Μ. Χατζηαντωνίου: Οι οδηγίες που θέτει ο κανονισμός GDPR σε καμία περίπτωση δεν αποκλείουν την επεξεργασία των προσωπικών δεδομένων – Η ημιτελής συμμόρφωση μπορεί να επιφέρει πολύ υψηλά πρόστιμα

Facebook
Twitter
LinkedIn

Μια εξαιρετικά κατατοπιστική συνέντευξη αναφορικά τις υποχρεώσεις των επαγγελματιών του κλάδου έναντι του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), παραχώρησε στην εκπομπή Ασφαλιστικό Μαγκαζίνο και στον Αριστείδη Βασιλειάδη ο Μιχάλης ΧατζηαντωνίουΣύμβουλος Συμμόρφωσης & Πιστοποιημένος Υπεύθυνος Προστασίας Δεδομένων (C.D.P.O.)Γενικός Διευθυντής της PRESTIGE GROUP.

PRESTIGE GROUP είναι μια εταιρεία που δημιουργήθηκε τα τελευταία 12 με σκοπό να προσφέρει στοχευμένη βοήθεια στις πολύπαθες μικρομεσαίες επιχειρήσεις και σε ελεύθερους επαγγελματίες, οι οποίοι τα τελευταία χρόνια έχουν δοκιμαστεί έντονα από τις προκλήσεις της οικονομικής ύφεσης και της πανδημικής κρίσης. Η έμπειρη ομάδα της PRESTIGE GROUP προσφέρει λύσεις ρευστότητας, είτε μέσω επιδοτούμενων χορηγούμενων προγραμμάτων, ευρωπαϊκών ή μη, είτε μέσω τραπεζικών χρηματοδοτήσεων, δημιουργώντας παράλληλα πλάνα αναδιάρθρωσης χρέους, επιχειρηματικά σχέδια βιωσιμότητας και ανάπτυξης, έχοντας ως στόχο την ενίσχυση των δραστηριοτήτων της εκάστοτε επιχείρησης. Επιπλέον, αναλαμβάνει την ανάπτυξη σχεδίων για την αύξηση των πωλήσεων μέσω διαδικτύου, με την δημιουργία e-shop και εταιρικών ιστοσελίδων, με την στοχευμένη διαφήμιση, με την εύρεση επενδυτών και την διαμεσολάβηση.

O Κανονισμός GDPR, μπήκε στη ζωή μας από το Μάιο του 2018 ως εφαρμοστέο μέτρο, θεσμοθετήθηκε ως νόμος τον Αύγουστο του 2019, ενώ, όπως τονίζει ο κ. Χατζηαντωνίου, στην μετά-Covid εποχή και όσο η πανδημία υποχωρεί θα μας απασχολήσει έντονα, καθώς θα κληθούμε να αντιμετωπίσουμε αρκετά ζητήματα που χρήζουν διευθέτησης, στο πλαίσιο της επανεκκίνησης της οικονομίας.

Ο GDPR ισχύει για κάθε νομική οντότητα που επεξεργάζεται προσωπικά δεδομένα ιδιωτών ή ελεύθερων επαγγελματιών, δηλαδή που αφορά φυσικά πρόσωπα. Ουσιαστικά, ο κανονισμός φτιάχτηκε για να προστατέψει τα δικαιώματα των φυσικών προσώπων έναντι των νομικών προσώπων. Συνεπώς, αν κάποιος υπό τη νομική ιδιότητα επεξεργάζεται προσωπικά δεδομένα φυσικών προσώπων είτε αυτός είναι ελεύθερος επαγγελματίας, είτε είναι μισθωτός, είτε συνεργάτης επηρεάζεται άμεσα.

Πώς ο Κανονισμός GDPR επηρεάζει τις ασφαλιστικές εταιρείες και τους ασφαλιστικούς διαμεσολαβητές;

Στο φλέγον ερώτημα σχετικά με το πώς ο GDPR επηρεάζει τις ασφαλιστικές εταιρείες και τους ασφαλιστικούς διαμεσολαβητές ο κ. Χατζηαντωνίου τονίζει ότι ο γενικός κανονισμός προστασίας δεδομένων εφαρμόζεται σε κάθε επιχείρηση που επεξεργάζεται προσωπικά δεδομένα, ωστόσο στο σημείο αυτό οφείλουμε να δώσουμε ιδιαίτερη προσοχή στην έννοια της επεξεργασίας, δεδομένου ότι συχνά παρερμηνεύεται από τους επαγγελματίες. Όπως επισημαίνει ο κ. Χατζηαντωνίου:

«Επεξεργασία προσωπικών δεδομένων είναι ακριβώς το να συλλέγουμε το δεδομένο, να το καταχωρούμε στο τάμπλετ, στον υπολογιστή, στην ατζέντα μας, οπουδήποτε. Να το αποθηκεύουμε και να το τροποποιούμε αν γίνεται μια αλλαγή, να το χρησιμοποιούμε σε μια επόμενη φορά, να το διαβιβάζουμε σε τρίτους, όπως τα διαγνωστικά κέντρα, τις τράπεζες, ακόμη και το να κάνουμε συσχέτιση βγάζοντας στατιστικά στοιχεία ή και το να διαγράφουμε προσωπικά δεδομένα. Όταν ένας ασφαλιστικός διαμεσολαβητής ή μια ασφαλιστική εταιρεία πραγματοποιεί έστω και ένα από όλα αυτά τότε κάνει επεξεργασία. Συνεπώς, σαφώς και μας επηρεάζει όλους ο GDPR και σαφώς πρέπει να συμμορφωθούμε με τις επιταγές του κανονισμού.»

Τι ορίζεται ως προσωπικό δεδομένο;

Μια παρανόηση στην οποία εμπίπτουν συχνά οι επαγγελματίες του κλάδου, είναι ασφαλώς η φύση των προσωπικών δεδομένων, με άλλα λόγια τι ορίζεται ως προσωπικό δεδομένο για ένα φυσικό πρόσωπο. Ο κ. Χατζηαντωνίου ξεκαθαρίζει ότι στην κατηγορία των προσωπικών δεδομένων δεν εντάσσονται ασφαλώς μόνο το ονοματεπώνυμο, η ηλικία, το επάγγελμα ή η οικονομική κατάσταση. Αντιθέτως, ένας επαγγελματίας του ασφαλιστικού κλάδου λαμβάνει δεδομένα για την οικονομική κατάσταση του πελάτη του, την εργασιακή του ιδιότητα, τον τραπεζικό του λογαριασμό, το email του ακόμη και για τον υπολογιστή από τον οποίο ο πελάτης στέλνει όλα αυτά τα στοιχεία. Όλα τα παραπάνω θεωρούνται προσωπικά δεδομένα, ωστόσο οι επιχειρήσεις που δραστηριοποιούνται στον ασφαλιστικό κλάδο λαμβάνουν επίσης σημαντικά δεδομένα που αφορούν την υγεία και την πρόνοια των πελατών τους, τα οποία επίσης χρήζουν ιδιαίτερης διαχείρισης.

Ωστόσο, όπως υπογραμμίζει ο κ. Χατζηαντωνίου, οι επαγγελματίες και επιχειρηματίες δεν πρέπει να ξεχνούν ότι η διαχείριση των προσωπικών δεδομένων δεν αφορά αποκλειστικά τους πελάτες τους αλλά και τους υπαλλήλους τους, καθώς λαμβάνουν και διαχειρίζονται προσωπικά δεδομένα, ήδη από τη στιγμή που λαμβάνουν στα χέρια τους τα βιογραφικά των εν δυνάμει συνεργατών τους.

«Λαμβάνουμε ταυτότητα, λαμβάνουμε ΑΦΜ, λαμβάνουμε ΑΜΚΑ, πληροφορίες για την οικογενειακή κατάσταση. Όλες αυτές τις πληροφορίες τις διαβιβάζουμε κάπου. Ακόμη και τα δεδομένα πρώην υπαλλήλων, τα οποία έχουμε λάβει στο παρελθόν, πρέπει να τα έχουμε κρατήσει σε περίπτωση που έρθει κάποιος να τα ζητήσει και να αναφέρουμε ποιος τα διαχειρίζεται, πως τα διαχειρίζεται και ποιος έχει πρόσβαση σε αυτά.», υπογραμμίζει ο κ. Χατζηαντωνίου, συμπληρώνοντας ότι «ακόμη και για τους δυνητικούς υπάλληλους λαμβάνουμε ένα βιογραφικό, με πληροφορίες που περιλαμβάνουν μέχρι και τις καθημερινές τους συνήθειες.»

Όπως επισημαίνει ο κ. Χατζηαντωνίου εξαιρετικής σημασίας είναι οι και οι εξωτερικοί συνεργάτες της εκάστοτε ασφαλιστικής επιχείρησης να είναι εξίσου συμμορφωμένοι με τον κανονισμό του GDPR, δεδομένου ότι με τη διαβίβαση των προσωπικών δεδομένων, σε έναν εξωτερικό λογιστή παραδείγματος χάρη, ο οποίος δεν ακολουθεί τους θεσπισμένους κανόνες περί GDPR, μπορεί να υπάρχουν άμεσες επιπτώσεις και για την ίδια την επιχείρηση, παρά το γεγονός ότι τηρεί από πλευράς της τις ενδεδειγμένες οδηγίες.

Οι οδηγίες που θέτει ο κανονισμός GDPR σε καμία περίπτωση δεν αποκλείουν την επεξεργασία των προσωπικών δεδομένων

Ασφαλώς, οι οδηγίες που θέτει ο κανονισμός GDPR σε καμία περίπτωση δεν αποκλείουν την επεξεργασία των προσωπικών δεδομένων, διευκρινίζει στο λόγο του ο κ. Χατζηαντωνίου.

«Ο κανονισμός δεν λέει όχι σε τίποτα. Δεν λέει ότι δεν επεξεργαζόμαστε προσωπικά ευαίσθητα δεδομένα, λέει απλά ότι πρέπει να ακολουθούμε συγκεκριμένους κανόνες. Ο πιο σημαντικός λοιπόν τρόπος για τη διαχείρισή τους είναι η συμμόρφωση. Η σωστή συμμόρφωση που περιλαμβάνει και μια εκτίμηση αντικτύπου σε μια απευκταία περίπτωση αναφορικά με το τι θα γίνει αν υπάρξει μια παραβίαση ή μια διαρροή παρόλο που έχουμε συμμορφωθεί.», αναφέρει χαρακτηριστικά.

«Πρέπει να λειτουργούμε σύμφωνα με τα πλαίσια και βέβαια να ξέρουμε τι πρέπει να κάνουμε ώστε να δράσουμε άμεσα και σωστά ως προς την ενημέρωση, διότι τα ευαίσθητα προσωπικά δεδομένα, είναι στοιχεία, στα οποία εάν υπάρξει διαρροή ή αν υπάρξει παραβίαση, πρέπει να ενημερωθούν ένα προς ένα τα φυσικά πρόσωπα.»

Παραβιάσεις και πρόστιμα

Στη χώρα μας είναι ιδιαιτέρως σύνηθες το φαινόμενο να νομίζουμε ότι είμαστε συμμορφωμένοι με τον Γενικό Κανονισμό Προστασίας Δεδομένων επειδή έχουμε συμπεριλάβει στην ιστοσελίδα μας την πολιτική απορρήτου ή επειδή έχουμε φτιάξει ένα έντυπο συναίνεσης προσωπικών δεδομένων για τους πελάτες ή τους υπαλλήλους μας. Ο κ. Χατζηαντωνίου υπογραμμίζει ότι οι εν λόγω δράσεις δεν καλύπτουν τις υποχρεώσεις μιας επιχείρησης έναντι του GDPR, τονίζοντας παράλληλα ότι οι πιθανές παραβιάσεις, παραλήψεις ακόμη και η ημιτελής συμμόρφωση στους κανόνες του GDPR, μπορεί να κοστ΄σιουν χιλιάδες ευρώ σε μια επιχείρηση.

«Αυτό είναι ελλιπής συμμόρφωση, είναι ημιτελής συμμόρφωση και μπορεί να επιφέρει πολύ υψηλά πρόστιμα. Ξεκινά με μια επίπληξη για αρχή και μια ενημέρωση και μπορεί να καταλήξει σε πολύ υψηλά πρόστιμα δεκάδων ή και εκατοντάδων χιλιάδων, ενώ αν δεν συμμορφωθεί αυτός που του έχει επιβληθεί μια κύρωση μπορεί να φτάσει μέχρι και στην ανάκληση αδείας.»

Η PRESTIGE GROUP προσφέρει πλήρη και σωστή συμμόρφωση με πάνω από 30-35 παραδοτέα αρχεία, πολιτικές, διαδικασίες και πλαίσιο λειτουργίας, καθώς και την υπηρεσία του DPO (Data Protection Officer), ο οποίος είναι ο υπεύθυνος προστασίας δεδομένων και η δουλεία του ξεκινάει μετά τη συμμόρφωση της επιχείρησης. Πιο συγκεκριμένα, αρμοδιότητά του είναι να επανεκπαιδεύει, να ενημερώνει, να είναι το πρόσωπο επικοινωνίας με την αρχή προστασίας δεδομένων και να θέτει τους όρους και τους τρόπους επικοινωνίας των εύκολων ή δύσκολων καταστάσεων προς τρίτους, είτε αυτή λέγεται αρχή προστασίας δεδομένων, είτε αυτή λέγεται φυσικά πρόσωπα. Εφόσον γίνονται λοιπόν όλα αυτά και γίνονται σωστά δεν υπάρχει κανένας λόγος ανησυχίας για την επεξεργασία των ευαίσθητων προσωπικών δεδομένων.

Ελέγξτε τη συμμόρφωση της επιχείρησής σας στον Κανονισμό GDPR δωρεάν μέσα από το τεστ αυτοξιολόγησης της PRESTIGE GROUP

Η PRESTIGE GROUP προσφέρει σε κάθε επιχείρηση την ευκαιρία να αξιολογήσει δωρεάν τη συμμόρφωσή της στον Κανονισμό του GDPR μέσω ενός τεστ αυτοαξιολόγησης, το οποίο φέρνει σε μια πρώτη επαφή τους επαγγελματίες με έννοιες και όρους που πιθανόν να μην γνώριζαν ότι πρέπει να καλύπτουν και να είναι συμμορφωμένοι σε αυτούς. Πραγματοποιώντας το συγκεκριμένο τεστ ο εκάστοτε επιχειρηματίας ή επαγγελματίας μπορεί να αντιληφθεί μέσα από τις απαντήσεις του στα ερωτήματα που υστερεί, έχοντας μια πλήρη εικόνα για το τι θα πρέπει να διορθώσει προκειμένου να είναι πλήρως συμμορφωμένος με τους κανόνες του GDPR.

Ελέγξτε τη συμμόρφωση της επιχείρησής σας με το τεστ αυτοαξιολόγησης πατώντας εδώ

Για περισσότερες πληροφορίες επισκεφτείτε την ιστοσελίδα της PRESTIGE GROUP στο https://prg.gr/, ή επικοινωνήστε μέσω email στο info@prg.gr ή τηλεφωνικά στα τηλέφωνα 21 60 700 800, 210 440 60 80 και 210 90 19 211

Δείτε ολόκληρη τη συνέντευξη του κ. Χατζηαντωνίου στο παρακάτω βίντεο

 

 

Περισσότερα από τον Μαύρο Γάτο