Τρία χρόνια GDPR: Ο απολογισμός

Η πρόοδος αλλά και τα εμπόδια στο δρόμο προς την καθολική ενσωμάτωση των απαιτήσεων του Κανονισμού

Πολλοί θα ισχυρίζονταν ότι ο ΓΚΠΔ 679/2016 γραφειοκρατικοποιήθηκε. Ότι έχει πάψει να φοβίζει τους επικεφαλής στις διοικητικές και διαχειριστικές βαθμίδες των Υπευθύνων Επεξεργασίας, και ότι ο DPO δεν έχει τα μέσα, τους πόρους και την υποστήριξη της ανώτατης διοίκησης για να ανταποκριθεί στα καθήκοντά του.

Βασίζουν αυτή την άποψη στο μειωμένο ενδιαφέρον για συμμόρφωση τόσο από πλευράς αγοράς όπου παρατηρείται σημαντική μείωση του κόστους ενσωμάτωσης και λήψης οργανωτικών και τεχνικών μέτρων, όσο και από πλευράς ενός διεκπεραιωτικού μάνατζμεντ, έλλειψη ελέγχων από τις Αρχές αλλά και λογοδοτικής αβελτηρίας για επιθεωρήσεις δεύτερου και τρίτου μέρους, ή και πιστοποιήσεις των σχετικών ISOs. Επιπρόσθετα, κανένας Υπεύθυνος επεξεργασίας δεν συντάσσει DPIA, Αρχείο Διεργασιών ή και Πολιτικές προστασίας. Ωστόσο, μάλλον πρόκειται για ρηχή ανάλυση.

Πίσω από την αρνητική εικόνα κρύβεται μια κάποια πρόοδος που εκτιμώ ότι είναι σημαντική. Ας πάρουμε τα πράγματα με τη σειρά. Τρία χρόνια μετά την εφαρμογή του GDPR η ενσωμάτωση των απαιτήσεων του Κανονισμού έχει φτάσει σε σημείο όπου ο DPO είναι είτε συνεργάτης της ανώτατης διοίκησης που ενημερώνεται εγκαίρως και παρεμβαίνει από τον σχεδιασμό μιας επεξεργασίας, είτε ο τελευταίος που μαθαίνει από μια αγχωμένη διοίκηση ότι χρειάζεται νομιμοποίηση μιας αυθαιρεσίας ή θεραπεία μέσω διορθωτικών ενεργειών.

Ο cocid-19 ήταν μια καλή αφορμή για να προσέχουν όλοι με τα ευαίσθητα δεδομένα και να ερωτάται ο ΥΠΔ σχεδόν πάντα από τον σχεδιασμό. Οι μελέτες αντικτύπου, οι DPAs και οι πολιτικές απορρήτου συντάσσονται αποκλειστικά από τον ΥΠΔ. Η κατάσταση αυτή απέχει αρκετά από τον ρόλο του αλλά είναι σημαντικό το γεγονός ότι όλο και περισσότερο γίνεται αντιληπτό ότι απαιτούνται Μελέτες Διακινδύνευσης και Αντικτύπου για τα δικαιώματα και τις ελευθερίες των Υποκειμένων.

Ο όγκος δουλειάς για τον DPO και τους νομικούς για σύνταξη Συμβάσεων Επεξεργασίας Δεδομένων πολλαπλασιάστηκε καθώς οι αντισυμβαλλόμενοι δε διανοούνται να εκτελέσουν κύρια σύμβαση χωρίς προσάρτημα GDPR. Το HR αρχίζει να συνειδητοποιεί, μετά την αρχική φάση άρνησης, ότι η προστασία δεδομένων είναι υποχρέωση και όχι πολυτέλεια, ορίζεται από υπέρτερο δίκαιο και απαιτεί στάθμιση σε εκατοντάδες διατάξεις που διέπουν τις εργασιακές σχέσεις.

Ο ελιγμός της ψηφιοποίησης της γραφειοκρατίας με συστήματα τηλεργασίας συναντά πλέον αντιδράσεις σε αντίθεση με τον εκσυγχρονισμό μέσω αποτελεσματικών αυτοματισμών με περισσότερο ασφαλή πληροφοριακά συστήματα και διαδικασίες. Ταυτόχρονα, οι ευαισθητοποιημένοι εργαζόμενοι πιέζουν ασκώντας τα δικαιώματά τους με σύμμαχο τον DPO. Το πιο χαρακτηριστικό παράδειγμα αυτής της «ιδιαίτερης» σχέσης HR & DPO είναι η διαδικασία πρόσληψης, αγοράς υπηρεσιών ή απλού ορισμού εργαζομένου ως Υπευθύνου Προστασίας Δεδομένων ή CISO καθώς κάθε ατομική διοικητική πράξη στη Διαύγεια είναι γεμάτη λάθη ή παραλείψεις.

Το ΙΤ αρχίζει να βλέπει την ευκαιρία να δαπανήσει αδιανόητα υψηλότερους πόρους για σίδερο και λογισμικό για τη βελτίωση διεργασιών, τη δημιουργία νέων εφαρμογών και την αγορά υπηρεσιών κυβερνοασφάλειας από την αιχμή της τεχνολογίας. Γίνεται πάλι ο ΙΤ ο πρώτος που καλείται να μιλήσει στις συσκέψεις και ο τελευταίος που ορίζει τα κατάλληλα τεχνικά μέτρα, αλλά αυτή τη φορά χωρίς ψαλίδισμα των εισηγήσεών του. Άλλωστε είναι ο μόνος που δεν τον διακόπτουν όταν μιλάει για προϊόντα τεχνητής νοημοσύνης καθώς οι ομοτράπεζοι συγκινούνται πάντα από τη ιδέα της τεχνολογικής πρωτοπορίας. Το πιο σημαντικό όμως είναι ότι το μάνατζμεντ επηρεάζεται στην κατεύθυνση της διαφάνειας και της λογοδοσίας ενώ αρχίζει να δείχνει ενδιαφέρον για το επίμονο κανονιστικό πλαίσιο των Βρυξελλών και τα συνοδευόμενα χρηματοδοτικά πακέτα για την ενιαία ψηφιακή αγορά.

Αυτό, μολονότι η επιλογή ή ο απολογισμός έργου ενός ηγέτη ή ενός μέλους Δ.Σ. δε συμπεριλαμβάνει στα κριτήρια αξιολόγησής του τη συμμόρφωση με τον GDPR ή το λιγότερο την προτυποποίηση μιας οντότητας με τα σχετικά αυτορρυθμιστικά εργαλεία όπως τα ISOs. Οι πολλές περιπτώσεις αδιάφορης και διεκπεραιωτικής διοίκησης οφείλονται περισσότερο στην απουσία προστίμων, την μικρή συχνότητα περιστατικών και κυβερνοεπιθέσεων, την αδιαφορία να ασκηθεί ανώτατος διοικητικός έλεγχος στις συγκεκριμένες οντότητες, ή τις σπάνιες επιθεωρήσεις των Αρχών.

 Σημαντικό εμπόδιο παραμένει η αδιαφορία του νομοθέτη να τροποποιήσει διατάξεις που συγκρούονται με τον ΓΚΠΔ όπως τα διάφορα μητρώα, πίνακες προσλήψεων και εργαζομένων, η Διαύγεια και άλλα, με αποτέλεσμα να δημοσιεύονται υπερβολικά και μη συναφή δεδομένα των υποκειμένων. Η σύγχυση για το τι είναι νόμιμο λειτουργεί ευνοϊκά για να γίνεται, χωρίς στάθμιση, επιλογή προτιμώμενων διατάξεων. Όμως, όσο και αν ακούγεται παράδοξο, η βασικότερη αιτία αυτής της κατάστασης παραμένει ο κακός εννοούμενος ανταγωνισμός στην αγορά των επαγγελματιών συμμόρφωσης.

Το κόστος για υπηρεσίες συμμόρφωσης δε μπορεί να είναι μικρότερο από την αγορά γραφικής ύλης μιας επιχείρησης. Αυτό δε σχετίζεται με το πόσο πρέπει να πληρώνεται η εξειδίκευση αλλά με το πόσο πληρώνεται η ευθύνη και πάντως, πόσο σέβεσαι και πόσο εμπιστεύεσαι έναν «ειδικό» που αμείβεται αναξιοπρεπώς ενώ εισηγείται, το λιγότερο, δεκαπλάσιου κόστους κατάλληλα τεχνικά και οργανωτικά μέτρα.

Είναι θέμα διαφάνειας λοιπόν και αυτό πρέπει να προσεχτεί ιδιαίτερα από τους δικηγόρους που φαίνεται να είναι μάλλον πιο κοντά στον ρόλο του DPO από όλους τους υπόλοιπους επαγγελματίες, αν και πολλοί άνθρωποι της πληροφορικής και υπεύθυνοι κυβερνοασφάλειας, είναι πρότυπα Υπευθύνων Προστασίας Δεδομένων.

ΣΧΕΤΙΚΑ ΑΡΘΡΑ