«Πονοκέφαλος» και για τις ενεργειακές επιχειρήσεις η εφαρμογή του νέου Κανονισμού Προστασίας Δεδομένων (GDPR)

Την 25η Μαΐου 2018 τίθεται σε άμεση εφαρμογή ο νέος «Γενικός Κανονισμός Προστασίας Δεδομένων» (GDPR – General Data Protection Regulation) – [Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016] (εφεξής ΓΚΠΔ), ο οποίος αφορά στη διαμόρφωση ενός ενιαίου νομοθετικού πλαισίου για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης και ο οποίος αντικαθιστά στην εσωτερική έννομη τάξη τον Ν. 2472/1997, με τον οποίο είχε ενσωματωθεί στη χώρα μας η κοινοτική Οδηγία 95/46/ΕΚ.

Παράλληλα, από νομοθετικής άποψης, επίκειται μέχρι το τέλος του μηνός η ψήφιση νέου νόμου που θα κωδικοποιεί τις διατάξεις για την προστασία των προσωπικών δεδομένων και δια του οποίου θα ενσωματώνεται παράλληλα στην εσωτερική έννομη τάξη η Οδηγία 2016/680/ΕΕ για την προστασία των δεδομένων από τις διωκτικές και προανακριτικές αρχές και τις εισαγγελίες (γνωστή ως «Αστυνομική Οδηγία»).

Από πρακτικής απόψεως, το σύνολο των επιχειρήσεων (ιδιωτικού και δημόσιου τομέα) που δραστηριοποιούνται στην Ελλάδα και οποιοδήποτε τρόπο διαχειρίζονται προσωπικά δεδομένα εργαζομένων, συνεργατών, πελατών, ή άλλων φυσικών προσώπων καλούνται να ακολουθήσουν άμεσα διαδικασίες συμμόρφωσης με τον ΓΚΠΔ, ο οποίος επιβάλλει αυστηρούς κανόνες στην επεξεργασία προσωπικών δεδομένων των κατοίκων της Ε.Ε. καθώς και υψηλά πρόστιμα σε περίπτωση διαπίστωσης παραβιάσεων κατόπιν καταγγελιών από τα υποκείμενα των δικαιωμάτων.

Ειδικότερα, ο ΓΚΠΔ εισάγει νέους όρους, εργαλεία και διαδικασίες με στόχο την εξασφάλιση ευρύτερης και αποτελεσματικότερης προστασίας των δεδομένων προσωπικού χαρακτήρα, όπως ενδεικτικά μέσω της υποχρεωτικής τήρησης αρχείου δραστηριοτήτων της επεξεργασίας, της διενέργειας εκτίμησης αντικτύπου και –κυρίως– του ορισμού υπευθύνου Προστασίας Δεδομένων (DPO), για τις περιπτώσεις που προβλέπει τέτοια υποχρέωση ο ΓΚΠΔ, όπως αναφέρεται κατωτέρω.

Τυχόν παραβίαση διατάξεων του ΓΚΠΔ επισύρει υψηλά διοικητικά πρόστιμα από την αρμόδια Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), τα οποία μπορεί να ανέρχονται έως 20 εκατ. ευρώ ή έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους της επιχείρησης, ανάλογα με το ποιο ποσό είναι υψηλότερο.

Μεταξύ των νέων βασικών ορισμών που εισάγει ο νέος ΓΚΠΔ είναι η οριοθέτηση των εννοιών του «Υπευθύνου Επεξεργασίας» μιας επιχείρησης και του «Εκτελούντος την Επεξεργασία». Ειδικότερα, «υπεύθυνος επεξεργασίας» ορίζεται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, που είτε κατά μόνας είτε από κοινού με άλλα πρόσωπα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ενώ ως «εκτελών την επεξεργασία» ορίζεται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.

Διαδικασία συμμόρφωσης επιχειρήσεων:

Ενδεικτικά, η διαδικασία συμμόρφωσης με τον ΓΚΠΔ που οφείλει να ακολουθήσει κάθε εταιρεία η οποία διαχειρίζεται προσωπικά δεδομένα, περιλαμβάνει τα εξής διαδοχικά στάδια:

Α. Χαρτογράφηση συλλεγομένων προσωπικών δεδομένων (data flow mapping) και καταγραφή τους.

Ειδικότερα διερευνάται από τον εξειδικευμένο νομικό σύμβουλο που θα αναλάβει τη διαδικασία της συμμόρφωσης το πώς αποκτήθηκαν τα προσωπικά δεδομένα από την επιχείρηση, για ποιο σκοπό αποκτήθηκαν, σε ποιες κατηγορίες ανήκουν (απλά, ευαίσθητα, δημόσια), ποια είναι τα υποκείμενα των προσωπικών δεδομένων, πού φυλάσσονται τα προσωπικά δεδομένα (ηλεκτρονικό/ φυσικό αρχείο), ποιος έχει πρόσβαση σε αυτά και σε ποιους θα κοινοποιηθούν/διαβιβαστούν, εάν υπάρχει συγκατάθεση του υποκειμένου για την επεξεργασία, για πόσο χρόνο διατηρούνται τα προσωπικά δεδομένα, εάν υπάρχει διαδικασία καταστροφής τους, ποια τεχνικά και οργανωτικά μέτρα έχουν ληφθεί για την προστασία των δεδομένων.

Β. Έλεγχος των πληροφοριακών και νομικών συστημάτων (IT and Legal audit)

Το στάδιο αυτό περιλαμβάνει τη διερεύνηση της νομικής βάσης της συλλογής και επεξεργασίας των προσωπικών δεδομένων από την επιχείρηση (data protection legal framework) και ειδικότερα τον νομικό έλεγχο των συμβάσεων εργασίας που έχει συνάψει η επιχείρηση με το προσωπικό της, τις συμβάσεις με πελάτες και προμηθευτές της κλπ., τυχόν υφιστάμενα κείμενα συγκατάθεσης κλπ. Παράλληλα, κατά το στάδιο αυτό λαμβάνει χώρα έλεγχος της ασφάλειας των πληροφοριακών συστημάτων που τηρούνται. Κατόπιν της ολοκλήρωσης του διττού αυτού ελέγχου εξάγεται από τον διενεργούντα τη συμμόρφωση μια αναφορά ελλείψεων/αποκλίσεων σε σχέση με τις απαιτήσεις του ΓΚΠΔ (Gap Analysis Report) και εν συνεχεία διενεργείται εκτίμηση του αντικτύπου πριν από την επεξεργασία των δεδομένων (Data Protection Impact Assessment). Αν από την εκτίμηση προκύπτει υψηλός κίνδυνος, ο Υπεύθυνος Επεξεργασίας οφείλει να ζητήσει γνωμοδότηση της Αρχής Προστασίας Δεδομένων προσωπικού χαρακτήρα.

Γ. Σχεδίαση και υλοποίηση διαδικασίας συμμόρφωσης

Εν συνεχεία η επιχείρηση θα πρέπει να προχωρήσει στην υιοθέτηση των αναγκαίων τεχνικών, νομικών και οργανωτικών μέτρων για την ασφάλεια των δεδομένων και τη συμμόρφωση της προς τις απαιτήσεις του ΓΚΠΔ, η οποία περιλαμβάνει αναθεώρηση των υφισταμένων συμβάσεων εργασίας, συμβάσεων με πελάτες και προμηθευτές της επιχείρησης με προσθήκη ειδικών συμβατικών ρητρών, σχεδιασμό νέων πολιτικών ασφαλείας κλπ.

Δ. Εκπαίδευση Προσωπικού

Κατά το στάδιο αυτό λαμβάνει χώρα εκπαίδευση του προσωπικού της επιχείρησης και των επιτελικών της στελεχών προκειμένου να αποκλειστούν ενδεχόμενες παραβιάσεις.

Ε. Ορισμός Υπευθύνου Προστασίας Δεδομένων (DPO)

Ο Υπεύθυνος Επεξεργασίας και ο Εκτελών την Επεξεργασία ορίζουν Υπεύθυνο Προστασίας Δεδομένων σε κάθε περίπτωση κατά την οποία:

α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,

β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα (ενδεικτικά νοσοκομεία, εταιρίες παρακολούθησης και συστημάτων ασφαλείας),

ή

γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 (ενδεικτικά τράπεζες, νοσοκομεία, ασφαλιστικές εταιρίες, εταιρίες μηχανοργάνωσης, εταιρίες επεξεργασίας δεδομένων καταναλωτών).

Ο υπεύθυνος προστασίας δεδομένων επιλέγεται από την επιχείρηση βάσει των επαγγελματικών του προσόντων και της εμπειρίας που διαθέτει στον τομέα του δικαίου των προσωπικών δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39 του ΓΚΠΔ. Ειδικότερα, ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.

Ειδικότερα, ο υπεύθυνος προστασίας δεδομένων έχει κατ’ ελάχιστον τα ακόλουθα καθήκοντα (άρθρο 39): α) ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων, β) παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων, γ) παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35, δ) συνεργάζεται με την εποπτική αρχή, ε) ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36, και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα.

Όπως προκύπτει από την ανωτέρω συνοπτική παρουσίαση των σημαντικότερων σημείων του ΓΚΠΔ, οι επιχειρήσεις θα πρέπει πλέον να διασφαλίζουν τη διαρκή συμμόρφωσή τους με τον ΓΚΠΔ και να είναι σε θέση ανά πάσα στιγμή να αποδεικνύουν τη συμμόρφωση αυτή (αντικατάσταση υποχρέωσης γνωστοποίησης που ίσχυε μέχρι τώρα από την αρχή της λογοδοσίας).

Στο πλαίσιο αυτό κρίνεται απαραίτητη η συνεργασία κάθε επιχείρησης που εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ (στην πράξη, η εν λόγω νομική προβληματική καταλαμβάνει το σύνολο των επιχειρήσεων που απασχολούν εργαζομένους και συναλλάσσονται με πελάτες) με εξειδικευμένους νομικούς συμβούλους, οι οποίοι θα αναλάβουν την υλοποίηση της διαδικασίας συμμόρφωσης της εταιρείας, θα εντοπίσουν υφιστάμενα κενά και ελλείψεις, θα συντάξουν νέα συμβατικά κείμενα που θα αφορούν κάθε πτυχή της λειτουργίας και εμπορικής δραστηριοποίησης της επιχείρησης, θα συντάξουν τις νέες πολιτικές ασφάλειας και προστασίας των προσωπικών δεδομένων, και ενδεχομένως θα παράσχουν, στις περιπτώσεις που αυτό απαιτείται, υπηρεσίες υπευθύνου προστασίας δεδομένων (DPO). Άκρως χρήσιμη είναι, τέλος, και η εξοικείωση του εξειδικευμένου νομικού συμβούλου με τα ειδικά χαρακτηριστικά της σχετικής αγοράς, στην οποία δραστηριοποιείται εκάστη επιχείρηση για τη βέλτιστη διάγνωση των πιθανών επισφαλειών και κινδύνων. Στο πλαίσιο αυτό, η δικηγορική εταιρεία «Μεταξάς & Συνεργάτες» παρέχει ήδη στοχευμένες νομικές υπηρεσίες για τη θωράκιση ενεργειακών εταιρειών έναντι των κινδύνων πλημμελούς συμμόρφωσης με τη νομοθεσία προστασίας προσωπικών δεδομένων, οι οποίοι συνεπάγονται βαρύτατα οικονομικά πρόστιμα για τους παραβάτες.

Επιμέλεια κειμένου: «Μεταξάς & Συνεργάτες – Δικηγόροι & Νομικοί Σύμβουλοι» (www.metaxaslaw.gr)

Πηγή:energypress.gr

  •  
    4
    Shares
  •  
  •  
  • 4
  •