Σεμινάριο για την Προστασία Δεδομένων των Επιχειρήσεων στο Επιμελητήριο Δράμας
Όλες οι επιχειρήσεις χωρίς εξαίρεση
υπάγονται στον Γενικό Κανονισμό
Προστασίας Δεδομένων
Οι προϋποθέσεις για τον υπεύθυνο Προστασίας Δεδομένων
Του Θανάση Πολυμένη
ΕΝΑ ΠΟΛΥ ενδιαφέρον σεμινάριο για τον Γενικό Κανονισμό Προστασίας Δεδομένων πραγματοποιήθηκε το βράδυ της Πέμπτης στο Επιμελητήριο Δράμας, σε συνεργασία με το Διαβαλκανικό Κέντρο Επιχειρηματικής Ανάπτυξης και το Ελληνικό Ινστιτούτο Πιστοποιήσεων.
Με βάση τον Γενικό Κανονισμό Προστασίας Δεδομένων, που ψηφίσθηκε από το Ευρωπαϊκό Κοινοβούλιο τον Απρίλιο του 2016, οι επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα, οφείλουν μέχρι 25 Μαΐου 2018 να προσαρμοστούν πλήρως στις σχετικές απαιτήσεις.
Εισηγήσεις στο σεμινάριο έκαναν, η κα. Γεωργία Λειβαδάρου, Γενική Διευθύντρια Διαβαλκανικού Κέντρου Επιχειρηματικής Ανάπτυξης και ο κ. Φρίξος Μουρούτης-Πριονιστής, υπεύθυνος Ποιότητας και Ασφάλειας Πληροφοριακών Συστημάτων του Ελληνικού Ινστιτούτου Πιστοποιήσεων.
Ο Γενικός Κανονισμός στοχεύει να προσφέρει στους πολίτες της Ε.Ε. μια ενιαία και εναρμονισμένη προσέγγιση, όσον αφορά την προστασία της ιδιωτικής ζωής στην Ευρωπαϊκή Ένωση. Επιδιώκει να ενισχύσει τα δικαιώματα των πολιτών για την προστασία δεδομένων τους, όπως ορίζεται στο άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ε.Ε.
Ο Γεν. Κανονισμός για την Προστασία Δεδομένων, εφαρμόζεται σε κάθε επιχείρηση που ελέγχει ή διαχειρίζεται προσωπικά δεδομένα. Ως προσωπικά δεδομένα, ορίζονται όλες εκείνες οι πληροφορίες που μπορούν να ταυτοποιήσεων ή να εξατομικεύσουν ένα φυσικό πρόσωπο και ορίζονται σε δύο κατηγορίες: 1. Απλά δεδομένα: Στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση), φυσικά χαρακτηριστικά, εκπαίδευση, εργασιακές σχέσεις, οικονομική κατάσταση, ηλεκτρονικά ίχνη, ενδιαφέροντα, συνήθειες, δραστηριότητες). 2. Ευαίσθητα δεδομένα: Φυλετική ή εθνική προέλευση, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστικές οργανώσεις, υγεία και κοινωνική πρόνοια, ερωτική ζωή, ποινικές διώξεις και καταδίκες, συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων.
Η κα. Γεωργία Λειβαδάρου.
Αφορά όλες τις επιχειρήσεις
Σε δηλώσεις της στον «Πρωινό Τύπο», η εισηγήτρια κα. Λειβαδάρου, επισημαίνει ότι ο Γενικός Κανονισμός «αφορά το σύνολο των επιχειρήσεων που διαχειρίζονται προσωπικά δεδομένα. Δεν υπάρχουν μικρές ή μεγάλες επιχειρήσεις, δεν υπάρχουν εταιρείες που δεν τους αφορά. Σε άλλες υπάρχουν πιο μικρές αλλαγές, σε άλλες μεγαλύτερες, ανάλογα με τον όγκο προσωπικών δεδομένων που διαχειρίζονται και τις εργασίες που πραγματοποιούν.
Ποια επιχείρηση υπάρχει χωρίς ανθρώπινο δυναμικό, πια επιχείρηση υπάρχει χωρίς πελάτη; Από την στιγμή που κρατάμε στοιχεία πελατών μας για να μπορέσουμε να κάνουμε μια διαφήμιση, ένα προμόσιον προς αυτούς, από τη στιγμή που έχουμε έστω και έναν εργαζόμενο, έχουμε προσωπικά δεδομένα. Απλά, η έκταση των αλλαγών, εξαρτάται από τον όγκο των δεδομένων που έχουμε».
Στην ερώτηση για το τι θα έπρεπε να κάνει μια επιχείρηση, εξηγεί:
«Θα πρέπει να πάρουν μέτρα, είτε νομικά, είτε τεχνικά, είτε οργανωτικά, για να μπορέσουν να προστατευθούν. Σε πολλές περιπτώσεις σε μικρές επιχειρήσεις, είναι μια εύκολη διαδικασία. Γιατί δεν υπάρχει μεγάλος τεχνολογικός εξοπλισμός, γιατί είναι πιο μικρός ο όγκος των προσωπικών δεδομένων και της επεξεργασιών που πραγματοποιούνται.
Από εκεί και πέρα, θα πρέπει για παράδειγμα, ένα πολύ απλό μέτρο, να έχουν ένα farewell, να έχουν μια ασπίδα προστασίας στην ιστοσελίδα τους, να μπορέσουν να έχουν κλειδωμένες τις βιβλιοθήκες τους. Μέτρα τα οποία ακούγονται απλά, θα πρέπει να τα κάνουν για να μπουν σ’ αυτή τη διαδικασία. Και πολύ προσεκτικά να καταγράψουν πού έχουν τα δεδομένα και πώς τα επεξεργάζονται».
Ο κ. Φρίξος Μουρούτης-Πριονιστής.
Η πιστοποίηση
Ο δεύτερος εισηγητής, ο κ. Μουρούτης-Πριονιστής, επισημαίνει ότι θα πρέπει να υπάρχει ένας υπεύθυνος Προστασίας Δεδομένων. «Είναι μια διαπίστευση που έχει εγκριθεί προσφάτως, αφορά το ISO 17024 και όσους θέλουν να απασχοληθούν στο επάγγελμα είναι καλό να πιστοποιήσουν τις γνώσεις του μέσω της εταιρείας.
Το Ελληνικό Ινστιτούτο Πιστοποιήσεων ασχολείται ουσιαστικά με τους φακέλους συμμόρφωσης του συγκεκριμένου κανονισμού και με την πιστοποίηση των υπευθύνων προστασίας προσωπικών δεδομένων».
Στην ερώτηση για το ποια είναι τα στοιχεία τα οποία πρέπει να έχει κάποιος για να κάνει κάτι τέτοιο, ο κ. Μουρούτης-Πριονιστής επισημαίνει:
«Ουσιαστικά, το καταλληλότερο άτομο είναι κάποιος, που έχει τόσο νομικές γνώσεις, όσο και γνώσεις περί πληροφορικής. Ο συνδυασμός των δύο γνώσεων, αποτελεί τον ιδανικό υποψήφιο για να είναι κάποιος υπεύθυνος προστασίας δεδομένων. Κατά τα άλλα, και να μην υπάρχει το σεμινάριο που γίνεται στο Διαβαλκανικό Κέντρο Επιχειρηματικής Ανάπτυξης, καλύπτει αυτά τα δεδομένα, φυσικά με αρκετό διάβασμα μετά και συνεχή παρακολούθηση νομοθεσίας και τεχνικών μέσων».
Στην ερώτηση αν, κάποια επιχείρηση έχει τη δυνατότητα να επιλέξει το άτομο που επιθυμεί από το προσωπικό της, τονίζει:
«Βεβαίως, με δική της βούληση, απλά θα πρέπει να ξέρουμε ότι δεν χρειάζεται όλες οι επιχειρήσεις να έχουν υπεύθυνο προστασίας δεδομένων. Είναι συγκεκριμένες επιχειρήσεις ακόμα περιμένουμε την ανταπόκριση της Αρχής Προστασίας ποιες, ξεκάθαρα είναι αυτές. Αλλά καλό είναι γενικότερα, ο υπεύθυνος προστασίας δεδομένων, θεωρείται ένα καλό μέσο και μέτρο από την Αρχή Προστασίας ότι βελτιωνόμαστε και συμμορφωνόμαστε σύμφωνα με τον Κανονισμό».