Δευτέρα 16 Απριλίου 2018

Ενημέρωση για την Προστασία Προσωπικών Δεδομένων (GDPR)

Του Αντιπροέδρου της Επιτροπής Λογιστών του Ε.Ε.Α., φοροτεχνικού, Ηλία Χατζηγεωργίου σε συνεργασία με τον Παναγιώτη Παντελή
Μια κοσμοσυρροή από επαγγελματίες και μικρομεσαίους επιχειρηματίες συγκεντρώθηκε στην Αίγλη Ζαππείου για να ενημερωθεί για τον Γενικό Κανονισμό για την Προστασία των Προσωπικών Δεδομένων (Καν. ΕΕ 679/2016).
Το θέμα έχει παρουσιάσει ιδιαίτερο ενδιαφέρον την τελευταία περίοδο, αφού και ο Κανονισμός της ΕΕ θα έχει εφαρμογή άμεσα σε όλα τα κράτη-μέλη της από 25/5/2018 και θα αντικαταστήσει την ισχύουσα νομοθεσία που είχε εφαρμοστεί πριν πολλά χρόνια με τον Ν. 2472/1999. Περιμένουμε βέβαια και την ελληνική νομοθεσία που θα ορίζει τις ενδεχόμενες ειδικές διατάξεις όπου θα εξειδικεύει τους κανόνες για την Ελλάδα, αφού το σχετικό νομοσχέδιο δεν έχει ακόμη ψηφιστεί, αλλά η δημόσια διαβούλευση του έληξε στις 5 Μαρτίου.
Και πολλοί θα ρωτήσουν:



«Αφορά κι εμένα ο Κανονισμός, την επιχείρησή μου ή - εάν είμαι λογιστής-φοροτέχνης- αφορά και τους πελάτες μου;»
Η Οδηγία της Ε.Ε. αφορά τους πάντες, δεν εξαιρείται κανείς. Όλοι έχουν υποχρέωση να συμμορφωθούν και θα πρέπει να γίνει σε όλους κατανοητό. Δεν αφορά μόνο τη συνεργασία που έχει ο κάθε συνάδελφος με τον «εξωτερικό κόσμο», τους πελάτες του, αλλά και τη συνεργασία που έχει με τους υπαλλήλους του.
Το νέο δεδομένο λοιπόν είναι ότι η επεξεργασία των προσωπικών δεδομένων δεν αφορά μόνο τα υψηλά πρόστιμα που προβλέπονται να επιβάλλονται, αλλά και τις αγωγές που ο οποιοσδήποτε τρίτος θα μπορεί να μας κάνει θεωρώντας ότι επεξεργαζόμαστε τα στοιχεία του χωρίς τη συγκατάθεσή του.
Ο νέος Κανονισμός δίνει ιδιαίτερη βαρύτητα σε αυτό το θέμα, ενώ παράλληλα αγωγές μπορεί να καταθέσει ο οποιοσδήποτε συναλλασσόμενος μαζί μας – όπως αναφέραμε προηγουμένως - πελάτης, εργαζόμενος, πρώην εργαζόμενος, κ.λπ., διότι χρησιμοποιούμε τα στοιχεία του. Οι αγωγές, εκτός από την «ηθική πλευρά» μεταφράζονται και σε χρήμα, που όλοι μας θα κληθούμε να πληρώσουμε και να τους αποζημιώσουμε.
Ο νέος Κανονισμός, ανεξάρτητα από το μέγεθος της επιχείρησης, ζητάει μεγάλη διαφάνεια και καθαρότητα για τα στοιχεία που ο καθένας μας επεξεργάζεται.

Εδώ λοιπόν η κάθε επιχείρηση, επαναλαμβάνω, ανεξαρτήτως μεγέθους, έχει την υποχρέωση να οργανώσει με σοβαρότητα τη συμμόρφωση με τον Κανονισμό, αλλά το ζητούμενο δεν είναι αυτό… Η κάθε επιχείρηση ανεξαρτήτως μορφής, έχει την υποχρέωση να αποδεικνύει κάθε στιγμή ότι συμμορφώνεται.

Το πρόβλημα λοιπόν που θα πρέπει να λάβουμε σοβαρά υπ’ όψιν, δεν είναι μόνο το θέμα των προστίμων, τα οποία μπορούν να φτάσουν στο 4% του παγκόσμιου τζίρου της επιχείρησης και με ταβάνι τα 20.000.000 ευρώ, αλλά και μία σειρά άλλων έμμεσων προβλημάτων που έχουν να κάνουν με τη φήμη της επιχείρησης. Για παράδειγμα, θα μπορεί να ζητείται από μελλοντικό μας πελάτη να του αποδείξουμε ότι η επιχείρηση τηρεί τις προϋποθέσεις που αφορούν τη διαχείριση προσωπικών δεδομένων.
Για να γίνει κατανοητό αυτό, θα αναφέρω το εξής πολύ απλό παράδειγμα:

Έστω ότι ένα λογιστικό γραφείο έχει τη συγκατάθεση από όλους τους πελάτες του να επεξεργάζεται τα προσωπικά τους δεδομένα. Το θέμα δεν είναι μόνο να συμφωνούν οι πελάτες του. Η επιχείρηση θα πρέπει να αποδείξει σε ενδεχόμενο έλεγχο ή αγωγή ότι έχει αυτήν τη συγκατάθεση. Με άλλα λόγια, δεν χρειάζεται ο πελάτης ή οποιοσδήποτε τρίτος που επεξεργαζόμαστε τα στοιχεία του να αποδείξει το οτιδήποτε, αλλά το βάρος της απόδειξης περί σωστής διαδικασίας τήρησης προσωπικών δεδομένων το έχουμε εμείς που επεξεργαζόμαστε τα στοιχεία αυτά.
Το αμέσως επόμενο βασικό ερώτημα που γίνεται από όλους είναι το τι θεωρείται προσωπικό δεδομένο.

Προσωπικό δεδομένο είναι οποιαδήποτε πληροφορία που μπορεί να χρησιμοποιηθεί προκειμένου να ταυτοποιηθεί ένα φυσικό πρόσωπο έμμεσα ή άμεσα.
Μερικά από τα βασικότερα όλων είναι:
- Το ονοματεπώνυμο

- Το ΑΦΜ
- Ο ΑΜΚΑ
- Η διεύθυνση
- Το τηλέφωνο
- Τα στοιχεία ταυτότητας
- Τα οικονομικά δεδομένα
- Τα περιουσιακά στοιχεία

Επίσης, προσωπικό δεδομένο μπορεί να θεωρηθεί κάποιο στοιχείο που μπορεί να οδηγήσει σε όλα τα παραπάνω. Για παράδειγμα, ένα από τα προσωπικά δεδομένα που διαχειριζόμαστε όλοι οι συνάδελφοι είναι οι κωδικοί του taxis και των ασφαλιστικών ταμείων που δίνουν πρόσβαση σε όλα τα παραπάνω.
Εκτός αυτού, κάποια δεδομένα χαρακτηρίζονται και ως ευαίσθητα προσωπικά δεδομένα, όπως είναι τα ιατρικά δεδομένα, τα δεδομένα γεωγραφικής θέσης αλλά και αρκετά ακόμη. Στις περιπτώσεις διαχείρισης ευαίσθητων προσωπικών δεδομένων υπάρχει υποχρέωση του να ζητείται συγκατάθεση του φυσικού προσώπου που αυτά αφορούν.
Οι βασικές υποχρεώσεις των επιχειρήσεων σε σχέση με τον Ευρωπαϊκό Κανονισμό είναι:
- Να τηρούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων.

- Να συλλέγουν δεδομένα για συγκεκριμένο νόμιμο σκοπό και αυτά που είναι απαραίτητα.
- Να λαμβάνουν τη σαφή συγκατάθεση των φυσικών προσώπων που τα αφορούν.
- Nα μην υποβάλλουν τα δεδομένα σε περεταίρω επεξεργασία η οποία είναι ασύμβατη με τον σκοπό.
- Να επικαιροποιούν τα δεδομένα.
- Να τα αποθηκεύουν για το ελάχιστο χρονικό διάστημα που απαιτείται.
- Να δίνουν πρόσβαση σε συνεργάτες τους μόνο υπό συγκεκριμένες συνθήκες και φυσικά με την απόδειξη της συμμόρφωσής τους με τον Κανονισμό.
- Να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο της ζωής τους.
- Να τηρούν ειδικό αρχείο και να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 3 ημερών στην Α.Π.Π.Δ. και στα φυσικά πρόσωπα που αφορά.

Από τις επιχειρήσεις θα πρέπει να γίνει ένας προγραμματισμός προκειμένου να ξεκαθαριστεί αρχικά τι δεδομένα συλλέγει και επεξεργάζεται η επιχείρηση και ποιοι εμπλέκονται στη διαδικασία. Θα πρέπει επίσης να γίνει αξιολόγηση των κινδύνων που ενδέχεται να οδηγήσουν σε παραβίαση των προσωπικών δεδομένων, πράγμα το οποίο θα οδηγήσει σε πρόστιμα, αλλά και σε πλήξη της φήμης της επιχείρησης όπως προαναφέραμε.
Η ενδεχόμενη «αρνητική προσέγγιση» της διαδικασίας είναι ότι θα επιφέρει δυσκολία στην επιχείρηση, κόστος , επιπλέον κίνδυνο και ενδεχόμενη γραφειοκρατία .
Ας δούμε όμως και τη θετική πλευρά. Μπορεί να είναι μία ευκαιρία για καλύτερη οργάνωση της επιχείρησης μέσω της αναδιοργάνωσης των μηχανισμών της, του ξεκαθαρίσματος των δεδομένων που έχει στην κατοχή της μέχρι στιγμής, όπως επίσης και την οριοθέτηση των διαδικασιών που γίνονται σε σχέση με τους πελάτες της, αλλά και το προσωπικό της.
Βέβαια, θα πρέπει να σκεφτούμε και την άλλη εκδοχή. Όπως εμείς σαν επιχείρηση είμαστε υποχρεωμένοι να προστατεύουμε τα προσωπικά δεδομένα των πελατών μας, έτσι κι αυτοί όσων είμαστε εμείς πελάτες θα είναι υποχρεωμένοι με τη σειρά τους να διαφυλάσσουν τα δικά μας προσωπικά στοιχεία. Με αυτήν τη διαδικασία θα μπορέσει να καλυφθεί ένα μεγάλο κενό που υπάρχει μέχρι στιγμής στην ασφάλεια των προσωπικών μας δεδομένων.
Πηγή: www.eea.gr / www.e-forologia.gr