Αρχική ΚΟΙΝΩΝΙΑ Επίκαιρα Γενικός Κανονισμός για την προστασία Προσωπικών Δεδομένων: Ένας χρόνος μετά

Γενικός Κανονισμός για την προστασία Προσωπικών Δεδομένων: Ένας χρόνος μετά

0

Ο π. προϊστάμενος του τμήματος ελεγκτών στην Αρχή Προστασίας Προσωπικών Δεδομένων Φ. Μίτλεττον εξηγεί στο «Ε» όσα άλλαξαν και όσα χρήζουν περαιτέρω προσαρμογής

 Επισημαίνει ότι επιτακτικό ζητούμενο παραμένει η διαμόρφωση κουλτούρας ιδιωτικότητας σε δημόσιο και ιδιωτικό τομέα

Λίγο πριν τα πρώτα… γενέθλια του νέου Γενικού Κανονισμού για την προστασία των προσωπικών δεδομένων της ΕΕ, που τέθηκε σε εφαρμογή προκειμένου να ενισχύσει το πλαίσιο προστασίας και ασφάλειας των προσωπικών δεδομένων των φυσικών προσώπων, ο πρώην προϊστάμενος του τμήματος ελεγκτών στην Αρχή Προστασίας Προσωπικών Δεδομένων Φίλιππος Μίτλεττον μιλά στο «Ε» για το νέο καθεστώς που διαμορφώθηκε και κατά πόσο έχουν ενσωματώσει τις επιταγές του οι φορείς του δημόσιου και ιδιωτικού τομέα

«Ε»: Ένα χρόνο μετά την εφαρμογή του νέου Γενικού Κανονισμού για την προστασία των Προσωπικών Δεδομένων κατά πόσο ο ιδιωτικός και δημόσιος τομέας έχουν προσαρμοστεί με τις απαιτήσεις του;

Φ.Μ.: Πριν τη θέση σε ισχύ του ΓΚΠΔ γίναμε μάρτυρες μιας μεγάλης κινητικότητας στον ιδιωτικό τομέα σε ό,τι αφορά τη συμμόρφωση με τον Γενικό Κανονισμό. Ο φόβος των υψηλών προστίμων για όσους δεν θα είχαν συμμορφωθεί έδρασε καταλυτικά. Δυστυχώς το αποτέλεσμα δεν ήταν πάντα ικανοποιητικό. Με βάση την προσωπική μου εμπειρία, δεν είμαι σίγουρος ότι ο ιδιωτικός τομέας – παρά τη σημαντική πρόοδο που έχει σημειωθεί – μπορεί να ισχυριστεί με σιγουριά ότι έχει συμμορφωθεί πλήρως με τις απαιτήσεις του Κανονισμού.

Γιατί το σημαντικό δεν είναι να εφαρμόζεις ένα tailored made πακέτο συμμόρφωσης, αλλά να είσαι σε θέση να συμμορφώνεσαι κάθε μέρα, κάθε στιγμή, για κάθε δραστηριότητά σου, με το γράμμα, αλλά κυρίως με το πνεύμα του ΓΚΠΔ. Και αυτό είναι θέμα κουλτούρας.

Σε κάθε περίπτωση η κατάσταση είναι πολύ χειρότερη στον δημόσιο τομέα. Υπενθυμίζω ότι ο ΓΚΠΔ προβλέπει υποχρεωτικό ορισμό DPO για τον δημόσιο τομέα. Σήμερα, ένα χρόνο μετά, ελάχιστοι φορείς του Δημοσίου έχουν ορίσει Υπεύθυνο Προστασίας Δεδομένων.

Ο πανικός των πρώτων ημερών κατακάθισε μετά το καλοκαίρι του 2018, όταν οι επιχειρήσεις δεν είδαν ούτε τα πρόστιμα να «πέφτουν» ούτε τα υποκείμενα να διεκδικούν μαχητικά τα δικαιώματά τους. Οι επιχειρήσεις δεν πρέπει πάντως να επαναπαύονται.

Θεωρώ ότι το ενδιαφέρον θα αναζωπυρωθεί όταν επιτέλους ψηφιστεί ο εκτελεστικός νόμος.

«Ε»: Επιφέρει μεγάλες αλλαγές στη λειτουργία των επιχειρήσεων η νέα ευρωπαϊκή νομοθεσία;

Φ.Μ.: Θεωρούσα πάντα ότι το μεγαλύτερο μέρος των υποχρεώσεων που θεσπίζει ο ΓΚΠΔ, ακόμη και αν δεν υπήρχαν, οι επιχειρήσεις θα έπρεπε να τις επινοήσουν και να τις εφαρμόσουν από μόνες τους. Είναι θέμα προστασίας της ίδιας της επιχείρησης. Τα προσωπικά δεδομένα είναι σημαντικό κεφάλαιο για μια επιχείρηση. Και η προστασία τους δεν συμβάλλει μόνο στην αποτελεσματική λειτουργία και την ανάπτυξη της επιχείρησης, συμβάλλει και στο κύρος, την εμπιστοσύνη και την καλή της εικόνα στην αγορά, στους καταναλωτές, στους συνεργάτες της.

Οι επιχειρήσεις δεν πρέπει να φοβούνται τις αλλαγές που απαιτούνται στην οργάνωση του τρόπου λειτουργίας τους και στην αναδιαμόρφωση του πληροφοριακού τους συστήματος. Είναι περισσότερο θέμα συνειδητοποίησης και κουλτούρας, όπως είπα. Η επιχείρηση δεν θα αλλάξει τον τρόπο που δουλεύει. Απλώς θα προσαρμόσει τις διαδικασίες και τις πολιτικές στις νέες απαιτήσεις. Αυτό ίσως μεταφράζεται σε κάποιο κόστος, το οποίο όμως θα πρέπει να το βλέπουμε σαν ζωτική επένδυση και όχι σαν ανώφελο βάρος. Τα θετικά αποτελέσματα θα φανούν στο άμεσο μέλλον.

«Ε»: Θεωρείτε ότι η προσαρμογή είναι περίπλοκη διαδικασία; Τι βήματα πρέπει να ακολουθήσουν οι επιχειρήσεις;

Φ.Μ.: Τίποτε δεν είναι περίπλοκο αν έχεις τους σωστούς συμβούλους. Δηλαδή ανθρώπους που γνωρίζουν το αντικείμενο και αντιλαμβάνονται την ουσία του νομικού πλαισίου. Τα tailored made πακέτα δεν λειτουργούν. Κάθε επιχείρηση έχει τις δικές της ιδιαιτερότητες και συνεπώς τις δικές της ανάγκες. Πρέπει όμως να έχεις τον κατάλληλο άνθρωπο να σε καθοδηγήσει.

Υπάρχουν μια σειρά υποχρεώσεις, με την έννοια της υποχρεωτικής εφαρμογής συγκεκριμένων μέτρων και διαδικασιών και μια σειρά μέτρων που δεν είναι υποχρεωτικό να εφαρμόσει μια επιχείρηση, αλλά ο νόμος ενθαρρύνει την εφαρμογή τους γιατί αποτελούν βέλτιστες πρακτικές.

Είναι αλήθεια ότι δεν είναι πάντα σαφές πότε υπάρχει υποχρέωση και πότε όχι. Εξαρτάται από πολλούς παράγοντες που σχετίζονται με το μέγεθος της επιχείρησης, τη δραστηριότητά της, το είδος των δεδομένων που επεξεργάζεται κλπ.

Αν θέλουμε να αποτυπώσουμε πολύ σχηματικά τα βήματα που πρέπει να ακολουθήσει ένας υπεύθυνος επεξεργασίας, θα τα ενέτασσα σε 4 κατηγορίες:

  • Καταγραφή των δραστηριοτήτων, προκειμένου να αποκτήσουμε μια πλήρη εικόνα των επεξεργασιών στις οποίες προβαίνουμε και να εντοπίσουμε τα κενά σε σχέση με τη συμμόρφωση.
  • Ενημέρωση των υποκειμένων, μέσω της διαμόρφωσης σχετικών εντύπων και ηλεκτρονικών ανακοινώσεων (privacy notices).
  • Διαμόρφωση Πολιτικών για τα ζητήματα προστασίας δεδομένων.
  • Ενσωμάτωση ρητρών προστασίας δεδομένων στις συμβάσεις με τους συνεργάτες και τα υποκείμενα.
  • Βέλτιστες πρακτικές (DPIA, DPO, κώδικες δεοντολογίας, πιστοποιήσεις κλπ.).

«Ε»: Στην Ελλάδα έχει καθυστερήσει ιδιαίτερα η ψήφιση του εκτελεστικού νόμου; Πώς επηρεάζει αυτό την εφαρμογή του νομικού πλαισίου; Ποιο κενό θα καλύψει;

Φ.Μ.: Πράγματι η Ελλάδα είναι ανάμεσα στις τέσσερις ευρωπαϊκές χώρες που δεν έχουν ακόμη ολοκληρώσει τη διαδικασία ψήφισης του σχετικού νόμου. Ήδη τον περασμένο Ιανουάριο ήρθε η πρώτη προειδοποίηση από την Κομισιόν.

Βέβαια αυτό ουδόλως επηρεάζει την εφαρμογή του νομικού πλαισίου. Ο ΓΚΠΔ είναι άμεσα εφαρμόσιμος. Ο αναμενόμενος νόμος αφορά τη ρύθμιση ειδικότερων περιπτώσεων τις οποίες ο ΓΚΠΔ δίνει τη δυνατότητα στα κράτη μέλη να ρυθμίσουν με διαφορετικό τρόπο. Όπως το όριο ηλικίας από το οποίο οι ανήλικοι δεν χρειάζονται τη συγκατάθεση των γονέων τους για τη χρήση υπηρεσιών της Κοινωνίας της Πληροφορίας, τη ρύθμιση της σχέσης του δικαιώματος στην προστασία των προσωπικών δεδομένων με άλλα δικαιώματα, όπως η ελευθερία της έκφρασης, η πρόσβαση στα δημόσια έγγραφα, η επιστημονική έρευνα, ή την ειδικότερη ρύθμιση ζητημάτων όπως η προστασία δεδομένων των εργαζομένων ή η χρήση καμερών.

Κατά τα λοιπά ο ΓΚΠΔ εφαρμόζεται πλήρως ήδη από τις 25 Μαΐου 2018 και η Αρχή Προστασίας Δεδομένων ασκεί κανονικά τις αρμοδιότητές της και τις ελεγκτικές και κυρωτικές της εξουσίες.

«Ε»: Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα προχώρησε σε μία πρώτη έρευνα σχετικά με τη συμμόρφωση στο νέο Κανονισμό. Πώς αποτιμάτε τα αποτελέσματα;

Φ.Μ.: Νομίζω ότι τα αποτελέσματα ήταν αναμενόμενα και αντικατοπτρίζουν την κατάσταση που περιέγραψα στην αρχή. Παρ’ όλα αυτά τέτοιου είδους δράσεις της Αρχής είναι πάρα πολύ χρήσιμες και πρέπει να συνεχιστούν. Πρέπει να σημειώσουμε ότι είναι εντυπωσιακή η λειτουργία της Αρχής αν λάβουμε υπόψη τον μικρό αριθμό του στελεχιακού της δυναμικού και την έλλειψη πόρων. Η ελληνική Πολιτεία οφείλει να ενισχύσει την ανεξαρτησία και την αποτελεσματικότητα της Αρχής εφαρμόζοντας επιτέλους την υποχρέωσή της που προκύπτει από το άρθρο 52 του ΓΚΠΔ, να διασφαλίζει, δηλαδή, ότι η Αρχή διαθέτει τους απαραίτητους ανθρώπινους, τεχνικούς και οικονομικούς πόρους και τις αναγκαίες εγκαταστάσεις και υποδομές για την αποτελεσματική εκτέλεση των καθηκόντων και των εξουσιών της. Είναι προς το συμφέρον όλων μας.

«Ε»: Εκτός από τους υπεύθυνους επεξεργασίας, δηλαδή όσους καλούνται να εφαρμόσουν το νέο Κανονισμό, θεωρείτε ότι οι πολίτες είναι επαρκώς ενημερωμένοι και ευαισθητοποιημένοι για την προστασία και τα δικαιώματά τους;

Φ.Μ.: Το θέμα της ευαισθητοποίησης είναι κρίσιμης σημασίας. Οι πολίτες δεν είναι επαρκώς ενημερωμένοι. Παρά τις προσπάθειες της Αρχής, απαιτείται ανάληψη πρωτοβουλιών τόσο από τις επιχειρήσεις όσο και από τους δημόσιους φορείς με σκοπό την όσο το δυνατόν πιο ευρεία ενημέρωση του κοινού για τα θέματα προστασίας δεδομένων και για τον τρόπο άσκησης των δικαιωμάτων των φυσικών προσώπων. Αυτό όσο και αν ακούγεται περίεργο θα βοηθήσει στον περιορισμό άσκοπων και ανώφελων καταγγελιών εκ μέρους των υποκειμένων των δεδομένων και στην πιο αποτελεσματική διαχείριση των περιπτώσεων πραγματικής παραβίασης εκ μέρους των υπεύθυνων επεξεργασίας. Δηλαδή σε αυτό που είπαμε από την αρχή: στη διαμόρφωση κουλτούρας ιδιωτικότητας.

«Ε»: Και μία ερώτηση με αυξημένη δόση επικαιρότητας. Κατά πόσο επηρεάζει τις εκλογές και ιδίως την προεκλογική δράση κομμάτων και υποψηφίων το νέο νομικό πλαίσιο για τα προσωπικά δεδομένα; Τι πρέπει απαραιτήτως να γνωρίζουν οι υποψήφιοι;

Φ.Μ.: Οι εκλογές ήταν πάντα άμεσα συνδεδεμένες με τα προσωπικά δεδομένα. Ποιος έχει δικαίωμα πρόσβασης στους εκλογικούς καταλόγους; Υπό ποιες προϋποθέσεις μπορούν τα κόμματα και οι υποψήφιοι να τηρούν καταλόγους εκλογέων και πώς μπορούν να επικοινωνούν νόμιμα μαζί τους στο πλαίσιο της προεκλογικής εκστρατείας; Η τηλεφωνική επικοινωνία ή η επικοινωνία με e-mail είναι νόμιμη; Η Αρχή Προστασίας Δεδομένων έχει γίνει στο παρελθόν αποδέκτης παραπόνων εκλογέων και έχει εκδώσει σχετικές οδηγίες για θέματα πολιτικής επικοινωνίας. Το ερώτημα είναι κατά πόσο οι κομματικοί μηχανισμοί και οι υποψήφιοι έχουν συνείδηση της σχετικής προβληματικής και γνωρίζουν τις υποχρεώσεις τους. Θα μου επιτρέψετε να έχω αμφιβολίες.

Πέραν όμως αυτού, που θεωρώ ότι αποτελεί μέρος του εθνικού μας «πολιτικού επαρχιωτισμού», το μεγάλο πρόβλημα είναι για μένα η απουσία της προβληματικής της προστασίας δεδομένων από την πολιτική ατζέντα των κομμάτων, με ελάχιστες εξαιρέσεις. Κι αυτό σε μια εποχή όπου ζητήματα όπως η κυβερνοασφάλεια, η προστασία των παιδιών στο Διαδίκτυο, ο πολλαπλασιασμός μηχανισμών επιτήρησης – δημόσιων και ιδιωτικών – στο όνομα μιας ασαφούς έννοιας της ασφάλειας, τα fake news και η ελευθερία της έκφρασης στο Διαδίκτυο, οι συνέπειες της αλόγιστης χρήσης των μέσων κοινωνικής δικτύωσης για την ιδιωτικότητα, αποτελούν μέρος της καθημερινότητάς μας. Τί γίνεται στην Ευρώπη; Ποιες είναι οι θέσεις των πολιτικών μας για τα θέματα αυτά; Δυστυχώς έχω ακούσει ελάχιστα πράγματα για τα ζητήματα αυτά και αυτό είναι κάτι που με ανησυχεί ιδιαίτερα.

Ελένη Διαφωνίδου
ediafonidou@empros.gr

Περισσότερα Σχετικά Άρθρα
Περισσότερα άρθρα από ΕΜΠΡΟΣ
Περισσότερα άρθρα από Επίκαιρα
Τα σχόλια είναι απενεργοποιημένα.

Μπορεί επίσης να σας αρέσει

Καθησυχαστικός για τον σεισμό στη Χαλκιδική ο σεισμολόγος Γεράσιμος Παπαδόπουλος: «Κατά πάσα πιθανότητα ήταν ο κύριος σεισμός»

Ο κ. Παπαδόπουλος επισήμανε ότι η περιοχή δεν διαθέτει υψηλό σεισμικό δυναμικό, ενώ τόνισε…