Άρθρο του Επιστημονικού  Συνεργάτη του Ινστιτούτου, κ. Κωστούλα Δημοσθένη*

Την Άνοιξη του 2018 η πλειοψηφία από εμάς είχε ενημερωθεί – με τον έναν ή με τον άλλο τρόπο –  για τον επερχόνενο ευρωπαϊκό Κανονισμό με το όνομα “GDPR”, ο οποίος, σε κάποιο βαθμό, θα καταστούσε πιο ασφαλή την συνολική διαχείριση των προσωπικών μας δεδομένων από φορείς και επιχειρήσεις του δημόσιου και ιδιωτικού τομέα στην ευρωπαϊκή επικράτεια.  Άλλοι έμαθαν για τον Κανονισμό όταν λάμβαναν σωρηδόν ηλεκτρονικά αιτήματα από εταιρίες για να ανανεώσουν την συγκατάθεση τους για την λήψη newsletter από αυτές (σε αντίθετη περίπτωση θα διαγράφονταν από τις βάσεις δεδομένων των εταιριών), άλλοι υπέθεσαν ότι θα επρόκειτο για έναν Κανονισμό ο οποίος δεν θα εφαρμοζόταν επί της ουσίας στην Ελλάδα, ενώ άλλοι χαιρέτησαν αυτήν την ευρωπαϊκή πρωτοβουλία, ως μια προσπάθεια στο να ελεγχθεί η επεξεργασία και διαβίβαση των προσωπικών τους δεδομένων, πολλές φορές χωρίς καν να το γνωρίζουν.

Σε γενικές γραμμές, το πρώτο διάστημα εφαρμογής του Κανονισμού είχε παρατηρηθεί μεγάλη υστέρηση του δημόσιου τομέα στη συμμόρφωση, επαρκή δημοσιοποίηση στοιχείων υπευθύνου προστασίας δεδομένων στον ιδιωτικό τομέα, ικανοποίηση του βασικού επιπέδου ασφάλειας, έλλειψη συμμόρφωσης με τη νομοθεσία για τα cookies και τις συναφείς τεχνολογίες, καθώς και ελλιπή ενημέρωση για τις πράξεις επεξεργασίας και τους αποδέκτες δεδομένων σε ποσοστό 40% περίπου των υπεύθυνων.

 

Δύο χρόνια μετά

Πλέον οι περισσότεροι φορείς και οργανισμοί που διαχειρίζονται δεδομένα προσωπικού χαρακτήρα, αντιλαμβάνονται τον σκοπό και την σημαντικότητα του Κανονισμού, ενώ στην πλειοψηφία τους έχουν διορίσει υπεύθυνο προστασίας δεδομένων, αν και στην περίπτωση των μικρότερων σε μέγεθος επιχειρήσεων, ο διορισμένος DPO μπορεί να μην είναι ο πλέον ικανός για την εκπλήρωση των καθηκόντων του (πχ γραμματέας χωρίς ειδικές γνώσεις ή προσωπικό επιφορτισμένο με επιπλέον καθήκοντα).  Επιπλέον, σε αρκετές περιπτώσεις, οι διοικήσεις προχωράνε σε ορισμένες βασικές ενέργειες συμμόρφωσης, αλλά στην πορεία υπάρχει πιθανότητα μέρος των οργανωτικών και τεχνικών μέτρων να μην υλοποιούνται συστηματικά, λόγω φόρτου εργασίας.

Παρά τις γενικότερες προσπάθειες ενημέρωσης του κοινού, αρκετός κόσμος δεν φαίνεται να γνωρίζει επακριβώς τα δικαιώματα του ως πελάτης / καταναλωτής, σχετικά με την επεξεργασία ων προσωπικών του δεδομένων από την μεριά των οργανισμών που τον εξυπηρετούν. Επίσης, ορισμένοι πελάτες δείχνουν μια δυσπιστία, όπως για παράδειγμα, όταν έρχεται η ώρα να υπογράψουν ότι έλαβαν γνώση του σχετικού εντύπου ενημέρωσης ή να δώσουν την συγκατάθεση τους για την επεξεργασία των δεδομένων τους, πριν την εξυπηρέτηση τους.

Για αρκετούς προμηθευτές, ο Κανονισμός μπορεί να ερμηνεύεται ως μια ακόμα σύμβαση που πρέπει να υπογραφεί, αν και αυτό διαφοροποιείται από κλάδο σε κλάδο και ανάλογα με το μέγεθος των οργανισμών. Αφορά κυρίως τους εξωτερικούς συνεργάτες και υπεργολάβους, οι οποίοι λαμβάνουν και επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πελατών και προσωπικού ενός οργανισμού (πχ εξωτερικές εταιρείες για υποστήριξη μισθοδοσίας ή ασφάλισης προσωπικού, λογιστική υποστήριξη, μηχανογραφική υποστήριξη, συντήρηση εξοπλισμού, καθαριότητα υποδομών, φύλαξη κλπ.). Επιπλέον, παρότι ο ίδιος ο Κανονισμός δίνει το δικαίωμα στον DPO μιας εταιρίας να επιθεωρήσει το γενικότερο βαθμό συμμόρφωσης ενός προμηθευτή (εκτελών την επεξεργασία), αυτό συμβαίνει σπάνια, αν όχι ποτέ.

Σχετικά με το προσωπικό, αν και οι μεγάλοι οργανισμοί φροντίζουν για την βασική εκπαίδευση του, δεν διαφαίνεται να διαμορφώνεται εύκολα μια πραγματική «κουλτούρα» προστασίας δεδομένων. Για τον λόγο αυτό, απαιτούνται τακτικές εκπαιδεύσεις και επίσημες διαδικασίες, ώστε το προσωπικό να παραμένει σε συνεχή εγρήγορση. Επίσης, μέρος του προσωπικού ίσως  βλέπει με κάποια δυσπιστία το έντυπο ενημέρωσης για την προστασία δεδομένων που του γνωστοποιείται κατά την έναρξη της συνεργασίας, ενώ, ακόμα και στις περιπτώσεις που ορθώς έχει ενημερωθεί το προσωπικό για την δυνατότητα του να προσεγγίζει τον DPO για θέματα που άπτονται της προστασίας των δεδομένων του (ξεπερνώντας ακόμα και την ιεραρχία), αυτό δεν φαίνεται να ισχύει σε μεγάλο βαθμό στην ελληνική καθημερινότητα.

Τέλος, αρκετοί ελεύθεροι επαγγελματίες, αν και ίσως γνωρίζουν την ύπαρξη του Κανονισμού, δεν έχουν προχωρήσει σε κάποια ουσιαστική ενέργεια. Και αυτό, γιατί μπορεί να βρίσκονται ήδη αντιμέτωποι με πολύ μεγαλύτερα προβλήματα (ίσως και βιωσιμότητας), γιατί απαιτούνται επιπλέον πόροι ή γιατί δεν έχει βεβαιωθεί ακόμα καμία ηχηρή παράβαση που να τους ανησυχήσει. Οι ελεύθεροι επαγγελματίες δεν απαιτείται να ορίσουν DPO, αλλά καθότι συναλλάσσονται με πελάτες, συνεργάτες, προμηθευτές και, πιθανότατα, με προσωπικό, οφείλουν να προχωρήσουν σε κάποιες απαραίτητες ενέργειες συμμόρφωσης (πχ έντυπα ενημέρωσης ή συγκατάθεσης για όλες τις κατηγορίες υποκειμένων, αρχείο δραστηριοτήτων, πολιτική προστασίας δεδομένων, ενημέρωση για χρήση cookies στην ιστοσελίδα, ενημέρωση για ύπαρξη καμερών CCTV  κλπ.).

 

* Ο Δημοσθένης Κωστούλας, Quality Manager και DPO στην Κλινική ΓΕΝΕΣΙΣ στην Θεσσαλονίκη, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος MBΑ και MSc (International Business and Finance). Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο “Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα” (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι Γενικός Γραμματέας & μέλος του Δ.Σ. του ελληνικού παραρτήματος του European Association of Data Protection Professionals (EADPP), επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος του DPO Network Greece, μέλος του ΙΝ.ΕΠ.ΙΔ Β.Ελλάδος και μέλος του Homo Digitalis.