Γενικός κανονισμός προστασίας δεδομένων. Τι πραγματικά σημαίνει για τις μικρές επιχειρήσεις

Στις 25 Μαΐου του 2018 μπήκε πλέον σε κανονική εφαρμογή ο νέος κανονισμός προστασίας των προσωπικών δεδομένων που ισχύει για όλη την Ευρώπη. Ο σύμβουλος επιχειρήσεων Αναστάσιος Κυριβοζόπουλος μας κάνει μια όσο το δυνατόν ρεαλιστική αποτίμηση της νέας πραγματικότητας που διαμορφώνεται με την εφαρμογή του κανονισμού.

Αρκετή αναστάτωση επικρατεί τον τελευταίο καιρό σε μικρομεσαίους επιχειρηματίες κάθε είδους οι οποίοι αιφνιδιάστηκαν από την εφαρμογή του ευρωπαϊκού Γενικού Κανονισμού Προστασίας Δεδομένων (General Data Protection Regulation ή GDPR) και προσπαθούν να ενημερωθούν για τις νέες υποχρεώσεις τους αλλά και τις πιθανές επιπτώσεις από μη συμμόρφωση στις νέες απαιτήσεις.

Δεν θα μπούμε στις λεπτομέρειες των απαιτήσεων του νέου κανονισμού (ο οποίος ισχύει αυτόματα σε όλα τα κράτη-μέλη της ΕΕ χωρίς να απαιτείται τοπική νομοθεσία), αφού είναι εύκολο να αναλύσει κανείς κάθε σημείο με τη βοήθεια ενός δικηγόρου και να καταγράψει με ακρίβεια τις τυπικές απαιτήσεις και διαδικασίες. Αυτό που είναι ίσως πιο χρήσιμο να προσπαθήσουμε να κάνουμε σε αυτή τη φάση, είναι να προσπαθήσουμε να καταλάβουμε “το πνεύμα του νομοθέτη” ώστε να καταλάβουμε γιατί φτιάχτηκε, ποιούς αφορά, και άρα να έχουμε μια όσο το δυνατόν πιο ρεαλιστική εικόνα ως προς την πρακτική εφαρμογή του.

Νομοθεσία υπήρχε

Θα ξεκινήσουμε επισημαίνοντας ότι η Ευρώπη ήδη διέθετε νομοθεσία για την προστασία των προσωπικών δεδομένων υπήρχε ήδη (η οδηγία 95/46), όμως η εισαγωγή του νέου θεσμικού πλαισίου έρχεται να δώσει απάντηση σε μια παγκόσμια τάση των τελευταίων ετών, δηλαδή στο αυξημένο ενδιαφέρον των πολιτών για τα προσωπικά τους δεδομένα που με τον ένα ή τον άλλο τρόπο γνωστοποιούνται σε τρίτους, την προστασία και τη διαχείριση τους.

Έτσι, ο νέος κανονισμός εξουσιοδοτεί τις εκάστοτε Αρχές Προστασίας Προσωπικών Δεδομένων στην Ευρώπη να κάνουν έλεγχο και να βεβαιώνουν πρόστιμα σε όποιον δεν προστατεύει επαρκώς τα προσωπικά μας δεδομένα.

“Η έλλειψη εμπιστοσύνης στους παλιούς κανόνες για την προστασία των δεδομένων ανέκοπτε την πορεία της ψηφιακής οικονομίας”, διαπιστώνει στον οδηγό συμμόρφωσης για τις μικρές επιχειρήσεις η Ευρωπαϊκή Επιτροπή, εξηγώντας ότι ο νέος κανονισμός δεν φτιάχτηκε για να ταλαιπωρεί τις επιχειρήσεις αλλά αντιθέτως για να ενισχύσει το αίσθημα εμπιστοσύνης των πολιτών, γεγονός που αναμένεται να βελτιώσει τα ποσοστά διείσδυσης των νέων τεχνολογιών όπως π.χ. το ηλεκτρονικό εμπόριο στην καθημερινή οικονομία.

Επιπλέον, είναι φανερό (έστω κι αν δεν λέγεται ξεκάθαρα) ότι ένας σημαντικός λόγος που μπήκε σε εφαρμογή ο νέος κανονισμός είναι για να βάλει ένα φρένο στη “φόρα” (για να το πούμε ευγενικά) που είχαν πάρει τεράστιοι πολυεθνικοί οργανισμοί όπως η Google ή το Facebook με την διαχείριση των προσωπικών δεδομένων εκατομμυρίων χρηστών σε ολόκληρο τον κόσμο. Στην πραγματικότητα, λοιπόν, ο νέος κανονισμός έχει δύο βασικές κατευθύνσεις: η μια είναι να ελέγξει πιο αυστηρά όλες εκείνες τις εταιρείες που χρησιμοποιούν τα προσωπικά δεδομένα των πολιτών ως επεξεργάσιμο και εμπορεύσιμο είδος.

Η δεύτερη κατεύθυνση είναι να υποχρεώσει κάποιες εταιρείες με μεγάλο και “ευαίσθητο” πελατολόγιο (όπως είναι οι τράπεζες, οι ασφαλιστικές εταιρείες ή οι εταιρείες τηλεφωνίας) να έχουν καλύτερες διαδικασίες φύλαξης των στοιχείων τους, έτσι ώστε να είναι πιο δύσκολη η ακούσια διαρροή τους είτε μέσω ηλεκτρονικού hacking είτε μέσω φυσικής κλοπής.

Άρα, θα μπορούσαμε να σχολιάσουμε (όχι με αυστηρά νομικό κριτήριο αλλά προσπαθώντας να κάνουμε μια ρεαλιστική αποτίμηση της κατάστασης στην πραγματική οικονομία) ότι ο κανονισμός GDPR αφορά κυρίως τις μεγάλες εταιρείες που στηρίζουν τη δραστηριότητά τους ακριβώς στη συλλογή και στην επεξεργασία προσωπικών δεδομένων των “πελατών”, ή που λόγω της δραστηριότητάς τους αναγκαστικά διαθέτουν τεράστια πελατολόγια, πλούσια σε προσωπικές πληροφορίες. Γι’ αυτό και τα μεγάλα πρόστιμα που ορίστηκαν (έως 4% του παγκόσμιου τζίρου του ή έως 20 εκατομμύρια ευρώ) για να δείξουν στους μεγάλους και ισχυρούς ότι η μεγαλύτερη αγορά του κόσμου θέτει αυστηρούς όρους για όποιον επιχειρεί στην ευρωζώνη.

Από την πλευρά του πολίτη, θα μπορούσαμε να πούμε ότι με περισσότερους από 250 εκατ. ευρωπαίους πολίτες να χρησιμοποιούν το διαδίκτυο σε καθημερινή βάση και ολοένα και περισσότερες εταιρείες να βασίζουν τη λειτουργία τους πάνω στα προσωπικά δεδομένα που συλλέγουν καθημερινά, η Ευρωπαϊκή Ένωση θέλησε να τοποθετήσει τους ίδιους τους χρήστες σε θέση ισχύος έναντι των επιχειρήσεων. Έτσι, ο κανονισμός GDPR αυστηροποιεί τις προϋποθέσεις κάτω από τις οποίες η λήψη της συναίνεσης θεωρείται έγκυρη, ενώ κάποιες μέθοδοι λήψης αυτής που έως τώρα θεωρούνταν νόμιμες ή πως άνηκαν σε γκρίζες ζώνες (π.χ. προσημειωμένο κουτάκι αποδοχής της Πολιτική Απορρήτου) δε θα αρκούν για να δικαιολογήσουν τη νομιμότητα της επεξεργασίας δεδομένων. Πλέον, απαιτείται η ρητή και ειδική συναίνεση των φυσικών προσώπων στην επεξεργασία των προσωπικών τους δεδομένων, ενώ θα πρέπει να αναφέρεται με σαφήνεια ο λόγος της τήρησης των δεδομένων καθώς και ο χρόνος τήρησης τους. Το φυσικό πρόσωπο διατηρεί σε κάθε περίπτωση το δικαίωμα ανάκλησης της παραπάνω συναίνεσης με την άμεση διαγραφή του από οποιαδήποτε λίστα.

Αν θέλουμε να πάμε ένα βήμα πιο πέρα από το τυπικό γράμμα του νόμου και να δούμε την πραγματικότητα, θα μπορούσαμε να πούμε ότι για τον μικρό επιχειρηματία που δραστηριοποιείται σε μια μικρή εμπορική επιχείρηση ή σε ένα κτηνιατρείο, ο νέος κανονισμός δεν αλλάζει κάτι σημαντικό επί της ουσίας. Ας μην ξεχνάμε ότι η προστασία των προσωπικών δεδομένων πάντοτε υπήρχε τόσο στην ευρωπαϊκή όσο και στην ελληνική νομοθεσία, όπως υπήρχαν και όλες οι υπόλοιπες υποχρεώσεις της μικρής επιχείρησης απέναντι στους πελάτες και τα προσωπικά τους δεδομένα. Μια επικαιροποίηση της mailing list και μια πιο ξεκάθαρη μέθοδος εγγραφής και απεγγραφής σε αυτήν είναι ίσως τα μόνα σημεία που επί της ουσίας ενδιαφέρουν τον κτηνίατρο ή τον μικροέμπορο. Όμως, θα ήταν ίσως πιο χρήσιμο να δούμε από μια άλλη σκοπιά όλο αυτό το ζήτημα και να εκμεταλλευτούμε θετικά την αυξημένη εμπιστοσύνη που δημιουργείται στους πελάτες μας η εφαρμογή του νέου κανονισμού.

Εάν παλιότερα δίσταζε κάποιος να εγγραφεί στο newsletter μας, τώρα είναι η ευκαιρία να του επισημάνουμε ότι με τον νέο κανονισμό δεν έχει να ανησυχεί για τίποτα, και άρα να αυξήσουμε το ποσοστό εγγραφών από τους νέους πελάτες μας. Αυτό, άλλωστε, είναι και το πνεύμα του νομοθέτη ως προς το σκέλος της μικροεπιχειρηματικότητας: απαντώντας στην αυξανόμενη ανησυχία των χρηστών, στόχος είναι να διαμορφωθεί ένα κλίμα εμπιστοσύνης που θα οδηγήσει στην αύξηση του τζίρου των επιχειρήσεων που δραστηριοποιούνται σε τομείς σχετικούς με τις νέες τεχνολογίες και το ίντερνετ. ­­