Published On: November 30, 2017

          

Εν όψει της έναρξης ισχύος του Γενικού Κανονισμού προστασίας προσωπικών δεδομένων (General Data Protection Regulation, στο εξής «GDPR»), τον Μάιο του 2018, καθώς και των υψηλών προστίμων που επιβάλλει σε περίπτωση μη συμμόρφωσης προς τις διατάξεις του, οι περισσότερες επιχειρήσεις σπεύδουν να υιοθετήσουν πολιτικές προστασίας του ιδιωτικού απορρήτου προκειμένου να λειτουργούν με ασφάλεια εντός του νόμου.

Η συμμόρφωση προς τον GDPR προϋποθέτει την ευαισθητοποίηση του ανθρώπινου δυναμικού της επιχείρησης σχετικά με την προστασία των προσωπικών δεδομένων. Εν προκειμένω, παρατίθενται ορισμένες πληροφορίες και συμβουλές σχετικά με την δέουσα κατάρτιση του προσωπικού στο πεδίο της προστασίας των προσωπικών δεδομένων που επεξεργάζεται η επιχείρηση στην οποία απασχολούνται.

Οι Προϋποθέσεις Κατάρτισης με βάση τον GDPR

Αν και η ανάγκη κατάλληλης εκπαιδεύσεως του ανθρωπίνου δυναμικού επισημαίνεται σε πλήθος διατάξεων του GDPR, δεν εξειδικεύεται ωστόσο το είδος των θεματικών που πρέπει να περιλαμβάνει αυτή η δέουσα κατάρτιση.

Η υποχρέωση εκπαιδεύσεως του ανθρωπίνου δυναμικού μιας επιχείρησης επισημαίνεται σε πληθώρα διατάξεων του GDPR.  Σύμφωνα με το άρθρο 39 του GDPR, μεταξύ των καθηκόντων του Υπεύθυνου Προστασίας  προσωπικών δεδομένων (Data Protection Officer- DPO) συμπεριλαμβάνεται η «ευαισθητοποίηση και εκπαίδευση του προσωπικού που συμμετέχει στις εργασίες επεξεργασίας». Σύμφωνα με το άρθρο 47 του GDPR, σε σχέση με τους δεσμευτικούς εταιρικούς κανόνες (BCRs)  απαιτείται «η κατάλληλη κατάρτιση για την προστασία δεδομένων του προσωπικού που έχει μόνιμη ή τακτική πρόσβαση σε αυτά». Η υποχρέωση των επιχειρήσεων, που επεξεργάζονται προσωπικά δεδομένα, να απασχολούν εργαζόμενους καταλλήλως καταρτισμένους επισημαίνεται και στην «Ασπίδα προστασίας ΕΕ-ΗΠΑ για την ιδιωτικότητα» (EU-US Privacy Shield Framework), ρυθμιστικό πλαίσιο για την εμπέδωση της εμπιστοσύνης στη διατλαντική ροή δεδομένων.

Τον προσανατολισμό της δέουσας εκπαίδευσης δύνανται να δώσουν οι Πρακτικές της Ορθής Πληροφόρησης (Fair Information Practices-FIP), που συμπυκνώνουν ένα σύνολο προτύπων που διέπουν τη συλλογή και χρήση των προσωπικών δεδομένων και την αντιμετώπιση θεμάτων ιδιωτικότητας και ακρίβειας. Αν και ο Οργανισμός Οικονομικής Συνεργασίας και Ανάπτυξης (ΟΟΣΑ) και η Ευρωπαϊκή Ένωση, μεταξύ άλλων, υιοθέτησαν πιο ολοκληρωμένες προσεγγίσεις για τις δίκαιες πρακτικές πληροφόρησης, η εκπαίδευση του προσωπικού της επιχείρησης μπορεί να αρκεστεί στα διεθνώς αποδεκτά πρότυπα. Το ανθρώπινο δυναμικό δεν δύναται να γίνει ειδήμων στο πεδίο της προστασίας του απορρήτου από την μία μέρα στην άλλη, ωστόσο η εξοικείωσή του με τις διεθνείς απαιτήσεις της προστασίας της ιδιωτικότητας είναι εφικτή και αναγκαία.  Εξάλλου, οι απαιτήσεις της κατάρτισης σχετικά με την εφαρμογή του GDPR ποικίλλουν αναλόγως των υποψηφίων. Οι εργαζόμενοι που έχουν ρόλους καθοριστικούς στο πεδίο της προστασίας της ιδιωτικής ζωής  των πελατών της επιχείρησης πρέπει να αποκτήσουν εξειδικευμένη γνώση του GDPR. Όσον αφορά, όμως, το μεγαλύτερο μέρος του εργατικού δυναμικού, μια συνολική γνώση των γενικών αρχών της προστασίας του απορρήτου είναι σύμφωνη με το πνεύμα του GDPR.

Το κλειδί για την κατανόηση του GDPR

Η γνώση των λεπτομερειών κάθε συγκεκριμένου νόμου ή κανόνα περιπλέκει τα πράγματα. Αρκεί η επιχείρησή σας να επικεντρωθεί στην έννοια της ιδιωτικής ζωής εννοιολογικά. Κάτι τέτοιο, σε καμία περίπτωση, δεν σημαίνει ότι η κατάρτιση του προσωπικού της αποβαίνει υπερβολικά θεωρητική ή αφηρημένη. Αντιθέτως, γίνεται πρακτική. Ο πυρήνας της εκπαίδευσης θα πρέπει να επικεντρωθεί σε τρία απλά αλλά ουσιώδη ζητήματα:

  • Κίνητρο: Γιατί πρέπει να νοιάζονται οι άνθρωποι για την προστασία της ιδιωτικότητας;
  • Ορισμός: Τι είναι τα προσωπικά δεδομένα;
  • Ευθύνη: Τι πρέπει να γνωρίζουν οι άνθρωποι για τον τρόπο με τον οποίο η επιχείρηση αντιμετωπίζει την ιδιωτικότητα;

Κίνητρο

Εάν οι άνθρωποι δεν νοιάζονται, δεν δίνουν προσοχή και δεν αλλάζουν την συμπεριφορά τους. Οι άνθρωποι πρέπει να καταλάβουν γιατί τα ζητήματα του ιδιωτικού απορρήτου και οι συγκεκριμένες επιπτώσεις που μπορεί να έχουν οι παραβιάσεις της ιδιωτικής ζωής έχουν καθοριστική σημασία για τα υποκείμενα των δεδομένων, την επιχείρηση  και τα  μέλη του εργατικού δυναμικού που εμπλέκονται στην υποτιθέμενη παραβίαση.Οι άνθρωποι δίνουν μεγαλύτερη προσοχή, όταν γνωρίζουν γιατί πρέπει να δίνουν προσοχή.

Ορισμός

Οι εργαζόμενοι της επιχείρησης πρέπει να γνωρίζουν ποια δεδομένα καλύπτονται ως προσωπικά δεδομένα από τον GDPR. Πρέπει να μάθουν πώς να εντοπίζουν από το σύνολο των δεδομένων τα προσωπικά και τα ευαίσθητα. Ο GDPR δίνει έναν διαφορετικό ορισμό των προσωπικών δεδομένων συγκριτικά με το νομοθετικό πλαίσιο των ΗΠΑ. Οι άνθρωποι δεν χρειάζεται να γνωρίζουν κάθε συγκεκριμένο ορισμό. Ο βασικός στόχος εδώ είναι ο καθένας να κατανοήσει ότι πολλά δεδομένα, που ενδεχομένως θεωρούμε ότι δεν είναι προσωπικά, στην πραγματικότητα μπορεί να είναι. Δεδομένα που από μόνα τους δεν αποκαλύπτουν την ταυτότητα ενός συγκεκριμένου ατόμου είναι δυνατόν εάν συνδυαστούν με άλλα δεδομένα να καθιστούν αυτό το άτομο αναγνωρίσιμο. Επομένως, πρακτικά δεν είναι δυνατόν να παρέχεται εκ των προτέρων πλήρης κατάλογος όλων των προσωπικών δεδομένων. Στόχος είναι το ανθρώπινο δυναμικό να ρωτά όποτε έχει αμφιβολίες σχετικά με τον χαρακτήρα των δεδομένων που έχει να αντιμετωπίσει, ώστε να αποφεύγονται ψευδείς υποθέσεις,που μπορεί να καταλήξουν επιζήμιες για την επιχείρηση.

Ευθύνη

Οι άνθρωποι πρέπει να γνωρίζουν τον τρόπο με τον οποίο μία επιχείρηση αντιμετωπίζει τις ευθύνες της σχετικά με την προστασία των δεδομένων. Η κατάρτιση πρέπει να επικεντρωθεί στις Αρχές Δίκαιων Πρακτικών Πληροφόρησης (FIPP), που αποτελούν τη «ραχοκοκαλιά» των περισσότερων νόμων περί προστασία του ιδιωτικού απορρήτου. Παρά τις διαφορές των νόμων περί προστασίας της ιδιωτικής ζωής ανά τον κόσμο, οι FIPP τυγχάνουν παγκόσμιας αποδοχής.

Ποιες FIPP αξίζει να συζητηθούν;

Οι πολιτικές απορρήτου μιας επιχείρησης είναι συνήθως κατασκευασμένες με βάσει τις FIPP. Αυτές οι πολιτικές (και οι εταιρικοί δεσμευτικοί κανόνες BCRs, αν η επιχείρηση τους έχει υιοθετήσει) θα πρέπει να είναι σύμφωνες με το νέο πλαίσιο του GDPR και τους νόμους περί προστασίας της ιδιωτικής ζωής σε όλες τις χώρες στις οποίες δραστηριοποιείται η επιχείρηση. Αν οι εκπαιδευόμενοι κατανοήσουν τις FIPP, τότε θα μπορούν να σχηματίσουν μια σταθερή αντίληψη για τη σημασία της προστασίας της ιδιωτικής ζωής. Ποιες FIPP αξίζει να συζητηθούν;

FIPP σχετικά με την Προστασία των Δεδομένων– αρχές σχετικά με την νομιμότητα και τον περιορισμό της συλλογής προσωπικών δεδομένων.

FIPP σχετικά με την Επεξεργασία και Χρήση των Δεδομένων– αρχές σχετικά με το βαθμό ευαισθησίας των δεδομένων, την περιορισμένη πρόσβαση σε αυτά, την τήρηση εμπιστευτικότητας, το πεπερασμένο της επεξεργασίας, την εξειδίκευση του σκοπού της επεξεργασίας και την ασφαλή διεξαγωγή της.

FIPP σχετικά με την Ατομική Συμμετοχή του Υποκειμένου των Δεδομένων– αρχές σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων, όπως το δικαίωμα πρόσβασης, το δικαίωμα διορθώσεως σε περίπτωση ανακριβών πληροφοριών, το δικαίωμα έγκαιρης ειδοποίησης των υποκειμένων, και την εξασφάλιση της σύννομης συγκατάθεσης τους.

FIPP σχετικά με την Μεταβίβαση των Δεδομένων–  αρχές σχετικά με την μεταβίβαση και την γνωστοποίηση προσωπικών δεδομένων σε τρίτα πρόσωπα (νομικά ή φυσικά).

FIPP σχετικά με την Λογοδοσία της Επιχείρησης– αρχές σχετικά με την πολιτική απορρήτου της επιχείρησης και το ρόλο του Υπευθύνου Προστασίας τωνΔεδομένων (Data Protection Officer- DPO) στην διασφάλιση των δεδομένων.

Η ορθή επιλογή  προγράμματος κατάρτισης

Ο GDPR, όπως συμβαίνει με τους περισσότερους νόμους περί προστασίας της ιδιωτικής ζωής, δεν απαιτεί συγκεκριμένο χρονικό διάστημα εκπαίδευσης. Προφανώς, μια ολιγόλεπτη εκπαίδευση δεν θα ήταν αρκετή, χωρίς αυτό να προεξοφλεί ότι πρέπει να κρατήσει για ώρες.

Ένα συνηθισμένο λάθος στα προγράμματα κατάρτισης είναι ότι συχνά διαρκούν αρκετό καιρό, βομβαρδίζοντας τους καταρτιζόμενους με περιττές θεωρητικές γνώσεις. Η διάρκεια της ανθρώπινης προσοχής είναι πολύ μικρή. Αυτό που έχει μεγαλύτερη σημασία από τη διάρκεια είναι το περιεχόμενο της εκπαίδευσης και το πόσο αποτελεσματικά εντυπώνονται οι πληροφορίες στο μνημονικό των εκπαιδευόμενων. Οι άνθρωποι ξεχνούν γρήγορα. Η περιοδική εκπαίδευση του προσωπικού μιας επιχείρησης σε τακτική βάση είναι η μόνη ταχεία και κερδοφόρα λύση. Χρονοβόρες διαδικασίες εκπαίδευσης με περιττές θεωρητικές πληροφορίες αποτελούν πρόκληση για τις επιχειρήσεις και προκαλούν περισσότερο σύγχυση παρά διευκολύνουν την επιχειρηματική πρακτική.

Οι συνέπειες μιας ακατάλληλης εκπαίδευσης σχετικά με την προστασία της ιδιωτικής ζωής είναι μοιραίες. Η ανεπαρκής εκπαίδευση μπορεί να οδηγήσει σε πληθώρα παραβιάσεων της ιδιωτικότητας των πελατών, που μπορούν να βλάψουν ανεπανόρθωτα τη φήμη της επιχείρησης. Προβλέπονται, επίσης, υψηλά πρόστιμα. Τα μέγιστα πρόστιμα σε περίπτωση μη συμμόρφωσης δύνανται να αγγίξουν τα 20 εκατομμύρια ή το 4% του παγκόσμιου τζίρου μιας επιχείρησης. Τα προβλεπόμενα ποσά είναι υπέρογκα, με σκοπό να τραβήξουν την προσοχή των υψηλόβαθμων στελεχών των επιχειρήσεων. Η έλλειψη κατάρτισης δείχνει έλλειψη σεβασμού του νόμου, που μπορεί να θέσει την επιχείρησή σας στο στόχαστρο των εποπτικών αρχών.

Ο GDPR καλύπτει περισσότερες επιχειρήσεις από ό,τι οι κανόνες BCRs ή EU-US Privacy Shield, καθώς έχει ευρύτερο πεδίο εφαρμογής: Σύμφωνα με το άρθρο 3, ο GDPR «εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο δραστηριοτήτων μιας εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το εάν η επεξεργασία πραγματοποιείται στην Ένωση ή όχι». Οι διατάξεις των BCRs και EU-US Privacy Shield θεσπίζουν κανόνες για την μεταφορά των δεδομένων Ευρωπαίων πολιτών στις Η.Π.Α.  Εάν οι επιχειρήσεις θέλουν να μεταβιβάσουν σύννομα τα προσωπικά δεδομένα Ευρωπαίων πολιτών σε τρίτα μέρη στις Η.Π.Α. πρέπει να ακολουθηθούν οι κανόνες είτε: 1) των BCRs, είτε 2) της EU-US Privacy Shield, ή 3) των διεθνώς πρότυπων συμβάσεων για την μεταβίβαση δεδομένων (πχ. EU model contracts). Έτσι, οι επιχειρήσεις που επεξεργάζονται δεδομένα πολιτών της ΕΕ θα υποχρεούνται προς συμμόρφωση του GDPR. Οι επιχειρήσεις εκείνες που μεταφέρουν δεδομένα Ευρωπαίων πολιτών στις ΗΠΑ θα δεσμεύονται επίσης από τις απαιτήσεις των κανόνων BCRs ή της EU-US Privacy Shield.

Βέβαια, τα διάφορα νομοθετικά πλαίσια εν πολλοίς συγκλίνουν και αλληλοεπικαλύπτονται. Αυτό που μετράει τελικώς είναι ο καταρτιζόμενος να εφοδιαστεί με πρακτικές γνώσεις, ώστε να μπορεί να αντιμετωπίσει κάθε πραγματικό ζήτημα προστασίας της ιδιωτικής ζωής, που αποτελεί πρόκληση για την καθημερινή διεθνή επιχειρηματικότητα.

 

Κοινοποιήστε αυτό το άρθρο

Leave A Comment