Η εφαρμογή του νέου Κανονισμού Προστασίας Προσωπικών Δεδομένων με αριθμό (ΕΕ) 2016/679 θυμίζει αρκετά τις αντιδράσεις που προκαλεί η θεωρία της σχετικότητας, όλοι την επικαλούνται σε διάφορες περιστάσεις, λίγοι τη γνωρίζουν, ακόμη λιγότεροι κατανοούν την εφαρμογή της.
Σε κάθε περίπτωση όμως, ο Κανονισμός αποτελεί από τον περασμένο Μάιο μια πραγματικότητα στην οποία προσαρμόζεται σταδιακά η αγορά στην Ελλάδα και τα υπόλοιπα κράτη της Ευρωπαϊκής Ένωσης. Ουσιαστικά πρόκειται για μια αναπόφευκτη εξέλιξη της προστασίας των προσωπικών μας δεδομένων σε πανευρωπαϊκό επίπεδο, συγκριτικά με ό,τι ίσχυε την προηγούμενη εικοσαετία, ανταποκρινόμενη στα χαρακτηριστικά πλέον της ψηφιακής εποχής.
Οι αντιδράσεις των υπόχρεων επιχειρήσεων ποικίλουν, για άλλες ο Κανονισμός αποτελεί μια ευκαιρία βελτιστοποίησης της λειτουργίας τους μέσω ανάπτυξης πολιτικών, διαδικασιών και ανάθεσης ρόλων, ενώ για άλλες έναν ακόμη πονοκέφαλο που ήρθε να προστεθεί στις ήδη αυξημένες υποχρεώσεις που αντιμετωπίζει ο επιχειρηματικός κόσμος, υπό την απειλή μάλιστα αυστηρότατων κυρώσεων. Στο τέλος της ημέρας όμως, όσες εταιρείες έχουν ξεκινήσει ήδη τη διαδικασία συμμόρφωσής τους με τις απαιτήσεις του Κανονισμού αντιλαμβάνονται τη σημασία του σε διάφορα επίπεδα της οργάνωσής τους, από τις καθημερινές «day to day» πρακτικές, μέχρι τις πιο σύνθετες διαδικασίες που αφορούν τις σχέσεις με το προσωπικό, το πελατολόγιο, τους προμηθευτές και τις Αρχές. Κυρίως όμως γίνεται αντιληπτό ότι η εφαρμογή του Κανονισμού από τις επιχειρήσεις προϋποθέτει τη δημιουργία ανάλογης νοοτροπίας και την ανάπτυξη συμπεριφοράς που συναρτάται με το σεβασμό στην Ιδιωτικότητα.
Σε μακροοικονομικό δε επίπεδο γίνεται λόγος για εξοικονόμηση 2,3 δις ευρώ ετησίως σε ευρωπαϊκό επίπεδο που προέρχονται από την ενοποίηση της νομοθεσίας αναφορικά την προστασία των προσωπικών δεδομένων. Επίσης αναμένεται η δημιουργία κινήτρων για πιο καινοτόμες υπηρεσίες και προϊόντα σε κλάδους της οικονομίας. Δεν είναι τυχαίο το γεγονός ότι κορυφαίοι CEO πολυεθνικών εταιρειών που δραστηριοποιούνται στην Ένωση χαιρετίζουν τη νέα ενιαία νομοθεσία, καθώς ο προηγούμενος νομοθετικός κατακερματισμός της προστασίας των προσωπικών δεδομένων, ανά κράτος μέλος της Ένωσης, δημιούργησε σημαντικά προβλήματα στην παροχή των υπηρεσιών τους.
Ταυτόχρονα, από τη σύντομη μέχρι τώρα εμπειρία της εφαρμογής του Κανονισμού αναδείχθηκε η καίρια σημασία της κατανομής ρόλων εντός των επιχειρήσεων με συγκεκριμένες περιγραφές της θέσης και των καθηκόντων των εργαζομένων.
Επιπλέον, ένας καθοριστικός ρόλος αναδύεται στις επιχειρήσεις και τους οργανισμούς του ιδιωτικού και δημοσίου τομέα, με πιο ανάγλυφα χαρακτηριστικά συγκριτικά με ό,τι ίσχυε στο προηγούμενο νομοθετικό πλαίσιο. Ο ρόλος του Υπευθύνου Προστασίας Προσωπικών Δεδομένων ή “DPO”, όπως επικράτησε να λέγεται από το ακρωνύμιο της αντίστοιχης αγγλικής ορολογίας «Data Protection Officer». Μαζί με τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία αποτελούν τους τρεις βασικούς πρωταγωνιστές του έργου της συμμόρφωσης μιας επιχείρησης με τον Κανονισμό. Και πρόκειται για ένα έργο με πολλές συνέχειες, καθώς η συμμόρφωση αυτή δεν είναι στατική αλλά διαρκής.
Ο ρόλος του DPO αποτελεί μια έκφανση του συστήματος της «οιονεί» αυτορρύθμισης που εισάγει ο Κανονισμός, δηλαδή, με σχηματικό τρόπο, της μετατόπισης του εποπτικού ρόλου της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στο εσωτερικό της επιχείρησης. Oι περιπτώσεις όπου είναι υποχρεωτικός ο ορισμός του, ο ρόλος και τα καθήκοντα του περιγράφονται σε σχετικά άρθρα του Κανονισμού και έχουν σκιαγραφηθεί σημαντικά με τις κατευθύνσεις που δίνουν οι αρμόδιες εποπτικές Αρχές και τα γνωμοδοτικά όργανα σε ευρωπαϊκό επίπεδο. Η αποτελεσματική και επιτυχής όμως άσκηση των καθηκόντων αυτών προϋποθέτει την ύπαρξη τυπικών και ουσιαστικών προσόντων, καθώς και μια σειρά από ικανότητες και δεξιότητες.
Τα επαγγελματικά προσόντα του σχετίζονται με την εμπειρογνωσία στο δίκαιο, εθνικό και ευρωπαϊκό και τις πρακτικές αναφορικά με την προστασία των δεδομένων καθώς και την ικανότητα εκπλήρωσης των ανατεθειμένων καθηκόντων. Συγκεκριμένα, ο Υπεύθυνος Προστασίας Προσωπικών Δεδομένων είναι ο σύμβουλος, ο οποίος ενημερώνει, συμβουλεύει για τις υποχρεώσεις που απορρέουν από τον Κανονισμό, εποπτεύει τη συμμόρφωση, ώστε να είναι νόμιμη σύμφωνα με τις επιταγές του Κανονισμού, χωρίς να λαμβάνει εντολές για την άσκηση των καθηκόντων του, αλλά ενεργώντας με ανεξάρτητο τρόπο κατά το προοίμιο του Κανονισμού. Για το λόγο αυτό δεν θα πρέπει να συντρέχει στο πρόσωπό του σύγκρουση καθηκόντων δηλαδή ταύτιση στο ίδιο πρόσωπο του ελεγκτή και ελεγχόμενου.
Ο Υπεύθυνος Προστασίας Προσωπικών Δεδομένων καλείται να επιστρατεύσει μια σειρά από ικανότητες, υπό την έννοια των αποδεκτών προτύπων συμπεριφοράς, που απαιτούνται για την επιτυχή ολοκλήρωση των καθηκόντων του. Έτσι, θα πρέπει να διακρίνεται κυρίως για την ικανότητα πειθούς, ιδιαίτερα όσον αφορά τη σχέση του με τη διοίκηση της επιχείρησης και το προσωπικό της, την υπομονή, την παρατηρητικότητα, την σφαιρική αντίληψη των δραστηριοτήτων της επιχείρησης, την ικανότητα σχεδιασμού, οργάνωσης διαδικασιών, την υψηλή συναισθηματική νοημοσύνη, τη δημιουργικότητα και φαντασία.
Ο Υπεύθυνος Προστασίας Προσωπικών Δεδομένων τοποθετείται κυριολεκτικά στη μέση μιας διελκυστίνδας τα δυο άκρα της οποίας είναι η αγορά και η εποπτική Αρχή, με διαφορετικό προσανατολισμό και διαφορετικές προτεραιότητες το καθένα από αυτά. Μια τρίτη σημαντική δύναμη προστίθεται στην εύθραυστη αυτή ισορροπία: οι καταναλωτές, οι πολίτες, ο καθένας από εμάς, τα δεδομένα του οποίου τίθενται υπό επεξεργασία. Ο Κανονισμός δίνει τη δυνατότητα στη δύναμη αυτή να αποκτήσει πιο ενεργητικό ρόλο αναφορικά με την επεξεργασία των προσωπικών της δεδομένων, τον οποίο επιτυγχάνει μέσω της διαφάνειας και ενημέρωσης που της παρέχει υποχρεωτικά ο κάθε υπεύθυνος επεξεργασίας. Και ανάμεσα σε αυτά τα εμπλεκόμενα μέρη, ο Υπεύθυνος Προστασίας Προσωπικών Δεδομένων καλείται να δημιουργήσει διαύλους επικοινωνίας αξιοποιώντας τα εργαλεία που του παρέχει ο Κανονισμός και εξασκώντας αποτελεσματικά τις ικανότητες που περιγράφηκαν πιο πάνω. Το σημείο τομής των επάλληλων, αντικρουόμενων αυτών κύκλων είναι οι βελτιωμένες υπηρεσίες και τα προϊόντα, ο υγιής ανταγωνισμός και η οικονομική ανάπτυξη, με γνώμονα τη νόμιμη επεξεργασία των προσωπικών δεδομένων.
Ταυτόχρονα ο Υπεύθυνος Προστασίας Δεδομένων λειτουργεί ως γέφυρα, καθώς αποτελεί το σημείο επικοινωνίας της εποπτικής Αρχής με την επιχείρηση, καθώς και το σημείο επαφής των υποκειμένων των προσωπικών δεδομένων με την επιχείρηση για την άσκηση των προβλεπομένων δικαιωμάτων τους. Σε περίπτωση δε που ανακύψει διαφορά μεταξύ των εμπλεκομένων μερών, ο Κανονισμός ενθαρρύνει τη φιλική, εξωδικαστική επίλυση αυτών, μέσω σχετικής πρόβλεψης στο κεφάλαιο αναφορικά με την υιοθέτηση Κωδίκων Δεοντολογίας. Έτσι τα μέρη μπορούν να επιλέξουν την καταλληλότερη μέθοδο εναλλακτικής επίλυσης της διαφοράς τους, ενώ η συμβολή του Υπευθύνου Προστασίας Προσωπικών Δεδομένων στην αποτελεσματική προσπάθεια εξεύρεσης φιλικής λύσης, κρίνεται πολύ σημαντική.
Δικαίως, επομένως, χαρακτηρίζεται ως ο «εσωτερικός αστυνόμος», «πιλότος», «μαέστρος» ή μια «μικρή εποπτική Αρχή» στο εσωτερικό της επιχείρησης, αποτελώντας σημαντικό οδηγό στη συμμόρφωση της επιχείρησης με τον Κανονισμό.
Συμπερασματικά, η αυτορρύθμιση στο πεδίο της προστασίας των προσωπικών δεδομένων και η ανάληψη ιδίας ευθύνης από τις επιχειρήσεις μέσω της εγκαθίδρυσης της λογοδοσίας, καλλιεργεί την υπεύθυνη στάση και την κουλτούρα σεβασμού της Ιδιωτικότητας.
Ο Κανονισμός ευαγγελίζεται τη δημιουργία σχέσεων εμπιστοσύνης, τόσο στο εσωτερικό της επιχείρησης, όπως στις σχέσεις της διοίκησης με το προσωπικό, όσο και στη δημόσια εικόνα της, τις σχέσεις των συναλλασσόμενων με την επιχείρηση, τη βελτιστοποίηση των υπηρεσιών, τη δημιουργία τελικά θετικής εικόνας της οικείας αγοράς. Ο Υπεύθυνος Προστασίας Δεδομένων καλείται με την ανάληψη των καθηκόντων του να διαδραματίσει καίριο Διαμεσολαβητικό ρόλο μεταξύ αυτών των αμφίρροπων δυνάμεων προς αυτή την κατεύθυνση. Και αυτή ακριβώς η εμπιστοσύνη αποτελεί το νέο νόμισμα της εποχής που ενισχύεται με την υιοθέτηση βέλτιστων πρακτικών από τις επιχειρήσεις, οι οποίες καλούνται πλέον να τοποθετήσουν στο κέντρο της επεξεργασίας προσωπικών δεδομένων τον ίδιο τον άνθρωπο.
Δέσποινα Στυλ. Βεζακίδου
Νομική Σύμβουλος Επιχειρήσεων, Μέλος του Δικηγορικού Συλλόγου Θεσσαλονίκης, Ειδικευμένη σε ζητήματα Internet, Σύγχρονων Τεχνολογιών και Προστασίας Δεδομένων