού Συμβουλίου Προστασίας δεδομένων, ο μηχανισμός συνεκτικότητας, η ενθάρρυνση για θέσπιση μηχανισμών πιστοποίησης, η αυστηροποίηση των κυρώσεων, ιδίως των διοικητικών προστίμων.
Ιδιαίτερη αναφορά πρέπει να γίνει στη λογοδοσία, στη συμμόρφωση. Πλέον πρέπει αυτός ο οποίος επεξεργάζεται δεδομένα ανά πάσα στιγμή να επιδεικνύει και να αποδεικνύει συμμόρφωση με τον Κανονισμό. Το βάρος απόδειξης, ότι είναι εναρμονισμένος με τον Κανονισμό, το φέρει ο υπεύθυνος επεξεργασίας δεδομένων. Αυτός πρέπει να αποδείξει ότι εκπληρώνει τις επιταγές του Κανονισμού, όχι αυτός ο οποίος καταγγέλλει. Στην προκειμένη περίπτωση έχουμε αντιστροφή του βάρους αποδείξεως. Επίσης επιτρέψτε μου να τονίσω ότι για πρώτη φορά περιλαμβάνονται στον Κανονισμό ειδικές διατάξεις για την προστασία των ανηλίκων, ιδίως κατά τη διαδικτυακή τους περιήγηση, είναι κάτι που το υποστήριζα εδώ και πολλά χρόνια με ομιλίες και δημοσιεύσεις μου, γιατί το ευάλωτο των παιδιών και η ηλικιακή ανωριμότητά τους απαιτεί ιδιαίτερη προστασία. Και βέβαια σημαντική καινοτομία, που κίνησε και το τεράστιο ενδιαφέρον για τη συμμόρφωση με τον GDPR είναι τα υψηλά πρόστιμα που προβλέπει -έως 20.000.000 ευρώ ή –αν είναι μεγαλύτερο- το 4% του παγκόσμιου ετήσιου τζίρου της επιχείρησης που επεξεργάζεται δεδομένα. Μέχρι σήμερα ο ελληνικός νόμος πρόβλεπε πρόστιμο μέχρι 150.000 ευρώ.
Ποια είναι τα βήματα συμμόρφωσης μιας επιχείρησης , τι πρέπει να κάνει, για να θεωρηθεί πως έχει συμμορφωθεί πλήρως;
Πρώτα είναι η ψυχραιμία. Οι Αρχές Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και άλλοι Οργανισμοί θα δώσουν τα εργαλεία της συμμόρφωσης, ήδη η ελληνική Αρχή Προστασίας δεδομένων στην ιστοσελίδα της www.dpa.gr έχει αναρτήσει χρήσιμες οδηγίες και εργαλεία. Δεύτερον, αυτό που πρέπει να κάνει ο υπεύθυνος επεξεργασίας, που όπως είπαμε μπορεί να είναι μία επιχείρηση, είναι η ενημέρωση του προσωπικού της για τον Κανονισμό και η δημιουργία κουλτούρας προστασίας των προσωπικών δεδομένων.
Μετά είναι η καταγραφή/χαρτογράφηση, το mapping, τι κάνει αυτή τη στιγμή η επιχείρηση, τι επεξεργασίες δεδομένων κάνει αυτή τη στιγμή και αφού καταγραφεί τι κάνει -υπάρχουν εργαλεία και γι’ αυτό, υπάρχουν excel γι’ αυτό, γνωρίζουμε τι πρέπει να συμπληρωθεί- κατόπιν είναι το gap analysis, εξετάζεται δηλαδή η απόκλιση ανάμεσα σε αυτό που κάνει η επιχείρηση και σε αυτό που πρέπει να κάνει σύμφωνα με τον Κανονισμό. Πρέπει για παράδειγμα η επιχείρηση να ξαναδεί τις συμβάσεις με το προσωπικό, να ξαναδεί τις συμβάσεις με τους προμηθευτές. Υπάρχει όρος εκεί για προστασία προσωπικών δεδομένων; Αν δεν υπάρχει να συμπληρωθεί, π.χ. με μια πρόσθετη συμφωνία. Άλλωστε, νομίζω ότι δεν θα ξεκινήσει η επιβολή προστίμων αμέσως, φαίνεται εύλογο να γίνουν πρώτα κάποιες συστάσεις, να δοθούν οδηγίες κλπ, να δοθεί δηλαδή βαρύτητα πρώτα στον συμβουλευτικό ρόλο της Εποπτικής Αρχής, στην κατεύθυνση της ομαλής προσαρμογής και συμμόρφωσης.
Τι είναι ο θεσμός του DPO (Data Protection Officer);
Είναι ο θεσμός του υπεύθυνου προστασίας δεδομένων. Θα πρέπει να ορίσουν DPO οι δημόσιοι οργανισμοί οπωσδήποτε και από εκεί και πέρα στον ιδιωτικό τομέα, εφόσον οι επιχειρήσεις επεξεργάζονται big data -δεδομένα μεγάλης κλίμακος- και εφόσον τα δεδομένα αυτά, είτε είναι ευαίσθητα, μεγάλα νοσοκομεία για παράδειγμα, είτε απορρέουν από συστηματική παρακολούθηση, όπως εταιρείες security, εταιρείες κινητής τηλεφωνίας κ.λπ. Τα δεδομένα μεγάλης κλίμακας είναι αυτά που καθορίζουν τον ορισμό του DPO, ο οποίος μπορεί να είναι είτε μέσα από την επιχείρηση, είτε εξωτερικός.
Πώς προσαρμόζονται τα Πανεπιστήμια στον GDPR;
Για το θέμα των προσωπικών δεδομένων τα πανεπιστήμια θα πρέπει να ορίσουν DPΟ, τον υπεύθυνο προστασία δεδομένων. Από εκεί και πέρα χρειάζεται ενημέρωση του προσωπικού, χρειάζεται καταγραφή των επεξεργασιών προσωπικών δεδομένων που γίνεται τώρα και στη συνέχεια συμμόρφωση σύμφωνα με τον Κανονισμό, όπως αναφέραμε. Στα Πανεπιστήμια επεξεργαζόμαστε πολλά προσωπικά δεδομένα φοιτητών, διδακτικού και διοικητικού προσωπικού, προμηθευτών κ.λ.π., όχι μόνο απλά όπως το ονοματεπώνυμο, η διεύθυνση κατοικίας, το έτος σπουδών, η βαθμολογία αλλά και ευαίσθητα, όπως ατόμων με αναπηρία, δωρεάν σιτιζόμενων φοιτητών κ.ά . Όμως υπάρχει η μέθοδος για την προσαρμογή, τα εργαλεία υπάρχουν.
Είναι θέμα ψηφιακού αναλφαβητισμού ότι οι άνθρωποι εν αγνοία τους μοιράζονται προσωπικά στοιχεία που εκτός ψηφιακού περιβάλλοντος θα προστάτευαν;
Είναι ένας από τους στόχους της Ευρωπαϊκής Ένωσης στην περίφημη digital agenda, το ψηφιακό θεματολόγιο της Ευρωπαϊκής Ένωσης, το να κλείσει αυτό το ψηφιακό χάσμα. Είναι άνθρωποι μεγαλύτερης ηλικίας , είναι άνθρωποι που ζουν σε απομακρυσμένες περιοχές –έχει να κάνει και με την ευρυζωνικότητα- οι οποίοι δεν μπορούν να συμμετέχουν καν στην κοινωνία της πληροφορίας, είναι τα ανήλικα παιδιά που πρέπει από πολύ μικρά να εκπαιδευτούν, ώστε να γίνουν αργότερα συνειδητοποιημένοι χρήστες του διαδικτύου, να αντιληφθούν τους κινδύνους και να είναι σε θέση να ανταπεξέλθουν. Αλλά από την άλλη δεν μπορείς να αποκλείσεις την πληροφορική και την πρόοδο. Η πληροφορική είναι σαν ένα μαχαίρι. Μπορεί να κόψει ψωμί και να θρέψει ανθρώπους , αλλά μπορεί και να σκοτώσει. Όμως με τον καιρό το ψηφιακό χάσμα κλείνει, λόγω και του ότι οι γενιές περνούν, οι νέοι γονείς και οι εκπαιδευτικοί είναι πλέον εξοικειωμένοι με το διαδίκτυο και τους κινδύνους του και μπορούν πλέον να παρακολουθήσουν καλύτερα τα παιδιά.
Με την ευκαιρία της καθολικής εφαρμογής του νέου Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων της ΕΕ το Διατμηματικό Μεταπτυχιακό Πρόγραμμα «Δίκαιο και Πληροφορική» του Πανεπιστημίου Μακεδονίας-Τμήμα Εφαρμοσμένης Πληροφορικής και του Δημοκριτείου Πανεπιστημίου Θράκης (ΔΠΘ)-Τμήμα Νομικής (www.mli.uom.gr) διοργάνωσαν την Παρασκευή 25 και Σάββατο 26 Μαΐου στην Κομοτηνή το 1ο Διατμηματικό Διεπιστημονικό Συνέδριο «ΔΙΚΑΙΟ ΚΑΙ ΠΛΗΡΟΦΟΡΙΚΗ: Αντιμετωπίζοντας τις προκλήσεις της ψηφιακής εποχής».
Ο νέος Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων, οι εφαρμογές και οι προκλήσεις του, το κυβερνοέγκλημα, η προστασία των ανηλίκων, το ψηφιακό μάρκετινγκ και η κοινωνική δικτύωση, τα ζητήματα ασφάλειας, οι τεχνολογίες ενίσχυσης της ιδιωτικότητας, η πνευματική ιδιοκτησία στην ενιαία ψηφιακή αγορά, είναι οι θεματικές ενότητες του συνεδρίου, όπου κλήθηκαν να τοποθετηθούν εκτός από την κ.Αλεξανδροπούλου, ο Κωνσταντίνος Μενουδάκος, Πρόεδρος Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ο Θεοχάρης Δαλακούρας, Καθηγητής Τμήματος Νομικής Δ.Π.Θ., η Μάρω Βλαχοπούλου, πρώην Κοσμήτορας της Σχολής Επιστημών Πληροφορίας του Πανεπιστημίου Μακεδονίας, ο Μιχάλης Μαρίνος, Καθηγητής Νομικής Σχολής Δ.Π.Θ., ο δικηγόρος Γιώργος Παπαντωνίου, Μέλος της Εθνικής Επιτροπής Βιοηθικής Κύπρου, ο Πρύτανης του Ανοικτού Πανεπιστημίου Κύπρου Σωκράτης Κάτσικας, η Καθηγήτρια της Νομικής Σχολής ΑΠΘ Βικτωρία Δούκα, ο Γιώργος Νούσκαλης, Αναπλ. Μέλος της Αρχής Προστασίας δεδομένων και επίκουρος καθηγητής Νομικής Σχολής ΑΠΘ, ο ταξίαρχος Γεώργιος Παπαπροδρόμου, Προϊστάμενος Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος, ΕΛ.ΑΣ, ο Πρόεδρος της ΄Ενωσης Ελλήνων Νομικών e- Θέμις Δημήτρης Αναστασόπουλος και άλλοι εξειδικευμένοι εκλεκτοί επιστήμονες. Την εκδήλωση τίμησε με προεδρία στην εναρκτήρια συνεδρία ο Αντιπρόεδρος του Αρείου Πάγου και Διευθυντής της Εθνικής Σχολής Δικαστικών Λειτουργών κ. Δημήτριος Κράνης. Σε ειδική συνεδρία νέων επιστημόνων παρουσιάστηκαν τα πορίσματα μεταδιδακτορικής και διδακτορικής έρευνας του Πανεπιστημίου Μακεδονίας στο Δίκαιο Πληροφορικής, καθώς και παρουσιάσεις διπλωματικών εργασιών μεταπτυχιακών φοιτητών του Διαπανεπιστημιακού Μεταπτυχιακού «ΔΙΚΑΙΟ ΚΑΙ ΠΛΗΡΟΦΟΡΙΚΗ» (www.mli.uom.gr, itlaw.uom.gr).