Υψηλή λογοδοσία, διαφάνεια, αλλά και «τσουχτερά» πρόστιμα φέρνει ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (GDPR)
- Ο νέος Κανονισμός διευρύνει τη διαφάνεια και τις υποχρεώσεις δημοσιοποίησης των παραβιάσεων ασφάλειας από τις εταιρείες
- Πρόστιμα ύψους έως και 20 εκατ. ευρώ ή 4% του συνολικού παγκόσμιου τζίρου για όσους δε συμμορφωθούν
- Ο ορισμός ενός Υπευθύνου Προστασίας Δεδομένων μπορεί να διευκολύνει μια επιχείρηση στη διαδικασία συμμόρφωσης με τον Κανονισμό
Έχοντας, πλέον, μπει στην τελική ευθεία για την έναρξη ισχύος του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR), η ΕΥ Ελλάδος, σε συνεργασία με τη StudySmart και τη δικηγορική εταιρεία «Νικόλας Κανελλόπουλος – Χαρά Ζέρβα & Συνεργάτες», διοργάνωσαν εκδήλωση με τίτλο: «Γενικός Κανονισμός για την Προστασία Δεδομένων & Βιώσιμες Λύσεις», τη Δευτέρα, 23 Απριλίου 2018, στο ξενοδοχείο New Hotel.
Με διακεκριμένους καλεσμένους ομιλητές, αλλά και με βάση την εμπειρία που έχει αποκομίσει από έργα για τον επερχόμενο ΓΚΠΔ, η ΕΥ Ελλάδος και οι συνεργάτες της παρουσίασαν τα σημεία-κλειδιά που πρέπει να απασχολήσουν τις επιχειρήσεις τον επόμενο μήνα, μέχρι την εφαρμογή του Κανονισμού.
Όπως τόνισε ο κ. Νικόλας Κανελλόπουλος, Διευθύνων Εταίρος της δικηγορικής εταιρείας «Νικόλας Κανελλόπουλος – Χαρά Ζέρβα & Συνεργάτες» και Πρόεδρος του Ινστιτούτου Δικαιοσύνης και Ανάπτυξης, το οποίο έχει συσταθεί στο πλαίσιο του Ευρωπαϊκού Οργανισμού Δημοσίου Δικαίου (European Public Law Organization-EPLO), κατά τον χαιρετισμό του.
"Βασική στόχευση του Κανονισμού είναι η ενιαία και άμεση εφαρμογή του από όλα τα κράτη-μέλη της Ε.Ε. Χωρίς υπερβολή, μιλάμε για ένα νέο καταστατικό χάρτη στον τομέα των προσωπικών δεδομένων"
Διαφάνεια και λογοδοσία, οι απαιτήσεις του ΓΚΠΔ από τις εταιρείες
Για τις απαιτήσεις αυξημένης πληροφόρησης και διαφάνειας του ΓΚΠΔ από τις εταιρείες, αναφορικά με τα δεδομένα που έχουν στη διάθεσή τους, μίλησε η κα Λίλιαν Μήτρου, καθηγήτρια του Πανεπιστημίου Αιγαίου. Ο ΓΚΠΔ ενισχύει τη διαφάνεια, όπως είπε η κα Μήτρου, καθώς η πληροφόρηση που πρέπει να παρέχουν οι εταιρείες στα πρόσωπα για τα δεδομένα τους διευρύνεται, ενώ, παράλληλα, πλέον, υποχρεούνται να δημοσιοποιούν οποιαδήποτε παραβίαση της ασφάλειας των δεδομένων.
"Η λέξη-κλειδί είναι η έννοια της λογοδοσίας. Σημαίνει ότι έχω την ευθύνη να συμμορφώνομαι, να επιδεικνύω και να αποδεικνύω συμμόρφωση με τον Κανονισμό. Μέχρι σήμερα, η μη συμμόρφωση με την εκάστοτε νομοθεσία ή κανονισμό δεν ήταν τόσο ακριβή και, ενδεχομένως, να βόλευε κάποιες εταιρείες. Ωστόσο, τα πράγματα, πλέον, αλλάζουν"
Τα υψηλά πρόστιμα στο επίκεντρο της προσοχής
Η κα Χαρά Ζέρβα, Δικηγόρος παρ’ Aρείω Πάγω, Διαχειρίστρια Εταίρος της δικηγορικής εταιρείας «Νικόλας Κανελλόπουλος – Χαρά Ζέρβα & Συνεργάτες» και Διαπιστευμένη Διαμεσολαβήτρια, τόνισε κατά την παρουσίασή της ότι τα πρόστιμα που θα επιβάλλονται θα πρέπει να είναι ισοδύναμα σε όλες τις χώρες, ενώ το ύψος τους θα ποικίλλει ανάλογα με τη φύση, τη βαρύτητα και τις συνέπειες της παράβασης, αγγίζοντας μέχρι και τα 20 εκατ. ευρώ ή 4% του συνολικού παγκόσμιου κύκλου εργασιών.
"Πράγματι, αν δεν υπήρχε αυτό το πλαίσιο κυρώσεων, ενδεχομένως να ήμασταν πολύ λιγότεροι σήμερα εδώ. Είναι απολύτως κρίσιμο το στάδιο μέχρι και την εφαρμογή του Κανονισμού, η σχετική προετοιμασία και ο σχεδιασμός, για την επιβολή και την επιμέτρηση των κυρώσεων σε περίπτωση παράβασης, δηλαδή, κρίσιμος είναι ο ‘πρότερος έντιμος βίος’, αλλά, βεβαίως και η συμπεριφορά και αντίδραση του Υπευθύνου μετά την παράβαση"
Οι διαδικασίες πριν την εφαρμογή του ΓΚΠΔ (GDPR)
Στη συνέχεια, τον λόγο πήραν οι κ.κ. Γιάννης Δρακούλης, Associate Partner, και Αλέξανδρος Χασάπης, Senior Manager, στο τμήμα Επιχειρηματικής Ακεραιότητας και Εταιρικής Συμμόρφωσης της ΕΥ Ελλάδος, οι οποίοι παρουσίασαν την εμπειρία τους από τα έργα ΓΚΠΔ που έχουν αναλάβει και τις διαδικασίες που ακολουθούν οι πελάτες στην πορεία προς τη συμμόρφωση με τον Κανονισμό. Όπως τόνισαν, οι περισσότεροι ξεκινούν με μία διαγνωστική διεργασία, ώστε να δουν πού βρίσκονται σε σχέση με τον ΓΚΠΔ, στη συνέχεια προχωρούν στην εφαρμογή, την αξιολόγηση, αλλά και την παρακολούθηση της λειτουργίας για τη συμμόρφωση.
"Κάποιοι δεν περνάνε από τη διαγνωστική διαδικασία, για να δουν πού είναι τα κενά τους, και πάνε μόνο με τα ‘SOS’ – ευτυχώς, μιλάμε για ένα μικρό μέρος της αγοράς", σημείωσε ο κ. Δρακούλης. "Η άσκηση του Κανονισμού, δεν είναι μία άσκηση επί χάρτου, είναι μία διαρκής αλλαγή στη λειτουργία των επιχειρήσεων", ανέφερε ο κ. Χασάπης.
Ο ρόλος του Υπευθύνου Προστασίας Δεδομένων
Στη σημασία του ρόλου του Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ - DPO) αναφέρθηκε ο κ. Πέτρος Τσαντίλας, Διδάκτωρ Νομικής – Δικηγόρος, Επιστημονικός Συνεργάτης Πανεπιστημίου Πελοποννήσου και τ. Μέλος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), κατά την παρουσίασή του.
"Ο ορισμός ενός Υπευθύνου Προστασίας Δεδομένων διευκολύνει την επιχείρηση, καθώς αποτελεί σημείο επαφής και επικοινωνίας με την Αρχή Προστασίας Δεδομένων, με τα υποκείμενα των προσωπικών δεδομένων και με τα Τμήματα της ίδιας της επιχείρησης. Παρά τα καθήκοντα και τα ιδιαίτερα προσόντα ενός ΥΠΔ, υπεύθυνος και υπόλογος παραμένει ο υπεύθυνος της επεξεργασίας προσωπικών δεδομένων, δηλαδή ο υπεύθυνος της επιχείρησης, και η ευθύνη του αυτή δεν μετατίθεται στον ΥΠΔ, που έχει πρωτίστως συμβουλευτικό ρόλο"
Ο ΥΠΔ αναφέρεται στη διοίκηση της εταιρείας, διασφαλίζοντας τη συμμόρφωση με τα δικαιώματα των φυσικών προσώπων, όπως υπογράμμισε η κα Ανθή Παπαγεωργίου, Senior Manager στο τμήμα Επιχειρηματικής Ακεραιότητας και Εταιρικής Συμμόρφωσης της ΕΥ Ελλάδος, κατά την ομιλία της.
"Ο ΥΠΔ, ουσιαστικά, είναι ο θεματοφύλακας – δημιουργεί μια κουλτούρα στη διοίκηση και χτίζει ένα ομαδικό πνεύμα, γιατί η εφαρμογή του Κανονισμού απαιτεί συλλογικότητα. Τέλος, ο ΥΠΔ μπορεί να είναι η γέφυρα ανάμεσα στο υποκείμενο και τον υπεύθυνο επεξεργασίας"
Ο κίνδυνος των κυβερνοεπιθέσεων και η ασφάλιση
Ο κ. Τάσος Κωνσταντέλος, Business Development Manager της Front Line S.A., αναφερόμενος σε θέματα κυβερνοασφάλειας, αλλά και παρουσιάζοντας την κάλυψη που προσφέρουν οι ασφαλιστικές εταιρείες για τον κίνδυνο κυβερνοεπιθέσεων και διαρροής προσωπικών δεδομένων. Πέραν της κάλυψης των προστίμων, οι ασφαλιστικές εταιρείες παρέχουν και άλλες σημαντικές καλύψεις, εξασφαλίζοντας έτσι την επιχείρηση.
"Οι ηλεκτρονικοί και διαδικτυακοί κίνδυνοι έχουν μπει για τα καλά στη ζωή μας, απειλώντας, πλέον, και τη συμμόρφωση με τον ΓΚΠΔ. Το 73% των Chief Information Security Officers (CISOs) αναμένεται να βιώσει παραβίαση της ασφάλειας μέσα σε ένα χρόνο, ενώ ο μέσος χρόνος που οι επιτιθέμενοι μένουν κρυμμένοι υποκλέπτοντας δεδομένα, είναι 140 ημέρες"
Βιώσιμη ανάπτυξη και ΓΚΠΔ
Για τη σύνδεση των εκθέσεων βιώσιμης ανάπτυξης και μη χρηματοοικονομικής πληροφόρησης, αλλά και των 17 Στόχων Βιώσιμης Ανάπτυξης του Ο.Η.Ε. με τον νέο Κανονισμό, μίλησε ο κ. Σπύρος Μορισαίος, Manager στο τμήμα Κλιματικής Αλλαγής & Βιώσιμης Ανάπτυξης της ΕΥ Ελλάδος.
"Η προστασία των προσωπικών δεδομένων έχει αναγνωριστεί από τα διεθνή πρότυπα βιωσιμότητας ως ένα από τα σημαντικότερα θέματα βιώσιμης ανάπτυξης για τις επιχειρήσεις. Οι εταιρείες που συντάσσουν εκθέσεις βιώσιμης ανάπτυξης, είτε εθελοντικά, είτε ως υποχρέωση από τη νομοθεσία, και έχουν προσδιορίσει το συγκεκριμένο θέμα ως ουσιαστικό για τις δραστηριότητές τους, καλούνται να δημοσιεύσουν πληροφορίες για τον τρόπο με τον οποίο το διαχειρίζονται, καθώς και να χρησιμοποιήσουν δείκτες επίδοσης για την αξιολόγηση της προσέγγισής τους. Τα πρότυπα GRI και το Οικουμενικό Σύμφωνο του Ο.Η.Ε αποτελούν εργαλεία, τα οποία μπορούν να χρησιμοποιήσουν οι επιχειρήσεις ως οδηγούς για τη σύνταξη των εν λόγω πληροφοριών"
Η λύση της ΕΥ και οι πιστοποιήσεις για τον ΓΚΠΔ
Μία παρουσίαση της πλατφόρμας που έχει δημιουργήσει η ΕΥ Ελλάδος ειδικά για τις επιχειρήσεις που επιθυμούν να αυτοματοποιήσουν ορισμένα δύσκολα σημεία, με βάση τις διεθνείς έρευνες, αλλά και την εγχώρια και διεθνή εμπειρία της ΕΥ από έργα αξιολόγησης, συμμόρφωσης και υλοποίησης, έκαναν οι κ.κ. Παναγιώτης Παπαγιαννακόπουλος, Director και υπεύθυνος των υπηρεσιών Cybersecurity, Data Protection & Privacy, και Χάρης Δημόπουλος, Manager στο τμήμα της ΕΥ Ελλάδος.
"Στην ΕΥ, δημιουργήσαμε μία πλατφόρμα που δίνει λύση στα πιο επίπονα σκέλη του ΓΚΠΔ: αυτά της διαχείρισης των συναινέσεων (consent management), της διαχείρισης των ενημερώσεων (notice management), αλλά και της διαχείρισης των δικαιωμάτων των υποκειμένων (data subject rights management). Η πλατφόρμα μοντελοποιεί τις βασικές έννοιες του κανονισμού και δίνει τη δυνατότητα διασύνδεσης πραγματικού χρόνου τόσο με τα συστήματα που χειρίζονται προσωπικά δεδομένα, όσο και με τα κανάλια που επικοινωνούμε με το φυσικό πρόσωπο, όπως το διαδίκτυο, κινητές εφαρμογές, καταστήματα, κτλ."
Παράλληλα, στις πιστοποιήσεις αναφορικά με τα θέματα της συμμόρφωσης και του κινδύνου, αναφέρθηκε ο Δρ. Κωνσταντίνος Κυρίτσης, Ιδρυτής και Διευθύνων Σύμβουλος της StudySmart:
"Βαδίζουμε στην εποχή της υπερειδίκευσης και γι’ αυτόν τον λόγο, όποια στελέχη δραστηριοποιηθούν στην περιοχή προστασίας των προσωπικών δεδομένων, είτε ως ΥΠΔ, είτε ως μέλη μιας ευρύτερης ομάδας διαχείρισης των δεδομένων, θα πρέπει να επενδύσουν τόσο σε πιστοποιήσεις, όσο και σε εντατικά εκπαιδευτικά προγράμματα για να μπορούν να ανταποκριθούν στις υψηλές απαιτήσεις των καιρών"