Μιχάλης Μωραϊτης, Μέλος ΔΣ European CIO Association – CIO της Νικ. Ι. Θεοχαράκης: Το GDPR θα επηρεάσει καταλυτικά τις Διευθύνσεις Πληροφορικής

Κάτι παραπάνω από καθοριστικής σημασίας θεωρείται για την ίδια την Ευρωπαϊκή Ένωση η εισαγωγή του GDPR στην καθημερινή επιχειρηματική πρακτική και λειτουργία. Τα περιβάλλον αναμένεται να αλλάξει, καθώς η έμφαση θα δίνεται -πλέον- στα φυσικά πρόσωπα, διαφυλάσσοντας την ακεραιότητα όσο και αρτιότητα των δεδομένων τους.

Το GDPR αλλάζει θεμελιωδώς τον τρόπο λειτουργίας των επιχειρήσεων σε όλη την ΕΕ, σε επίπεδο ασφαλείας, διακίνησης δεδομένων και εσωτερικών διαδικασιών και κουλτούρας των επιχειρήσεων. Ο νόμος δεν ασχολείται με τα νομικά πρόσωπα αλλά με τα φυσικά και έχει ως στόχο να διαφυλάξει την ακεραιότητα και την αρτιότητα των δεδομένων τους καθώς και να οριοθετήσει την χρήση και επεξεργασία των δεδομένων σύμφωνα πάντα με την συναίνεση του φυσικού προσώπου.

Πρόκειται για ένα πανευρωπαϊκό νόμο που και υπερισχύει έναντι της εθνικής νομοθεσίας των κρατών μελών, επιβάλλοντας πανευρωπαϊκούς κανόνες λειτουργίας και πολύ αυστηρά πρόστιμα. Και σύμφωνα με όλες τις ενδείξεις ο νόμος θα επιβληθεί χωρίς υποχωρήσεις και καθυστερήσεις, και κυρίως με έμφαση στα μεγάλα πρόστιμα όπως αυτά περιγράφονται στον νόμο. To GDPR αποτελεί ένα μεγάλο στοίχημα για την ΕΕ γι’ αυτό αναμένεται να υπάρχει μια καθολικότητα θέσης και σκληρή αντιμετώπιση για κάθε εταιρεία που θα τον παραβαίνει.

Προληπτική επιβολή προστίμων
Είναι σημαντικό να έχει κανείς στο μυαλό του ότι ο νόμος δεν προβλέπει την επιβολή προστίμων μόνο όταν υπάρχουν συμβάντα (π.χ. απώλειες δεδομένων), αλλά δρα προληπτικά και στο πλαίσιο αυτό θα επιβάλλονται πρόστιμα ακόμα και όταν οι επιχειρήσεις δεν έχουν λάβει τα μέτρα που απαιτούνται για την προστασία των προσωπικών δεδομένων. Όταν, δε, συμβεί απώλεια δεδομένων αυτή θα πρέπει να δηλωθεί εντός 72 ωρών στην τοπική αρχή (Αρχή Προστασίας Προσωπικών Δεδομένων για την Ελλάδα), ενώ να γίνει και μια προσωπική επικοινωνία με όλους τους εμπλεκόμενους σε αυτό το συμβάν. Αν η διαρροή δεδομένων αφορά πολλά φυσικά πρόσωπα και είναι αδύνατη η προσωπική επικοινωνία απαιτεί να γίνει έκδοση μιας δημόσιας ανακοίνωσης, με ότι αυτό συνεπάγεται για τη φήμη της εκάστοτε επιχείρησης.

Πιο αυστηρές συναινέσεις
Ο νέος νόμος βάζει πολύ μεγάλους φραγμούς περί των συναινέσεων. Έως τώρα κάθε εταιρεία έπαιρνε μια προφορική συναίνεση και τη διατηρούσε επ’ άπειρον, λειτουργώντας με ένα μεγάλο βαθμό ελευθερίας. Πλέον αυτό δεν ισχύει: η κάθε συναίνεση είναι ρητή, κατηγορηματική, ξεκάθαρη κι έχει συγκεκριμένη ενέργεια και συγκεκριμένη χρονική διάρκεια. Αυτό σημαίνει, για παράδειγμα, ότι για να μπορέσει κανείς να στείλει ένα συγκεκριμένο newsletter ή SMS χρειάζεται να πάρει συναίνεση ξεχωριστά γι’ αυτά.

Δικαίωμα στη λήθη
Επανέρχεται επίσης το δικαίωμα στη λήθη του φυσικού προσώπου, το οποίο, αν δεν υπάρχουν νομικά κωλύματα, έχει το δικαίωμα να το ασκήσει. Αυτό σημαίνει ότι μια εταιρεία είναι υποχρεωμένη να διαγράψει τις πληροφορίες για το φυσικό πρόσωπο από όλα τα αποθηκευτικά μέσα στα οποία τις έχει αποθηκεύσει. Αυτό είναι από τα διαδικαστικά σκληρότερα κομμάτια του νόμου και θα ταλαιπωρήσει αρκετές Διευθύνσεις Πληροφορικής, οι οποίες θα πρέπει να βρουν ένα τρόπο να το εφαρμόσουν. Αυτό σημαίνει ότι θα πρέπει να πάψει να υπάρχει το Shadow IT. H λίστα επαφών θα πρέπει να αντλείται μόνο από το κεντρικό σύστημα, οπότε κάθε Διεύθυνση Πληροφορικής θα πρέπει να ορίσει ποιος βλέπει τι για να πάρει τα σωστά δεδομένα, ώστε αν κάποια πρέπει να διαγράφονται, αυτά να διαγράφονται μια φορά κεντρικά.

Παράπλευρες πτυχές
Σε κάθε περίπτωση, υπάρχει η εκτίμηση ότι αν δηλωθεί έγκαιρα από την ίδια εταιρεία η απώλεια δεδομένων, η αντιμετώπισή της είναι ηπιότερη από ότι αν αυτή γίνει γνωστή χωρίς να το κάνει η ίδια. Χρειάζεται, επίσης, προσοχή και όσον αφορά τα δεδομένα που αποστέλλονται σε συνεργάτες.

Αν, για παράδειγμα, μια εταιρεία στείλει τα δεδομένα των πελατών της σε μια διαφημιστική εταιρεία προκειμένου να τρέξει μια καμπάνια, και υποκλαπούν αυτά τα δεδομένα εταιρεία και αποδειχθεί ότι η διαφημιστική δεν είχε πάρει τα κατάλληλα μέτρα προστασίας, δεχόμενη κατά συνέπεια πρόστιμο, πρόβλημα δημιουργείται και για την εταιρεία που της παρείχε τα δεδομένα διότι δεν την έλεγξε για το αν ικανοποιούσε τις απαιτήσεις του GDPR.

Σύμφωνα με τον νόμο, όταν μια εταιρεία δίνει τα δεδομένα των πελατών σε οποιοδήποτε συνεργάτη της θα πρέπει να φροντίζει ώστε να ζητήσει από αυτόν να τη διασφαλίσει ότι τηρούνται όλα τα μέτρα προστασίας που προδιαγράφει ο νόμος. Αν η επιτροπή ελέγχου διαπιστώσει ότι δεν έχουν παρθεί τα κατάλληλα μέτρα προστασίας τότε θα επιβάλει πρόστιμο τόσο στο συνεργάτη όσο και στην εταιρεία που τα έδωσε.

Επίσης, ο νόμος δεν κάνει διαχωρισμό στην απώλεια δεδομένων, αν δηλαδή αυτή είναι φυσική ή ψηφιακή. Τουτέστιν αν χαθεί ένα χαρτί που περιέχει μια λίστα πελατολογίου θεωρείται και αυτό απώλεια δεδομένων, ενώ ακολουθείται και στις δύο περιπτώσεις η ίδια ακριβώς διαδικασία. Σημαντικό να τονίσουμε ότι στο εύρος του νόμου συμπεριλαμβάνονται και οι απώλειες συσκευών (κινητά τηλέφωνα, tablet κλπ) που έχουν αποθηκευμένα δεδομένα προσωπικού χαρακτήρα ή αν μέσω των συσκευών δίνεται η δυνατότητα κάποιος να έχει πρόσβαση σε αυτά.

Ο νόμος γίνεται πιο απαιτητικός σε στοιχεία ευαίσθητων προσωπικών δεδομένων όπως είναι αυτά που διατηρούν οι οργανισμοί νοσοκομειακής περίθαλψης, οι ασφαλιστικές εταιρείες κ.λπ. Θα υπάρξουν εταιρείες που ο νόμος θα τους απορροφήσει σημαντικό ποσοστό και budget και ενέργειας. Οι πιο έτοιμες εταιρείες στην Ελλάδα όσον αφορά το νόμο GDPR είναι οι συστημικές τράπεζες, oι οποίες έχουν πολύ καλό βαθμό ετοιμότητας, δεδομένων των ήδη κανονιστικών πλαισίων που λειτουργούν. Ο νόμος θα εφαρμοστεί σε οποιαδήποτε εταιρεία διαχειρίζεται στοιχεία φυσικού προσώπου ανεξαρτήτου μεγέθους της είτε είναι δημόσια είτε ιδιωτική. Πλέον η Αρχή Προστασίας Προσωπικών Δεδομένων αποκτά ιδιαίτερες εξουσίες. Θα υπάρξουν, επίσης, έλεγχοι από επιτροπές μπαλαντέρ της Ευρωπαϊκής Ένωσης. Δηλαδή, μπορεί να έρθει μια ευρωπαϊκή ομάδα για να ελέγξει την εταιρεία σου και όχι μόνο η Αρχή Προστασίας Προσωπικών Δεδομένων.

Εκβιασμοί
Ενα ακόμα πράγμα που ανησυχεί την Ευρώπη είναι οι εκβιασμοί που θα ακολουθούν από την κλοπή δεδομένων. Αν, ωστόσο, μια εταιρεία έχει κάνει τις δέουσες ενέργειες προστασίας τότε ο νόμος θα την καλύπτει σε τέτοιες περιπτώσεις. Ο νόμος «αποδέχεται» την υποκλοπή δεδομένων και θεωρεί ότι είναι μέρος της καθημερινής λογική και σε καλύπτει αν έχει κάνει όλες τις δέουσες ενέργειες – οπότε και η αντιμετώπιση θα είναι διαφορετική. Αυτό που δεν αποδέχεται είναι να μην έχει κάνει μια εταιρεία όλα όσα προδιαγράφει ο νόμος για να προστατευτεί.

Εν κατακλείδι
Δυστυχώς, ένα σημαντικό επιχειρήσεων στην Ευρώπη και ένα πολύ μεγαλύτερο ποσοστό στην Ελλάδα δεν έτοιμο για την εφαρμογή του νόμου. Και υπάρχουν ακόμα πολλές ελληνικές επιχειρήσεις που αγνοούν το νόμο ή, τουλάχιστον, δεν έχουν διερευνήσει το θέμα. Επιπλέον, δεν έχει τρέξει καμία ενέργεια από το κράτος να ενημερώσει τις επιχειρήσεις ότι υπάρχει αυτός ο νόμος. Ούτε υπάρχει μια θεσμική ενημέρωση από τα επιμελητήρια. Έχει χαθεί πολύτιμος χρόνος λαμβάνοντας υπόψη ότι δεν αναμένεται να δοθεί παράταση όσον αφορά την εφαρμογή του νόμου.