Προστασία & ασφάλεια δεδομένων στα πλαίσια του GDPR - βήματα συμμόρφωσης για τις επιχειρήσεις

Abstract

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (General Data Protection Regulation – GDPR) που υιοθετήθηκε από το Ευρωπαϊκό Κοινοβούλιο και το Ευρωπαϊκό Συμβούλιο στις 27 Απριλίου 2016 αντικατέστησε την Ευρωπαϊκή Οδηγίας Προστασίας Δεδομένων 95/46/ΕΚ και βρίσκεται σε ισχύ από τις 25 Μαΐου 2018. Όσον αφορά τις επιχειρήσεις, και ειδικότερα τις μικρομεσαίες, οι οποίες έχουν τον ρόλο είτε του υπεύθυνου επεξεργασίας δεδομένων είτε του εκτελούντος την επεξεργασία, ο Κανονισμός προσφέρει ένα ενιαίο σταθερό έδαφος σε όλη την ΕΕ για να μπορέσουν να αναπτύξουν δραστηριότητα και σε νέες αγορές στα πλαίσια υλοποίησης της Digital Single Market Strategy for Europe . Οι υποχρεώσεις με τις οποίες βαρύνονται πλέον οι επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα – ήτοι κάθε πληροφορία που σχετίζεται με ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (το υποκείμενο των δεδομένων) – έχουν διαμορφωθεί με βάση μία κινδυνοκεντρική (riskbased) προσέγγιση και είναι ανάλογες του επιπέδου του κινδύνου ως προς τα ατομικά δικαιώματα και τις ελευθερίες των φυσικών προσώπων και της πιθανότητας επέλευσής τους. Το πεδίο εφαρμογής των διατάξεων έχει οριζόντιο χαρακτήρα, δηλαδή δεν προβλέπονται απαλλαγές ή ελαφρύτερες υποχρεώσεις ανάλογες με το μέγεθος, τους διαθέσιμους πόρους και τις δυνατότητες μία ς επιχείρησης, πλην μία ς • τόσο οι μεγάλες όσο και οι μικρομεσαίες επιχειρήσεις πρέπει να ενσωματώσουν στις επιχειρησιακές τους διαδικασίες κατάλληλες πολιτικές και αποτελεσματικά μέτρα για την προστασία της ιδιωτικότητας των φυσικών προσώπων. Με μία πρώτην ματιά, το κανονιστικό πλέγμα του Κανονισμού φαίνεται σαν ένα πολύπλοκο και δύσκολα διαχειρίσιμο «βάρος» • ωστόσο οι υπεύθυνοι επεξεργασίας που θα ενσωματώσουν στον πυρήνα των καθημερινών διαδικασιών τους πολιτικές σεβασμού και προστασίας των προσωπικών δεδομένων και θα είναι σε θέση να αποδείξουν ότι έχουν λάβει τα κατάλληλα μέτρα προστασίας για να τα διατηρήσουν ασφαλή, θα αποκτήσουν «ανταγωνιστικό πλεονέκτημα» υπερτερώντας σε αξιοπιστία, φήμη και θα έχουν την ευκαιρία για ορθή διαχείριση της κάθε είδους υλικής και άυλης περιουσίας τους. Στην παρούσα εργασία αναλύεται αρχικά όλο το πλέγμα των διατάξεων που προδιαγράφουν τις υποχρεώσεις των υπευθύνων επεξεργασίας (Ι.ΝΟΜΙΚΟ-ΡΥΘΜΙΣΤΙΚΟ ΠΛΑΙΣΙΟ) και στην συνέχεια παρουσιάζονται τα βήματα που πρέπει αυτοί να ακολουθήσουν για να επιτύχουν την μέγιστη δυνατή συμμόρφωση (ΙΙ.ΒΗΜΑΤΑ ΣΥΜΜΟΡΦΩΣΗΣ) καθώς και χρήσιμα υποδείγματα για την υλοποίησή της (ΠΑΡΑΡΤΗΜΑ).