Το συνέδριο των DPOs επέστρεψε μετά από μια κρίσιμη χρονιά για την προστασία των δεδομένων. Το φετινό συνέδριο επιδίωξε και πέτυχε την ανταλλαγή εμπειριών για το πώς μπορεί πραγματικά να αξιοποιηθεί η ισχύς των δεδομένων μέσω της υπεύθυνης χρήσης τους.

Τα αποτελέσματα της εφαρμογής του GDPR από τον Μάιο του 2018 μέχρι και σήμερα, αλλά και τον ρόλο και τις αρμοδιότητες των DPOs και των CISOs, καθώς και συγκεκριμένα case studies καλών ή κακών πρακτικών εφαρμογής του GDPR τόσο στην Ελλάδα όσο και στο εξωτερικό, βρέθηκαν στο επίκεντρο του 4ου Data Privacy & Protection Conference που πραγματοποιήθηκε στις 25 Ιουνίου, από την BOUSSIAS και το περιοδικό netweek στο Αμφιθέατρο Maroussi Plaza. Το συνέδριο παρακολούθησαν εκατοντάδες στελέχη επιχειρήσεων, επιστήμονες, νομικοί και τεχνικοί από τον χώρο της Πληροφορικής.

Με αφορμή τα «γενέθλια» του GDPR έγινε αναδρομή στο έτος που πέρασε τόσο από τον Κώστα Λαμπρινουδάκη, Καθηγητή και Πρόεδρο του Τμήματος Ψηφιακών Συστημάτων Πανεπιστήμιο Πειραιά, μέλος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) (στο άνοιγμα του συνεδρίου), όσο και από τη Μαίρη Δεληγιάννη, Senior Associate της Zepos & Yannopoulos (κατά την ολοκλήρωση αυτού). Μια εις βάθος ανάλυση των προβλημάτων που παρουσιάστηκαν, αλλά και των λύσεων που προέκυψαν κατά τη διάρκεια του τελευταίου αυτού έτους πραγματοποιήθηκε από τον Παναγιώτη Αναστασάκη, Διευθύνων Σύμβουλο της Priority, ο οποίος παρουσίασε τα διδάγματα που αναδύθηκαν μέσα από την εμπειρία 180 έργων GDPR. Ιδιαίτερη έμφαση στις λύσεις που μπορούν να δοθούν στις ποικίλες προκλήσεις που παρουσιάζει σήμερα το security και το privacy έδωσε ο Simone Vernikov, Legal Data Privacy Counsel της OneTrust. «Στόχος είναι να εντάξουμε το GDPR στην καθημερινότητα» τόνισε ο Ιωάννης Φραγκουλόπουλος (Senior Manager, Advisory Services στην Ernst & Young Business Advisory Solutions S.A), καθώς το 82% των διευθυντικών συμβουλίων αποτυγχάνει να ενσωματώσει το cyber security επιτυχώς στην στρατηγική τους ατζέντα.

«Η εκπαίδευση αποτελεί κρίσιμο παράγοντα για να δρέψουμε τους καρπούς της 4ης βιομηχανικής επανάστασης» είπε χαρακτηριστικά ο Μιχάλης Σακκάς, Αντιπρόεδρος της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ).

Ο ρόλος της κουλτούρας ενός οργανισμού
Ο Jeremy Rollison (keynote speakers και Director, EU Government Affairs, Corporate, External and Legal Affairs (CELA) στην Microsoft Europe), ανέδειξε το privacy ως αναπόσπαστο τμήμα της κουλτούρας που πρέπει να εκφράζει τον εκάστοτε οργανισμό. Στην αξία της κουλτούρας επέμειναν και άλλοι ομιλητές, όπως ο Αθανάσιος Μητσάκος (MBCI – Lead Auditor of Management Systems της TÜV Austria Hellas): «Η πιστοποίηση είναι θέμα κουλτούρας» είπε. Τα τελευταία χρόνια έχει πραγματοποιηθεί μια αλλαγή της κουλτούρας σύμφωνα με τον Στέφανος Βιτωράτο, Αντιπρόεδρο της Homo Digitalis. Το GDPR έφερε στο προσκήνιο μια νέα μορφή εταιρικής κοινωνικής ευθύνης και συμμόρφωσης.

Μπορούμε όμως άραγε να αποτρέψουμε το ανθρώπινο λάθος; Ο Ανδρέας Χριστοφορίδης (Head of Technology Risk Services του International Cyber Security Institute στο Ηνωμένο Βασίλειο) μέσω της εμπειρίας του ισχυρίζεται πως δεν μπορούμε. Για αυτόν ακριβώς τον λόγο τόνισε πως ο άνθρωπος αποτελεί τον πιο αδύναμο κρίκο στα συστήματα ασφαλείας και ως εκ τούτου ιδιαίτερα σημαντική απειλή αποτελούν, πλέον, τα phishing attacks. Στους τρόπους περιορισμού του ανθρώπινου λάθους εμβάθυνε και η ομιλία της Κατερίνας Βράχα (Chief Legal and Compliance Officer στην Dixons SouthEast Europe). Ένα άλλο θέμα που χρήζει προσοχής είναι τα σκιώδη πληροφοριακά συστήματα, στα οποία αναφέρθηκε ο Ηλίας Χάντζος

Συμβουλές προς DPOs
Ο ρόλος και οι αρμοδιότητες των DPOs αποτέλεσαν δικαίως κομβικό θέμα στο συνέδριο. Συγκεκριμένα τον τελευταίο χρόνο πάνω από 350.000 οργανισμοί προσέλαβαν DPOs σύμφωνα με τον Νίκο Γεωργόπουλο (Cyber Risks Data Protection Insurance Advisor – Co Founder της DPO Academy). Τις γνώσεις του από τη Γερμανία μετέφερε στους συνέδρους ο Christopher Schmidt (EU and Intl. Affairs Officer, Hessian DPA), παρέχοντας συγκεκριμένες συμβουλές για τους DPOs ως προς τις δράσεις που πρέπει να επιδιώξουν αλλά και αυτές που πρέπει να αποφύγουν.

Συγχρόνως τις εμπειρίες τους από τη θέση του DPO και τις πολύτιμες συμβουλές τους έδωσαν και στελέχη επιφανών ελληνικών επιχειρήσεων: η Δήμητρα Ξηντάρα (Data Protection Officer της Eurolife ERB Insurance Group), η Φωτεινή Παπαθανασίου (OTE Group Data Protection Officer), ο Αντώνης Ευαγγελίδης ( Διευθυντής Εταιρικής Συμμόρφωσης & Προστασίας Δεδομένων (DPO) στην ΒΙΑΝΕΞ Α.Ε. – ΒΙΑΝ Α.Ε.) και η Έλενα Βρακατσέλη ( Data Protection Officer του Athens Medical Center). Επίσης ο Δημήτρης Πατσός, Πρόεδρος της ICS2 Hellenic Chapter, παρουσίασε τον ρόλο του CISO και το συνδυασμό δεξιοτήτων που αυτός απαιτεί.

Το φλέγον θέμα των αρμοδιοτήτων και της συμβολής των DPO συζητήθηκε επίσης και στο πάνελ που πραγματοποιήθηκε με συμμετέχοντες τους Σπύρο Τάσση (πρόεδρο του HADPP), Σοφοκλή Καραπιδάκη (Διευθυντή Κανονιστικής Συμμόρφωσης και Υπεύθυνο Προστασίας Δεδομένων της Μυτιληναίος ΑΕ), Μαίρη Δεληγιάννη (Senior Associate στη Zepos & Yannopoulos), Δημήτρη Ζωγραφόπουλο (Υπεύθυνο Προστασίας Δεδομένων DPO- επικεφαλή αυτοτελούς γραφείου προστασίας δεδομένων Υπουργείο Υγείας), Χρήστο Ξενάκη (Αναπληρωτή καθηγητή και Διευθυντή Μεταπτυχιακού του Τμήματος Ψηφιακών Συστημάτων στο Πανεπιστήμιο Πειραιά), Βασίλη Βασιλόπουλο ( DPO της EΡΤ) και συντονιστή τον Δημήτρη Γεωργόπουλο (Co Founder- Managing Partner at Rethink Business Lab, Founding Member DPO Academy).

Ο ρόλος και η συμβολή του DPO, καθώς και ο συσχετισμός του instant response με την προστασία δεδομένων, συζητήθηκαν και στη συνέντευξη επί σκηνής που έγινε με συντονιστή τον Δ. Πατσό και συμμετέχοντες τη Λιάνα Κοσμάτου (Δικηγόρο/ Αναπληρώτρια Γενική Διευθύντρια, Κ. Παπακωστόπουλος & Συνεργάτες, Δικηγορική Εταιρεία, μέλος του Διεθνούς Νομικού και Φορολογικού Δικτύου της KPMG) και τον Θεόδωρο Στεργίου (Διευθυντή Cyber Security & Risk Consulting της KPMG). Case studies και κανονιστικό πλαίσιο.

Τις λύσεις που προσφέρουν παρουσίασαν ο Νικήτας Κλαδάκης (Information Security Director της Netbull) και ο Κώστας Βούλγαρης (Financial Lines & Casualty Manager της AIG Greece).

Η εμπορική εκμετάλλευση των προσωπικών δεδομένων σε χρήσεις όπως το adtech αναλύθηκε από τον Σπύρο Τάσση (πρόεδρο του Hellenic Association of Data Protection & Privacy: HADPP), ενώ στη χρήση των προσωπικών δεδομένων για την στοχοποίηση κάποιων ανθρώπων για τη διασπορά fake news επικεντρώθηκε ο Αθανάσιος Θ. Κοσμόπουλος (LL.M, Υπεύθυνος Προστασίας Δεδομένων στο Υπουργείο Ψηφιακής Πολιτικής Τηλεπικοινωνιών και Ενημέρωσης).


Επίσης στο συνέδριο αναλύθηκαν και πιο ιδιαίτερες πτυχές του νέου κανονιστικού πλαισίου, όπως η πιθανή συμβατότητα του GDPR με το blockchain που παρουσιάστηκε από τον Ιωάννη Γιαννάκακη (Managing Partner FIP, CIPM, CIPP/E/US/, CFE, CDPO certified GDPR Practitioner, G+P Lawfirm).

Η Λίλιαν Μήτρου (Πρόεδρος του Ινστιτούτου για το Δίκαιο Προστασίας της Ιδιωτικότητας, των Προσωπικών Δεδομένων και την Τεχνολογία και Καθηγήτρια του Πανεπιστημίου Αιγαίου) επισήμανε πως παρόλη την ανερχόμενη δυναμική της η τεχνητή νοημοσύνη δεν εμφανίζεται πουθενά στo πλαίσιo του κανονισμού.

Επειδή η προστασία δεδομένων αφορά και τα έγγραφα ο Ηλίας Μελισσαρόπουλος (Business Development Manager της Canon) μίλησε για τον κύκλο ζωής ενός εγγράφου στο περιβάλλον του γραφείου.

Τι συμβαίνει όμως με το GDPR στο χώρο της εστίασης; Αυτό το θέμα παρουσίασε στην ομιλία του ο keynote speaker Jakub Niesterczuk (Data protection officer, legal counsel at Accor S.A. and Orbis S.A. της Orbis Hotel Group).

Tέλος, το αντίκτυπο του GDPR στους Cloud Service Providers και η διαπραγμάτευση και διαχείριση των data processing agreements είναι ένα θέμα που απασχολεί αρκετούς αυτή την εποχή. Έτσι ο Filipe Lousa, Global Data Protection Officer της Getronics, έδωσε στην παρουσίασή του τις κατάλληλες κατευθυντήριες οδηγίες.

Ανδρέας Χριστοφορίδης
Head of Technology Risk Services, International Cyber Security Institute, UK
Επαγγελματίας στην Ασφάλεια Πληροφοριών με εξειδίκευση στην ασφάλεια των πληροφοριών, τη διαχείριση κινδύνων, τη συνέχιση της επιχείρησης, το ιδιωτικό απόρρητο, και την συμμόρφωση με τον κυβερνοχώρο. Εξυπηρέτησε ως σύμβουλος, ομιλητής, εκπαιδευτής, και σύμβουλος στους τομείς της ασφάλειας των πληροφοριών.

    Πόσο ευάλωτα είναι βάση της εμπειρίας σας τα στελέχη στις επιθέσεις phishing;

Βάση της εμπειρίας μας τα στελέχη και το ανώτερο μάνατζμεντ είναι πιο επιρρεπείς σε επιθέσεις phishing, πρώτον γιατί έχουν περισσότερη αξία για τους hackers και δεύτερον λόγω του φόρτου εργασίας τους τείνουν να είναι πιο απρόσεχτοι. Η εμπειρία και οι μελέτες δείχνουν ότι ένα πολύ μεγάλο ποσοστό στελεχών δεν μπόρεσε να διακρίνει τη διαφορά ενός πραγματικού μηνύματος ηλεκτρονικού ταχυδρομείου και ενός μηνύματος ηλεκτρονικού «ψαρέματος» (phishing).Τα στελέχη καλούνται να απαντήσουν άμεσα σε πολλά κρίσιμα emails ενώ βρίσκονται σε συναντήσεις, σε παρουσιάσεις, άρα δεν προσέχουν από που έρχεται το email αλλά εστιάζουν κυρίως στο θέμα του. Ένας άλλος λόγος που είναι πιο επιρρεπείς είναι γιατί λόγω της θέσης τους τα στοιχεία τους είναι δημοσιοποιημένα και αποτελούν πιο ευκολους στόχους . Όταν ένα στέλεχος λάβει ηλεκτρονικό μήνυμα από τον Γεν. Διευθυντή δεν θα χάσει χρόνο να δει τον αποστολέα αλλά να απαντήσει στον ανώτερο του, το λεγόμενο CEO Fraud φαινόμενο που έχει πλήξει πολλές εταιρείες τελευταία.

Λίλιαν Μήτρου
Πρόεδρος του Ινστιτούτου για το Δίκαιο Προστασίας της Ιδιωτικότητας, των Προσωπικών Δεδομένων και την Τεχνολογία, Καθηγήτρια Πανεπιστημίου Αιγαίου
Διδάσκει Δίκαιο Προστασίας Προσωπικών Δεδομένων και Δίκαιο της Πληροφορίας/Διαδικτύου στο Τμήμα Μηχανικών και Πληροφοριακών Συστημάτων του Πανεπιστημίου Αιγαίου και ως επισκέπτρια καθηγήτρια στο Οικονομικό Πανεπιστήμιο Αθηνών και στο Πανεπιστήμιο Πειραιά.

Διετέλεσε μέλος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (1999-2003) και από τον Νοέμβριο 2016 είναι μέλος του Εθνικού Συμβουλίου Ραδιοτηλεόρασης. Κατά την Ελληνική Προεδρία του Συμβουλίου της ΕΕ (2014) υπήρξε Πρόεδρος της Ομάδας Εργασίας για την προστασία δεδομένων (DAPIX).

    Ποια είναι η θέση σας για την εφαρμογή κανονιστικών πλαισίων στην τεχνητή νοημοσύνη.

Μέσω των εφαρμογών της τεχνητής νοημοσύνης μπορεί να γίνει επεξεργασία των προσωπικών δεδομένων. Κατά την άποψη μου ο κανονισμός και γενικά το κανονιστικό πλαίσιο που διέπει την προστασία δεδομένων, εφαρμόζεται στην τεχνητή νοημοσύνη όπως εφαρμόζεται και σε άλλες προγενέστερες και παράλληλες φάσεις της τεχνολογίας, όπως είναι το cloud computing, όπως είναι το IoT κλπ. Βεβαίως υπάρχουν δυσκολίες στην εφαρμογή γιατί η τεχνητή νοημοσύνη είναι για πάρα πολλούς κάτι άγνωστο ακόμα. Τίθενται επίσης ζητήματα διαφάνειας με την έννοια ότι δεν μπορεί κανείς να δει με την μέση ευκολία που μπορεί να δει σε άλλες τεχνολογίες το τι ακριβώς συμβαίνει σε μια εφαρμογή τεχνητής νοημοσύνης. Αυτή η διεργασία είναι αδιαφανής και είναι άγνωστη ακόμα και στους τεχνικούς όπου οι ίδιοι την έχουν αναπτύξει γιατί ακριβώς ο αλγόριθμος μπορεί να μάθει από τα δεδομένα να παράξει νέα δεδομένα. Με αυτή την έννοια έχουμε δυσκολίες προσαρμογής του κανονιστικού πλαισίου, κυρίως σε αυτό το κομμάτι της αδιαφάνειας και κυρίως γιατί όταν έχεις αδιαφάνεια δεν μπορείς να διασφαλίσεις ότι η επεξεργασία είναι θεμιτή και σύννομη. Αλλά πιστεύω ότι παρόλαυτα είναι μια φάση προσαρμογής και βεβαίως ο κανονισμός διέπει και αυτά τα πράγματα. Ένας τεχνολογικά ουδέτερος κανονισμός δεν είναι προσαρμοσμένος στις συγκεκριμένες τεχνολογίες, είναι διατυπωμένος με τέτοια ευρύτητα πιστεύω που μπορεί να προσαρμοστεί στις ανάγκες κάθε νέου κύματος τεχνολογίας.

Σπύρος Τάσσης
Πρόεδρος, Ελληνική Ένωση για την Προστασία των Προσωπικών Δεδομένων και την Ιδιωτικότητα
Ο κος Τάσσης είναι Δικηγόρος με εξειδίκευση (LLM) και μακρά πρακτική ενασχόληση με τα ζητήματα του Δικαίου της Πληροφορικής, των Ηλεκτρονικών Επικοινωνιών και των Προσωπικών Δεδομένων. Έχει εκπονήσει, με την ομάδα του, μεγάλο αριθμό έργων προετοιμασίας και συμμόρφωσης με τον GDPR.

Είναι Πρόεδρος της Ένωσης Προστασίας Προσωπικών Δεδομένων και Ιδιωτικότητας), co-chair του Greek Chapter της IAPP (International Association of Privacy Professionals) και συνεργάτης της Επιστημονικής Ομάδας Δικαίου Πληροφορικής του Πανεπιστημίου Μακεδονίας.

    Σε τι επίπεδο έχουν καταφέρει οι ελληνικές επιχειρήσεις να συμμορφωθούνε με τον κανονισμό;

Αυτή τη στιγμή εκτιμάται πως το επίπεδο συμμόρφωσης βρίσκεται γύρω στο 40%. Αυτός είναι ένας μέσος όρος και στην Ευρώπη. Δεν βρισκόμαστε πιο πίσω από τον μέσω ευρωπαϊκό όρο, δεν ξέρουμε όμως για την ποιότητα της συμμόρφωσης, κατά πόσο είναι πλήρης ή κατά πόσο είναι μόνο στο στάδιο του assessment χωρίς να έχει γίνει σωστό implementation.

    Ποιο πιστεύετε πως θα είναι το μέλλον του Ad tech; Τόσο πρακτικά όσο και κανονιστικά.

Κανονιστικά για την ώρα έχουμε τον γενικό κανονικό στον οποίο δεν φαίνεται να αλλάζει κάτι. Περιμένουμε τον κανονισμό για το e-privacy και περιμένουμε και ειδικότερες νομοθετικές παρεμβάσεις σε ότι αφορά την τεχνητή νοημοσύνη. Αυτά τα τρία πλαίσια θα δείξουν πως θα εφαρμοστούν όλες οι νέες ψηφιακές εφαρμογές που βασίζονται σε συστήματα τεχνητής νοημοσύνης και ευρείας ανάλυσης ψηφιακών δεδομένων.