Στη διάρκεια της τελευταίας δεκαετίας, έχουν πραγματοποιηθεί πολλές κινήσεις/συναλλαγές μέσω Διαδικτύου, π.χ. αγορές ρούχων, εισιτηρίων, ειδών διατροφής, επικοινωνία μέσω email, μέσω social media και μη ξεχνάμε και τις ηλεκτρονικές συναλλαγές/πληρωμές – μεταφορές που έχουν γίνει για εξόφληση λογαριασμών ή υπηρεσιών, είσπραξη μισθών ή συντάξεων ή επιδομάτων κλπ.
Σύμφωνα με δημοσίευμά των Financial Times, λόγω της χρήσης του Διαδικτύου, έχουν «προσφερθεί» πλήθος προσωπικών δεδομένων σε δημόσιες και ιδιωτικές εταιρείες. Όμως έχουμε γνώση ή άγνοια σχετικά με το τι κάνουν με τα προσωπικά μας δεδομένα και επίσης γνωρίζουμε αν ορισμένες από αυτές τις εταιρίες τα έχουν αξιοποιήσει για να καρπωθούν κέρδη;
• Προσωπικά δεδομένα…. ας διευκρινίσουμε τι ακριβώς είναι:
Προσωπικά δεδομένα είναι κάθε πληροφορία που αναφέρεται σε/και περιγράφει ένα άτομο, όπως ενδεικτικά:
• στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα κλπ.)
• φυσικά χαρακτηριστικά (ύψος, βάρος, χρώμα δέρματος κλπ)
• οικονομική κατάσταση (έσοδα, περιουσιακά στοιχεία, οικονομική συμπεριφορά)
• ευαίσθητα δεδομένα (ιατρικά δεδομένα, αποτελέσματα εξετάσεων κλπ)
Ενόψει του Νέου Κανονισμού 2016/679 για την Προστασία Προσωπικών Δεδομένων – GDPR (General Data Protection Regulation) που τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης από τις 25/05/2018, το καίριο ερώτημα είναι πόσο εύκολη είναι η πρόσβαση στα προσωπικά μας δεδομένα και τι θα συμβεί μετά τις 25/5/2018 που θα εφαρμοστούν οι πανευρωπαϊκοί κανόνες για την προστασία αυτών των δεδομένων;
Θυμίζουμε ότι ο GDPR αφορά ΌΛΕΣ τις ιδιωτικές και δημόσιες επιχειρήσεις – φορείς, που με οποιοδήποτε τρόπο επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πελατών, πελατών των πελατών τους, εργαζομένων, συνεργατών ή άλλων φυσικών προσώπων.
• Τι σημαίνει ο όρος «Επεξεργάζονται»
Σύμφωνα με τον GDPR με τον όρο επεξεργασία προσωπικών δεδομένων νοούνται οι ενέργειες της συλλογής, καταγραφής, καταχώρησης, επεξεργασίας (profiling κλπ), αποθήκευσης και διαγραφής.
Έρευνα των Financial Times
Με αφορμή το Νέο κανονισμό οι Financial Times πραγματοποίησαν μια έρευνα. Βάσει της ισχύουσας νομοθεσίας στη Βρετανία, έστειλαν ερωτηματολόγιο σε έξι εταιρείες ζητώντας πληροφορίες σχετικά με τα προσωπικά στοιχεία που έχουν στη διάθεσή τους από συναλλαγές, ηλεκτρονικά μηνύματα, ιατρικές επισκέψεις κ.λπ., και τους ζήτησαν να απαντήσουν, σύμφωνα με όσα ορίζει η νομοθεσία γι’ αυτές τις περιπτώσεις, σε 40 ημέρες.
Οι εταιρείες ήταν οι Facebook, Amazon, Apple, Majestic Wine (λιανεμπόριο αλκοολούχων ποτών), Nectar (έκδοση πιστωτικών καρτών) και Charles Tyrwhitt (εταιρεία ένδυσης).
Η πρώτη σκέψη θα ήταν ότι τόσο μεγάλες εταιρείες, όπως η Facebook και η Αmazon, θα ήταν, σίγουρα, από τις καλά προετοιμασμένες να απαντήσουν άμεσα στα ερωτήματα της έρευνας. Όμως, καμία από τις δύο δεν απάντησε. Ειδικά η Facebook τόνισε ότι υπάρχoυν συγκεκριμένα σημεία μέσα στο κοινωνικό της δίκτυο που μπορούν να δώσουν πληροφορίες γι’ αυτό το θέμα στους χρήστες. Αντιθέτως, η Charles Tyrwhitt, η Nectar και η Apple απάντησαν εντός προθεσμίας.
Ο Ρόαν Μάσεϊ, επικεφαλής του κλάδου κυβερνοασφάλειας και απορρήτου στη νομική εταιρεία Ropes and Gray, ανέφερε ότι
«Είναι σαφές ότι έχουν γίνει αρκετές προσπάθειες να προετοιμαστούν οι επιχειρήσεις για τη συμμόρφωση με τους ευρωπαϊκούς κανόνες (στη Βρετανία θα ονομάζονται «Γενικός Κανόνας Προστασίας Δεδομένων»)».
Η άνω εταιρεία εξέτασε τις απαντήσεις των εταιρειών και:
• Στην περίπτωση των Majestic, Charles Tyrwhitt και Nectar, οι πληροφορίες που δόθηκαν ήταν οι αναμενόμενες. Ονόματα, διευθύνσεις, διεύθυνση ηλεκτρονικής αλληλογραφίας και ένας κατάλογος συναλλαγών.
• Στην περίπτωση της Apple, τα δεδομένα ήταν πιο περίπλοκα, δηλαδή ένας από τους φακέλους με το όνομα «iCloud logs» περιείχε έναν κατάλογο με κάθε χρονικό σημείο πρόσβασης σε μια επιλεγμένη ιστοσελίδα, επαφές του χρήστη, ημερολόγιο και στοιχεία για τη λειτουργία ανεύρεσης iPhone. Αυτή η αναζήτηση δεδομένων πήγαινε πίσω ένα μήνα από τότε που έγινε το αίτημα, ενώ ένας άλλος φάκελος έδινε στοιχεία για 123 αγορές από το iTunes, όπως εφαρμογές, μουσική και άλλα δεδομένα.
Ασαφείς απαντήσεις
Κάποιες επιχειρήσεις είχαν μεν πλήρη επίγνωση των υποχρεώσεών τους, αλλά οι απαντήσεις τους στα ερωτήματα για πρόσβαση στα προσωπικά τους στοιχεία ήταν τουλάχιστον ασαφείς.
Σύμφωνα με το δημοσίευμα των Financial Times, το αρμόδιο γραφείο επιτρόπου πληροφοριών στη Βρετανία αναφέρει ότι όποιος ζητάει γραπτή απάντηση για τα προσωπικά του δεδομένα
• δεν αρκεί να πάρει μια περιγραφή γι’ αυτά,
• θα πρέπει η εταιρεία προς την οποία απευθύνεται να αναφέρει τους λόγους για τους οποίους θέτει υπό επεξεργασία τα προσωπικά του δεδομένα και
• θα πρέπει η εταιρεία προς την οποία απευθύνεται να αναφέρει αν αυτά δεδομένα τα διαθέτει προς πώληση σε άλλους επιχειρηματικούς ομίλους ή άτομα.
Από τις έξι εταιρείες που συμμετείχαν στην έρευνα των Financial Times, μόνον η Charles Tyrwhitt έδωσε στοιχεία για τις δεκατρείς εταιρείες με τις οποίες είχε μοιραστεί δεδομένα από όσα είχε στην κατοχή της. Οι δεκατρείς εταιρείες, που δραστηριοποιούνται σε πολλούς τομείς, είχαν λάβει την ηλεκτρονική διεύθυνση ή την κανονική διεύθυνση και τα ονόματα των πελατών.
10.02.2018 / της Χρύσας Σωτηράκη, Λογίστρια–Φοροτεχνικός–Σύμβουλος επιχειρήσεων της ομάδας «LOLplus – Λογιστικές Ολοκληρωμένες Λύσεις» www.lolplus.gr
• ΜΥΦ 2017 ο εφιάλτης υπόχρεων και λογιστών ξαναχτυπά… Λήξη υποβολής 28 Φεβρουαρίου 2018
• Η Airbnb επιτρέπει πλέον στους χρήστες να πληρώνουν σε δόσεις για τις κρατήσεις τους
• Ίδρυση εταιρίας στο εξωτερικό… Λύση στη βιωσιμότητα της επιχείρησης ή παγίδα;