Τον Μάη του 2018 εφαρμόστηκε ο γνωστός GDPR, EU 2016/679. O Ευρωπαϊκός Κανονισμός που ψηφίστηκε το 2016, ήρθε σε συνέχεια της προηγούμενης οδηγίας και 20 χρόνια μετά από αυτή και εφαρμόστηκε ταυτόχρονα και ομοιόμορφα σε όλη την Ευρωπαϊκή Ένωση, επηρεάζοντας όμως την επεξεργασία δεδομένων παγκόσμια.
Πιο αυστηρός, πιο τυπικός, πιο εμπλουτισμένος για να προστατεύσεις τις σύγχρονες επεξεργασίες, ήδη έχει δείξει “τα δόντια του” σε πολλές εταιρείες και οργανισμούς δημόσιους τόσο στην Ευρώπη όσο και στην Ελλάδα.
Τι πρέπει να κάνει μια οντότητα για να μη βρεθεί αντιμέτωπη με τον Ευρωπαϊκό αυτό Κανονισμό, αλλά και κυρίως με τις συνέπειες του, αλλά και να επιδείξει μια νομική προσωπικότητα που έχει στην κουλτούρα της την προστασία των ανθρωπίνων δικαιωμάτων, άρα και των προσωπικών δεδομένων όλων των υποκειμένων (υπαλλήλων, πελατών, κα);
Να συμμορφωθεί.
Ο GDPR δεν λέει ξεκάθαρα τον τρόπο συμμόρφωσης, αλλά σε όλο το μεγάλο και δύσκολο νομικό κείμενο, βρίσκονται όλες οι απαιτήσεις και ποιες είναι οι αρχές και τα δικαιώματα που προστατεύονται καθώς ο οργανισμός/ εταιρία συμμορφώνεται. Οι σύμβουλοι που ειδικεύονται με το κομμάτι αυτό και προσφέρουν στις νομικές οντότητες τη συμμόρφωση που απαιτείται, πρέπει να είναι μία ομάδα νομικών και τεχνικών που θα έχουν πλήρη γνώση του GDPR, των αποφάσεων και οδηγιών τόσο του Ευρωπαϊκού Συμβουλίου όσο και όλων των εθνικών εποπτικών Αρχών και βρίσκονται σε διαρκή εκπαίδευση.
Αρκεί η συμμόρφωση των νομικών οντοτήτων για να μπορέσει ένας οργανισμός/ εταιρεία να επιβιώσει και να γίνει ανταγωνιστική;
Τα κράτη μέλη, οι εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή παροτρύνουν, ιδίως σε ενωσιακό επίπεδο, τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της συμμόρφωσης προς τον παρόντα κανονισμό των πράξεων επεξεργασίας από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία. Λαμβάνονται υπόψη οι ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων.
Οι μηχανισμοί πιστοποίησης της προστασίας δεδομένων και οι σφραγίδες και τα σήματα προστασίας δεδομένων που εγκρίνονται βάσει της παραγράφου 5 του σχετικού άρθρου 42 μπορούν να θεσπίζονται για τον σκοπό της απόδειξης ότι παρέχονται κατάλληλες εγγυήσεις από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που δεν υπόκεινται στον παρόντα κανονισμό, σύμφωνα με το άρθρο 3, στο πλαίσιο των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς, σύμφωνα με τους όρους που αναφέρονται στο άρθρο 46 παράγραφος 2 στοιχείο στ).
Οι εν λόγω υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία αναλαμβάνουν δεσμευτικές και εκτελεστές υποχρεώσεις μέσω συμβάσεων ή άλλων νομικά δεσμευτικών πράξεων, προκειμένου να εφαρμόσουν τις εν λόγω κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.
Η πιστοποίηση είναι εθελοντική και διαθέσιμη μέσω διαφανούς διαδικασίας. Όμως είναι αυτό που θα δώσει το προβάδισμα σε έναν νομικό πρόσωπο, αυτή που θα δημιουργήσει ανταγωνιστικά πλεονεκτήματα και αυτή που αργά ή γρήγορα θα αρχίσει να απαιτείται από όλους όσους την επιλέγουν προκειμένου να συνεργαστούν με άλλους φορείς.
Η πιστοποίηση, σύμφωνα με το παρόν άρθρο, χορηγείται από τους φορείς πιστοποίησης που αναφέρονται στο άρθρο 43 ή από την αρμόδια εποπτική αρχή, βάσει των κριτηρίων που έχει εγκρίνει η εν λόγω αρμόδια εποπτική αρχή δυνάμει του άρθρου 58 παράγραφος 3 ή το Συμβούλιο Προστασίας Δεδομένων σύμφωνα με το άρθρο 63. Όταν τα κριτήρια εγκρίνονται από το Συμβούλιο Προστασίας Δεδομένων, αυτό μπορεί να οδηγήσει σε κοινή πιστοποίηση, την Ευρωπαϊκή Σφραγίδα Προστασίας των Δεδομένων.
Η πιστοποίηση χορηγείται σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία για μέγιστη περίοδο τριών ετών και μπορεί να ανανεωθεί με τους ίδιους όρους, υπό την προϋπόθεση ότι εξακολουθούν να πληρούνται τα σχετικά κριτήρια. Η πιστοποίηση ανακαλείται, ανάλογα με την περίπτωση, από τους φορείς πιστοποίησης που προβλέπονται στο άρθρο 43 ή από την αρμόδια εποπτική αρχή, όταν δεν πληρούνται ή δεν πληρούνται πλέον τα κριτήρια για την πιστοποίηση.
Το Συμβούλιο Προστασίας Δεδομένων συγκεντρώνει όλους τους μηχανισμούς πιστοποίησης και τις σφραγίδες και τα σήματα προστασίας δεδομένων σε μητρώο και τα καθιστά διαθέσιμα στο κοινό με κάθε κατάλληλο μέσο.
Η Ελλάδα για πρώτη φορά έχει το φορέα πιστοποίησης ακριβώς όπως απαιτείται στον GDPR.
EIPACCGREECE:
To EIPACC (European Institute for Privacy, Audit, Compliance and Certification) είναι ένα αναγνωρισμένο ανεξάρτητο ιδιωτικό, εξειδικευμένο boutique, ινστιτούτο με γνώμονα τις συμβουλευτικές υπηρεσίες που παρέχει «one-stop-shop λύσεις» για εταιρείες (συμπεριλαμβανομένων επαγγελματιών προστασίας δεδομένων, όπως συμβούλων νομικών, DPO κα) που αναζητούν πιστοποιήσεις GDPR στα υψηλότερα επίπεδα της ΕΕ. Η EIPACC εδρεύει στο Βασιλικό Βασίλειο των Κάτω Χωρών όπου είναι επίσημα εγγεγραμμένη (CoC), προσφέροντας υπηρεσίες σε οποιοδήποτε μέρος του κόσμου.
Το EIPACC (εκπροσωπούμενο από τον καθηγητή Romeo Kadir) είναι ένας από τους ιδρυτές της Ευρωπαϊκής Ένωσης Επαγγελματιών Προστασίας Δεδομένων (EADPP).
Στην Ελλάδα βρίσκεται μέσω του Ιδρυτικού Στελέχους του EIPACC Δικηγόρου Όλγας Ν. Τσιπτσέ, η οποία είναι επικεφαλής του Ελληνικού Παραρτήματος της EADPP και Γραμματέας του Ακαδημαϊκού Συμβουλίου της Επιτροπής Πιστοποίησης της EADPP.
Αξιοσημείωτο είναι ότι πριν λίγες ημέρες το EIPACCGREECE & EUROPE υπέγραψαν με την Ελβετοκινεζική Ένωση για το Δίκαιο SCLA, Σύμφωνο Συνεργασίας με σκοπό την ανάπτυξη σχημάτων πιστοποίησης και σημάτων στα μέλη της SCLA.
Για περισσότερες πληροφορίες:
olga.tsiptse@eipacc.eu
Όλγα Ν. Τσιπτσέ
LL.M. Δικηγόρος Παρ’ Αρείω Πάγω –
Διαιτητής / Δ. Διαμεσολαβήτρια ΥΔΔΑΔ/
DPO-GDPR expert
