ΠΡΑΚΤΙΚΟΣ ΟΔΗΓΟΣ ΣΥΜΜΟΡΦΩΣΗΣ ΜΕ ΤΟΝ ΚΑΝΟΝΙΣΜΟ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ Εισαγωγή Με την εφαρµογή του ΓΚΠΔ (Γενικός Κανονισµός Προστασίας Δεδοµένων, ΕΕ 2016/679) στον Ευρωπαϊκό και στον Ελληνικό χώρο από 25.05.2018 προκύπτουν κάποια σηµαντικά πρακτικά ζητήµατα τα οποία θα πρέπει να απαντήσει και επιλύσει ο υπεύθυνος της κάθε επιχείρησης προκειµένου να αποδεικνύει τη συµµόρφωσή του πρός τις επιταγές του κανονισµού. Είναι σηµαντικό να αναφερθεί ότι ο κανονισµός απεµπλέκει τις επιχειρήσεις από την εξάρτηση και αδειοδότηση οποιασδήποτε µορφής και µετακυλύει το βάρος τήρησης και ελέγχου των διαδικασιών στον επιχειρηµατία ο οποίος καλείται σε κάθε περίπτωση να αποδεικνύει την ορθή εφαρµογή του. Η συµµόρφωση γίνεται µέσω του Υπευθύνου προστασίας δεδοµένων (ΥΠΔ), ο οποίος είναι ο συνεκτικός κρίκος µεταξύ της επιχείρησης και της κρατικής εποπτείας και επί της ουσίας αυτός που διασφαλίζει τη συµµόρφωση της επιχείρησης στην ισχύουσα νοµοθεσία. Ο Υπεύθυνος Προστασίας Δεδοµένων (ΥΠΔ) διευκολύνει την επικοινωνία και την επίλυση πρακτικών ζητηµάτων σε µια επιχείρηση και µεσολαβεί έναντι των ενδιαφεροµένων (π.χ. εποπτικές αρχές, πελάτες, υπάλληλοι της επιχείρησης). Ο ρόλος του είναι καθαρά συµβουλευτικός και δε φέρει προσωπική ευθύνη για τη µη συµµόρφωση µε τον Κανονισµό. Υπεύθυνος να διασφαλίζει και να µπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύµφωνα µε τον ΓΚΠΔ είναι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία επιχειρηµατίας/νόµιµος εκπρόσωπος της επιχείρησης. Θα πρέπει να σηµειωθεί ότι ο Υπεύθυνος Προστασίας δεν απαιτείται να είναι πιστοποιηµένος. Απαιτείται η ολοκληρωµένη γνώση του κανονισµού και η συνεργασία µε τον IT της εταιρείας προκειµένου να εφαρµοστούν οι διατάξεις του κανονισµού στην τήρηση ηλεκτρονικών αρχείων. Η κάθε επιχείρηση θα πρέπει να εκπονήσει ένα σχέδιο που να αποδεικνύει τη συµµόρφωσή της πρός τον ΓΚΠΔ έτσι ώστε να αποφύγει τα πρόστιµα αλλά και ενδεχόµενες διεκδικήσεις τρίτων που σχετίζονται µε το θέµα. Στο κείµενο που ακολουθεί αναλύονται συνοπτικά κάποια σηµεία που θα διευκολύνουν την προσαρµογή των επιχειρήσεων στο νέο κανονισµό. Η τήρηση των περιγραφόµενων διαδικασιών έγκειται στη βούληση του εκάστοτε επιχειρηµατία να συµµορφωθεί πρός τις επιταγές του Κανονισµού. 1. Ποιός χρειάζεται υπεύθυνο επεξεργασίας δεδοµένων ; Σύµφωνα µε τον κανονισµό, οι επιχειρήσεις στις οποίες γίνεται επεξεργασία (αποθήκευση) δεδοµένων προσωπικού χαρακτήρα, όπως αρχεία ονοµάτων, email, στοιχεία τραπεζικών λογαριασµών/ καρτών ή διευθύνσεις πελατών.
Εξαίρεση υπάρχει για τις µικρές επιχειρήσεις που απασχολούν κάτω από 10 υπαλλήλους. 2. Που εδρεύει ο υπεύθυνος επεξεργασίας δεδοµένων; Στην περίπτωση επιχειρήσεων µε ένα µόνο υποκατάστηµα, στην έδρα της επιχείρησης, σε περίπτωση επιχειρήσεων µε περισσότερα υποκαταστήµατα και πάλι στην έδρα της επιχείρησης εφόσον εκεί λαµβάνονται οι αποφάσεις για την πολιτική επεξεργασίας δεδοµένων προσωπικού χαρακτήρα. Στην περίπτωση οµίλου επιχειρήσεων (πχ ευρωπαϊκών πολυεθνικών) θεωρείται ως κύρια εγκατάσταση του επιχειρηµατία που εκτελεί την επεξεργασία η κύρια εγκατάσταση στον Ευρωπαϊκό χώρο αλλά στη διαδικασία της εποπτείας, υφίσταται συνεργασία µε τις εποπτικές αρχές των κρατών όπου βρίσκονται οι θυγατρικές εγκαταστάσεις. Εποµένως στην περίπτωση επιχειρήσεων µε έδρα σε µια χώρα της ΕΕ και θυγατρικές σε άλλες χώρες της ΕΕ, καλό είναι να υπάρχει Υπεύθυνος Επεξεργασίας και σε τοπικό επίπεδο, προκειµένου να προλαµβάνει 3. Τι πρέπει να κάνει ο υπεύθυνος επεξεργασίας ; Ο υπεύθυνος επεξεργασίας συµβουλεύει τους εκπροσώπους της επιχείρησης σχετικά µε το θέµα προστασία δεδοµένων. Ευαισθητοποιεί και Εκπαιδεύει τους εργαζοµένους σχετικά µε την προστασία των δεδοµένων Ο υπεύθυνος επεξεργασίας συνεργάζεται µε την αρχή προστασίας δεδοµένων προσωπικού χαρακτήρα, στις περιπτώσεις που υπάρχουν καταγγελίες για την επιχείρηση Είναι αυτός µε τον οποίο έρχεται σε επικοινωνία το υποκείµενο των δεδοµένων Πρέπει να πιστοποιεί την τήρηση της διαδικασίας στην επιχείρηση και να συµβουλεύει τους εκπροσώπους και τους υπαλλήλους για την τήρησή της παρακολουθεί την εσωτερική συµµόρφωση µε τον Κανονισµό και άλλες διατάξεις περί προστασίας δεδοµένων (π.χ. προσδιορισµός και διαχείριση δραστηριοτήτων επεξεργασίας, εκπαίδευση προσωπικού, διενέργεια εσωτερικών ελέγχων). παρέχει συµβουλές για την εκτίµηση αντικτύπου και να παρακολουθεί την υλοποίησή της. είναι το πρώτο σηµείο επαφής για τις εποπτικές αρχές και τα υποκείµενα των δεδοµένων (εργαζόµενοι, πελάτες κ.λπ.). συνεργάζεται µε την εποπτική αρχή. 4. Τι γνώσεις πρέπει να έχει ο υπεύθυνος επεξεργασίας ; Δεν απαιτείται συγκεκριµένη πιστοποίηση. Θεωρητικά, ο καθένας που έχει τεχνικές γνώσεις υπολογιστών και κάποιες νοµικές γνώσεις θα µπορούσε να είναι υπεύθυνος επεξεργασίας. Ο εκπρόσωπος της εταιρείας µπορεί να αναθέσει το καθήκον αυτό σε οποιοδήποτε υπάλληλό του πληροί τις ανωτέρω προϋποθέσεις (συνήθως ανατίθεται στον IT). Το σηµαντικότερο είναι να γνωρίζει τη διαχείρηση των δεδοµένων και να συνεργάζεται µε το νοµικό τµήµα. Η αρχή προστασίας δεδοµένων προσωπικού χαρακτήρα, έχει το δικαίωµα να επικοινωνήσει µε τον υπευθυνο επεξεργασίας και να του ζητήσει στοιχεία για τον τρόπο τήρησης και επεξεργασίας των δεδοµένων στην επιχείρηση. Σε περίπτωση που κάποιος
εκφράσει παράπονα για την επεξεργασία των δεδοµένων του από την επιχείρηση, ο υπεύθυνος επεξεργασίας θα πρέπει να αποδείξει ότι τα έχει κάνει όλα σωστά. 5. Προστατεύεται ο υπεύθυνος επεξεργασίας; Εξαιτίας της θέσης του, ο υπεύθυνος επεξεργασίας χαίρει ιδιαίτερης προστασίας από συµπεριφορά του εργοδότη εναντίον του σχετιζόµενη µε την θέση του. Για παράδειγµα, δεν µπορεί να απολυθεί επειδή τονίζει στον εργοδότη του τις ελλείψεις και τα κενά ασφαλείας 6. Ποιές πληροφορίες απαιτείται να βρίσκονται στη διάθεση των αρχών για έλεγχο ; Στην περίπτωση που η ελεγκτική αρχή επισκεφθεί την επιχείρηση για έλεγχο, θα πρέπει να υπάρχουν διαθέσιµα τα ακόλουθα στοιχεία : Οι πληροφορίες που τηρούνται σε αρχείο Η κατανοµή αυτών των πληροφοριών Να αποδεικνύεται η ενηµέρωση πρός τους πελάτες ή υπαλλήλους για την τήρηση δεδοµένων προσωπικού χαρακτήρα (µέσω των ΓΟΣ, µέσω κειµένου στην ιστοσελίδα, όπου ο επισκέπτης κάνει κλικ ή να αποδεικνύεται η προφορική ανακοίνωση) Να είναι σαφώς καθορισµένο ποιός είναι ο σκοπός συλλογής των δεδοµένων Να αναφέρεται ποια δεδοµένα τηρούνται ανώνυµα ή ψευδώνυµα Να υπάρχει σαφής τεκµηρίωση για το χρόνο τήρησης των δεδοµένων Σε περίπτωση που υπάρχει διακίνηση δεδοµένων θα πρέπει να αποδεικνύεται πρός ποιόν και γιατί γίνεται αυτή καθώς κι αν αυτός πρός τον οποίο διακινούνται τα δεδοµένα έχει λάβει τα απαραίτητα µέτρα για την προστασία τους Να αναφέρεται ο χώρος αποθήκευσης των δεδοµένων (µήπτως αποθηκεύονται εκτός ΕΕ; Και αν ναι, πληρούνται οι προϋποθέσεις για αποθήκευση σε Τρίτη χώρα;) Να αποδεικνύεται ότι προστατεύονται τα δεδοµένα µέσω τεχνικώς και οργανωτικά άρτιων υποδοµών 7. Τήρηση αυτοµατοποιηµένων διαδικασιών Οι επιχειρήσεις θα πρέπει ανα πάσα στιγµή να είναι σε θέση να αποδείξουν ότι διαχειρίζονται τα δεδοµένα µε τον βέλτιστο και πλέον νόµιµο τρόπο. Έτσι θα πρέπει να µπορούν να αποδεικνύουν : Πως ενηµερώνονται οι πελάτες και οι υπάλληλοι για την επεξεργασία των δεδοµένων τους. Τι ενηµέρωση κάνουν οι συνεργάτες και οι υπάλληλοι της επιχείρησης όταν οι πελάτες ρωτούν ποιά δεδοµένα τους αποθηκεύονται. Ποια διαδικασία τηρείται όταν ένας πελάτης ζητά τη διαγραφή των δεδοµένων του. Ποιός έχει την ευθύνη για τη διαγραφή των δεδοµένων (όνοµα υπαλλήλου ή διαχειριστή). Ποια διαδικασία τηρείται σε περίπτωση διαρροής προσωπικών δεδοµένων (παράδειγµα: σε περίπτωση υποκλοπής, η επιχείρηση εντός 48 ωρών θα πρέπει να ενηµερώνει την αρχή προστασίας δεδοµένων) Πώς είναι οργανωµένη η διαδικασία διαγραφής δεδοµένων.
Πώς ενηµερώνονται οι εργαζόµενοι στην επιχείρηση για τις εξελίξεις και τις διαδικασίες στον τοµέα προστασίας των δεδοµένων και αν ακολουθούν τις πιο σύγχρονες πρακτικές Προσοχή : Στην περίπτωση επιχειρήσεων που εκ της φύσεώς τους (πχ γιατροί, δικηγόροι, ασφαλιστικές εταιρείες, λογιστες) επεξεργάζονται ευαίσθητα προσωπικά δεδοµένα (όπως Οικονοµικές πληροφορίες, πληροφορίες σεξουαλικού προσανατολισµου, πολιτικών πεποιθήσεων κλπ) θα πρέπει να έχει εκπονηθεί µελέτη που να περιγράφει λεπτοµερώς τα µέτρα (τεχνικά και οργανωτικά) που έχουν ληφθεί για να αποτραπεί η διαρροή τους. 8. Επιµέλεια τήρησης Δεδοµένων Η επιµέλεια ως πρός την τήρηση, επεξεργασία, αρχειοθέτηση κλπ των δεδοµένων προσωπικού χαρακτήρα είναι το ζητούµενο στην περίπτωση ενός ελέγχου. Ο ΥΠΔ θα ορίσει τι ακριβώς θα πρέπει να γίνει και πως θα προσαρµοσθεί η επιχείρηση στις επιταγές του κανονισµού. Στο σηµείο αυτό παρατίθενται πρακτικές λύσεις που καλύπτουν τις επιταγές του κανονισµού: 8.1. Δεδοµένα Πελατών Ο κανονισµός εφαρµόζεται σε σχέση µε τα αρχεία που τηρεί µια επιχείρηση για τους πελάτες της. Οι πελάτες και οι υπάλληλοι της επιχείρησης θα πρέπει να ενηµερώνονται σχετικά µε την τήρηση αρχείου µε τα δεδοµένα τους από την έναρξη της συνεργασίας µε την επιχείρηση και να δίνουν τη συγκατάθεσή τους. Η παροχή συγκατάθεσης του πελάτη σε επεξεργασία των δεδοµένων του πρός τον υπεύθυνο επεξεργασίας (ή τους εργοδότες του) είναι ένας σίγουρος τρόπος απόδειξης της συµµόρφωσης πρός τον κανονισµό για την προστασία δεδοµένων προσωπικού χαρακτήρα. Οι τρόποι µε τους οποίους µπορεί να γίνει αυτό είναι : Μέσω προφορικής ενηµέρωσης από τηλεφώνου ή δια ζώσης Στην πρώτη επικοινωνία µε τον πελάτη θα πρέπει να του ανακοινώνεται η πολιτική που ακολουθεί η επιχείρηση σχετικά µε την επεξεργασία δεδοµένων προσωπικού χαρακτήρα καθώς και να του δίνεται η δυνατότητα να εκφράσει την άποψή του και τη συναίνεσή του. Μέσω παροχής συγκατάθεσης του πελάτη σε έγγραφη φόρµα της επιχείρησης (µε την υπογραφή του) Σε συνέχεια της παραπάνω περιγραφόµενης πρακτικής, θα πρέπει ο υπεύθυνος της επιχείρησης να δίνει και εγγράφως την ενηµέρωση της εταιρείας πρός τον πελάτη και να λαµβάνει για το αρχείο της επιχείρησης ένα αντίγραφο µε την υπογραφή του. Ο έγγραφος τύπος και η έγγραφη συναίνεση του πελάτη αποτελεί απόδειξη απέναντι στον οποιονδήποτε έλεγχο και διασφαλίζει την επιχείρηση. Μέσω της ιστοσελίδας της εταιρείας µε µόνιµη ανάρτηση που ενηµερώνει τους επισκέπτες της σελίδας για τον τρόπο µε τον οποίο γίνεται η επεξεργασία των δεδοµένων Μέσω της ιστοσελίδας της εταιρείας η συγκατάθεση θα πρέπει να γίνεται µε αποδοχή των όρων επεξεργασίας των δεδοµένων που υπάρχουν αναρτηµένοι στην ιστοσελίδα. Στην πράξη ο υπεύθυνος ΙΤ της επιχείρησης δηµιουργεί τη δυνατότητα παροχής συγκατάθεσης µε κλικ αποδοχής.
Με αποστολή email που διευκρινίζει τις προϋποθέσεις και τους όρους που θέτει η επιχείρηση στην επεξεργασία των δεδοµένων Κάτω από την ταυτότητα του αποστολέα του email θα πρέπει να υπάρχει η ενηµέρωση/ειδοποίηση πρός τον λήπτη του email που να περιέχει την ανακοίνωση σχετικά µε τη λήψη και επεξεργασία δεδοµένων προσωπικού χαρακτήρα. Αυτό αποδεικνύει συµµόρφωση της επιχείρησης αλλά δεν εξασφαλίζει την ειδική αποδοχή του πελάτη πρός τους όρους επεξεργασίας, εποµένως θα πρέπει σε κάθε περίπτωση παράλληλα να ακολουθούνται οι παραπάνω διαδικασίες που έχουµε περιγράψει. Στους φακέλους των πελατών, η επιχείρηση µπορεί να τηρεί το ακόλουθο πινακάκι που αποδεικνύει ότι λαµβάνει υπόψη όλα όσα αναλύθηκαν παραπάνω: ΥΠΟΔΕΙΓΜΑ ΟΡΘΗΣ ΤΗΡΗΣΗΣ ΔΕΔΟΜΕΝΩΝ ΠΕΛΑΤΩΝ Υπεύθυνος επεξεργασίας [ΌΝΟΜΑ ΥΠΕΥΘΥΝΟΥ] Σκοπός επεξεργασίας Σηµείωση συνάντησης/χειρισµός υπόθεσης/ Τήρηση φακέλου πελάτη Υποκείµενο επεξεργασίας [ΟΝΟΜΑ ΠΕΛΑΤΗ] Ποιός έχει πρόσβαση στα δεδοµένα Ο επιχειρηµατίας/εταίρος/οι υπάλληλοι της γραµµατείας /οι δικηγόροι που χειρίζονται την υπόθεση / ο διευθυντής Κατηγορία Δεδοµένων Στοιχεία του πελάτη (όνοµα, τηλέφωνο, διεύθυνση email, αφµ) Προσωπικά στοιχεία που προκύπτουν από την υπόθεση Διακίνηση πρός άλλες χώρες (εντός ή εκτός Γίνεται διακίνηση πρός/ από το κεντρικό µας ΕΕ) στη, αλλά όχι πρός τρίτες χώρες Χρόνος Διατήρησης Μέχρι να ζητήσει διαγραφή τους ο πελάτης Νοµοθετικό πλαίσιο (συµµορφωση) ΓΚΠΔ 2016/679 Συγκατάθεση του υποκειµένου Κάθε πελάτης ενηµερώνεται προφορικά από τον δικηγόρο που χειρίζεται την υπόθεσή του και υπογράφει σχετική συγκατάθεση που περιλαµβάνεται στους ΓΟΣ µας, ότι ανα πάσα στιγµή µπορεί να έχει πρόσβαση στα δεδοµένα του και να ζητήσει τη διαγραφή τους. 8.2. Δεδοµένα Υπαλλήλων Ο κανονισµός εφαρµόζεται και στους υπαλλήλους της επιχείρησης. Οι υπάλληλοι θα πρεπει να ενηµερωθούν αναφορικά µε το ποιά δεδοµένα τους τηρούνται σε αρχείο, για ποιό σκοπό και για ποιό χρονικό διάστηµα, τέλος θα πρέπει να δίνουν τη συγκατάθεσή τους και να έχουν τη δυνατότητα να ζητήσουν τη διαγραφή αυτών σε περίπτωση λήξεως της συνεργασίας µε την επιχείρηση. Ο προτεινόµενος τρόπος για να γίνουν όλα τα παραπάνω είναι : Η αναγραφή στη σύµβαση εργασίας συγκεκριµένης ρήτρας, την οποία αποδέχονται µε την υπογραφή της σύµβασης (ισχύει για τους νεοπροσληφθέντες). Η υπογραφή ξεχωριστού εντύπου σχετικού µε την επεξεργασία των δεδοµένων του κάθε υπαλλήλου. Το τµήµα ανθρωπίνου δυναµικού µπορεί να ζητήσει από τον κάθε υπάλληλο την υπογραφή σχετικού εντύπου ή να στείλει email µε το συγκεκριµένο περιεχόµενο και να ζητήσει να αποσταλεί email µε την αποδοχή του. Προσοχή : Θα πρέπει
να εξηγηθεί στους υπαλλήλους ότι τα δεδοµένα τους τηρούνται εξαιτίας της εργασιακής σχέσης που τους συνδέει και ότι µετά την λήξη της σύµβασης εργασίας µπορούν να επιλέξουν είτε την αποδοχή διατήρησης του αρχείου (ενδεχοµένως για λόγους µελλοντικής συνεργασίας) είτε τη διαγραφή τους. Φυσικά το αρχείο που κατωχυρώνει νοµικά την εταιρεία σε φορολογικά ζητήµατα µπορεί να διατηρείται για το χρονικό διάστηµα που ορίζει ο φορολογικός νόµος (πχ 5 χρόνια) (Ισχύει για υφιστάµενους υπαλλήλους). Για όσο χρονικό διάστηµα εργάζεται ο υπάλληλος στην εταιρεία ο υπεύθυνος επεξεργασίας ή η επιχείρηση µπορεί να τηρεί το ακόλουθο πινακάκι στο αρχείο κάθε εργαζοµένου προκειµένου να µπορεί να αποδείξει άµεσα την ορθή συµµόρφωση : ΥΠΟΔΕΙΓΜΑ ΟΡΘΗΣ ΤΗΡΗΣΗΣ ΔΕΔΟΜΕΝΩΝ ΥΠΑΛΛΗΛΩΝ Υπεύθυνος επεξεργασίας Σκοπός επεξεργασίας Υποκείµενο επεξεργασίας Ποιός έχει πρόσβαση στα δεδοµένα Κατηγορία Δεδοµένων Διακίνηση πρός άλλες χώρες (εντός ή εκτός ΕΕ) Χρόνος Διατήρησης Νοµοθετικό πλαίσιο (συµµόρφωση) ΓΚΠΔ 2016/679 Συγκατάθεση του υποκειµένου Οι εταίροι / ο διευθυντής της εταιρείας Διαχείριση του προσωπικού της εταιρείας Οι υπάλληλοι/συνεργάτες της εταιρείας Οι εταίροι της εταιρείας/ ο υπεύθυνος για την διαχείριση προσωπικού / ο Διευθυντής Βιογραφικά,όνοµα,τηλέφωνο, διεύθυνση email, ΑΦΜ Οχι/Ναι Για όσο χρονικό διάστηµα βρίσκεται ο υπάλληλος σε σχέση µε την εταιρεία καθώς και χρονια µετά Ο υπάλληλος ενηµερώνεται µε την πρόσληψή του σχετικά µε το σκοπό διατήρησης και επεξεργασίας των δεδοµένων του και τη διάρκειά της. 9. Χρόνος τήρησης των δεδοµένων Τα δεδοµένα θα πρέπει να τηρούνται στο αρχείο της επιχείρησης για όσο χρόνο είναι απαραίτητο. Χαρακτηριστικό παράδειγµα για τις επιχειρήσεις είναι ο εκάστοτε χρόνος που ορίζεται από το νόµο προκειµένου να αποδείξουν τις συναλλαγές τους σε ενδεχόµενο φορολογικό έλεγχο (δηλαδή εαν ο φορολογικός νόµος ορίζει ότι µπορεί η επιχείρηση να ελεγχθεί µέσα στα επόµενα 5 χρόνια, τότε η επιχείρηση µπορεί να τηρεί τα δεδοµένα φακέλων υποθέσεων πελατών που έχουν κλείσει για τα επόµενα 5 χρόνια). Αντίστοιχως θα µπορούσαµε να πούµε ότι συµβαίνει και µε τα δεδοµένα υπαλλήλων της επιχείρησης, αφού τυχόν έλεγχος από το ΣΕΠΕ (επιθεώρηση εργασίας) µπορεί να γίνει µέχρι και 5 χρόνια από την απόλυση του υπαλλήλου.