Ο Ardi Kolah είναι Εκτελεστικός Συνεργάτης και Διευθυντής του προγράμματος GDPR στο Henley Business School (Ηνωμένο Βασίλειο) και ιδρυτής του GO DPO. Υπήρξε Διευθυντής της Accenture, έχει αναγνωριστεί ως ένας από τους κορυφαίους επαγγελματίες στην προστασία δεδομένων στην Ευρώπη. Στα πλαίσια του συνεδρίου Data Privacy, είχαμε την ευκαιρία να μας μιλήσει σχετικά με την κατάσταση που επικρατεί στον απόηχο της εφαρμογής του GDPR.

    NW:
    Ποιο πιστεύετε πως είναι το μέλλον του surveillance capitalism;

Ardi Kolah: Πιστεύω πως το θέμα της δημιουργίας προφίλ ιδιωτών και ακολούθως της συνεχής προσθήκης δεδομένων των ατόμων χωρίς αυτά να το γνωρίζουν, καθώς και η πώληση τους στη συνέχεια σε τρίτους δεν προβλέπεται να σταματήσει σύντομα. Επειδή, για την ακρίβεια, πρόκειται για ένα επιχειρηματικό μοντέλο που κινεί το internet. Δεν είναι αυτό το θέμα εδώ. Το θέμα είναι πως πολλοί οργανισμοί (και μπορούμε να σκεφτούμε πολλούς που να ταιριάζουν σε αυτή την περιγραφή, όπως το facebook, το google, το instagram, το twitter, το snapchat και πολλά από τα νέα apps) έχουν όλοι το ίδιο επιχειρηματικό μοντέλο. Οπότε πιστεύω πως δεν είναι ρεαλιστικό να φανταζόμαστε πως θα σταματήσει άμεσα. Αλλά αυτό που θα γίνει είναι πως θα υπάρξει ένα φώς. Το GDPR θα φωτίσει αυτές τις πρακτικές. Έτσι τελικά οι δράσεις των νομοθετών θα καθορίσουν την εφαρμογή του νόμου, όπως επίσης και την εξασφάλιση της σωστής εφαρμογής σε όλα τα 28 κράτη μέλη της Ευρωπαϊκής ένωσης.

Έχουμε ήδη δει τον Max Schrems με τον δικό του νέο οργανισμό που ονομάζεται “My Privacy is none of your Business” noyb.eu. όπου εκεί θεωρητικά μπορείτε να αναλάβετε δράση εναντίον του surveillance capitalism και όντως έχουν γίνει μηνύσεις ενάντια του facebook καθώς και άλλων οργανισμών και νομίζω οι αποζημιώσεις κυμαίνονται στις τάξεις των δισεκατομμυρίων. Θα είναι πολύ ενδιαφέρον να δούμε τι θα κάνουν οι νομοθέτες ώστε να υπάρξει συμμόρφωση με την καινούργια κατάσταση. Επίσης θα έχει πολύ ενδιαφέρον να δούμε τι θα κάνουν τα δικαστήρια σε σχέση με τις καινούργιες νομικές δράσεις.

    Πως μπορούν οι επιχειρήσεις να αναπρογραμματίσουν τη σκέψη τους, να χτίσουν εμπιστοσύνη και τελικά να εφαρμόσουν τους κανονισμούς του GDPR ως μια ευκαιρία για εξέλιξη;

Το πρώτο πράγμα που πρέπει να ειπωθεί είναι πως από πολλές απόψεις το GDPR δεν είναι καινούργιο. Το GDPR αποτελεί μια κωδικοποίηση των καλύτερων πρακτικών που υπάρχουν εδώ και 20 χρόνια. Για παράδειγμα το data protection by design και by default είναι κάτι που πολλοί από τους αναγνώστες θα αναγνωρίσουν. Στο παρελθόν καλούνταν by design και υπάρχει εδώ και πολλά χρόνια. Για την ακρίβεια η Dr Ann Cavoukian, η οποία είναι privacy professional και ήταν πρώην information commissioner στο Ontario, αυτή το επινόησε, συγκεκριμένα είχε γράψει ένα άρθρο για το περιοδικό μας, ένα περιοδικό για το professional privacy σε αυτούς τους χώρους. Υπάρχει τουλάχιστον 20 χρόνια. Οι αλλαγές είναι πλέον ενσωματωμένες στο GDPR.

Ουσιαστικά το κεντρικό θέμα είναι να διασφαλίσουμε πως το data protection είναι “ψημένο” μέσα στο προϊόν ή την υπηρεσία. Και αυτό είναι ιδιαίτερα σημαντικό επειδή όλο και περισσότερα προϊόντα ή υπηρεσίες παρουσιάζουν προβλήματα με τα δεδομένα των χρηστών, είτε επειδή τα δεδομένα διέρρευσαν, είτε επειδή δεν ήταν ιδιαίτερα προστατευμένα, είτε ο κωδικός ήταν δυνητικά αδύναμος. Όλα αυτά μπορούν να οδηγήσουν σε προβλήματα για τον χρήστη. Οπότε η ουσιαστικότερη πράξη που καλείστε να κάνετε είναι να αναλογιστείτε τα δικαιώματα, τις ελευθερίες, τα ενδιαφέροντα του πελάτη σας. Και να σιγουρευτείτε πως αποτελούν το επίκεντρο του τρόπου σκέψης σας, καθώς και της επικοινωνίας σας μαζί του. Να μπορείτε να τον υποστηρίξετε. Να ενσωματώσετε τις αρχές της προστασίας by design and by default, να τις εφαρμόσετε έμπρακτα ως χαρακτηριστικό της επιχείρησης σας. Οπότε από πολλές απόψεις είναι λιγότερο θέμα συμμόρφωσης με τους κανονισμούς και περισσότερο θέμα φήμης. Έχει να κάνει με τον τρόπο εδραίωσης μιας φήμης, που πρεσβεύει πως εφαρμόζετε αυτούς τους κανονισμούς με έναν τρόπο που είναι ουσιαστικός για την μερίδα των πελατών σας. Οπότε πιστεύω πως υπάρχει μια ευκαιρία εκεί. Γιατί αν τα κάνετε αυτά, αν είσαστε διαυγείς για το πώς τα κάνετε, πλήρως υπεύθυνοι σχετικά με το τι κάνετε και επίσης αναγνωρίζετε πως ο έλεγχος των προσωπικών δεδομένων βρίσκεται στα χέρια των πελατών σας, όπως και των υπάλληλων σας όταν τίθεται το θέμα της διαχείρισης των προσωπικών τους δεδομένων, τότε πιστεύω πως η πλήρης αφήγηση του τι κάνετε, πως το κάνετε και γιατί το κάνετε, το οποίο είναι και ιδιαίτερα σημαντικό, μπορεί να αλλάξει και μπορεί να αλλάξει πολύ δυναμικά. Μια αδυναμία μεταξύ των οργανισμών είναι πως αντιγράφουν ο ένας τον άλλον. Προσωπικά το ονομάζω karaoke marketing. Και τελικά όλοι ηχούν το ίδιο. Αλλά έτσι μπορείτε πραγματικά να έχετε ένα σημείο διαφοροποίησης, όχι μόνο στο πως παραδίδετε τα προϊόντα ή τις υπηρεσίες σας ή στο πως δημιουργούνται. Χρησιμοποιήστε το στοιχείο διαφοροποίησης σας στην αγορά που κινείστε.


    Πως ξέρουμε αν μια επιχείρηση χρειάζεται DPO ή όχι;

Η ερώτηση σχετικά με το αν πρέπει να οριστεί ένας DPO εμφανίζεται στην κορυφή της λίστας των δράσεων που πρέπει να σκεφτείτε να λάβετε και αυτό δεν είναι κάτι κακό. Είναι γεγονός πως αν είχατε DPO θα είχατε ήδη καλύψει τη μισή διαδρομή στο να δείξετε υπευθυνότητα, επειδή ο ρόλος του DPO είναι τόσο κεντρικός στους μεγάλους οργανισμούς που επεξεργάζονται πλήθος από προσωπικά δεδομένα. Θα ήταν τρελό να μην είχαν έναν DPO. Όποιος συνεργάζεται μαζί τους, τους επιλέγει λόγω της ιδιότητας τους ως data controller ή data processer, αν μιλάμε για τέτοιο οργανισμό, οπότε μάλλον χρειάζεται να προσλάβουν έναν DPO. Αν είναι ένας οργανισμός που επεξεργάζεται δεδομένα τότε αυτή είναι η βασική τους αρμοδιότητα, η επεξεργασία προσωπικών δεδομένων, οπότε πρέπει να δώσουν στον πελάτη τη σιγουριά πως γνωρίζουν τι κάνουν. Συνεπώς αν δεν είχαν έναν DPO τότε θα ανέκυπταν αμέσως κάποια ερωτηματικά σχετικά με το αν ξέρουν όντως τι κάνουν, επειδή δεν έχουν κάποιον που να είναι ανεξάρτητος μέσα στην επιχείρηση, κάποιον που είναι εκεί πρωτίστως για να εξασφαλίσει πως καμία βλάβη η ζημιά δεν θα προκληθεί λόγω των δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων.

Η συμβουλή μας είναι πως αν σκοπεύετε να προσλάβετε data processer που δεν έχουν DPO, τότε μην τους χρησιμοποιήσετε. Επειδή σύμφωνα με τον κανονισμό αυτή η εταιρία θα δρα ως ο processor σας, θα επεξεργάζεται προσωπικά δεδομένα εκ μέρους σας, τα οποία μπορεί να είναι τον πελατών σας, των υπαλλήλων σας, μπορεί ακόμα και να αναλάβουν τις προσλήψεις ή να είναι μια πλατφόρμα πρόσληψης ανθρώπων για την επιχείρηση σας. Αν δεν έχουν DPO τότε σε ποιον θα μπορέσετε να παραπονεθείτε εντός του οργανισμού; Ποιος είναι πραγματικά υπεύθυνος για να εξασφαλίσει πως κινούνται σύμφωνα με τους κανονισμούς του GDPR;

Επίσης όμως, σύμφωνα με το GDPR έχουν την υποχρέωση να υποστηρίζουν εσάς τον πελάτη, το αφεντικό, την επιχείρηση που τους χρησιμοποιεί, για να επιβεβαιώσουν πως και εσείς επίσης ακολουθείτε το GDPR. Αυτό για την ακρίβεια είναι αποτυπωμένο στο GDPR, οπότε η έλλειψη ενός DPO σε αυτή την περίπτωση είναι αρκετά επιβλαβής. Ειδικά αν είσαστε μια επιχείρηση που επεξεργάζεται προσωπικά δεδομένα σε μεγάλη κλίμακα τότε πρέπει να έχετε ένα DPO και αν δεν έχετε, τότε πρέπει να έχετε πολύ συγκεκριμένους λόγους για τους οποίους δεν έχετε προσλάβει DPO. Θα πρέπει να καταγράψετε αυτούς τους λόγους, γιατί αν γίνει κάποια παραβίαση των δεδομένων τότε η επιβλέπουσα αρχή, ανεξάρτητα από το που θα συμβεί αυτό εντός της Ευρωπαϊκής Ένωσης, θα προσπαθήσει άμεσα να βρει τον άνθρωπο με τον οποίο πρέπει να μιλήσει. Και αν δεν έχετε έναν DPO αυτό μπορεί να αποτελέσει πρόβλημα.

Το δεύτερο θέμα είναι πως αν είστε μια δημόσια αρχή ή ένας μεγάλος οργανισμός, τότε υποχρεούστε να ορίσετε έναν DPO. Γιατί θα επεξεργάζεστε δεδομένα τα οποία είναι υψηλού ή πολύ υψηλού ρίσκου. Αυτή είναι μια ειδική κατηγορία προσωπικών δεδομένων. Μπορεί αν είναι βιομετρικά, υγείας ή τέτοιου είδους πληροφορίες. Μπορεί ακόμα να είναι κάτι όπως θρησκευτικά πιστεύω, σεξουαλικότητα ή ακόμη και πολιτικές πεποιθήσεις. Όλα αυτά ονομάζονται ευαίσθητα προσωπικά δεδομένα. Αν τα διαχειρίζεστε, τότε έχετε την υποχρέωση να εξασφαλίσετε ένα DPO επειδή είναι πολύ σημαντικό να σας βοηθήσει να συμπορεύεστε με τους κανονισμούς. Άρα η υπευθυνότητα παίζει κομβικό ρόλο και πάνω σε αυτά τα τρία θέματα θα εστιάσουν οι αρχές όταν εξετάσουν τη συμμόρφωση στο GDPR.

Το τρίτο θέμα που εξετάζουν είναι η τήρηση των κανονισμών. Κανονισμών όπως τα ISO standards, παγκόσμια πρότυπα, οργανωτικά πρότυπα όπως το ISO 27011 που είναι πρότυπο ασφαλείας. Και ίσως και πιο καινούργια από αυτά όπως το BS 10012:2017, που πρόκειται για ένα καινούργιο πρότυπο που δημιουργήθηκε στην αυγή του GDPR. Πρόκειται για ένα παγκόσμιο σύστημα προσωπικών πληροφοριών που οι μεγάλοι οργανισμοί τείνουν να υιοθετούν ως ένα μέσο για να επιτύχουν τη συμμόρφωση με τους κανονισμούς.