του Ιωάννη Ε. Γιαννακάκη, Δικηγόρου – Νομικού Συμβούλου Νότιας Ευρώπης Ομίλου G4S
Ο DPO θα πρέπει να λειτουργήσει ως επικεφαλής Task Force που θα περιλαμβάνει μέλη των IT, PR, Legal/Compliance και Information Security
Στις 16 Απριλίου 2016 ψηφίσθηκε από το Ευρωπαϊκό Κοινοβούλιο ο Γενικός Κανονισμός Προσωπικών Δεδομένων, νομοθέτημα άμεσης εφαρμογής σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης, το οποίο θα τεθεί σε ισχύ μετά την παρέλευση της μεταβατικής περιόδου για την προσαρμογή των κρατών, δηλαδή στις 25 Μαΐου 2018.
Το νομοθέτημα αλλάζει ριζικά το τοπίο στο χώρο της Προστασίας των Προσωπικών Δεδομένων, επιβάλλοντας πρόσθετες υποχρεώσεις σε Υπεύθυνους Επεξεργασίας και Εκτελούντες την Επεξεργασία προσωπικών δεδομένων, όπως ο υποχρεωτικός διορισμός Data Protection Officer.
Ωστόσο τα ερωτήματα που εύλογα γεννώνται είναι πώς αφενός θα ενταχθεί στην ασφαλιστική αγορά ο ρόλος του Data Protection Officer και αφετέρου τι πρέπει να κάνουν οι ασφαλιστικές για να αποφύγουν τα πρόστιμα που προβλέπει ο Γενικός Κανονισμός για την Προστασία των Δεδομένων.
Είναι πραγματικά έτοιμη η ασφαλιστική αγορά να αποδεχθεί το θεσμικό ρόλο του Data Protection Officer, όπως αυτός προδιαγράφεται στον Κανονισμό; Δηλαδή ως ανεξάρτητο ειδικό στο χώρο των προσωπικών δεδομένων, με αποδεδειγμένη (πιστοποιημένη από ανεξάρτητο φορέα) γνώση και εμπειρία στη νομοθεσία και πρακτική εφαρμογή των Προσωπικών Δεδομένων, ο οποίος θα έχει εχέγγυα ανεξαρτησίας και θα αναφέρεται απευθείας στον CEO ή σε μέλος του Δ.Σ μιας εταιρείας; Θα ανατρέξουν οι εταιρείες στην «εύκολη» λύση της «εμβάπτισης» του εσωτερικού νομικού συμβούλου ή έμμισθου δικηγόρου σε Data Protection Officer ανεξάρτητα από το εάν ο τελευταίος έχει την ειδική γνώση και εμπειρία να αντιμετωπίσει την ευθύνη και τα καθήκοντα του θεσμικού αυτού ρόλου; Ή θα αντιμετωπίσουν με τρόπο ουσιαστικό τις προκλήσεις και τις ανάγκες της νέας πραγματικότητας είτε εκπαιδεύοντας εσωτερικά τα στελέχη τους, να λειτουργήσουν αποκλειστικά ως Data Protection Officers, είτε προσλαμβάνοντας ανεξάρτητους επαγγελματίες, με σύμβαση παροχής ανεξάρτητων υπηρεσιών ή με σύμβαση εξαρτημένης εργασίας, στην οποία όμως θα προδιαγράφεται σαφώς ο ρόλος και τα καθήκοντα του Data Protection Officer κατά τρόπο ώστε να αποφεύγεται η σύγκρουση συμφερόντων του τελευταίου, εάν, λόγου χάρη έχει παράλληλα καθήκοντα που αφορούν στην επεξεργασία προσωπικών δεδομένων στην εταιρεία.
Ο ρόλος του Data Protection Officer, ως εξειδικευμένου, λειτουργικά ανεξάρτητου, στελέχους δεν περιορίζεται μόνο στην υποχρεωτική, κατά το Νέο Κανονισμό, παρουσία του σε μία εταιρεία με την έννοια της τυπικής πλήρωσης μιας θέσης εργασίας (tick box) όπως αντίστοιχα ο Ιατρός Εργασίας ή ο Τεχνικός Ασφαλείας.
Ο Data Protection Officer αναλαμβάνει ουσιαστικά να εκπροσωπήσει την Επιχείρηση έναντι των Αρχών, Εθνικών και Ευρωπαϊκών, και να διασφαλίσει την εναρμόνιση της λειτουργίας της επιχείρησης σε ό,τι αφορά τις πολιτικές πρακτικές και μεθοδολογία επεξεργασίας, αποθήκευσης και μεταφοράς Δεδομένων Προσωπικού Χαρακτήρα.
Αναλαμβάνει επίσης να προστατέψει την επιχείρηση από τους κινδύνους επιβολής των σημαντικότατων και βαρύτατων διοικητικών προστίμων που προβλέπει ο Κανονισμός τα οποία εκκινούν από 10.000.000 ευρώ ή το 2% του παγκόσμιου τζίρου εάν πρόκειται για διεθνή όμιλο και φτάνουν σε περίπτωση παράβασης βασικών διατάξεων του κανονισμού σε
20.000.000 ή στο 4% του παγκόσμιου τζίρου.
Ο Data Protection Officer, θα πρέπει να λειτουργήσει ως επικεφαλής ομάδας ειδικών (Task Force) που θα περιλαμβάνει μέλη των IT, PR, Legal/Compliance και Information Security, δημιουργώντας μια ευέλικτη ομάδα που θα αντιμετωπίσει επιτυχώς όλες τις προκλήσεις που θα ανακύψουν κατά την εφαρμογή του νέου αυστηρού νομοθετικού πλαισίου στο χώρο των προσωπικών δεδομένων, και ταυτόχρονα να έχει άμεση πρόσβαση στη διοίκηση της εταιρείας ή των εταιρειών που εκπροσωπεί.
Σε αντίθετη περίπτωση υπάρχει σοβαρότατος κίνδυνος επιβολής εξοντωτικών για τις επιχειρήσεις διοικητικών προστίμων, αλλά πέραν αυτών, κίνδυνος αναστολής της επεξεργασίας ή μεταφοράς συγκεκριμένων προσωπικών δεδομένων από τις εταιρείες που πρακτικά μπορεί να σημαίνει αναστολή της δραστηριότητας της επιχείρησης με τις αντίστοιχες συνέπειες.
Είναι αναγκαία η αφύπνιση και η δραστηριοποίηση της ασφαλιστικής αγοράς, ώστε στο χρόνο που απομένει μέχρι την έναρξη ισχύος του Γενικού Κανονισμού να προετοιμασθεί κατάλληλα και επαρκώς για να αντιμετωπίσει τα νέα δεδομένα.
Ταυτόχρονα οι επαγγελματίες των Προσωπικών Δεδομένων πρέπει να επικαιροποιήσουν και εξειδικεύσουν τη γνώση τους, ώστε να μπορέσουν να αναλάβουν υπεύθυνα και ουσιαστικά τα καθήκοντα του Data Privacy Officer.
Περισσότερες πληροφορίες για το ρόλο του Data Protection Officer και τις γνώσεις που πρέπει να διαθέτει μπορείτε να βρείτε στον ιστότοπο www.dpoacademy.gr.
* Ο Ιωάννης Ε. Γιαννακάκης είναι νομικός, εξειδικευμένος στον τομέα της προστασίας προσωπικών δεδομένων. Είναι Certified Information Privacy Professional/Europe και Certified Information Privacy Manager απο τον International Association of Privacy Professionals (IAPP) και Certified GDPR/ Foundation Consultant από το IT Governance κατά ISO 17024.
Πηγή: Ασφαλιστικό Marketing – Τεύχος Μαρτίου 2017
.gif?rand=3246)
