Στις επιχειρήσεις η ευθύνη για τα προσωπικά δεδομένα
Η καθηγήτρια στο Πανεπιστήμιο του Αιγαίου Λίλιαν Μήτρου πρωταγωνιστεί τις τελευταίες δύο δεκαετίες στη νομοθέτηση αλλά και στην πρακτική της προστασίας των προσωπικών δεδομένων. Η κ. Μήτρου που είναι πρόεδρος της νομοπαρασκευαστικής επιτροπής για την προσαρμογή του εθνικού δικαίου στον Γενικό Κανονισμό Προστασίας Δεδομένων μίλησε στην «Κ» για μία σειρά από ζητήματα που θα πρέπει να προσέξουν επιχειρήσεις και πολίτες στην προσαρμογή τους στο νέο νομικό καθεστώς.
– Δεν αρκούσε το προηγούμενο πλαίσιο;
– Το πεδίο εφαρμογής του νέου πλαισίου είναι όλες εκείνες οι εταιρείες, οι οποίες δραστηριοποιούνται διαδικτυακά, έχουν έδρα εκτός Ε.Ε. αλλά πολύ μεγάλο μέρος της ομάδας στόχου τους, ας το πούμε έτσι, είναι μέσα στην Ε.Ε. Οπως είναι ο κανονισμός αφορά την Google, το Facebook και όποιον προσφέρει αγαθά και υπηρεσίες ή παρακολουθεί μέσω cookies τη διαδικτυακή συμπεριφορά των χρηστών.
Η κ. Μήτρου ξεκαθαρίζει ότι το κρίσιμο είναι η πραγματική εγκατάσταση όχι η έδρα. Αν εκεί που γίνεται η επεξεργασία των δεδομένων είναι στην Ε.Ε., δεν τίθεται κανένα ζήτημα ως προς την εφαρμογή του ευρωπαϊκού δικαίου. Με τον κανονισμό δεν αρκεί πλέον η εικαζόμενη συγκατάθεση, πρέπει να αποδεικνύεις τη συγκατάθεση. Αυξάνει πολύ περισσότερο τις υποχρεώσεις για σαφή ενημέρωση των προσώπων. Ετσι, πλέον σε οποιαδήποτε ενημέρωση κάνεις για τα δικαιώματα πρέπει να προσθέτεις ότι «δικαιούσθε να μας κάνετε καταγγελία στην αρχή προστασίας δεδομένων…». Είναι υποχρεωτικό, όχι βέλτιστη πρακτική. Καταργεί όλες τις γραφειοκρατικές υποχρεώσεις (προηγούμενη άδεια, γνωστοποίηση) και μεταθέτει όλη την ευθύνη στην αυτοσυμμόρφωση. Τα νοσηλευτικά ιδρύματα ήταν πολύ πιο εύκολο όταν τους ζητούσε κάποιος να πάρει τα δεδομένα κάποιου άλλου να πάνε στην Αρχή Προστασίας Προσωπικών Δεδομένων να ζητήσουν την άδεια και να μην έχουν καμία ευθύνη ως προς αυτό. Τώρα θα πρέπει να παίρνουν οι ίδιοι τις αποφάσεις.
Το Δημόσιο και η ασφάλεια
– Ο νομοθέτης δεν έχει μετατρέψει τον κανονισμό σε εσωτερικό δίκαιο. Σήμερα υπάρχουν σε ισχύ διαφορετικές βάσεις. Τι ισχύει σε ένα δικαστήριο;
– Παρ’ όλο που είναι κανονισμός, πρέπει να υπάρχει ένας εθνικός νόμος που να ρυθμίζει πάρα πολλά θέματα. Ενα από αυτά είναι τα πρόστιμα στον δημόσιο τομέα. Ο κανονισμός δίνει την ευχέρεια στα κράτη-μέλη να προβλέψουν πρόστιμα στον δημόσιο τομέα. Στο προσχέδιο νόμου προβλέπονται πρόστιμα και για το Δημόσιο, στη λογική ότι είναι και πολύ δύσκολο να διακρίνεις μεταξύ ομοειδών καταστάσεων. Ηταν ο ίδιος λόγος που και στον νόμο του 1997 είχαμε προβλέψει ίδιες ρυθμίσεις για δημόσιο και ιδιωτικό τομέα. Π.χ. έχεις μια παραβίαση σε ένα σχολείο δημόσιο και ιδιωτικό. Προφανώς υπάρχει ένα ζήτημα ως προς τις οικονομικές ευχέρειες αλλά μπορεί να έχεις την ίδια ακριβώς παραβίαση. Το μεγαλύτερο πρόστιμο που έχει επιβάλει η Αρχή Προστασίας Προσωπικών Δεδομένων υπό το προηγούμενο καθεστώς είναι στη ΓΓΠΣ για παραβίαση ασφάλειας δεδομένων…
– Σε πολλούς φορείς του Δημοσίου η ασφάλεια των συστημάτων είναι ανεπαρκής.
– Το θέμα αυτό με τον κανονισμό ενισχύεται σε σημασία. Στον κανονισμό η έννοια της ασφάλειας είναι μια έννοια που διατρέχει πάρα πολλές υποχρεώσεις. Οταν έχεις παραβίαση ασφάλειας, υποχρεούσαι πλέον να το ανακοινώσεις στην Αρχή Προστασίας Προσωπικών Δεδομένων και στα πρόσωπα τα δεδομένα των οποίων έχουν θιγεί λόγω της παραβίασης.
Μικρή επιχείρηση
– Η μέση ελληνική επιχείρηση είναι 1-4 άτομα. Σε αυτό το περιβάλλον τι μπορεί να κάνει;
– Μία από τις πρώτες γνωστοποιήσεις με το νομικό καθεστώς του ’97 ήταν μια πολύ ευσυνείδητη κυρία, κομμώτρια, που ζήτησε άδεια γιατί είχε στοιχεία για αλλεργίες. Εφαρμόζεται σε όλους ο κανονισμός. Δεν έχει σημασία πάντα πόσα άτομα έχω προσωπικό. Μπορεί να έχω 8.000 άτομα προσωπικό και να είμαι μια βιομηχανική επιχείρηση που πουλάει χονδρική, δεν κάνω μάρκετινγκ στοχευμένο σε μεμονωμένα άτομα και να με ενδιαφέρει ο κανονισμός για την προστασία των δεδομένων των εργαζομένων και εκεί να τελειώνει το πράγμα. Μπορεί να έχω μια επιχείρηση που να έχει τρία άτομα και να διαθέτει στοιχεία εκατομμυρίων προσώπων. Το θέμα είναι πώς αντιλαμβάνονται και οι συλλογικοί φορείς όλων αυτών τη συμμόρφωση. Το Ξενοδοχειακό Επιμελητήριο φρόντισε να ενημερωθεί το σύνολο των εγγεγραμμένων μελών του. Τα «έξυπνα» ξενοδοχεία που προσφέρουν εξατομικευμένη εξυπηρέτηση προϋποθέτουν εξατομικευμένη πληροφόρηση και επεξεργασία. Αν το κάνει κάποιος συνειδητά και αποδέχεται ότι μέσα από τους σένσορες θα προκύψει και ένα profiling και το αποδέχομαι ως πελάτης συνειδητά, προσωπικά δεν έχω πρόβλημα.
Πηγή: Καθημερινή