Ένα «έλα μωρέ και τι έγινε» αναφορικά με τη διαχείριση των προσωπικών δεδομένων μπορεί πλέον να κοστίσει μέχρι και το 4% που παγκόσμιου τζίρου μιας επιχείρησης κατ’ εφαρμογήν του σχετικού νέου ευρωπαϊκού Κανονισμού! Πάντως, αν και τα άρθρα ορίζουν σαφώς το δέον, λεπτομερή βήματα για την ανταπόκριση σε αυτό δεν προτείνονται. Ουσιαστικά ο σχεδιασμός της προστασίας και η εφαρμογή του επαφίεται στην επιχείρηση, η οποία πρέπει ν’ ανακαλύψει τις βέλτιστες πρακτικές.
Ένα μεγάλο ποσοστό δεδομένων που αξιοποιούνται από τις υποδομές πληροφορικής των επιχειρήσεων ανήκουν στην κατηγορία των «προσωπικών δεδομένων». Ίσως το πιο αντιπροσωπευτικό παράδειγμα είναι το Facebook. Πρακτικά, το Facebook αξιοποιεί δεδομένα που δημιουργούν σχεδόν αποκλειστικά οι χρήστες του. Χωρίς αυτά τα δεδομένα, που λαμβάνει δωρεάν, δεν θα μπορούσε να υπάρχει.
Αν κάποιος καταφέρει να μπει στους servers της Facebook και να απομυζήσει όλα τα post που έχει εγγράψει κάποιος χρήστης, μπορεί με τη βοήθεια μιας αναλυτικής διαδικασίας να τον γνωρίσει, ίσως, περισσότερο από όσο γνωρίζει ο ίδιος τον εαυτό του. Είναι, λοιπόν, εύλογο για το κράτος που θέλει να προστατέψει τους χρήστες, να θεσπίσει την τιμωρία των επιχειρήσεων που αμελούν την προστασία των προσωπικών δεδομένων, που της εμπιστεύονται οι χρήστες των υπηρεσιών τους.
Σε αυτό το πλαίσιο, πριν από περίπου τέσσερα χρόνια στην Ε.Ε. ξεκίνησε μια συζήτηση, η οποία κατέληξε τον Απρίλιο του 2016 στη δημιουργία του νέου Κανονισμού για την προστασία των προσωπικών δεδομένων, που είναι πλέον γνωστός ως GDPR. Η κ. Viviane Reading, πρώην αντιπρόεδρος της Ε.Ε., είχε δηλώσει ότι επρόκειτο για ιστορική απόφαση, καθώς η ανανέωση της σχετικής ντιρεκτίβας του 1995 μέλλει ν’ αυξήσει της εμπιστοσύνη των πολιτών στις ψηφιακές υπηρεσίες, αναζωπυρώνοντας τη φλόγα της ανάπτυξης.Η εφαρμογή του κανονισμού αφορά όλες τις επιχειρήσεις ανεξαρτήτως μεγέθους. Συγκρινόμενη με τη ντιρεκτίβα που αντικαθιστά, η σημαντικότερη διαφορά της είναι η επιβολή τσουχτερών προστίμων σε περιπτώσεις μη συμμόρφωσης κατά τρόπο ώστε, είτε αφορά μια αλυσίδα καταστημάτων είτε το περίπτερο της γειτονιάς, η απώλεια προσωπικών δεδομένων θα έχει στον τζίρο τους την ίδια αναλογική επίπτωση.
To Recital 13 του GDPR προτρέπει τους θεσμούς και τους φορείς, τα κράτη-μέλη και τις εποπτικές αρχές τους να λάβουν υπόψιν τις ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων στην εφαρμογή του Κανονισμού. Σημειώνεται ότι ο Κανονισμός εξαιρεί τις μικρομεσαίες επιχειρήσεις από τη διατήρηση αρχείων κάποιων δράσεών τους υπό συγκεκριμένες συνθήκες. Ωστόσο, ενώ ένα μεγάλο πρόστιμο είναι πιθανό να μην απειλήσει την επιβίωση μιας μεγάλης επιχείρησης, ίσως αποδειχθεί εξοντωτικό για μια μικρομεσαία.
Ο ρόλος του DPO
O Κανονισμός προτείνει στις επιχειρήσεις να αναθέσουν σε κάποιον εργαζόμενο ή σε τρίτο το ρόλο του Data Protection Officer (DPO), δηλαδή του λογοδοτούντος σε περίπτωση που κάτι πάει στραβά. Όπως υπογραμμίζεται στις οδηγίες που υιοθετούνται στο Άρθρο 29 περί των DPOs, η λειτουργία του DPO απαιτεί συγκεκριμένες γνώσεις και δεξιότητες –ειδικότερα στα αντικείμενα της πληροφορικής και της νομοθεσίας για την προστασία των προσωπικών δεδομένων. Η οδηγία δίνει την επιλογή στις επιχειρήσεις να αναθέσουν καθήκοντα DPO σε μέλος του προσωπικού τους ή εξωτερικό συνεργάτη. Και πάλι, ενώ για τις μεγάλες επιχειρήσεις το πρόβλημα δεν μοιάζει δυσεπίλυτο, για τις μικρομεσαίες επιχειρήσεις δημιουργεί πονοκέφαλο: Η μεν πρόσληψη σχετικώς ειδικευμένου υπαλλήλου αυξάνει το λειτουργικό κόστος της επιχείρησης ή δε ανάθεση του έργου σε εξωτερικό συνεργάτη έχει πάντα το ρίσκο ότι δεν θα επιδεικνύει την απαιτούμενη αξιοπιστία.
Ποιος ελέγχει τι
Σε πρώτη φάση η επιχείρηση πρέπει να κάνει το καλύτερο δυνατό για να προστατέψει τα δεδομένα της. Κανείς δεν της λέει με σαφήνεια ποιο είναι το καλύτερο δυνατό, γεγονός που αρχικά ακούγεται ευχάριστα, αλλά όταν έρθει η ώρα του ελέγχου μπορεί να γίνει δυσάρεστο. Αν και ο κανονισμός στα άρθρα του περιλαμβάνει συγκεκριμένες οδηγίες, δε δίνει λεπτομερή βήματα για την υλοποίηση τους. Ουσιαστικά ο σχεδιασμός της προστασίας και η εφαρμογή του επαφίεται στην επιχείρηση, η οποία πρέπει ν’ ανακαλύψει τις βέλτιστες πρακτικές.
Ο έλεγχος στην περίπτωση απώλειας δεδομένων γίνεται από την Αρχή Προστασίας Προσωπικών Δεδομένων, η ρόλος της οποίας γίνεται περισσότερο ενεργός. Από τις 25 Μαΐου φέτος θα κληθεί να ασκήσει τις αρμοδιότητές της με τρόπο διαφορετικό από τον συνήθη. Σύμφωνα με εκπροσώπους της ομάδας προσαρμογής του Κανονισμού στην ελληνική νομοθεσία, τα πρώτα περιστατικά θα λειτουργήσουν ως «πειραματικά δεδομένα», προκειμένου οι τροποποιήσεις του νομοθετικού πλαισίου να προσαρμόζονται στα ισχύοντα στη χώρα μας. Οι βασικοί θεσμικοί άξονες, όμως, δεν είναι δυνατόν ν’ αμφισβητηθούν, οπότε σε κάθε περίπτωση η διαπίστωση αμέλειας επισείει πρόστιμο μέχρι του 4% του εταιρικού τζίρου, είτε μιλούμε για τον τζίρο μιας τοπικής μικρομεσαίας επιχείρησης είτε για τον τζίρο ενός πολυεθνικού επιχειρηματικού κολοσσού!
To opt out θα πρέπει να είναι εξίσου εύκολο με το opt in
Στο πλαίσιο της παγκοσμιοποιημένης αγοράς, ένα ερώτημα που μένει να απαντηθεί είναι πώς ο νέος Κανονισμός θα ανταποκρίνεται στην απαίτηση των πολιτών για προστασία των προσωπικών τους δεδομένων, χωρίς να επιδρά αρνητικά στο ρυθμό επενδύσεων στην έρευνα και ανάπτυξη νέων ψηφιακών υπηρεσιών. Πολλές ομάδες, μεταξύ των οποίων η Industry Coalition for Data Protection (ICDP), το Interactive Adertising Bureau Europe (IAB) και η Telecommunications Network Operators’ Association (ETNO), είχαν εκφράσει εξαρχής την ανησυχία τους ότι ο νέος απαιτητικότερος Κανονισμός ενδεχομένως θα βλάψει τον πυρήνα λειτουργίας των επιχειρήσεων. Μέλη της ICDP, όπως οι Google, Facebook, Amazon και IBM, ενδιαφέρονται για τους Ευρωπαίους αγοραστές, αλλά ο νέος Κανονισμός τους βάζει δύσκολα όχι μόνο όσον αφορά την ασφάλεια των προσωπικών δεδομένων όσο και τη διατήρησή τους. Ενώ οι περισσότερες επιχειρήσεις έχουν εστιάσει στον τομέα της ασφάλειας, λίγες έχουν ασχοληθεί με το θέμα της συγκατάθεσης. Πρακτικά ο Κανονισμός δίνει τη δυνατότητα στον πολίτη να ζητά από την επιχείρηση τη διακοπή και την εκκίνηση καταγραφής των προσωπικών του δεδομένων, με την ίδια ευκολία που ανοίγουμε και κλείνουμε τα φώτα. Για παράδειγμα, μπορεί ένας πολίτης να είναι μέλος του loyalty σχήματος σε μια αλυσίδα καταστημάτων στην αρχή της εβδομάδας και στα μέσα της ν’ αποφασίσει ότι δε θέλει πλέον να συμμετέχει. Η επιχείρηση πρέπει να έχει τον τρόπο να ικανοποιήσει το αίτημά του και να τον διαγράψει τόσο γρήγορα, όσο τον ενέγραψε ικανοποιώντας το σχετικό αίτημά του.
Και ολίγον διεθνή πολιτική
Πώς βλέπουν, άραγε, οι εταιρείες που δραστηριοποιούνται εκτός συνόρων Ε.Ε. το νέο Κανονισμό; Ως τον Ιούνιο του 2017 η Ε.Ε. είχε επιβάλει συνολικά πρόστιμα ύψους 8,5 δισ. ευρώ επειδή επιχειρήσεις εντός κι εκτός των συνόρων της δεν συμμορφώθηκαν με τους κανόνες του ανταγωνισμού. Το 1990 το αντίστοιχο ύψος των προστίμων της ανήλθε στα 26,7 δισ. ευρώ. Τι είδους ακούς του Αιόλου ενδέχεται ν’ ανοίξει ο νέος Κανονισμός αναφορικά με τα πρόστιμα; Πώς θα αντιμετωπιστεί λ.χ. η Yahoo, που υπέστη τεράστια κλοπή προσωπικών δεδομένων το 2016; Μήπως θα δημιουργήσει «ψηφιακά τείχη» ο νέος Κανονισμός; Τον περασμένο Μάρτιο η Ρωσία αρνήθηκε τη λειτουργία της Linkedin, η οποία πλέον ανήκει στη Microsoft, εάν η εταιρεία δεν διατηρούσε τα προσωπικά δεδομένα των πολιτών σε servers εντός της Ρωσίας. Μπορεί, άραγε, η Ε.Ε. να ασκήσει αντίστοιχο βέτο στην περίπτωση που μια εταιρεία δε συμμορφώνεται με τον ευρωπαϊκό Κανονισμό;
Οι συγκρούσεις μεταξύ των αναπτυγμένων χωρών λαμβάνουν πλέον χώρα και σε πεδία εντελώς διαφορετικά του παρελθόντος. Η διαφάνεια που απαιτεί το GDPR εκθέτει μεν τις ευρωπαϊκές επιχειρήσεις, αλλά θέτει αυστηρές προϋποθέσεις συνέπειας σε πλήθος επιχειρήσεων άλλων χωρών, που δραστηριοποιούνται στην Ευρώπη, τρέφοντας ιδιαίτερη εκτίμηση για τα 500 εκατομμύρια αγοραστών της και τις ακριβές τους ανάγκες.