Ειρήνη Λοϊζίδου: Ο GDPR δεν αφορά μόνο τις μεγάλες εταιρείες

Πόσο αναγκαίος ήταν τελικά ο Κανονισμός και γιατί όλοι πασχίζουν να τον εφαρμόσουν;

Ο Κανονισμός είναι σημαντικός για τον λόγο ότι ενώ οι αρχές παραμένουν οι ίδιες προστίθεται η Αρχή της Λογοδοσίας η οποία αλλάζει την φιλοσοφία με την οποία αντιμετωπίζαμε μέχρι σήμερα το θέμα των προσωπικών δεδομένων. Αυτή η Αρχή επιβάλλει στους οργανισμούς (δημοσίου και ιδιωτικού τομέα) να αποδεικνύουν και να επιδεικνύουν την συμμόρφωση τους με τον Κανονισμό μέσω των οργανωτικών και τεχνικών μέτρων που λαμβάνουν.

Ποιες ενέργειες έχετε πραγματοποιήσει για την εναρμόνιση με τον νέο Κανονισμό της Ευρωπαϊκής Ένωσης για την προστασία των προσωπικών δεδομένων;

Από το Γραφείο μου έχουν γίνει πάρα πολλές ενέργειες με σκοπό να προετοιμαστεί τόσο ο δημόσιος όσο και ο ιδιωτικός τομέας. Έχουν ολοκληρωθεί δύο κύκλοι εκπαιδευτικών σεμιναρίων των καθορισμένων «Υπεύθυνων Προστασίας Δεδομένων» από τους λειτουργούς του Γραφείου μου, μέσα Μαΐου ολοκληρώνονται πέρα των 50 στοχευμένων παρουσιάσεων και 15 ομιλιών από μένα την ίδια, γίνονται σχεδόν καθημερινές παρεμβάσεις στα μέσα μαζικής ενημέρωσης, απαντώνται καθημερινά σωρεία τηλεφωνημάτων και ηλεκτρονικών emails με ερωτήματα επί των προνοιών του Κανονισμού. Την βδομάδα της εφαρμογής του Κανονισμού έχει ήδη ανακοινωθεί ότι θα είμαστε στην διάθεση των πολιτών προκειμένου να απαντηθούν ερωτήματα που προκύπτουν από την εφαρμογή του Κανονισμού.

Πώς βλέπετε τις εταιρίες στην Κύπρο να τα πηγαίνουν όσον αφορά την εφαρμογή του κανονισμού; Πιστεύετε η πλειοψηφία των εταιριών στην Κύπρο θα ανταποκριθεί ως την καταληκτική ημερομηνία που είναι η 25^η Μαΐου; Και ποια η αίσθησή σας και για την υπόλοιπη Ευρώπη συνολικά; Θα υπάρξει on time ανταπόκριση;

Το επίπεδο συμμόρφωσης θα μπορεί να μετρηθεί μετά την εφαρμογή του Κανονισμού. Αυτό που έχω διαπιστώσει είναι ότι ο ιδιωτικός τομέας είναι κατά πολύ μπροστά από τον δημόσιο τομέα στην προετοιμασία παρά την αποστολή γραπτού σημειώματος προς το Υπουργικό Συμβούλιο, εδώ και μήνες, προκειμένου να ενεργοποιηθεί το κάθε Υπουργείο και κάθε δημόσια αρχή ξεχωριστά.

Ποιες είναι οι κυριότερες παγίδες που πρέπει να αποφύγουν οι επιχειρήσεις;

Δεν υπάρχουν παγίδες, φτάνει να κατανοήσουν ποιες πρόνοιες τους αφορούν και να τις εφαρμόσουν. Δεν υπάρχει ενιαία συνταγή ή πιλότος για όλους. Ο κάθε οργανισμός/ επιχείρηση/ εταιρεία θα πρέπει να καταρτίσει την πολιτική που τον αφορά και να την εφαρμόσει.

Πώς πρέπει να κινηθεί μια εταιρία για να επιτελέσει επιτυχώς τη συμμόρφωση; Ποιες ακριβώς ειδικότητες ατόμων είναι απαραίτητες; Πόσο μικρό ή μεγάλο είναι το κόστος της συμμόρφωσης; Είναι το κόστος τέτοιο ώστε να μπορεί να το υποστηρίξει μια ΜμΕ;

Ο Κανονισμός δεν αφορά μόνο τις μεγάλες εταιρείες όπως λανθασμένα κάποιοι θεωρούν. Αφορά και σε εταιρείες κάτω των 250 υπαλλήλων εφόσον οι επεξεργασίες ελλοχεύουν κίνδυνο για τα δικαιώματα των υποκειμένων των δεδομένων.  Άρα αυτό που έχει σημασία είναι η επικινδυνότητα της επεξεργασίας και όχι το μέγεθος της εταιρείας. Τα κόστη μειώνονται μακροπρόθεσμα αφού ο οργανισμός θα «γλυτώσει» διοικητικά πρόστιμα με την συμμόρφωση του με τον Κανονισμό.

Ποιο είναι το κατάλληλο άτομο που θα πρέπει να οριστεί ως DPO; Είναι υποχρεωτικό να έχει κάποια συγκεκριμένη πιστοποίηση;

Ο Κανονισμός καταγράφει ρητά στα άρθρα 37-39 τα προσόντα και τα καθήκοντα του Υπεύθυνου Επεξεργασίας Δεδομένων. Υπάρχουν αναρτημένες καθοδηγητικές γραμμές του Άρθρου 29 που αναφέρει και θέσεις που αντίκεινται στην θέση του Υπεύθυνου Προστασίας. Το σίγουρο είναι ότι αυτό το άτομο δεν πρέπει να έχει διευθυντική θέση στον οργανισμό με την έννοια ότι το ίδιο άτομο που θέτει ή συμμετέχει στην κατάρτιση στρατηγικής ενός οργανισμού δεν μπορεί να εποπτεύει αυτή την στρατηγική. Ο Υπεύθυνος Προστασίας Δεδομένων πρέπει να εκτελεί τα καθήκοντα του σε ανεξαρτησία και λογοδοτεί απευθείας στην Διεύθυνση.  Ο Κανονισμός δεν προνοεί πουθενά και πρόκειται για εσφαλμένη αντίληψη ότι αυτό το άτομο πρέπει να πιστοποιηθεί.

Μια επιχείρηση με έδρα την Ελλάδα που έχει στοιχεία ενός Κύπριου Πολίτη, σε ποια αρχή θα πρέπει να λογοδοτήσει σε περίπτωση κάποιας παράβασης; Πώς ακριβώς λειτουργεί η διαδικασία ελέγχου για το αν η εκάστοτε εταιρία έχει συμμορφωθεί ή όχι;

Ο Κανονισμός προβλέπει το θεσμό της ενιαίας θυρίδας με την οποία ο κάθε οργανισμός έχει δικαίωμα να επιλέξει την αρχή που θα του επιλύει τα θέματα των προσωπικών δεδομένων που προκύπτουν. Θα πρέπει πρωτίστως να καθοριστεί η κύρια εγκατάσταση του οργανισμού. Κύρια εγκατάσταση για τους υπεύθυνους επεξεργασίας είναι η χώρα που έχει την έδρα της η εταιρεία ή η χώρα που παίρνονται οι αποφάσεις της διοίκησης. Για τον εκτελούντα την επεξεργασία η χώρα που παίρνονται οι αποφάσεις της διοίκησης. Άρα θα λογοδοτήσει στην Αρχή που θα επιλέξει και δικαιολογείται από την κύρια εγκατάσταση.

Για να υλοποιήσετε με επιτυχία το έργο σας είναι πολύ πιθανό να χρειαστείτε έμψυχο δυναμικό και εκσυγχρονισμό των υποδομών. Έχουν εξασφαλιστεί κάποια κονδύλια για αυτό; Έχουν ξεκινήσει κάποιες διαδικασίες εκ μέρους σας για την υλοποίηση του σχεδιασμού;

Έχουν εγκριθεί 3 νέες οργανικές θέσεις, των οποίων έχει αρχίσει η διαδικασία πλήρωσης. Δεν είναι αρκετές αλλά με το υλικό που έχουμε θα προσπαθήσουμε να φέρουμε εις πέρας το δύσκολο μας έργο.

Ποιες δραστηριότητες θα επηρεαστούν περισσότερο από τον Κανονισμό;

Δεν είναι θέμα επηρεασμού αλλά σε ποιους αφορά περισσότερο. Σίγουρα αφορά περισσότερο επεξεργασίες μεγάλης κλίμακας που ελλοχεύουν κινδύνους για τα δικαιώματα και ελευθερίες των υποκειμένων. Πχ. Νοσοκομεία, Ασφαλιστικές, Ξενοδοχεία κτλ.

Πιστεύετε ο Κανονισμός δημιουργεί ένα πιο δίκαιο περιβάλλον αγοράς; Πείτε μας οφέλη που μπορούν να έχουν οι εταιρίες που θα συμμορφωθούν στον κανονισμό.

Ο Κανονισμός ωθεί τους οργανισμούς/ εταιρείες/ επιχειρήσεις να εγκαταστήσουν και να λειτουργήσουν πιο διαφανείς και ασφαλείς διαδικασίες. Αυτό δίνει προβάδισμα σε αυτούς του οργανισμούς αξιοπιστίας και ασφάλειας στο να τους επιλέξουν οι πολίτες για να συμβληθούν μαζί τους.

Πόσο αυστηρό είναι το πλαίσιο συμμόρφωσης έως την 25 Μαΐου; Κατά πόσο εύκολο ή δύσκολο είναι να δοθεί μια παράταση σε τέτοιες περιπτώσεις;

Ο Κανονισμός είναι ένα δύσκολο και αυστηρό νομικό κείμενο το οποίο θα έχει άμεση εφαρμογή την 25^η Μαίου. Δεν υπάρχει δυνατότητα παράτασης γιατί είναι Ευρωπαϊκός Κανονισμός. Δεν μπορεί η κάθε αρχή να αποφασίσει διαφορετικά.