Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) τέθηκε σε εφαρμογή στις 25 Μαΐου 2018 και άλλαξε σημαντικά την προστασία των προσωπικών δεδομένων και στη χώρα μας. Δημιούργησε μάλιστα πολλά δικαιώματα για τους πολίτες. Μεταξύ άλλων, ο Κανονισμός προβλέπει τη δημιουργία της θέσης του Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer – ευρέως γνωστού ως DPO). Συναντηθήκαμε με τον Εμμανουήλ Τζιβιέρη*, DPO στην Επενδυτική Τράπεζα Ελλάδας για να μας εξηγήσει περισσότερα για αυτή τη νέα θέση.
– Μιλήστε μας για το ρόλο του DPO. Είναι κάτι νέο;
Δεν είναι λίγοι εκείνοι που αναφέρονται στο ρόλο του DPO σαν να πρόκειται για μια καινοτομία, ένα νεωτερισμό του GDPR, κάτι που δεν είναι απολύτως ακριβές. Ο όρος δεν είναι άγνωστος. Υπήρχε και στην Ευρωπαϊκή Οδηγία 95/46, υπήρχε και στον ελληνικό νόμο 3979/2011 για την ηλεκτρονική διακυβέρνηση, υπήρχε και στη Γερμανία, αλλά στην πράξη δεν είχε χρησιμοποιηθεί, τουλάχιστον όχι σε τέτοια έκταση. Αυτό άλλαξε με την εφαρμογή του GDPR, που προβλέπει τον υποχρεωτικό ορισμό DPO, αρχής γενομένης από την 25η Μαΐου 2018, για τρεις βασικές κατηγορίες οργανισμών και επιχειρήσεων:
α) Δημόσιες αρχές και φορείς, εκτός των δικαστηρίων.
β) Οργανισμούς των οποίων οι βασικές δραστηριότητες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων σε μεγάλη κλίμακα.
γ) Οργανισμούς που επεξεργάζονται προσωπικά δεδομένα ειδικών κατηγοριών, όπως γενετικά, βιομετρικά, δεδομένα υγείας κλπ.
– Μου δίνετε την αφορμή να σας ρωτήσω για τον βαθμό ετοιμότητας των επιχειρήσεων την 25η Μαΐου. Είχαν προλάβει να ορίσουν DPO οι ελληνικές επιχειρήσεις και οργανισμοί;
Δεν έχω εικόνα του συνόλου των ελληνικών επιχειρήσεων και δημόσιων οργανισμών, ώστε να απαντήσω στην ερώτησή σας, αλλά υπάρχουν ενδείξεις ότι ο κανόνας «της τελευταίας στιγμής» δεν γνώρισε εξαίρεση ούτε στην περίπτωση του GDPR. Να υπενθυμίσω στο σημείο αυτό ότι ο Κανονισμός ψηφίστηκε τον Απρίλιο του 2016, πράγμα που σημαίνει ότι όλοι οι υπόχρεοι είχαν στη διάθεσή τους δύο και πλέον χρόνια προκειμένου να συμμορφωθούν με τις επιταγές του, μεταξύ των οποίων και ο ορισμός DPO. Ακόμα και η ενσωμάτωση του Κανονισμού στην εθνική νομοθεσία των κρατών-μελών καθυστέρησε χαρακτηριστικά. Λίγες μόλις ημέρες μετά την έναρξη της εφαρμογής του, η Ευρωπαία Επίτροπος αρμόδια για θέματα δικαιοσύνης απηύθυνε προειδοποίηση σε 8 κράτη-μέλη (μεταξύ των οποίων και η Ελλάδα) και τα κάλεσε να επιταχύνουν τις διαδικασίες συμμόρφωσής τους.
– Πώς θα περιγράφατε τον ρόλο του DPO σε έναν οργανισμό;
Υπάρχουν διάφορες ερμηνείες για το ρόλο που καλείται να διαδραματίσει ο DPO σε έναν οργανισμό. Έχει διατυπωθεί η θεωρία ότι θα είναι το «μακρύ χέρι» της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ή αλλιώς «τα μάτια και τα αυτιά της» εντός του οργανισμού. Έχει ακουστεί, επίσης, ότι θα είναι ένας άτυπος εσωτερικός ελεγκτής, που μπορεί να διενεργεί ελέγχους και να κοινοποιεί τα πορίσματα του στην Αρχή. Ωστόσο, δεν μπορούμε να επιβεβαιώσουμε κάποια από τις θεωρίες αυτές, τη στιγμή που είναι σε εξέλιξη η νομοθετική διαδικασία και αναμένουμε τον ελληνικό νόμο. Το μόνο βέβαιο είναι πως ο DPO θα είναι ένας δίαυλος επικοινωνίας, ή αλλιώς ο συνδετικός κρίκος μεταξύ του οργανισμού και της εποπτικής Αρχής και θα είναι επιφορτισμένος με τα καθήκοντα που του αναθέτει ο Κανονισμός στο άρθρο 39, όπως η παρακολούθηση της συμμόρφωσης του οργανισμού με τον Κανονισμό, η παροχή συμβουλών προς την επιχείρηση, η ενημέρωση του προσωπικού, η γνωμοδότηση για τη διενέργεια εκτίμησης αντικτύπου κλπ.
– Πόσο σημαντικά είναι τα προσωπικά δεδομένα των υποκειμένων, τα οποία διαχειρίζεται και επεξεργάζεται μία επιχείρηση;
Υπάρχουν ολόκληρα επιχειρηματικά μοντέλα που βασίζονται σχεδόν αποκλειστικά στην επεξεργασία προσωπικών δεδομένων. Παράλληλα, ο ψηφιακός κόσμος εξελίσσεται ραγδαία, με αποτέλεσμα να δημιουργείται ένα άυλο περιβάλλον όπου υπάρχουν παντού διάσπαρτες πληροφορίες για τα άτομα, τις καταναλωτικές προτιμήσεις και τις ανάγκες τους. Δείτε τι συμβαίνει με τις ηλεκτρονικές επικοινωνίες σήμερα και συγκρίνετέ το με προηγούμενες δεκαετίες. Δείτε τι έρχεται με την τεχνητή νοημοσύνη. Πραγματική κοσμογονία. Αντιλαμβάνεστε, λοιπόν, τη σημασία ενός νομοθετήματος, όπως το GDPR, που κάνει αυστηρότερο το πλαίσιο για την επεξεργασία των προσωπικών δεδομένων, σε μια εποχή όπου τα προσωπικά δεδομένα και ο έλεγχος τους εξελίσσονται σε καθοριστικό παράγονται για τη βιωσιμότητα, την ανταγωνιστικότητα και την περαιτέρω ανάπτυξη των επιχειρήσεων.
– Ποιά θεωρείτε ότι είναι η μεγαλύτερη πρόκληση για έναν DPO?
Οι προκλήσεις έχουν να κάνουν κυρίως με τις καινοτομίες που εισάγει ο Κανονισμός, σχετικά με τη γενικότερη λειτουργία μιας οντότητας. Όπως αντιλαμβάνεστε, πρόκειται για ένα νομοθέτημα που αλλάζει τη στρατηγική και τον τρόπο με τον οποίο λειτουργούσαν οι οργανισμοί και οι επιχειρήσεις μέχρι σήμερα.
Ο DPO, συνεπώς, ως ενορχηστρωτής της διαδικασίας συμμόρφωσης, καλείται να αναμετρηθεί με τη συνήθεια, που είναι ο μεγαλύτερος εχθρός μιας υγιούς επιχείρησης. Καλείται να δημιουργήσει εντός της εταιρίας μια νέα κουλτούρα, που αντιμετωπίζει τα προσωπικά δεδομένα με σεβασμό και αίσθημα ευθύνης.
– Ο καταναλωτής μπορεί να έρθει σε απευθείας επαφή με τον DPO?
Ο Κανονισμός προβλέπει την υποχρέωση για διαφανή επεξεργασία των προσωπικών δεδομένων. Στο πλαίσιο αυτό, ο οργανισμός υποχρεούται να κοινοποιεί τα στοιχεία επικοινωνίας του DPO σε όλα τα υποκείμενα των δεδομένων, διευκολύνοντας την επικοινωνία μαζί του.
Κάθε ενδιαφερόμενος, λοιπόν, μπορεί να έρθει σε επαφή μαζί του για να ενημερωθεί, μεταξύ άλλων, για τις κατηγορίες των υπό επεξεργασία προσωπικών δεδομένων, τους σκοπούς επεξεργασίας, τους πιθανούς αποδέκτες των δεδομένων και, κυρίως, για τα δικαιώματά του, όπως απορρέουν από τον Κανονισμό.
– Τι δείχνουν τα στοιχεία μέχρι στιγμής; Υπάρχει ανταπόκριση και ενδιαφέρον του κόσμου για την προστασία των προσωπικών τους δεδομένων;
Θυμηθείτε τις πρώτες ημέρες εφαρμογής του Κανονισμού και τα δεκάδες πανομοιότυπα μηνύματα που λάβαμε από διάφορες επιχειρήσεις, e-shops, μέσα κοινωνικής δικτύωσης κλπ. Θα έλεγε ψέματα όποιος ισχυριζόταν ότι δεν ενοχλήθηκε από αυτό τον καταιγισμό πληροφόρησης και δεν διέγραψε αβλεπεί τα περισσότερα από αυτά τα μηνύματα. Αυτό το αρνητικό κλίμα έδωσε την εντύπωση ότι η αποστολή των ενημερωτικών δελτίων μάλλον απομάκρυνε το κοινό, παρά το ευαισθητοποίησε.
Το κλίμα αυτό σιγά σιγά αντιστρέφεται. Τα μηνύματα που λαμβάνουμε από την καθημερινή επικοινωνία με το κοινό, όπως και τα αποτελέσματα μιας πρόσφατης έρευνας σχετικά με το επίπεδο ευαισθητοποίησης και ενημέρωσης των Ελλήνων πάνω σε θέματα προστασίας προσωπικών δεδομένων, είναι ενθαρρυντικά. Ποσοστό μεγαλύτερο του 80% δήλωσε ότι είναι ενήμερο για τον νέο Κανονισμό, ενώ το 77% των ερωτηθέντων δήλωσαν ότι έχουν γίνει πιο προσεκτικοί στον τρόπο με τον οποίο διαθέτουν τα προσωπικά τους στοιχεία. Αν οι αριθμοί λένε την αλήθεια, τότε είμαστε σε πολύ καλό δρόμο. Η πρόοδος αυτή οφείλεται κατά μεγάλο βαθμό και σε πρωτοβουλίες, όπως η δική σας, Homo Digitalis, που στοχεύουν στην ευαισθητοποίηση του κοινού, αλλά κυρίως φροντίζουν για τη σωστή και υπεύθυνη ενημέρωσή του.
– Πώς βλέπετε το μέλλον των επιχειρήσεων σε αυτόν τον ψηφιακό κόσμο;
Δεν είμαι καλός στις προβλέψεις, αλλά αυτό που μπορώ να πω είναι πως η συμμόρφωση με τον Κανονισμό είναι η πρώτη μεγάλη δοκιμασία που καλούνται να αντιμετωπίσουν οι επιχειρήσεις σε αυτό το πεδίο. Ακολουθούν άλλες δοκιμασίες, πιο απαιτητικές. Τα αποτελέσματα αυτής της πρώτης άσκησης θα φανερώσουν το βαθμό ετοιμότητας των οργανισμών για την προσαρμογή στις νέες απαιτήσεις και στα νέα επιχειρηματικά μοντέλα του ψηφιακού κόσμου. Αυτές που θα περάσουν το τεστ με επιτυχία έχουν κάθε λόγο να αισιοδοξούν ότι θα παραμείνουν ανταγωνιστικές, σε αντίθεση με τις υπόλοιπες, για τις οποίες, δυστυχώς, το μέλλον δεν προδιαγράφεται ευοίωνο.
*Ο Εμμανουήλ Τζιβιέρης είναι απόφοιτος της Νομικής Σχολής Αθηνών, κάτοχος Μεταπτυχιακού τίτλου στο Δημόσιο Δίκαιο από το Εθνικό Καποδιστριακό Πανεπιστήμιο Αθηνών και Μεταπτυχιακού τίτλου στο Δίκαιο και τα Οικονομικά από το Πανεπιστήμιο της Ουτρέχτης. Εργάζεται ως DPO στην Επενδυτική Τράπεζα Ελλάδας.