GDPR: Μια βαθύτερη κατανόηση
GDPR: Μια βαθύτερη κατανόηση
Πρόλογος
Τις τελευταίες μέρες γίνεται χαμός γιατί εξέπνευσε η προθεσμία έναρξης του κανονισμού προστασίας προσωπικών δεδομένων στις επιχειρήσεις. Ως συνήθως τρέχουμε όλοι μαζί τελευταία στιγμή να μαζέψουμε την κατάσταση. Αυτό όμως που ίσως δεν έχουμε συνειδητοποιήσει είναι ότι στην πραγματικότητα όλο αυτό μόλις τώρα ξεκινάει. Η 25η Μαΐου δεν ήταν η λήξη μιας προθεσμίας ήταν η αρχή μιας άλλης εποχής σε ότι αφορά τα δεδομένα που διαχειριζόμαστε που εν’ τέλει είναι η προστασία της ιδιωτικής μας ζωής.
Η προστασία της ιδιωτικής μας ζωής σημαίνει να είμαστε καταρχήν ευαισθητοποιημένοι σε ότι αφορά την χρήση προσωπικών δεδομένων και τις επιπτώσεις που έχει αυτή η χρήση κατά την ανάπτυξη προϊόντων, υπηρεσιών, εκστρατειών μάρκετινγκ. Σημαίνει να θέτουμε ερωτήσεις πριν συλλέξουμε ή πριν χρησιμοποιήσουμε δεδομένα. Ερωτήσεις όπως: χρειάζομαι όλα αυτά τα δεδομένα που συλλέγω εδώ; Μπορώ να κάνω αυτό το έργο χωρίς να χρησιμοποιήσω καθόλου τα προσωπικά δεδομένα; Χρησιμοποιώ τα δεδομένα με έναν τρόπο που ο χρήστης μπορεί να μην περιμένει ή να μην του αρέσει; Έχω ένα σχέδιο για να διαγράψω αυτά τα δεδομένα μόλις ο ίδιος ή η ομάδα μου δεν τα χρειάζεται πλέον;
Δικαίωμα στην Ιδιωτικότητα
Τα βασικά δικαιώματα για την προστασία της ιδιωτικότητας δηλαδή τα δικαιώματα των υποκειμένων όπως τα ορίζει ο κανονισμός, το πόσο νόμιμη είναι η επεξεργασία που γίνεται, οι ευθύνες αυτών που χειρίζονται αυτά τα δεδομένα είναι βασικές έννοιες του GDPR. Τα δικαιώματα αυτά (Data Subject Rights) -έχουν ως βασικό στόχο να δώσουν στους ιδιώτες μεγαλύτερο έλεγχο των δεδομένων που οι εταιρίες γνωρίζουν γι’αυτούς. Είμαστε σε μια εποχή που οι εταιρίες είναι σε θέση να γνωρίζουν ποιά διαδρομή πήραμε για να πάμε την δουλειά μας, πότε μπήκαμε σπίτι μας, ποιές είναι η συνήθειές μας και τι μας αρέσει να κάνουμε. Τα δικαιώματα αυτά λοιπόν σχεδιάστηκαν έτσι ώστε να δίνουν στα άτομα τη δυνατότητα να ελέγχουν ποιός έχει πρόσβαση στα προσωπικά τους δεδομένα και πως αυτά χρησιμοποιούνται. Αναμφίβολα λοιπόν αυτός ο κανονισμός θα έχει ουσιαστικό όφελος για κάθε έναν από εμάς ως πρόσωπο οπότε αξίζει το κόπο να δούμε προσεκτικά αυτά τα δικαιώματα:
– Δικαίωμα ενημέρωσης που σημαίνει ότι θα πρέπει να μπορούν να παρέχονται στο άτομο πληροφορίες σχετικά με τη φύση, το σκοπό της επεξεργασίας καθώς και τα μέσα φύλαξης.
– Δικαίωμα στην πρόσβαση σημαίνει ότι μπορεί το άτομο να ζητήσει τι είδους δεδομένα η κάθε εταιρία κρατάει για λογαριασμό του
– Δικαίωμα διόρθωσης. Το άτομο μπορεί να ζητήσει την διόρθωση ανακριβών ή την συμπλήρωση δεδομένων προσωπικού χαρακτήρα που το αφορούν.
– Δικαίωμα στη λήθη που σημαίνει ότι τα άτομα μπορούν όποτε θέλουν να ζητήσουν από τις εταιρίες – υπό προυποθέσεις – να διαγράψουν τα δεδομένα τους.
– Δικαίωμα περιορισμού της επεξεργασίας. Επιτρέπει σε ένα άτομο να απαιτήσει από μια εταιρία να σταματήσει την επεξεργασία των προσωπικών δεδομένων.
– Δικαίωμα στην φορητότητα. Επιτρέπει στα άτομα να ζητούν από τις εταιρίες να παρέχουν τα δεδομένα τους σε άλλη εταιρία για λογαριασμό τους.
– Δικαίωμα εναντίωσης. Το άτομο μπορεί να αντιτάσσεται, υπο προυποθέσεις, στην επεξεργασία δεδομένων που το αφορούν – κυρίως για εμπορικούς σκοπούς.
Τα δικαιώματα αυτά είναι πλήρη και αυτονόητα παρόλο που αρχικά μπορεί να είναι λίγο δύσκολο να τα κατανοήσουμε. Αυτό όμως που θα πρέπει να κατανοήσουμε είναι ότι τα δικαιώματα αυτά έχουν σχεδιαστεί έτσι ώστε η χρήση που γίνεται στα δεδομένα να ελέγχεται από τα άτομα και όχι τις εταιρείες που τα χρησιμοποιούν.
Νομιμότητα της επεξεργασίας
Όπως είπαμε μια ακόμη βασική ιδέα που εισάγει ο κανονισμός είναι η νομιμότητα της επεξεργασίας. Η Ευρωπαϊκή Ένωση απαιτεί από τις εταιρείες να διαθέτουν νομική βάση για τη συλλογή, χρήση, χειρισμό και αποθήκευση των προσωπικών δεδομένων των ατόμων. Υπάρχουν διάφοροι τρόποι με τους οποίους οι εταιρείες μπορούν να αποδείξουν ότι επεξεργάζονται νόμιμα δεδομένα, αλλά οι τρεις πιο κοινές μέθοδοι είναι:
– Με σύμβαση. Η συμβατική συμφωνία μεταξύ μιας εταιρείας και ενός ατόμου σχετικά με την επεξεργασία προσωπικών δεδομένων. Αυτό ισχύει όταν η συλλογή δεδομένων είναι απαραίτητη για την εκπλήρωση μιας σύμβασης. Έτσι, για παράδειγμα, υπάρχει σύμβαση με μιά εταιρεία κινητής τηλεφωνίας σας προκειμένου να παρασχεθούν υπηρεσίες.
– Με συναίνεση. Οι εταιρείες μπορούν επίσης να βασίζονται στη συναίνεση, αλλά στο πλαίσιο του GDPR αυτό χρειάζεται προσοχή καθώς τώρα σε αντίθεση με το παρελθόν πρέπει να είναι αδιαμφισβήτητη και να ακολουθείται από μια καταφατική δράση. Αυτή η βελτιωμένη απαίτηση του κανονισμού θα κάνει πραγματικά δύσκολο για τις εταιρείες να αποδείξουν ότι έλαβαν πράγματι τη συγκατάθεση του πελάτη.
– Το έννομο συμφέρον. Απαιτεί από τις εταιρείες να εξισορροπήσουν το συμφέρον της επιχείρησης ενάντια στα δικαιώματα και τις ελευθερίες του ατόμου που συλλέγει τα προσωπικά του δεδομένα. Έτσι, για παράδειγμα, αν κάνετε μια ηλεκτρονική αγορά, μια επιχείρηση χρειάζεται αρκετές πληροφορίες για σας για να ολοκληρώσει τη συναλλαγή και να αποτρέψει την απάτη. Συνεπώς, η εν λόγω εταιρεία θα μπορούσε να βασιστεί σε έννομο συμφέρον ως βάση για τη συλλογή του ονόματος, των στοιχείων της πιστωτικής σας κάρτας και της διεύθυνσης. Το συμφέρον της εταιρείας για την επεξεργασία της συναλλαγής και την πρόληψη της απάτης υπερβαίνει σε αυτή τη περίπτωση το ενδιαφέρον για την προστασία της ιδιωτικότητας.
Ευθύνη της επεξεργασίας των δεδομένων
Ένα επίσης πολύ σημαντικό πράγμα για τον κανονισμό είναι η ευθύνη της επεξεργασίας των δεδομένων. Αυτή επικεντρώνεται στον υπεύθυνο επεξεργασίας και στον εκτελών την επεξεργασία. Ας δούμε τι είναι ακριβώς αυτές οι έννοιες που είναι κεντρικές στον κανονισμό και ποιες είναι οι ευθύνες τους.
Με τον Γενικό Κανονισμό για την Προστασία Δεδομένων εισάγεται μια λογική αυτοελέγχου και περιορισμού του ρόλου της εποπτικής αρχής στο πεδίο της προστασίας των δεδομένων προσωπικού χαρακτήρα όπου την πρωτοβουλία εφαρμογής και συμμόρφωσης έχουν πλέον οι 1. υπεύθυνος επεξεργασίας και 2. ο εκτελών την επεξεργασία.
Ως επεξεργασία προσωπικών δεδομένων ενός φυσικού προσώπου νοείται κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινοποίηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
Ο υπεύθυνος επεξεργασίας ορίζει τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τα μέσα με τα οποία αυτή πραγματοποιείται. Επομένως, εάν μια εταιρεία αποφασίζει «γιατί» και «πώς» τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία, θεωρείται ο υπεύθυνος επεξεργασίας. Οι εργαζόμενοι που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα εντός της εταιρίας το κάνουν για να εκπληρώσουν τα καθήκοντα της εταιρίας ως υπεύθυνου επεξεργασίας.
Ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνο εκ μέρους του υπεύθυνου επεξεργασίας. Ο εκτελών την επεξεργασία είναι συνήθως τρίτος εκτός εταιρείας. Ωστόσο, στην περίπτωση ομίλων επιχειρήσεων, μια επιχείρηση μπορεί να ενεργεί ως εκτελούσα την επεξεργασία για λογαριασμό άλλης επιχείρησης.
Συμπεράσματα
Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων δεν αποτελεί απλώς ένα εργαλείο διαχείρισης και προστασίας της ιδιωτικότητας αλλά πρέπει να γίνει κουλτούρα της εταιρείας. Η προστασία της ασφάλειας των δεδομένων αποτελεί για κάθε εταιρεία μαραθώνιο όχι μόνο για να κάνει τα αναγκαία σε σχέση με αυτά που επιβάλει ο κανονισμός. Αντίθετα αποτελεί μια συνεχή διαδικασία για κάθε εταιρεία η οποία προϋποθέτει αλλαγή κουλτούρας και ευαισθητοποίηση. Ένας βασικός παράγοντας για την αύξηση της ασφάλειας των δεδομένων εκτός από τη δημιουργία πολιτικών και διαδικασιών προστασίας της ιδιωτικότητας είναι η εκπαίδευση του ανθρώπινου δυναμικού της.