Οι πρώτες διευκρινήσεις για το General Data Protection Regulation

Mε την προθεσμία της 25ης Μαΐου να έχει εκπνεύσει προ πολλού, ξεκαθαρίστηκαν κάποια σημεία του κανονισμού που βρήκε το μεγαλύτερο μέρος των επιχειρηματιών και οργανισμών απροετοίμαστο. Αυτό μάλιστα δε συνέβη μόνο στη χώρα μας, αλλά σε ολόκληρη την Ευρωπαϊκή Ένωση.

Αυτά που ισχύουν σήμερα είναι τα παρακάτω:

1. Η περίοδος χάριτος δεν υπάρχει. Αν και το ποσοστό των εταιρειών που έχει συμμορφωθεί είναι ελάχστο έως μηδενικό, ισχύει -τυπικά- η προθεσμία για 25 Μαΐου 2018.
2. Εξαιρούνται όπως φαίνεται τα Β2Β δεδομένα. Ναι μεν πχ το ονοματεπώνυμο, το τηλέφωνο και η διεύθυνση κάποιου πολίτη θεωρείται αντικείμενο υπό προστασία, δεν ισχύει όμως κάτι αντίστοιχο για στοιχεία εταιρείας.
3. Δεν απαιτείται η πρόσληψη υπεύθυνου ασφαλείας δεδομένων (Data Protection Officer) από επιχειρήσεις με λιγότερο από 250 άτομα προσωπικό και ετήσιο κύκλο εργασιών μικρότερο των 50 εκατομμυρίων ευρώ. Η μόνη εξαίρεση στο παραπάνω αφορά επιχειρήσεις που λόγω αντικειμένου διαχειρίζονται αποκλειστικά προσωπικά και άλλα ευαίσθητα δεδομένα, όπως πχ μία εταιρεία εύρεσης εργασίας ή κάποια εισπρακτική εταιρεία.
4. Το ότι δεν απαιτείται υπεύθυνος ασφαλείας από τις μικρές και μεσαίες επιχειρήσεις δε σημαίνει πως εξαιρούνται από την εφαρμογή των διατάξεων του GPDR. Εξακολουθεί να απαιτείται από αυτές μία σειρά από προληπτικές ενέργειες, εκπαίδευση του προσωπικού στη διαχείριση προσωπικών δεδομένων, και αναφορά στις αρχές περιστατικών παραβίασης εντός –το πολύ- 72 ωρών.
5. Δεν απαιτείται μέχρι στιγμής κάποια πιστοποίηση του υπεύθυνου ασφαλείας δεδομένων. Η πιστοποίηση είναι εθελοντική και όχι υποχρεωτική.
6. Δεν υπάρχει αυτή τη στιγμή καμία πιστοποίηση, δεν υπάρχουν ακόμη προδιαγραφές για τις απαιτούμενες σπουδές, γνώσεις και αντικείμενο του DPO. Το μόνο που υπάρχει είναι μία σειρά «γενικά» ενημερωτικά σεμινάρια που δίνουν βεβαίωση συμμετοχής. Η προώθηση μάλιστα αυτών των σεμιναρίων συνδυάζεται με ισχυρές δόσεις καταστροφολογίας και υπενθύμισης του μέγιστου ύψους των προστίμων….

Αν και στη χώρα μας η κινητικότητα είναι ελάχιστη έως και ανύπαρκτη, στην υπόλοιπη Ευρώπη ήδη έχουν "πέσει" πολλά πρόστιμα και αγωγές. Σημειώνουμε πως οι καταγγελίες δεν έγιναν μόνο σε τεράστιες ιδιωτικές εταιρείες, αλλά και σε δημόσιες υπηρεσίες και οργανισμούς, όπως πχ το αεροδρόμιο Heathrow.

Αν έχετε διάθεση για επιπλέον μελέτη, προτείνονται:

• Η επίσημη ενημέρωση για το GDPR, από τον επίσημο φορέα,
• Οι πρώτες (εντυπωσιακές) δικαστικές αγωγές μετά την ενεργοποίηση του GDPR
• Οι έξι μύθοι που ακούγονται για το GDPR αλλά δεν ισχύουν,
• Ένα αναλυτικότερο κείμενο από το Βρετανικό ICO (αντίστοιχο τη δική μας Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα)
• και τέλος ορθές πρακτικές ασφάλειας δεδομένων για εταιρείες.

Καλή ανάγνωση!