Τι πρέπει να γνωρίζετε για τον Κανονισμό της ΕΕ για την προστασία των γενικών δεδομένων (GDPR)
Με κάθε μέρα που περνάει, οι μεγάλες οργανώσεις που υπάρχουν κυρίως στο Διαδίκτυο συγκεντρώνουν τεράστια ποσά δεδομένων από ανθρώπους για να πουλήσουν διαφημιστές και άλλες οντότητες που θα μπορούσαν να το χρησιμοποιήσουν για να καλύψουν τις προσφορές τους σε αυτούς. Είτε πιστεύετε ότι αυτό είναι κακόβουλο, λανθασμένο, είτε απλά ένα σημάδι των μεταβαλλόμενων εποχών, μπορούμε όλοι να συμφωνήσουμε ότι το φαινόμενο της συλλογής δεδομένων έχει φθάσει σε ύψη που δεν έχουμε μάρτυρες σε κανένα σημείο της ιστορίας.
Αυτό έχει κάνει πολλούς να αισθάνονται ότι χάνουν τον έλεγχο των προσωπικών τους πληροφοριών και ορισμένες κυβερνήσεις έχουν αρχίσει να συζητούν πώς πρέπει να παρεμβαίνουν για να βοηθήσουν τους ανθρώπους να ανακτήσουν αυτόν τον έλεγχο. Η ΕΕ, για παράδειγμα, θέσπισε τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), ο οποίος τίθεται σε ισχύ στις 25 Μαΐου 2018.
Τι GDPR είναι και δεν είναι
Η Ευρωπαϊκή Επιτροπή αγωνίζεται να διατηρήσει όλες τις πάπιές της στη σειρά για την τελευταία δεκαετία όσον αφορά τα δεδομένα και την ιδιωτικότητα. Το GDPR είναι μια προσπάθεια ενοποίησης όλων αυτών των νόμων σε ένα ενιαίο πλαίσιο, διευκολύνοντας έτσι τις επιχειρήσεις να συμμορφώνονται με αυτές. Το πλαίσιο προσθέτει επίσης ορισμένους νέους κανονισμούς που αποσκοπούν σε μεγάλο βαθμό στην αντικατάσταση της οδηγίας για την προστασία των δεδομένων του 1995.
Αυτή η αναβάθμιση είχε ως αποτέλεσμα ένα έγγραφο με περισσότερες από 200 σελίδες.
Ενώ η αποστολή και ο σκοπός του GDPR εκπονήθηκαν από την ΕΚ ως σύνολο νόμων που αποσκοπούν στο να «δώσουν στους πολίτες τον έλεγχο των προσωπικών τους δεδομένων», αυτό δεν σημαίνει ότι πρόκειται για θεραπεία - για όλα τα δεινά ότι οι πολίτες του Διαδικτύου υποφέρουν.
Από την άλλη πλευρά, η GDPR δίνει μεγάλη έμφαση στη συναίνεση. Οι ιστότοποι που συλλέγουν τα δεδομένα απαιτούνται για να επιτρέπουν στους χρήστες τη δυνατότητα να επιλέξουν πρακτικές συλλογής δεδομένων.
Για να συνοψίσουμε τα πάντα σε μια καθαρή πρόταση, ο Γενικός κανονισμός για την προστασία των δεδομένων καθορίζει τις υποχρεώσεις των φορέων εκμετάλλευσης στην ΕΕ και τα νέα δικαιώματα για τα άτομα που χρησιμοποιούν τις υπηρεσίες τους.
Τα δικαιώματα που προσφέρονται από το GDPR
Τα άτομα που χρησιμοποιούν υπηρεσίες που εισέρχονται κάτω από το πεδίο εφαρμογής του GDPR είναι γνωστά ως "υποκείμενα δεδομένων" για λόγους που πρέπει να είναι προφανείς (π.χ., είστε το αντικείμενο ενός ιστότοπου που συλλέγει δεδομένα σχετικά με εσάς). Στο κεφάλαιο 3 της νομοθεσίας μπορούμε να δούμε με σαφήνεια όλα τα δικαιώματα που δηλώνει το έγγραφο:
- Μια εταιρεία πρέπει να καταστήσει σαφές στο χρήστη ότι τα δεδομένα της θα συλλεχθούν και με ποιον τρόπο θα χρησιμοποιηθούν. Η επικοινωνία αυτή πρέπει να γίνει γραπτώς ή με άλλα κατάλληλα μέσα ηλεκτρονικά. Αυτό ισχύει ιδιαίτερα όταν εμπλέκονται μικρά άτομα (άρθρα 12, 15).
- Εάν πραγματοποιηθεί συλλογή δεδομένων, ο χρήστης έχει το δικαίωμα να γνωρίζει πώς να επικοινωνήσει με την εταιρεία ή τον υπεύθυνο προστασίας δεδομένων της. Από νομική άποψη, ο χρήστης πρέπει να έχει έναν τρόπο επικοινωνίας με τον συλλέκτη. Η εταιρεία συλλογής δεδομένων πρέπει επίσης να επιτρέπει την ανάκληση συγκατάθεσης ανά πάσα στιγμή (άρθρα 13, 21).
- Ακόμη και αν δεν πραγματοποιηθεί η συλλογή δεδομένων, ο χρήστης εξακολουθεί να έχει το δικαίωμα στα στοιχεία επικοινωνίας που αναφέρονται παραπάνω (άρθρο 14).
- Ο χρήστης έχει το δικαίωμα να διορθώσει τυχόν ανακρίβειες στα δεδομένα (άρθρο 16).
- Το άρθρο 17 φέρνει το «δικαίωμα να ξεχαστεί» στο GDPR, μια παλιά ευρωπαϊκή ιδέα που επιτρέπει στους χρήστες τη δυνατότητα να ζητούν την πλήρη διαγραφή των δεδομένων τους από μια βάση δεδομένων.
- Ο χρήστης έχει το δικαίωμα να ζητήσει από τον ιστότοπο να μην επεξεργάζεται πλέον τα δεδομένα του εάν δεν το θέλει να διαγραφεί εξ ολοκλήρου (άρθρο 18).
- Εάν μια εταιρεία έχει μοιραστεί τα δεδομένα ενός χρήστη με άλλα μέρη, όλοι πρέπει να ενημερώνονται για τυχόν διαγραφές, διορθώσεις ή περιορισμούς. Ο χρήστης πρέπει να έχει το δικαίωμα να σταματήσει όλη η επεξεργασία δεδομένων από όλα τα μέρη (άρθρο 19).
- Ο χρήστης έχει το δικαίωμα να ζητήσει τη συλλογή των δεδομένων του (άρθρο 20).
- Οι χρήστες έχουν το δικαίωμα να μην λαμβάνουν αποφάσεις σχετικά με τη μεταχείρισή τους με βάση τα δεδομένα που συλλέγονται αυτομάτως από αυτά (άρθρο 22).
Όλα αυτά τα δικαιώματα έρχονται με συμπληρωματικές υποχρεώσεις που επιβάλλονται στις εταιρείες και θα μπορούσαν να αντιμετωπίσουν σοβαρές συνέπειες εάν δεν συμμορφωθούν. Το μέγεθος των λεπτομερειών που περιέχονται σε αυτό το νομοσχέδιο το καθιστά ίσως έναν από τους μεγαλύτερους νόμους για την προστασία της ιδιωτικής ζωής στον τομέα των ψηφιακών δεδομένων στον κόσμο.
Τι λέει το GDPR για παραβιάσεις δεδομένων
Υπήρξε μια αυξανόμενη τάση μεγάλων εταιρειών να χτυπηθούν από παραβιάσεις, να χάσουν μια δέσμη των δεδομένων των πελατών τους και στη συνέχεια να μην αναφέρουν την απώλεια στους πληγέντες. Τον Νοέμβριο του 2017, ο Uber ήταν το θέμα ενός σκάνδαφους μετά την αποκάλυψή του ότι γνώριζε για παραβίαση για πάνω από ένα χρόνο, το σάπλωσε κάτω από το χαλί και πλήρωσε τους χάκερ που ήταν υπεύθυνοι να κρατήσουν το στόμα τους κλειστό.
Αυτή η πρακτική ασχολείται τώρα και με το GDPR, δίνοντας στις επιχειρήσεις εβδομήντα δύο ώρες να αναφέρουν τις παραβιάσεις δεδομένων στις αρχές (αιτιολογική σκέψη 85), για να μην υποστούν πρόστιμο 20 εκατομμυρίων ευρώ ή το 4% του κύκλου εργασιών τους.
Αυτό θα μπορούσε να βοηθήσει να απαλλαγούμε από την τάση των στελεχών των επιχειρήσεων να κρύβουν τις παραβιάσεις τους μέχρι να είναι πιθανώς πολύ αργά για τους πελάτες τους να αναλάβουν δράση για να αποτρέψουν την περαιτέρω θυματοποίησή τους.
Οι επιχειρήσεις υποχρεούνται επίσης να κρυπτογραφούν τα δεδομένα τους προκειμένου να " καταστήσουν το [αυτό] ακατανόητο σε κάθε άτομο που δεν έχει εξουσιοδότηση πρόσβασης. "Χάρη, η μεγάλη πλειοψηφία των δεδομένων σας στο διαδίκτυο είναι αποθηκευμένη με αυτό τον τρόπο, αλλά εξακολουθεί να είναι ενθαρρυντικός για ορισμένους να δουν αυτό κωδικοποιημένο στο νόμο.
Υπάρχουν μειονεκτήματα για το GDPR;
Το GDPR είναι αναμφισβήτητα η πιο τολμηρή ιδέα που έχει περάσει η Ευρωπαϊκή Επιτροπή τα τελευταία χρόνια, με αποτέλεσμα μαζικές αλλαγές στις σχέσεις μεταξύ παρόχων υπηρεσιών και χρηστών τους. Τα δικαιώματα που παρέχει η νομοθεσία συνεπάγονται αρκετές αλλαγές στις υποδομές τις οποίες πρέπει να υποστούν ορισμένες επιχειρήσεις, αν και η επιβάρυνση μπορεί να μην είναι τόσο μεγάλη όσο λένε κάποιοι επικριτές. Για να έχουμε μια σαφέστερη προοπτική σχετικά με τον τρόπο με τον οποίο η GDPR μπορεί να επηρεάσει τις επιχειρήσεις, έχουμε δύο πηγές: μια έκθεση από το Γραφείο Επιτρόπων Πληροφοριών του Ηνωμένου Βασιλείου και μια έρευνα που πραγματοποίησε η Ovum το 2015.
Στη μελέτη του Ηνωμένου Βασιλείου βλέπουμε ότι "η πλειονότητα των επιχειρήσεων δεν είναι σε θέση να ποσοτικοποιήσουν τις τρέχουσες δαπάνες τους σε σχέση με τις ευθύνες προστασίας δεδομένων". Αυτό είναι πολύ ασαφές, αλλά είναι ασφαλές να υποθέσουμε ότι οι επιπτώσεις του GDPR στις επιχειρήσεις δεν ήταν σωστά αξιολόγηση. Αυτό θα είναι σαφέστερο έως το 2018, όταν ο νόμος έχει χρόνο να έχει αποτέλεσμα. Η κυβερνητική υπηρεσία που ανέθεσε τη μελέτη κατέληξε στο συμπέρασμα ότι οι τοπικές κυβερνήσεις θα μπορούσαν να κάνουν περισσότερα για να βοηθήσουν τις επιχειρήσεις να ετοιμαστούν και να παράσχουν υποστήριξη και κατάρτιση στο προσωπικό τους.
Η έκθεση Ovum, με τίτλο "Νόμοι περί απορρήτου δεδομένων: Κοπή της κόκκινης ταινίας", προχωρά λίγο περισσότερο σε βάθος, παρέχοντας μια πλήρη ανάλυση του τρόπου με τον οποίο οι επιχειρήσεις αντιλαμβάνονται τις αλλαγές. Η εταιρεία έκανε συνέντευξη σε 366 παγκόσμιες εταιρείες πληροφορικής, πάνω από το 70% των οποίων "αναμένουν να αυξήσουν τις δαπάνες για να ικανοποιήσουν τις απαιτήσεις της κυριαρχίας των δεδομένων". Ωστόσο, το 53% των επιχειρήσεων σχεδιάζει να χρησιμοποιήσει τεχνολογίες τρίτων για να τους βοηθήσουν στη διατήρηση της διαφάνειας των δεδομένων.
Εν ολίγοις, ενώ το GDPR θα έχει σίγουρα αντίκτυπο στις ευρωπαϊκές επιχειρήσεις, δεν είναι προφανές εάν αυτό το αποτέλεσμα θα είναι εντελώς αρνητικό.
Αφού διαβάσετε όλα αυτά, νομίζετε ότι το GDPR προστατεύει επαρκώς τα δικαιώματα των χρηστών του διαδικτύου; Ή μήπως αυτή η νομοθεσία πρέπει να επιστρέψει στο σχέδιο; Πείτε μας σε ένα σχόλιο!