Δευτέρα, Ιουλίου 01, 2019

Μικρές επιχειρήσεις και συμμόρφωση με GDPR

Στις 25.5.2019 συμπληρώθηκε το πρώτο έτος εφαρμογής του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων της Ε.Ε. (GDPR), με τις διατάξεις του oποίου πρέπει να συμμορφωθεί το σύνολο του δημόσιου και ιδιωτικού τομέα. Ακολούθησε ένα μεγάλο κύμα «συμμόρφωσης» από πολυεθνικές και σημαντικές επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα των πελατών τους. Η διαδικασία της συμμόρφωσης έχει ιδιαίτερα επιστημονικά, νομικά χαρακτηριστικά με αποτέλεσμα να πρωταγωνιστήσουν ως σύμβουλοι συμμόρφωσης οι μεγάλες δικηγορικές εταιρίες και οι πολυεθνικές συμβουλευτικές εταιρίες. Αυτό το πρώτο κύμα αφορούσε όμως τους πολύ μεγάλους «παίκτες» της αγοράς που έσπευσαν να συμμορφωθούν επειδή έπρεπε να θωρακίσουν τις επιχειρήσεις τους από τα πολύ μεγάλα πρόστιμα που προβλέπει ο GDPR για τους παραβάτες των διατάξεων για την προστασία προσωπικών δεδομένων.
Δεύτερος και καταϊδρωμένος ήρθε ο δημόσιος τομέας και κυρίως ο χώρος της τοπικής αυτοδιοίκησης που επίσης τηρεί μεγάλα αρχεία προσωπικών δεδομένων (ληξιαρχεία, δημοτολόγια, μητρώα αρρένων, κ.τ.λ.) τα οποία πρέπει να εφαρμόζουν τις νέες διατάξεις. Η ανάγκη της ανάδειξης του νέου προσώπου που εισάγει ο GDPR, του Υπεύθυνου Προστασίας Δεδομένων σε κάθε δημόσιο φορέα αποτέλεσε αντικείμενο έντονου ενδιαφέροντος και πολλοί φορείς έσπευσαν να προσλάβουν ή, συνηθέστερα, να ορίσουν από το υπάρχον προσωπικό έναν ΥΠΔ ή DPO (Data Protection Officer), όπως έχουν υποχρέωση να πράξουν κατά το άρθρο 37 του GPDR.
Υπάρχει όμως ένας πολύ μεγάλος χώρος της αγοράς που παρέμεινε αρρύθμιστος και ασυμμόρφωτος. Οι μικρές και οι πολύ μικρές επιχειρήσεις που επίσης επεξεργάζονται προσωπικά δεδομένα, έχουν κι αυτές νέες υποχρεώσεις σύμφωνα με τον GDPR. Μπορεί να μη βρίσκονται στο άμεσο στόχαστρο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και μπορεί να μην κινδυνεύουν από πρόστιμα εκατομμυρίων ευρώ, ωστόσο πολύ πιο σοβαρός είναι ο κίνδυνος που διατρέχουν από τυχόν παραβάσεις που μπορεί να καταγγείλουν οι ανταγωνιστές τους ή και δυσαρεστημένοι πελάτες ή εν δυνάμει πελάτες. 
Η μικρή, η πολύ μικρή επιχείρηση οικογενειακού τύπου ή το γραφείο του ελεύθερου επαγγελματία, πρέπει κι αυτό να τηρήσει ορισμένες από τις διατάξεις του GDPR. Αρχικά για αυτονόητους λόγους νομιμότητας και σίγουρα για λόγους σεβασμού των πελατών και συνεργατών του. Το πρώτο στάδιο μιας τέτοιας συμμόρφωσης είναι η ενημέρωση όλων των πελατών – συνεργατών – προμηθευτών που είναι φυσικά πρόσωπα, σχετικά με τη φύση των δεδομένων που τηρούνται στο αρχείο της επιχείρησης. Αυτό επιβάλλεται από το άρθρο 13 του GDPR ως υποχρέωση ενημέρωσης και έχει εξειδικευτεί μέσα από κατευθυντήριες οδηγίες της Ε.Ε. Έπειτα, η επιχείρηση πρέπει να καταρτίσει το «αρχείο δραστηριοτήτων επεξεργασίας», ένα έγγραφο το οποίο οφείλει να τηρεί είτε σε φυσική είτε σε ηλεκτρονική μορφή ανά πάσα στιγμή, ώστε αν ζητηθεί να μπορεί να τεκμηριώνει ότι έχει εκπληρώσει τις υποχρεώσεις του άρθρου 30 του GDPR. Σε κάποιες περιπτώσεις, η επιχείρηση θα χρειαστεί να λάβει την συγκατάθεση των υποκειμένων ότι κατέχει νόμιμα τα προσωπικά τους δεδομένα και αυτή είναι μια διαδικασία που θα πρέπει να τηρεί το άρθρο 7 του GDPR. Σε περίπτωση που στέλνει «έξω» προσωπικά δεδομένα για να τα επεξεργαστούν τρίτοι, η επιχείρηση πρέπει να έχει ρυθμίσει την σχέση της με αυτούς τους τρίτους, ανάλογα με την ευθύνη που έχουν αναλάβει, κατά τα άρθρα 24-28 του GDPR. 
Αυτές είναι πολύ συνοπτικά οι νέες διαδικασίες που πρέπει, κατ’ ελάχιστον, να έχουν ακολουθήσει ήδη από πέρυσι οι επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα, όσο μικρές κι αν είναι από πλευράς αριθμού προσωπικού, ανθρώπινου δυναμικού ή πελατολογίου. Είναι αντιληπτό ότι οι πολύ μεγάλες συμβουλευτικές εταιρίες δεν θα ασχοληθούν με τη συμμόρφωση των συνοικιακών επιχειρήσεων και των μικρών γραφείων. Γραφεία ταξιδίων, ξενοδοχεία, διαφημιστικές εταιρίες, λογιστικά γραφεία, ιατρεία, τεχνικά γραφεία, καταστήματα λιανικού εμπορίου, εταιρίες logistics, τοπικά μέσα ενημέρωσης, επιχειρήσεις εστίασης, μικρές βιοτεχνίες είναι ένα παζλ που συνθέτει τον παραγωγικό κορμό της οικονομίας μας, αλλά κανείς δεν φαίνεται να έχει προσφέρει υπηρεσίες συμμόρφωσης με τον GDPR. Μέχρι να γίνουν οι πρώτες καταγγελίες, οι πρώτες αγωγές και να εφαρμοστούν για πρώτη φορά οι αυστηρές διατάξεις που μπορεί να οδηγήσουν ακόμη και σε λουκέτα, φαίνεται ότι ο επιχειρηματικός κόσμος της μικρής επιχείρησης θέλει να συμμορφωθεί, αλλά οι παρέχοντες τις σχετικές υπηρεσίες μάλλον τον αγνοούν.
Δημοσιεύθηκε στις 29.6.2019 στην εφημερίδα ΑΞΙΑ

Δεν υπάρχουν σχόλια:

Περί της τριχοφυίας των ενστόλων

Οι ένστολοι είναι ο σκληρός πυρήνας του κρατικού μηχανισμού. Είναι τα όργανα μέσω των οποίων η Ελληνική Δημοκρατία επιβάλλει τις επιλογές...