3 χρόνια GDPR: Επιφανειακή προσέγγιση ή ουσιαστική συμμόρφωση στην ελληνική αγορά;

Απόστολος Βόρρας
Head of Data protection and privacy
KBVL Law Firm
(Deloitte Legal Network)

Άρθρο στο Μηνιαίο Ενημερωτικό Δελτίο ΣΕΒ – Ρυθμιστικό Περιβάλλον και Επιχειρήσεις – 31 Μαρτίου 2021

Στις 25 Μαΐου συμπληρώνονται τρία έτη από την εφαρμογή του Γενικού Κανονισμού (ΕΕ) 2016/679 για την Προστασία Δεδομένων, γνωστού ευρέως με το ακρωνύμιο «GDPR». Στο πλαίσιο αυτό η Ομάδα Εργασίας του ΣΕΒ διεξήγαγε μια πολύ ενδιαφέρουσα έρευνα για να αποτυπώσει το επίπεδο συμμόρφωσης που παρουσιάζουν σήμερα οι επιχειρήσεις στην ελληνική αγορά (δείτε εδώ τα αποτελέσματα της έρευνας).

Η εικόνα που προκύπτει μέσα από την αυτοαξιολόγηση των επιχειρήσεων και αποτυπώνεται στην έρευνα του ΣΕΒ δεν συνάδει σε όλες τις περιπτώσεις με την πραγματική τους κατάσταση. Αυτό αναδεικνύεται και μέσω των ελέγχων ιδιωτικότητας (privacy audits) που πραγματοποιούνται στις επιχειρήσεις. Υπό το πρίσμα αυτό, φαίνεται ότι η συμμόρφωση με τον GDPR στην ελληνική αγορά είναι επιφανειακή, περισσότερο «τύπος» και λιγότερο «ουσία».

Τί οδήγησε όμως σε αυτό το αποτέλεσμα;

Αιτία αυτής της κατάστασης αποτέλεσε η αδυναμία ουσιαστικής κάλυψης της υψηλής ζήτησης σε υπηρεσίες νομικής, τεχνολογικής και οργανωτικής φύσης στις αρχές του 2018, όταν οι εταιρείες υπό την απειλή ενός πιθανού διοικητικού προστίμου, έσπευσαν κυριολεκτικά την τελευταία στιγμή να υλοποιήσουν προγράμματα συμμόρφωσης. Αυτή η ανάγκη για ταυτόχρονη συμμόρφωση μεγάλης μερίδας της αγοράς, ανεξαρτήτως κλάδου δραστηριοποίησης, σε σύντομο χρονικό διάστημα, οδήγησε αναπόφευκτα σε τυποποιημένα έργα, συχνά αμφιβόλου ποιότητας, αλλά και σε βεβιασμένες κινήσεις συμμόρφωσης. Χαρακτηριστικό παράδειγμα αποτελεί η επικοινωνιακή στρατηγική στην οποία κατέφυγαν πολλές επιχειρήσεις εκείνη την περίοδο, οι οποίες μέσω μαζικών ηλεκτρονικών επικοινωνιών θεώρησαν σκόπιμο να λάβουν τη συγκατάθεση της πελατειακής τους βάσης, προκειμένου να νομιμοποιήσουν τις βάσεις δεδομένων τους, που στην πλειονότητά τους, ήταν ήδη παράνομες.

Ο μαζικός χαρακτήρας της συμμόρφωσης οδήγησε τις επιχειρήσεις να υιοθετήσουν τυπικά μέτρα, ως μια άσκηση «tick the box», χωρίς δηλαδή να δίνεται έμφαση στις ιδιαίτερες δομές και ανάγκες κάθε επιχείρησης και χωρίς να επιτυγχάνεται ουσιαστική συμμόρφωση. Δεν αποτελεί έκπληξη, λοιπόν, το γεγονός ότι κάτω από αυτό τον μανδύα νομιμοφάνειας σε πολλές περιπτώσεις το οικοδόμημα της συμμόρφωσης αποδεικνύεται σαθρό.

Βασικός πυλώνας του οικοδομήματος είναι ο Υπεύθυνος Προστασίας Δεδομένων (DPO) που συχνά, ο διττός ρόλος του, αποτελεί τον ελέφαντα μέσα στο δωμάτιο που όλοι κάνουν ότι δεν βλέπουν. Όπως προκύπτει και από την έρευνα του ΣΕΒ σε ποσοστό 84% η ανάθεση του ρόλου του DPO συνδυάστηκε με διατήρηση και άλλων αρμοδιοτήτων, το οποίο αναπόφευκτα οδηγεί σε σύγκρουση καθηκόντων. Περαιτέρω, παρατηρούμε ότι οι περισσότερες επιχειρήσεις δηλώνουν ότι διαθέτουν πολιτικές και διαδικασίες ιδιωτικότητας, οι οποίες σε πολλές περιπτώσεις είναι τυποποιημένες και ανεφάρμοστες, ανενεργά ή μη επικαιροποιημένα αρχεία δραστηριοτήτων, ενώ γίνεται εσφαλμένη διαχείριση των προσωπικών δεδομένων σε εργασιακά θέματα και απουσιάζουν μελέτες εκτίμησης αντικτύπου, ιδίως για επίκαιρα ζητήματα, όπως η τηλεργασία και η συλλογή δεδομένων υγείας εν μέσω covid κοκ.

Δυστυχώς, όσο δεν υπάρχει έλεγχος και εποπτεία, οι διοικήσεις των επιχειρήσεων θεωρούν, ότι μπορούν να εκφεύγουν των κανονιστικών τους υποχρεώσεων ή και να βρίσκονται σε πλάνη ως προς την συμμόρφωσή τους και τους πιθανούς κινδύνους. Μάλιστα, όπως αποδείχθηκε πρόσφατα σε έλεγχο της εποπτικής Αρχής για τους μηχανισμούς cookies σε διάφορες ιστοσελίδες, παρόλο που οι ελεγχόμενες επιχειρήσεις γνώριζαν το κανονιστικό πλαίσιο, έσπευσαν να συμμορφωθούν μόνο κατόπιν της κοινοποίησης σχετικής πράξης ελέγχου. Το ίδιο ακριβώς συμβαίνει και σε περιπτώσεις καταγγελιών οι οποίες μόνο όταν κοινοποιούνται μέσω της εποπτικής Αρχής θέτουν σε λειτουργία τα αντανακλαστικά συμμόρφωσης των επιχειρήσεων.

Ωστόσο, οι επιχειρήσεις δεν θα έπρεπε να επαφίενται αποκλειστικά σε έναν έλεγχο της εποπτικής Αρχής για να διερευνήσουν και να αντιληφθούν τις τυχόν αδυναμίες τους. Ήδη παρατηρούμε ολοένα και περισσότερες επιχειρήσεις να υφίστανται εσωτερικούς ελέγχους ιδίως σε ομιλικό επίπεδο ή ελέγχους στο πλαίσιο του άρθρου 28 GDPR, υπό την ιδιότητά τους ως εκτελούντες την επεξεργασία. Αντίστοιχα, πραγματοποιούνται πλέον αρκετά ενδελεχείς έλεγχοι σε επίπεδο προσωπικών δεδομένων στο πλαίσιο εταιρικών μετασχηματισμών ή χρηματοδοτήσεων. Η τάση που φαίνεται να διαμορφώνεται τα επόμενα χρόνια είναι η ανάθεση διενέργειας τακτικών ετήσιων ελέγχων από τρίτα ανεξάρτητα μέρη.

Είναι αναπόφευκτο, λοιπόν, η συμμόρφωση να αντιμετωπισθεί ως ένα ενιαίο, ολοκληρωμένο οικοσύστημα, το οποίο αν το υποτιμήσουμε, αργά η γρήγορα, θα υπάρξουν συνέπειες για τις επιχειρήσεις. Και αυτή η συνέπεια μπορεί να μην είναι μόνο το πρόστιμο της εποπτικής Αρχής, αλλά μπορεί να είναι για παράδειγμα ακόμα και μία πιθανή μείωση του τιμήματος εξαγοράς μιας επιχείρησης λόγω ελλιπούς συμμόρφωσης, όπως έχει χαρακτηριστικά παρατηρηθεί σε πρόσφατους νομικούς ελέγχους (due diligence).