Ο GDPR ορίζει ένα πλαίσιο κανόνων με σκοπό να προστατεύσει την ιδιωτικότητα κάθε ατόμου. Συγκεκριμένα, ο GDPR αναθέτει την ευθύνη προστασίας των προσωπικών δεδομένων στον ίδιο τον φορέα (επιχείρηση/οργανισμό) που τα διατηρεί/διαχειρίζεται, προβλέποντας βαρύτατες οικονομικές κυρώσεις στους φορείς που δεν συμμορφώνονται ή παραβιάζουν τον Κανονισμό. Τα 99 άρθρα του Κανονισμού συνιστούν ένα σύνολο ρυθμίσεων για τους τρόπους με τους οποίους συλλέγονται, επεξεργάζονται, φυλάσσονται, διακινούνται, αξιοποιούνται, αλλά και καταστρέφονται δεδομένα προσωπικού χαρακτήρα κάθε πολίτη. Με τον όρο «δεδομένα προσωπικού χαρακτήρα» (ή πιο απλά «προσωπικά δεδομένα») ορίζεται κάθε πληροφορία που αφορά σ' ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή ακόμη πληροφορίες οι οποίες, εάν συνδυαστούν, μπορούν να οδηγήσουν στην ταυτοποίηση ενός ατόμου. Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα, έχουν κρυπτογραφηθεί ή για τα οποία έχουν χρησιμοποιηθεί ψευδώνυμα, αλλά μπορούν να χρησιμοποιηθούν για την ταυτοποίηση ενός ατόμου, είναι και αυτά δεδομένα προσωπικού χαρακτήρα. Παραδείγματα προσωπικών δεδομένων είναι τα εξής: το όνομα, το επώνυμο, ο αριθμός ταυτότητας, ο ΑΜΚΑ και ο ΑΦΜ, η διεύθυνση κατοικίας και η διεύθυνση ηλεκτρονικού ταχυδρομείου, το τηλέφωνο, η διεύθυνση διαδικτυακού πρωτοκόλλου (IP) του υπολογιστή μας, το ψευδώνυμό μας σε μια διαδικτυακή υπηρεσία, τα δεδομένα που φυλάσσονται από νοσοκομεία ή γιατρούς κ.λπ. Ο Κανονισμός για τα προσωπικά δεδομένα έχει γενική εφαρμογή και αφορά στο δημόσιο και στους δημόσιους φορείς, ΝΠΔΔ, ΝΠΙΔ και επιχειρήσεις, ανεξαρτήτως μεγέθους και κλάδου δραστηριοποίησης, που διαχειρίζονται, με οποιονδήποτε τρόπο, προσωπικά δεδομένα, κάθε μορφής.
Για τη συμμόρφωση ενός φορέα με τον Κανονισμό, σημαντικός είναι ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer - DPO). Ο ορισμός DPO είναι υποχρεωτικός: α) εάν η επεξεργασία των προσωπικών δεδομένων διενεργείται από δημόσιο φορέα, ανεξάρτητα από το είδος των δεδομένων που υφίστανται επεξεργασία, β) εάν οι βασικές δραστηριότητες του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων (δηλ. των φυσικών προσώπων στα οποία αναφέρονται τα δεδομένα) σε μεγάλη κλίμακα (για παράδειγμα, επιχειρήσεις που κάνουν έρευνες γνώμης, καταγραφή καταναλωτικών συμπεριφορών, profiling χρηστών/πελατών κ.λπ.) και γ) όταν εκτελείται επεξεργασία, σε μεγάλη κλίμακα, ειδικών τύπων/ευαίσθητων δεδομένων, όπως είναι ιατρικά δεδομένα (που διαχειρίζονται για παράδειγμα ιδιωτικές κλινικές, ασφαλιστικοί οργανισμοί κ.λπ.) ή δεδομένα προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.
Ο ρόλος του DPO είναι σημαντικός διότι επιβλέπει τη στρατηγική προστασίας των δεδομένων, ελέγχει και κατευθύνει τις διαδικασίες συμμόρφωσης με τον Κανονισμό, συμβουλεύει τη διοίκηση του φορέα για υποχρεώσεις σε σχέση με τα προσωπικά δεδομένα και παρέχει κατευθύνσεις αναφορικά με ελέγχους αποκλίσεων (gap analysis) και επιθεωρήσεις (Data Protection Impact Assessments) που πρέπει να υλοποιηθούν, σύμφωνα με το άρθρο 35 του Κανονισμού. Ο DPO λειτουργεί συμβουλευτικά για τα μέτρα ασφάλειας και τις τεχνολογικές λύσεις που πρέπει να σχεδιαστούν και να εφαρμοστούν. Επίσης ο DPO είναι το σημείο επαφής του φορέα με την ανεξάρτητη Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Ο ρόλος του DPO μπορεί να ανατεθεί εσωτερικά, σε ένα στέλεχος του φορέα, ή μπορεί να ανατεθεί σε κάποιον εξωτερικό συνεργάτη. Τα καθήκοντα του DPO είναι ασυμβίβαστα με άλλα καθήκοντα στον οργανισμό, ειδικά με εκείνα του επικεφαλής του νομικού τμήματος ή του υπεύθυνου ασφάλειας συστημάτων πληροφορικής, με τους οποίους ο DPO συνεργάζεται αλλά και ταυτόχρονα έχει ελεγκτική σχέση. O DPO δεν έχει προσωπική ευθύνη για τη μη συμμόρφωση ενός φορέα με τον Κανονισμό, αφού η ευθύνη υλοποίησης των όποιων μέτρων απαιτούνται ανήκει αποκλειστικά στο φορέα. Στον Κανονισμό δεν ορίζεται μια συγκεκριμένη επαγγελματική ιδιότητα που πρέπει να ληφθεί υπόψη για τον ορισμό του DPO. Ο DPO, σύμφωνα με το άρθρο 37 του Κανονισμού, ορίζεται βάσει επαγγελματικών προσόντων και κυρίως με βάση την εμπειρογνωσία που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που του ανατίθενται. Το αναγκαίο επίπεδο εμπειρογνωσίας καθορίζεται ανάλογα με τις πράξεις επεξεργασίας δεδομένων που διενεργούνται και από την κρισιμότητα της προστασίας την οποία απαιτούν τα δεδομένα προσωπικού χαρακτήρα που υφίστανται επεξεργασία. Παράλληλα, ο DPΟ πρέπει να έχει γνώση των επιχειρηματικών διαδικασιών, του τομέα δραστηριότητας του φορέα στον οποίο απασχολείται αλλά και τεχνολογιών/συστημάτων πληροφορικής που απαιτούνται για την προστασία και την ασφάλεια των δεδομένων. Θα πρέπει να σημειωθεί ότι στον Κανονισμό δεν ορίζεται κάποια υποχρεωτική απαίτηση για πιστοποίηση του DPO και δεν ενθαρρύνεται σχετική πιστοποίηση, ούτε σε προαιρετική βάση.
Στον ρόλο και στα καθήκοντα του DPO μπορούν αποτελεσματικά να ανταποκριθούν Μηχανικοί και Πληροφορικοί με γνώσεις σε θέματα προστασίας/ασφάλειας δεδομένων και με γνώσεις ασφάλειας συστημάτων πληροφορικής. Σύμφωνα με τα αναγραφόμενα στον Κανονισμό, για τον ρόλο του DPO επίσης μπορούν να θεωρηθούν κατάλληλοι Νομικοί που διαθέτουν εμπειρογνωσία στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων. Είναι βέβαιο ότι απαιτείται στενή συνεργασία επαγγελματιών και επιστημόνων από αυτούς τους επιστημονικούς χώρους και με τις συγκεκριμένες εμπειρογνωσίες, προκειμένου κάθε επιχείρηση/οργανισμός να υλοποιεί αποτελεσματικά διαδικασίες που είναι συμβατές με το γράμμα, το πνεύμα και την ουσία του Κανονισμού. Ο ορισμός του Υπεύθυνου Προστασίας Δεδομένων και γενικότερα, η συμμόρφωση με τις απαιτήσεις του Κανονισμού θέτουν κρίσιμα διλήμματα για κάθε φορέα, είτε είναι επιχείρηση είτε είναι οργανισμός: αποτελεί άλλη μια τυπική, κανονιστική, κοστοβόρα και γραφειοκρατική διαδικαστική υποχρέωση ή πρόκληση για τον εκσυγχρονισμό κάθε φορέα και ευκαιρία να ενισχυθεί στην πράξη ο σεβασμός στην προσωπικότητα κάθε ατόμου; Κατανοώντας τη σημασία όλων των παραπάνω, καθώς και ειδικότερα την αναγκαιότητα της υπεύθυνης ενημέρωσης σε θέματα του Κανονισμού, το ΤΕΕ Κ&Δ Θεσσαλίας διοργάνωσε με την υποστήριξη της Μόνιμης Επιτροπής Τεχνολογιών Πληροφορικής και Επικοινωνιών του Τμήματος, της Ένωσης Μηχανικών Πληροφορικής και Επικοινωνιών και των Δικηγορικών Συλλόγων Λάρισας, Καρδίτσας και Τρικάλων, ενημερωτικές ημερίδες στις αντίστοιχες πόλεις της Κ&Δ Θεσσαλίας.
Σκοπός δεν είναι η εφαρμογή του Κανονισμού «στα χαρτιά». Σκοπός είναι να εφαρμοστεί ο Κανονισμός ώστε, αλλάζοντας την κουλτούρα των επιχειρήσεων και των οργανισμών μας, να πετύχουμε τη βελτίωση των επιχειρηματικών διαδικασιών καθώς και να διαφυλάξουμε τα προσωπικά δεδομένα που διαχειριζόμαστε. Σκοπός είναι να δείξουμε έμπρακτα σεβασμό στην προσωπικότητα κάθε ατόμου, είτε είναι εργαζόμενος είτε είναι πελάτης είτε είναι οποιοσδήποτε πολίτης.
Από τον Δρ. Βασίλη Χ. Γερογιάννη
*Ο Δρ. Βασίλης Χ. Γερογιάννης είναι καθηγητής του ΤΕΙ Θεσσαλίας, γενικός γραμματέας του ΤΕΕ Κ&Δ Θεσσαλίας και μέλος του Περιφερειακού Συμβουλίου Έρευνας και Καινοτομίας (ΠΣΕΚ) της Περιφέρειας Θεσσαλίας.