Της Μαριάννας Σκυλακάκη
Πριν από έναν μήνα, βγήκα για φαγητό με μια φίλη που εργάζεται στο χώρο της ναυτιλίας. Είχε μόλις πάρει προαγωγή και στη νέα της θέση ήταν υπεύθυνη -μεταξύ άλλων- για τη συμμόρφωση των πρακτικών της εταιρείας με τον Γενικό Κανονισμό για την Προστασία των Δεδομένων, τον περίφημο GDPR. Το άγχος της ήταν πρόδηλο και λογικό - δεν ήξερε από πού ν'' αρχίσει και πού να τελειώσει. Αναρωτιόταν αν θα μπορούσε να είναι σίγουρη ότι όλα είναι εντάξει κατά την έναρξη της εφαρμογής, ανήκοντας όμως σ'' έναν οργανισμό που θα μπορούσε να πληρώσει για να λύσει τις απορίες της, ήταν σε σημαντικά καλύτερη θέση από πολλές μικρές και μεσαίες επιχειρήσεις στην Ελλάδα και την Ευρώπη, που οφείλουν να συμμορφωθούν στο νέο πλαίσιο, για τις οποίες όμως το κόστος συμμόρφωσης είναι αναλογικά υψηλότερο.
Το πλήρωμα του χρόνου
«[...] ο Κανονισμός αποτελεί ένα κοινό πλαίσιο ρυθμίσεων για τον τρόπο με τον οποίο συλλέγονται, επεξεργάζονται, φυλάσσονται, διακινούνται, αξιοποιούνται, αλλά και καταστρέφονται, δεδομένα προσωπικού χαρακτήρα των πολιτών της Ε.Ε. [...] τόσο σε ηλεκτρονική, όσο και σε φυσική μορφή», αναφέρει ο ΣΕΒ. «Η έλλειψη εμπιστοσύνης στους παλιούς κανόνες για την προστασία των δεδομένων ανέκοπτε την πορεία της ψηφιακής οικονομίας», διαπιστώνει στον οδηγό συμμόρφωσης για τις μικρές επιχειρήσεις η Ευρωπαϊκή Επιτροπή. Με άλλα λόγια, ο GDPR γεννήθηκε ως αποτέλεσμα της κακής χρήσης που είχε γίνει μέχρι τώρα όσον αφορά τα προσωπικά μας δεδομένα.
Τις «γκρίζες ζώνες» του προηγούμενου θεσμικού πλαισίου είχαν σπεύσει να αξιοποιήσουν μια σειρά από παίκτες -μεγάλοι και μικροί- σε μια αγορά σε μεγάλο βαθμό ανεξέλεγκτη, πουλώντας, παραδείγματος χάριν, ευαίσθητα προσωπικά δεδομένα σε τρίτους, προσθέτοντας άτομα σε λίστες χωρίς να έχουν δώσει τη συγκατάθεσή τους κ.ο.κ. Δεν ήταν όμως μόνο συνειδητή η κακοδιαχείριση. Υπήρχαν και περιπτώσεις εταιρειών που συνέλεγαν ευαίσθητα δεδομένα, αλλά δεν ήταν σε θέση να τα προφυλάξουν αξιόπιστα.
Στην Ευρώπη ήρθε λοιπόν το «πλήρωμα του χρόνου». Η εφαρμογή αυστηρότερων κανόνων σημαίνει ότι οι πολίτες «θα ελέγχουν καλύτερα τα δεδομένα τους προσωπικού χαρακτήρα, καθώς και ότι οι επιχειρήσεις θα ωφεληθούν από την εφαρμογή ισότιμων όρων ανταγωνισμού», τονίζει η Κομισιόν. Κι αν δεν αμφισβητεί κανείς ότι η κίνηση γίνεται με σκοπό να δώσει την ιδιοκτησία των δεδομένων πίσω στους πολίτες, σε ό,τι αφορά τον δεύτερο ισχυρισμό, ότι θα βοηθήσει στην εφαρμογή ισότιμων όρων ανταγωνισμού, τα πράγματα είναι πιο σύνθετα.
Η ευθύνη στις επιχειρήσεις
Οι δύο μεγάλες αλλαγές που φέρνει ο GDPR είναι ότι αφενός μεταφέρει το βάρος απόδειξης συμμόρφωσης στις επιχειρήσεις, αφετέρου ενισχύει τα δικαιώματα των υποκειμένων. Οι κυρώσεις που προβλέπονται είναι βαριές: έως 20 εκατομμύρια ευρώ ή έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών, ανάλογα με το ποιο είναι υψηλότερο! Ποιο είναι το μίνιμουμ σχετικό πρόστιμο; Αυτό παραμένει ασαφές.
Όπως βέβαια μου εξηγεί η Εβίτα Βαϊνανίδη, εταίρος της Δικηγορικής Εταιρείας Βαϊνανίδης Οικονόμου & Συνεργάτες, «υφίσταται μια σειρά παραγόντων και κριτηρίων που θα συνεκτιμηθούν από την εποπτική αρχή κατά τον καθορισμό του προστίμου, όπως η φύση, η βαρύτητα και η διάρκεια της παράβασης, το είδος των δεδομένων που παραβιάζονται, τυχόν προηγούμενες σχετικές παραβάσεις, το εάν είχε προηγηθεί σύσταση της εποπτικής αρχής με την οποία δεν συμμορφώθηκε η επιχείρηση, αλλά και κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο».
Τι πρέπει να κάνει μια εταιρεία για να συμμορφωθεί; Να προστατεύει τα δικαιώματα των ατόμων που της δίνουν τα δεδομένα τους. «Ασφαλώς όμως υπάρχουν σημεία που χρήζουν περαιτέρω εξειδίκευσης και ερμηνείας, η οποία θα επιτευχθεί αφενός με την έκδοση κατευθυντηρίων οδηγιών από τις εποπτικές αρχές, αφετέρου με τη θέσπιση των αντίστοιχων εθνικών νομοθετικών μέτρων για την εφαρμογή του Κανονισμού», τονίζει η Εβίτα Βαϊνανίδη. Την ίδια ώρα, το σύστημα βασίζεται σε μεγάλο βαθμό στην υποβολή καταγγελιών από τα υποκείμενα στις εποπτικές αρχές - αναρωτιέται λοιπόν κανείς αν θα μπορούσε να αποτελέσει πεδίο συστηματικών εκβιασμών σε επόμενη φάση.
Τόσο σε επίπεδο συμμόρφωσης όσο και στην αντιμετώπιση των επιπτώσεων παρεκκλίσεων από τον Κανονισμό, είναι σαφές ότι είναι πολύ δυσκολότερο για μια μικρή επιχείρηση, χωρίς εσωτερικό νομικό τμήμα και χωρίς τη δυνατότητα να δαπανήσει μεγάλα ποσά για να έχει πρόσβαση σε ειδικούς που θα τη συμβουλεύσουν, να ανταποκριθεί στις νέες απαιτήσεις. Η αβεβαιότητα σε σχέση με όλα αυτά έχει άλλη βαρύτητα για τους μικρούς και μεσαίους, από τους οποίους όμως αναμένεται ο ίδιος βαθμός συμμόρφωσης που αναμένεται από τους μεγάλους.
Πάντως, σύμφωνα με την Εβίτα Βαϊνανίδη, συχνά, το ότι η εταιρεία είναι μικρή μπορεί να λειτουργήσει υπέρ της, υπό την έννοια ότι ενδέχεται να μην παρουσιάζει την έκταση και πολυπλοκότητα της επεξεργασίας που συναντάμε σε μεγάλες επιχειρήσεις. «Σε κάθε περίπτωση, η εταιρεία που ''επενδύει'' στην προστασία των προσωπικών δεδομένων που τηρεί, καίτοι βραχυπρόθεσμα μια τέτοια επένδυση φαντάζει πολυτέλεια, θα ωφεληθεί στο μέλλον, καθώς θα κερδίσει την εμπιστοσύνη του κοινού, το οποίο πλέον είναι καλά ενημερωμένο και υποψιασμένο σε θέματα προσωπικών δεδομένων, αποκτώντας ένα μεγάλο ανταγωνιστικό πλεονέκτημα».
Άγνοια κινδύνου;
Μέχρι τον Δεκέμβριο του 2017, μελέτη της ICAP έδειχνε ότι οι ελληνικές επιχειρήσεις είχαν μάλλον καθυστερήσει στην εκπλήρωση των προβλέψεων του Κανονισμού - μία στις τέσσερις δήλωνε ότι δεν τον γνώριζε, ένα ποσοστό το οποίο αυξανόταν σε 35% στις επιχειρήσεις με λιγότερους από 100 εργαζομένους. Παρά ταύτα, έστω με καθυστέρηση, φαίνεται ότι ανταποκρίθηκαν, κλείνοντας την ψαλίδα που είχε αναδείξει η ICAP στον βαθμό ενημέρωσης και συμμόρφωσης, ο οποίος ανέρχεται πια στο 70%. Με τους περιορισμένους πόρους που διαθέτουν και τα ερωτήματα που παραμένουν αναπάντητα, τίθεται πάντως εν αμφιβόλω αν πράγματι οι εταιρείες αυτές έχουν συμμορφωθεί στους νέους κανόνες ή απλώς... νομίζουν ότι έχουν συμμορφωθεί. Ένα από τα κυριότερα προβλήματα για έναν μεγάλο αριθμό επιχειρήσεων είναι ότι η συμμόρφωση εντάχθηκε στην ατζέντα μόλις λίγες ημέρες πριν!
Δεν είναι τυχαίο ότι σε κοινή τους επιστολή στην αρμόδια επίτροπο Βέρα Γιούροβα, ευρωπαϊκοί φορείς εκπροσώπησης των μικρών και μεσαίων επιχειρήσεων (UEAPME, Eurochambres και HOTREC) ζητούν μορατόριουμ ενός έτους στην επιβολή προστίμων στις ΜμΕ, αλλά και τη συνέχιση επενδύσεων για την παροχή υποστήριξης και συμβουλών για τις μικρές επιχειρήσεις. Όπως αναφέρει η πρόεδρος του UEAPME, Ούλρικε Ράμπερ-Κόλερ, «[...] δεν μπορούμε να αναμένουμε ότι οι ΜμΕ θα συμμορφώνονται πλήρως μ'' αυτή την εξαιρετικά περίπλοκη νομοθεσία εξ αρχής, αν οι αρμόδιοι για την εφαρμογή δεν συμφωνούν για την ερμηνεία της». Προσώρας, πάντως, μοιάζει ότι τις αμαρτίες των μεγάλων -ξεχνάμε τον τρόπο που χειρίστηκε τα δεδομένα μας το Facebook, όπως αποκάλυψε το σκάνδαλο της Cambridge Analytica;- καλούνται τώρα να πληρώσουν οι μικροί.
*Αναδημοσίευση από τον Φιλελεύθερο της Παρασκευής 25/5.