Η Μίνα Ζούλοβιτς, Δικηγόρος L.L.M, Partner Zoulovits-Kontogeorgou Law Firm, Digital Transformation & Privacy Legal Expert και μέλος του Multistakeholder Expert Group για την παρακολούθηση της υλοποίησης του GDPR (E-Commerce Europe Team), αναλύει τη νομική πτυχή του cyber security συναρτήσει του GDPR, δίνοντας συνέχεια στο μπαράζ των καθημερινών συνεντεύξεων του NetFAX με CISOs και στελέχη της ελληνικής και διεθνούς αγοράς cyber security, στο πλαίσιο του Ευρωπαϊκού Μήνα Κυβερνοασφάλειας.

Τι προβλέπει ο Γενικός Κανονισμός για τις προστασία των προσωπικών δεδομένων αναφορικά με τις υποχρεώσεις προστασίας των επιχειρήσεων έναντι των κυβερνογκληματιών και πόσο δύσκολο είναι να μπορέσει να αποζημιωθεί κανείς ηθικά και οικονομικά έναντι των ζημιών που έχει υποστεί από μια παραβίαση προσωπικών δεδομένων;
Θα πρέπει, εισαγωγικά, να επισημανθεί ότι η κυβερνοασφάλεια διέπεται από ένα ευρύ πλέγμα νομοθετικών διατάξεων.

Ιδιαίτερη έμφαση θα δοθεί, στο πλαίσιο του παρόντος, στον Ευρωπαϊκό Κανονισμό 679/2016 για την προστασία προσωπικών δεδομένων (ο «Κανονισμός»), καθότι μια από τις πλέον χαρακτηριστικές μορφές που μπορεί να λάβει μια κυβερνοεπίθεση είναι αυτή της παραβίασης δεδομένων προσωπικού χαρακτήρα (data breach).

Μάλιστα, καθότι τα προσωπικά δεδομένα βρίσκονται στον πυρήνα της εμπορικής δραστηριότητας ενός μεγάλου ποσοστού των ελληνικών επιχειρήσεων, μια κυβερνοεπίθεση με τη μορφή της παραβίασης δεδομένων προσωπικού χαρακτήρα θα μπορούσε να προκαλέσει ανυπολόγιστη ζημία τόσο σε εμπορικό, όσο και σε νομικό επίπεδο για τις επιχειρήσεις – πολλώ δε μάλλον λαμβάνοντας υπόψη και τα «τσουχτερά» πρόστιμα που προβλέπει ο Κανονισμός για την παραβίασή του.

Ο Κανονισμός θεσπίζει την ευθύνη των μερών που εμπλέκονται στην επεξεργασία των δεδομένων (υπεύθυνος επεξεργασίας, εκτελών την επεξεργασία), θεμελιώνοντας αξίωση αποζημίωσης για όσους υφίστανται (υλική ή μη) ζημία από την παραβίαση, ενώ προβλέπει δικαίωμα καταγγελίας και δικαστικής προσφυγής, αλλά και κυρώσεις σε βάρος όσων παραβιάζουν τις διατάξεις του.

Επιπροσθέτως των ως άνω νομικών «όπλων», ο Κανονισμός παρέχει και πρακτικά εργαλεία για την αντιμετώπιση των παραβιάσεων, με τη μορφή μηχανισμών καθώς και τεχνικών και οργανωτικών μέτρων ασφαλείας που πρέπει να εφαρμόζουν κατ’ ελάχιστον οι επιχειρήσεις, όπως είναι ενδεικτικά η ψευδωνυμοποίηση και η κρυπτογράφηση των δεδομένων, η διασφάλιση του απορρήτου, της ακεραιότητας και της αξιοπιστίας των συστημάτων και η τακτική δοκιμή και αξιολόγηση της αποτελεσματικότητας των μέτρων.

Περαιτέρω, θεσπίζει συγκεκριμένη διαδικασία που οφείλει να ακολουθεί μια εταιρεία (ως υπεύθυνη επεξεργασίας), εντός συγκεκριμένου χρονοδιαγράμματος σε περίπτωση που σημειωθεί περιστατικό παραβίασης και υποχρέωση γνωστοποίησης του περιστατικού (υπό προϋποθέσεις) στην αρμόδια εποπτική αρχή. Η θέσπιση διαδικασιών και μέτρων ασφαλείας, καίτοι δεν αποτελεί «νομικό όπλο» για την προστασία έναντι των κυβερνογκληματιών, ωστόσο υποχρεώνει τις επιχειρήσεις να αναθεωρήσουν συνολικά τις οργανωτικές δομές, τη διάρθρωση και τις διαδικασίες τους, βελτιώνοντας έτσι το επίπεδο ασφαλείας των συστημάτων τους και «θωρακίζοντας» την επιχείρηση έναντι των κυβερνοεπιθέσεων.

Οι επιχειρήσεις καλούνται να υιοθετήσουν ολοκληρωμένους μηχανισμούς για την αποτροπή, τον μετριασμό και την αντιμετώπιση περιστατικών παραβίασης, προς όφελος τελικά της ίδιας της επιχείρησης και της ασφάλειας των δεδομένων που επεξεργάζεται απέναντι στην απειλή κυβερνοεπίθεσης. Επομένως, το «οπλοστάσιο» που παρέχει ο Κανονισμός για την προστασία των επιχειρήσεων από τους κυβερνογκληματίες δεν εξαντλείται στη θέσπιση ευθύνης και κυρώσεων σε βάρος των παραβατών, αλλά προβαίνει, έτι περαιτέρω, στην πρόβλεψη συγκεκριμένων (υποχρεωτικών) μέτρων τα οποία επιτρέπουν στις επιχειρήσεις να βρίσκονται σε ετοιμότητα για να ανιχνεύουν όσο το δυνατόν ταχύτερα τις κυβερνοεπιθέσεις, καθώς και να περιορίζουν την έκταση και τις συνέπειες βλαπτικές συνέπειες αυτών.

Πόσο σημαντικός είναι, τελικά, ο ρόλος των αρχών για την αποτελεσματικότερη εφαρμογή του Κανονισμού για τις παραβιάσεις των προσωπικών δεδομένων;
Σε κάθε κράτος-μέλος υπάρχει μια ανεξάρτητη δημόσια εποπτική αρχή (για την Ελλάδα είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα – ΑΠΔΠΧ), η οποία έχει μεταξύ άλλων, εξουσία διεξαγωγής ερευνών και ελέγχου της εφαρμογής του Κανονισμού, καθώς και εξουσία διορθωτικών ενεργειών και επιβολής διοικητικών προστίμων. Ωστόσο, αν και ο ρόλος της εποπτικής αρχής είναι κομβικός, η αποτελεσματική προστασία από τις παραβιάσεις απαιτεί συντονισμένη προσπάθεια όλων των εμπλεκόμενων μερών.

Πιο συγκεκριμένα, η εποπτική αρχή θα πρέπει να επικουρείται τόσο από τα υποκείμενα των δεδομένων, τα οποία θα πρέπει να ενημερώνουν (είτε την εποπτική αρχή είτε την ίδια την εταιρεία) όταν αντιλαμβάνονται κάποια παραβίαση δεδομένων, όσο και (κυρίως) από τους ίδιες τις εμπλεκόμενες επιχειρήσεις, με την υιοθέτηση μέτρων ασφαλείας και μηχανισμών γνωστοποίησης παραβιάσεων (όπως επισημαίνεται ανωτέρω).

Άλλωστε, στον πυρήνα του Κανονισμού βρίσκεται και η αρχή της λογοδοσίας, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και θα πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με τις διατάξεις του Κανονισμού. Προς την κατεύθυνση αυτή, θα ήταν σκόπιμο και οι εταιρείες να ενημερώνουν αναλυτικά τα υποκείμενα των δεδομένων, παρέχοντάς τους τα εργαλεία και τα στοιχεία επικοινωνίας για την υποβολή αναφορών σχετικά με παραβιάσεις προσωπικών δεδομένων που υποπίπτουν στην αντίληψή τους.

Tι εξελίξεις επιφέρει κατά τη γνώμη σας γενικά ο Γενικός Κανονισμός για τα προσωπικά δεδομένα όσον αφορά στο πλαίσιο που σχετίζεται με το cyber security; Τι άλλο πιστεύετε ότι θα μπορούσε να βελτιωθεί στο μέλλον;
Ο Κανονισμός, ο οποίος «μετρά» περισσότερο από ένα έτος εφαρμογής, επιχειρεί να επικαιροποιήσει και να ομογενοποιήσει τους κανόνες που ίσχυαν (ήδη από το 1995 και πριν την αλματώδη ανάπτυξη του ψηφιακού μετασχηματισμού των επιχειρήσεων) για την προστασία των προσωπικών δεδομένων σε ευρωπαϊκό επίπεδο, λαμβάνοντας υπόψη και την πρόοδο της τεχνολογίας που επιτρέπει ολοένα και μεγαλύτερη διείσδυση στα προσωπικά δεδομένα.

Οι προκλήσεις, ωστόσο, που αντιμετωπίζουν οι επιχειρήσεις στην προσπάθειά τους να εφαρμόσουν το νέο νομοθετικό πλαίσιο δεν είναι λίγες, καθότι το σύνθετο (και ενίοτε ασαφές) λεκτικό του Κανονισμού, καθώς και οι υποχρεώσεις που καθιερώνει, καθιστούν ιδιαίτερα δυσχερή την κατανόηση των διατάξεων και την εφαρμογή τους στις καθημερινές επιχειρηματικές δραστηριότητες. Μάλιστα δεν είναι λίγες οι περιπτώσεις που οι διατάξεις του Κανονισμού μοιάζουν να είναι «ασύμβατες» με τις ψηφιακές εξελίξεις (επί παραδείγματι AI ή τεχνολογίες blockchain) ή προβληματικές για τον τρόπο που λειτουργούν οι σύγχρονες επιχειρήσεις.

Το νομοθετικό πλαίσιο θα μπορούσε αδιαμφισβήτητα να βελτιωθεί (με την τροποποίηση διατάξεων αλλά και την έκδοση, από αρμόδια όργανα, κατευθυντηρίων οδηγιών και διευκρινιστικών εγγράφων), ώστε να «αφουγκράζεται» και να ανταποκρίνεται καλύτερα στην πραγματική κατάσταση της αγοράς, επιτρέποντας στις εταιρείες να συμμορφώνονται με τις διατάξεις του, χωρίς όμως να «θυσιάζουν» τις επιχειρηματικές τους ανάγκες.

Πρέπει, ωστόσο, να επισημανθεί, ειδικά σε ο, τι αφορά την κυβερνοασφάλεια, ότι θεσπίζοντας την υποχρέωση υιοθέτησης συγκεκριμένων μέτρων ασφαλείας και συστημάτων, ο Κανονισμός δίνει μια ευκαιρία στις επιχειρήσεις να αναθεωρήσουν συνολικά τις οργανωτικές δομές, τη διάρθρωση και τις διαδικασίες τους, προς όφελος τελικά της ίδιας της επιχείρησης απέναντι στην απειλή κυβερνοεπίθεσης.

Η απαίτηση του Κανονισμού για αυξημένα μέτρα ασφαλείας αλλά και για το σχεδιασμό των εφαρμογών με μέτρα για την προστασία των δεδομένων ήδη από το σχεδιασμό και εξ’ ορισμού (privacy by design and by default) ναι μεν συνιστά μια πρόκληση για τις επιχειρήσεις, όμως ταυτόχρονα τις ωθεί να υιοθετήσουν κατάλληλες πρακτικές και οικονομικές επιχειρηματικές λύσεις, οι οποίες τελικά συμβάλλουν στη «θωράκιση» τους απέναντι στις απειλές κυβερνοεπιθέσεων, αλλά και δημιουργούν μια σχέση εμπιστοσύνης με τους πελάτες.

Πώς επηρεάζει ο Κανονισμός για τα προσωπικά δεδομένα το πλαίσιο που διέπει την αποθήκευση των δεδομένων στο cloud; Τι ασφαλιστικές δικλείδες πρέπει να έχει ένας οργανισμός που τηρεί ή μεταφέρει δεδομένα σε διάφορες χώρες ή περιοχές του πλανήτη;
Κατά την αποθήκευση δεδομένων στο cloud οι επιχειρήσεις θα πρέπει να εφαρμόζουν, μεταξύ άλλων, τις διατάξεις του Κανονισμού και τις βασικές αρχές για την προστασία των δεδομένων που ο Κανονισμός θεσπίζει.
Ιδιαίτερη προσοχή πρέπει να δείχνουν οι επιχειρήσεις όταν μεταφέρουν δεδομένα σε χώρες εκτός Ευρωπαϊκής Ένωσης. Ειδικότερα, όταν τα δεδομένα διαβιβάζονται σε τρίτη χώρα, η επιχείρηση θα πρέπει να εξετάζει αν για την εν λόγω χώρα έχει εκδοθεί από την Ευρωπαϊκή Επιτροπή απόφαση επάρκειας, η οποία πιστοποιεί ότι η εν λόγω χώρα παρέχει επαρκές επίπεδο προστασίας των δεδομένων.

Εάν δεν υπάρχει απόφαση επάρκειας, η επιχείρηση θα πρέπει να διερευνήσει τις προβλεπόμενες από τον Κανονισμό εγγυήσεις για διαβίβαση δεδομένων σε τρίτες χώρες (υπογραφή πρότυπων συμβατικών ρητρών, δεσμευτικών εταιρικών κανόνων, μηχανισμοί πιστοποίησης όπως είναι το Privacy Shield για τη διαβίβαση δεδομένων στην Αμερική κλπ.). Εξυπακούεται ότι κατά την αποθήκευση δεδομένων στο cloud αλλά και κατά τη διαβίβαση σε άλλες χώρες, οι επιχειρήσεις θα πρέπει να εφαρμόζουν τα τεχνικά και οργανωτικά μέτρα που (όπως αναφέρεται ανωτέρω) θεσπίζει ο Κανονισμός.

Who’s Who
Η Μίνα Ζούλοβιτς είναι δικηγόρος, συνεταίρος στη δικηγορική εταιρεία Zoulovits-Kontogeorgou, και εξειδικεύεται στο χώρο του δικαίου των εταιρειών καθώς και του δικαίου των online & mobile συναλλαγών και της καινοτομίας. Παρέχει τις νομικές της υπηρεσίες σε αρκετές από τις μεγαλύτερες ελληνικές και πολυεθνικές εταιρείες (με παρουσία και σε αρκετές χώρες του εξωτερικού), καθώς και σε πολλά δυναμικά και φιλόδοξα startups με καινοτόμες ιδέες.
Διαθέτει πλούσια πρακτική εμπειρία στη διαχείριση σύνθετων και εξειδικευμένων νομικών ζητημάτων που σχετίζονται με τις νέες μορφές συναλλαγών και τεχνολογιών καθώς και με την καινοτομία.

Επίσης, συνεργάζεται με τα νομικά τμήματα μεγάλων εταιρειών για τον νομικό σχεδιασμό και την υλοποίηση της στρατηγικής τους σε θέματα που άπτονται της εξειδίκευσής της, συμμετέχει σε έργα ηλεκτρονικής διακυβέρνησης και έχει μακρά συνεργασία με μεγάλα (Legal 500) δικηγορικά γραφεία του εξωτερικού για την παροχή νομικών υπηρεσιών σε διεθνές επίπεδο. Έχει συμμετάσχει σε νομοπαρασκευαστικές επιτροπές, διδάσκει ως επισκέπτρια σε ακαδημαϊκά προγράμματα και είναι εισηγήτρια σε εγχώρια και διεθνή συνέδρια και ημερίδες.

Επίσης είναι εκλεγμένο μέλος της Συμβουλευτικής Επιτροπής και εξωτερική Νομική Σύμβουλος του Ελληνικού Συνδέσμου Ηλεκτρονικού Εμπορίου (GRECA), καθώς και μέλος του Multistakeholder Expert Group που έχει συστήσει η ΕΕ, για την παρακολούθηση της υλοποίησης του GDPR (E-Commerce Europe Team).