Καθώς πλησιάζει η ώρα που θα τεθεί σε ισχύ ο νέος Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΓΚΠΔ) της Ευρωπαϊκής Ένωσης, η ΕΥ Ελλάδος επισημαίνει τα οφέλη, αλλά και τις προκλήσεις που φέρνει για τις επιχειρήσεις. Μεταξύ άλλων ο κανονισμός εγγυάται περισσότερη διαφάνεια και προβλέπει υψηλά πρόστιμα για όσους δεν συμμορφωθούν.
Καθώς πλησιάζει η ώρα που θα τεθεί σε ισχύ ο νέος Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΓΚΠΔ) της Ευρωπαϊκής Ένωσης, η ΕΥ Ελλάδος επισημαίνει τα οφέλη, αλλά και τις προκλήσεις που φέρνει για τις επιχειρήσεις. Μεταξύ άλλων ο κανονισμός εγγυάται περισσότερη διαφάνεια και προβλέπει υψηλά πρόστιμα για όσους δεν συμμορφωθούν.
Η εταιρεία οργάνωσε στις 23 Απριλίου σχετική εκδήλωση σε συνεργασία με τη Study Smart και τη δικηγορική εταιρεία Νικόλας Κανελλόπουλος- Χαρά Ζέρβα & Συνεργάτες». Σε αυτήν παρουσιάστηκαν στα σημεία κλειδιά, που πρέπει να απασχολήσουν τις επιχειρήσεις τον επόμενο μήνα, μέχρι την εφαρμογή του Κανονισμού.
«Βασική στόχευση του Κανονισμού είναι η ενιαία και άμεση εφαρμογή του από όλα τα κράτη-μέλη της Ε.Ε. Χωρίς υπερβολή, μιλάμε για ένα νέο καταστατικό χάρτη στον τομέα των προσωπικών δεδομένων», τόνισε ο κ. Νικόλας Κανελλόπουλος, Διευθύνων Εταίρος της δικηγορικής εταιρείας «Νικόλας Κανελλόπουλος – Χαρά Ζέρβα & Συνεργάτες» και Πρόεδρος του Ινστιτούτου Δικαιοσύνης και Ανάπτυξης, το οποίο έχει συσταθεί στο πλαίσιο του Ευρωπαϊκού Οργανισμού Δημοσίου Δικαίου (European Public Law Organization-EPLO), κατά τον χαιρετισμό του.
Διαφάνεια και λογοδοσία, οι απαιτήσεις του ΓΚΠΔ από τις εταιρείες
Για τις απαιτήσεις αυξημένης πληροφόρησης και διαφάνειας του ΓΚΠΔ από τις εταιρείες, αναφορικά με τα δεδομένα που έχουν στη διάθεσή τους, μίλησε η κ. Λίλιαν Μήτρου, καθηγήτρια του Πανεπιστημίου Αιγαίου. «Η λέξη-κλειδί είναι η έννοια της λογοδοσίας. Σημαίνει ότι έχω την ευθύνη να συμμορφώνομαι, να επιδεικνύω και να αποδεικνύω συμμόρφωση με τον Κανονισμό», σημείωσε κατά την ομιλία της. Ο ΓΚΠΔ ενισχύει τη διαφάνεια, όπως είπε η κα Μήτρου, καθώς η πληροφόρηση που πρέπει να παρέχουν οι εταιρείες στα πρόσωπα για τα δεδομένα τους διευρύνεται, ενώ, παράλληλα, πλέον, υποχρεούνται να δημοσιοποιούν οποιαδήποτε παραβίαση της ασφάλειας των δεδομένων. «Μέχρι σήμερα, η μη συμμόρφωση με την εκάστοτε νομοθεσία ή κανονισμό δεν ήταν τόσο ακριβή και, ενδεχομένως, να βόλευε κάποιες εταιρείες. Ωστόσο, τα πράγματα, πλέον, αλλάζουν», ανέφερε.
Τσουχτερά πρόστιμα για όσους δεν συμμορφωθούν
«Αν δεν υπήρχε αυτό το πλαίσιο κυρώσεων, ενδεχομένως να ήμασταν πολύ λιγότεροι σήμερα εδώ» σχολίασε η Χαρά Ζέρβα, Δικηγόρος παρ’ Aρείω Πάγω, Διαχειρίστρια Εταίρος της δικηγορικής εταιρείας «Νικόλας Κανελλόπουλος – Χαρά Ζέρβα & Συνεργάτες» και Διαπιστευμένη Διαμεσολαβήτρια, κατά την παρουσίασή της.
Όπως τόνισε η κ. Ζέρβα, τα πρόστιμα που θα επιβάλλονται θα πρέπει να είναι ισοδύναμα σε όλες τις χώρες, ενώ το ύψος τους θα ποικίλλει ανάλογα με τη φύση, τη βαρύτητα και τις συνέπειες της παράβασης, αγγίζοντας μέχρι και τα 20 εκατ. ευρώ ή 4% του συνολικού παγκόσμιου κύκλου εργασιών. «Είναι απολύτως κρίσιμο το στάδιο μέχρι και την εφαρμογή του Κανονισμού, η σχετική προετοιμασία και ο σχεδιασμός, για την επιβολή και την επιμέτρηση των κυρώσεων σε περίπτωση παράβασης, δηλαδή, κρίσιμος είναι ο ‘πρότερος έντιμος βίος’, αλλά, βεβαίως και η συμπεριφορά και αντίδραση του Υπευθύνου μετά την παράβαση» τόνισε.
Οι διαδικασίες πριν την εφαρμογή του ΓΚΠΔ
Στη συνέχεια, τον λόγο έλαβαν οι κ.κ. Γιάννης Δρακούλης, Associate Partner, και Αλέξανδρος Χασάπης, Senior Manager, στο τμήμα Επιχειρηματικής Ακεραιότητας και Εταιρικής Συμμόρφωσης της ΕΥ Ελλάδος, οι οποίοι παρουσίασαν την εμπειρία τους από τα έργα ΓΚΠΔ που έχουν αναλάβει και τις διαδικασίες που ακολουθούν οι πελάτες στην πορεία προς τη συμμόρφωση με τον Κανονισμό. Όπως τόνισαν, οι περισσότεροι ξεκινούν με μία διαγνωστική διεργασία, ώστε να δουν πού βρίσκονται σε σχέση με τον ΓΚΠΔ, στη συνέχεια προχωρούν στην εφαρμογή, την αξιολόγηση, αλλά και την παρακολούθηση της λειτουργίας για τη συμμόρφωση. «Κάποιοι δεν περνάνε από τη διαγνωστική διαδικασία, για να δουν πού είναι τα κενά τους, και πάνε μόνο με τα ‘SOS’ – ευτυχώς, μιλάμε για ένα μικρό μέρος της αγοράς», σημείωσε ο κ. Δρακούλης. «Η άσκηση του Κανονισμού, δεν είναι μία άσκηση επί χάρτου, είναι μία διαρκής αλλαγή στη λειτουργία των επιχειρήσεων», ανέφερε ο κ. Χασάπης.
Ο ρόλος του Υπευθύνου Προστασίας Δεδομένων
Στη σημασία του ρόλου του Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ - DPO) αναφέρθηκε ο κ. Πέτρος Τσαντίλας, Διδάκτωρ Νομικής – Δικηγόρος, Επιστημονικός Συνεργάτης Πανεπιστημίου Πελοποννήσου και τ. Μέλος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), κατά την παρουσίασή του. «Ο ορισμός ενός Υπευθύνου Προστασίας Δεδομένων διευκολύνει την επιχείρηση, καθώς αποτελεί σημείο επαφής και επικοινωνίας με την Αρχή Προστασίας Δεδομένων, με τα υποκείμενα των προσωπικών δεδομένων και με τα Τμήματα της ίδιας της επιχείρησης», σημείωσε, ενώ συμπλήρωσε: «Παρά τα καθήκοντα και τα ιδιαίτερα προσόντα ενός ΥΠΔ, υπεύθυνος και υπόλογος παραμένει ο υπεύθυνος της επεξεργασίας προσωπικών δεδομένων, δηλαδή ο υπεύθυνος της επιχείρησης, και η ευθύνη του αυτή δεν μετατίθεται στον ΥΠΔ, που έχει πρωτίστως συμβουλευτικό ρόλο».
Ο ΥΠΔ αναφέρεται στη διοίκηση της εταιρείας, διασφαλίζοντας τη συμμόρφωση με τα δικαιώματα των φυσικών προσώπων, όπως υπογράμμισε η κα Ανθή Παπαγεωργίου, Senior Manager στο τμήμα Επιχειρηματικής Ακεραιότητας και Εταιρικής Συμμόρφωσης της ΕΥ Ελλάδος, κατά την ομιλία της. «Ο ΥΠΔ, ουσιαστικά, είναι ο θεματοφύλακας – δημιουργεί μια κουλτούρα στη διοίκηση και χτίζει ένα ομαδικό πνεύμα, γιατί η εφαρμογή του Κανονισμού απαιτεί συλλογικότητα. Τέλος, ο ΥΠΔ μπορεί να είναι η γέφυρα ανάμεσα στο υποκείμενο και τον υπεύθυνο επεξεργασίας», κατέληξε.
Ο κίνδυνος των κυβερνοεπιθέσεων και η ασφάλιση
«Οι ηλεκτρονικοί και διαδικτυακοί κίνδυνοι έχουν μπει για τα καλά στη ζωή μας, απειλώντας, πλέον, και τη συμμόρφωση με τον ΓΚΠΔ», υπογράμμισε ο κ. Τάσος Κωνσταντέλος, Business Development Manager της Front Line S.A., αναφερόμενος σε θέματα κυβερνοασφάλειας, αλλά και παρουσιάζοντας την κάλυψη που προσφέρουν οι ασφαλιστικές εταιρείες για τον κίνδυνο κυβερνοεπιθέσεων και διαρροής προσωπικών δεδομένων. Πέραν της κάλυψης των προστίμων, οι ασφαλιστικές εταιρείες παρέχουν και άλλες σημαντικές καλύψεις, εξασφαλίζοντας έτσι την επιχείρηση. «Το 73% των Chief Information Security Officers (CISOs) αναμένεται να βιώσει παραβίαση της ασφάλειας μέσα σε ένα χρόνο, ενώ ο μέσος χρόνος που οι επιτιθέμενοι μένουν κρυμμένοι υποκλέπτοντας δεδομένα, είναι 140 ημέρες», κατέληξε.
Βιώσιμη ανάπτυξη και ΓΚΠΔ
Για τη σύνδεση των εκθέσεων βιώσιμης ανάπτυξης και μη χρηματοοικονομικής πληροφόρησης, αλλά και των 17 Στόχων Βιώσιμης Ανάπτυξης του Ο.Η.Ε. με τον νέο Κανονισμό, μίλησε ο κ. Σπύρος Μορισαίος, Manager στο τμήμα Κλιματικής Αλλαγής & Βιώσιμης Ανάπτυξης της ΕΥ Ελλάδος. «Η προστασία των προσωπικών δεδομένων έχει αναγνωριστεί από τα διεθνή πρότυπα βιωσιμότητας ως ένα από τα σημαντικότερα θέματα βιώσιμης ανάπτυξης για τις επιχειρήσεις. Οι εταιρείες που συντάσσουν εκθέσεις βιώσιμης ανάπτυξης, είτε εθελοντικά, είτε ως υποχρέωση από τη νομοθεσία, και έχουν προσδιορίσει το συγκεκριμένο θέμα ως ουσιαστικό για τις δραστηριότητές τους, καλούνται να δημοσιεύσουν πληροφορίες για τον τρόπο με τον οποίο το διαχειρίζονται, καθώς και να χρησιμοποιήσουν δείκτες επίδοσης για την αξιολόγηση της προσέγγισής τους. Τα πρότυπα GRI και το Οικουμενικό Σύμφωνο του Ο.Η.Ε αποτελούν εργαλεία, τα οποία μπορούν να χρησιμοποιήσουν οι επιχειρήσεις ως οδηγούς για τη σύνταξη των εν λόγω πληροφοριών» τόνισε ο κ. Μορισαίος.
Η λύση της ΕΥ
Μία παρουσίαση της πλατφόρμας που έχει δημιουργήσει η ΕΥ Ελλάδος ειδικά για τις επιχειρήσεις που επιθυμούν να αυτοματοποιήσουν ορισμένα δύσκολα σημεία, με βάση τις διεθνείς έρευνες, αλλά και την εγχώρια και διεθνή εμπειρία της ΕΥ από έργα αξιολόγησης, συμμόρφωσης και υλοποίησης, έκαναν οι κ.κ. Παναγιώτης Παπαγιαννακόπουλος, Director και υπεύθυνος των υπηρεσιών Cybersecurity, Data Protection & Privacy, και Χάρης Δημόπουλος, Manager στο τμήμα της ΕΥ Ελλάδος. «Στην ΕΥ, δημιουργήσαμε μία πλατφόρμα που δίνει λύση στα πιο επίπονα σκέλη του ΓΚΠΔ: αυτά της διαχείρισης των συναινέσεων (consent management), της διαχείρισης των ενημερώσεων (notice management), αλλά και της διαχείρισης των δικαιωμάτων των υποκειμένων (data subject rights management). Η πλατφόρμα μοντελοποιεί τις βασικές έννοιες του κανονισμού και δίνει τη δυνατότητα διασύνδεσης πραγματικού χρόνου τόσο με τα συστήματα που χειρίζονται προσωπικά δεδομένα, όσο και με τα κανάλια που επικοινωνούμε με το φυσικό πρόσωπο, όπως το διαδίκτυο, κινητές εφαρμογές, καταστήματα, κτλ.», ανέφεραν.
Παράλληλα, στις πιστοποιήσεις αναφορικά με τα θέματα της συμμόρφωσης και του κινδύνου, αναφέρθηκε ο Δρ. Κωνσταντίνος Κυρίτσης, Ιδρυτής και Διευθύνων Σύμβουλος της StudySmart: «Βαδίζουμε στην εποχή της υπερειδίκευσης και γι’ αυτόν τον λόγο, όποια στελέχη δραστηριοποιηθούν στην περιοχή προστασίας των προσωπικών δεδομένων, είτε ως ΥΠΔ, είτε ως μέλη μιας ευρύτερης ομάδας διαχείρισης των δεδομένων, θα πρέπει να επενδύσουν τόσο σε πιστοποιήσεις, όσο και σε εντατικά εκπαιδευτικά προγράμματα για να μπορούν να ανταποκριθούν στις υψηλές απαιτήσεις των καιρών» κατέληξε.