8.6 C
Athens
Κυριακή, 24 Νοεμβρίου, 2024
ΑρχικήΝομικά ΘέματαΤα 5 πρώτα βήματα μιας μικρομεσαίας επιχείρησης για την επίτευξη του «απόλυτου»...

Τα 5 πρώτα βήματα μιας μικρομεσαίας επιχείρησης για την επίτευξη του «απόλυτου» GDPR Compliance


Της Μαρίας Βασίλα,

Μετρώντας ήδη δύο χρόνια ζωής στην ευρωπαϊκή έννομη τάξη ο Γενικός Κανονισμός για τα προσωπικά δεδομένα (ΕΕ) 2016/679, γνωστός και ως GDPR, εκτός από μια «συγκρατημένα» αισιόδοξη πνοή αναδιαμόρφωσης της προστασίας των προσωπικών δεδομένων των υποκειμένων επεξεργασίας και της προάσπισης των δικαιωμάτων και των ελευθεριών των χρηστών στον κυβερνοχώρο έφερε μαζί του και ένα κύμα ανησυχίας και αναστάτωσης στη συντριπτική πλειοψηφία επιχειρήσεων στον Ευρωπαϊκό χώρο. Οι τελευταίες καλούνται όχι μόνο να αναμορφώσουν σε σύντομο χρονικό διάστημα την πολιτική τους και τους εσωτερικούς κανόνες, σύμφωνα με τις κείμενες ευρωπαϊκές και εθνικές (Ν. 4624/2019) διατάξεις, αλλά και να προβούν σε διαδικασίες συμμόρφωσης οι οποίες απαιτούν άρτια οργάνωση, χρόνο και συχνά σημαντικά χρηματικά ποσά τα οποία οι επιχειρήσεις δεν επιθυμούν, και πολύ περισσότερο δεδομένης της τωρινής οικονομικής δυσπραγίας, αδυνατούν να διαθέσουν.

Ειδικότερα για τις εταιρείες οι οποίες λόγω της περιορισμένης οικονομικά και διοικητικά δραστηριότητάς τους αδυνατούν να απασχολούν εξειδικευμένο προσωπικό αρμόδιο για τη συμμόρφωση, την τήρηση και τον έλεγχο αναφορικά με τον GDPR, το εν λόγω εγχείρημα είναι δυνατόν να προξενήσει σημαντικές συνέπειες. Το χειρότερο σενάριο θα είναι η επιβολή ενός υπέρογκου προστίμου από την εκάστοτε εποπτική αρχή, ενώ το καλύτερο ένα καίριο πλήγμα στην αξιοπιστία και τη φήμη της εταιρείας που επιμένει πεισματικά να αγνοεί τις ρυθμίσεις του GDPR στα πλαίσια του due diligence.

Με βάση τα ως άνω περιγραφόμενα θα επιχειρηθεί μια συνοπτική περιγραφή των σημαντικότερων διαδικασιών – εγγράφων, τα οποία μια μικρομεσαία επιχείρηση (η οποία απασχολεί κατά προσέγγιση 10-100 εργαζόμενους) θα οφείλει να έχει στην κατοχή της σε πρώτο στάδιο ώστε να αποφύγει τις δυσάρεστες εκπλήξεις που προαναφέρθηκαν.

  1. Στα πλαίσια της θεμελιώδους υποχρέωσης της λογοδοσίας του υπευθύνου επεξεργασίας (αρ. 5. παρ 2. ΓΚΠΠΔ) και της επακόλουθης ανάγκης εκπαίδευσης των εργαζόμενων της επιχείρησης για την εφαρμογή του Κανονισμού συνίσταται η σύνταξη ενός πρακτικού και κατανοητού οδηγού-εγχειριδίου επεξήγησης των βασικών εννοιών, των υποχρεώσεων και των δικαιωμάτων αυτού.
  2. Η ευρέως γνωστή λόγω της πρακτικής χρησιμότητας της Πολιτικής Απορρήτου, εμφανιζόμενη στην ιστοσελίδα της επιχείρησης, θεωρείται επίσης ένα «must have» χαρακτηριστικό του ιστότοπου αυτής.
  3. Η ρητή και προτιμότερα γραπτή συγκατάθεση του υποκειμένου επεξεργασίας των προσωπικών δεδομένων αποτελεί τη «σανίδα σωτηρίας» για τη νόμιμη επεξεργασία, εφόσον δεν υφίσταται κάποιος άλλος θεμελιώδης λόγος του άρθρου 6 του Κανονισμού.
  4. Πλάνο για τη διαχείριση και την αντιμετώπιση παραβιάσεων (Emergency Management Plan): To πλάνο αυτό θα βοηθήσει την επιχείρηση να διαχειριστεί τις συνέπειες μιας πιθανής παραβίασης της νόμιμης επεξεργασίας ή μιας μη εξουσιοδοτημένης πρόσβασης σε δεδομένα τρίτων.
  5. Ενημερωτικό δελτίο-σημείωμα για την επεξεργασία δεδομένων ενόψει σύναψης σύμβασης. Το συνοδευτικό σημείωμα θα πρέπει να περιέχει όλα τα απαραίτητα στοιχεία που θα πληροφορούν το συμβαλλόμενο μέρος (εργαζόμενο, συνεργάτη, πελάτη) για τους λόγους και τις λεπτομέρειες που αφορούν την επεξεργασία των δεδομένων του.

Επιλογικά, είναι άκρως σημαντικό να διευκρινιστεί ότι ο δρόμος προς τη συμμόρφωση περιέχει προσκόμματα που συνίσταται κυρίως στη γενικότητα των διατάξεων του Κανονισμού και στην έλλειψη εξειδικευμένου προσωπικού που θα αναλάβει αποφασιστικές αρμοδιότητες τήρησης του Κανονισμού εντός της επιχείρησης.


Πηγές

  • Gantschacher Martina, Jelinek Andrea, Schmidl Matthias, Spanberger Barbara, Datenschutzgrundverordnung, Rechtskommentar, 1. Auflage, Sigmund Freud University Press, Wien 2017.
  • Rüpke Giselher, Von Lewinski Kai, Eckhardt Jens, Datenschutzrecht, Grundlagen und europarechtliche Neugestaltung, Verlag C.H. Beck, München, 2018.
  • Hunzinger Sven, Das Löschen im Datenschutzrecht, Frankfurter Studien zum Datenschutz, (Diss.), Band 54, Nomos Verlag, Münster 2018.
  • Milker Jens, Die Umsetzung des Rechts auf Vergessenwerden “im deutschen Recht”, Der Datenschutz als Taktgeber für das Äußerungsrecht, (Diss.) Springer, Mainz, 2019.
  • Golland Alexander, Datenverarbeitung in sozialen Netzwerken, dfv Mediengruppe, Frankfurt am Main, 2019.

Μαρία Βασίλα

Απόφοιτη της Νομικής Σχολής του ΕΚΠΑ διαμένει στην πόλη της Κολωνίας της Γερμανίας. Έχοντας ολοκληρώσει τις μεταπτυχιακές της σπουδές στο Εμπορικό Δίκαιο με ειδίκευση στο ΙΤ - και Corporate Law στο Πανεπιστήμιο της Κολωνίας (Wirtschaftsrecht LL.M) εργάζεται στον χώρο του IT SAP Consulting με κύρια ενασχόληση το Δίκαιο των Προσωπικών Δεδομένων, το Compliance και το Δίκαιο Ανταγωνισμού.

TA ΤΕΛΕΥΤΑΙΑ ΑΡΘΡΑ

Μαρία Τσαλίκη
Μαρία Τσαλίκη
Γεννήθηκε στην Κόρινθο το 1998 και διαμένει στην Κομοτηνή. Είναι τεταρτοετής φοιτήτρια στο τμήμα νομικής του Δημοκρίτειου πανεπιστημίου. Τον ελεύθερο χρόνο της τον αναλώνει ασχολούμενη με τον αθλητισμό, την ανάγνωση βιβλίων και την συγγραφή.