Σημαντικες οι υποχρεωσεις των επιχειρησεων απεναντι στο GDPR Μια προσεκτική μελέτη στη νέα νομοθεσία αποκαλύπτει ότι υπάρχουν υποχρεώσεις υποχρεώσεις που θα χρειαστούν αρκετά σημαντικές αλλαγές στις διαδικασίες και τις τεχνολογικές υποδομές των επιχειρήσεων. Συνέντευξη Λίλιαν Μήτρου, αν. καθ. στο πανεπιστήμιο Αιγαίου, δικηγόρος και πρόεδρος της νομοπαρασκευαστικής επιτροπής για την εφαρμογή του GDPR στην Ελλάδα
Ο
Γενικός Κανονισμός Προστασίας Δεδομένων νομοθεσία εισάγει αρκετές νέες υποχρεώσεις για τις επιχειρήσεις που συλλέγουν και επεξεργάζονται προσωπικά δεδομένα που καλούνται να συμμορφωθούν, επιφέροντας σημαντικές αλλαγές στις σχετικές διαδικασίες αλλά και στις τεχνικές υποδομές και εφαρμογές τους Η Λίλιαν Μήτρου, έχει εμπλακεί με το νέο Κανονισμό από τα στάδια του σχεδιασμού του, καθώς ήταν επικεφαλής της ελληνικής αντιπροσωπείας στην επιτροπή εμπειρογνωμόνων στην ΕΕ Από τη συζήτηση που είχαμε μαζί της, ανακαλύψαμε νέες πτυχές της νομοθεσίας που θα εφαρμοστεί από την 25η Μαίου 2018, οι οποίες δεν είναι ακόμα ή πάντα ορατές στο μεγαλύτερο ποσοστό του επιχειρηματικού κόσμου.
Ο νόμος 2472/97 ισχύει από το 1997. Εύλογα συμπεραίνει κανείς ότι η πιο ουσιαστική διαφορά του πριν με το μετά, η «κινητήριος δύναμη» αυτού του ενδιαφέροντος είναι το ύψος των προστίμων που προβλέπονται σε περίπτωση παράβασης. Γιατί επίσης στο παρελθόν υπήρχαν πρόστιμα αλλά δεν ήταν τόσο υψηλά.. Το φαινόμενο δεν είναι ελληνικό, καθώς ανάλογη κινητικότητα παρατηρούμε πολλές χώρες της ΕΕ, όπως η Γερμανία για παράδειγμα, όπου το ενδιαφέρον των εταιρειών για τις αλλαγές που φέρνει ο Κανονισμός είναι πρωτοφανές. Το γεγονός γίνεται περισσότερο αξιοπρόσεκτο, αν συνυπολογίσουμε ότι στη Γερμανία, ο ρόλος του Data Protection Officer είναι θεσπισμένος από το 1977. Πιστεύω επίσης ότι εκτός από το ύψος των προστίμων ενδεχομένως υπάρχει και ένας ακόμα σημαντικός λόγος
ναι πιθανό οι επιχειρήσεις να αντιμετωπίσουν και αγωγές με σημαντικές απαιτήσεις όχι μόνο από μεμονωμένα πρόσωπα αλλά και από διάφορες οργανώσεις. Ποιες είναι οι βασικές διαφορές ανάμεσα στην υπάρχουσα και την ερχόμενη νομοθεσία; Ο Κανονισμός είναι μια μετεξέλιξη της ευρωπαϊκής νομοθεσίας, της Οδηγίας του 1995 και αντίστοιχα της νομοθεσίας που ισχύει στην Ελλάδα από το 1997 με τον νόμο 2472/97. Εισάγει ωστόσο αρκετές νέες απαιτήσεις που αφορούν τις τεχνολογικές υποδομές, οι οποίες δεν προκύπτουν πάντα άμεσα από τον Κανονισμό, αλλά από τις αλλαγές που χρειάζεται να γίνουν σε διαδικασίες, ώστε οι επιχειρήσεις να συμμορφωθούν με τις νέες ρυθμίσεις. Πρακτικά, ο κανονισμός μεταθέτει
Πρακτικά, ο κανονισμός μεταθέτει με ουσιαστικό τρόπο την ευθύνη της συμμόρφωσης εσωτερικά. Οπότε έχουμε μια μείωση της γραφειοκρατίας, αλλά παράλληλα μια αύξηση των ευθυνών. Γιατί η νέα νομοθεσία έχει προκαλέσει τόσο έντονη κινητικότητα; Πρέπει να παρατηρήσουμε ότι πολλοί ενεργούν σαν να μην υπήρχε έως τώρα προστασία δεδομένων, παρά το γεγονός ότι έχουμε νομοθεσία με παρελθόν 20 ετών.
που έχει ευαισθητοποιήσει τις επιχειρήσεις. Ο Κανονισμός δίνει τη δυνατότητα σε μια οργάνωση να αξιοποιεί τον κανονισμό για να προασπίζεται τα δικαιώματα ενός προσώπου, όπως κάνουν για παράδειγμα οι ενώσεις καταναλωτών. Επομένως, πλανάται ένας φόβος ότι, εκτός από τα πρόστιμα, εί-
με ουσιαστικό τρόπο την ευθύνη της συμμόρφωσης εσωτερικά. Η επιχείρηση δεν υποχρεούται πλέον να γνωστοποιήσει στην Αρχή Προστασίας Προσωπικών Δεδομένων τις επεξεργασίες της ή να αιτηθεί άδεια αν πρόκειται για ευαίσθητα. Ωστόσο αν τελικά η επεξεργασία, οι επιλογές που
ε τ ησι α εκ δοση 2017 • netweeK
9