Start-up Enterprise: The Legal Guide, part 9

Την εικαστική επιμέλεια έχει αναλάβει ο φίλος, Γιάννης Αποσκίτης.

Στη σημερινή μας ανάρτηση θα ασχοληθούμε με το ζήτημα των προσωπικών δεδομένων και ειδικότερα με τις σχετικές νομικές υποχρεώσεις των επιχειρήσεων. Πρόκειται ασφαλώς για ένα ζήτημα που, αν και δεν αφορά αποκλειστικά τις start-up, έχει ιδιαίτερη σημασία για αυτές για τους εξής λόγους:

• Επειδή οι start-up δραστηριοποιούνται στο διεθνές ψηφιακό περιβάλλον, είναι περισσότερο πιθανόν να αντιμετωπίσουν κάποιο νομικό ζήτημα σχετιζόμενο με τη νομοθεσία περί προσωπικών δεδομένων σε σύγκριση με μια άλλη επιχείρηση.
• Επειδή οι start-up φιλοδοξούν να αναπτυχθούν ραγδαία, είναι σημαντικό να ακολουθούν από την αρχή ορισμένες διαδικασίες, καθώς η εκ των υστέρων προσαρμογή της λειτουργίας τους σύμφωνα με τις απαιτήσεις της νομοθεσίας έχει μεγαλύτερο κόστος και δυσκολία.
• Τέλος, η συμμόρφωση με τη νομοθεσία περί προσωπικών δεδομένων ενδέχεται να αξιολογηθεί θετικά από τους υπεύθυνους προγραμμάτων χρηματοδότησης και από τους θεσμικούς επενδυτές.

Η νομοθεσία για τα προσωπικά δεδομένα – το ευρωπαϊκό πλαίσιο

H προστασία των προσώπων έναντι της επεξεργασίας των προσωπικών τους δεδομένων αποτελεί θεμελιώδες δικαίωμα και καταγράφεται μεταξύ άλλων στο Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης. Πρόκειται δηλαδή για μια θεμελιώδη αρχή η οποία δεν είναι νέα, επανήλθε όμως τα τελευταία χρόνια στο προσκήνιο με τη θέση σε εφαρμογή του Γενικού Κανονισμού για την Προστασία Δεδομένων, ευρύτερα γνωστού ως GDPR. 

Παρόλο που είναι ευρέως διαδομένη η άποψη ότι ο GDPR είναι κάτι εντελώς καινούργιο, εντούτοις, τα ζητήματα τα οποία επιχειρεί να λύσει ρυθμίζονταν κατά πολύ μεγάλο ποσοστό  στην ελληνική νομοθεσία ήδη με τον προηγούμενο νόμο (ν. 2472/1997). Όμως, κατά γενική παραδοχή ο συγκεκριμένος νόμος δεν εφαρμοζόταν ούτε από τις επιχειρήσεις ούτε από τους ιδιώτες. Επίσης, ανάμεσα στις χώρες της Ευρωπαϊκής Ένωσης είχε παρατηρηθεί ότι υπήρχε μια ανεπιθύμητη ποικιλομορφία στο σχετικό νομικό πλαίσιο.

Έτσι, ο GDPR ήρθε για να λύσει το ζήτημα των νομικών ασαφειών και της ανασφάλειας που δημιουργούσε το προηγούμενο νομικό πλαίσιο σε επιχειρήσεις που δραστηριοποιούνται στην Ευρωπαϊκή Ένωση απειλώντας παράλληλα με τεράστια πρόστιμα όσους εξακολουθούσαν να τον αγνοούν.

Βασικοί ορισμοί στη νομοθεσία για τα προσωπικά δεδομένα¹

Ως «δεδομένο προσωπικού χαρακτήρα» ορίζεται κάθε πληροφορία, όπως για παράδειγμα το όνομα ή η διεύθυνση κατοικίας, που αφορά ένα συγκεκριμένο φυσικό πρόσωπο. Υποκείμενο, λοιπόν, των προσωπικών δεδομένων μπορεί να είναι μονάχα ο ζωντανός άνθρωπος και όχι ένα νομικό πρόσωπο, όπως μια εταιρία. Επιπλέον, η ταυτότητα του φυσικού προσώπου θα πρέπει να μπορεί να εξακριβωθεί άμεσα ή έμμεσα.

Από τα «απλά» προσωπικά δεδομένα διακρίνονται τα «ευαίσθητα προσωπικά δεδομένα», τα οποία μεταξύ άλλων αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή αφορούν την υγεία, τη σεξουαλική ζωή ή το γενετήσιο προσανατολισμό. Για τα ευαίσθητα προσωπικά δεδομένα υπάρχουν αυστηρότερες προϋποθέσεις επεξεργασίας και αυξημένες υποχρεώσεις προστασίας τους.

Τέλος, «επεξεργασία» των προσωπικών δεδομένων είναι κάθε πράξη που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η αποθήκευση, η προσαρμογή, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση, ο περιορισμός, η διαγραφή ή η καταστροφή τους.

Τα δικαιώματα των υποκειμένων της επεξεργασίας

Σύμφωνα με τον GDPR, όποιος επεξεργάζεται προσωπικά δεδομένα πρέπει να είναι σε θέση να αποδείξει τη νόμιμη βάση επεξεργασίας τους για ένα συγκεκριμένο και ρητό σκοπό. Για παράδειγμα, μια εταιρία ταχυμεταφορών διατηρεί τις διευθύνσεις και τα στοιχεία επικοινωνίας των πελατών της, προκειμένου να τους παραδώσει αγαθά στο πλαίσιο μιας σύμβασης. Παρ’ ότι διατηρεί νόμιμα τα προσωπικά αυτά δεδομένα, δεν μπορεί, λόγου χάρη, να τα γνωστοποιήσει σε μια άλλη εταιρία, η οποία ενδιαφέρεται να στείλει διαφημιστικά φυλλάδια στους πελάτες της εταιρίας ταχυμεταφορών.

Σε κάθε περίπτωση, τα υποκείμενα των δεδομένων έχουν μια σειρά δικαιωμάτων, μεταξύ των οποίων συγκαταλέγονται και τα εξής:

• Δικαίωμα ενημέρωσης².

Ο υπεύθυνος επεξεργασίας οφείλει να παρέχει στο υποκείμενο των δεδομένων πληροφορίες σχετικά με την επεξεργασία σε συνοπτική, κατανοητή μορφή χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του σχετικού αιτήματος.

• Δικαίωμα πρόσβασης³.

Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει επιβεβαίωση από τον υπεύθυνο επεξεργασίας για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία. Εάν συμβαίνει αυτό, το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης σε αυτά μέσω της λήψης αντιγράφου των δεδομένων σε ηλεκτρονική, συνήθως, μορφή.

• Δικαίωμα διόρθωσης⁴.

Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν (λ.χ. αναγραφή λανθασμένης διεύθυνσης).

• Δικαίωμα διαγραφής⁵.

 Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση, αν συντρέχουν οι νόμιμες προϋποθέσεις. Για παράδειγμα ο πελάτης μιας υπηρεσίας ταχυμεταφορών δεν μπορεί να ζητήσει από την εταιρία να διαγράψει τα στοιχεία επικοινωνίας του, ενώ εκκρεμεί μια παράδοση, αλλά αφού ολοκληρωθεί η παραγγελία του μπορεί να ζητήσει τη διαγραφή όλων των στοιχείων του, εκτός από εκείνα που ο νόμος απαιτεί να διατηρούνται για φορολογικούς λόγους.

Οι υποχρεώσεις των επιχειρήσεων

Ο GDPR  συζητήθηκε αρκετά τα τελευταία χρόνια, με  αποτέλεσμα  οι περισσότεροι επιχειρηματίες να ενημερωθούν σχετικά και να κάνουν προσπάθειες «συμμόρφωσης» με ποικίλους βαθμούς επιτυχίας. 

Αυτό που παρατηρείται, όμως, είναι πως τα ζητήματα που ανακύπτουν σε σχέση με τα προσωπικά δεδομένα στην καθημερινότητα των επιχειρήσεων είναι απλούστερα απ’ όσα θεωρητικά αναμενόταν. Ταυτόχρονα, όμως, είναι δύσκολο να αντιμετωπίζονται στην πράξη με ταχύτητα και αξιοπιστία. Έτσι, συχνά ανακύπτουν ερωτήματα όπως τα παρακάτω:

Πώς χειριζόμαστε πρακτικά ένα αίτημα για παροχή πληροφοριών ή διαγραφή στοιχείων και πώς σταθμίζουμε δύο αντίθετα δικαιώματα, όταν συγκρούονται; Ποια δεδομένα προσωπικού χαρακτήρα μπορώ να χρησιμοποιήσω χωρίς να ενημερώσω ένα συνεργάτη ή υπάλληλο της επιχείρησής μου; Μπορώ να στέλνω email διαφημιστικού/ενημερωτικού χαρακτήρα στη λίστα επαφών μου; Σε ποια σημεία της επιχείρησής μου δικαιούμαι να εγκαταστήσω κάμερες; Είναι απαραίτητο να ορίσω Υπεύθυνο Προστασίας Δεδομένων (DPO) για την επιχείρησή μου;

Σε κάποια από τα παραπάνω ερωτήματα είναι δυνατόν να δοθεί εκ των προτέρων μια οριστική και πλήρης απάντηση, αλλά στις περισσότερες περιπτώσεις θα πρέπει να γίνει μια στάθμιση από κάποιον που θα έχει την απαραίτητη νομική κατάρτιση και γνώση των συγκεκριμένων περιστάσεων. 

Αυτό συμβαίνει, επειδή ο GDPR δίνει για τα περισσότερα ζητήματα γενικές κατευθύνσεις και αρχές οι οποίες εφαρμόζονται με ευθύνη της κάθε εταιρίας. Για παράδειγμα, είναι εύκολο να πει κανείς πως οι επιχειρήσεις οφείλουν να επεξεργάζονται τα ελάχιστα δυνατά και αναγκαία δεδομένα για να πετύχουν ένα νόμιμο και συγκεκριμένο κάθε φορά σκοπό. Άλλα είναι, όμως, τα ελάχιστα και αναγκαία δεδομένα  για να επιτευχθεί ο σκοπός της προστασίας ενός πυρηνικού αντιδραστήρα και άλλα για ενισχυθεί η φυσική ασφάλεια ενός περιπτέρου!  

Με λίγα λόγια το ζητούμενο δεν είναι η ύπαρξη μονάχα θεωρητικών γνώσεων, αλλά κυρίως  η θέσπιση διαδικασιών εντός της επιχείρησης, οι οποίες θα οδηγούν τα παραπάνω ή άλλα παρεμφερή ερωτήματα στα κατάλληλα πρόσωπα δίνοντας τους και τον απαραίτητο χρόνο για να αντιδράσουν. Το σύνολο των διαδικασιών της επιχείρησης και των μέτρων που λαμβάνονται για να διασφαλίσουν τη σύννομη και ασφαλή επεξεργασία των προσωπικών δεδομένων αποτυπώνεται σε ένα εσωτερικό έγγραφο που συνήθως ονομάζεται «Σχέδιο Ασφαλείας»⁶.

Για παράδειγμα, συνηθίζεται να δημιουργείται μια ειδική διεύθυνση ηλεκτρονικού ταχυδρομείου στην οποία η εταιρία λαμβάνει ή προωθεί όλα τα σχετικά αιτήματα που σχετίζονται με τη νομοθεσία περί προσωπικών δεδομένων, έτσι ώστε όλα τα σχετικά ζητήματα να συγκεντρώνονται και να εξετάζονται έγκαιρα από κατάλληλα πρόσωπα. 

Επιπλέον, σε τακτικά χρονικά διαστήματα το «Σχέδιο Ασφαλείας» ανανεώνεται από τα διδάγματα της καθημερινής εμπειρίας, ώστε να είναι προσαρμοσμένο στις συνθήκες λειτουργίες της κάθε επιχείρησης και να παραμένει λειτουργικό και επίκαιρο.

Ειδικότερα: Συστήματα βιντεοεπιτήρησης

Ειδικά για το ζήτημα των συστημάτων βιντεοεπιτήρησης, παρατηρείται πως πολλές εταιρίες έχουν τοποθετήσει κάμερες για λόγους ασφαλείας. Επειδή, όμως, υπάρχει σύγχυση σχετικά με τις νομικές υποχρεώσεις των προσώπων που τοποθετούν συστήματα βιντεοεπιτήρησης, ανακύπτουν συχνά ζητήματα όχι μόνο προσωπικών δεδομένων ασθενών (ή και περαστικών, ανάλογα με το πως έχει τοποθετηθεί το σύστημα βιντεοεπιτήρησης!) αλλά και εργατικού δικαίου.

Η λειτουργία συστήματος βιντεοεπιτήρησης σε χώρους εργασίας διέπεται από ιδιαίτερα αυστηρές προϋποθέσεις, αφού μπορεί να έχει σημαντικές επιπτώσεις τόσο στα δικαιώματα των εργαζομένων της επιχείρησης όσο και των συναλλασσομένων με την επιχείρηση. Κατά το μέρος που δεν έρχεται σε αντίθεση με τον GDPR, εξακολουθεί να έχει εφαρμογή η υπ’ αρίθμ. 1/2011 Οδηγία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα⁷.

Σύμφωνα με το άρθρο 7 της εν λόγω Οδηγίας, το σύστημα βιντεοεπιτήρησης δεν θα πρέπει να χρησιμοποιείται για την επιτήρηση των εργαζομένων εντός των χώρων εργασίας, εκτός από εξαιρετικές περιπτώσεις, όπου αυτό δικαιολογείται από τη φύση και τις συνθήκες εργασίας και είναι απαραίτητο για την προστασία της υγείας και της ασφάλειας των εργαζομένων ή την προστασία κρίσιμων χώρων εργασίας. 

Τα προβλήματα, μάλιστα, σχετικά με τα συστήματα βιντεοεπιτήρησης συχνά δεν αποκαλύπτονται παρά μόνο τη στιγμή που μια καταγραφή τους πρόκειται ή ζητείται να χρησιμοποιηθεί ως αποδεικτικό υλικό σε ένα αστικό ή ποινικό δικαστήριο. Τότε, όμως, είναι συνήθως πολύ αργά. 

Το μόνο μέσο που διαθέτει ο υπεύθυνος επεξεργασίας προκειμένου να αποδείξει τη σύννομη δράση του και τη συμμόρφωσή του με τις απαιτήσεις του GDPR είναι η εκπόνηση μιας μελέτης, η οποία ονομάζεται «εκτίμηση αντικτύπου». Σε αυτή ο υπεύθυνος επεξεργασίας οφείλει⁸:

• Να καταγράψει τις πράξεις επεξεργασίας (λ.χ. βιντεοεπιτήρηση σε συγκεκριμένους χώρους και με συγκεκριμένα τεχνικά μέσα) και το σκοπό της επεξεργασίας (λ.χ. αποτροπή εγκληματικών ενεργειών).
• Να εκτιμήσει την αναγκαιότητα και την αναλογικότητα των πράξεων επεξεργασίας σε συνάρτηση με τον επιδιωκόμενο σκοπό.
• Να εκτιμήσει τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων (λ.χ. παραβίαση της ιδιωτικής ζωής) σε συνάρτηση με τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, τεχνολογικά ή οργανωτικά (λ.χ. περιορισμός της καταγραφής).

Έτσι, σύμφωνα και με τα όσα εξετάσαμε ήδη παραπάνω, διαπιστώνεται πως είναι απαραίτητο να υφίσταται όχι μόνο η «εκτίμηση αντικτύπου» αλλά και οι διαδικασίες εντός της επιχείρησης για την ορθή επίλυση όσων πρακτικών ζητημάτων αναπόφευκτα ανακύπτουν.

Ένα κλασικό παράδειγμα είναι πως ένα σύστημα βιντεοεπιτήρησης το οποίο έχει ως σκοπό την αποτροπή εγκληματικών πράξεων εις βάρος της επιχείρησης, δεν μπορεί να είναι στραμμένο σε γειτονικές ιδιοκτησίες ή σε έναν κεντρικό δρόμο καταγράφοντας εξ ολοκλήρου και αδιάκριτα την κίνηση σε αυτόν. Επιπλέον, δεν μπορεί να είναι στραμμένο στα αποδυτήρια ή σε άλλον χώρο εξυπηρέτησης των προσωπικών αναγκών των εργαζομένων. 

Σημειώνεται πως η διαδικασία της σύνταξης «εκτίμησης αντικτύπου» ακολουθείται κάθε φορά που οι πράξεις επεξεργασίας ενδέχεται να επιφέρουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων ιδίως με τη χρήση νέων τεχνολογιών.

Στην πράξη…

Η Ελπίδα αναρωτιέται ποια είναι τα πρώτα βήματα που πρέπει να κάνει η εταιρία της, ώστε να συμμορφωθεί με τις απαιτήσεις του GDPR.

Στην πράξη, η διαδικασία που προηγείται ονομάζεται «Χαρτογράφηση των προσωπικών δεδομένων» και με απλά λόγια είναι η συστηματική καταγραφή των δεδομένων  τα οποία η επιχείρηση επεξεργάζεται, των πηγών, από τις οποίες τα αντλεί και των αποδεκτών τους. Η Ελπίδα, δηλαδή, θα καταγράψει μεταξύ άλλων: 

• Τι είδους προσωπικά δεδομένα συλλέγονται από την εταιρία και για ποιους λόγους.
• Με τι τρόπο η εταιρία θα χρησιμοποιεί τα δεδομένα αυτά.
• Εάν και πώς η εταιρία θα εμπορευτεί, θα διαβιβάσει ή θα μοιραστεί με οποιοδήποτε τρόπο τα προσωπικά δεδομένα με τρίτους. 
• Τους τρόπους με τους οποίους η εταιρία θα εξασφαλίζει την ασφάλεια και την εμπιστευτικότητα των προσωπικών δεδομένων.

Εν συνεχεία, η επιχείρηση θα πρέπει να σχεδιάσει και να καταγράψει εσωτερικά τις διαδικασίες εκείνες που θα της επιτρέψουν τη διαχείριση των παραπάνω προσωπικών δεδομένων σύννομα και με ασφάλεια. Επίσης, θα πρέπει να προβλεφθεί ο τρόπος αντιμετώπισης των αιτημάτων που σχετίζονται με τα δικαιώματα των υποκειμένων και να δοθεί η σχετική ενημέρωση στους εργαζομένους και στα όργανα της εταιρίας. 

Παράλληλα, η εταιρία θα αναρτήσει στην ιστοσελίδα της την πολιτική απορρήτου, όπου με απλή γλώσσα και σαφήνεια θα ενημερώνει τι είδους προσωπικά δεδομένα συλλέξει, ποιος είναι ο σκοπός και η νόμιμη βάση της επεξεργασίας τους, ποιος είναι ο χρόνος της τήρησής τους και πως μπορούν τα υποκείμενα των δεδομένων να ασκήσουν τα νόμιμα δικαιώματά τους.