ΕΥ: Υψηλή λογοδοσία και «τσουχτερά» πρόστιμα φέρνει ο νέος Κανονισμός για την Προστασία Δεδομένων

Τα νέα δεδομένα που φέρνει ο νέος Γενικός Κανονισμός της ΕΕ για την Προστασία των Δεδομένων βρέθηκαν στο επίκεντρο εκδήλωσης που διοργάνωσε την περασμένη Δευτέρα (23/4) η ΕΥ Ελλάδος, σε συνεργασία με τη StudySmart και τη δικηγορική εταιρεία «Νικόλας Κανελλόπουλος – Χαρά Ζέρβα & Συνεργάτες».

Η ΕΥ Ελλάδος και οι συνεργάτες της παρουσίασαν, μάλιστα, τα σημεία-κλειδιά που πρέπει να απασχολήσουν τις επιχειρήσεις τον επόμενο μήνα, μέχρι την εφαρμογή του Κανονισμού, o οποίος τίθεται σε εφαρμογή από τις 25 Μαΐου

«Βασική στόχευση του Κανονισμού είναι η ενιαία και άμεση εφαρμογή του από όλα τα κράτη-μέλη της Ε.Ε. Χωρίς υπερβολή, μιλάμε για ένα νέο καταστατικό χάρτη στον τομέα των προσωπικών δεδομένων», τόνισε ο Νικόλας Κανελλόπουλος, Διευθύνων Εταίρος της δικηγορικής εταιρείας «Νικόλας Κανελλόπουλος – Χαρά Ζέρβα & Συνεργάτες» και Πρόεδρος του Ινστιτούτου Δικαιοσύνης και Ανάπτυξης, το οποίο έχει συσταθεί στο πλαίσιο του Ευρωπαϊκού Οργανισμού Δημοσίου Δικαίου (European Public Law Organization-EPLO), κατά τον χαιρετισμό του.

Για τις απαιτήσεις αυξημένης πληροφόρησης και διαφάνειας του ΓΚΠΔ από τις εταιρείες, αναφορικά με τα δεδομένα που έχουν στη διάθεσή τους, μίλησε η Λίλιαν Μήτρου, καθηγήτρια του Πανεπιστημίου Αιγαίου. «Η λέξη-κλειδί είναι η έννοια της λογοδοσίας. Σημαίνει ότι έχω την ευθύνη να συμμορφώνομαι, να επιδεικνύω και να αποδεικνύω συμμόρφωση με τον Κανονισμό», σημείωσε κατά την ομιλία της.

Όπως είπε η Λίλιαν Μήτρου, ο ΓΚΠΔ ενισχύει τη διαφάνεια, καθώς η πληροφόρηση που πρέπει να παρέχουν οι εταιρείες στα πρόσωπα για τα δεδομένα τους διευρύνεται, ενώ, παράλληλα, πλέον, υποχρεούνται να δημοσιοποιούν οποιαδήποτε παραβίαση της ασφάλειας των δεδομένων. «Μέχρι σήμερα, η μη συμμόρφωση με την εκάστοτε νομοθεσία ή κανονισμό δεν ήταν τόσο ακριβή και, ενδεχομένως, να βόλευε κάποιες εταιρείες. Ωστόσο, τα πράγματα, πλέον, αλλάζουν», πρόσθεσε.

«Πράγματι, αν δεν υπήρχε αυτό το πλαίσιο κυρώσεων, ενδεχομένως να ήμασταν πολύ λιγότεροι σήμερα εδώ», υπογράμμισε κατά την παρουσίασή της η Χαρά Ζέρβα, Δικηγόρος παρ’ Aρείω Πάγω, Διαχειρίστρια Εταίρος της δικηγορικής εταιρείας «Νικόλας Κανελλόπουλος – Χαρά Ζέρβα & Συνεργάτες» και Διαπιστευμένη Διαμεσολαβήτρια.

Όπως τόνισε, τα πρόστιμα που θα επιβάλλονται θα πρέπει να είναι ισοδύναμα σε όλες τις χώρες, ενώ το ύψος τους θα ποικίλλει ανάλογα με τη φύση, τη βαρύτητα και τις συνέπειες της παράβασης, αγγίζοντας μέχρι και τα 20 εκατ. ευρώ ή 4% του συνολικού παγκόσμιου κύκλου εργασιών. «Είναι απολύτως κρίσιμο το στάδιο μέχρι και την εφαρμογή του Κανονισμού, η σχετική προετοιμασία και ο σχεδιασμός, για την επιβολή και την επιμέτρηση των κυρώσεων σε περίπτωση παράβασης, δηλαδή, κρίσιμος είναι ο ‘πρότερος έντιμος βίος’, αλλά, βεβαίως και η συμπεριφορά και αντίδραση του Υπευθύνου μετά την παράβαση», κατέληξε η Χαρά Ζέρβα.

Στη συνέχεια, τον λόγο πήραν οι Γιάννης Δρακούλης, Associate Partner, και Αλέξανδρος Χασάπης, Senior Manager, στο τμήμα Επιχειρηματικής Ακεραιότητας και Εταιρικής Συμμόρφωσης της ΕΥ Ελλάδος, οι οποίοι παρουσίασαν την εμπειρία τους από τα έργα ΓΚΠΔ που έχουν αναλάβει και τις διαδικασίες που ακολουθούν οι πελάτες στην πορεία προς τη συμμόρφωση με τον Κανονισμό.

Όπως τόνισαν, οι περισσότεροι ξεκινούν με μία διαγνωστική διεργασία, ώστε να δουν πού βρίσκονται σε σχέση με τον ΓΚΠΔ, στη συνέχεια προχωρούν στην εφαρμογή, την αξιολόγηση, αλλά και την παρακολούθηση της λειτουργίας για τη συμμόρφωση. «Κάποιοι δεν περνάνε από τη διαγνωστική διαδικασία, για να δουν πού είναι τα κενά τους, και πάνε μόνο με τα ‘SOS’, ευτυχώς, μιλάμε για ένα μικρό μέρος της αγοράς», σημείωσε ο Γ. Δρακούλης. «Η άσκηση του Κανονισμού, δεν είναι μία άσκηση επί χάρτου, είναι μία διαρκής αλλαγή στη λειτουργία των επιχειρήσεων», πρόσθεσε από τη μεριά του ο Αλ. Χασάπης.

Στη σημασία του ρόλου του Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ – DPO) αναφέρθηκε στην παρουσίασή του ο Πέτρος Τσαντίλας, Διδάκτωρ Νομικής – Δικηγόρος, Επιστημονικός Συνεργάτης Πανεπιστημίου Πελοποννήσου και τ. Μέλος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).

«Ο ορισμός ενός Υπευθύνου Προστασίας Δεδομένων διευκολύνει την επιχείρηση, καθώς αποτελεί σημείο επαφής και επικοινωνίας με την Αρχή Προστασίας Δεδομένων, με τα υποκείμενα των προσωπικών δεδομένων και με τα Τμήματα της ίδιας της επιχείρησης», σημείωσε, ενώ συμπλήρωσε: «Παρά τα καθήκοντα και τα ιδιαίτερα προσόντα ενός ΥΠΔ, υπεύθυνος και υπόλογος παραμένει ο υπεύθυνος της επεξεργασίας προσωπικών δεδομένων, δηλαδή ο υπεύθυνος της επιχείρησης, και η ευθύνη του αυτή δεν μετατίθεται στον ΥΠΔ, που έχει πρωτίστως συμβουλευτικό ρόλο».

Από τη μεριά της η Ανθή Παπαγεωργίου, Senior Manager στο τμήμα Επιχειρηματικής Ακεραιότητας και Εταιρικής Συμμόρφωσης της ΕΥ Ελλάδος, υπογράμμισε στην ομιλία της ότι ο ΥΠΔ αναφέρεται στη διοίκηση της εταιρείας, διασφαλίζοντας τη συμμόρφωση με τα δικαιώματα των φυσικών προσώπων. «Ο ΥΠΔ, ουσιαστικά, είναι ο θεματοφύλακας – δημιουργεί μια κουλτούρα στη διοίκηση και χτίζει ένα ομαδικό πνεύμα, γιατί η εφαρμογή του Κανονισμού απαιτεί συλλογικότητα. Τέλος, ο ΥΠΔ μπορεί να είναι η γέφυρα ανάμεσα στο υποκείμενο και τον υπεύθυνο επεξεργασίας», κατέληξε.

Σε θέματα κυβερνοασφάλειας, αλλά και στην κάλυψη που προσφέρουν οι ασφαλιστικές εταιρείες για τον κίνδυνο κυβερνοεπιθέσεων και διαρροής προσωπικών δεδομένων, αναφέρθηκε 0 Τάσος Κωνσταντέλος, Business Development Manager της Front Line S.A. Όπως τόνισε, πέραν της κάλυψης των προστίμων, οι ασφαλιστικές εταιρείες παρέχουν και άλλες σημαντικές καλύψεις, εξασφαλίζοντας έτσι την επιχείρηση.

«Το 73% των Chief Information Security Officers (CISOs) αναμένεται να βιώσει παραβίαση της ασφάλειας μέσα σε ένα χρόνο, ενώ ο μέσος χρόνος που οι επιτιθέμενοι μένουν κρυμμένοι υποκλέπτοντας δεδομένα, είναι 140 ημέρες», κατέληξε.

Για τη σύνδεση των εκθέσεων βιώσιμης ανάπτυξης και μη χρηματοοικονομικής πληροφόρησης, αλλά και των 17 Στόχων Βιώσιμης Ανάπτυξης του Ο.Η.Ε. με τον νέο Κανονισμό, μίλησε ο Σπύρος Μορισαίος, Manager στο τμήμα Κλιματικής Αλλαγής & Βιώσιμης Ανάπτυξης της ΕΥ Ελλάδος.

«Η προστασία των προσωπικών δεδομένων έχει αναγνωριστεί από τα διεθνή πρότυπα βιωσιμότητας ως ένα από τα σημαντικότερα θέματα βιώσιμης ανάπτυξης για τις επιχειρήσεις. Οι εταιρείες που συντάσσουν εκθέσεις βιώσιμης ανάπτυξης, είτε εθελοντικά, είτε ως υποχρέωση από τη νομοθεσία, και έχουν προσδιορίσει το συγκεκριμένο θέμα ως ουσιαστικό για τις δραστηριότητές τους, καλούνται να δημοσιεύσουν πληροφορίες για τον τρόπο με τον οποίο το διαχειρίζονται, καθώς και να χρησιμοποιήσουν δείκτες επίδοσης για την αξιολόγηση της προσέγγισής τους. Τα πρότυπα GRI και το Οικουμενικό Σύμφωνο του Ο.Η.Ε αποτελούν εργαλεία, τα οποία μπορούν να χρησιμοποιήσουν οι επιχειρήσεις ως οδηγούς για τη σύνταξη των εν λόγω πληροφοριών», τόνισε ο Σπ. Μορισαίος.

Στη συνέχεια οι Παναγιώτης Παπαγιαννακόπουλος, Director και υπεύθυνος των υπηρεσιών Cybersecurity, Data Protection & Privacy, και Χάρης Δημόπουλος, Manager στο τμήμα της ΕΥ Ελλάδος, έναν μια παρουσίαση της πλατφόρμας που έχει δημιουργήσει η ΕΥ Ελλάδος ειδικά για τις επιχειρήσεις που επιθυμούν να αυτοματοποιήσουν ορισμένα δύσκολα σημεία, με βάση τις διεθνείς έρευνες, αλλά και την εγχώρια και διεθνή εμπειρία της ΕΥ από έργα αξιολόγησης, συμμόρφωσης και υλοποίησης.

«Στην ΕΥ, δημιουργήσαμε μία πλατφόρμα που δίνει λύση στα πιο επίπονα σκέλη του ΓΚΠΔ: αυτά της διαχείρισης των συναινέσεων (consent management), της διαχείρισης των ενημερώσεων (notice management), αλλά και της διαχείρισης των δικαιωμάτων των υποκειμένων (data subject rights management). Η πλατφόρμα μοντελοποιεί τις βασικές έννοιες του κανονισμού και δίνει τη δυνατότητα διασύνδεσης πραγματικού χρόνου τόσο με τα συστήματα που χειρίζονται προσωπικά δεδομένα, όσο και με τα κανάλια που επικοινωνούμε με το φυσικό πρόσωπο, όπως το διαδίκτυο, κινητές εφαρμογές, καταστήματα, κτλ.», ανέφεραν.

Τέλος, ο Δρ Κωνσταντίνος Κυρίτσης, Ιδρυτής και Διευθύνων Σύμβουλος της StudySmar, αναφέρθηκε στις πιστοποιήσεις αναφορικά με τα θέματα της συμμόρφωσης και του κινδύνου. Όπως τόνισε, «Βαδίζουμε στην εποχή της υπερειδίκευσης και γι’ αυτόν τον λόγο, όποια στελέχη δραστηριοποιηθούν στην περιοχή προστασίας των προσωπικών δεδομένων, είτε ως ΥΠΔ, είτε ως μέλη μιας ευρύτερης ομάδας διαχείρισης των δεδομένων, θα πρέπει να επενδύσουν τόσο σε πιστοποιήσεις, όσο και σε εντατικά εκπαιδευτικά προγράμματα για να μπορούν να ανταποκριθούν στις υψηλές απαιτήσεις των καιρών».

ΣΧΕΤΙΚΑ ΑΡΘΡΑ