Από την έντυπη έκδοση
Του Α.Δ. Παπαγιαννίδη
[email protected]
Δύο ακρωνύμια στοιχειώνουν πλέον τον επιχειρηματικό κόσμο. Είχαν αρχίσει εδώ και καιρό να απασχολούν, να προβληματίζουν. Όσο όμως ο χρόνος προχωράει, όσο μικραίνει το διάστημα που μας χωρίζει από τις 25 Μαΐου 2018, τόσο η έννοια «στοιχειώνουν» αρχίζει να κυριολεκτείται. Ο λόγος για το GDPR και το DPO. Τι είναι αυτά; Το πρώτο είναι ο Γενικός Κανονισμός για την Προστασία Δεδομένων, που μπαίνει σε εφαρμογή από τις 25 Μαΐου ανά την Ευρωπαϊκή Ένωση (άρα η παραδοσιακή ελληνική λογική τού «εφαρμογή; καλά, θα δούμε! μην υπερβάλλουμε…» δεν λειτουργεί: η εφαρμογή του προβλέπεται καθολική και οριζόντια, πλήρης και παντού) και αφορά την εξασφάλιση των προσωπικών δεδομένων που τηρούνται, τελικά, σε κάθε επιχείρηση. Το δεύτερο είναι ο Υπεύθυνος Προστασίας Δεδομένων, που θα πρέπει σε κάθε επιχείρηση να ορίζεται ώστε να εξασφαλίζει αυτήν την προστασία.
Ας δούμε για μια στιγμή πώς λειτουργεί αυτό το σύστημα, που έχει νομοθετηθεί σε ευρωπαϊκό επίπεδο με εργαλείο τον Κανονισμό, δηλαδή μια νομοθετική πράξη που δεν επιτρέπει σε κάθε χώρα να ορίζει τον δικό της τρόπο εφαρμογής, αλλά εισάγει ομοιομορφία και υποχρεωτικότητα. Α, ναι, και εισάγει δυσάρεστες κυρώσεις. Σε περίπτωση διαρροής προσωπικών δεδομένων, ο διαβόητος Κανονισμός GDPR δεν προβλέπει απλώς υποχρέωση άμεσης (=εντός 72 ωρών!) ενημέρωσης της Αρχής Προστασίας, πέραν δηλαδή των ενδιαφερομένων/πληττομένων από τη διαρροή, αλλά και ανοίγει προοπτική επιβολής προστίμων μέχρι 4% του παγκόσμιου τζίρου της εταιρείας (με οροφή τα… 20 εκατ. ευρώ). Χώρια οι όποιες τυχόν αποζημιώσεις.
Προκειμένου, λοιπόν, να εξασφαλισθεί -ή πάντως να επιχειρηθεί- η τήρηση της ασφάλειας και του απορρήτου των προσωπικών δεδομένων, μέσα στις συνθήκες της ψηφιακής εποχής μας, κάθε εταιρεία που βρίσκεται εκτεθειμένη (και ποια πλέον δεν βρίσκεται!) υποχρεούται να ορίσει DPO /αρμόδιο προστασίας δεδομένων και να τον ανακοινώσει στην Αρχή. Μπορεί ο DPO αυτός να είναι υπάλληλος της ίδιας της εταιρείας -όμως με λειτουργική ανεξαρτησία από την πυραμίδα διοίκησης: δύσκολα πράγματα!-, ή εξωτερικός συνεργάτης, ή να αποκτάται ως εξειδικευμένη υπηρεσία εξωτερικά παρεχόμενη από άλλη επιχείρηση. Πάντως χρειάζεται, ως εκ της φύσεως της λειτουργίας του, να είναι σε συνεχή εγρήγορση/διαθεσιμότητα: δύσκολη υπόθεση, κι αυτή. Έχει με άλλα λόγια «υποχρέωση αποτελέσματος».
Αν σκεφθεί κανείς τις ασφαλιστικές εταιρείες, τις τράπεζες, τους τηλεπικοινωνιακούς παρόχους, το κύκλωμα υγείας και μόνον, βλέπει ότι ο όγκος τηρούμενων στοιχείων υπό τις σημερινές συνθήκες είναι πελώριος. Όμως, αν περάσει και στον ευρύτερο χώρο της κατανάλωσης ή της μέσω διαδικτύου επικοινωνίας, ή ακόμη κι αν δει τη δουλειά δικηγόρων ή μηχανικών, βλέπει το φάσμα ενδιαφέροντος να μεγαλώνει - χωρίς τέλος.
Πώς θα εξασφαλισθεί η τήρηση αυτών των υποχρεώσεων, από τόσο ευρύ φάσμα υπόχρεων; Όσο συνειδητοποιείται το βάρος που χρειάζεται να αντιμετωπισθεί, πρακτικά, ανεβαίνει η ανησυχία στους επιχειρηματικούς κύκλους. Αυτή την ανησυχία αποτυπώνει, τις τελευταίες εβδομάδες, μια όλο και πυκνότερη σειρά από διοργανώσεις συνεδρίων, ημερίδων και στρογγυλών τραπεζιών, με στόχο την ευαισθητοποίηση, την προετοιμασία και την οργάνωση της λειτουργίας των εταιρειών στο κοντινό αυτό μέλλον.
Σε μία απ’ αυτές τις διοργανώσεις υπενθυμίστηκε από την αμερικανική εμπειρία -φυσικά και εδώ, όπως και σε τόσα άλλα μέτωπα, η εκκίνηση έγινε στις ΗΠΑ!- το «Νομίζετε ότι η συμμόρφωση με τη ρύθμιση [της προστασίας των δεδομένων] έχει κόστος; Περιμένετε να δείτε το κόστος της μη-συμμόρφωσης!».
Όμως, αυτός ο πολύτιμος DPO τι προφίλ έχει; (Και συνεπώς, τι κόστος μπορεί να συνεπάγεται η απόκτησή του;). Χρειάζεται να έχει διεξοδική γνώση των υποχρεώσεων και των διαδικασιών του Κανονισμού GDPR για τα προσωπικά δεδομένα. Να αντιλαμβάνεται την τεχνολογία, τις δυνατότητες, αλλά και τους περιορισμούς της. Να μπορεί να κινηθεί μέσα στην εταιρεία, να καθοδηγήσει, να συντονίσει και να πείσει. Χρειάζεται να εξασφαλίσει, αληθινά, τη δική του ανεξαρτησία και την πειστική λειτουργία του. Να συνεργάζεται τόσο εσωτερικά όσο και με την Αρχή Προστασίας Προσωπικών Δεδομένων - και τούτο τόσο σε φάσεις κανονικής λειτουργίας όσο και σε περίπτωση κρίσης. Ούτε απλό. Ούτε εύκολο…
Όσοι προσπαθούν να διδάξουν ψυχραιμία, συνιστούν επένδυση σε κατάλληλες τεχνολογικές λύσεις, εντέλει σε ξε-φόβισμα από την προσχώρηση στην ψηφιακή οικονομία. Κάνοντας ένα πρόσθετο βήμα, κάποιοι διαπιστώνουν ότι μια τέτοια προσέγγιση μπορεί «να μετατρέψει την υποχρέωση συμμόρφωσης σε ανταγωνιστικό πλεονέκτημα». Πάντως ένα είναι βέβαιο: η παλιά, καλή λογική τού «όλο και κάποια παράταση θα δώσουν στο τέλος!» θα ήταν άσοφο να υιοθετηθεί εν προκειμένω.
