Γράφει ο Δημοσθένης Κωστούλας, ΜΒΑ, MSc **

Πέρασαν κάτι λιγότερο από 3 χρόνια αφότου ξεκίνησε η εφαρμογή του νέου ευρωπαϊκού Κανονισμού για την προστασία προσωπικών δεδομένων (“ΓΚΠΔ” ή “GDPR“) και η πλειοψηφία των επιχειρήσεων, μικρών και μεγάλων, θα έπρεπε ήδη να γνωρίζουν τις υποχρεώσεις που απορρέουν από τον κανονισμό και την κείμενη νομοθεσία, αλλά και να έχουν υλοποιήσει μια σειρά από ενέργειες προς την κατεύθυνση της προστασίας των (προσωπικών) δεδομένων που διαχειρίζονται. 

Ειδικότερα για τις μικρομεσαίες επιχειρήσεις, άσχετα από την απαίτηση ή όχι για διορισμό ενός υπεύθυνου προστασίας δεδομένων (“DPO“), αφού αυτό εξαρτάται από το α) αν υπάρχει τακτική και συστηματική παρακολούθηση δεδομένων πελατών – προσωπικού – προμηθευτών – συνεργατών σε μεγάλη κλίμακα ή β) αν λαμβάνει χώρα μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών (ευαίσθητων) δεδομένων, μια επιχείρηση οφείλει να εφαρμόσει ορισμένα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων. Αν και η έκταση και το εύρος εφαρμογής αυτών των μέτρων μπορεί να διαφοροποιούνται ανάλογα με την περίπτωση, συστήνεται η υλοποίηση μιας – κατ΄ελάχιστον – λίστας προληπτικών ενεργειών. 

Ενδεικτικά, αλλά όχι περιοριστικά:

-Δημιουργία ενός αρχείου δραστηριοτήτων με όλες τις κατηγορίες επεξεργασίας των προσωπικών δεδομένων για τις οποίες είναι υπεύθυνη η επιχείριση (ως υπεύθυνος επεξεργασίας), με ταυτόχρονη αναφορά σε μια σειρά από βασικές πληροφορίες που απαιτούνται από τον ΓΚΠΔ.

-Ύπαρξη μιας πολιτικής προστασίας δεδομένων προσωπικού χαρακτήρα.

-Ορισμένες γραπτές διαδικασίες για τον τρόπο επεξεργασίας των προσωπικών δεδομένων από την επιχείρηση.

-Ανάλογα με το είδος και την δραστηριότητα της επιχείρησης, ύπαρξη κατάλληλου εντύπου ενημέρωσης των πελατών για την χρήση των δεδομένων τους, με αναφορά στους σκοπούς για τους οποίους που θα χρησιμοποιηθούν τα δεδομένα, την νομική βάση για την επεξεργασία τους, για πόσο χρονικό διάστημα θα αποθηκεύονται, σε ποιους θα κοινοποιούνται, αναφορά στα βασικά δικαιώματά των πελατών όσον αφορά την προστασία των δεδομένων, το δικαίωμά των πελατών να υποβάλουν καταγγελία κλπ.

-Σε περίπτωση απασχόλησης προσωπικού, ύπαρξη εντύπου ενημέρωσης του προσωπικού για τις ακριβείς επεξεργασίες των προσωπικών τους δεδομένων (ίδια δομή με το έντυπο ενημέρωσης πελάτη) και, ξεχωριστά, υπογραφή ρήτρας εμπιστευτικότητας. Επίσης, συχνή εκπαίδευση του προσωπικού για την ορθολογική χρήση των εταιρικών δεδομένων.

-Στην περίπτωση των προμηθευτών και των εξωτερικών συνεργατών, απαίτηση για υπογραφή σύμβασης ή άλλης νομικής πράξης σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά περίπτωση και βάση του είδους της συνεργασίας. Ενδεικτικά, αφορά την ανάθεση σε τρίτες εταιρείες ή ελεύθερους επαγγελματίες: α) της μισθοδοσίας του προσωπικού, β) της ασφάλισης του προσωπικού, γ) της λογιστικής υποστήριξης της επιχείρησης, δ) της μηχανογραφικής υποστήριξης, ε) της διαχείρισης της εταιρικής ιστοσελίδας ή/και των social media, στ) της συντήρησης του εξοπλισμού, ζ) της καθαριότητας των υποδομών, η) της φύλαξης των υποδομών και θ)  τυχόν λοιπές συνεργασίες με συμβούλους.

–Σε περίπτωση λειτουργίας κλειστού κυκλώματος τηλεόρασης (CCTV), α) ενημέρωση των υποκειμένων  με εμφανείς σημάνσεις για την ύπαρξη του συστήματος βιντεοεπιτήρησης για το σκοπό της ασφάλειας προσώπων και αγαθών και β) τήρηση των σχετικών απαιτήσεων που προκύπτουν από την κείμενη νομοθεσία, όπως ενδεικτικά, τοποθέτηση καμερών σε σημεία εισόδου και εξόδου, σε χώρους ταμείων ή χώρους κρίσιμων εγκαταστάσεων, απαίτηση για διαγραφή του καταγεγραμμένου υλικού εντός 15 ημερών, προστασία µονάδας ελέγχου του κυκλώµατος (καταγραφικό) το υλικό να μην χρησιμοποιείται για την διαδικασία αξιολόγησης του προσωπικού κλπ.

-Σε περίπτωση ύπαρξης ηλεκτρονικής ιστοσελίδας, ύπαρξη όρων και προϋποθέσεων χρήσης της ιστοσελίδας, δυνατότητα στον επισκέπτη να αποδεχθεί ή να απορρίψει την εγκατάσταση cookies (πέραν των «αυστηρώς απαραίτητων»), ανάρτηση στην ιστοσελίδα της πολιτικής προστασίας δεδομένων της επιχείρησης κλπ.

-Σε περίπτωση αποστολής ηλεκτρονικών newsletters ή sms marketing από την επιχείρηση, θα πρέπει οπωσδήποτε να δίδεται η δυνατότητα στους χρήστες για ξεκάθαρη και ρητή συγκατάθεση για το αν επιθυμούν να λαμβάνουν τέτοιες επικοινωνίες / ενημερώσεις (opt-in).

Ειδικότερα ως προς την φυσική ασφάλεια, προτείνονται ενδεικτικά τα ακόλουθα μέτρα:

*ασφαλής αποθήκευση κρίσιμων δεδομένων, όπως φύλαξη φακέλων προσωπικού, πελατών και λοιπά έντυπα αρχεία σε κλειδωμένα συρτάρια, ντουλάπες ή φωριαμούς,

* εγκατάσταση συστήματος συναγερμού και αλλαγή κωδικών σε περίπτωση αποχώρησης προσωπικού που τους γνώριζε,

* εγκατάσταση κλειστού κυκλώματος τηλεόρασης (CCTV) ή/και συνεργασία με εταιρεία φύλαξης χώρων (security),

* αλλαγή κλειδαριών σε περίπτωση αποχώρησης προσωπικού που χειριζόταν τα κλειδιά,

* κλείδωμα όλων των θυρών και παραθύρων πριν την αποχώρηση από την επιχείρηση κλπ.

Ως προς την ασφάλεια της ηλεκτρονικής πληροφορίας, προτείνονται ενδεικτικά τα ακόλουθα μέτρα:

* εφαρμογή προγραμμάτων αντιμετώπισης κακόβουλου λογισμικού (anti malware), καθώς και χρήση προγραμμάτων τειχών ασφαλείας (firewall),

* αποθήκευση στο δίκτυο και κεντρική λήψη αντιγράφων ασφαλείας (backup), σε τακτική βάση και με ασφαλή τρόπο, 

* περιορισμοί στην σύνδεση αποσπώμενων μέσων για αποφυγή κακόβουλης εξαγωγής δεδομένων, 

* διαχείριση λογαριασμών χρηστών, μηχανισμοί ελέγχου πρόσβασης, διαχείριση κωδικών πρόσβασης, 

* λοιπές πολιτικές και διαδικασίες για την προστασία της ηλεκτρονικής πληροφορίας και δεδομένων.

Ως προς τις διαβιβάσεις πληροφοριών, προτείνονται ενδεικτικά τα ακόλουθα μέτρα:

* προστασία ηλεκτρονικών αρχείων κατά την αποστολή τους μέσω ηλεκτρονικού ταχυδρομείου (πχ μέσω της ξεχωριστής αποστολής των κωδικών ανοίγματος με sms ή με άλλους ενδεδειγμένους τρόπους προστασίας), 

* μηχανισμοί και διαδικασίες για προσεκτική ταυτοποίηση ατόμων πριν την διαβίβαση πληροφοριών δια τηλεφώνου, ηλεκτρονικά ή από κοντά κλπ.  

Συμπερασματικά, οι μικρομεσαίες επιχειρήσεις δεν θα πρέπει απλώς να αντιλαμβάνονται τον σκοπό και την σημαντικότητα της προστασίας των δεδομένων προσωπικού χαρακτήρα που διαχειρίζονται, αλλά και να υιοθετούν μια σειρά από τεχνικά και οργανωτικά μέτρα προστασίας και διαφύλαξης των δεδομένων, υπό το πρίσμα του ΓΚΠΔ / GDPR και της κείμενης νομοθεσίας.

** Ο Δημοσθένης Κωστούλας, Quality Manager και DPO σε Ιδιωτική Κλινική, DPO στον Ιατρικό Σύλλογο Θεσσαλονίκης, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος MBΑ και MSc (International Business and Finance). Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο “Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα” (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι αρθρογράφος για το GDPR και αποτελεί γενικό γραμματέα και μέλος του Δ.Σ. του ελληνικού παραρτήματος του European Association of Data Protection Professional (EADPP), επιστημονικό συνεργάτη του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος της ομάδας του Homo Digitalis, μέλος του DPO Network Greece και μέλος του ΙΝ.ΕΠ.ΙΔ Β.Ελλάδος.

Πηγές:

1. Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
2. Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679  https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL
3. Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα, Ο∆ΗΓΙΑ 1/2011, Αριθ. Πρωτ. Γ/ΕΞ/2274/31.03.2011, Χρήση συστηµάτων βιντεοεπιτήρησης για την προστασία προσώπων και αγαθών.
4. Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα, ΔΕΛΤΙΟ ΤΥΠΟΥ 25/2/2020, Aρ. Πρωτ.: Γ/ΕΞ/1525, Συστάσεις για τη συμμόρφωση υπευθύνων επεξεργασίας δεδομένων με την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες.
5. https://ec.europa.eu/info/sites/info/files/data-protection-overview-citizens_el.pdf, ΕΝΑΣ ΟΔΗΓΟΣ ΤΟΥ ΠΟΛΊΤΗ ΓΊΑ ΤΗΝ ΠΡΟΣΤΑΣΊΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΕΕ, Λουξεμβούργο: Υπηρεσία Εκδόσεων της Ευρωπαϊκής Ένωσης, 2018