Την Άνοιξη του 2018 η πλειοψηφία από εμάς είχε ενημερωθεί - με τον έναν ή με τον άλλο τρόπο - για τον επερχόμενο ευρωπαϊκό Κανονισμό με το όνομα «GDPR», ο οποίος, σε κάποιο βαθμό, θα καθιστούσε πιο ασφαλή τη συνολική διαχείριση των προσωπικών μας δεδομένων από φορείς και επιχειρήσεις του δημόσιου και ιδιωτικού τομέα στην ευρωπαϊκή επικράτεια. Άλλοι έμαθαν για τον Κανονισμό όταν λάμβαναν σωρηδόν ηλεκτρονικά αιτήματα από εταιρείες για να ανανεώσουν την συγκατάθεσή τους για τη λήψη newsletter από αυτές (σε αντίθετη περίπτωση θα διαγράφονταν από τις βάσεις δεδομένων των εταιρειών), άλλοι υπέθεσαν ότι θα επρόκειτο για έναν Κανονισμό, ο οποίος δεν θα εφαρμοζόταν επί της ουσίας στην Ελλάδα, ενώ άλλοι χαιρέτησαν αυτή την ευρωπαϊκή πρωτοβουλία, ως μια προσπάθεια στο να ελεγχθεί η επεξεργασία των προσωπικών τους δεδομένων (συμπεριλαμβανόμενης της διαβίβασης δεδομένων), πολλές φορές χωρίς καν να το γνωρίζουν.
Σε γενικές γραμμές, το πρώτο διάστημα εφαρμογής του Κανονισμού είχε παρατηρηθεί μεγάλη υστέρηση του δημόσιου τομέα στη συμμόρφωση, επαρκή δημοσιοποίηση στοιχείων υπευθύνου προστασίας δεδομένων στον ιδιωτικό τομέα, ικανοποίηση του βασικού επιπέδου ασφάλειας, έλλειψη συμμόρφωσης με τη νομοθεσία για τα cookies και τις συναφείς τεχνολογίες, καθώς και ελλιπή ενημέρωση για τις πράξεις επεξεργασίας και τους αποδέκτες δεδομένων σε ποσοστό 40% περίπου των υπεύθυνων.
Δύο χρόνια μετά
Πλέον οι περισσότεροι φορείς και οργανισμοί που διαχειρίζονται δεδομένα προσωπικού χαρακτήρα, αντιλαμβάνονται τον σκοπό και τη σημαντικότητα του Κανονισμού, ενώ στην πλειοψηφία τους έχουν διορίσει υπεύθυνο προστασίας δεδομένων, αν και στην περίπτωση των μικρότερων σε μέγεθος επιχειρήσεων, ο διορισμένος DPO μπορεί να μην είναι ο πλέον ικανός για την εκπλήρωση των καθηκόντων του (πχ γραμματέας χωρίς ειδικές γνώσεις ή προσωπικό επιφορτισμένο με επιπλέον καθήκοντα).
Επιπλέον, σε αρκετές περιπτώσεις, οι διοικήσεις προχωράνε σε ορισμένες βασικές ενέργειες συμμόρφωσης, αλλά στην πορεία υπάρχει πιθανότητα μέρος των οργανωτικών και τεχνικών μέτρων να μην υλοποιούνται συστηματικά, λόγω φόρτου εργασίας.
Παρά τις γενικότερες προσπάθειες ενημέρωσης του κοινού, αρκετός κόσμος δεν φαίνεται να γνωρίζει επακριβώς τα δικαιώματά του ως πελάτης / καταναλωτής, σχετικά με την επεξεργασία των προσωπικών του δεδομένων από την μεριά των οργανισμών που τον εξυπηρετούν. Επίσης, ορισμένοι πελάτες δείχνουν μια δυσπιστία, όπως για παράδειγμα, όταν έρχεται η ώρα να υπογράψουν ότι έλαβαν γνώση του σχετικού εντύπου ενημέρωσης ή να δώσουν τη συγκατάθεσή τους για την επεξεργασία των δεδομένων τους, πριν την εξυπηρέτησή τους.
Για αρκετούς προμηθευτές, ο Κανονισμός μπορεί να ερμηνεύεται ως μια ακόμα σύμβαση που πρέπει να υπογραφεί, αν και αυτό διαφοροποιείται από κλάδο σε κλάδο και ανάλογα με το μέγεθος των οργανισμών. Αφορά κυρίως τους εξωτερικούς συνεργάτες και υπεργολάβους, οι οποίοι λαμβάνουν και επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πελατών και προσωπικού ενός οργανισμού (πχ εξωτερικές εταιρείες για υποστήριξη μισθοδοσίας ή ασφάλισης προσωπικού, λογιστική υποστήριξη, μηχανογραφική υποστήριξη, συντήρηση εξοπλισμού, καθαριότητα υποδομών, φύλαξη κλπ.). Επιπλέον, παρότι ο ίδιος ο Κανονισμός δίνει το δικαίωμα στον DPO μιας εταιρείας να επιθεωρήσει τον γενικότερο βαθμό συμμόρφωσης ενός προμηθευτή (εκτελών την επεξεργασία), αυτό συμβαίνει σπάνια, αν όχι ποτέ.
Σχετικά με το προσωπικό, αν και οι μεγάλοι οργανισμοί φροντίζουν για τη βασική εκπαίδευσή του, δεν διαφαίνεται να διαμορφώνεται εύκολα μια πραγματική «κουλτούρα» προστασίας δεδομένων. Για τον λόγο αυτό, απαιτούνται τακτικές εκπαιδεύσεις και επίσημες διαδικασίες, ώστε το προσωπικό να παραμένει σε συνεχή εγρήγορση. Επίσης, μέρος του προσωπικού ίσως βλέπει με κάποια δυσπιστία το έντυπο ενημέρωσης για την προστασία δεδομένων που του γνωστοποιείται κατά την έναρξη της συνεργασίας, ενώ, ακόμα και στις περιπτώσεις που ορθώς έχει ενημερωθεί το προσωπικό για τη δυνατότητά του να προσεγγίζει τον DPO για θέματα που άπτονται της προστασίας των δεδομένων του (ξεπερνώντας ακόμα και την ιεραρχία), αυτό δεν φαίνεται να ισχύει σε μεγάλο βαθμό στην ελληνική καθημερινότητα.
Τέλος, αρκετοί ελεύθεροι επαγγελματίες, αν και ίσως γνωρίζουν την ύπαρξη του Κανονισμού, δεν έχουν προχωρήσει σε κάποια ουσιαστική ενέργεια. Και αυτό, γιατί μπορεί να βρίσκονται ήδη αντιμέτωποι με πολύ μεγαλύτερα προβλήματα (ίσως και βιωσιμότητας), γιατί απαιτούνται επιπλέον πόροι ή γιατί δεν έχει βεβαιωθεί ακόμα καμία ηχηρή παράβαση που να τους ανησυχήσει. Οι ελεύθεροι επαγγελματίες δεν απαιτείται να ορίσουν DPO, αλλά καθότι συναλλάσσονται με πελάτες, συνεργάτες, προμηθευτές και, πιθανότατα, με προσωπικό, οφείλουν να προχωρήσουν σε κάποιες απαραίτητες ενέργειες συμμόρφωσης (πχ έντυπα ενημέρωσης ή συγκατάθεσης για όλες τις κατηγορίες υποκειμένων, αρχείο δραστηριοτήτων, πολιτική προστασίας δεδομένων, ενημέρωση για χρήση cookies στην ιστοσελίδα, ενημέρωση για ύπαρξη καμερών CCTV κλπ).
Δημοσθένης Κ. Κωστούλας, ΜΒΑ, MSc
Quality Manager / Υπεύθυνος Προστασίας Δεδομένων (DPO) σε Ιδιωτική Κλινική
Γενικός γραμματέας & μέλος Δ.Σ. ελληνικού παραρτήματος European Association of Data Protection Professional (EADPP) - Επιστημονικός συνεργάτης Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH) - Μέλος DPO Network Greece - Μέλος ΙΝ.ΕΠ.ΙΔ Β.Ελλάδος - Μέλος Homo Digitalis.
Ο Δημοσθένης Κωστούλας είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων - Πρακτικά Ζητήματα- Υποδείγματα» (Νομικές Εκδόσεις Νομόραμα.ΝΤ, Ιανουάριος 2020), το οποίο απευθύνεται σε επαγγελματίες ιδιωτικότητας και όχι μόνο, μεταφέροντας την εμπειρία των δύο συγγραφέων σχετικά με τη συμμόρφωση οργανισμών με το GDPR και τον ουσιαστικό ρόλο του Data Protection Officer (DPO). Πρόκειται για έναν πρακτικό οδηγό συμμόρφωσης, χρήσιμο για όποιον ξεκινάει την ενασχόλησή του με την προστασία των προσωπικών δεδομένων, για νομικούς, τεχνικούς ή/και διοικητικούς, για συμβούλους επιχειρήσεων, ελεύθερους επαγγελματίες ή υπαλλήλους οργανισμών και φορέων δημόσιου ή ιδιωτικού τομέα.