Μικρές & Μεσαίες Επιχειρήσεις: 12 Πρακτικά Βήματα Συμμόρφωσης προς τον GDPR [Β' Μέρος]

Σε συνέχεια του άρθρου της Παρασκευής, η Ελένη Μαρτσούκου δίνει συμβουλές στις Μικρές & Μεσαίες Επιχειρήσεις για το πώς μπορούν να συμμορφωθούν σύμφωνα με τις διατάξεις του GDPR.

Συνιστούμε στις μικρές και μεσαίες επιχειρήσεις ως υπεύθυνους επεξεργασίας να προβούν στα ακόλουθα βήματα προκειμένου να συμμορφωθούν με τις απαιτήσεις του Κανονισμού:

7) Αναθεώρηση της πολιτικής της επιχείρησης αναφορικά με τη λήψη της συγκατάθεσης ώστε να είναι σύμφωνη προς τις επιταγές του Κανονισμού. Η συγκατάθεση καθίσταται πλέον ρητή, το λεγόμενο opt-in. Με άλλα λόγια, δήλωση συγκατάθεσης δεν συνάγεται από την αδράνεια ή τη σιωπή του υποκειμένου ή τις προεπιλογές (πχ. προσυμπληρωμένα τετραγωνίδια) του υπευθύνου επεξεργασίας.  Επιπλέον πρέπει:

• το αίτημα για συγκατάθεση του υποκειμένου να τίθεται κατά τρόπο σαφώς διακριτό από άλλα θέματα,
• η παροχή της συγκατάθεσης να είναι χωριστή από άλλους όρους και προϋποθέσεις,
• αν η επεξεργασία αφορά πολλαπλούς σκοπούς, τότε να λαμβάνεται συγκατάθεση για όλους τους σκοπούς,
• η ανάκληση της συγκατάθεσης να μπορεί να γίνεται ευχερώς. 

8) Έλεγχος αν υπάρχει ανάγκη υιοθέτησης μέτρων επαλήθευσης της ηλικίας των υποκειμένων των δεδομένων καθώς και μέτρων λήψης της συγκατάθεσης των γονέων ή κηδεμόνων για κάθε επεξεργασία δεδομένων παιδιών.

9) Έλεγχος αν ήδη υφίστανται ή πρέπει να υιοθετηθούν κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων καθώς και κατάλληλες διαδικασίες για τον εντοπισμό και διερεύνηση των περιπτώσεων παραβίασης προσωπικών δεδομένων και τη γνωστοποίησή τους, ανάλογα με την περίπτωση παραβίασης, στην αρμόδια εποπτική αρχή ή και στο υποκείμενο των δεδομένων. Η επιβολή προστίμου ελλοχεύει ακριβώς στις περιπτώσεις παραβίασης προσωπικών δεδομένων που ο υπεύθυνος επεξεργασίας ήταν υποχρεωμένος να ανακοινώσει στο υποκείμενο ή στην αρμόδια εποπτική αρχή και παραταύτα παρέμεινε αδρανής. Επομένως, κάθε επιχείρηση οφείλει να καταρτίσει εκ των προτέρων σχέδιο αντιμετώπισης περιστατικών παραβίασης προσωπικών δεδομένων.

Υιοθέτηση, ακόμη και από τις μικρομεσαίες επιχειρήσεις, της προστασίας της ιδιωτικότητας εξ ορισμού[1] (Privacy by Default) καθώς και εκ σχεδίου και δια σχεδιασμού[2] (Privacy by Design). 

Παραδείγματα ιδιωτικότητας εξ ορισμού:

• η ελαχιστοποίηση των υπό επεξεργασία δεδομένων ως προς τον όγκο τους καθώς και ως προς την ένταση και έκταση της επεξεργασίας και τη διάρκεια τήρησης αυτών,
• η παροχή στο χρήστη της δυναtότητας ο ίδιος ενεργά να προσδιορίζει την «ορατότητα» του προφίλ του. 

Παραδείγματα της προστασίας εκ σχεδίου και δια σχεδιασμού (Privacy by Design) που αναφέρονται στο ίδιο το Προοίμιο του Κανονισμού:

• πάλι η ελαχιστοποίηση της επεξεργασίας δεδομένων,
• η ψευδωνυμοποίηση το συντομότερο δυνατόν,
• η διαφάνεια όσον αφορά την επεξεργασία, ώστε να μπορεί το υποκείμενο των δεδομένων να παρακολουθεί την επεξεργασία των δεδομένων του και να είναι σε θέση ο υπεύθυνος επεξεργασίας να δημιουργεί και να βελτιώνει τα χαρακτηριστικά ασφαλείας. 

Υπογραμμίζουμε ωστόσο ότι η λήψη μέτρων προστασίας εκ σχεδίου και δια σχεδιασμού θα πρέπει να γίνεται λαμβάνοντας υπόψη όχι μόνο τις τελευταίες τεχνολογικές εξελίξεις αλλά και το κόστος εφαρμογής των μέτρων αυτών καθώς και την πιθανότητα και σοβαρότητα των κινδύνων που μπορεί να προκύψουν (risk assessment). 

Όπου απαιτείται από τον Κανονισμό, η επιχείρηση οφείλει να προχωρεί σε εκπόνηση εκτίμησης αντικτύπου στην προστασία των προσωπικών δεδομένων, τη γνωστή πλέον Data Protection Impact Assessement (DPIA). Επομένως κάθε επιχείρηση οφείλει να διερευνήσει

• αν της επιβάλλεται από τον Κανονισμό να εκπονήσει DPΙA (πχ. περιπτώσεις επεξεργασιών υψηλού κινδύνου),
• ποιος θα τη διενεργήσει και ποιοι ακόμη χρειάζεται να εμπλακούν (πχ. υπεύθυνος επεξεργασίας, χρήστες του συστήματος, ειδικοί νομικοί και πληροφορικοί),
• ποια θα είναι η μεθοδολογία και τα τεχνικά πρότυπα (πχ. ISOs) που θα ακολουθηθούν.

Μετά την εκπόνηση της DPIA η επιχείρηση συμμορφώνεται προς τις συστάσεις της και εφαρμόζει τα μέτρα προστασίας προσωπικών δεδομένων που προτείνει.

Υπογραμμίζεται ότι σε κάθε περίπτωση και ανεξάρτητα από το αν η εκπόνηση DPIA είναι υποχρεωτική ή όχι, κάθε επιχείρηση είναι υποχρεωμένη να καταρτίσει και να υλοποιήσει σχέδιο ενεργειών συμμόρφωσης προς τον Κανονισμό, στο μέτρο που ο Κανονισμός την αφορά.

11) Ορισμός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer) στις περιπτώσεις που επιβάλλεται από τον Κανονισμό.[3] Πχ. σε μια επιχείρηση όπου η επεξεργασία προσωπικών δεδομένων γίνεται με σκοπό τη μισθοδοσία των εργαζομένων, η επεξεργασία δεδομένων θα μπορούσε να μην χαρακτηριστεί βασική δραστηριότητα του υπευθύνου ή του εκτελούντος την επεξεργασία αλλά παρεπόμενη ή βοηθητική, επομένως να μην απαιτείται διορισμός Υπεύθυνου Προστασίας Δεδομένων (ΥΠΟ). Αντίθετα, ακόμη και σε μικρές και μεσαίες επιχειρήσεις που παρέχουν ηλεκτρονικές επικοινωνίες ή προβαίνουν σε διαδικτυακή επεξεργασία δεδομένων με σκοπό την εμπορική προώθηση-διαφήμιση ή σε profiling, επιβάλλεται ο διορισμός ΥΠΟ. Σημειώνεται ότι ο ΥΠΟ μπορεί να είναι και εξωτερικός συνεργάτης με σύμβαση παροχής υπηρεσιών.

Για τον προσδιορισμό της μεγάλης κλίμακας επεξεργασίας πρέπει να λαμβάνονται υπόψη: α) ο αριθμός των εμπλεκομένων υποκειμένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του πληθυσμού, β) ο όγκος και το εύρος των δεδομένων, γ) η διάρκεια ή ο μόνιμος χαρακτήρας της επεξεργασίας, δ) η γεωγραφική έκταση της επεξεργασίας.

Ανεξάρτητα αν ο διορισμός ΥΠΟ είναι υποχρεωτικός ή προαιρετικός, η επιχείρηση οφείλει να ορίσει φυσικό πρόσωπο ή ομάδα προσώπων που να είναι αρμόδια για τη συμμόρφωση με τον Κανονισμό και να ενσωματώσει αυτή τη νέα αρμοδιότητα στη δομή και λειτουργία της.

12) Αν η επιχείρηση δραστηριοποιείται σε περισσότερα από ένα κράτη μέλη της Ευρωπαϊκής Ένωσης, υποχρεούται να αποφασίσει και να καταγράψει ποια είναι η επικεφαλής εποπτική της αρχή. Για τον καθορισμό της επικεφαλής εποπτικής αρχής το κριτήριο είναι πού βρίσκεται η κύρια ή η μόνη εγκατάσταση του υπευθύνου επεξεργασίας. Αν μια επιχείρηση δεν είναι σίγουρη για το πού βρίσκεται η κύρια εγκατάστασή της, τότε ενδείκνυται μέσω χαρτογράφησης να εντοπίσει τη χώρα όπου λαμβάνονται οι σημαντικότερες αποφάσεις αναφορικά με τις πράξεις επεξεργασίας προσωπικών δεδομένων ώστε βάσει αυτού του κριτηρίου να καθοριστεί η κύρια εγκατάστασή της. Ιδιαίτερη σημασία έχει ο σωστός καθορισμός της επικεφαλής εποπτικής αρχής όταν η επιχείρηση προβαίνει σε διασυνοριακή επεξεργασία προσωπικών δεδομένων πχ. διαβιβάσεις δεδομένων σε περισσότερες από μία χώρες της ΕΕ.

Εν κατακλείδι, τα παραπάνω δώδεκα βήματα δεν είναι εξαντλητικά των ενεργειών στις οποίες οι μικρές και μεσαίες επιχειρήσεις οφείλουν ή ενδείκνυται να προβούν προκειμένου να συμμορφωθούν προς τον Κανονισμό. Εντούτοις, όπως επισημάνθηκε στην αρχή του άρθρου,  συνιστούν έναν «οδικό χάρτη», ο οποίος, εφόσον κατά την εφαρμογή του ληφθούν υπόψη οι ιδιαιτερότητες και οι ειδικές ανάγκες της κάθε επιχείρησης και στο μέτρο που θα υλοποιηθεί, εξασφαλίζει στην επιχείρηση ομαλή προσαρμογή στις απαιτήσεις του Κανονισμού και επαρκές, βάσει του Κανονισμού, επίπεδο προστασίας προσωπικών δεδομένων.

[1] Privacy by default: η επιταγή του Κανονισμού για διασφάλιση της πληροφορικής ιδιωτικότητας ως βασική και κατά κανόνα επιλογή ενός συστήματος ή μιας εφαρμογής.

[2] Privacy by design: η επιταγή του Κανονισμού ο υπεύθυνος επεξεργασίας να λαμβάνει τόσο κατά το στάδιο του προσδιορισμού των μέσων επεξεργασίας όσο και κατά την επεξεργασία αυτή τα κατάλληλα τεχνικά και οργανωτικά μέτρα που έχουν σχεδιαστεί για την προστασία των δεδομένων καθώς και να ενσωματώνει τις απαραίτητες εγγυήσεις στην επεξεργασία.

[3] Για τις ιδιωτικές επιχειρήσεις, μεγάλες αλλά και μεσαίες και μικρές, ο ορισμός ΥΠΟ είναι υποχρεωτικός όταν:

• Απαιτείται τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα (π.χ. ασφαλιστικές ή τραπεζικές υπηρεσίες, υπηρεσίες τηλεφωνίας ή διαδικτύου, παροχή υπηρεσιών ασφαλείας, όλες οι μορφές παρακολούθησης  και διαμόρφωσης «προφίλ» στο διαδίκτυο, όπως  για σκοπούς συμπεριφορικής διαφήμισης).
• Διενεργείται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων (πχ. επεξεργασία δεδομένων υγείας από νοσοκομεία και κλινικές) ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.

Επισημαίνεται ότι το παρόν άρθρο εκφράζει προσωπικές απόψεις της γράφουσας και όχι της Αρχής Προστασίας Προσωπικών Δεδομένων της οποίας είναι τακτικό μέλος.