facebook icon
dcs blog logo


technology and business

12/05/2018
Ελληνικές επιχειρήσεις και ΓΚΠΔ (GDPR)
Γενικός Κανονισμός για την Προστασία των Δεδομένων - Μηδαμινές έως ανύπαρκτες οι επιπτώσεις για τις ελληνικές επιχειρήσεις

Share on Facebook
post image

Ίσως επειδή τα πρόστιμα που προβλέπονται από το νέο κανονισμό της ΕΕ είναι πραγματικά εξοντωτικά για οποιαδήποτε επιχείρηση, έχει ξεκινήσει μια φάμπρικα ενημερωτικών σεμιναρίων (με το αζημίωτο) που απευθύνονται σε ένα πολύ ευρύ κοινό. Εικόνες σαν την παραπάνω δίνουν την αίσθηση ότι πρόκειται για κάτι πολύπλοκο και δύσκολο. Είναι, αν είστε η Google ή το Facebook, αν είστε τράπεζα ή νοσοκομείο. Στην πραγματικότητα τίποτα δεν θα αλλάξει σύντομα καθώς θα πρέπει να γίνει όλη η απαραίτητη γραφειοκρατική διαδικασία για τον εναρμονισμό της χώρας μας με την κοινοτική νομοθεσία. Όπως όλοι ξέρουμε, τα πάμε αργά εμείς αυτά!

Τώρα επί της ουσίας. Δεν έχω ακριβή ή επίσημα στατιστικά, αλλά υπολογίζω ότι η συντριπτική πλειοψηφία των ελληνικών επιχειρήσεων διατηρεί πολύ συγκεκριμένα δεδομένα. Τα δεδομένα πελατών, τα δεδομένα προμηθευτών και τα δεδομένα του προσωπικού (δεν έχει σημασία αν τα δεδομένα διατηρούνται σε ψηφιακή ή μη μορφή).

Τα συγκεκριμένα δεδομένα εμφανίζονται σε τιμολόγια ή αποδείξεις ή καταστάσεις πληρωμών προσωπικού. Άρα αποτελούν φορολογικά, λογιστικά ή λειτουργικά δεδομένα/στοιχεία μιας επιχείρησης και δεν μπορεί να απαιτηθεί η διαγραφή τους (μέσω του δικαιώματος της "λήθης"). Επίσης η ανωνυμοποίηση αυτών των δεδομένων δεν επιτυγχάνεται καθώς οι πληροφορίες μπορούν να ανακτηθούν από τα τιμολόγια, τις τραπεζικές πληρωμές κτλπ. (Για να είναι πραγματικά ανώνυμα τα δεδομένα, η ανωνυμοποίηση πρέπει να είναι μη αντιστρέψιμη). Τέλος η αρμόδιες αρχές θα λειτουργούν με βάση καταγγελίες πολιτών ή ομάδων πολιτών.  Δηλαδή κάποιος πελάτης θα πρέπει να καταγγείλει μια επιχείρηση για πρόκληση ζημίας (λόγω χρήσης προσωπικών δεδομένων). Δύσκολα νομίζω θα βρεθεί μια επιχείρηση σ' αυτή τη θέση εκτός κι αν ακολουθεί κακές πρακτικές όπως για παράδειγμα να συλλέγει και πουλά δεδομένα χρηστών σε τρίτους.

Από τα παραπάνω, τελικά, μάλλον δε θα χρειαστεί να γίνει σχεδόν καμία αλλαγή ή τροποποίηση, τουλάχιστον τεχνικά. Θα χρειαστεί ίσως να υπάρχει ένα κείμενο που να περιγράφει την πολιτική της επιχείρησης ως προς τα προσωπικά δεδομένα. Μόλις κάτσει η σκόνη θα καταλήξουμε σε ένα update των όρων χρήσης του e-shop ή του site. Όσο για τον DPO (data protection officer) θα καταλήξει να είναι κάτι σαν τον υπεύθυνο ασφαλείας. 

Σε κάθε περίπτωση και πέρα από το GDPR, μια επιχείρηση πρέπει να διατηρεί ασφαλώς όλα της τα δεδομένα και να κάνει ορθή χρήση των προσωπικών δεδομένων. 

Ίσως επειδή τα πρόστιμα που προβλέπονται από το νέο κανονισμό της ΕΕ είναι πραγματικά εξοντωτικά για οποιαδήποτε επιχείρηση, έχει ξεκινήσει μια φάμπρικα ενημερωτικών σεμιναρίων (με το αζημίωτο) που απευθύνονται σε ένα πολύ ευρύ κοινό. Εικόνες σαν την παραπάνω δίνουν την αίσθηση ότι πρόκειται για κάτι πολύπλοκο και δύσκολο. Είναι, αν είστε η Google ή το Facebook, αν είστε τράπεζα ή νοσοκομείο. Στην πραγματικότητα τίποτα δεν θα αλλάξει σύντομα καθώς θα πρέπει να γίνει όλη η απαραίτητη γραφειοκρατική διαδικασία για τον εναρμονισμό της χώρας μας με την κοινοτική νομοθεσία. Όπως όλοι ξέρουμε, τα πάμε αργά εμείς αυτά!

Τώρα επί της ουσίας. Δεν έχω ακριβή ή επίσημα στατιστικά, αλλά υπολογίζω ότι η συντριπτική πλειοψηφία των ελληνικών επιχειρήσεων διατηρεί πολύ συγκεκριμένα δεδομένα. Τα δεδομένα πελατών, τα δεδομένα προμηθευτών και τα δεδομένα του προσωπικού (δεν έχει σημασία αν τα δεδομένα διατηρούνται σε ψηφιακή ή μη μορφή).

Τα συγκεκριμένα δεδομένα εμφανίζονται σε τιμολόγια ή αποδείξεις ή καταστάσεις πληρωμών προσωπικού. Άρα αποτελούν φορολογικά, λογιστικά ή λειτουργικά δεδομένα/στοιχεία μιας επιχείρησης και δεν μπορεί να απαιτηθεί η διαγραφή τους (μέσω του δικαιώματος της "λήθης"). Επίσης η ανωνυμοποίηση αυτών των δεδομένων δεν επιτυγχάνεται καθώς οι πληροφορίες μπορούν να ανακτηθούν από τα τιμολόγια, τις τραπεζικές πληρωμές κτλπ. (Για να είναι πραγματικά ανώνυμα τα δεδομένα, η ανωνυμοποίηση πρέπει να είναι μη αντιστρέψιμη). Τέλος η αρμόδιες αρχές θα λειτουργούν με βάση καταγγελίες πολιτών ή ομάδων πολιτών.  Δηλαδή κάποιος πελάτης θα πρέπει να καταγγείλει μια επιχείρηση για πρόκληση ζημίας (λόγω χρήσης προσωπικών δεδομένων). Δύσκολα νομίζω θα βρεθεί μια επιχείρηση σ' αυτή τη θέση εκτός κι αν ακολουθεί κακές πρακτικές όπως για παράδειγμα να συλλέγει και πουλά δεδομένα χρηστών σε τρίτους.

Από τα παραπάνω, τελικά, μάλλον δε θα χρειαστεί να γίνει σχεδόν καμία αλλαγή ή τροποποίηση, τουλάχιστον τεχνικά. Θα χρειαστεί ίσως να υπάρχει ένα κείμενο που να περιγράφει την πολιτική της επιχείρησης ως προς τα προσωπικά δεδομένα. Μόλις κάτσει η σκόνη θα καταλήξουμε σε ένα update των όρων χρήσης του e-shop ή του site. Όσο για τον DPO (data protection officer) θα καταλήξει να είναι κάτι σαν τον υπεύθυνο ασφαλείας. 

Σε κάθε περίπτωση και πέρα από το GDPR, μια επιχείρηση πρέπει να διατηρεί ασφαλώς όλα της τα δεδομένα και να κάνει ορθή χρήση των προσωπικών δεδομένων. 

dcs logo

← πίσω στην αρχική

dcs logo

← πίσω στο blog

Picture of Demetri Christopoulos

γράφει ο

Δημήτρης Χριστόπουλος

ΑΝΑΖΗΤΗΣΗ