Eκείνο το οποίο δεν δείχνει σοβαρά δείγματα συμμόρφωσης, είναι το Δημόσιο, που κατέχει σίγουρα δεδομένα των πολιτών | shutterstock
Θέματα

Διαχειρίζεσαι προσωπικά δεδομένα; Εχεις ευθύνη

O νέος κανονισμός της Ευρωπαϊκής Ενωσης για την προστασία των προσωπικών δεδομένων προβλέπει ότι η ευθύνη για τήρηση, φύλαξη, προστασία και επεξεργασία των προσωπικών δεδομένων περνά στις επιχειρήσεις και σε όποιον διατηρεί αρχείο. Πώς το νέο πλαίσιο ανατρέπει τα ισχύοντα
Χριστίνα Ταχιάου

Σε έναν μήνα ακριβώς, στις 25 Μαΐου, θα τεθεί σε εφαρμογή ο νέος κανονισμός της Ευρωπαϊκής Ενωσης για την προστασία των προσωπικών δεδομένων των πολιτών της. Πρόκειται για μια τεράστια τομή, που σημαίνει μια επιπλέον ευθύνη για εκατομμύρια επιχειρήσεις και εξαιρετικές επαγγελματικές ευκαιρίες για κάποιους κλάδους επαγγελματιών, με σκοπό την προστασία των δεδομένων των ευρωπαίων πολιτών.

Σε πρακτικό επίπεδο, αυτό σημαίνει ότι η ευθύνη για την τήρηση, τη φύλαξη, την προστασία και την επεξεργασία των προσωπικών δεδομένων περνά στις επιχειρήσεις, καθώς και σε όποιον διατηρεί αρχείο. «Ο νέος κανονισμός κατοχυρώνει δικαιώματα για τον πολίτη και σοβαρές ευθύνες για οποιονδήποτε πάροχο ψηφιακής υπηρεσίας για τα δεδομένα που διαθέτει» εξηγεί στο protagon ο Κωστής Καγκελίδης, πρόεδρος του Συνδέσμου Εταιριών Πληροφορικής Βορείου Ελλάδος. Ο ΣΕΒΠΕ διοργάνωσε πριν από λίγες εβδομάδες μια σχετική ενημερωτική ημερίδα στη Θεσσαλονίκη, ενώ τις τελευταίες ημέρες οι εκδηλώσεις γύρω από το GDPR έχουν πολλαπλασιαστεί. «Ο κανονισμός GDPR αποτελεί μια τεράστια ευκαιρία για τις ελληνικές εταιρίες πληροφορικής αλλά και για τον νομικό κόσμο της χώρας, ώστε από κοινού να δημιουργήσουν διεθνώς εμπορεύσιμες ανταγωνιστικές υπηρεσίες. Ας μην ξεχνάμε, όμως, ότι είναι η Ευρωπαϊκή Ένωση που φέρνει πρώτη σε παγκόσμιο επίπεδο τέτοιο πλαίσιο, προστατεύοντας τον πολίτη από το να βρεθούν τα δεδομένα του σε λάθος χέρια και κατοχυρώνοντας δικαιώματα, όπως το δικαίωμα στη λήθη. Να διαγραφούν, δηλαδή, τα προσωπικά σου δεδομένα, και η διαγραφή τους να μπορεί να αποδειχθεί».

Η βασική φιλοσοφία

Ο GDPR έχει την εξής βασική φιλοσοφία: εφόσον επεξεργάζεσαι προσωπικά δεδομένα και βγάζεις χρήματα από αυτά, θα πληρώσεις. Το νέο πλαίσιο «φέρνει τα επάνω κάτω», όπως μας εξηγούν νομικοί. Ενώ από το 1997 υπήρχε με τον νόμο 2472 η υποχρέωση γνωστοποίησης τήρησης αρχείου στην Αρχή Προστασίας Προσωπικών Δεδομένων, αυτή καταργείται. Με το νέο σύστημα, η επιχείρηση ή ο επαγγελματίας ή όποιος άλλος τηρεί αρχείο και επεξεργάζεται δεδομένα, είναι υποχρεωμένος να λάβει ο ίδιος μέτρα συμμόρφωσης και να μπορεί να αποδείξει ότι τα έλαβε, όταν ελεγχθεί από τις Αρχές.

Προκειμένου να είναι σε θέση οι υπόχρεοι να συμμορφωθούν με το GDPR, απαιτείται συνεργασία τόσο με νομικούς όσο και με υπεύθυνους τεχνολογικής υποστήριξης (ΙΤ). Επιβάλλονται πρόσθετες υποχρεώσεις σε data controllers και data processors, ενώ εισάγεται ο θεσμικός ρόλος του Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer) για κάθε επιχείρηση.

Δεν πρόκειται για αστείο, ούτε για απλή υπόθεση. Ο GDPR έχει, συνολικά, 99 άρθρα και προβλέπει πολύ υψηλά πρόστιμα σε περίπτωση μη συμμόρφωσης. Το επίπεδο εφαρμογής του είναι ευρύτατο, καθώς καλύπτει κάθε επεξεργασία προσωπικών δεδομένων, αυτοματοποιημένη ή μη, τόσο στον ιδιωτικό τομέα όσο και στο Δημόσιο.

Νομικά γραφεία και εταιρίες πληροφορικής βρίσκονται σε αναβρασμό αυτήν την εποχή. Ασφαλιστικές εταιρίες, τράπεζες, φαρμακευτικές εταιρίες, κλινικές και πάροχοι τηλεπικοινωνιών έχουν ήδη προσαρμοστεί στο νέο πλαίσιο, γνωρίζοντας ότι είναι από τους πρώτους που θα ελεγχθούν. Ωστόσο, εκείνο το οποίο δεν δείχνει σοβαρά δείγματα συμμόρφωσης, είναι το Δημόσιο, που κατέχει σίγουρα δεδομένα των πολιτών. Μάλιστα, το μεγαλύτερο πρόστιμο που έχει επιβληθεί ποτέ στην Ελλάδα από την Αρχή Προστασίας Προσωπικών Δεδομένων είναι στο Δημόσιο και συγκεκριμένα στη Γενική Γραμματεία Πληροφοριακών Συστημάτων (πρώην ΚΕΠΥΟ) και αφορούσε διαρροή δεδομένων εκατομμυρίων φορολογουμένων. Ήταν ύψους 150.000 ευρώ, το υψηλότερο που μπορούσε να επιβληθεί. Πλέον, με τον GDPR τα πρόστιμα θα μπορούν να φτάσουν έως το ύψος των 20.000.000 ευρώ.

Μονόδρομος για τον επιχειρηματικό κόσμο

Η συμμόρφωση με τον GDPR είναι μονόδρομος για τον επιχειρηματικό κόσμο, ο οποίος θα πρέπει να τον ενσωματώσει στην εταιρική κουλτούρα και να τον θεσπίσει σε καλή πρακτική. Το πρώτο στάδιο συμμόρφωσης «απαιτεί την επίτευξη οργανωσιακής δέσμευσης της ανώτερης διοίκησης και των στελεχών στην εφαρμογή των αλλαγών που θα επέλθουν (GDPR Awareness). Στο δεύτερο στάδιο χρειάζεται εντοπισμός, χαρτογράφηση και καταγραφή των προσωπικών δεδομένων, που διατηρεί και επεξεργάζεται η επιχείρηση, στο τρίτο στάδιο πραγματοποιείται αξιολόγηση και εντοπισμός κενών σε σχέση με τις κανονιστικές απαιτήσεις και στο τέταρτο στάδιο γίνεται σχεδιασμός των απαραίτητων μέτρων, έτσι ώστε να επιτευχθεί συμμόρφωση με τον κανονισμό». Ετσι κωδικοποιεί τα βήματα συμμόρφωσης με τον GDPR η Γεωργία Λειβαδάρου, Γενική Διευθύντρια του Διαβαλκανικού Κέντρου Επιχειρηματικής Ανάπτυξης.
Για πρώτη φορά παγκοσμίως, έρχεται ένας υπερεθνικός Οργανισμός, η Ευρωπαϊκή Ενωση, για να εξελίξει μια πολιτική προς όφελος της ιδιωτικότητας του πολίτη και του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα. Στην εποχή όπου κάθε μας αναζήτηση στο google μετατρέπεται σε εμφάνιση ανάλογης διαφήμισης, όπου φτάνουμε να εκφράζουμε τον παράλογο ενδόμυχο φόβο ότι οι έξυπνες συσκευές διαβάζουν τη σκέψη μας, η Ευρωπαϊκή Ενωση φέρνει ένα πλαίσιο. Βεβαίως, το ζήτημα είναι τεράστιο και δεν επιλύει κάποια ζητήματα παρά μόνο σε ευρωπαϊκό επίπεδο. Είναι, όμως, μια αρχή.

Ετοιμες μόνο Γερμανία και Αυστρία

Από τους «28» της Ευρωπαϊκής Ένωσης, μόνον η Γερμανία και η Αυστρία έχουν ετοιμαστεί πλήρως για την εφαρμογή του GDPR. Τα υπόλοιπα κράτη μέλη ακόμη αναζητούν το δρόμο τους, καθώς τόσο η οδηγία όσο και συγκεκριμένες διατάξεις του κανονισμού απαιτούν την ψήφιση νόμου. Αυτονόητο, δε, είναι το γεγονός ότι είναι αδύνατον να συγχρονιστούν πλήρως οι «28», διότι υπάρχουν σοβαρές διαφορές ανάμεσά τους σε επίπεδο συστήματος Δικαίου. Για παράδειγμα, η Εσθονία έχει ένα και μόνον Δίκαιο, το οποίο δεν κάνει διάκριση σε ποινικές και διοικητικές κυρώσεις. Ο Δικαστής είναι εκείνος που θα αποφασίσει εάν θα επιβάλλει τις μεν ή τις δε. Τέτοιου είδους διαφορές σε πλαίσιο και κουλτούρα καθιστούν δύσκολη τη θέσπιση κοινών κανόνων εντός της Ευρωπαϊκής Ενωσης. Αλλά, να το επαναλάβουμε, είναι ο μόνος υπερεθνικός Οργανισμός παγκοσμίως που φέρνει νομοθεσία για να προστατεύσει τους πολίτες του. Ταυτόχρονα, τοποθετείται τόσο απέναντι στις «ανοχύρωτες» ΗΠΑ με τις «ασύδοτες» επιχειρήσεις όσο και απέναντι στην Κίνα με την απόλυτη ανοχή σε πολλών ειδών παρακολούθηση και καταγραφή της ζωής των πολιτών.