Ο Γενικός Κανονισμός για την προστασία των Προσωπικών Δεδομένων (ΕΕ 2016/679, ΓΚΠΔ), ο οποίος ψηφίστηκε το 2016 και τέθηκε σε ισχύ στις 25 Μαΐου 2018, ώστε τα κράτη μέλη να μπορέσουν να εναρμονίσουν τη νομοθεσία τους και συνεκδοχικά άπαντες οι δημόσιοι και οι ιδιωτικοί φορείς να συμμορφωθούν προς αυτόν – μιας και ο Κανονισμός έχει άμεση εφαρμογή και δεν απαιτείται πράξη ενσωμάτωσης στην εσωτερική έννομη τάξη, είναι γνωστό ότι έγινε αντιληπτός στην Ελλάδα μόλις λίγους μήνες πριν την έναρξη της εφαρμογής του. Το χαρακτηριστικότερο πάντως δεν ήταν η έλλειψη εθνικών θεσμικών αντανακλαστικών. Το γεγονός ότι ο νέος εθνικός νόμος δεν έχει ψηφιστεί από τη Βουλή, παρότι η διαδικασία της διαβούλευσης έχει ολοκληρωθεί, μάλλον δεν εκπλήσσει ιδιαίτερα. Ο «θόρυβος» που προκλήθηκε πριν και μετά την 25η Μαΐου, η οποία φάνταζε για πολλές επιχειρήσεις σαν ένα είδος «συντέλειας», όχι μόνο καταλάγιασε, αλλάτο ζήτημα της συμμόρφωσης με τον Κανονισμό παραπέμφθηκε εν πολλοίς στις καλένδες. Επί της αρχής, η αναβλητικότητα των επιχειρήσεων, η ελλιπής πληροφόρηση των φορέων του Δημοσίου και η εν γένει αδιαφορία για τις συνέπειες της παράνομης επεξεργασίας προσωπικών δεδομένων επιβεβαιώνουν πως η κουλτούρα την οποία επιδιώκει να καλλιεργήσει ο νέος Κανονισμός θα είναι έργο ιδιαιτέρως δύσκολο. Ποια είναι όμως τα βασικά βήματα συμμόρφωσης με το νέο κανονιστικό πλαίσιο τα οποία υποχρεούνται να ακολουθήσουν τόσο ο δημόσιος όσο και ο ιδιωτικός τομέας;
Βήμα 1ο: Ενημέρωση – ετοιμότητα (Dataawareness).
Αν τα ίδια τα στελέχη της Κεντρικής και Αποκεντρωμένης Διοίκησης, των Οργανισμών Τοπικής Αυτοδιοίκησης και των άλλων ΝΠΔΔ δεν γνωρίζουν τι είναι ο Γενικός Κανονισμός για τα Προσωπικά Δεδομένα, ποια η σημασία των νέων διατάξεων και πολύ περισσότερο ποιες είναι οι υποχρεώσεις τους και αντιστοίχως τα δικαιώματα των υποκειμένων, τότε η μετάβαση στο επόμενο βήμα θα είναι καταδικασμένη σε αποτυχία. Χαρακτηριστικό παράδειγμα μη συμμόρφωσης με τον Κανονισμό αποτελεί έως και σήμερα η ταυτόχρονη εξυπηρέτηση δημοτών από τα ληξιαρχεία. Εκεί μπορεί κανείς – αναμένοντας τη σειρά του – να πληροφορηθεί από γάμους και διαζύγια έως το θρήσκευμα, το φύλο και την φυλετική καταγωγή των υποκειμένων. Το ίδιο ισχύει και για τις ιδιωτικές επιχειρήσεις. Αν και αυτές υπολαμβάνουν την υποχρέωση συμμόρφωσης προς τον Κανονισμό ως ένα ακόμα οικονομικό ή γραφειοκρατικό βάρος, αγνοώντας τις ευπάθειες του πληροφοριακού τους συστήματος, τότε εκθέτουν μετά βεβαιότητας σε κίνδυνο την πελατεία και την εμπορική τους φήμη. Δεν είναι τυχαίο που εταιρείες ή γραφεία με πελατεία από το εξωτερικό, με υπηρεσίες outsourcing και διαχείριση ευαίσθητων δεδομένων, έχουν σπεύσει ήδη να συμμορφωθούν με τον Κανονισμό.
Ωστόσο, θα πρέπει να σημειωθεί ότι καμία επιχείρηση δεν απαλλάσσεται του νέου θεσμικού πλαισίου στο μέτρο που διαχειρίζεται προσωπικά δεδομένα.Και αποτελεί κοινό τόπο πως η διαδικασία της συμμόρφωσης δεν είναι μια στατική διαδικασία. Με άλλα λόγια, η υποχρέωση συμμόρφωσης δεν έπαυσε στις 25 Μαΐου 2018. Πρόκειται, λοιπόν, για μια συνεχή προσπάθεια την οποία τελικώς θα αποτιμήσει σε πιθανό έλεγχό της η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Παράλληλα, είναι σημαντικό να τονιστεί ότι άλλη συμμόρφωση χρειάζεται μία μεγάλη πολυεθνική εταιρεία και άλλη συμμόρφωση ένα μικροβιολογικό εργαστήριο με πέντε εργαζόμενους. Βέβαια, δεν θα πρέπει αντιστοίχως να υπερτιμάτε ο αριθμός των εργαζομένων μιας επιχείρησης και να υποτιμάται ο αριθμός των πελατών που αυτή εξυπηρετεί. Έτσι, δεν αποκλείεται ένα e-shop με 2.500 πελάτες να είναι υπό προϋποθέσεις περισσότερο εκτεθειμένο από μία επιχείρηση με 250 εργαζόμενους.
Βήμα 2ο: Χαρτογράφηση δεδομένων (Datamapping).
Αφού προηγηθεί η αναγκαία ευαισθητοποίηση και εμπεδωθεί η σημασία της προστασίας των προσωπικών δεδομένων, ακολουθεί ο αναλυτικός προσδιορισμός των κάθε είδους δεδομένων που επεξεργάζεται ο δημόσιος ή ιδιωτικός φορέας. Τούτο σημαίνει πρακτικώς πως με την καταγραφή αυτή διερευνάται κάθε πιθανή μορφή επεξεργασίας (συλλογή, αποθήκευση, διαβίβαση, διαγραφή κ.α.) η οποία πραγματοποιείται σε οποιοδήποτε τμήμα και διεύθυνση του φορέα, ακόμη δε και αυτή που τυχόν ανατίθεται σε εξωτερικό συνεργάτη (λ.χ. λογιστή).
Στην πραγματικότητα, το πιο δύσκολο εγχείρημα της συμμόρφωσης είναι η χαρτογράφηση των δεδομένων, αφού τις περισσότερες φορές οι δημόσιοι και οι ιδιωτικοί φορείς αδυνατούν να καταγράψουν κάθε προσωπικό δεδομένο που επεξεργάζονται. Έχει δε παρατηρηθεί ότι και οι ίδιοι οι φορείς εκπλήσσονται όταν κατά το στάδιο αυτό ανακαλύπτουν τι δεδομένα έχουν συλλέξει, πού τα έχουν αποθηκεύσει και πολύ περισσότερο για ποιο σκοπό και με ποια νομική βάση τα έλαβαν. Η χαρτογράφηση διενεργείται συνήθως είτε με συνέντευξη είτε με ερωτηματολόγιο. Γι’ αυτόν ακριβώς τον λόγο, έχει βαρύνουσα σημασία το προηγούμενο στάδιο της ενημέρωσης, αφού εν τέλει τις απαντήσεις τις δίνει– με την κατάλληλη βέβαια βοήθεια – ο φορέας. Συνεπώς, γίνεται εξ αρχής αντιληπτό πως η διαδικασία της συμμόρφωσης μπορεί να διαρκέσει αρκετά, αναλόγως της εκάστοτε επεξεργασίας. Πράγματι, η συμμόρφωση ενός Δήμου με τον Κανονισμό, όπου πρέπει να καταγραφεί η ροή των δεδομένων (dataflow) κάθε τμήματος και κάθε επιμέρους δημοτικής επιχείρησης, απαιτεί πολύ περισσότερο χρόνο από τη συμμόρφωση ενός ιατρείουπου κατ’ εξοχήν επεξεργάζεται ευαίσθητα δεδομένα.
Βήμα 3ο: Αναφορά νομικών και πληροφοριακών ελέγχων (Gapanalysisreport)
Κατά το στάδιο αυτό εντοπίζονται τα κενά που υπάρχουν μετά την χαρτογράφηση των δεδομένων. Τα κενά αυτά εντοπίζονται ως επί το πλείστον στις διαδικασίες και τις πολιτικές του φορέα. Αν σήμερα αποταθεί το υποκείμενο των δεδομένων σε μία αντιπροσωπεία αυτοκινήτων από την οποία είχε αγοράσει προ δεκαπενταετίας ένα αυτοκίνητο και ασκήσει το δικαίωμα διαγραφής των δεδομένων του, είναι σχεδόν βέβαιο ότι η εταιρεία αυτή θα βρεθεί προ εκπλήξεως, αφού δεν θα έχει καθιερώσει σχετική πολιτική για τον τρόπο άσκησης των δικαιωμάτων των πελατών της και δεν θα είναι σε θέση να αποφασίσει εάν επιβάλλεται να διαγράψει τα δεδομένα ή υφίσταται νόμιμος λόγος διατήρησής τους.
Το ίδιο ισχύει και για τον δημόσιο τομέα. Αν κάποιος πολίτης ασκήσει το δικαίωμα πρόσβασης στα προσωπικά δεδομένα που τηρεί λ.χ. μία δημόσια υπηρεσία, είναι πολύ πιθανόν να μην ικανοποιηθεί το εν λόγω δικαίωμα κατά τις απαιτήσεις του άρθρου 15 ΓΚΠΔ. Εξίσου σημαντικά κενά παρατηρούνται και σε επίπεδο συμβάσεων. Λογιστικά, μεσιτικά, δικηγορικά γραφεία και ιατρεία είναι σε κάποιο βαθμό εκτεθειμένα, αφού αρκετοί εργαζόμενοι, ως εκτελούντες την επεξεργασία, δεν δεσμεύονται εγγράφως με τους υπευθύνους επεξεργασίας (δηλαδή, τον λογιστή, τον μεσίτη, τον δικηγόρο), ενώ συγχρόνως δεν υφίστανται καν ρήτρες εχεμύθειας. Αναφορικά δε με το τεχνικό – πληροφορικό σκέλος, σημειώνεται κατά κόρον ανορθολογική χρήση λογισμικών και μέτρων ασφαλείας. Επί παραδείγματι, παρατηρείται συχνά, ακόμη και από μεγάλες εταιρείες, η χρήση μη πιστοποιημένων προϊόντων (π.χ. «σπασμένα» προγράμματα για κακόβουλες επιθέσεις). Κανείς, όμως, «χάκερ» δεν «σπατάλησε»δύο – τρεις μήνες από τη ζωή του για να δώσει στο κοινό δωρεάν ένα προϊόν!
Βήμα 4ο: Πολιτική προστασίας προσωπικών δεδομένων (“Privacy”policy)
Αφού διαγνώστηκαν οι κίνδυνοι, οι ευπάθειες και όλα τα επιμέρους κενά, το τελευταίο βήμα αφορά τα νομικά, τεχνικά και οργανωτικά μέτρα που πρέπει να υιοθετήσει ο φορέας. Ως νομικά μέτρα για την προστασία των προσωπικών δεδομένων νοούνται κατά κύριο λόγο η αναθεώρηση των συμβάσεων των εργαζομένων ή των συνεργατών (με την εισαγωγή ρητρών εμπιστευτικότητας),ο επανασχεδιασμός των συμβάσεων που προορίζονται για τους πελάτες με τη χρήση κατάλληλου παραρτήματος για τα προσωπικά δεδομένα, ο ορισμός υπευθύνου προστασίας δεδομένων (ιδίως όταν αυτός είναι υποχρεωτικός), η τήρηση αρχείου δραστηριοτήτων κ.α. Σε τεχνικό επίπεδο, ενδείκνυται η αναβάθμιση των λογισμικών μέσω τακτικών ενημερώσεων, η χρήση αυθεντικών υπολογιστικών προγραμμάτων, η δημιουργία αντιγράφων ασφαλείας, η κρυπτογράφηση αρχείων που εμπεριέχουν προσωπικά δεδομένα, η ανωνυμοποίηση,ο έλεγχος πρόσβασης σε εξουσιοδοτημένα πρόσωπα κ.λ.π.
Τέλος, ως οργανωτικά μέτρα συνιστώνται, κατά μείζονα λόγο, η καθιέρωση εσωτερικής πολιτικής λειτουργίας του φορέα για την άσκηση των δικαιωμάτων των υποκειμένων,η εκπαίδευση του προσωπικού, η διαχείριση συμβάντων, η επίβλεψη κ.α. Σε κάθε περίπτωση, δεν θα πρέπει να υποβαθμίζεται και η σημασία της φυσικής ασφάλειας των δεδομένων, αφού πολλές φορές η κλοπή ενός κινητού τηλεφώνου ή η μη εγκατάσταση συστήματος πυρασφάλειας ή συστήματος τροφοδοσίας ρεύματος ενδέχεται να εκθέσουν τον φορέα στον κίνδυνο της απώλειας των δεδομένων.
Σε γενικές γραμμές, τα τέσσερα αυτά βήματα συνοψίζουν με απλά λόγια τις ενέργειες στις οποίες οι υπεύθυνοι επεξεργασίας οφείλουν να προβούν, ώστε να αποδείξουν, όταν απαιτηθεί, την συμμόρφωσή τους με τον Κανονισμό (αρχή της λογοδοσίας). Διευκρινίζεται ότι ειδικότερα ζητήματα, όπως η υποχρέωση διενέργειας εκτίμησης αντικτύπου, οι διαβιβάσεις δεδομένων εκτός Ε.Ε., η άσκηση δραστηριοτήτων σε περισσότερα κράτη, οι πιστοποιήσεις των υπευθύνων επεξεργασίας κ.λ.π., δεν είναι δυνατόν να αναπτυχθούν στο άρθρο αυτό. Επισημαίνεται πάντως ότι πολλοί επαγγελματίες αντιμετωπίζουν τον ΓΚΠΔ με επιφύλαξη, κυρίως αναλογιζόμενοι το κόστος συμμόρφωσης.
Το κόστος συμμόρφωσης, ωστόσο, δεν είναι για όλες τις περιπτώσεις το ίδιο. Κάθε επιχείρηση έχει τις δικές της ανάγκες. Το να εγκατασταθεί το ακριβότερο λογισμικό στα κεντρικά γραφεία μιας τράπεζας είναι προφανής λύση∙το να εγκατασταθεί, όμως, η τελευταία λέξη της τεχνολογίας σε μία δημοτική επιχείρηση που επεξεργάζεται δύο ή τρεις κατηγορίες απλών προσωπικών δεδομένων συνιστά οπωσδήποτε ανορθολογική επιλογή. Εν όψει του γεγονότος ότι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ήταν προς το παρόν (άτυπα) ανεκτική, οι υπεύθυνοι επεξεργασίας έχουν τον χρόνο να κάνουν βήματα συμμόρφωσης.
*Ο Γιώργος Γαλανόπουλος είναι Δικηγόρος (Μ.Δ.Ε. Δημοσίου Δικαίου Ε.Κ.Π.Α.) και Πιστοποιημένος Υπεύθυνος Προστασίας Δεδομένων (DPO) του Ελληνικού Ινστιτούτου Πιστοποιήσεων
Επισημαίνεται ότι το παρόν άρθρο εκφράζει προσωπικές θέσεις του γράφοντος και δεν έχει χαρακτήρα νομικής συμβουλής.