Κάτι παραπάνω από 40 μέρες απομένουν μέχρι την 25η Μαΐου, την ημερομηνία εφαρμογής του κοινοτικού κανονισμού για την προστασία των προσωπικών δεδομένων. Κι όμως, κατά γενική ομολογία όσων ασχολούνται επαγγελματικά με το συγκεκριμένο θέμα, η πλειονότητα των ελληνικών επιχειρήσεων, εξαιρουμένων ορισμένων μεγάλων κυρίως εταιριών, εξακολουθεί να μην είναι επαρκώς ενημερωμένη για τις επιπτώσεις αυτού του κανονισμού, παραμένοντας λιγότερο ή περισσότερο απροετοίμαστη για την εφαρμογή του.

Πρόκειται για θέμα σοβαρότατο, καθώς η έννοια των προσωπικών δεδομένων, με βάση την οδηγία, είναι ευρύτατη. Και περιλαμβάνει βεβαίως όχι μόνο τα στοιχεία των πελατών της αλλά και εκείνα των προμηθευτών, των εργαζομένων αλλά και των συνεργατών, εφόσον πρόκειται για φυσικά πρόσωπα.

Τα δε πρόστιμα που προβλέπονται στην περίπτωση που υπάρξει ευθύνη της εταιρίας στην παραβίαση είναι τόσο υψηλά, που να συνιστούν, υπό προϋποθέσεις, ακόμη και απειλή για την περαιτέρω ύπαρξη μιας επιχείρησης που υπέπεσε σε σοβαρό παράπτωμα.

Σε μια χώρα που εξακολουθεί να κατακλύζεται από «απρόσκλητη» ηλεκτρονική αλληλογραφία και spam προς ανυποψίαστους χρήστες, από χαλαρότητα στην τήρηση διαδικασιών ακόμη και σε ζητήματα ασφαλείας, αλλά και από την προσμονή της «παράτασης», είτε πρόκειται για φορολογικές δηλώσεις, είτε για άλλες δοσοληψίες με το κράτος, η ράθυμη αντιμετώπιση αυτού του θέματος, παρά τη σοβαρότητά του, δεν είναι δυσεξήγητη.

Έτσι «έχουμε μάθει». Είναι δε πιθανό ότι σε αρκετές επιχειρήσεις δεν έχουν γίνουν κατανοητές πολλές «λεπτομέρειες» του σχετικού κανονισμού, όπως για παράδειγμα το ότι η έννοια των προσωπικών δεδομένων εμπεριέχει ακόμη και τα… βιογραφικά που εστάλησαν σε μια επιχείρηση, με σκοπό την ανεύρεση εργασίας!

Που σημαίνει όχι μόνο ότι η εταιρία οφείλει να έχει διαδικασίες ασφαλείας/κωδικοποίησης για την τήρηση αρχείων που περιλαμβάνουν βιογραφικά, ή να τα σβήνει μετά την πάροδο ενός διαστήματος, αλλά και ότι αν κάποιος ανακαλύψει ότι υπήρξε π.χ. κυκλοφορία των προσωπικών του δεδομένων, μέσω της διαρροής ενός βιογραφικού, μπορεί να προχωρήσει σε αγωγή αποζημίωσης.

Πέραν όμως της ελλιπούς ενημέρωσης ή της ραθυμίας, υπάρχουν και σοβαρά πρακτικά προβλήματα σε ό,τι αφορά την εφαρμογή των προβλεπόμενων διαδικασιών σε μεγάλο μέρος των μικρών και μικρομεσαίων επιχειρήσεων. Διότι πολύ απλά δεν έχουν τις εσωτερικές δομές και διαδικασίες, στα πρότυπα των οποίων έχει συγκροτηθεί η συγκεκριμένη οδηγία. Ακριβώς διότι είναι μικρές ή και πολύ μικρές σε μέγεθος ενώ ταυτόχρονα λειτουργούν κατά κανόνα με υποτυπώδεις δομές, ή και σε καθεστώς λιγότερο ή περισσότερο δημιουργικής… «αναρχίας», κάτω από την επίβλεψη του ιδιοκτήτη τους.

Εύλογα θα αναρωτηθεί ίσως ο αναγνώστης «μα καλά, έτσι, με μια προθεσμία, θα περάσουμε από ένα καθεστώς σχεδόν πλήρους ασυδοσίας (σ.σ. είναι γνωστό ότι ακόμη και η πρόσβαση σε φορολογικά και τραπεζικά απόρρητα στοιχεία έχει ευδοκιμήσει σε τούτο τον τόπο), σε καθεστώς απόλυτης αυστηρότητας; Ποιος και πώς θα τα ελέγχει όλα αυτά;

Στην προκειμένη περίπτωση, η προθεσμία είναι πανευρωπαϊκή και δεν προβλέπεται να πάρει παράταση. Το μόνο, λένε οι πληροφορίες, που «ατύπως» προβλέπεται, είναι να υπάρξει μια χαλαρότητα στους ελέγχους, για κάποιο διάστημα προσαρμογής.

Ο μεγάλος κίνδυνος σε αυτό ακριβώς το διάστημα δεν προέρχεται από τους ελέγχους αλλά από τους θιγόμενους, που εύκολα πλέον θα μπορούν να εγείρουν αξιώσεις αποζημίωσης, εφόσον θεωρούν ότι παραβιάστηκαν προσωπικά τους δεδομένα. Παραβίαση δε προσωπικών δεδομένων (για όσους δεν το έχουν αντιληφθεί ήδη) είναι και η αποστολή emails σε ανθρώπους που δεν έχουν συναινέσει σε κάτι τέτοιο.

Υπό μίαν έννοια, όλα τα προαναφερθέντα αποτελούν φυσιολογική εξέλιξη, καθώς τα προσωπικά δεδομένα, είτε πρόκειται για το «ίχνος» πλοήγησης στο διαδίκτυο (που αποκαλύπτει τοποθεσία, προτιμήσεις και πολλά ακόμη στοιχεία), είτε π.χ. για την ηλεκτρονική διεύθυνση και το επάγγελμα, απέκτησαν πρωτόγνωρη αξία για τα απανταχού τμήματα πωλήσεων και marketing.

Το γεγονός ότι εξ αυτού προκύπτει μια ακόμη επιβάρυνση, κοστολογική, οργανωτική και διαδικαστική, για οιαδήποτε επιχείρηση δραστηριοποιείται έναντι φυσικών προσώπων, ιδίως δε αν ένα τμήμα της λειτουργεί ηλεκτρονικά, όπως είναι πλέον ο κανόνας, αποτελεί ένα ακόμη παράδειγμα του τρόπου με τον οποίο εξελίσσεται η επιχειρηματικότητα διεθνώς.

Ολοένα και περισσότερο, μικρές και πολύ μικρές επιχειρήσεις που λειτουργούν χωρίς οργάνωση και δομές, στηριγμένες σε πρότυπα και πρακτικές του παρελθόντος, θα έρχονται αντιμέτωπες με «υπερεθνικούς» κανόνες και διαδικασίες που τις υπερβαίνουν.

Πως μπορεί να σας βοηθήσει η 4mat

H 4mat μπορεί να αναλάβει τόσο την μελέτη δηλαδή την ανάλυση των κενών και ελλείψεων όσο και τις ενέργειες συμμόρφωσης. Ειδικότερα η ανάλεση κενών και ελλείψεων καλύπτει τις ακόλουθες διαδικασίες και δραστηριότητες:

  • Γενική Διοίκηση Πληροφορικής, Προστασία Δεδομένων και Θέματα Ασφαλείας
  • Αξιολόγηση κινδύνου τεχνολογιών πληροφορικής
  • Θέματα δεδομένων
  • Δικαιώματα Δεδομένων Φυσικών Προσώπων / Δικαίωμα στη λήθη
  • Διαδικασίες συναίνεσης του υποκειμένου δεδομένων
  • Διαδικασία Ενημέρωσης Ενδιαφερομένων.
  • Διαδικασία προσωπικών δεδομένων καιχαρτογράφηση δεδομένων
  • Υπεύθυνος προστασίας δεδομένων
  • Εγγραφή δεδομένων
  • Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών GDPR (ISMS)
  • Επεξεργασία δεδομένων προσωπικού χαρακτήρα από τρίτους