Τι είναι αυτός ο DPO που έρχεται στην ζωή μας;

 

Όλο και περισσότεροι υπεύθυνοι εταιρειών – όχι δε μόνο στην Ελλάδα, γενικώς ανά την ΕΕ… – μετράνε με εντεινόμενο μείγμα ανησυχίας και αμηχανίας τις μέρες που απομένουν ακόμη μέχρι τις 25 Μαϊου. Πώς αυτό; Μέσα στις επόμενες 15 εβδομάδες, όλες οι εταιρείες που καθ’ οιονδήποτε τρόπο τηρούν και διαχειρίζονται αρχεία με προσωπικά δεδομένα, χρειάζεται – βάσει του Κανονισμού GDPR που εδώ και δυο χρόνια έχει τεθεί σε εφαρμογή – να έχουν ορίσει DPO. να τον έχουν αναγγείλει στην Αρχή Προστασίας Προσωπικών Δεδομένων. να έχουν εξασφαλίσει λειτουργικό σύστημα εφαρμογής.

Αυτή την ανησυχία αποτυπώνει, τις τελευταίες εβδομάδες, μια όλο και πυκνότερη σειρά απο διοργανώσεις συνεδρίων, ημερίδων και στρογγυλών τραπεζιών, με στόχο την ευαισθητοποίηση, την προετοιμασία και την οργάνωση της λειτουργίας των εταιρειών στο κοντινό αυτό μέλλον. Σε μια πρόσφατη τέτοια διοργάνωση (2nd law Forum on Data Protection) της Palladian, και οι εισηγητές και οι συμμετέχοντες στάθηκαν πολύ κοντά στην πρακτική πλευρά των πραγμάτων.

Δίνοντας την εμπειρία από μεγάλους ομίλους – όπως της ΠΑΠΑΣΤΡΑΤΟΣ/PMI ή πάλι των ΕΛΠΕ – τέθηκε ευθέως το ζήτημα του κόστους αυτών των διευθετήσεων. Όπου με τον πιο ευθύ και προσγειωμένο τρόπο υπενθυμίστηκε το «Νομίζετε ότι η συμμόρφωση με την ρύθμιση [ της προστασίας των δεδομένων] έχει κόστος; Περιμένετε να δείτε το κόστος της μη-συμμόρφωσης!». Πράγματι, σε περίπτωση διαρροής δεδομένων, ο διαβόητος Κανονισμός GDPR δεν προβλέπει απλώς υποχρέωση άμεσης (=εντός 72 ωρών!) υποχρέωσης ενημέρωσης της Αρχής Προστασίας πέραν των ενδιαφερομένων, αλλά και ανοίγει προοπτική προστίμων μέχρι 4% του τζίρου της εταιρίας (με οροφή τα … 20 εκατ. ευρώ). Προκειμένου, λοιπόν, να εξασφαλισθεί – ή πάντως να επιχειρηθεί – η τήρηση του απορρήτου, μέσα στις συνθήκες της ψηφιακής εποχής μας, κάθε εταιρεία που βρίσκεται εκτεθειμένη (και ποια πλέον δεν βρίσκεται!) υποχρεούται να προσλάβει DPO /αρμόδιο προστασίας δεδομένων και να τον ανακοινώσει στην Αρχή. (Ή να ορίσει κάποιον, κατάλληλο, από το ήδη προσωπικό. Ή να συμβληθεί με τρίτους γι αυτήν την κάλυψη).

Αν σκεφθεί κανείς τις ασφαλιστικές εταιρίες, τις τράπεζες, τους τηλεπικοινωνιακούς παρόχους, το κύκλωμα υγείας και μόνον, βλέπει ότι ο όγκος τηρούμενων στοιχείων είναι πελώριος. Όμως, αν περάσει και στον ευρύτερο χώρο της κατανάλωσης ή της μέσω διαδικτύου επικοινωνίας, ή ακόμη κι αν δει την δουλειά δικηγόρων ή μηχανικών, βλέπει το φάσμα ενδιαφέροντος να μεγαλώνει – χωρίς τέλος.

Ποιος όμως είναι αυτό ο DΡΟ περι του οποίου γίνεται ο λογος; Χρειάζεται να έχει διεξοδική γνώση των υποχρεώσεων και των διαδικασιών του Κανονισμού GDPR για τα προσωπικά δεδομένα, να αντιλαμβάνεται την τεχνολογία, να μπορεί να κινηθεί μέσα στην εταιρεία, να καθοδηγήσει και να πείσει, να συνεργάζεται τόσο εσωτερικά όσο και με την Αρχή Προστασίας: ούτε απλό, ούτε εύκολο…