GDPR in Greece: Successes & Failures in Compliance

Transcript

1 GDPR in Greece: Successes & Failures in Compliance GDPR for MARKETERS CONFERENCE 2019 Πρόεδρος

2 Successes Τα δεδομένα αναγνωρίζονται ως asset και ως δικαίωμα Ξεκαθάρισμα βάσεων δεδομένων Ad tech

3 Successes Τα δεδομένα ως asset και ως δικαίωμα Ορθή χρήση και Δίκαιη επεξεργασία και Σεβασμός = καλύτερη επεξεργασία και εκμετάλλευση των δεδομένων

4 Successes Ξεκαθάρισμα βάσεων δεδομένων Οι διαδικασίες συμμόρφωσης και λογοδοσίας βοήθησαν: - Στην κατανόηση χρήσης και χρησιμότητας των δεδομένων ανά κατηγορία - Στην δημιουργία πολιτικής διατήρησης των δεδομένων - Στην απαλλαγή από άχρηστα δεδομένα - Στον επανασχεδιασμό της αποτελεσματικής προστασίας των δεδομένων - Στον επανασχεδιασμό της χρήσης των νόμιμων βάσεων δεδομένων για τους σκοπούς των οργανισμών που τα επεξεργάζονται

5 Successes Artificial intelligence, big data and machine learning - Οι νέες τεχνολογίες μπορούν να χρησιμοποιούν τεράστιο αριθμό δεδομένων προσωπικού χαρακτήρα από ευρύ φάσμα πηγών, να λαμβάνουν αποφάσεις και να παρέχουν νέες ιδέες. Η ικανότητα του AI να εισβάλλει στην ιδιωτική ζωή και να επηρεάσει την ανθρώπινη συμπεριφορά με το χειρισμό προσωπικών δεδομένων αποτελεί προτεραιότητα για τις εποπτικές αρχές. - Η νομοθεσία για την προστασία των δεδομένων και της ιδιωτικότητας και ειδικά ο GDPR θα αποτελέσει βασική συνιστώσα σε οποιοδήποτε ευρύτερο ηθικό πλαίσιο για τη λήψη αποφάσεων σχετικά με την ΑΙ. - Η συμπεριφορική διαφήμιση, η δημιουργία του αγοραστικού/καταναλωτικού/ πιστοληπτικού προφίλ θα είναι εφικτή μόνο μέσα από το πρίσμα του Κανονισμού.

6 Successes Ad tech - Οι τεχνικές που χρησιμοποιούνται για την άντληση δεδομένων από τα υποκείμενα συγκρούονται σε πολλά σημεία με τον GDPR. - Τα νέα δεδομένα έχουν αλλάξει το πεδίο εφαρμογής και η βιομηχανία εξακολουθεί να ανησυχεί πολύ για το τι σημαίνει συμμόρφωση. - Ο δρόμος για χρήση ad tech με επαρκή συμμόρφωση πλέον πρέπει να περιέχει: - Διαφάνεια και ενημέρωση - Επαρκή νομική βάση για την επεξεργασία δεδομένων (βέβαια παρατηρείται εκτενής χρήση της συγκατάθεσης και privacy fatigue των υποκειμένων) - Ασφάλεια και συνέπεια στον διαμοιρασμό των δεδομένων. - Δύσκολα τα location data - Μελέτες δείχνουν ότι οι πολύ στοχευμένες διαφημίσεις εκνευρίζουν και ανησυχούν τους αποδέκτες τους

7 Failures Η σωστή συμμόρφωση προϋποθέτει: 1. Συμβούλους (Νομικούς και IT security) που να έχουν βαθιά γνώση και εμπειρία στα θέματα των προσωπικών δεδομένων και της προστασίας τους (η σχετική νομοθεσία και η νομολογία έχουν ήδη 20 χρόνια εφαρμογής ), 2. Συνειδητοποίηση της αξίας που έχουν τα δεδομένα για μία επιχείρηση όταν η χρήση τους είναι νόμιμη και ορθή, 3. Εμπορική ικανότητα ώστε να αναδειχθούν τα ανταγωνιστικά οφέλη για μία εταιρεία από την συμμόρφωση, και 4. Καλή γνώση του εξατομικευμένου (και όχι φασόν) προγράμματος συμμόρφωσης ανάλογα με τις ιδιαιτερότητες κάθε εταιρείας και των δεδομένων που επεξεργάζεται.

8 Failures Η ελλιπής συμμόρφωση έχει οδηγήσει σε: - Μικρά ποσοστά πραγματικής συμμόρφωσης (περίπου 30-40% των οργανισμών δηλώνουν ότι έχουν συμμορφωθεί δεν γνωρίζουμε πόσοι έχουν κάνει ορθή συμμόρφωση) - Αποθέωση της Συγκατάθεσης ως ασφαλής νομική βάση επεξεργασίας (GDPR ) - Λανθασμένη ενημέρωση, επιλογές και χειρισμό των Cookies και των Fan pages - - DPIA που δεν εμβαθύνουν στις κρίσιμες επεξεργασίες

9 Failures Αποθέωση Συγκατάθεσης (GDPR ) Η συγκατάθεση είναι μόνο από τις έξι (6) νομικές βάσεις επεξεργασίας δεδομένων. Οι υπόλοιπες είναι: - Σύμβαση - Έννομη υποχρέωση - Έννομο συμφέρον - Δημόσιο συμφέρον - Ζωτικό συμφέρον υποκειμένου Τι ισχύει για την άμεση εμπορική προώθηση; - Υπάρχοντες πελάτες = έννομο συμφέρον = soft opt in - Μη πελάτες = συγκατάθεση = opt in - Υπηρεσίες τρίτων = διαφορετικός σκοπός = διακριτή συγκατάθεση (opt-in)

10 Failures Cookies και Fan pages (περιμένοντας τον eprivacy.) Η χρήση των cookies HTTP δεν έχει μειωθεί, παρόλο που μια σειρά από εναλλακτικές μεθόδους για την επίδοση της ηλεκτρονικής παρακολούθησης έχουν προκύψει και γίνονται πιο συνηθισμένες. Επί του παρόντος ισχύει το πλαίσιο του Ν. 3471/2006 μαζί με τον GDPR: - Συγκατάθεση, έπειτα από σαφή και εκτενή ενημέρωση - Ενημέρωση = cookie notification/pop-up - Ελέω GDPR η ενημέρωση πρέπει να είναι ΣΑΦΗΣ και ΕΜΦΑΝΗΣ - Εξαιρέσεις για cookies που είναι τεχνικά απαραίτητα για την πραγματοποίηση της σύνδεσης στην ιστοσελίδα ή την παροχή της υπηρεσίας διαδικτύου (π.χ. καλάθι e-shop). - Απαγόρευση cookie walls! - Μια νέα εποχή για τις επαγγελματικές ιστοσελίδες (fan pages) στο Facebook. Το ΔΕΕ αποφάνθηκε ότι οι διαχειριστές λαμβάνουν ανώνυμα στατιστικά στοιχεία για τους επισκέπτες με τη βοήθεια του εργαλείου Facebook Insight και αναγνώρισε ότι το Facebook τοποθετεί τα cookies. Παράλληλα όμως το ΔΕΕ χαρακτηρίζει τη συνέργεια μεταξύ του Facebook και του διαχειριστή τέτοιων σελίδων ως θέμα κοινής ευθύνης κλείνοντας το μάτι σε μία κατάσταση όπου αυτοί οι 2 θα θεωρούνται ως joint controllers (από κοινού υπεύθυνοι επεξεργασίας).

11 Ευχαριστώ