Τι είναι GDPR και ποιες μεταβολές επέφερε στην Αγορά
- Ουσιαστικές μεταβολές στην Αγορά λόγω GDPR
- 8 ερωτήσεις απαντήσεις για καλύτερη κατανόηση του νέου κανονισμού
Με αφορμή την Παγκόσμια Ημέρα Ασφαλούς Πλοήγησης στο Διαδίκτυο (Safer Internet Day), που καθιερώθηκε με πρωτοβουλία της Ευρωπαίας Επιτρόπου Βιβιάν Ρέντινγκ και γιορτάζεται κάθε χρόνο τον Φεβρουάριο, προσπαθούμε να ρίξουμε φως στο κανονισμό GDPR.
Δεν ήταν η αφορμή μόνο η Παγκόσμια Ημέρα Ασφαλούς Πλοήγησης στο Διαδίκτυο αλλά και μια πρόσφατη έρευνα της Eurostat που κατατάσσει την Κύπρο πολύ ψηλά στις χώρες όπου οι πολίτες της αποδέχονται ασύστολα τους όρους εγκατάστασης μιας εφαρμογής χωρίς να ελέγξουν πρώτα τι αποδέχονται.
>>> ΔΙΑΒΑΣΤΕ ΟΛΕΣ ΤΙΣ ΕΡΕΥΝΕΣ & ΑΝΑΛΥΣΕΙΣ ΤΗΣ BRIEF <<<
Όπως δείχνει και ο πιο κάτω πίνακας το 43% των Κυπρίων δεν εξασκούν το δικαίωμα που τους παρέχει ο κανονισμό GDPR.
Ο Κανονισμός αυτός ψηφίστηκε στις 25 Μαΐου του 2016 με άμεση ισχύ αλλά δόθηκε περίοδος δυο ετών για προετοιμασία του ιδιωτικού και του δημόσιου τομέα για τις αλλαγές που προνοούνται. Η εφαρμογή του κανονισμού που επηρεάζει εταιρείες, οργανισμούς αλλά και όλους του πολίτες, τέθηκε σε εφαρμογή στις 25 Μαΐου του 2018
Αρμόδια αρχή για την Κύπρο, για τον έλεγχο όλων αυτών των νέων δεδομένων, είναι το Γραφείο της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Ουσιαστικές μεταβολές στην Αγορά λόγω GDPR
Οι εταιρείες πλέον έχουν, να κάνουν όχι με μια γραφειοκρατική πανσπερμία διαφορετικών εθνικών κανονισμών, αλλά με ενιαίους πανευρωπαϊκούς και προβλέψιμους κανόνες. Αυτό διευκολύνει, σύμφωνα με την Ευρωπαϊκή Επιτροπή, τις διεθνείς ψηφιακές συναλλαγές και την επέκταση σε άλλες χώρες και νέες αγορές, ιδίως όσον αφορά τις μικρότερες εταιρείες. Οι κανόνες θα είναι ίδιοι για τις εγκατεστημένες στην ΕΕ εταιρείες και για όσες έχουν έδρα εκτός ΕΕ (π.χ. ΗΠΑ), αλλά λειτουργούν στην ΕΕ.
Εκτιμάται, ότι η αύξηση της εμπιστοσύνης των καταναλωτών χάρη στους νέους κανόνες προστασίας των προσωπικών δεδομένων, τελικά θα ωφελήσει οικονομικά τις Μικρομεσαίες κυρίως εταιρείες.
Η Πιστοποίηση των Επιχειρήσεων, έναντι των απαιτήσεων του Κανονισμού GDPR, και η Συνεισφορά στη βιωσιμότητα και οργάνωση της Μικρομεσαίας και Μεγάλης Επιχείρησης.
Ευτυχώς ή Δυστυχώς, η βιωσιμότητα μιας Μικρομεσαίας Επιχείρησης ή ακόμη και μεγαλύτερης επιχείρησης, σε μακροχρόνιο ορίζοντα, εξαρτάται πλεόν από την Πιστοποίησή της ότι συμμορφώνεται με τις απαιτήσεις του Κανονισμού GDPR.
Όπως αναλύθηκε και παραπάνω, οι Μικρομεσαίες επιχειρήσεις βρέθηκαν αντιμέτωπες με αύξηση των δαπανών διαφήμισης και προώθησης προϊόντων και υπηρεσιών, αφού το λεγόμενο Direct Marketing με τον τρόπο που το γνωρίζαμε ως σήμερα, αποτελεί πλέον κύριο παράγοντα απειλής με την μορφή βιομηχανίας αγωγών από υποψήφιους "θιγόμενους" καταναλωτές, με δεδομένο μάλιστα το εξαντλητικό ύψος των προβλεπόμενων προστίμων από τις Εθνικές Αρχές.
Η λύση όμως δεν έγκειται στην εγκατάλειψη των χαμηλού κόστους μεθόδων marketing, προώθησης και πωλήσεων, αλλά στη θωράκιση της επιχείρησης έναντι των κινδύνων που απορρέουν από την εφαρμογή του Κανονισμού, δίνοντας έμφαση στην ορθολογική διαχείριση του υφιστάμενου πελατολογίου, στοχεύοντας μάλιστα σε συνειδητοποιημένους καταναλωτές και ώριμους κοινωνικά πολίτες.
8 ερωτήσεις και απαντήσεις για το νέο κανονισμό
1. Τι αφορά και ποιούς καλύπτει ο νέος Κανονισμός;
Ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) της ΕΕ ρυθμίζει την επεξεργασία από Φυσικά Πρόσωπα, Εταιρείες ή Οργανισμούς, των δεδομένων προσωπικού χαρακτήρα που αφορούν αποκλειστικά Φυσικά Πρόσωπα (και όχι εταιρείες) εντός της ΕΕ.
Ρητά ορίζεται ότι Δεν Υπάγεται σε αυτόν τον Κανονισμό, η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποθανόντων προσώπων ή Νομικών Προσώπων.
2. Πότε δεν θα εφαρμόζεται ο κανονισμός;
Οι νέοι κανόνες δεν εφαρμόζονται σε δεδομένα που υποβάλλονται σε επεξεργασία από ένα άτομο για αυστηρά προσωπικούς λόγους ή για δραστηριότητες που διενεργούνται κατ' οίκον, εφόσον δεν συνδέονται με επαγγελματική ή εμπορική δραστηριότητα. Δεν θα εφαρμόζονται αν π.χ. ένα άτομο χρησιμοποιεί το ιδιωτικό του βιβλίο διευθύνσεων για να προσκαλέσει φίλους μέσω ηλεκτρονικού μηνύματος σε μια γιορτή που διοργανώνει (ισχύει η εξαίρεση των οικιακών δραστηριοτήτων).
3. Ποια θεωρούνται δεδομένα προσωπικού χαρακτήρα;
Τα δεδομένα προσωπικού χαρακτήρα είναι πληροφορίες που αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή άτομο. Διαφορετικές πληροφορίες οι οποίες, εάν συγκεντρωθούν όλες μαζί, μπορούν να οδηγήσουν στην ταυτοποίηση ενός συγκεκριμένου ατόμου, αποτελούν επίσης δεδομένα προσωπικού χαρακτήρα.
Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα, έχουν κρυπτογραφηθεί ή για τα οποία έχουν χρησιμοποιηθεί ψευδώνυμα, αλλά τα οποία μπορούν να χρησιμοποιηθούν για την επαναταυτοποίηση ενός ατόμου, παραμένουν δεδομένα προσωπικού χαρακτήρα και εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ.
Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα έτσι ώστε το άτομο να μην είναι ταυτοποιήσιμο, δεν θεωρούνται πλέον δεδομένα προσωπικού χαρακτήρα. Για να είναι πραγματικά ανώνυμα τα δεδομένα, η ανωνυμοποίηση πρέπει να είναι μη αντιστρέψιμη.
Ο ΓΚΠΔ προστατεύει τα δεδομένα προσωπικού χαρακτήρα ανεξάρτητα από την τεχνολογία που χρησιμοποιείται για την επεξεργασία τους. Είναι τεχνολογικά ουδέτερος και εφαρμόζεται τόσο στην αυτοματοποιημένη όσο και στη χειροκίνητη επεξεργασία. Επίσης, δεν έχει σημασία ο τρόπος που αποθηκεύονται τα δεδομένα - σε ψηφιακή ή έντυπη μορφή.
4. Ποιά είναι χαρακτηριστικά παραδείγματα δεδομένων προσωπικού χαρακτήρα και ποιά όχι;
- Το Όνομα και Επώνυμο,
- Η Διεύθυνση κατοικίας,
- Ο Αριθμός Ταυτότητας,
- Η Προσωπική Ηλεκτρονική διεύθυνση (e-mail),
- Ο αναγνωριστικός αριθμός τραπεζικής κάρτας,
- Τα δεδομένα τοποθεσίας (π.χ. GPS σε κινητό τηλέφωνο),
- Η διεύθυνση διαδικτυακού πρωτοκόλλου (IP) και,
- Τα δεδομένα υγείας που φυλάσσονται από νοσοκομείο ή γιατρό.
Παραδείγματα δεδομένων που δεν θεωρούνται προσωπικού χαρακτήρα, είναι ο αριθμός μητρώου εταιρείας, η εταιρική ηλεκτρονική διεύθυνση του τύπου «info@company.com» και κάθε είδους ανώνυμα δεδομένα.
5. Τι αποτελεί επεξεργασία δεδομένων;
Ο όρος «επεξεργασία» καλύπτει ένα ευρύ φάσμα πράξεων που πραγματοποιούνται σε δεδομένα προσωπικού χαρακτήρα, είτε με χειροκίνητα είτε με αυτοματοποιημένα μέσα. Περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα.
Παραδείγματα επεξεργασίας αποτελούν:
- Η διαχείριση προσωπικού και η μισθοδοσία,
- Η προσπέλαση/αναζήτηση πληροφοριών σε βάση δεδομένων επαφών που περιλαμβάνει δεδομένα προσωπικού χαρακτήρα,
- Η αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων,
- Η δημοσίευση/ανάρτηση φωτογραφίας ενός ατόμου σε ιστότοπο,
- Η αποθήκευση διευθύνσεων IP, και,
- Η μαγνητοσκόπηση με τηλεόραση κλειστού κυκλώματος.
6. Ποια θα είναι τα νέα δικαιώματα των χρηστών;
- Έχουν το δικαίωμα να λαμβάνουν σαφείς και κατανοητές πληροφορίες για το ποιός επεξεργάζεται τα προσωπικά δεδομένα τους και γιατί.
- Μπορούν να ζητούν από όλες τις εταιρείες να έχουν οι ίδιοι πρόσβαση και να μαθαίνουν ποιά ακριβώς στοιχεία οι εταιρείες διατηρούν γι' αυτούς.
- Έχουν επίσης το δικαίωμα στη «λήθη», δηλαδή, αν θέλουν, μπορούν να απαιτήσουν αυτά τα δεδομένα να διαγραφούν από τις βάσεις δεδομένων των εταιρειών. Αυτό δεν θα αφορά μόνο τις εταιρείες τεχνολογίας (π.χ. Facebook ή Google), αλλά τράπεζες, καταστήματα λιανεμπορίου και οποιαδήποτε άλλη εταιρεία ή οργανισμό κρατά προσωπικά δεδομένα, του εργοδότη συμπεριλαμβανομένου. Για παράδειγμα, θα μπορεί κανείς, αν δεν είναι δημόσιο πρόσωπο, να ζητήσει από μία μηχανή αναζήτησης (π.χ. Google) να διαγράψει τους συνδέσμους (links), όπως ένα άρθρο εφημερίδας, που αναφέρονται σε μια προσωπική υπόθεση του παρελθόντος.
Αν, αντίστροφα, online προσωπικά δεδομένα χαθούν ή κλαπούν, η εταιρεία πρέπει μέσα σε 72 ώρες να ενημερώσει το άτομο και, αν δεν το κάνει, κινδυνεύει με πρόστιμο. Εάν κάποιος έχει υποστεί ζημία, μπορεί επίσης να ζητήσει αποζημίωση προσφεύγοντας στη δικαιοσύνη. Με δεδομένες τις συχνές κυβερνοεπιθέσεις χάκερ κατά εταιρειών, γίνεται αντιληπτή η σημασία αυτού του δικαιώματος.
Αν ο χρήστης-πολίτης υποψιάζεται ότι γίνεται κατάχρηση στη συλλογή δεδομένων που τον αφορούν, μπορεί να προσφύγει στην αρμόδια εθνική αρχή προστασίας προσωπικών δεδομένων, η οποία υποχρεούται να ερευνήσει το ζήτημα. Οι πολίτες μπορούν να προσφύγουν και ομαδικά εναντίον κάποιας εταιρείας, κάτι που έως τώρα ήταν ασυνήθιστο στην Ευρώπη, αντίθετα με τις ΗΠΑ.
Οργανώσεις πολιτών μπορούν να προσφύγουν για λογαριασμό ομάδων πολιτών. Αν μία υπόθεση κερδηθεί, αναμένεται να δημιουργηθεί νομικό προηγούμενο και για άλλες υποθέσεις, κάτι που θα αναγκάσει τις εταιρείες να πάρουν το ζήτημα της ιδιωτικότητας πιο σοβαρά.
Επίσης, δίνεται το δικαίωμα της «φορητότητας δεδομένων», δηλαδή δεν θα επιτρέπεται τα δεδομένα ενός προσώπου να «κλειδώνονται» σε μια εταιρεία ή πάροχο υπηρεσιών. Οι εταιρείες είναι υποχρεωμένες να επιτρέπουν στο χρήστη-καταναλωτή να «κατεβάζει» τα προσωπικά δεδομένα του και να τα μεταφέρει σε ανταγωνιστική εταιρεία, είτε πρόκειται για οικονομικά στοιχεία από τράπεζα σε τράπεζα, είτε για τη μεταφορά μιας playlist τραγουδιών από το Spotify σε ανταγωνιστική μουσική υπηρεσία streaming.
>>> ΟΛΗ Η ΡΟΗ ΕΙΔΗΣΕΩΝ BRIEF ΜΕ ΕΠΙΛΕΓΜΕΝΟ ΠΕΡΙΕΧΟΜΕΝΟ <<<
7. Οι χρήστες-καταναλωτές έχουν καταλάβει τι γίνεται;
Οι περισσότεροι όχι δυστυχώς.
Ήδη αρκετές εταιρείες έχουν ενημερώσει με e-mail και άλλους τρόπους τους χρήστες για τη νέα πολιτική τους σχετικά με τα προσωπικά δεδομένα, αλλά ο νόμος επιβάλλει οι όροι να είναι γραμμένοι απλά και όχι νομικίστικα, κάτι που συχνά δεν συμβαίνει. Επίσης οι εταιρείες πρέπει να δίνουν στον καθένα την επιλογή να μπλοκάρει τη συλλογή πληροφοριών που τον αφορούν. Όμως συχνά οι χρήστες συναινούν βιαστικά, χωρίς να καταλαβαίνουν και χωρίς να αξιοποιούν τις νέες δυνατότητες που έχουν.
8. Εκτός από τους χρήστες, οι εταιρείες έχουν κάτι να ωφεληθούν από τους νέους κανόνες;
Οι εταιρείες πλέον έχουν να κάνουν όχι με μια γραφειοκρατική πανσπερμία διαφορετικών εθνικών κανονισμών, αλλά με ενιαίους πανευρωπαϊκούς και προβλέψιμους κανόνες.