Νέο ευρωπαϊκό πλαίσιο προστασίας προσωπικών δεδομένων: General Data Protection Regulation (GDPR)

Στις 25 Μαΐου 2018 μπαίνει σε ισχύ το νέο ευρωπαϊκό νομικό πλαίσιο General Data Protection Regulation (GDPR) σχετικά με τον χειρισμό και την προστασία των προσωπικών δεδομένων. Κάθε ιστοσελίδα που διαχειρίζεται προσωπικά δεδομένα χρηστών, ακόμη και φαινομενικά “αθώα” δεδομένα όπως ονοματεπώνυμα ή emails, οφείλει πλέον να είναι σύννομη με το νέο πλαίσιο, με τεράστια πρόστιμα να απειλούν τους παραβάτες.

Για πρώτη φορά, η ευθύνη για την συμμόρφωση βαρύνει τόσο τον ιδιοκτήτη της ιστοσελίδας (τον “Data Controller”) που συλλέγει τα δεδομένα, όσο και την εταιρία που υλοποίησε την πλατφόρμα (“Data Processor”).

Ας δούμε τι νέο φέρνει το νέο πλαίσιο, όπως και τις ενέργειες που πρέπει να γίνουν για την συμμόρφωση με αυτό.

Το GDPR συνοπτικά

Ποιούς αφορά

Ο ιστότοπός σας ή η εταιρία σας:

1. Προσφέρει αγαθά ή υπηρεσίες σε πολίτες της Ευρωπαϊκής Ένωσης, ή σε πολίτες τρίτων χωρών που διαμένουν στην ΕΕ;
2. Καταγράφει ή παρακολουθεί την συμπεριφορά των χρηστών;
3. Έχει υπαλλήλους/χρήστες της ιστοσελίδας σε χώρα της ΕΕ;

Αν τουλάχιστον μια από τις τρεις ερωτήσεις έχει θετική απάντηση, κατά πάσα πιθανότητα θα πρέπει να συμμορφώνεται με το GDPR. Πρακτικά, όλες οι ιστοσελίδες που επιτρέπουν user registrations εμπίπτουν στην νέα νομοθεσία.

Βασικές αρχές

• Προστασία δεδομένων “by design”:η ιδιωτικότητα και η προστασία των δεδομένων βρίσκονται πλέον στον πυρήνα των πληροφοριακών συστημάτων ήδη από την φάση σχεδιασμού. Τα προσωπικά δεδομένα προστατεύονται σε όλον τον κύκλο ζωής τους.
   
• Ελαχιστοποίηση δεδομένων: Συλλέγονται και αποθηκεύονται τα ελάχιστα απαραίτητα δεδομένα για τον σκοπό.
   
• Δικαίωμα να ξεχαστείς (“right to be forgotten”): το φυσικό πρόσωπο μπορεί να αιτηθεί την διαγραφή όλων των προσωπικών του δεδομένων.
   
• Μεταφορά δεδομένων: το φυσικό πρόσωπο μπορεί να αιτηθεί την μεταφορά των δεδομένων του σε άλλο φορέα, π.χ. αν επιθυμεί την αλλαγή του παρόχου email.
   
• Διαχείριση συναίνεσης: συγκεκριμένες διαδικασίες για την συναίνεση στην συλλογή των δεδομένων, διατήρηση της απόδειξης συναίνεσης και δυνατότητα ανάκλησης της συναίνεσης μόλις ολοκληρωθεί η αρχική χρήση
   
• Κοινοποίηση παραβίασης: εάν εντοπιστεί παραβίαση, πρέπει να κοινοποιηθεί εντός 72 ωρών στην σχετική αρχή και στους εμπλεκόμενους χρήστες
   
• Ακεραιότητα: διαδικασίες για την επαναφορά προσωπικών δεδομένων σε περίπτωση αστοχίας συστήματος
   
• Ευθύνη και λογοδοσία: Καταγραφή για την απόκτηση / ανάκληση συναίνεσης όπως και για κάθε ενέργεια που σχετίζεται με την πρόσβαση στα δεδομένα.

Υποχρεώσεις

• Η συλλογή των προσωπικών δεδομένων πρέπει να γίνεται για συγκεκριμένο, νόμιμο σκοπό, συλλέγοντας μόνο τα δεδομένα που είναι απολύτως απαραίτητα για την επίτευξη του στόχου.
   
• Το φυσικό πρόσωπο πρέπει να γνωρίζει τον σκοπό της συλλογής των δεδομένων και να δίνει ρητή συγκατάθεση.
   
• Δεν επιτρέπεται η επεξεργασία των δεδομένων για κανένα άλλο σκοπό πέρα από τον αρχικό σκοπό που κοινοποιήθηκε στα φυσικά πρόσωπα.
   
• Η αποθήκευση των δεδομένων πρέπει να γίνεται για το ελάχιστο χρονικό διάστημα που απαιτείται για την διεκπεραίωση του αρχικού σκοπού.
   
• Επιτρέπεται να δοθεί πρόσβαση στα προσωπικά δεδομένα σε τρίτο πρόσωπο (πχ συνεργάτες) μόνο εφόσον αποδεικνύεται η συμμόρφωση των τρίτων με το GDPR.
   
• Πρέπει να προσφέρονται λειτουργικότητες που επιτρέπουν στα φυσικά πρόσωπα να:
  • Έχουν πρόσβαση στα δεδομένα τους
  • Διορθώνουν τα δεδομένα τους
  • Διαγράφουν τα δεδομένα τους
  • Ανακαλούν την συγκατάθεση
  • Ορίζουν περιορισμούς στην επεξεργασία των δεδομένων
  • Λαμβάνουν το σύνολο των προσωπικών τους δεδομένων σε ηλεκτρονική μορφή
     
• Οι εταιρείες οφείλουν να γνωστοποιούν στα φυσικά πρόσωπα τα δικαιώματά τους, όπως προκύπτουν από το GDPR.
   
• Τα δεδομένα πρέπει να φυλάσσονται με ασφάλεια σε όλον τον κύκλο τους.
   
• Κάθε παραβίαση των προσωπικών δεδομένων πρέπει να κοινοποιείται στον αρμόδιο φορέα (για την Ελλάδα, την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) εντός 72 ωρών από τον εντοπισμό της παραβίασης, όπως και να κοινοποιείται η παραβίαση και στα φυσικά πρόσωπα των οποίων τα δεδομένα παραβιάστηκαν.
   
• Να αποδεικνύεται πως τηρούνται πλήρως οι υποχρεώσεις του νομικού πλαισίου του GDPR.

Το σενάριο της μη συμμόρφωσης

Τα πρόστιμα για την μη συμμόρφωση με το GDPR ορίζονται ως 20 εκατομμύρια ευρώ ή 4% του ετήσιου τζίρου, όποιο είναι μεγαλύτερο. Είναι ξεκάθαρο πως η επιλογή του να μην συμμορφωθεί κανείς και να πληρώσει το πρόστιμο εάν γίνει αντιληπτός, δεν αποτελεί σοφή απόφαση.

Σε ποιόν ανήκει η ευθύνη για την συμμόρφωση με το GDPR?

Το GDPR ορίζει τρεις ρόλους που εμπλέκονται στην συμμόρφωση με το πλαίσιο και μοιράζονται την ευθύνη:

1. O Data Controller (η εταιρία στην οποία ανήκει η σελίδα) ορίζει το εύρος των απαιτητών προσωπικών δεδομένων και τους σκοπούς της επεξεργασίας τους. Επίσης, ευθύνεται για την συμμόρφωση όλων των τρίτων συνεργατών.
    
2. Ο Data Processor (ΙΤ τμήμα, web agency που προσφέρει τεχνική υποστήριξη ή ακόμη και ο πάροχος hosting) είναι υπεύθυνος για την τήρηση των σύννομων διαδικασιών και για την διαχείριση παραβιάσεων.

Όποτε οι κύριες δραστηριότητες του συστήματος εμπεριέχουν “συστηματική επισκόπηση των υποκειμένων σε μεγάλη κλίμακα”, επεξεργασία δεδομένων σε “μεγάλη κλίμακα”, ή “ειδικές κατηγορίες ευαίσθητων δεδομένων” (πχ εθνικότητα, πολιτικές/θρησκευτικές/σεξουαλικές προτιμήσεις ή δεδομένα ανηλίκων), τότε απαιτείται ο ορισμός ενός Data Protection Officer (DPO) ο οποίος θα είναι υπόλογος για την τήρηση του πλαισίου.

O DPO μπορεί να είναι υπάλληλος του Controller ή του Processor, ή εναλλακτικά τρίτος πάροχος, ο οποίος θα συνδέεται όμως σε υψηλότατο επίπεδο με τον Controller. Δεδομένων των ευθυνών που εμπίπτουν στον DPO, η ορθή επιλογή κατάλληλου ατόμου είναι ζωτικής σημασίας.

Συμμόρφωση με το GDPR

Η διαδικασία συμμόρφωσης με το GDPR είναι πολυεπίπεδη. Απαιτείται μια αρχική καταγραφή-χαρτογράφηση της παρούσας κατάστασης, εντοπίζοντας τα προσωπικά δεδομένα, τις ροές δεδομένων, τις διαδικασίες συναίνεσης, επεξεργασίας και χειρισμού συμβάντων, ώστε να εντοπιστούν τα σημεία όπου απαιτείται παρέμβαση.

Στην συνέχεια, καταγράφονται τα ρίσκα και οι προτεραιότητες υλοποίησης, όπως και η σχετική πολυπλοκότητα διορθώσεων όπου απαιτούνται. Έτσι, μπορεί να οριστεί ένα πλάνο δράσης το οποίο δίνει προτεραιότητα στα θέματα μεγαλύτερου ρίσκου. Αυτό το πλάνο δράσης ορίζει χρονοδιαγράμματα, κόστη και προτεραιότητες, και εγκρίνεται από την αναθέτουσα εταιρία ώστε να ξεκινήσει η υλοποίηση εκ μέρους του Data Processor και τρίτων αναδόχων.

Η έκταση των εργασιών που απαιτούνται για την συμμόρφωση εξαρτώνται από πολλούς παράγοντες, όπως το μέγεθος της εταιρίας, η ποσότητα και το είδος των προσωπικών δεδομένων και την απόσταση ανάμεσα στην παρούσα κατάσταση και τις απαιτήσεις της νέας κατάστασης συμμόρφωσης.

Η υλοποίηση των απαραίτητων αλλαγών σε τεχνικό επίπεδο επαφίεται κυρίως στην ομάδα ανάπτυξης. Επεκτείνονται οι μηχανισμοί λήψης, αποθήκευσης και ανάκλησης συγκατάθεσης, ορίζονται συγκεκριμένες διαδικασίες μεταφοράς δεδομένων (πχ από τον live server στους developers / SEO experts κλπ), όπως επίσης ισχυροποιούνται τα μέτρα ασφαλείας που σχετίζονται με την οχύρωση των δεδομένων. Παράλληλα, δημιουργούνται τα πρωτόκολλα ασφαλείας που θα ενεργοποιηθούν σε ενδεχόμενη επίθεση ή υποκλοπή δεδομένων και εκπαιδεύεται το αρμόδιο προσωπικό στην χρήση τους.

Από την στιγμή που θα ολοκληρωθεί η συμμόρφωση με το GDPR, αυτή θα πρέπει να μπορεί να αποδειχθεί και να πιστοποιηθεί όποτε απαιτηθεί από τους αρμόδιους ελεγκτές. Η σαφής αποτύπωση των διαδικασιών και η καταγραφή όλων των συμβάντων που σχετίζονται με τα προσωπικά δεδομένα είναι κρίσιμης σημασίας. Συνιστάται να προγραμματιστούν τακτικές επιθεωρήσεις ασφαλείας, που θα επιβλέπουν και κάθε μελλοντική επέμβαση στην πλατφόρμα, όπως και περιοδικές αναφορές που θα αποδεικνύουν την συμμόρφωση και την ορθή διαχείριση κάθε περιστατικού.

Επόμενα βήματα

Για κάθε ιστότοπο που εμπίπτει στο πλαίσιο του GDPR, πρέπει να οργανώσετε άμεσα το σχέδιο συμμόρφωσης και να δρομολογήσετε τις σχετικές ενέργειες έγκαιρα, ώστε να έχουν ολοκληρωθεί πριν τις 25 Μαΐου 2018.

Η Ελληνική Drupal κοινότητα ενεργοποιεί μια πρωτοβουλία που αναλύει τις απαιτήσεις συμμόρφωσης με το GDPR και χτίζει τεχνογνωσία γύρω από τις τεχνικές προκλήσεις που προκύπτουν. Η Point Blank συμμετέχει ενεργά στην συγκεκριμένη πρωτοβουλία.

Σας προσκαλούμε να ενημερωθείτε σχετικά με τις αλλαγές που φέρνει το νέο νομικό πλαίσιο του GDPR. Επικοινωνήστε έγκαιρα με την Point Blank εάν θεωρείτε πως και η δική σας περίπτωση εμπίπτει στο GDPR και θα χαρούμε να σας υποστηρίξουμε.

Διαβάστε επίσης

• http://www.eugdpr.org/
  Ενημερωτικό portal για το GDPR της Ευρωπαϊκής Ένωσης
   
• http://eur-lex.europa.eu/eli/reg/2016/679/oj
  Το πλήρες κείμενο του νομικού πλαισίου GDPR σε όλες τις γλώσσες της ΕΕ.
   
• https://en.wikipedia.org/wiki/General_Data_Protection_Regulation
  Σελίδα της Wikipedia πάνω στο GDPR
   
• https://ico.org.uk/for-organisations/data-protection-reform/overview-of-the-gdpr/
  Σύνοψη του GDPR από το Information Commissioner’s Office (ανεξάρτητη αρχή, UK)
   
• http://www.wired.co.uk/article/what-is-gdpr-uk-eu-legislation-compliance-summary-fines-2018
  Άρθρο του Wired Magazine
   
• https://iapp.org/resources/article/top-10-operational-impacts-of-the-gdpr/
  Σειρά αρθρογραφίας πάνω στο GDPR από το International Association of Privacy Professionals