Η αξία των προσωπικών δεδομένων είναι αδιαπραγμάτευτη και διαρκώς αυξανόμενη. Ειδικά στην τρέχουσα συγκυρία, είναι προφανές ότι η κατοχή, η πρόσβαση σε αυτά, και η διαχείριση τους, αποτελεί θέμα μεγίστης σημασίας.
Κατά συνέπεια εξίσου σημαντική είναι και η ασφάλεια και προστασία τους, τόσο σε επίπεδο φυσικών προσώπων, όσο και μεταξύ των εταιρειών και των οργανισμών.
Η σημερινή Ευρωπαϊκή Ημέρα Προστασίας Προσωπικών Δεδομένων αποτελεί υπενθύμιση για το πόσο επίκαιρη αλλά και ουσιαστική είναι η συζήτηση για το σημαντικό αυτό θέμα.
Ξεκινώντας με τον ορισμό τους, σύμφωνα με τον Ευρωπαϊκό Γενικό Κανονισμό Προσωπικών Δεδομένων (GDPR) : προσωπικά δεδομένα είναι όλες οι πληροφορίες που αφορούν ένα –εν ζωή- ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο (το οποίο καλείται υποκείμενο των δεδομένων).
Τα προσωπικά δεδομένα περιέχουν πληροφορίες όπως:
- όνομα
- διεύθυνση
- αριθμός δελτίου ταυτότητας/διαβατηρίου
- εισόδημα
- πολιτισμικό προφίλ
- κωδικός πρωτοκόλλου διαδικτύου (ΙΡ)
- δεδομένα που διατηρούν νοσοκομεία ή γιατροί (με αποκλειστικό σκοπό την ταυτοποίηση προσώπου για ιατρικούς λόγους).
Ταυτόχρονα, σύμφωνα πάντα με τον Κανονισμό, δεν επιτρέπεται η επεξεργασία προσωπικών δεδομένων σχετικά με τα εξής χαρακτηριστικά ενός προσώπου:
- φυλετική ή εθνοτική καταγωγή
- σεξουαλικός προσανατολισμός
- πολιτικά φρονήματα
- θρησκευτικές ή φιλοσοφικές πεποιθήσεις
- συμμετοχή σε συνδικαλιστικές οργανώσεις
- γενετικά ή βιομετρικά δεδομένα και δεδομένα υγείας, εξαιρουμένων ειδικών περιπτώσεων (π.χ. όταν έχετε δώσει την πλήρη συγκατάθεσή σας ή όταν η επεξεργασία απαιτείται για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει της νομοθεσίας της ΕΕ ή της εθνικής νομοθεσίας)
- προσωπικά δεδομένα που σχετίζονται με ποινικές καταδίκες και αδικήματα, εκτός αν αυτό επιτρέπεται από τη νομοθεσία της ΕΕ ή την εθνική νομοθεσία
- Τα συγκεκριμένα δεδομένα αξιολογούνται ως ιδιαίτερης αξίας και ευαισθησίας, τα οποία καθίσταται σαφές ότι μπορούν να προκαλέσουν σημαντικότατη βλάβη στις ζωές των υποκειμένων (ιδιοκτήτες των δεδομένων).
Μολαταύτα, και μολονότι έχουν περάσει αρκετά χρόνια από την εφαρμογή και θέση σε ισχύ (25 Μαΐου 2018) του Ευρωπαϊκού Γενικού Κανονισμού Προσωπικών Δεδομένων (GDPR), οι Οργανισμοί, οι Υπεύθυνοι Επεξεργασίας καθώς και οι Υπεύθυνοι Προστασίας (DPO), σε πάρα πολλές περιπτώσεις δεν είναι σε θέση να επιβεβαιώσουν ότι οι ενέργειες που έχουν εφαρμόσει εξασφαλίζουν την συμμόρφωση με τον Κανονισμό.
Την ίδια στιγμή όμως, ακόμη και σε περιπτώσεις όπου έχει τεθεί σε εφαρμογή το σχετικό κανονιστικό πλαίσιο (εφαρμοστικός Ελληνικός Νόμος 4624/2019), παρατηρούνται φαινόμενα ακούσιας παραβατικής συμπεριφοράς.
Εταιρείες επεξεργάζονται παράνομα ή και αποστέλλουν σε τρίτους τα προσωπικά δεδομένα των πελατών/χρηστών των υπηρεσιών τους. Και αυτό, μολονότι οι κατά τόπους ρυθμιστικές αρχές επιβάλλουν υψηλότατα πρόστιμα, όπως για παράδειγμα στην περίπτωση της META (Facebook) στην οποία στο τέλος του 2022 καταλογίστηκε νέο πρόστιμο 265 εκατ. ευρώ για διαρροή προσωπικών δεδομένων από τις ευρωπαϊκές ρυθμιστικές αρχές. Για να γίνει κατανοητό το μέγεθος της υπόθεσης, αξίζει να σημειωθεί ότι τα πρόστιμα που έχουν επιβληθεί στη μητρική εταιρεία προσεγγίζουν το 1 δισ. ευρώ.
Στη χώρα μας, ακόμη και σήμερα, ένα μεγάλο ποσοστό εταιρειών και φορέων που υπόκεινται στη συγκεκριμένη νομοθεσία, είτε λόγω χαμηλών αντανακλαστικών, είτε λόγω των ειδικών συνθηκών που προέκυψαν από την πανδημία, έχουν αφήσει την προσπάθεια προσαρμογής σε ημιτελές ή αρχικό σημείο με ουσιαστικό κίνδυνο να τους επιβληθούν βαρύτατα πρόστιμα.
Στο ενδιάμεσο έχουν γίνει αρκετές προσπάθειες για την δημιουργία και εγκαθίδρυση λύσεων (Διαχειριστικά Συστήματα, Συμβουλευτικές Υπηρεσίες συμμόρφωσης, έλεγχοι συμμόρφωσης) με κύριο εκφραστή το πρότυπο ISO: 27701 που καθορίζει την εφαρμογή ενός Διαχειριστικού Συστήματος με κύριο μέλημα την προστασία των προσωπικών δεδομένων εξασφαλίζοντας έτσι την προσαρμογή στις απαιτήσεις του GDPR. Βέβαια η δημιουργία και λειτουργία ενός Διαχειριστικού Συστήματος απαιτεί συγκεκριμένες γνώσεις και συνολική προσπάθεια σε έναν Οργανισμό, όμως κατ’ αυτό τον τρόπο μπορούν να εξασφαλιστούν σημαντικά σημεία/ βήματα προσαρμογής στις απαιτήσεις του Κανονισμού.
Περαιτέρω, με την πιστοποίηση του Διαχειριστικού Συστήματος -χρησιμοποιώντας την εγκυρότητα που μπορεί να προσφέρει ένας αξιόπιστος φορέας πιστοποίησης- ο Οργανισμός μπορεί να δείξει, ότι πραγματικά εφαρμόζει διαδικασίες που εξασφαλίζουν την προστασία των προσωπικών δεδομένων και βέβαια αποκτά και την έξωθεν καλή μαρτυρία ότι ενδιαφέρεται ουσιαστικά για τα προσωπικά δεδομένα των εργαζομένων, συνεργατών και των πελατών του.
Συνολικά, η σημερινή Ευρωπαϊκή Ημέρα Προστασίας Προσωπικών Δεδομένων πρέπει να μας θυμίζει την σημαντικότητα και την αξία των προσωπικών μας δεδομένων, την επίδραση που έχει η απώλεια και κακοδιαχείριση τους στην ζωή μας και κυρίως να μην ξεχνάμε τα δικαιώματα μας σαν υποκείμενα έναντι όσων επιβουλεύονται την χρήση και κατάχρηση τους.
* Ο Μιχάλης Αλεξίου είναι Information technology and information security product manager της TÜV HELLAS (TÜV NORD)