Μεγάλη σύγχυση, πολλές απορίες και εξίσου μεγάλη ανασφάλεια, αγωνία και προβληματισμό δημιουργεί η έλευση του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR) στις μικρομεσαίες επιχειρήσεις, συμπεριλαμβανομένων των ασφαλιστικών διαμεσολαβητών.
Τι είναι προσωπικό δεδομένο; Ποια η διαφορά του προσωπικού από το ευαίσθητο δεδομένο; Τι συνιστά η επεξεργασία προσωπικών δεδομένων; Ποιους αφορά ο GDPR και ποιες επιχειρήσεις υποχρεούνται να συμμορφωθούν σε αυτόν; Ποια βήματα θα πρέπει να ακολουθήσουν οι επιχειρήσεις, ώστε να πετύχουν τη συμμόρφωσή τους με τον Κανονισμό; Είναι υποχρεωμένες ή όχι οι μικρομεσαίες επιχειρήσεις να διαθέτουν DPO; Η επιβολή των προστίμων θα αρχίσει άμεσα με την εφαρμογή του Κανονισμού στις 25 Μαΐου, ή θα υπάρξει μία περίοδος …χάριτος;
Ας δούμε συνοπτικά κάποιες ενδιαφέρουσες πληροφορίες
Ποιους αφορά ο GDPR
O Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων αφορά όλους τους δημόσιους φορείς και όλες ανεξαιρέτως τις εταιρείες (ακόμα και εάν είναι εγκατεστημένες εκτός ΕΕ) και που επεξεργάζονται προσωπικά δεδομένα Ευρωπαίων πολιτών.
Αφορά τους υπεύθυνους επεξεργασίας αυτών των δεδομένων αλλά και τους εκτελούντες αυτή για λογαριασμό των υπευθύνων.
Αφορά δεδομένα που τηρούνται τόσο σε έγχαρτη όσο και σε ηλεκτρονική μορφή.
Αν λοιπόν, μία επιχείρηση επεξεργάζεται προσωπικά δεδομένα εργαζομένων, πελατών προμηθευτών, εάν διατηρεί σε φυσικό ή ηλεκτρονικό αρχείο το e-mail τους, αν επικοινωνεί με τους πελάτες της ηλεκτρονικά για τις ανάγκες προβολής και προώθησης των προϊόντων της ή αν διαχειρίζεται ομαδικά ασφαλιστήρια συμβόλαια του προσωπικού της είναι υποχρεωμένη να συμμορφωθεί με τον Κανονισμό.
Πόσο έτοιμες είναι οι επιχειρήσεις;
Όπως ειπώθηκε από τα στελέχη της ΕΥ, σε έρευνα που διεξήγαγαν μόνο το 1/3 των εταιρειών σε πανευρωπαϊκό επίπεδο δηλώνουν έτοιμες να συμμορφωθούν με τον Κανονισμό.
Ένα μεγάλο ποσοστό αγνοεί ακόμα και την ύπαρξή του, ένα άλλο έχει ακούσει γι’ αυτόν αλλά δεν ξέρουν πώς να διαχειριστούν τις απαιτήσεις του και ένα τρίτο νομίζουν ότι ξέρουν και αναθέτουν τη διαδικασία προετοιμασίας σε λάθος τμήμα.
Εκείνο που τονίστηκε, λοιπόν είναι ότι ο Κανονισμός αφορά σε όλα τα τμήματα μίας εταιρείας και όλα θα πρέπει να εμπλακούν στη διαδικασίας προετοιμασίας και συμμόρφωσης.
Τι γίνεται όμως όταν πρόκειται για μια μικρή επιχείρηση δύο τριών ή δέκα ατόμων, ή για μία ατομική επιχείρηση; Πόσο εύκολο είναι για αυτές να συμμορφωθούν με τον κανονισμό;
Τα βήματα συμμόρφωσης
Ας προσδιορίσουμε τα βήματα που πρέπει να ακολουθηθούν:
Καταρχάς, θα πρέπει να γίνουν κατανοητά τα ζητήματα που ανακύπτουν από τον Κανονισμό.
Να δημιουργηθεί μία ομάδα υποστήριξης ή να προσληφθεί ένας DPO (υποχρεωτικός μόνο σε μεγάλες επιχειρήσεις).
Να γίνει καταγραφή των δεδομένων και των διαδικασιών που πρέπει να ακολουθηθούν, των συστημάτων και των αρχείων (φυσικών και ψηφιακών) που τα περιέχουν.
Να γίνει ανάλυση της απόκλισης από τη συμμόρφωση με τον Κανονισμό.
Να υπάρξει σχεδιασμός ή/και ανασχεδιασμός των κατάλληλων πολιτικών ροών δεδομένων και των επεξεργασιών που διενεργούνται, ώστε ο φορέας ή η εταιρεία να είναι σε θέση να παρακολουθεί και να δημιουργήσει σύστημα τήρησης αρχείων.
Να ευαισθητοποιηθούν οι εργαζόμενοι, ώστε να διαμορφωθεί τόσο εντός της επιχείρησης όσο και σε σχέση με τους πελάτες σχετική κουλτούρα.
Και τέλος, σε περίπτωση παραβίασης δεδομένων να ενημερώνουν εντός 72 ωρών την Αρχή προστασίας προσωπικών δεδομένων και στη συνέχεια τους πελάτες τους.
Φόβος για πρόστιμα και αγωγές
Τα πρόστιμα σε περίπτωση μη συμμόρφωσης θα είναι αναλογικά με το μέγεθος της επιχείρησης. Θα φτάνουν έως τα 20 εκατ. ευρώ ή 4% του παγκόσμιου ετήσιου κύκλου εργασιών του οργανισμού, όποιο είναι μεγαλύτερο.
Το πρώτο διάστημα, δεν αναμένεται να επιβληθούν πρόστιμα, αλλά θα γίνουν μόνο συστάσεις από την Αρχή και θα παρακολουθείται εάν οι επιχειρήσεις προχωρούν τις διαδικασίες συμμόρφωσης.
Ωστόσο, θα πρέπει να είμαστε επιφυλακτικοί ως προς την περίοδο ανοχής και να μην εφησυχάζουμε. Όχι τόσο για τα πρόστιμα που θα επιβληθούν όσο για το πλήγμα που θα δεχτεί η φήμη της επιχείρηση σε περίπτωση παραβίασης δεδομένων, αλλά και από τις αστικές ευθύνες που τυχόν εγερθούν.
Ο φόβος ύπαρξης αγωγών από μέρους των πελατών, των εργαζόμενων ή των προμηθευτών μιας επιχείρησης, σε περίπτωση παραβίασης των δεδομένων ή εάν θεωρήσουν ότι η συλλογή και η επεξεργασία των δεδομένων που τους αφορούν δεν έγινε με νόμιμο τρόπο είναι ορατός. Γι’ αυτό, όπως τονίστηκε, είναι πολύ σημαντικό να δοθεί ιδιαίτερο βάρος στο να παίρνουν οι εταιρείες τη συγκατάθεση των υποκειμένων για την κατοχή και επεξεργασία των προσωπικών τους δεδομένων.
Η θετική πλευρά
Τα οφέλη που μπορεί να προκύψουν για μία εταιρεία που προστατεύει (και το αποδεικνύει) τα προσωπικά δεδομένα που τηρεί είναι αρκετά. Η συμμόρφωση θα τη βοηθήσει:
- να αποκτήσει καλύτερη οργάνωση και να κάνει πιο ασφαλή τα συστήματά της,
- να ενισχύσει την εμπιστοσύνη των πελατών της.
- να διατηρήσει τη φήμη της.
- να αποκτήσει ανταγωνιστικό πλεονέκτημα έναντι των ανταγωνιστών της.
Δείτε κι άλλες πληροφορίες εδώ.
Καραμάνου Ελίνα
Σύμβουλος Επιχειρήσεων