Πέμπτη 22 Μαρτίου 2018

Ενημέρωση από το ΕΒΕΘ για το νέο "φασούλι" που λέγεται GDPR

Με τη συμμετοχή εκατοντάδων μελών του Επαγγελματικού Επιμελητηρίου, κάτι που αποδεικνύει το ενδιαφέρον αλλά και τη ....
σπουδαιότητα του νέου νομικού πλαισίου για τη διαχείριση των δεδομένων προσωπικού χαρακτήρα, έγινε χτες Τετάρτη το σεμινάριο, που διοργάνωσε το ΕΕΘ σε συνεργασία με την Ένωση Φοροτεχνικών Ελευθέρων Επαγγελματιών.

Στο σεμινάριο αναλύθηκαν όλες οι πτυχές και οι διατάξεις της κοινοτικής οδηγίας, που έχει ήδη ενσωματωθεί στο εθνικό δίκαιο και προβλέπει όλους τους τρόπους και τη μεθοδολογία με την οποία υποχρεούται κάθε επιχείρηση να διαχειρίζεται ηλεκτρονικά στοιχεία και προσωπικά δεδομένα, υπαλλήλων, συνεργατών, προμηθευτών, πελατών και υποψηφίων πελατών, όπως ονόματα, διευθύνσεις, ταχυδρομικές και ηλεκτρονικές, αριθμούς τηλεφώνων, στοιχεία οικογενειακής κατάστασης κλπ.

Κάθε επιχείρηση θα πρέπει, όπως τόνισαν οι εισηγητές, να αρχειοθετούν τα δεδομένα με συγκεκριμένους τρόπους, θα πρέπει να έχουν ειξιδεικευμένους συνεργάτες που θα επεξεργάζονται και θα διαχειρίζονται τα στοιχεία, θα πρέπει να ακολουθούν συγκεκριμένα πρωτόκολλα για την συλλογή και προστασία των στοιχείων αυτών, ώστε να μη διαρρέουν για σκοπούς διαφορετικούς από αυτούς που έχουν συλλεγεί. Επίσης, υποχρεούνται να δημοσιοποιούν κάθε διαρροή στο κοινό και τις αρμόδιες κρατικές αρχές.

Όπως εξήγησαν οι εισηγητές του σεμιναρίου, το νέο νομικό πλαίσιο, που θα ισχύει από το Μάιο είναι εξαιρετικά αυστηρό και θα πρέπει όλες οι εταιρίες να ενημερωθούν αναλυτικά προκειμένου να προετοιμαστούν, αφού στην περίπτωση μη εφαρμογής απειλούνται με αυστηρά πρόστιμα.
Το σεμινάριο είχε ως τίτλο "Διασφάλιση Προσωπικών Δεδομένων - GDPR" και εισηγήσεις έκανε η δικηγόρος Μαρία Ιακωβίδου, ο Σύμβουλος Πληροφορικής Πολύδωρος Αντωνιάδης και η σύμβουλος επιχειρήσεων Σάσα Σταμάτη, ως εκπρόσωπος του Συνδέσμου Συμβούλων Επιχειρήσεων.

Όπως τόνισε στον χαιρετισμό του, ο εκπρόσωπος της διοίκησης του ΕΕΘ Κώστας Λάσκος, η διοργάνωση του σεμιναρίου αυτού κρίθηκε αναγκαία, καθώς από το Μάιο είναι υποχρεωτική η συγκεκριμένη μεθοδολογία για όλους τους φορείς, δημόσιους και ιδιωτικούς, που κρατούν στοιχεία συνεργατών, πελατών ή δυνειτικών πελατών τους.

Τη μεγάλη προσέλευση των μελών χαιρέτησε ο πρόεδρος της ΕΦΕΕΘ Γιάννης Δόβελος, που τόνισε ότι το θέμα του σεμιναρίου είναι εξαιρετικά σημαντικό και για το λόγο αυτό εφιστάται η προσοχή των επιχειρηματιών αλλά και των λογιστών.

Η εκδήλωση πραγματοποιήθηκε στην αίθουσα "Θεσσαλονίκη" των εγκαταστάσεων του ΕΕΘ.



Τι προβλέπει ο νέος κανονισμός προστασίας προσωπικών δεδομένων

Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων που θα ισχύει από τα τέλη Μαρτίου 2018 στην Ελλάδα και σε όλη την Ευρώπη, αφορά κάθε πολίτη, αλλά και μεγάλο αριθμό επιχειρήσεων και οργανισμών που επεξεργάζονται προσωπικά στοιχεία και θα αποτελέσει ένα από τα ζητήματα που θα βρεθεί στην επικαιρότητα τις αμέσως προσεχείς εβδομάδες.

Τι προβλέπει ο νέος κανονισμός, ποιες επιχειρήσεις θα πρέπει να τον εφαρμόσουν, γιατί τελικά πρέπει να είναι ενήμερος ο απλός πολίτης; Σε αυτά και άλλα ερωτήματα που έθεσε το Αθηναϊκό Μακεδονικό Πρακτορείο Ειδήσεων (ΑΠΕ-ΜΠΕ), απαντά η Αργυρώ Χατζοπούλου, διευθύντρια Εταιρικής Διακυβέρνησης της TÜV AUSTRIA HELLAS, παρουσιάζοντας και τα πρόσφατα συμπεράσματα μεγάλου συνεδρίου που έγινε στην Αθήνα.

- Θα μας περιγράψετε συνοπτικά τι προβλέπει ο Γενικός Κανονισμός Προστασίας Δεδομένων;

Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων -οι περισσότεροι πλέον αναφέρονται σε αυτόν με το ακρωνύμιο GDPR- περιγράφει έναν τρόπο για την αναγνώριση και προστασία των δεδομένων προσωπικού χαρακτήρα.
Ο GDPR μας δίνει τους βασικούς ορισμούς, ώστε να μπορέσουμε αρχικά να αναγνωρίσουμε ποια είναι δεδομένα προσωπικού χαρακτήρα, δηλαδή κάθε πληροφορία που αφορά φυσικό πρόσωπο, με βάση την οποία ταυτοποιείται/αναγνωρίζεται.

Επιπλέον, καθορίζει σε ποιες περιπτώσεις επιτρέπεται αυτά τα δεδομένα να τα έχουμε, χρησιμοποιούμε, αποθηκεύουμε, διαγράφουμε, μεταβιβάζουμε και εν γένει επεξεργαζόμαστε και τέλος, με βάση ποιον τρόπο μπορούμε να τα προστατεύουμε.

- Ποιες επιχειρήσεις και οργανισμούς αφορά; (Τράπεζες, ασφαλιστικούς οργανισμούς)

Ειδικά για το GDPR θα ήταν λάθος να πούμε ότι αφορά αποκλειστικά συγκεκριμένους τύπους επιχειρήσεων ή οργανισμών. Στην πραγματικότητα, το αν πρέπει να εφαρμοστεί από έναν οργανισμό ο GDPR, εξαρτάται από το αν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα ή όχι. Αν η απάντηση σε αυτή την ερώτηση είναι ναι, είτε είναι σχολείο, είτε είναι τράπεζα, πρέπει να συμμορφωθεί προς τις απαιτήσεις του κανονισμού, μέχρι τις 25.05.2018.

- Γιατί η εφαρμογή του πρέπει να ενδιαφέρει κάθε ενεργό πολίτη; Τι έχει να «κερδίσει»; Από τι θα προστατεύεται; Το σημαντικότερο, τι θα αλλάξει σε σχέση με σήμερα; Πρακτικά παραδείγματα.

Αν κάποιον πρέπει να ενδιαφέρει πρωτίστως είναι τον κάθε πολίτη. Τα δεδομένα που προστατεύονται χάρις στον κανονισμό, είναι πληροφορίες που αφορούν τον ίδιο. Είναι όλα τα στοιχεία τα οποία περιγράφουν ποιος είναι και τι κάνει καθένας από εμάς.

Για παράδειγμα, προσωπικό δεδομένο είναι τα ψώνια που κάνω στο supermarket -και οι 15 σοκολάτες που αγόρασα, για παράδειγμα σοκολάτες υγείας με στέβια- και το ταξίδι που έκανα την προηγούμενη εβδομάδα. Με βάση τα δεδομένα αυτά, θα μπορούσε κάποιος να με διαχωρίσει από άλλους ανθρώπους ή να τα χρησιμοποιήσει προκειμένου να προσπαθήσει να με επηρεάσει ή να προωθήσει κάποιο προϊόν. Αν δεν του έχω δώσει αυτό το δικαίωμα εν γνώσει μου, δεν πρέπει να το κάνει. Είναι στέρηση ενός μέρους της ελευθερίας μου.

Το πρόβλημα με τα προσωπικά δεδομένα, ειδικά τώρα με την εξέλιξη της τεχνολογίας, είναι ότι δεν είναι άμεσα αντιληπτό από εμάς. Αν ήταν πιο ξεκάθαρο πόσο συχνά μοιραζόμαστε τα προσωπικά μας στοιχεία εν αγνοία μας, νομίζω ότι θα είχαμε όλοι μας πολύ διαφορετικές αντιδράσεις.

Μια αναλογία των δεδομένων προσωπικού χαρακτήρα και της χρήσης τους χωρίς άδεια θα μπορούσε να είναι η ακόλουθη:

Φανταστείτε να περπατάτε στο δρόμο και να διασταυρωθείτε με έναν άλλο άνθρωπο, ο οποίος σας χαμογελάει. Συνειδητοποιείτε ότι δεν γνωρίζεστε, οπότε δεν κάνετε κάτι. Παρόλα αυτά, συνεχίζει να έρχεται προς το μέρος σας, λέει το όνομά σας και ότι προχτές πήρατε 15 σοκολάτες υγείας με στέβια από το σουπερμάρκετ και αν θα θέλατε να πάρετε και μερικές ακόμα που είναι σε προσφορά ή αν θέλετε να πάρετε ένα πρόγραμμα δίαιτας, γιατί 60 σοκολάτες το μήνα είναι πολλές για την ηλικία και το φύλο σας. Σκεφτείτε πόσο άβολα θα νιώθατε με μια τέτοια συμπεριφορά.

- Τελικά, ποια θεωρούνται προσωπικά δεδομένα και τι σημαίνει επεξεργασία προσωπικών δεδομένων;

Δεδομένα προσωπικού χαρακτήρα είναι κάθε πληροφορία που αφορά φυσικό πρόσωπο, με βάση την οποία ταυτοποιείται/αναγνωρίζεται. Αυτό μπορεί να είναι το όνομα, επώνυμο, ο ΑΦΜ, ο ΑΜΚΑ, καθώς και οποιαδήποτε άλλη πληροφορία μέσα από την οποία μπορεί να εξακριβωθεί, άμεσα ή έμμεσα η ταυτότητα ενός ατόμου.
Σε συγκεκριμένες περιπτώσεις και υπό προϋποθέσεις, επιτρέπεται για τα δεδομένα αυτά η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή. Όλες οι παραπάνω ενέργειες ονομάζονται επεξεργασία προσωπικών δεδομένων.

- Ποια ήταν τα συμπεράσματα του συνεδρίου GDPR Conferenceτης TÜV AUSTRIA HELLAS;

Όταν κάποιος συνειδητοποιεί ότι πρέπει να υιοθετήσει και να συμμορφωθεί με τις επιταγές του GDPR, το συναίσθημα που επικρατεί είναι πανικός. Στο GDPR Conference TÜV AUSTRIA HELLAS, παρουσιάστηκε μια μεθοδολογία με 3 βήματα, τα οποία, όταν οι οργανισμοί τα ακολουθήσουν, θα μπορέσουν να κατακτήσουν τη συμμόρφωση με τον GDPR.

Τα βήματα είναι:

Εκπαίδευση: Καθώς ο κανονισμός απαιτεί συγκεκριμένες γνώσεις από διαφορετικά αντικείμενα (νομικά, πληροφορικής, ασφάλειας και άλλα), απαιτείται ενημέρωση από εξειδικευμένους επιστήμονες, οι οποίοι βοηθούν τους συμμετέχοντες να κατανοήσουν τις απαιτήσεις και τους ρόλους τους στα πλαίσια του κανονισμού.
Πιστοποίηση γνώσεων: Για την υλοποίηση και την συνεχιζόμενη συμμόρφωση προς τις απαιτήσεις του GDPR, χρειάζεται η απασχόληση στελεχών που αποδεδειγμένα έχουν τις κατάλληλες γνώσεις.
Έλεγχος και πιστοποίηση της εφαρμογής των απαιτήσεων του υπόχρεου οργανισμού.

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου