Άρθρο του κ. Λάμπρου Νάση, που δημοσιεύτηκε στο Broker’s Time 57*

*Ο κ. Νάσης είναι Managing Partner της Define Solution Ltd

Ένας χρόνος συμπληρώθηκε από την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων (ΕΕ 679/2016) ή αλλιώς GDPR, που σκοπό του έχει να προστατέψει τα φυσικά πρόσωπα εντός της ΕΕ από την επεξεργασία των προσωπικών τους δεδομένων αλλά και να επιβάλλει συμμόρφωση με νέες απαιτήσεις και υποχρέωση τεκμηρίωσης σε αυτούς που είναι υπεύθυνοι ή εκτελούν επεξεργασία στα δεδομένα αυτά.

Οι ποινές μη συμμόρφωσης είναι σημαντικές αλλά εδώ ίσως υπάρχει το πρώτο λάθος μήνυμα διότι εστιάζουμε κυρίως σε αυτές κι όχι στο κόστος συμμόρφωσης, σε περίπτωση εμφάνισης περιστατικού παραβίασης δεδομένων, εξαιτίας του οποίου μπορεί να διακυβευτεί το μέλλον μιας επιχείρησης.

Από τον Μάιο του 2018 έως τον Ιανουάριο του 2019 έχουν γίνει σε ευρωπαϊκό επίπεδο περισσότερες από 95.000 καταγγελίες πολιτών, οι οποίοι θεωρούν ότι παραβιάζονται τα προσωπικά τους δεδομένα και αφορούν στην πλειονότητά τους υπηρεσίες διαφημιστικών emails, telemarketing και καταγραφής εικόνας. Ο αριθμός βαίνει αυξανόμενος εάν σκεφτούμε ότι τον Δεκέμβριο οι καταγγελίες ήταν περίπου 60.000.

Αυτό καταδεικνύει ότι η ευαισθητοποίηση των φυσικών προσώπων σε ό,τι αφορά στη διαχείριση των προσωπικών τους δεδομένων από οργανισμούς ή εταιρείες αυξάνει συν τω χρόνω.

Σε ό,τι αφορά την Ελλάδα όπως αναφέρει η αρμόδια1 εποπτική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα:

  • Έχουν γίνει 121 γνωστοποιήσεις περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα.
  • Έχουν ληφθεί 860 παράπονα που αφορούν στην επεξεργασία προσωπικών δεδομένων φυσικών προσώπων.
  • Υπάρχει έλλειψη συμμόρφωσης με τη νομοθεσία για τα cookies και τις συναφείς τεχνολογίες, στο σύνολο σχεδόν των υπευθύνων επεξεργασίας.
  • Παρατηρήθηκε, ελλιπής ενημέρωση για τις πράξεις επεξεργασίας και τους αποδέκτες των προσωπικών δεδομένων σε ποσοστό 40% περίπου των υπευθύνων.
  • Αισθητή είναι η υστέρηση του Δημοσίου στη συμμόρφωση, κυρίως στον τομέα της διαφάνειας, στο σύνολο σχεδόν των φορέων που ελέγχθηκαν.
  • Αντίθετα, σε υψηλό ποσοστό, άνω του 80% των υπευθύνων επεξεργασίας δεδομένων, παρατηρήθηκε ικανοποιητικό βασικό επίπεδο ασφάλειας.
  • Επιπλέον, παρατηρήθηκε επαρκής βαθμός δημοσιοποίησης στοιχείων υπευθύνου προστασίας δεδομένων στον ιδιωτικό τομέα, σε ποσοστό άνω του 70% των υπευθύνων επεξεργασίας.
  • Η Αρχή εφιστά την προσοχή των υπευθύνων επεξεργασίας του Δημοσίου Τομέα (υπουργεία, δημόσιες υπηρεσίες, ΝΠΔΔ, ΟΤΑ, ανεξάρτητες Αρχές, κ.λπ.) στην τήρηση των υποχρεώσεών τους, που απορρέουν από τον GDPR. Ο ορισμός Υπευθύνων Προστασίας Δεδομένων, που στις δημόσιες δομές είναι υποχρεωτικός σύμφωνα με τον GDPR, παρουσιάζει καθυστέρηση αλλά και στον ιδιωτικό τομέα υπάρχει αντίστοιχη και μόλις το 1/3 των 3.500 υπόχρεων επιχειρήσεων έχουν ορίσει DPO2.

    Το τοπίο είναι επίσης σκιώδες σε ό,τι αφορά στην προσαρμογή πολύ μεγάλων εταιρειών παγκοσμίως. Ενδεικτικά:

  • Στις 23 Ιανουαρίου του τρέχοντος έτους, η Γαλλική Αρχή Προστασίας Δεδομένων (CNIL) επέβαλε στην Google πρόστιμο3 ύψους 50 εκατομμυρίων ευρώ, επειδή είχε ασαφή κι όχι απλή διαδικασία για να λάβει πληροφόρηση ή να ελέγξει ο χρήστης τα προσωπικά του δεδομένα.
  • Το Facebook αντιμετωπίζει πιθανότητα προστίμου μέχρι και 1,63 δισ. δολαρίων, από την Ιρλανδική Εποπτική Αρχή, για τo περιστατικό στο οποίο οι λογαριασμοί 50 εκατ. Χρηστών εκτέθηκαν εξαιτίας επίθεσης χάκερ, σύμφωνα με τη Wall Street Journal.
  • H Marriott, αντιμετωπίζει μεγάλο πρόστιμο, σίγουρα μεγαλύτερο από 20.000.000 ευρώ καθώς παραβιάσθηκε η ασφάλεια προσωπικών δεδομένων περισσότερων από 500 εκατομμυρίων ανθρώπων.
  • Εκκρεμούν καταγγελίες κατά της AMAZON, NETFLIX, SPOTIFY, YOUTUBE και APPLE για πλημμελή λειτουργία, όσον αφορά το «δικαίωμα πρόσβασης» των φυσικών προσώπων στα προσωπικά δεδομένα τους στις βάσεις των εταιρειών αυτών.
  • Είναι σαφές ότι ο Κανονισμός έχει αλλάξει το τοπίο. Υπάρχει, όμως, πολύς δρόμος που θα πρέπει να διανύσουμε μέχρι την πλήρη συμμόρφωση. Πρωτίστως, θα πρέπει να αντιμετωπιστεί αυτή η σημαντική αλλαγή ως ένα μείζον θέμα ασφάλειας και προστασίας των προσωπικών δεδομένων φυσικών προσώπων αλλά και της ελευθερίας τους, γενικότερα.