Κοινωνία Σ. Σκιαδόπουλος: Τι πρέπει να γνωρίζουν οι επιχειρήσεις για την Προστασία των Προσωπικών Δεδομένων.
Σε δημόσια διαβούλευση τέθηκε Σχέδιο Νόμου με πρωτοβουλία του Υπουργείου Δικαιοσύνης για την προσαρμογή στον Γενικό Κανονισμό Προσωπικών Δεδομένων (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και προς ενσωμάτωση της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου στην εθνική νομοθεσία. Ο Γενικός Κανονισμός Γενικής Προστασίας Δεδομένων (GDPR), ο οποίος τέθηκε σε εφαρμογή στις 25 Μαΐου 2018, είναι ένα φιλόδοξο σύνολο κανόνων που καλύπτει τις απαιτήσεις ενημέρωσης των ρυθμιστικών αρχών και των ενδιαφερομένων (πελατών-υπαλλήλων κτλ) σχετικά με παραβιάσεις δεδομένων, και θεμελιώνει την υποχρέωση διαφάνειας προς τους χρήστες σχετικά με τα δεδομένα που συλλέγονται γι'αυτούς και γιατί.
Ποια είναι τα βασικά βήματα που θα πρέπει να κάνει μια εταιρεία για να συμμορφωθεί με το GDPR;
Πρώτη υποχρέωση είναι η δημιουργία τεχνικών μηχανισμών για την απόδειξη της λήψης αβίαστης συναίνεσης από τους χρήστες (πελάτες, υπαλλήλους κτλ), οι οποίο θα πρέπει να είναι εμφανής και ξεκάθαροι. Οι επιχειρήσεις είναι υποχρεωμένες να χρησιμοποιούν σαφή, μη νομικίστικη γλώσσα που επιτρέπει στο πρόσωπο να παρέχει τη σαφή και ειλικρινή του συγκατάθεση. Εάν η εταιρεία σας συλλέγει προσωπικά στοιχεία μέσω μιας φόρμας ιστού, είναι αναγκαίο να δημοσιεύσετε με σαφήνεια τον τρόπο με τον οποίο θα χρησιμοποιηθούν αυτές οι πληροφορίες. Σε περίπτωση εξ επαφής συλλογής δεδομένων, όπως σε μια εκδήλωση, για βίντεο μαρτυρίας ή για εγγραφή στο κατάστημα, ζητήστε τη συγκατάθεσή και συμπεριλάβετε ένα πλαίσιο ελέγχου ή άλλο πεδίο για να αποδείξετε ότι το άτομο έδωσε συγκατάθεση ή όταν το άτομο έχει συμφωνήσει να αποστείλετε ένα επιβεβαιωτικό μήνυμα μέσω ηλεκτρονικού ταχυδρομείου.
Επίσης προτείνεται οι διοργανωτές εκδηλώσεων να διανέμουν μια εξήγηση σχετικά με τον τρόπο συλλογής και χρήσης των προσωπικών δεδομένων κατά την εγγραφή.
Συμπεριλάβετε σαφείς οδηγίες στην πολιτική προστασίας απορρήτου στον ιστότοπο σας, συμπεριλαμβανομένων των πληροφοριών που συλλέγονται, του τρόπου αποθήκευσης των δεδομένων και του τρόπου επικοινωνίας με τον ιδιώτη. Η πολιτική προστασίας απορρήτου θα πρέπει είναι σαφώς διατυπωμένη, απλή και ολοκληρωμένη. Ο καταναλωτής θα πρέπει να γνωρίζει πότε συλλέγονται τα δεδομένα του, για ποιο λόγο συλλέγονται , με ποιον τρόπο χρησιμοποιούνται και πόσο τις διατηρεί ο επαγγελματίας. Ειδικότερα ο σκοπός της επεξεργασίας των προσωπικών δεδομένων θεωρείται εξαιρετικά σημαντικός και θα πρέπει να είναι γνωστός στα άτομα των οποίων τα δεδομένα επεξεργάζονται. Δεν αρκεί η υπόδειξη ότι απλώς ότι τα προσωπικά δεδομένα θα συλλέγονται και θα υποβάλλονται σε επεξεργασία (αρχή του περιορισμού του σκοπού).
Επιπλέον ο ιδιώτης θα πρέπει να είναι ενήμερος για τα δικαιώματα του, όπως το δικαίωμα του να ζητήσει την διαγραφή των δεδομένων του από τον επιχειρηματία, την λήψη αντιγράφου των δεδομένων του, το δικαίωμα να μην υπόκεινται τα δεδομένα του σε αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της μορφοποίησης. Μεταξύ των βασικών στοιχείων που
θα πρέπει να αναφερθούν είναι και πως ο επιχειρηματίας προστατεύει τα δεδομένα των πελατών και υπαλλήλων του από τυχόν παραβιάσεις από τρίτους. Ο τρόπος προστασίας μπορεί να είναι ηλεκτρονικός και φυσικός (έγχαρτα αντίγραφα κτλ).
Ναι μεν η κατάθεση του νομοσχεδίου αποτελεί ένα θετικό βήμα για την προστασία των προσωπικών δεδομένων, ωστόσο χάνεται μια πολύτιμη ευκαιρία να διευκρινιστούν ορισμένες έννοιες, με την εμπειρία που υπάρχει στην περίοδο που έχει ήδη μεσολαβήσει από την έναρξη ισχύος του Κανονισμού.
Σπυρίδων Α. Σκιαδόπουλος
Δικηγόρος Κέρκυρας
ΜΔΕ Εμπορικό & Οικονομικό Δίκαιο ΑΠΘ