Για τις υποχρεώσεις των επιχειρήσεων και των φορέων, που απορρέουν από τον Ευρωπαϊκό Κανονισμό Προστασίας των Προσωπικών Δεδομένων ενημερώθηκαν οι επαγγελματίες – επιχειρήσεις μέλη του Επιμελητηρίου Άρτας την περασμένη Παρασκευή.
Ο νέος Ευρωπαϊκός Κανονισμός αν και δεν έχει ενσωματωθεί ακόμη στην ελληνική νομοθεσία – μόλις ολοκληρώθηκε η διαβούλευση του σχετικού νομοσχεδίου- τίθεται σε ισχύ σε όλες τις χώρες της ΕΕ από τις 25 Μαΐου και γι’ αυτό το Διοικητικό Συμβούλιο ανέλαβε την πρωτοβουλία να διοργανώσει την συγκεκριμένη εκδήλωση με στόχο να ξεκαθαρίσει το τοπίο γύρω από τον τρόπο συμμόρφωσης των επιχειρήσεων στο νέο κανονισμό, την εκπαίδευση, τις πιστοποιήσεις που απαιτούνται, αλλά και ποιες είναι οι διαπιστευμένες εταιρείες για την ανάληψη του συγκεκριμένου έργου.
Ο Πρόεδρος του Επιμελητηρίου κ. Γιάννης Γκολομάζος επισήμανε την ανάγκη που προέκυψε από την αλματώδης αύξηση τις τεχνολογίας και της ροής πληροφοριών, για την βελτίωση των κανόνων προστασίας, τόνισε ωστόσο ότι η νέα νομοθεσία επιφέρει πολλές νέες υποχρεώσεις στις επιχειρήσεις και ειδικότερα σε όσους τηρούν και επεξεργάζονται προσωπικά δεδομένα. «Η συμμόρφωση στους νέους κανόνες δυστυχώς, δεν είναι απλή, γιατί εμπλέκει νομικά θέματα, θέματα ασφάλειας και εμπορικής πολιτικής και κυρίως θέματα τεχνολογίας. Απαιτεί εκτός από ενημέρωση, εκπαίδευση, οργάνωση και εκσυγχρονισμό της τεχνολογίας», ανέφερε χαρακτηριστικά.
Υποστήριξε ωστόσο, «πως η τήρηση των κανόνων σε θέματα προστασίας δεδομένων αποτελεί και πρόκληση για τις επιχειρήσεις. Ειδικά για εκείνες που ενδιαφέρονται για τη φήμη τους, αλλά θέλουν να δημιουργήσουν και μια σχέση εμπιστοσύνης με τους πελάτες τους».
Ο Επικεφαλής Επιθεωρητής της A–CertSAκαι Επικεφαλής Αξιολογητής του InternationalAccreditationServise (IAS–USA) κ. Δημήτρης Ν. Χουλιάρας παρουσίασε τα βασικά σημεία του νέου Κανονισμού και τις υποχρεώσεις των επιχειρήσεων και απάντησε σε ερωτήματα των παραβρισκομένων, ενώ κατέστησε σαφές ότι παρά το γεγονός ότι πολλές εταιρείες πραγματοποιούν σεμινάρια για τo GDPR, ακόμη καμία εταιρεία δεν έχει λάβει επίσημη διαπίστευση από Αρχή Προστασίας Προσωπικών Δεδομένων για να πιστοποιεί φορείς και επιχειρήσεις.
Όπως ανέφερε ο κ. Χουλιάρας ο Κανονισμός υποχρεώνει πρακτικά όλες σχεδόν τις επιχειρήσεις και τους οργανισμούς εντός Ευρωπαϊκής Ένωσης – ανεξαρτήτως κλάδου, οικονομικής δραστηριότητας και μεγέθους – να συμμορφωθούν για να μπορούν να συνεχίσουν να δραστηριοποιούνται.
Ο Nέος Kανονισμός φέρνει νέες υποχρεώσεις των επιχειρήσεων σχετικά με:
- την επεξεργασία προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους
- τη δυνατότητα μεταφοράς τους σε άλλες χώρες
- την προστασία των δικαιωμάτων των φυσικών προσώπων
- την ασφάλεια (εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα) των δεδομένων
- τις ενέργειες γνωστοποίησης που οφείλει να κάνει η επιχείρηση σε περίπτωση παραβίασης.
Τι θεωρούμε όμως προσωπικά δεδομένα; Όπως είπε, πρόκειται για κάθε πληροφορία που σχετίζεται και χαρακτηρίζει ένα φυσικό πρόσωπο όπως είναι: το όνομα & το επάγγελμα, η οικογενειακή κατάσταση, η ηλικία, η διεύθυνση κατοικίας, η διεύθυνση ηλεκτρονικού ταχυδρομείου, τα στοιχεία του τραπεζικού λογαριασμού, αλλά και η διεύθυνση IP του ηλεκτρονικού υπολογιστή, ενώ ευαίσθητα προσωπικά δεδομένα είναι αυτά, που αφορούν φυλετική ή εθνική προέλευση, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστικές οργανώσεις και οι πληροφορίες σχετικά µε το ιατρικό ιστορικό, την ερωτική ζωή και τις ποινικές διώξεις ή καταδίκες.
Σε περίπτωση μη συμμόρφωσης τα πρόστιμα που προβλέπονται είναι τεράστια και βάζουν σε κίνδυνο την βιωσιμότητα της επιχείρησης. Μπορεί να φτάσουν έως 20 εκατ. ευρώ ή έως και το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους.
Ο κ. Χουλιάρας υποστήριξε πως όλοι επαγγελματίες, επιχειρηματίες και εκπρόσωποι φορείς- οργανισμών καταρχήν οφείλουν να διαβάσουν τον Κανονισμό και τις κατευθυντήριες οδηγίες, που έχουν δημοσιευθεί στο ίντερνετ και αμέσως μετά με τη βοήθεια και επιλογή σωστού και επαγγελματία συμβούλου, «που δεν θα προσπαθήσει να μας πουλήσει, παραπλεύρως ή πλαγίως πιστοποιήσεις με ιδιωτικά σχήματα ή ενσωματώσεις σε πιστοποιήσεις ISO 9001 & ISO 27001», να ακολουθήσουν τα παρακάτω βήματα συμμόρφωσης GDPR:
1ο Βήμα: Έρευνα και καταγραφή του είδους προσωπικών δεδομένων που συλλέγει ή χειρίζεται η κάθε επιχείρηση. Τι δεδομένα συλλέγουμε; Με τι σκοπό; Με τι τρόπο τα συλλέγουμε; Που διατηρούμε το αρχείο αυτών των δεδομένων; Για πόσο χρονικό διάστημα;
2ο Βήμα: GAP Analysis. Αναγνώριση κινδύνων και αποτύπωση της υπάρχουσας κατάστασης συλλογής και διαχείρισης προσωπικών δεδομένων της εταιρίας και των απαιτήσεων του GDPR.
3ο Βήμα: Έκθεση συμμόρφωσης με τον GDPR. Πλήρης επιστημονική και τεκμηριωμένη έκθεση προτάσεων σχετικά με τη συμμόρφωση των διαδικασιών της επιχείρησης σας με τις απαιτήσεις του GDPR.
4ο Βήμα: Νομική επιμέλεια όλων των συμβάσεων συλλογής και επεξεργασίας προσωπικών δεδομένων και επανεξέταση όλων των δηλώσεων συγκατάθεσης για την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
5ο Βήμα: Ενημέρωση και εκπαίδευση του προσωπικού της εταιρίας σχετικά με τον GDPR και τις αλλαγές που αυτό επιφέρει στις διαδικασίες της επιχείρησης.
6ο Βήμα: Σύνταξη πρωτόκολλου διαχείρισης κινδύνων. Πως θα αντιδράσει η εταιρία σε περίπτωση διαρροής προσωπικών δεδομένων
Τέλος, τόνισε πως θα πρέπει να αναμένουν όλοι τις Υπουργικές Αποφάσεις, ΚΥΑ, ΠΔ σε δημοσιευμένο ΦΕΚ, που θα παρέχουν το νομικό πλαίσιο, για τυχόν σχήματα πιστοποίησης, για απαιτήσεις πιστοποίησης και την παροχή υπηρεσιών πιστοποίησης από διαπιστευμένους φορείς πιστοποίησης.
Τέλος, ιδιαίτερη προσοχή πρέπει να δείξουν οι εξαγωγικές/εισαγωγικές εταιρείες, που διαχειρίζονται δεδομένα πελατών/προμηθευτών του εξωτερικού, όπως και οι ξενώνες & ξενοδοχεία γιατί ο νόμος σε όλη την Ευρώπη ισχύει από 25 Μαΐου, ανεξάρτητα αν δεν έχει εναρμονισθεί η ελληνική νομοθεσία και σε περίπτωση καταγγελίας, ένα μέρος της αστικής ευθύνης θα καταλογιστεί και σε αυτές.