Η νέα πρωτοβουλία της KPMG επιχειρεί να δώσει απαντήσεις στις σύγχρονες προκλήσεις του ψηφιακού μας κόσμου.

Πώς μπορούν να προετοιμαστούν οι επιχειρήσεις και οι ιδιώτες μπροστά στις προκλήσεις των τεχνολογικών εξελίξεων και της προστασίας της ψηφιακής τους ασφάλειας; Τι αλλάζει από την επόμενη χρονιά για όλους τους Ευρωπαίους πολίτες όσον αφορά τα προσωπικά τους δεδομένα στο διαδίκτυο, και ποια είναι τα νέα τους δικαιώματα;

Σε αυτά, αλλά και σε πολλά ακόμη κρίσιμα ερωτήματα, επιχειρεί να δώσει την δική της απάντηση η KPMG, διοργανώνοντας στο ξενοδοχείο Hilton στην Αθήνα στις 16 Νοεμβρίου το πρώτο συμπόσιο σχετικά με το General Data Protection Regulation (GDPR).

Η επερχόμενη εφαρμογή του νέου Ευρωπαϊκού κανονισμού που θα τεθεί σε ισχύ από τις 25 Μαΐου 2018 και πρόκειται να επηρεάσει επιχειρήσεις, κυβερνητικές υπηρεσίες και οργανισμούς, αλλάζει τις διαδικασίες συλλογής δεδομένων και διαχείρισης πληροφοριών και οι φορείς καλούνται να προσαρμοστούν στο νέο κανονισμό, ενώ η μη συμμόρφωση θα επιφέρει μεγάλα πρόστιμα σε όσους δεν λαμβάνουν τα απαραίτητα μέτρα.

Η Λιάνα Κοσμάτου, Δικηγόρος Αθηνών Παρ’ Αρείω Πάγω, Εταίρος της δικηγορικής εταιρείας «Κ. Παπακωστόπουλος και Συνεργάτες», και ανεξάρτητο μέλος του Διεθνούς Νομικού και Φορολογικού Δικτύου της KPMG, απαντά στα κρίσιμα ερωτήματα που γεννά η νέα ψηφιακή πραγματικότητα στην Ευρώπη, και εξηγεί τις βασικές κατευθυντήριες γραμμές του GDPR Symposium.

1) Ποια κενά έρχεται να καλύψει η νέα νομοθεσία της ΕΕ για την προστασία προσωπικών δεδομένων;

Η οικονομική και κοινωνική ολοκλήρωση που προέκυψε τα τελευταία 20-25 χρόνια είχε ως αποτέλεσμα τη σημαντική αύξηση της ανταλλαγής δεδομένων μεταξύ δημοσίων και ιδιωτικών φορέων αλλά και φυσικών προσώπων, Ο νέος κανονισμός της Ευρωπαϊκής Ένωσης έρχεται να καλύψει τις νέες ανάγκες που έχουν δημιουργηθεί από την αύξηση των διασυνοριακών ροών δεδομένων.

2) Ποια είναι η κατάσταση σχετικά με τα ψηφιακά προσωπικά μας δεδομένα σήμερα; Πόσο προστατευμένοι ή ευάλωτοι είναι οι ιδιώτες και οι επιχειρήσεις;

Η τεχνολογία την τελευταία δεκαετία επιτρέπει σε δημόσιους και ιδιωτικούς φορείς να χρησιμοποιούν πληροφορίες και δεδομένα προκειμένου να πετύχουν την επίτευξη των στόχων και δραστηριοτήτων τους. Σαν συνέπεια βλέπουμε πολύ σημαντικές αλλαγές και στην οικονομική και στην κοινωνική ζωή, κάτι το οποίο έχει θετικά αλλά και αρνητικά σημεία.Οι άνθρωποι καταρχήν δημοσιοποιούν τις προσωπικές τους πληροφορίες ανεξέλεγκτα μέσω των μέσων κοινωνικής δικτύωσης, κάτι που είναι μεν προσωπική τους επιλογή, αλλά πολλές φορές απλά λειτουργούν μιμητικά («αφού όλοι το κάνουν, το κάνω και εγώ»).Περαιτέρω, αυτή η δημοσιοποίηση της ιδιωτικής και οικογενειακής ζωής των ιδίων, των σκέψεων και των κοινωνικών ή πολιτιστικών προτιμήσεων τους, αποτελεί έναυσμα χλευασμού, επίκρισης και γενικά «προσβολών» από άλλους ανθρώπους, στο πλαίσιο πάντα της ελευθερίας της έκφρασης που αποτελεί ένα αδιαμφισβήτητο (αν και πολλές φορές «κακώς εννοούμενο») δικαίωμα.Από την άλλη πλευρά, οι επιχειρήσεις σαν οργανωμένες οικονομικές μονάδες, καλούνται αφενός να συμμορφωθούν με ολοένα αυξανόμενους επιχειρηματικούς κανόνες και πρακτικές που απαιτούν συνεχή και γρήγορη επικοινωνία, παρέχοντας όσο δυνατόν περισσότερες πληροφορίες που αφορούν όχι μόνο οικονομικά στοιχεία αλλά και στοιχεία των φυσικών προσώπων που εμπλέκονται στις οικονομικές δραστηριότητες (το προσωπικό τους, στελέχη των προμηθευτών αλλά και των πελατών τους και γενικότερα οποιονδήποτε τρίτων). Η επεξεργασία των δεδομένων από αυτές λοιπόν ενέχει κινδύνους γιατί δεν έχουν επαρκή τεχνικά ή οργανωτικά μέσα.Επιπλέον οι κρατικοί φορείς στο πλαίσιο της καλής οργάνωσης και άσκησης εποπτείας στις επιχειρήσεις έρχονται πλέον να συμμετέχουν ενεργητικά στην ανταλλαγή πληροφοριών, και δυστυχώς η έλλειψη και τεχνικών και οργανωτικών μέσων προστασίας των προσωπικών δεδομένων είναι μάλλον βέβαιη.Απέναντι σε όλα αυτά έχουμε το κυβερνοέγκλημα να ακμάζει περισσότερο από ποτέ θέτοντας σε κίνδυνο αμφότερους ιδιώτες και επιχειρήσεις, που έχουν και επεξεργάζονται δεδομένα ιδιωτών, ενώ έχει παρατηρηθεί το φαινόμενο να υπάρχει σωρεία παραβιάσεων προσωπικών δεδομένων και σε πολύ καλά οργανωμένους δημόσιους φορείς του εξωτερικού καθώς και σε πολυεθνικές επιχειρήσεις που θεωρητικά είχαν επαρκέστατα και τεχνικά και οργανωτικά μέσα.

3) Το επιχείρημα πως όποιο δεδομένο ανεβάζουμε οικειοθελώς στο διαδίκτυο μπορεί να είναι διαθέσιμο για εμπορική ή/και οποιαδήποτε άλλη χρήση, συνάδει με το γράμμα και το πνεύμα της ευρωπαϊκής νομοθεσίας;

Η Ευρωπαϊκή νομοθεσία εδώ και πάρα πολλά χρόνια θεωρεί την προστασία του ατόμου και των προσωπικών δεδομένων αυτού θεμελιώδες δικαίωμα, και αναφέρομαι στις ιδέες που έφερε ο Ανθρωπισμός και η Γαλλική Επανάσταση δηλαδή πολύ πριν τη σύνταξη του Χάρτη των Θεμελιωδών Δικαιωμάτων και της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης ή της Οδηγίας 95/46ΕΚ.Οι αρχές της Ευρωπαϊκής νομοθεσίας ορίζουν ρητά το σεβασμό των δικαιωμάτων και ελευθεριών όλων των φυσικών προσώπων ανεξαρτήτως ιθαγένειας και τόπου διαβίωσης, στοχεύοντας στην ανάδειξη της Ε.Ε. σε χώρο ελευθερίας, ασφάλειας και δικαιοσύνης, αλλά και οικονομικής και κοινωνικής προόδου.Οι οικειοθελείς αναρτήσεις μας στο διαδίκτυο καθιστούν εξ ορισμού τα δεδομένα διαθέσιμα για εμπορική ή άλλη χρήση και για αυτό η δημοσιοποίησή τους θα πρέπει να γίνεται με πολύ προσοχή. Η επεξεργασία τους από τρίτους θα πρέπει όμως να υπόκειται σε κανόνες γιατί η επεξεργασία θα πρέπει να εξυπηρετεί αλλά και να σέβεται τον άνθρωπο καθώς και να πραγματοποιείται σε ένα πλαίσιο αμοιβαιότητας.Επίσης δεν πρέπει να αγνοούμε το γεγονός ότι η προστασία και ο σεβασμός των άλλων είναι σχετικό δικαίωμα γιατί πρέπει να γίνονται σεβαστά και τα δικαιώματα όλων, σύμφωνα με την αρχή της αναλογικότητας και με γνώμονα τη θεσμοθέτηση κανόνων από τα κράτη. Οι κανόνες αυτοί συμβιβάζουν την προστασία των δεδομένων όχι μόνο μεταξύ των ανθρώπων σε ιδιωτικό ή επιχειρηματικό επίπεδο αλλά και με θεμελιώδη δικαιώματα όπως την ελευθερία της έκφρασης και της πληροφόρησης (συμπεριλαμβανομένων και δημοσιογραφικών, εκπαιδευτικών και καλλιτεχνικών σκοπών).Αυτό το έργο είναι εξαιρετικά δύσκολο, ατέρμονο αν το θέλετε, και δεν επιτυγχάνεται μόνο με κανόνες αλλά και με ανάπτυξη ανάλογης κουλτούρας του καθενός από μας.

4) Ποια είναι η νομική κατάσταση στην Ελλάδα σχετικά με την προστασία των προσωπικών μας δεδομένων; Είναι επαρκής;

Η νομική κατάσταση (αναφέρομαι στις νομοθετικές ρυθμίσεις) στην Ελλάδα σε γενικές γραμμές είναι καλή, με την Αρχή Προστασίας Δεδομένων να είναι σε επαγρύπνηση και να έχει παράσχει από την αρχή λειτουργίας της οδηγίες και γνωμοδοτήσεις στον πολίτη αλλά και στον ευρύτερο νομικό κόσμο προκειμένου να συνεισφέρει στην κατανόηση των πολύπλοκων εννοιών και θεμάτων που άπτονται στην προστασία των προσωπικών δεδομένων. Η στελέχωση της ωστόσο αν και με πολύ ικανούς συνεργάτες είναι πολύ περιορισμένη και πιστεύω ότι η Πολιτεία θα έπρεπε να συνδράμει αποτελεσματικότερα σε αυτό, αφού «λίγοι κούκοι δεν φέρνουν την άνοιξη».Η επάρκεια της νομικής κατάστασης περαιτέρω βέβαια δεν μπορεί να κριθεί μεμονωμένα για τον Ελλαδικό χώρο καθόσον είναι συνάρτηση της ευρωπαϊκής νομικής κατάστασης και οι όποιες αδυναμίες μπορούν να κριθούν σε ευρωπαϊκό επίπεδο.Η Ε.Ε., με την έκδοση αυτού ακριβώς του Κανονισμού ευθέως και ειλικρινώς, δήλωσε ότι «ενώ οι στόχοι και αρχές της πρώτης Οδηγίας της (95/4ΕΚ) παραμένουν ισχυροί, η οδηγία δεν κατόρθωσε να αποτρέψει τον κατακερματισμό της εφαρμογής της προστασίας των δεδομένων εφαρμογής της προστασίας των δεδομένων σε ολόκληρη την Ένωση, την ασφάλεια δικτύου και την διαδεδομένη στο κοινό αντίληψη ότι υπάρχουν σημαντικοί κίνδυνοι για την προστασία των φυσικών προσώπων ιδίως στην επιγραμμική (on-line) δραστηριότητα».Επειδή ακριβώς η νομική κατάσταση ήταν ανεπαρκής θεσπίστηκε ο Κανονισμός, προκειμένου να μη χρησιμοποιείται αυτή η ανεπάρκεια και ασάφεια νόμου προσχηματικά, ώστε να καταστρατηγούνται οι κανόνες περί προστασίας προσωπικών δεδομένων.

5) Ζούμε σε μια εποχή όπου η ταχύτητα της ανταλλαγής προσωπικών δεδομένων αυξάνεται διαρκώς. Με βάση τα νομικά εργαλεία που διαθέτουμε, υπάρχει τρόπος να ελεγχθεί πραγματικά η ροή δεδομένων προς όφελος του πολίτη χωρίς να τεθούν αξεπέραστα εμπόδια που θα επηρεάσουν, οικονομικά και κοινωνικά, επιχειρήσεις και ιδιώτες;

Η ροή των δεδομένων μπορεί να ελεγχθεί με διάφορους τρόπους όπως με τους μηχανισμούς και τις πρακτικές που θέτει ο Κανονισμός, ο οποίος αποτελεί ένα πολύ καλό οδηγό για ιδιώτες, επιχειρήσεις, κράτη μέλη και αρχές. Γενικά ο κανονισμός έχει εφαρμογή σε κάθε έκφανση του κράτους δικαίου, ώστε η σύννομη και ασφαλής ροή δεδομένων να μπορέσει να προχωρήσει ουσιαστικά και επιτυχημένα.Υπάρχει βέβαια πολύς δρόμος μπροστά μας. Οι προσπάθειες αυτές εμπεριέχουν μια σειρά πρακτικών, οι οποίες, όπως ανέφερα πιο πριν ξεκινούν από την κουλτούρα του καθενός μας και τη γνώση και αξιολόγηση θεμάτων όπως: α) τι είναι προσωπικό δεδομένο, β) γιατί και πώς θα μπορούσαμε να προστατεύσουμε τον εαυτό μας, γ) γιατί πρέπει και πώς μπορούμε να προστατέψουμε τα δεδομένα των άλλων ανθρώπων.Οι επιχειρήσεις θα πρέπει πρωταρχικά να κατανοήσουν οι ίδιες την σπουδαιότητα και την αξία των δεδομένων που έχουν στην διάθεσή τους, αλλά να κατανοήσουν επίσης γιατί οι πολιτικές που ακολουθούνται – από τα ανεξαρτήτως βαθμίδας στελέχη τους θα πρέπει να συντείνουν σε αυτό το σκοπό, και να επενδύσουν και τυπικά και ουσιαστικά στην υλοποίησή τους.Αν τα κράτη μέλη της ΕΕ θέλουν να είναι όντως ευνομούμενα σε όλες τις εκφάνσεις της διοίκησης τους πρέπει να θεσπίσουν τα αναγκαία μέτρα και μηχανισμούς.Η τεχνολογική εξέλιξη δεν μπορεί από μόνη της να παράσχει αυτή την προστασία. Άλλωστε, το κάθε τεχνολογικό επίτευγμα εξ ορισμού μπορεί ανά πάσα στιγμή να είναι «παρωχημένο», όπως όλοι γνωρίζουμε.

6) Ποια είναι η εικόνα στις ελληνικές επιχειρήσεις σχετικά με την ψηφιακή τους προστασία; Ποια κενά υπάρχουν, και τι πρέπει να προσέξουν για να διατηρήσουν τα δεδομένα τους ασφαλή;

Ανάλογα με το μέγεθος τους κάθε φορά, οι ελληνικές επιχειρήσεις θα έλεγα ότι παρουσιάζουν μία «όχι κακή» εικόνα στην ψηφιακή τους προστασία. Αυτό που λείπει από τις ελληνικές (και όχι μόνο) επιχειρήσεις θα το πω για πολλοστή φορά, είναι η εταιρική κουλτούρα, γιατί «ψηφιακή προστασία» δεν σημαίνει μόνο «ασφάλεια των συστημάτων» αλλά και η προστασία της ιδιωτικότητας.Η γνώση και η ευαισθητοποίηση (το awareness, στην αγγλική διατύπωση του Κανονισμού) και η λογοδοσία (accountability) πρέπει να γίνουν ο ακρογωνιαίος λίθος για κάθε επιχείρηση που θέλει να προστατεύσει τα προσωπικά δεδομένα, τα οποία αποτελούν το σημαντικότερο περιουσιακό της στοιχείο.

7) Γιατί η KPMG έλαβε την πρωτοβουλία να διοργανώσει το συνέδριο; Ποιοι είναι οι βασικοί του στόχοι και σε ποιους απευθύνεται;

Η KPMG λειτουργεί με έναν κώδικα αξιών, οποίος – μεταξύ άλλων- δίνει έμφαση στους ανθρώπους και την εταιρική υπευθυνότητα. Έχοντας εξαρχής αντιληφθεί την σπουδαιότητα του θέματος έχει εφαρμόσει τα τελευταία χρόνια πολλές πρακτικές που αποσκοπούν στην προστασία των δεδομένων.Με την θέσπιση του Κανονισμού δραστηριοποιήθηκε άμεσα για το σκοπό αυτό προσπαθώντας καταρχήν να κατανοήσει σε βάθος τις παραμέτρους θέματος που περιλαμβάνει προβλήματα και λύσεις.Στη συνέχεια ξεκίνησε αρκετά νωρίς την εφαρμογή αυτών των πρακτικών και την συμμόρφωση στις επιταγές του Κανονισμού στον δικό της οργανισμό, με εναρκτήριο λάκτισμά την εκπαίδευση του προσωπικού της, η οποία πραγματοποιείται σε τακτικά χρονικά διαστήματα.Επιπλέον, σε κάθε νέα εξέλιξη η KPMG αναλαμβάνει ενεργό δράση, μέσω επικοινωνίας, ανοιχτού διαλόγου και ανταλλαγής εμπειριών όχι μόνο σε πελατειακό αλλά και σε κοινωνικό επίπεδο. Ακόμη, κατανοώντας την ευθύνη ενός τέτοιου λεπτού ζητήματος όπως είναι η προστασία των προσωπικών δεδομένων η KPMG περίμενε να ωριμάσουν οι εξελίξεις ώστε τα αρμόδια στελέχη της να έχουν κάποιες ασφαλείς ερμηνείες και ανάλυση των ποικίλων παραμέτρων του θέματος ενώ παράλληλα επιθυμούσε να εισφέρει τις εμπειρίες που απόκτησε με παροχή υπηρεσιών της πριν να προχωρήσει στην διοργάνωση ενός συμποσίου για τον Κανονισμό περί Προστασίας Προσωπικών Δεδομένων.Το GDPR Συμπόσιο στοχεύει στην ευαισθητοποίηση και στην περαιτέρω επιμόρφωση όχι μόνο των συμμετεχόντων αλλά και όλων των κοινωνικών εταίρων και απευθύνεται σε όλο τον επιχειρηματικό κόσμο που διατηρεί επαφές και προσωπικά δεδομένα, για υπαλλήλους, συνεργάτες, πελάτες, οποιουσδήποτε τρίτους με τους οποίους έχει επικοινωνίες.

Πηγή: KPMG