Δυο ακρωνύμια στοιχειώνουν
Γράφει ο Αντώνης Παπαγιαννίδης
Δυο ακρωνύμια στοιχειώνουν πλέον τον επιχειρηματικό κόσμο. Είχαν αρχίσει εδώ και καιρό να απασχολούν, να προβληματίζουν: όσο όμως ο χρόνος προχωράει, όσο μικραίνει το διάστημα που μας χωρίζει από τις 25 Μαϊου 2018, τόσο η έννοια «στοιχειώνουν» αρχίζει να κυριολεκτείται.
Ο λόγος για τον GDPR και τον DPO. Τι είναι αυτοί; Ο πρώτος είναι ο Γενικός Κανονισμός για την Προστασία Δεδομένων, που μπαίνει σε εφαρμογή από τις 25 Μαϊου ανά την Ευρωπαϊκή Ένωση (άρα η παραδοσιακή Ελληνική λογική του «εφαρμογή; καλά, θα δούμε! μην υπερβάλλουμε…» δεν λειτουργεί: η εφαρμογή του προβλέπεται καθολική και οριζόντια, πλήρης και παντού) και αφορά την εξασφάλιση των προσωπικών δεδομένων που τηρούνται, τελικά, σε κάθε επιχείρηση. Ο δεύτερος είναι ο Υπεύθυνος Προστασίας Δεδομένων, που θα πρέπει σε κάθε επιχείρηση να ορίζεται ώστε να εξασφαλίζει αυτήν την προστασία.
Ας δούμε για μια στιγμή πώς λειτουργεί αυτό το σύστημα, που έχει νομοθετηθεί σε Ευρωπαϊκό επίπεδο με εργαλείο τον Κανονισμό, δηλαδή μια νομοθετική πράξη που δεν επιτρέπει σε κάθε χώρα να ορίζει τον δικό της τρόπο εφαρμογής αλλά εισάγει ομοιομορφία και υποχρεωτικότητα. Α, ναι, και εισάγει δυσάρεστες κυρώσεις. Σε περίπτωση διαρροής προσωπικών δεδομένων, ο διαβόητος Κανονισμός GDPR δεν προβλέπει απλώς υποχρέωση άμεσης (=εντός 72 ωρών!) ενημέρωσης της Αρχής Προστασίας, πέραν δηλαδή των ενδιαφερομένων /πληττόμενων από την διαρροή, αλλά και ανοίγει προοπτική επιβολής προστίμων μέχρι 4% του παγκόσμιου τζίρου της εταιρίας (με οροφή τα … 20 εκατ. ευρώ). Χώρια οι όποιες τυχόν αποζημιώσεις.
Προκειμένου, λοιπόν, να εξασφαλισθεί – ή πάντως να επιχειρηθεί – η τήρηση της ασφάλειας και του απορρήτου των προσωπικών δεδομένων, μέσα στις συνθήκες της ψηφιακής εποχής μας, κάθε εταιρεία που βρίσκεται εκτεθειμένη (και ποια πλέον δεν βρίσκεται!) υποχρεούται να ορίσει DPO /αρμόδιο προστασίας δεδομένων και να τον ανακοινώσει στην Αρχή . Μπορεί ο DPO αυτός να είναι υπάλληλος της ίδιας της εταιρείας – όμως με λειτουργική ανεξαρτησία από την πυραμίδα διοίκησης: δύσκολα πράγματα! – ή εξωτερικός συνεργάτης, ή να αποκτάται ως εξειδικευμένη υπηρεσία εξωτερικά παρεχόμενη από άλλη επιχείρηση. Πάντως χρειάζεται, ως εκ της φύσεως της λειτουργίας του, να είναι σε συνεχή εγρήγορση/διαθεσιμότητα: δύσκολη υπόθεση, κι αυτή. Εχει με άλλα λόγια «υποχρέωση αποτελέσματος».
Αν σκεφθεί κανείς τις ασφαλιστικές εταιρίες, τις τράπεζες, τους τηλεπικοινωνιακούς παρόχους, το κύκλωμα υγείας και μόνον, βλέπει ότι ο όγκος τηρούμενων στοιχείων υπό τις σημερινές συνθήκες είναι πελώριος. Όμως, αν περάσει και στον ευρύτερο χώρο της κατανάλωσης ή της μέσω διαδικτύου επικοινωνίας, ή ακόμη κι αν δει την δουλειά δικηγόρων ή μηχανικών, βλέπει το φάσμα ενδιαφέροντος να μεγαλώνει – χωρίς τέλος.
Πώς θα εξασφαλισθεί η τήρηση αυτών των υποχρεώσεων, από τόσο ευρύ φάσμα υποχρέων; Όσο συνειδητοποιείται το βάρος που χρειάζεται να αντιμετωπισθεί, πρακτικά, ανεβαίνει η ανησυχία στους επιχειρηματικούς κύκλους. Αυτή την ανησυχία αποτυπώνει, τις τελευταίες εβδομάδες, μια όλο και πυκνότερη σειρά απο διοργανώσεις συνεδρίων, ημερίδων και στρογγυλών τραπεζιών, με στόχο την ευαισθητοποίηση, την προετοιμασία και την οργάνωση της λειτουργίας των εταιρειών στο κοντινό αυτό μέλλον.
Σε μια απ’ αυτές τις διοργανώσεις, υπενθυμίστηκε από την Αμερικανική εμπειρία – φυσικά και εδώ, όπως και σε τόσα άλλα μέτωπα, η εκκίνηση έγινε στις ΗΠΑ! – το «Νομίζετε ότι η συμμόρφωση με την ρύθμιση [ της προστασίας των δεδομένων] έχει κόστος; Περιμένετε να δείτε το κόστος της μη-συμμόρφωσης!».
Όμως , αυτός ο πολύτιμος DPO τι προφίλ έχει; (Και συνεπώς, τι κόστος μπορεί να συνεπάγεται η απόκτησή του;). Χρειάζεται να έχει διεξοδική γνώση των υποχρεώσεων και των διαδικασιών του Κανονισμού GDPR για τα προσωπικά δεδομένα. Να αντιλαμβάνεται την τεχνολογία, τις δυνατότητες αλλά και τους περιορισμούς της. Να μπορεί να κινηθεί μέσα στην εταιρεία, να καθοδηγήσει, να συντονίσει και να πείσει. Χρειάζεται να εξασφαλίσει, αληθινά, την δική του ανεξαρτησία και την πειστική λειτουργία του. Να συνεργάζεται τόσο εσωτερικά όσο και με την Αρχή Προστασίας Προσωπικών Δεδομένων – και τούτο τόσο σε φάσεις κανονικής λειτουργίας, όσο και σε περίπτωση κρίσης. Ούτε απλό. Ούτε εύκολο…
Όσοι προσπαθούν να διδάξουν ψυχραιμία, συνιστούν επένδυση σε κατάλληλες τεχνολογικές λύσεις, εντέλει σε ξε-φόβισμα από την προσχώρηση στην ψηφιακή οικονομία. Κάνοντας ένα πρόσθετο βήμα, κάποιοι διαπιστώνουν ότι μια τέτοια προσέγγιση μπορεί «να μετατρέψει την υποχρέωση συμμόρφωσης σε ανταγωστικό πλεονέκτημα». Πάντως ένα είναι βέβαιο: η παλιά, καλή λογική του «όλο και κάποια παράταση θα δώσουν στο τέλος!» θα ήταν άσοφο να υιοθετηθεί εν προκειμένω.
ΝΑΥΤΕΜΠΟΡΙΚΗ