Νέος κανονισμός για την προστασία των προσωπικών δεδομένων
Υποχρεωμένες οι επιχειρήσεις να διαθέτουν ηλεκτρονικό σύστηµα για τα αρχεία µε ευαίσθητα στοιχεία.
Εκ βάθρων αλλαγές στο νοµοθετικό πλαίσιο για την προστασία των προσωπικών δεδοµένων προβλέπει το σχέδιο νόµου του υπουργείου ∆ικαιοσύνης, το οποίο τέθηκε σε δηµόσια διαβούλευση (ολοκληρώθηκε προ ολίγων ηµερών) και πρόκειται να προωθηθεί στη Βουλή τον προσεχή Μάιο. Με το σχέδιο νόµου κυρώνεται ο Κανονισµός (Ε.Ε.) του Ευρωπαϊκού Κοινοβουλίου και του Συµβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων από την αθέµιτη επεξεργασία των προσωπικών τους δεδοµένων, ο οποίος τίθεται σε ισχύ από τις 25 Μαΐου 2018.
Το νέο νοµοθετικό πλαίσιο αφορά επεξεργασία προσωπικών δεδοµένων από το σύνολο των επιχειρήσεων που διαθέτουν αρχεία µε ευαίσθητα στοιχεία πελατών και εργαζοµένων, οργανισµούς και µεµονωµένα άτοµα. Με τις αλλαγές οφείλουν να συµµορφωθούν, µεταξύ άλλων, νοσοκοµεία, οργανισµοί τοπικής αυτοδιοίκησης, υπηρεσίες, ιδιωτικές κλινικές, ΜΚΟ, ιατροί, δικηγόροι, λογιστές, ιδιοκτήτες ηλεκτρονικών καταστηµάτων, ακόµα και ταξιδιωτικά γραφεία.
Συγκεκριµένα, οι επιχειρήσεις θα πρέπει να εντάξουν στη λειτουργία τους ένα ηλεκτρονικό σύστηµα προστασίας των δεδοµένων, όπως ισχύει σε άλλες χώρες της Ευρωπαϊκής Ενωσης (το κόστος κυµαίνεται από 5.000 έως 6.000 ευρώ). Ένα ξεχωριστό και πολύ σηµαντικό κεφάλαιο αφορά τα δεδοµένα υγείας, τα οποία περιλαµβάνονται στις ειδικές κατηγορίες, και συγκεκριµένα στα «ευαίσθητα δεδοµένα προσωπικού χαρακτήρα». Ειδικά στην Ελλάδα, όπου η πρόσφατη υπόθεση µε τράπεζα βλαστοκυττάρων για την οποία ασκήθηκαν ποινικές διώξεις ανέδειξε τους κινδύνους από την αθέµιτη επεξεργασία τους.
«ΚΑΜΠΑΝΕΣ»
Παράλληλα, ακόµα µία σηµαντική τοµή αφορά τα πρόστιµα που θα επιβάλλονται στην περίπτωση της µη τήρησης των πρωτοκόλλων προστασίας για τα προσωπικά δεδοµένα από τις επιχειρήσεις και τους οργανισµούς. Από τις 25 Μαΐου 2018, οπότε τίθεται σε ισχύ ο νέος Κανονισµός, σε όποιαν εταιρεία δεν συµµορφωθεί θα επιβάλλεται πρόστιµο 10.000.000 ευρώ ή το 2% του παγκόσµιου τζίρου της, αν είναι µεγαλύτερο. Σε περίπτωση που κάποια εταιρεία παραβιάζει δικαιώµατα σχετικά µε τα προσωπικά δεδοµένα που διαχειρίζεται, τότε το αντίστοιχο πρόστιµο είναι 20.000.000 ευρώ ή το 4% του παγκόσµιου τζίρου της. Παράλληλα, προβλέπονται ποινικές κυρώσεις, και συγκεκριµένα ποινές φυλάκισης µέχρι τρία έτη και χρηµατικές ποινές έως 300.000 ευρώ!
Στην περίπτωση µάλιστα που προκύψει κίνδυνος για το δηµοκρατικό πολίτευµα ή την εθνική ασφάλεια τότε η πράξη τιµωρείται σε βαθµό κακουργήµατος.
Ειδικότερα, όσον αφορά τα δεδοµένα υγείας, απαιτείται η ρητή και έγγραφη συγκατάθεση του προσώπου το οποίο αφορούν. Ταυτόχρονα, απαγορεύεται η συλλογή και επεξεργασία γενετικών δεδοµένων. Οσον αφορά τους επαγγελµατικούς χώρους, τα δεδοµένα που αφορούν την υγεία συλλέγονται απευθείας και µόνο από τους εργαζοµένους, εφόσον αυτό είναι απολύτως απαραίτητο για την αξιολόγηση της καταλληλότητας για µια συγκεκριµένη θέση, για την εκπλήρωση των υποχρεώσεων της επιχείρησης για υγιεινή και ασφάλεια και για τη θεµελίωση δικαιωµάτων και απόδοση κοινωνικών παροχών.
∆ιεξαγωγή ιατρικών εξετάσεων και αναλύσεων, όπως ψυχολογικών και ψυχοµετρικών τεστ, επιτρέπεται µόνο σε ειδικές περιπτώσεις κι εφόσον τα συγκεκριµένα καθήκοντα και οι απαιτήσεις της συγκεκριµένης εργασίας καθιστούν αναγκαία την έρευνα και παρακολούθηση της κατάστασης και της προσωπικότητας του εργαζοµένου σε σχέση µε τη συγκεκριµένη θέση και κατηγορία απασχόλησης.
ΣΥΛΛΟΓΗ ΚΑΙ ΕΠΕΞΕΡΓΑΣΙΑ
Γενικότερα, η συλλογή και επεξεργασία δεδοµένων προσωπικού πρέπει να πραγµατοποιείται µε θεµιτά µέσα και µε τρόπο ώστε να διασφαλίζεται ο σεβασµός της αξιοπρέπειας, της προσωπικότητας, της ιδιωτικής ζωής και του δικαιώµατος προστασίας προσωπικών δεδοµένων των εργαζοµένων στον χώρο εργασίας. Οσον αφορά τη χρήση µέσων επικοινωνίας στο γραφείο, όπως η τηλεφωνία, το ηλεκτρονικό ταχυδροµείο και η χρήση ∆ιαδικτύου, επιτρέπεται η συλλογή και επεξεργασία δεδοµένων, εφόσον είναι απολύτως απαραίτητη για την προστασία προσώπων και αγαθών, την οργάνωση και τον έλεγχο της διεκπεραίωσης της εργασίας ή του κύκλου εργασιών που τους έχουν ανατεθεί, συµπεριλαµβανοµένου του ελέγχου των δαπανών.
Σε κάθε περίπτωση, τα αρχεία µε δεδοµένα πρέπει να καταστρέφονται το αργότερο µέσα σε δεκαπέντε ηµερολογιακές ηµέρες, εκτός εάν έχει καταγραφεί συγκεκριµένο συµβάν, οπότε µπορούν να κρατούνται για τρεις µήνες. Μετά το πέρας αυτής της προθεσµίας, τα δεδοµένα κρατούνται για µεγαλύτερο χρονικό διάστηµα σε εξαιρετικές µόνο περιπτώσεις, όταν το συµβάν χρήζει περαιτέρω διερεύνησης.
Στην περίπτωση αυτή, πρέπει να ενηµερωθεί η Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα, η οποία πλέον ανασυγκροτείται και αποκτ ά απόλυτη ανεξαρτησία, καθώς «δεν υπόκειται σε οποιονδήποτε ιεραρχικό ή διοικητικό έλεγχο».
Δημοσιεύτηκε στην εφημερίδα «Παραπολιτικά», Σάββατο 10 Μαρτίου 2018