ΠΡΑΚΤΙΚΟΣ ΟΔΗΓΟΣ ΕΦΑΡΜΟΓΗΣ TOY GDPR ΧΡΙΣΤΟΣ Θ. ΔΗΜΗΤΡΙΟΥ Δικηγόρος , L.LM
ίο
ΠΕΡΙΕΧΟΜΕΝΑ Α. Τι προβλέπει γενικά ο Γενικός Κανονισμός 679/2016 Ε.Ε. Β. Σε ποιους αφορά ο Κανονισμός: 1) οργανισμούς, 2) φυσικά πρόσωπα. Γ. Νομική φύση των προσωπικών δεδομένων. Δ. Στρατηγική υλοποίησης της συμμόρφωσης με το GDPR: 1. Δέσμευση της διοίκησης του οργανισμού (διάκριση του νομικού προσώπου, αναγκαιότητα κατάρτισης πρακτικού διοίκησης έναρξης συμμόρφωσης με το GDPR). 2. Η ροή της πληροφορίας ( πώς συλλέγεται, τηρείται και επεξεργάζεται το προσωπικό) Δεδομένο από τον οργανισμό - πότε είναι απαραίτητο το αρχείο επεξεργασίας του άρθρου 30 3. Εντοπισμός και ανάλυση κινδύνων: α) προσδιορίζουμε τους πιθανούς κινδύνους για τα προσωπικά δεδομένα και τις ελλείψεις του οργανισμού (gap analysis). β) πιθανή εκπόνηση DPIA. 4. Καταγραφή πολιτικών προστασίας (security policy). 5. Αποσαφήνιση πληροφορικής,
με
τον
IT
των
Προστασίας
χρησιμοποιούμενων
προσωπικών
εργαλείων
δεδομένων
(π.χ.
κρυπτογράφηση - encryption, firewalls,Cloud). 6. Ανάλυση της διαδικτυακής παρουσίας του οργανισμού (φύση του site ενημερωτικό ή δια-δραστικό - χρήση cookies, χρήση ηλεκτρονικών μέσων κοινωνικής δικτύωσης ( viber, Facebook, messenger, κ.α.). Αυτά τα στοιχεία είναι χρήσιμα για τη χαρτογράφηση της πληροφορίας και τη νομική γνωμοδότηση. 7. Παρακολούθηση των διαδικασιών και των συστημάτων καταγραφής (CCTV) σε συνεργασία με τον IT. Περιεχόμενο εκπαίδευσης και ενημέρωσης του προσωπικού και Ο ρόλος του DPO στον οργανισμό. Ε. Απαραίτητες διαδικασίες - πρότυπα: 1. Εκπόνηση βεβαίωσης εκπαίδευσης προσωπικού για το GDPR.
2
2. Ενημέρωση της αρμόδιας εποπτικής αρχής για τον DPO. 3. Διαδικασία διορισμού DPO εντός του οργανισμού. 4. Εκπόνηση γνωμοδότησης ΣΤ. Πώς βεβαιώνεται η εναρμόνιση με το GDPR: 1. Γνωμοδότηση βάσει του Κώδικα περί Δικηγόρων. 2. ISO αναφορικά με την προστασία δεδομένων (το οποίο λειτουργεί μόνο επικουρικά στον Κανονισμό). 3. Αναφορά στην έλλειψη συγκεκριμένων σφραγίδων εναρμόνισης. 4. Σημασία του GDPR auditing (δεν αναφέρεται στον Κανονισμό αλλά είναι μία πρακτική που βασίζεται στην έκθεση των δεδομένων που τηρούνται από τον οργανισμό.
ΥΠΟΔΕΙΓΜΑΤΑ (ΠΡΟΤΥΠΑ) UPON REQUEST 1. Πρακτικό διοίκησης του οργανισμού έναρξης συμμόρφωσης με το GDPR. 2. SWOT Analysis. 3. Βεβαίωση εκπαίδευσης προσωπικού του οργανισμού. 4. Ανακοίνωση διορισμού DPO στην Αρμόδια Αρχή. 5. Έκθεση τεχνικού IT για την κατάσταση των συστημάτων. 6. Πολιτική απορρήτου. 7. Μελέτη αντικτύπου. 8. Γνωμοδότηση εναρμόνισης. ΑΝΤΙ ΕΙΣΑΓΩΓΗΣ Το δημόσιο ενδιαφέρον για την προστασία και την ορθή διαφύλαξη δεδομένων προσωπικού χαρακτήρα εκδηλώνεται με τις προβλέψεις του Γενικού Κανονισμού 679/2016 Ε.Ε. Ως Κανονισμός της Ε.Ε. ισχύει αυτοτελώς σε όλες τις χώρες της Ε.Ε. χωρίς να χρειάζεται να περιβληθεί την ισχύ εσωτερικού (εθνικού) νόμου. Ο ρόλος του εθνικού νόμου, σε περίπτωση που υπάρξει, θα είναι καθαρά προσδιοριστικός
3
και αναλυτικός του
εν λόγω Κανονισμού. Πρωταρχικός στόχος του
Κανονισμού είναι να καθίσταται εξαιρετικά δύσκολη η απώλεια, κλοπή αλλά και η χρήση των δεδομένων προσωπικού χαρακτήρα, για σκοπούς διαφορετικούς από αυτούς για τους οποίους συγκεντρώθηκαν. Ακόμα και αν το ίδιο το υποκείμενο δεν εκδηλώνει το αυξημένο ή αναμενόμενο ενδιαφέρον για τα δεδομένα που το αφορούν, ο Κανονισμός επιλαμβάνεται μεριμνώντας για την προστασία τους. Ο λόγος για προσαρμογή στον Κανονισμό, του κάθε οργανισμού, δεν είναι τα πρόστιμα που επαπειλούνται αλλά η αποτελεσματική προστασία των προσωπικών δεδομένων και η σοβαρή εκδήλωση ενδιαφέροντος γι’ αυτά.
A. ΤΙ ΠΡΟΒΛΕΠΕΙ ΓΕΝΙΚΑ Ο ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ 679/2016 Ε.Ε. Ο Κανονισμός προβλέπει μία σειρά ρυθμίσεων, βάσει των οποίων, τηρούνται και επεξεργάζονται δεδομένα προσωπικού χαρακτήρα. Αρχικά, στο προοίμιο του Κανονισμού (άρθρ. 1), επισημαίνεται πως η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το δικαίωμα κάθε προσώπου στην προστασία δεδομένων προσωπικού χαρακτήρα που το αφορούν ορίζεται τόσο στο Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης όσο και στη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης. Επιπλέον, τα φυσικά πρόσωπα, όλο και περισσότερο, δημοσιοποιούν προσωπικές πληροφορίες τις οποίες καθιστούν διαθέσιμες σε παγκόσμιο επίπεδο. Η κοινωνική ζωή και η οικονομία έχουν αλλάξει με τη επίδραση της τεχνολογίας, καθιστώντας αναγκαίο το υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα. Έτσι, καθίσταται απαραίτητο ένα συνεκτικό πλαίσιο προστασίας εντός της Ε.Ε. με σκοπό, τα φυσικά πρόσωπα να έχουν τον έλεγχο δεδομένων προσωπικού χαρακτήρα που τους αφορούν. Η έμφαση στην έννοια του προσώπου και των δικαιωμάτων που απορρέουν από αυτό, αποκτά πρωτεύουσα σημασία, ως ουσιαστικό στοιχείο του ευρωπαϊκού νομικού πολιτισμού
4
Β. ΣΕ ΠΟΙΟΥΣ ΑΦΟΡΑ Ο ΚΑΝΟΝΙΣΜΟΣ Τα δεδομένα προσωπικού χαρακτήρα αφορούν αποκλειστικά σε φυσικά πρόσωπα. Δεν περιλαμβάνονται εδώ νομικά πρόσωπα καθώς αυτά, από τη φύση τους, υπόκεινται σε υποχρεωτική διαδικασία δημοσιότητας. Στο ερώτημα, αν φυσικά πρόσωπα που ασκούν αυτοτελή επαγγελματική δραστηριότητα, περιλαμβάνονται στην πρόβλεψη του Κανονισμού, η απάντηση είναι η εξής: Οποιοσδήποτε επαγγελματίας (π.χ. γιατρός, δικηγόρος, υδραυλικός κλπ.)δεν χάνει τα δικαιώματά του ως φυσικό πρόσωπο από τη στιγμή που έχει επιλέξει να μην τα δημοσιοποιεί. Όταν αυτά, για οποιοδήποτε λόγο, δημοσιοποιούνται, είτε εκ του νόμου(π.χ. στον οικείο δικηγορικό σύλλογο ή στο επιμελητήριο), είτε για λόγους δημοσιότητας (π.χ. διαφήμιση), δεν τυγχάνουν της προστασίας του Κανονισμού. Της ίδιας προστασίας δεν τυγχάνουν φυσικά πρόσωπα τα οποία είναι μέλη Δ.Σ. εταιρειών και διαχειριστές αυτών, καθώς η έννοια της δημοσιότητας των νομικών προσώπων μπορεί να τα περιλαμβάνει. Από την άλλη πλευρά, ο Κανονισμός αφορά και σε όσους τηρούν, επεξεργάζονται και με κάποιο τρόπο διαχειρίζονται δεδομένα προσωπικού χαρακτήρα. Οι πράξεις αυτές συνεπάγονται και ένα μικρότερο ή μεγαλύτερο βαθμό ευθύνης των εμπλεκομένων προσώπων και οργανισμών. Εδώ υπάγονται έννοιες, όπως: ˗ επεξεργασία
προσωπικών δεδομένων
˗ υπεύθυνος επεξεργασίας, που μπορεί να είναι φυσικό αλλά και νομικό πρόσωπο, ˗ εκτελών την επεξεργασία, ˗ εκπρόσωπος
αυτών
˗ η έννοια της συγκατάθεσης του υποκειμένου των δεδομένων, αλλά και ˗ τεχνικές έννοιες, όπως: το σύστημα αρχειοθέτησης που τηρεί ο οργανισμός και η πρόσβαση σε αυτό, βάσει συγκεκριμένων κριτηρίων.
5
Γ. ΝΟΜΙΚΗ ΦΥΣΗ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ Το άρθρο 4 παρ. 1 του Κανονισμού 679/2016 ορίζει ως «δεδομένα προσωπικού χαρακτήρα» , κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Αυτό είναι και το λεγόμενο «υποκείμενο» των δεδομένων. Στο άρθρο 4 ορίζονται ως «δεδομένα που αφορούν την υγεία», τα δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική και ψυχική υγεία ενός φυσικού προσώπου και που αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του. Εδώ περιλαμβάνεται κάθε παροχή υπηρεσιών υγειονομικής φροντίδας. Ακόμα, βιομετρικά δεδομένα προσωπικού χαρακτήρα είναι όσα προκύπτουν από ειδική τεχνική επεξεργασία που συνδέεται με φυσικά, βιολογικά και συμπεριφορικά χαρακτηριστικά φυσικού προσώπου τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου. Εδώ περιλαμβάνονται εικόνες προσώπου και δακτυλοσκοπικά δεδομένα. Επιπλέον, γενετικά είναι τα δεδομένα προσωπικού χαρακτήρα που συνδέονται τα γενετικά χαρακτηριστικά φυσικού προσώπου όπως προκύπτουν μετά από ανάλυση βιολογικού δείγματος και που παρέχουν μοναδικές πληροφορίες σχετικά με τη φυσιολογία ή και την υγεία του εν λόγω φυσικού προσώπου. Από πρακτικής άποψης, όταν εξετάζουμε τη φύση των προσωπικών δεδομένων που τηρεί ο οργανισμός, θα τα κατατάσσουμε σύμφωνα με τη διαβάθμιση του άρθρ. 4.
Δ. ΣΤΡΑΤΗΓΙΚΗ ΥΛΟΠΟΙΗΣΗΣ 1. Αρχικά είναι πολύ σημαντικό ν’ αφιερώσουμε κάποιο χρόνο συζήτησης με τη διοίκηση του οργανισμού. Συνήθως, αυτή η συζήτηση γίνεται με το διευθύνοντα σύμβουλο / διαχειριστή του νομικού προσώπου, ή το ίδιο το φυσικό πρόσωπο σε περίπτωση ατομικής επιχείρησης. Το περιεχόμενο της συζήτησης αφορά στη φύση των δεδομένων που τηρεί ο οργανισμός, τα πρόσωπα που εμπλέκονται στην επεξεργασία των δεδομένων, τον πιθανό
6
διαμοιρασμό δεδομένων με τρίτους, εκτός του οργανισμού και τον προϋπολογισμό του έργου που διαθέτει ο οργανισμός. Επίσης, περιεχόμενο της συζήτησης είναι και το χρονοδιάγραμμα έναρξης και λήξης του έργου, καθώς και (σε περίπτωση συμφωνίας) η κατάρτιση σχετικού πρακτικού που επισημοποιεί την έναρξη ή την ανάθεση του έργου. Παρατήρηση : Σε αυτή τη συζήτηση, προτείνεται να φωτιστεί όλο το πεδίο δράσης του εκτελεστή του έργου και να οριστεί συγκεκριμένη χρηματική προκαταβολή, η οποία θ’ αντιστοιχεί στο 50% του συνολικού κόστους του έργου. Σε αυτή την περίπτωση η ανάθεση γίνεται με δύο τρόπους: ˗ είτε με την εντολή, όπως αυτή διατυπώνεται στον ΑΚ, ˗ είτε με σύμβαση ανάθεσης έργου. 2. Έναρξη του έργου: Βασικό στοιχείο είναι η αποτύπωση της ροής της πληροφορίας δηλ. ο τρόπoς συλλογής της πληροφορίας, τήρησης και επεξεργασίας της. Αρχείο επεξεργασίας, σύμφωνα με το άρθρο 30 GDPR , υποχρεούνται να τηρούν οι εταιρείες άνω των 250 εργαζομένων. Εξαίρεση
έχουμε
στην
παράγραφο 5 του άρθρ. 30 , όπου μπορούμε να κάνουμε τις διακρίσεις που επιβάλλονται. Δηλαδή, ακόμα και περιστασιακή να είναι η επεξεργασία των προσωπικών δεδομένων, το αρχείο χρειάζεται να τηρηθεί, οπότε και δεν τηρείται το όριο των 250 εργαζομένων. ( Η κρίση εναπόκειται στους εμπλεκόμενους φορείς και έχει έναν υποκειμενικό χαρακτήρα). 3. Εντοπισμός και ανάλυση κινδύνων: α) Η εκκίνηση θα γίνει μ’ ένα βασικό μοτίβο που μπορεί να βγεί και από την εμπειρία του αστικού και εμπορικού δικαίου, δηλ. πιθανοί κίνδυνοι είναι η βλάβη της προσωπικότητας του υποκειμένου, η βλάβη της φήμης της εταιρείας , από πλημμελή τήρηση αυτών των δεδομένων, η κακόβουλη χρήση των δεδομένων προσωπικού χαρακτήρα, κ.α. (Η κρίση εναπόκειται στους εμπλεκόμενους φορείς και έχει έναν υποκειμενικό χαρακτήρα).
7
4. Εντοπισμός και ανάλυση κινδύνων: α) Η εκκίνηση θα γίνει μ’ ένα βασικό μοτίβο που μπορεί να βγεί και από την εμπειρία του αστικού και εμπορικού δικαίου, δηλ. πιθανοί κίνδυνοι είναι η βλάβη της προσωπικότητας του υποκειμένου, η βλάβη της φήμης της εταιρείας , από πλημμελή τήρηση αυτών των δεδομένων, η κακόβουλη χρήση των δεδομένων προσωπικού χαρακτήρα, κ.α. Αυτοί οι κίνδυνοι θα αναφερθούν σε μία πιθανή έκθεση της αποτύπωσης της εταιρείας μέσω της λεγόμενης “gap analysis”. Η συγκεκριμένη έκθεση δεν είναι απαραίτητη αλλά, στοιχεία της ροής πληροφοριών, της τήρησής τους και των οργανωτικών μέσων του οργανισμού μπορούν να χρησιμοποιηθούν σε αυτή. Οπωσδήποτε είναι ζήτημα διαφορετικής τιμολόγησης. β) Η φύση και η κινητικότητα δεδομένων προσωπικού χαρακτήρα που τηρεί ο οργανισμός, μας δίνουν τη δυνατότητα να εκπονήσουμε τη λεγάμενη DPIA (μελέτη αντικτύπου του άρθρ. 35). Το άρθρο 35 επισημαίνει την ανάγκη ορισμένων οργανισμών να καταγράψουν τη φύση και τον τρόπο τήρησης των προσωπικών δεδομένων με μία συγκεκριμένη διαδικασία. Αυτή η διαδικασία αποτυπώνεται στη λεγάμενη μελέτη αντικτύπου της τήρησης των δεδομένων για τα φυσικά πρόσωπα, τα οποία δεδομένα τηρεί ο οργανισμός. Η μελέτη αυτή δεν είναι υποχρεωτική για όλους τους οργανισμούς. Είναι όμως μεγάλης σημασίας σε οργανισμούς που τηρούν δεδομένα προσωπικού χαρακτήρα τα οποία έχουν κινητικότητα, π.χ. είναι αντικείμενο διαμοιρασμού με φορείς εκτός οργανισμού, ιδιαίτερα δε αν αυτά τα δεδομένα έχουν μια ποικιλομορφία (ευαίσθητα, βιομετρικά κλπ.). 5. Η έννοια του κινδύνου των πληροφοριακών συστημάτων εξετάζει την πλευρά της ποιότητας του hardware, της παλαιότητάς του και του λογισμικού (software) που χρησιμοποιείται προκειμένου να καταστήσουν τη φύλαξη και ασφάλεια των δεδομένων προσωπικού χαρακτήρα σε υψηλό επίπεδο. Επίσης, είτε στην κατάρτιση της πολιτικής απορρήτου είτε στη τελική έκθεση που θα
8
ακολουθήσει, είναι χρήσιμο ν’ αναφερθούμε στους κινδύνους που τυχόν διατρέχει η μεταβίβαση και ο διαμοιρασμός δεδομένων προσωπικού χαρακτήρα με τρίτους. Τέτοιοι κίνδυνοι, ενδεικτικά, είναι: α) η μεταφορά δεδομένων μέσα από ένα ανασφαλές κανάλι β) η έλλειψη κωδικοποίησης πληροφοριών κατά τη διαβίβασή τους, γ) η ζημιά από πλημμελή τέτοια διαβίβαση στη φήμη του οργανισμού δ) η πλημμελής φύλαξη των δεδομένων προσωπικού χαρακτήρα σε φυσικά αρχεία και πρόσβαση σε αυτά από αναρμόδια πρόσωπα (δηλ. μη εξουσιοδοτημένα από τον οργανισμό ). 6. Είναι πολύ χρήσιμη η συζήτηση με τον υπεύθυνο τεχνικό πληροφοριακών συστημάτων για τη φύση του λογισμικού και της προστασίας που αυτό έχει, όπως, κρυπτογράφηση κατά τη μεταφορά των δεδομένων, συστήματα ειδοποίησης σε περίπτωση παραβίασης των ηλεκτρονικών αρχείων, κάθε είδους ασπίδα ηλεκτρονικής προστασίας (firewall) κλπ. Είναι χρήσιμο επίσης να υπογράφει έγγραφο εκ μέρους του υπεύθυνου τεχνικού, το οποίο θα συναφθεί στο φάκελο εναρμόνισης και το οποίο ν’ αποτελέσει μέρος όλης της διαδικασίας συμμόρφωσης. Με λίγα λόγια, εδώ καλούμε τον IT ν’ αναλάβει την ευθύνη της εργασίας του στον οργανισμό. 7. Επιπροσθέτως: ανάλυση της διαδικτυακής παρουσίας του οργανισμού (φύση του site - ενημερωτικό ή δια-δραστικό , χρήση cookies, χρήση ηλεκτρονικών μέσων κοινωνικής δικτύωσης - viber, Facebook, messenger - κ.α. Αυτά τα στοιχεία είναι χρήσιμα για τη χαρτογράφηση της πληροφορίας και τη νομική γνωμοδότηση. 8. Παρακολούθηση των διαδικασιών και των συστημάτων καταγραφής (CCTV) σε συνεργασία με τον IT. 9. Περιεχόμενο εκπαίδευσης και ενημέρωσης του προσωπικού εντός της εταιρείας. Ο σύμβουλος μπορεί αυτό να το πραγματοποιήσει είτε με αυτοπρόσωπη παρουσία, είτε μέσω συνεδρίασης βίντεο (skype). Το αντικείμενο της ενημέρωσης περιλαμβάνει τη φύση των δεδομένων που
9
τηρεί ο οργανισμός και τον τρόπο φύλαξης δεδομένων που αφορούν στο προσωπικό. 10. Η πρόβλεψη του DPO στον Κανονισμό αφορά στον ορισμό συγκεκριμένου προσώπου (είτε από τον οργανισμό είτε εκτός αυτού) ως Υπεύθυνου Προστασίας Δεδομένων. Ο ορισμός του εξαρτάται από τη φύση των δεδομένων, την κινητικότητα και τον όγκο τους. Σε κάθε περίπτωση ο σύμβουλος εναρμόνισης είναι καθοριστικός.
Ε. ΑΠΑΡΑΙΤΗΤΕΣ ΔΙΑΔΙΚΑΣΙΕΣ - ΠΡΟΤΥΠΑ 1. Εκπόνηση βεβαίωσης εκπαίδευσης προσωπικού για το GDPR. 2. Ενημέρωση της αρμόδιας εποπτικής αρχής για τον DPO. 3. Διαδικασία διορισμού DPO εντός του οργανισμού. 4. Εκπόνηση σχετικής έκθεσης.
ΣΤ. ΠΩΣ ΒΕΒΑΙΩΝΕΤΑΙ Η ΕΝΑΡΜΟΝΙΣΗ ΜΕ ΤΟ GDPR. 1. Ο εξειδικευμένος δικηγόρος σας γνωρίζει ( ενδεικτική αναφορά εδώ) 2. ISO αναφορικά με την προστασία δεδομένων (το οποίο λειτουργεί ΜΟΝΟ ΕΠΙΚΟΥΡΙΚΑ στον Κανονισμό). 3. Λείπουν συγκεκριμένες σφραγίδες εναρμόνισης. 4. Η σημασία του GDPR auditing (δεν αναφέρεται στο Νόμο, αλλά είναι μια πρακτική που βασίζεται στην έκθεση των δεδομένων που τηρούνται από τον οργανισμό.) Τηλέφωνο επικοινωνίας 6973452114
1 0
Με την επιφύλαξη των πνευματικών μου δικαιωμάτων που απορρέουν από το παρόν.
1 1