Στις 28 Ιανουαρίου 1981 υπογράφτηκε στο Στρασβούργο η Σύμβαση 108 για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων. Κάθε χρόνο την ημέρα αυτή - από το 2007 όταν καθιερώθηκε από το Συμβούλιο Υπουργών της Ευρώπης - διοργανώνονται σε όλες τις ευρωπαϊκές χώρες εκδηλώσεις για να τονίσουν τη σημασία της. Φέτος, ο συμβολικός χαρακτήρας αυτής της ημέρας είναι περισσότερο επίκαιρος από ποτέ, καθώς σηματοδοτεί την πάροδο οκτώ μηνών μετά την έναρξη ισχύος του GDPR, δίνοντας την αφορμή να διερευνήσουμε τι έχει γίνει έως τώρα, πώς έχει ανταποκριθεί η ελληνική και ευρωπαϊκή αγορά στην εφαρμογή του ευρωπαϊκού κανονισμού και τι εξελίξεις αναμένεται να έχουμε μέσα στο 2019.

Η προστασία των προσωπικών δεδομένων είναι ένα διαχρονικό θέμα για την Ευρωπαϊκή Ένωση, όπως καταδεικνύει η ρύθμιση – άρθρο 8 – στο χάρτη θεμελιωδών ελευθεριών της ΕΕ (όπως περιγράφεται στο κείμενο των συνθηκών της). Σε αυτό το άρθρο προβλέπεται ρητά ότι ο έλεγχος δεδομένων προσωπικού χαρακτήρα ανατίθεται στις ανεξάρτητες αρχές (σύμφωνα με τη κοινοτική οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου). Σημειώνεται, δε, ότι υπήρχε, προ GDPR, σχετική ευρωπαϊκή νομοθεσία (νόμος 2472) από το 1997. «Αυτό, ωστόσο, που οδήγησε την Ευρωπαϊκή Επιτροπή στο σχεδιασμό και ψήφιση του GDPR ήταν ότι αν και είχαμε μια οδηγία, την 95/46/ΕΚ, η οποία εξασφάλιζε ένα υψηλό βαθμό προστασίας στην ΕΕ, δεν είχε πετύχει να αποφύγει τον κατακερματισμό προστασίας των δεδομένων, γιατί ακριβώς στο πλαίσιο ενσωμάτωσης της οδηγίας κάθε κράτος μέλος λειτουργούσε διαφορετικά» επισημαίνει ο Δημήτρης Ζωγραφόπουλος, νυν DPO στο Υπουργείο Υγείας, με πολυετή εμπειρία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και συμμετοχή στην ομάδα σχεδιασμού του GDPR.

«Όταν η ΕΕ δημιούργησε το προσχέδιο για το GDPR είχε θέσει ως στόχο να κατακυρώσει μια συνεκτική υψηλή προστασία των προσωπικών δεδομένων, ομοιόμορφη σε όλη την Ευρωπαϊκή Ένωση» συμπληρώνει. Πρακτικά, όπως αναφέρει ο Δ. Ζωγραφόπουλος, δεν θα έχουμε ποτέ μια ομοιόμορφη προστασία σε όλη την ΕΕ. Καταρχάς, για το GDPR είναι ένας νόμος πλαίσιο που θέτει γενικές αρχές – οι οποίες θα πρέπει να ισχύουν άμεσα και αναγκαστικά – αλλά επιτρέπει σε πλήθος διατάξεων την έκδοση δευτερογενών πράξεων (είτε από την Ευρωπαϊκή Επιτροπή, είτε από το Συμβούλιο της Ευρωπαϊκής Ένωσης, είτε από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων που δημιουργήθηκε με το GDPR, είτε από τα κράτη μέλη). Άρα θα υπάρχουν κάποιες αποκλίσεις από κράτος σε κράτος και αυτό είναι δεδομένο. «Αυτές οι αποκλίσεις, ωστόσο, θα είναι λιγότερο σημαντικές, από αυτές που υπήρχαν πριν τη θέσπιση του κανονισμού» .

Ψήφιση εκτελεστικού νόμου: Ένας χρόνος χαμένος…
Ο GDPR ισχύει μεν από τις 28 Μαΐου, 2018 αλλά απαιτείται η ενσωμάτωσή του στις εθνικές νομοθεσίες των κρατών μελών. Δυστυχώς, η Ελλάδα είναι ανάμεσα στις τρεις τελευταίες χώρες της ΕΕ που δεν έχει ακόμη ψηφίσει τον εκτελεστικό νόμο του GDPR. Η νομοπαρασκευαστική επιτροπή, υπό την προεδρία της Λίλιαν. Μήτρου, είχε παραδώσει πριν από έναν χρόνο το σχετικό σχέδιο νόμου στον αρμόδιο Υπουργό. Μετά δε την ολοκλήρωση της διαβούλευσης, υπέβαλε αναδιαμορφωμένη μορφή του σχεδίου με βάση τις παρατηρήσεις που προέκυψαν από τη διαβούλευση. Έκτοτε δεν υπήρξαν νεώτερα περί της τύχης του νομοσχεδίου μέχρι το τέλος του περασμένου Νοεμβρίου οπότε με πρωτοβουλία του νέου Υπουργού Δικαιοσύνης επανασυστάθηκε η νομοπαρασκευαστική επιτροπή με την προσθήκη και νέων μελών. Αρχές Ιανουαρίου η Λ. Μήτρου υπέβαλε την παραίτησή της και η νέα επιτροπή, υπό την προεδρία του Εφέτη κ. Φιλόπουλου (Δ.Ν.), έχει προθεσμία να παραδώσει νέο σχέδιο έως το τέλος Φεβρουαρίου 2019.

«Δυστυχώς, καταγράφουμε έναν πλήρη χρόνο χαμένο. Ας ελπίσουμε ότι το νομοθέτημα που θα εκπονηθεί θα προσφέρει ένα ικανοποιητικό και λειτουργικό πλαίσιο για την επεξεργασία και προστασία προσωπικών δεδομένων στον δημόσιο και ιδιωτικό τομέα» δηλώνει η Λ. Μήτρου, η οποία αποδίδει αυτή την καθυστέρηση σε «διαφορές προσεγγίσεων σε ορισμένα θέματα», όπως, για παράδειγμα, «σε παρεμβάσεις από συμβούλους του Υπουργείου Δικαιοσύνης που πρότειναν την εξαίρεση του δημόσιου τομέα από τα πρόστιμα» (κάτι που αν ίσχυε θα αντιτίθετο στις βασικές αρχές του GDPR και θα προκαλούσε την αντίδραση της ΕΕ). Όπως επισημαίνει η Λ. Μήτρου, «Ο Κανονισμός, παρά τη νομική φύση του, χρήζει συμπλήρωσης από το εθνικό δίκαιο σε αρκετά σημεία, ώστε να αναπτύξει την πλήρη κανονιστική εμβέλεια και δυναμική του. Η υιοθέτηση εθνικών ρυθμίσεων είναι αναγκαία και για τη διασφάλιση επαρκούς και συνεκτικής προστασίας σε πεδία, όπως η επεξεργασία και προστασία προσωπικών δεδομένων των εργαζομένων. Περαιτέρω η έλλειψη εθνικής νομοθεσίας προκαλεί ανασφάλεια δικαίου σε σχέση με την έκταση εφαρμογής του ν. 2472/97, του εθνικού νόμου για την προστασία δεδομένων, καθώς ναι μεν οι περισσότερες ρυθμίσεις του έχουν αντικατασταθεί από τις αντίστοιχες του Κανονισμού αλλά δεν έχει, βέβαια, καταργηθεί και κατά ένα μέρος του εξακολουθεί να ισχύει. Είναι προφανές ότι ιδιώτες, επιχειρήσεις αλλά και ο δημόσιος τομέας χρειάζονται σαφήνεια και ασφάλεια ως προς το σύνολο και το περιεχόμενο των κανόνων που πρέπει να εφαρμόσουν. Για να το πω πιο συγκεκριμένα, ελλείψει εθνικής νομοθεσίας καμία «συμμόρφωση» δεν νοείται ολοκληρωμένη».

Ο δικηγόρος Φίλιππος Μίτλεττον, τέως προϊστάμενος του τμήματος Ελεγκτών ΑΠΔΠΧ και μέλος για σύντομο διάστημα της νομοπαρασκευαστικής, δίνει μια περαιτέρω πτυχή: «Ως γνωστόν ένας Κανονισμός είναι άμεσα εφαρμόσιμος στην έννομη τάξη των κρατών-μελών και δεν απαιτείται να ενσωματωθεί με νόμο. Η ιδιαιτερότητα του συγκεκριμένου Κανονισμού (GDPR) έγκειται στο ότι περιλαμβάνει έναν ικανό αριθμό διατάξεων που επιτρέπουν στον εθνικό νομοθέτη να υιοθετεί λιγότερο ή περισσότερο περιοριστικές ρυθμίσεις για ορισμένα ζητήματα (πχ την ηλικία συγκατάθεσης των παιδιών για τη συμμετοχή σε υπηρεσίες της κοινωνίας της πληροφορίας). Για τη ρύθμιση αυτών και μόνο των ζητημάτων είναι σημαντική η ψήφιση του σχετικού νόμου. Ο GDPR εφαρμόζεται κατά τα λοιπά κανονικά από τις 25-5-2018 και δεν υπάρχει καμία δικαιολογία για τους υπεύθυνους επεξεργασίας οι οποίοι οφείλουν να επεξεργάζονται τα προσωπικά δεδομένα σύμφωνα με τις αρχές του GDPR και να είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους βάσει της αρχής της λογοδοσίας. Αυτό το τονίζω ιδιαίτερα σε σχέση με το Δημόσιο οι υπηρεσίες του οποίου όφειλαν, για παράδειγμα, να ορίσουν DPO ήδη από τις 25-5-2018».

Όσον αφορά τις αρμοδιότητες της Αρχής Προστασίας Δεδομένων, αυτές ασκούνται κανονικά, χωρίς να απαιτείται ο εφαρμοστικός νόμος. Τούτο προκύπτει και από την αρχή της συνέχειας της διοικητικής δράσης. Η Αρχή Προστασίας Δεδομένων έχει συσταθεί νομίμως από το 1997 και ο GDPR, ο οποίος προβλέπει ρητά τις αρμοδιότητές της, ισχύει κανονικά. «Οι διατάξεις του αναμενόμενου νόμου θα αφορούν ειδικότερα ζητήματα συγκρότησης και λειτουργίας και όχι την ουσία των αρμοδιοτήτων της και της άσκησής τους. Εξάλλου η Αρχή έχει ήδη εκδώσει τις πρώτες αποφάσεις της με βάση τις διατάξεις του GDPR, αλλά και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) ασκεί κανονικά τις εργασίες του με τη συμμετοχή του συνόλου των εποπτικών αρχών των κρατών-μελών, χωρίς να θέτει ως προαπαιτούμενο την ψήφιση του σχετικού νόμου από αυτά» συμπληρώνει ο Φ. Μίτλεττον.


Πρόστιμα
Το GDPR προβλέπει υψηλά πρόστιμα, κάτι που αποτελούσε εξαρχής επιλογή της ΕΕ, ώστε να δρουν αποτρεπτικά για τους επίδοξους παραβάτες και δη για μεγάλες πολυεθνικές (Facebook, Google κ.λπ.) Πρόστιμα, ωστόσο, υπήρχαν και πριν την εφαρμογή του GDPR. Κι εδώ έχει σημασία το πώς εφαρμόζεται ο νόμος. Ο 2472 επέτρεπε την επιβολή προστίμου κατά ανώτατο όριο 150.000 ευρώ για κάθε παραβίαση. Όταν διαπιστώνονταν πολλές παραβιάσεις, θεωρητικά, θα μπορούσαμε και με το παλιό καθεστώς να φθάσουμε άνετα σε πρόστιμα έως το ένα εκατ. ευρώ. Αλλά, η ΑΠΔΠΧ για να αποφύγει κριτικές και αιτήσεις ακυρώσεων επέβαλε 150.000 ευρώ κατά ανώτατο όριο κατά συγχώνευση και, κατά κάποιο τρόπο, λογόκρινε τον εαυτό της.

Οι αλλαγές που φέρνει ο νέος νόμος είναι ότι μπορεί να επιβάλει πολύ μεγαλύτερα πρόστιμα, αλλά με σταδιακή κλιμάκωση, αντιμετωπίζοντας εν γένει διαφορετικά μια πολυεθνική από μια μικρομεσαία επιχείρηση. «Ένα από τα κριτήρια που εφαρμόζαμε πάντα για την επιβολή προστίμων ήταν το μητρώο του υπευθύνου επεξεργασίας δεδομένων. Με το που ήρθε ο νέος κανονισμός δεν υπήρξε μια μορφή αμνηστίας, άρα κάποιος οργανισμός που παραβίαζε συστηματικά την προστασία δεδομένων προσωπικού χαρακτήρα πριν την εφαρμογή του GDPR, μετά την εφαρμογή του κανονισμού θα κρίνεται αυστηρότερα από κάποιο άλλο οργανισμό που έχει καθαρό μητρώο» αναφέρει ο Δ. Ζωγραφόπουλος. «Είναι λογικό, λοιπόν, να συνεχίσει να υπάρχει αυτή η εξατομίκευση στην επιβολή της κύρωσης» συμπληρώνει.

Αυτή αποτελεί τη μία πτυχή. Η άλλη έχει να κάνει με το πώς θα επιβάλλονται τα πρόστιμα ανάλογα με τα μέτρα που έχει εφαρμόσει μια εταιρεία για τη συμμόρφωσή της με τον κανονισμό. Ο Μιχάλης Μωραϊτης, CIO της Nissan – Νικ. Ι. Θεοχαράκης ΑΕ και μέλος ΔΣ του EuroCIO Forum απαντώντας σε ερώτηση αναφέρει επ’ αυτού: «Οι ελεγκτικές αρχές θεωρώ ότι θα είναι ελαστικές στο θέμα εφαρμογής των μέτρων. Όσες εταιρείες δεν έχουν κάνει τίποτα σίγουρα θα αντιμετωπιστούν πολύ αυστηρά, ενώ εκείνες οι εταιρείες που έχουν λάβει μια σειρά από μέτρα, ακόμα και αν δεν τα έχουν εφαρμόσει όλα, δεν θα έχουν πρόβλημα. Θα υπάρχει μεγάλη ανοχή από τις ελεγκτικές αρχές αν έχουν γίνει βήματα και μια εταιρεία δείξει πρόθεση συνεργασίας και λογική».

Μέτρα, γκρίζες ζώνες και δυσλειτουργίες
«Για κάποιον που έχει πραγματική γνώση του δικαίου προστασίας των δεδομένων, ο GDPR είναι δεν είναι τόσο αυστηρός όσο φαίνεται» τονίζει ο Δ. Ζωγραφόπουλος. «Μερικές φορές ακούγεται η άποψη ότι ο GDPR επιβάλει με αυστηρό τρόπο πράγματα, ενώ ουσιαστικά αυτό που πάσχει είναι η ανάγνωσή του ή η ερμηνεία που κάνουμε στις διατάξεις του» συμπληρώνει. Και τι σημαίνει αυτό; Όχι βέβαια να κάνει ο καθένας ότι θέλει, αλλά η ελαστικότητα στην ερμηνευτική προσέγγιση σημαίνει ουσιαστικά αναλογικότητα, ήτοι να βρεις ποιο είναι το πιο κατάλληλο και πρόσφορο μέτρο για κάθε περίσταση. «Κάποιος ο οποίος διαβάζει τον κανονισμό και δεν έχει ουσιαστική γνώση, μπορεί να πει ότι το GDPR επιβάλει την κρυπτογράφηση. Ωστόσο, η κρυπτογράφηση είναι μια βέλτιστη πρακτική, και όχι μια λογική που επιβάλει ο κανονισμός οπωσδήποτε». Ένα ακόμα παράδειγμα: Ο νόμος δεν καθορίζει, για παράδειγμα, πιο λειτουργικό σύστημα πρέπει να χρησιμοποιεί μια εταιρεία, ωστόσο, απορρίπτει βάσει της ερμηνείας του, τη χρήση ενός λειτουργικού, όπως τα Windows XP, τα οποία έχουν σταματήσει να υποστηρίζονται εδώ και καιρό από την Microsoft κι είναι εξαιρετικά ευάλωτα σε επιθέσεις. Πόσο ξεκάθαρος, ωστόσο, είναι ο ευρωπαϊκός κανονισμός; Υπάρχουν ασάφειες στη διατύπωσή του και πώς τις διαχειρίζεται κανείς αυτές; «Θεωρώ ότι δεν υπάρχουν γκρίζες ζώνες στο GDPR, αλλά αυτό που λέμε στο δίκαιο επιχείρηση νομικού χαρακτηρισμού. Κάτι είτε είναι νόμιμο είτε παράνομο, άρα παίρνεις θέση, η οποία πρέπει να είναι αιτιολογημένη με κάποια κριτήρια και οφείλει να είναι και σθεναρή» επισημαίνει ο Δ. Ζωγραφόπουλος και συνεχίζει: «Αν υπάρχει κάτι λάθος μπορεί να αλλάξει, όπως αλλάζει και η νομολογία των δικαστηρίων σε βάθος χρόνου, υιοθετώντας μια διαφορετική προσέγγιση. Στο πλαίσιο αυτό και ο GDPR αλλάζει». Σημασία, στην προκειμένη περίπτωση έχει η ερμηνευτική προσέγγιση: «Εξετάζοντας τους κανόνες που επιβάλει ο γενικός κανονισμός, ουσιαστικά επιλέγουμε εκείνη την ερμηνεία που είναι η πιο ‘αυστηρή’, αυτή που διασφαλίζει ουσιωδώς την προστασία του δικαιώματος σε κάθε συγκεκριμένη περίσταση. Δεν υπάρχει, λοιπόν, γκρίζα ζώνη, αλλά μια επιλογή ερμηνευτικής προσέγγισης διατάξεων. Και όταν έχεις μια νομοθεσία η οποία είναι προστατευτική είσαι υποχρεωμένος να σεβαστείς το χαρακτήρα της».

Αν μπει κανείς στη λογική της ασάφειας, αυτό σημαίνει πρακτικά ότι υπάρχουν περισσότερες ερμηνευτικές λογικές. Αυτό, ωστόσο, δεν είναι χαρακτηριστικό μόνο του GDPR, αλλά όλων εν γένει των νομικών κειμένων, τα οποία επιτρέπουν ή επιδέχονται πολλές φορές περισσότερες ερμηνείες.

Πόσες φορές άλλωστε, δεν έχουν βγει στα παράθυρα συνταγματολόγοι που προσπάθησαν να εξηγήσουν τι λέει το σύνταγμα, ο κανονισμός της βουλής κ.λπ. «Η κατάλληλη ερμηνεία σημαίνει να δεις και ποια είναι η πλέον προστατευτική για τα υποκείμενα των δεδομένων» επισημαίνει ο Δ. Ζωγραφόπουλος.

Υπάρχουν, διατάξεις, που χρειάζεται να επανεξεταστούν; Σύμφωνα με τον Μ. Μωραϊτη, «στην Ευρωπαϊκή Ένωση προσπαθούν να διαχειριστούν διάφορες δυσλειτουργίες για τις οποίες δεν έχουν βρεθεί οι σωστές λύσεις. Ένα από τα θέματα που συζητήθηκε το τελευταίο διάστημα στις Βρυξέλες ήταν το θέμα της απαλοιφής των στοιχείων χρηστών από τα χιλιάδες backup που μπορεί να περιέχεται. Υπάρχουν τεχνικές που μπορείς να το κάνεις αυτό, αλλά είναι πανάκριβες…». Γι’ αυτό το σκοπό έχουν δημιουργηθεί ομάδες, οι οποίες κάνουν κρούσεις στην ΕΕ που ζητάνε την αναθεώρηση άρθρων που δεν είναι λειτουργικά. «Η Ευρώπη κατάλαβε ότι αυτοί που έγραψαν το νόμο υπερβάλανε σε κάποια σημεία. Και εμείς ως εθνικά σχήματα, αλλά και οι μεγάλες εταιρείες που έχουν έννομο συμφέρον, όπως και η αγορά από μόνη της θα διορθώσουν τις στρεβλώσεις…» συμπληρώνει.


Τι έχει γίνει έως τώρα και τι μέλλει γενέσθαι
Μέχρι το τέλος του 2018 ήταν μια περίοδος προσαρμογής. Πολλά ζητήματα δεν είχαν ακόμη ξεκαθαριστεί σε σχέση με την εφαρμογή του GDPR και τις υποχρεώσεις των υπεύθυνων επεξεργασίας (πότε, για παράδειγμα, απαιτείται DPIA και πότε όχι). Μεγάλος αριθμός επιχειρήσεων είχαν ήδη απευθυνθεί σε ειδικούς αναφορικά με τη συμμόρφωσή τους ήδη πολύ καιρό πριν τη θέση σε ισχύ του GDPR, σε πολλές περιπτώσεις όμως οι διαδικασίες αποδείχθηκαν πολύ περισσότερο χρονοβόρες απ’ ό,τι είχε αρχικά υπολογιστεί. «Η προσωπική μου εντύπωση είναι ότι έχει γίνει σοβαρή δουλειά, υπάρχει πλέον συνείδηση του πράγματος, οι επιχειρήσεις δίνουν πολύ περισσότερη σημασία κατά την τρέχουσα λειτουργία τους σε θέματα προσωπικών δεδομένων, αλλά απομένουν πολλά να γίνουν ακόμη για να πούμε ότι έχουμε κατακτήσει αυτό που λέμε ‘κουλτούρα ιδιωτικότητας’. Αυτά ισχύουν βεβαίως για τον ιδιωτικό τομέα, γιατί, όσο είμαι σε θέση να γνωρίζω, ο δημόσιος τομέας, πλην ελαχίστων εξαιρέσεων, είναι πάρα πολύ πίσω. Ο ρόλος των DPO είναι εδώ καθοριστικός» σημειώνει ο Φ. Μίτλεττον.

Την εικόνα αγοράς από το Μάιο μέχρι σήμερα δίνει ο Γιάννης Παυλίδης, Presales & Technical Support Manager της ESET: « Από το Μάιο έως και Ιούλιο υπήρχε μεγάλη κινητικότητα, αλλά από το Αύγουστο σημαντική πτώση. Μόλις τον Οκτώβριο-Νοέμβριο ξεκίνησαν σιγά-σιγά πάλι τα GDPR projects (είτε τεχνολογικές λύσεις σχετικές με GDPR, είτε συμβουλές, είτε υπηρεσίες υλοποιήσεων, είτε trainings). Αυτό δεν αφορά τις μεγάλες επιχειρήσεις, οι οποίες συνεχίζουν τα projects τους, αλλά κυρίως τις μικρές εταιρείες, οι οποίες φαίνεται ότι έχουν στρέψει τώρα αλλού την εστίασή τους…Αυτό που περιμένουμε είναι να γίνει κάτι – όπως είναι η επικείμενη καμπάνια για το e-privacy για παράδειγμα – ώστε να αναθερμανθεί πάλι το ενδιαφέρον για τον ευρωπαϊκό κανονισμό…».

Σύμφωνα με τον Γιώργο Εμμανουήλ, Compliance Manager, GDPR Expert, μόνιμο μέλος στην ομάδα εργασίας του ΣΕΒ «Προστασία Προσωπικών Δεδομένων» και CDPO στην Β. ΚΑΥΚΑΣ ΑΕ «Η πλειοψηφία των Υ.Ε. (Υπευθύνων Επεξεργασίας) δεν υιοθετεί τις αρχές «Data protection by design and by default» στη συνολική σχεδίαση και δεν είναι λίγες οι φορές που απουσιάζει η οργανωσιακή δέσμευση της ανώτερης διοίκησης στην εφαρμογή και τη σημασία των αλλαγών (GDPR Awareness). Αλλά, ακόμα και όταν

ένας οργανισμός επιχειρεί να συμμορφωθεί με τις απαιτήσεις του GDPR, πολλές φορές γίνεται πρόχειρα και με ελλιπή καταγραφή/χαρτογράφηση των δεδομένων επεξεργασίας, λανθασμένη gap analysis, αποσπασματική ενημέρωση του προσωπικού του με αποτέλεσμα να οδηγείται σε μη ορθά συμπεράσματα και να παραμένει έκθετος παρά τις όποιες φιλότιμες προσπάθειες γίνονται. Άλλες φορές, «εντέχνως» οι χρήστες μπορούν να «καθοδηγούνται» στις όχι και πλέον φιλικές προς την ιδιωτικότητα επιλογές. Παρόλο αυτά, γίνονται σημαντικές προσπάθειες από την ΑΠΔΠΧ και άλλους οργανισμούς, οι οποίοι δίνουν χρήσιμες οδηγίες και εργαλεία συμμόρφωσης».

Την παγκόσμια διάσταση του ζητήματος προστασίας των δεδομένων θίγει από την άλλη, ο Γιώργος Μαλλικούρτης, Υποδιευθυντής στη Διεύθυνση Κυβερνοασφάλειας και Ασφαλείας Πληροφοριών της Alpha Bank και πρόεδρος (co-chair) στο ελληνικό παράρτημα του IAPP: «το 2018 ήταν το έτος που δόθηκε παγκοσμίως ιδιαίτερη σημασία στην αξία της ιδιωτικότητας και κατά συνέπεια της προστασίας των δεδομένων προσωπικού χαρακτήρα. Όχι μόνο λόγω της εφαρμογής του GDPR, αλλά και άλλων αντίστοιχων νόμων παγκοσμίως, όπως ο Consumer Privacy Law στην Καλιφόρνια και η αναθεώρηση μέσω σημαντικών προσθηκών του Personal Information Protection and Electronic Documents Act του Καναδά».

«Όσον αφορά τη συνολική εικόνα της αγοράς, όπως αυτή φαίνεται μέσω των Hellenic CIO και EuroCIO Forums που συμμετέχω, είναι ότι οι περισσότερες εταιρείες προσπαθούν να ισορροπήσουν μεταξύ των κανονιστικών αναγκών και της επιχειρησιακής τους ανάπτυξης» αναφέρει ο Ξενοφών Λιαπάκης, General Manager, Chief Digital Transformation & Information Officer του Ομίλου Interamerican και πρόεδρος του Hellenic CIO Forum.

«Μέχρι σήμερα, η Αρχή Προστασίας Προσωπικών Δεδομένων έχει λάβει λιγότερο από 100 γνωστοποιήσεις για περιστατικά παραβίασης προσωπικών δεδομένων, αριθμός μηδαμινός σε σχέση με τον όγκο των επιχειρήσεων που δραστηριοποιούνται στην Ελλάδα, ενώ έχει απευθύνει περίπου τέσσερις συστάσεις σε εταιρείες για τη μη νόμιμη επεξεργασία προσωπικών δεδομένων ή για περιστατικά παραβίασης. Αντιθέτως, σε συζητήσεις που έχουμε με συναδέλφους στο EUROCIO forum, πιο αυστηρά έχουν ανταποκριθεί οι αρχές Προστασίας Προσωπικών Δεδομένων χωρών της Ευρωπαϊκής Ένωσης, όπως της Αγγλίας και της Γαλλίας, οι οποίες έχουν ήδη επιβάλει τα πρώτα μεγάλα πρόστιμα» συμπληρώνει.

Το 2019 προβλέπεται να διασαφηνιστούν πολλά ζητήματα σε σχέση με την ορθή εφαρμογή του GDPR τόσο σε εθνικό όσο και σε ενωσιακό επίπεδο. «Ήδη η Αρχή Προστασίας Δεδομένων έχει εκδώσει σχετικές κατευθυντήριες γραμμές για μια σειρά θεμάτων, με πιο πρόσφατη αυτή για τις δραστηριότητες που απαιτούν διενέργεια DPIA, την οποία αναμέναμε αγωνιωδώς. Απομένει να δούμε πλέον τον προγραμματισμό της Αρχής όσον αφορά τη διενέργεια ελέγχων και την άσκηση των κυρωτικών της αρμοδιοτήτων. Πλέον, θεωρώ ότι και μέσω της δραστηριότητας του EDPB θα αρχίσει σιγά-σιγά να ξεκαθαρίζει το τοπίο ώστε να μπορέσουμε να πάμε από την «αρχαϊκή» περίοδο του πανικού και της υπερβολής σε μια κατάσταση νηφάλιας και λειτουργικής εφαρμογής του νέου νομικού καθεστώτος προς όφελος τόσο των υποκειμένων των δεδομένων αλλά και των ίδιων των επιχειρήσεων, οι οποίες – θα ήθελα να τονίσω για άλλη μια φορά – ακόμη και αν δεν υπήρχε ο GDPR, θα έπρεπε να τον επινοήσουν» επισημαίνει ο Φ. Μίτλεττον.

Οκτώ μήνες μετά την εφαρμογή του νόμου, η ΕΕ φαίνεται ότι έχει συνειδητοποιήσει τι πρέπει να γίνει από εδώ και πέρα. Το σίγουρο είναι το GDPR έχει έρθει για να μείνει. Άλλωστε αποτελεί τον πρώτο πανευρωπαϊκό νόμο που υπερκαλύπτει όλες τις τοπικές νομοθεσίες, και αναμένεται να αποτελέσει πρότυπο για όλα τα όλα που θα έρθουν, με τα θέματα προστασίας δεδομένων να γίνονται όλο και πιο επίκαιρα.


«Η συμμόρφωση με το GDPR είναι μια αέναη διαδικασία»

    Φωτεινή Παπαθανασίου
    Group DPO, OTE

Η προστασία των δεδομένων ήταν και είναι υψίστης σημασίας για τον όμιλο ΟΤΕ. Έχουμε υιοθετήσει δεσμευτικούς κανόνες προστασίας δεδομένων από το 2015.Ο ρόλος του Data Protection Officer είχε ήδη θεσμοθετηθεί στον oργανισμό πριν το GDPR. Επίσης, είχαμε ήδη εντάξει στις διαδικασίες ανάπτυξης συστημάτων ένα πλαίσιο αξιολόγησης της ασφάλειας και της προστασίας των δεδομένων με στόχο τη σχεδίαση συστημάτων και υπηρεσιών που πληρούν τις απαραίτητες προδιαγραφές. Άρα, το έργο της συμμόρφωσης με το GDPR ξεκίνησε από μια πολύ καλή αφετηρία.

H μεγαλύτερη πρόκληση που αντιμετωπίσαμε ήταν ότι τo GDPR, στο πλαίσιο της αρχής της λογοδοσίας, αφήνει μεγάλο βαθμό ελευθερίας στους οργανισμούς να αποφασίσουν πώς θα το εφαρμόσουν. Χαρακτηριστικό είναι ότι η πλειονότητα των κατευθυντήριων οδηγιών της ομάδας εργασίας του Αρ.29 εκδόθηκε τους τελευταίους μήνες του 2017 (και κάποιες το 2018) και ενώ ήδη είχε περάσει ο πρώτος χρόνος της διετούς περιόδου προσαρμογής.

Εκτός όμως από προκλήσεις, το GDPR ήταν και μια μεγάλη ευκαιρία να ενισχυθούν ακόμα περισσότερο τα μέτρα προστασίας που εφαρμόζαμε. Ας μην ξεχνάμε ότι ολοκληρώθηκε σε μία εποχή όπου η αξιοποίηση των δεδομένων είναι σημαντικό ζητούμενο για τις επιχειρήσεις που δραστηριοποιούνται στον ψηφιακό κόσμο, ώστε ο καταναλωτής να απολαμβάνει εξατομικευμένες υπηρεσίες. Για να ενισχύεται η εμπιστοσύνη των πελατών στην εποχή των Big Data,είναι πολύ σημαντικό να διασφαλίζεις τα δεδομένα μέσω τεχνικών ψευδωνυμοποίησης, όπως προβλέπεται και στο GDPR. Η υλοποίηση υποδομής τέτοιου είδους τεχνικών είναι μια από τις δράσεις που αποφασίσαμε να «τρέξουμε» στο πλαίσιο του έργου.

Όσον αφορά την ετοιμότητά μας, οι εσωτερικοί έλεγχοι που έχουν διεξαχθεί έδειξαν ότι είμαστε σε ετοιμότητα να εφαρμόσουμε τον Κανονισμό. Αυτό δε σημαίνει ότι επαναπαυόμαστε, καθώς η συμμόρφωση είναι μια διαρκής διαδικασία.

«Η συμμόρφωση με τον GDPR στα ΜΜΕ είναι μια ξεχωριστή εμπειρία»

    Βασίλης Βασιλόπουλος
    DPO, EΡΤ

Μολονότι οι προκλήσεις είναι μεγάλες, η συμμόρφωση με τον GDPR στα ΜΜΕ και ειδικά την ΕΡΤ είναι μια ξεχωριστή εμπειρία, καθώς οι επιχειρήσεις αυτού του είδους διαχωρίζονται στο μέρος της παραγωγής ενημερωτικού περιεχομένου και τη Διοικητική λειτουργία. Η ευνοϊκή εξαίρεση των ΜΜΕ που αφορά στη Δημοσιογραφία, υπό την προϋπόθεση της ύπαρξης ενός ολοκληρωμένου δεοντολογικού πλαισίου, ανέδειξε το ζήτημα της ποιότητας του περιεχομένου και των ηθικών Αρχών που διέπουν τη λειτουργία της Αίθουσας Σύνταξης. Από την άλλη, το μοντέλο Διοίκησης δοκιμάζεται, λίγο ή πολύ, από τις αυστηρές απαιτήσεις του Θεσμικού πλαισίου. Στην ΕΡΤ δεν πραγματοποιούνται επεξεργασίες με υψηλή διακινδύνευση για τα δικαιώματα και τις ελευθερίες του κοινού, του προσωπικού και των συνεργατών, ενώ δεν συλλέγονται Δεδομένα στο πλαίσιο κάποιου επιχειρηματικού σχεδίου (διαφήμισης, συνδρομής ή άλλης επιχειρηματικής δράσης). Οι προκλήσεις που αναδείχθηκαν από τα projects συμμόρφωσης σχετίζονται περισσότερο με τον εκσυγχρονισμό των Διαδικασιών στην κατεύθυνση της αποτελεσματικότητας, της διαφάνειας και της λογοδοσίας, καθώς και στην αναβάθμιση της υποδομής που θα υπηρετήσει την ΕΡΤ της νέας εποχής. Μια πιο ψηφιακή ΕΡΤ έχει να αντιμετωπίσει μεγαλύτερες προκλήσεις Κυβερνοασφάλειας όχι μόνον επειδή η Δημόσια Ραδιοτηλεόραση συμπεριλαμβάνεται τις κρίσιμες υποδομές, αλλά και γιατί αποτελεί ύψιστη προτεραιότητα η προστασία των Προσωπικών Πληροφοριών του Κοινού.

«Εστιάζουμε στα δεδομένα για τη συμμόρφωση με το GDPR»

    Χρήστος Ν. Παπαμιχαήλ
    DPO, Αmalia Hotels

Στα Ξενοδοχεία Αμαλία, στοχεύοντας στην προστασία της πληροφορίας στην ολότητά της, προβήκαμε στη χαρτογράφηση και επικαιροποίηση των διαδικασιών, που ακολουθούσαμε ώστε να επιβεβαιώσουμε ότι τα εμπλεκόμενα μέρη (συστήματα ή άτομα) που λαμβάνουν μέρος στην ανταλλαγή πληροφοριών, δεν έχουν κενά ασφάλειας που είναι και η απαραίτητη εγγύηση της γνησιότητας και της αυθεντικότητας των πληροφοριών. Κατόπιν προσθέσαμε πολιτικές σε όλους τους τομείς που αφορούν δεδομένα και οι οποίες υπόκεινται σε μια αέναη διαδικασία ελέγχων και βελτιώσεων, όπως αυτή της εκτίμησης αντικτύπου, της επιχειρησιακής συνέχειας, της τήρησης αρχείου δραστηριοτήτων κα. Ενισχύσαμε την φυσική και ηλεκτρονική ασφάλεια, εντάξαμε ενισχυμένο πρόγραμμα εκπαιδεύσεων του ανθρώπινου δυναμικού μας, αντικαταστήσαμε όπου κρίθηκε αναγκαίο τον εξοπλισμό, ώστε να είναι μέσα στον προγραμματισμό των κατασκευαστών για τις αναβαθμίσεις ασφαλείας, προσαρμόσαμε το λογισμικό, πού ήταν ήδη σε χρήση, ώστε να είναι ασφαλέστερο, τοποθετήσαμε συσκευές κατατεμαχισμού (shredders), σέ όλες τις Διευθύνσεις και τα Υποκαταστήματα της εταιρείας, για την καταστροφή εμπιστευτικών εγγράφων, προσπαθώντας με τα μέσα που έχουμε τη δυνατότητα να διαθέσουμε, να ελαχιστοποιήσουμε όσο το δυνατόν περισσότερο τον κίνδυνο, ο οποίος πάντα θα είναι προ των πυλών, αναγκάζοντάς μας συνεχώς να βελτιώνουμε τα συστήματα της άμυνάς μας.