• Business

    Άντζυ Μητροπούλου: Ο GDPR αφορά τους πάντες! Από ένα περίπτερο, μέχρι τη μεγαλύτερη πολυεθνική 

    Άντζυ Μητροπούλου

    Άρθρο : Άντζυ Μητροπούλου. Δικηγόρος


    Περισσότεροι από 5 εκατομμύρια Έλληνες και 250 εκατομμύρια Ευρωπαίοι πολίτες έχουν λάβει τη  ειδοποίηση για τον GDRP στο ηλεκτρονικό τους ταχυδρομείο τους τελευταίους μήνες. Ο λόγος είναι ότι από την 25η Μαΐου τίθεται σε εφαρμογή στην Ελλάδα και στις άλλες 26 χώρες της Ευρωπαϊκής Ένωσης ο νέος ευρωπαϊκός Κανονισμός για την Προστασία των Δεδομένων ο οποίος αφορά στη συλλογή, χρήση και αποθήκευση των προσωπικών δεδομένων. Πρόκειται για την πιο σοβαρή μεταρρύθμιση σε αυτό τον τομέα από την ίδρυση του διαδικτύου και προστατεύει μόνο τους Ευρωπαίους πολίτες.

    Η δικηγορος Άντζυ Μητροπούλου (Δικηγόρος CIPP/E και συνιδρύτρια της εταιρείας GAGDPR) αναλύει στο mononews.gr με απλα λογια τι ακριβως πρέπει και τι δεν πρέπει να κανουμε , καθως και τους μύθους που εχουν αναπτυχθεί σχετικα με την συγκεκριμένη διαδικασία. To πρωτο κείμενο δημοσιευθηκε χθές (διαβάστε το εδώ) και το δεύτερο σήμερα.

    Μύθος 3: Για όλες τις ενέργειές μας πρέπει να λαμβάνουμε ΣΥΓΚΑΤΑΘΕΣΗ από τα φυσικά πρόσωπα

    Πραγματικότητα : Η συγκατάθεση είναι η πιο αδύναμη νόμιμη βάση επεξεργασίας και αυτή που πρέπει να προσπαθούμε να αποφεύγουμε

    Για να επεξεργασθούμε δεδομένα προσωπικού χαρακτήρα, πρέπει η επεξεργασία μας αυτή να είναι νόμιμη. Δηλαδή να έχει τη λεγόμενη «Νόμιμη Βάση Επεξεργασίας».

    Νόμιμες βάσεις επεξεργασίας είναι :

    Η συγκατάθεση

    Η εκτέλεση σύμβασης

    Η εκπλήρωση νόμιμου καθήκοντος

    Το ζωτικό ενδιαφέρον του υποκειμένου (του φυσικού προσώπου, δηλαδή)

    Το έννομο συμφέρον του υπεύθυνου επεξεργασίας (της επιχείρησής σας) ή τρίτου

    Όλα αυτά είναι πολύ «νομικά» για να τα αναλύσουμε εδώ και δεν υπάρχει νόημα, άλλωστε. Ο σύμβουλός σας για τη συμμόρφωση γνωρίζει πώς, πότε και γιατί θα επιλέξει την κάθε βάση επεξεργασίας. Προσοχή, όμως : Κάθε επεξεργασία πρέπει να στηρίζεται σε μία και μόνο βάση. Δεν μπορούμε να αποφασίσουμε ότι χρησιμοποιούμε μία βάση και στη συνέχεια την αλλάζουμε, όπως μας συμφέρει. Ενείς συμμορφωνόμαστε στον Κανονισμό, δε φέρνουμε τον Κανονισμό στα μέτρα μας για να μας «βγει» όπως μας συμφέρει. 

    Οι επιχειρήσεις που δεν έχουν σαφή τεκμηρίωση για τον τρόπο με τον οποίο απέκτησαν τη συγκατάθεσή τους – ίσως κληρονόμησαν ή αγόρασαν (νόμιμα ή παράνομα!) τον κατάλογό τους – ζητούν από τους χρήστες να κάνουν κλικ στο πλήρες κουμπί “Συμφωνώ”.

    Αλλά αυτή η προσέγγιση “επανέγκρισης των πάντων” θα μπορούσε να είναι υπερβολική και σύμφωνα με τον εταίρο του Hogan, Lovells Eduardo Ustaran, CIPP / E: 

    “Ορισμένα τμήματα μάρκετινγκ θα είναι αρκετά δυσαρεστημένα όταν αντιληφθούν ότι μια παρανόηση του νόμου είναι η αιτία για τη μαζική μείωση των βάσεων δεδομένων τους “, καθώς επίσης και ότι:

     «Αυτό είναι ένα ατυχές λάθος που διαδίδεται σε όλα τα γραμματοκιβώτια μας ως άμεση συνέπεια του πανικού  για τον Κανονισμό.» 

    Στην πραγματικότητα, η πλειοψηφία αυτών των ηλεκτρονικών μηνυμάτων αποστέλλονται σε άτομα με τα οποία ο αποστολέας έχει ήδη εμπορική σχέση και για την οποία δεν χρειάζεται καν συγκατάθεση ».

    Σε αντίθεση με όλες τις παραπάνω βάσει επεξεργασίας, που είναι στέρεες και δυνατές, η συγκατάθεση, η οποία ανακαλείται και σε πολλές περιπτώσεις είναι και δύσκολο να αποδειχθεί, άρα δεν θα είναι και έγκυρη, πρέπει να δίδεται μόνο όταν δεν υπάρχει τίποτα από τα παραπάνω. Γι’ αυτό, θα συναντήσουμε τη συγκατάθεση κυρίως σε δραστηριότητες marketing και επικοινωνίας. 

     Μύθος 4:   «Είμαι πολύ μικρή επιχείρηση, δε χρειάζεται να συμμορφωθώ, αυτά είναι για τις μεγάλες πολυεθνικές, δεν είναι για μένα». Εναλλακτικά : «Μα εγώ δεν επεξεργάζομαι δεδομένα»!

    Συνήθως οι προτάσεις αυτές συνοδεύουνται ή ξεκινούν με ένα «Έλα μωρέ!»

    ΠΡΑΓΜΑΤΙΚΟΤΗΤΑ : Ο Κανονισμός αφορά τους πάντες! Από ένα περίπτερο, μέχρι τη μεγαλύτερη πολυεθνική 

    Ο Κανονισμός έρχεται  για να προστατεύσει τα φυσικά πρόσωπα (υποκείμενα των δεδομένων) σε σχέση με κάθε επεξεργασία που διενεργείται και το αφορά. Το παράδειγμα με το περίπτερο είναι αληθές, δεδομένου ότι ένα περίπτερο που χρησιμοποιεί κάμερα για να παρακολουθεί αν οι πελάτες το κλέβουν, οφείλει να συμμορφωθεί. Αντιθέτως, υπάρχουν μεγάλες εταιρείες, σε τζίρο και προσωπικό, που επεξεργάζονται πολύ λίγα δεδομένα φυσικών προσώπων, γιατί όλη η διάδρασή τους και οι συναλλαγές τους γίνεται με νομικά πρόσωπα, τα οποία είναι εκτός πεδίου του Κανονισμού. Φυσικά, οι μεγάλες επιχειρήσεις έχουν προσωπικό, το οποίο εμπίπτει στο πεδίο του Κανονισμού και οφείλει να συμμορφωθεί ως προς τους εργαζομένους και τους με κάθε τρόπο απασχολούμενους.

    «Υπομύθος» αυτού του μύθου είναι ότι, για να υπαχθεί  μια επιχείρηση στον Κανονισμό, θα πρέπει να απασχολεί πάνω από 250 (!) Ναι, έχει ακουσθεί πάρα πολύ!!

    Άλλος «υπομύθος» είναι ότι, για να υπαχθεί μια επιχείρηση στον Κανονισμό, θα πρέπει να έχει μεγάλο τζίρο (απροσδιόριστο για τους διαδότες του μύθου).

    Κατηγορηματικά, δεν ισχύει τίποτα από όλα αυτά. Ο μοναδικός και επαρκής λόγος για να καταστεί μια επιχείρηση υπεύθυνος επεξεργασίας  ή εκτελών την επεξεργασία, είναι να συλλέγει, διαβιβάζει, παρακολουθεί κλπ., προσωπικά δεδομένα φυσικών προσώπων.

    Το κείμενο είναι της Άντζυς Μητροπούλου. Δικηγόρος CIPP/E και συνιδρύτρια της εταιρείας GAGDPR

    Διαβάστε εδώ το προηγούμενο άρθρο της κ. Αντζυς Μητροπούλου 



    ΣΧΟΛΙΑ