Ποιες υποχρεώσεις φέρνει για τις εταιρείες ο νέος κανονισμός για τα προσωπικά δεδομένα
- Γράφτηκε από τον/την NEWSROOM INSURANCE2DAY.gr

Με τον γενικό ευρωπαϊκό κανονισμό προστασίας προσωπικών δεδομένων, το περίφημο GDPR (General Data Protection Regulation), να βρίσκεται προ των πυλών αφού από 25 Μαΐου τίθεται σε καθολική εφαρμογή στην ΕΕ, αλλά και το σκάνδαλο Facebook με τις εκατομμύρια διαρροές προς την Cambridge Analytica να έχουν θορυβήσει εκατομμύρια χρήστες των social media για το πόσο ασφαλή είναι πράγματι τα ιδιωτικά τους δεδομένα, ας ρίξουμε μια ματιά για το τι υποχρεώσεις θα έχουν στο εξής οι εταιρείες.
Σε αυτές βέβαια συμπεριλαμβάνονται και οι ασφαλιστικές, όπως κι άλλες εταιρείες που διαχειρίζονται προσωπικά και ευαίσθητα προσωπικά δεδομένα, και για τις οποίες πλέον η διαδικασία θα είναι πιο αυστηρή. Αντίστοιχα πιο τσουχτερά προβλέπονται και τα πρόστιμα.
Το GDPR ουσιαστικά ήρθε να αντικαταστήσει παρόμοια, υφιστάμενη Ευρωπαϊκή Οδηγία του 1995 με ένα πολύ πιο αυστηρό κανονιστικό πλαίσιο, που να ανταποκρίνεται στα δεδομένα της ψηφιακής πραγματικότητας.
Έτσι λοιπόν οι εταιρείες από εδώ και στο εξής είναι υποχρεωμένες να δηλώσουν τι είδους και τι όγκο δεδομένων χειρίζονται, ποιος τα διαχειρίζεται, τι κανόνες και διαδικασίες ασφαλείας τηρούν προκειμένου αυτά τα δεδομένα να μην διαρρεύσουν και τέλος με ποιο τρόπο έχουν εξασφαλίσει τη συναίνεση για τη χρήση τους, από τα άτομα τα οποία αφορούν.
Ειδικότερα, οι εταιρείες θα πρέπει αφού δηλώσουν τι δεδομένα χειρίζονται και για ποιο σκοπό, να "στήσουν" μια διαδικασία που πρώτα απ' όλα να αποδεικνύει τη συναίνεση για τη λήψη και τη διατήρηση των δεδομένων. Ένα κείμενο, για παράδειγμα, που να ζητά συγκατάθεση για τη λήψη και τη χρήση πχ του email η του ιατρικού ιστορικού. Στην περίπτωση του e-mail στο κείμενο αυτό πρέπει να δηλώνεται ρητά και η δυνατότητα του ατόμου να ζητήσει διακοπή της χρήσης του mail του από τον συγκεκριμένο φορέα.
Δεύτερον, σε κάθε περίπτωση θα πρέπει η εταιρεία υποχρεωτικά να ορίσει έναν Υπεύθυνο Προστασίας Δεδομένων, και τρίτον να δηλώσει τους μηχανισμούς και τις διαδικασίες με τις οποίες αυτά τα δεδομένα διαφυλάσσονται - για παράδειγμα σε ειδικό λογισμικό πρόγραμμα στο οποίο κανένας άλλος δεν έχει πρόσβαση εκτός από τον Υπεύθυνο Διαχείρισης.
Ως προς το ιατρικό ή χρηματοοικονομικό ιστορικό, η συγκατάθεση εξασφαλίζεται με την υπογραφή του κειμένου, το οποίο ενδεχομένως να πρέπει να σταλεί προς υπογραφή και στους ήδη υπάρχοντες ασφαλισμένους. Το ίδιο δεν είναι εύκολο να γίνει με τα ήδη υπάρχοντα ενημερωτικά -διαφημιστικά mail, στην οποία περίπτωση η συγκατάθεση ενδεχομένως, αποδεικνύεται άτυπα από το γεγονός ότι ήδη χρησιμοποιούνται καιρό χωρίς εναντίωση, άρα ο παραλήπτης αποδέχεται την χρήση της διεύθυνσής του.
Κανένα νέο δεδομένο ωστόσο δεν μπορεί να λαμβάνεται ή να χρησιμοποιείται από τις 25 Μαΐου και μετά χωρίς την αποδεδειγμένη συγκατάθεση αυτού τον οποίο αφορά.
Τα πρόστιμα
Σύμφωνα με τα στοιχεία που παρουσιάστηκαν σε ημερίδα του Επαγγελματικού Επιμελητηρίου Αθηνών, για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας δεδομένων, το συνολικό ύψος του διοικητικού προστίμου διαμορφώνεται (αυστηρά πρόστιμα - άρθρο 83) ως εξής:
Α΄ κατηγορία παραβάσεων - Έως 10.000.000 ή για επιχειρήσεις το 2%
Β’ κατηγορία παραβάσεων - Έως 20.000.000 ή για επιχειρήσεις το 4% (και για μη συμμόρφωση προς αποφάσεις Αρχής) του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.
Για την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, ενδεικτικά λαμβάνονται υπόψη τα ακόλουθα:
- η φύση, η βαρύτητα και η διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση, την έκταση ή το σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων των δεδομένων που έθιξε η παράβαση και το βαθμό ζημίας που υπέστησαν,
- ο δόλος ή η αμέλεια που προκάλεσε την παράβαση,
- οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων,
- ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν,
- τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία,
- ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της,
- οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση,
- ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση,
- σε περίπτωση που διατάχθηκε προηγουμένως η λήψη των μέτρων που αναφέρονται κατά του εμπλεκόμενου υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα,
- η τήρηση εγκεκριμένων κωδίκων δεοντολογίας ή εγκεκριμένων μηχανισμών πιστοποίησης σύμφωνα και
- κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.

