Κ. Παρπούνας: Τι αλλάζει στις επιχειρήσεις για προσωπικά δεδομένα

Το στοίχημα της ανάπτυξης κουλτούρας προστασίας των προσωπικών δεδομένων στις επιχειρήσεις αναλύει σε συνέντευξη του στο InBusinessNews ο Πρόεδρος του νεοσύστατου Συνδέσμου Επαγγελματιών Προστασίας Πληροφοριών και Ιδιωτικότητας Κύπρου, Κυριάκος Παρπούνας. Ο κ. Παρπούνας τονίζει ότι η Κύπρος υστερεί σημαντικά στο κομμάτι της προστασίας προσωπικών δεδομένων και αναλύει τους στόχους και τις προτεραιότητες του Συνδέσμου στη βάση και του σχετικού ευρωπαϊκού κανονισμού.  Παράλληλα, περιγράφει και το ρόλο των ειδικών προστασίας προσωπικών δεδομένων, που θα πρέπει να εργοδοτηθούν από επιχειρήσεις.

Πρόσφατα έχει συσταθεί ο Σύνδεσμος Επαγγελματιών Προστασίας Πληροφοριών και Ιδιωτικότητας Κύπρου υπό την αιγίδα του Κυπριακού Εμπορικού και Βιομηχανικού Επιμελητηρίου (ΚΕΒΕ). Ποια η βασική λειτουργία του Συνδέσμου και ποιοι οι στόχοι του;

Ο Σύνδεσμος δημιουργήθηκε ως απόρροια των διαδικασιών για την προετοιμασία των οργανισμών στην Κύπρο (δημόσιων και ιδιωτικών) για την εφαρμογή του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (Π.Δ.) 5419/16 (γνωστού ως GDPR), που θα ισχύσει σε όλη την Ε.Ε. από τις 25 Μαΐου 2018. Ο νέος Κανονισμός στοχεύει να ρυθμίσει τη διακίνηση και επεξεργασία των Π.Δ. στη νέα εποχή, διαφυλάσσοντας σημαντικά δικαιώματα των πολιτών – ιδιοκτητών των Π.Δ., τα οποία οι οργανισμοί πρέπει να σέβονται και αποδεδειγμένα να διαφυλάσσουν. Υπολογίζεται ότι για την εφαρμογή του νέου Κανονισμού θα χρειαστούν περίπου 75,000 νέοι επαγγελματίες στον τομέα της προστασίας των δεδομένων παγκόσμια. Αυτοί οι νέοι επαγγελματίες εις ότι αφορά την Κύπρο, χρειάζονται ένα επαγγελματικό Σύνδεσμο  με σκοπό να αναδείξει και να αναπτύξει το επάγγελμα του ειδικού προστασίας Π.Δ., να ενημερώνει συστηματικά τις επιχειρήσεις του τόπου  για τα θέματα προστασίας των Π.Δ. και να καθορίσει ψηλά επίπεδα δεοντολογίας και επαγγελματισμού των σχετικών επαγγελματιών. Αυτά φιλοδοξούμε να προσφέρει ο νέος Σύνδεσμος μεταξύ άλλων.

Διαβάστε ακόμα: Ψάχνουν επενδυτή για σταθμό cargo στο αεροδρόμιο Λάρνακας

Με ποιους τρόπους θα αναδείξετε και θα προωθήσετε τα θέματα προστασίας προσωπικών δεδομένων;

Ο Σύνδεσμος θα πρωτοστατεί στην ενημέρωση και την ευαισθητοποίηση του κοινού αλλά και των οργανισμών και επιχειρήσεων για τις πρόνοιες του Κανονισμού. Αυτό θα γίνεται με παρουσιάσεις, ημερίδες, εκπαιδεύσεις ή και Συνέδρια τα οποία θα διοργανώνει ή θα συμμετέχει ο Σύνδεσμος. Ένα από τα βασικά ζητούμενα στην Κύπρο είναι να αναπτύξουμε κουλτούρα προστασίας των προσωπικών δεδομένων. Αυτό σημαίνει και οι πολίτες να μάθουν τα δικαιώματα τους και να τα απαιτούν, να συνηθίσουν να προτιμούν να συναναστρέφονται με όσους διαφυλάσσουν τα Π.Δ. τους και οι επιχειρήσεις να εντάξουν πλήρως στις δραστηριότητες τους τις διαδικασίες προστασίας των Π.Δ. Σε αυτή την προσπάθεια θέλουμε ο Σύνδεσμος να γίνει καταλύτης. 

Ποιές κατηγορίες εταιρειών επηρεάζει ο νέος ευρωπαϊκός κανονισμός για την προστασία των προσωπικών δεδομένων; 

Η απάντηση σε αυτή την ερώτηση είναι πως ο Κανονισμός επηρεάζει όλες τις επιχειρήσεις. Τις επηρεάζει όμως σε πολύ διαφορετικό βαθμό ανάλογα με τις δραστηριότητες τους, τα Π.Δ. που διαχειρίζονται, την φύση των Π.Δ. (ευαίσθητα ή μη) κ.α. Το πως και πόσο επηρεάζεται μια επιχείρηση, δεν είναι συνάρτηση του μεγέθους της επιχείρησης, αλλά συνάρτηση του κινδύνου (risk based approach) που δημιουργεί στους πολίτες των οποίων τα Π.Δ. διαχειρίζεται η επιχείρηση, από τη διαχείριση στην οποία προβαίνει. Εκείνο που πρέπει να προσθέσω είναι ότι ο Κανονισμός αφορά και τις ηλεκτρονικές και τις έντυπες πληροφορίες. Ποιο λεπτομερείς φυσικά αξιολογήσεις για τον επηρεασμό μιας επιχείρησης, πρέπει να γίνονται από τους επαγγελματίες του τομέα.

Τι θα αλλάξει στην Κύπρο με την εφαρμογή του ευρωπαϊκού κανονισμού και τη δράση του Συνδέσμου σας;  

Στην Κύπρο θα χρειαστεί να αλλάξουν πολλά στην προστασία των Π.Δ. με την έλευση του Κανονισμού. Όχι τόσο γιατί έχει αλλάξει τόσο δραματικά το νομικό πλαίσιο στην Ε.Ε., αλλά κυρίως γιατί η εφαρμογή της προηγούμενης νομοθεσίας (οδηγία 95/46/EC), ήταν ελλιπής και δεν έχουμε κουλτούρα προστασίας των Π.Δ. Είναι πολύ νωπή για όλους μας η εμπειρία κατά τις πρόσφατες προεδρικές εκλογές, όπου παίρναμε μηνύματα στα κινητά μας τηλέφωνα από 3-4 διαφορετικά επιτελεία, χωρίς οι περισσότεροι να είχαμε δώσει τον αριθμό του κινητού μας σε κανένα από τα επιτελεία. Ο νέος Κανονισμός είναι και πιο απαιτητικός από την προηγούμενη νομοθεσία, αλλά η σοβαρότητα που αποδίδει η Ε.Ε. στην εφαρμογή του, διαφαίνεται από τα ιδιαίτερα ψηλά πρόστιμα που μπορεί να επιβάλει η αρμόδια αρχή (η Επίτροπος) που μπορούν να ξεπεράσουν σε σοβαρές υποθέσεις, τα 20 εκ. ευρώ. Εκ των πραγμάτων λοιπόν θα πρέπει να αλλάξουν πολλά. 

Διαβάστε ακόμα: Φλερτάρει τους Κινέζους φοιτητές το Υπουργείο Παιδείας
   
Περιγράψτε μας το ρόλο και τις αρμοδιότητες ενός ειδικού προστασίας Προσωπικών Δεδομένων. Πως θα δρα;

Δεν μπορούμε να δώσουμε ένα απλό ορισμό της δράσης ενός τέτοιου επαγγελματία γιατί εξαρτάται αν θα απασχολείται ως ειδικός ή σύμβουλος για την εφαρμογή του Κανονισμού σε επιχειρήσεις, αν θα δρα ως εσωτερικός ειδικός σε μια επιχείρηση (Data Protection Officer) κτλ. Αυτό που μπορούμε να πούμε είναι πως ένας ειδικός για την προστασία των Π.Δ. πρέπει να είναι ένας έμπειρος επαγγελματίας που να γνωρίζει από επιχειρήσεις και τη λειτουργία τους, να γνωρίζει καλά τον Κανονισμό, να καταλαβαίνει τη γλώσσα της τεχνολογίας και της προστασίας των ψηφιακών δεδομένων και να φροντίζει να διατηρεί επίκαιρες τις γνώσεις του μέσα από συνεχή εκπαίδευση γιατί και ο Κανονισμός θα εξελίσσεται αλλά και η τεχνολογία θα αλλάζει συνέχεια. 

Σε ποιο επίπεδο βρίσκεται η Κύπρος σήμερα, σε ότι αφορά το θέμα της προστασίας προσωπικών δεδομένων; Σε ποιους τομείς υστερεί; 

Νομίζω ότι εν μέρει έχουμε απαντήσει την ερώτηση αυτή. Υστερούμε κυρίως στην κουλτούρα. Δεν εκτιμούμε σε μεγάλο βαθμό και δεν θεωρούμε σημαντικό θέμα την προστασία των Π.Δ. και της ιδιωτικότητας. Υπάρχουν φυσικά μεγάλες διαβαθμίσεις μεταξύ των επιχειρήσεων γιατί έχουμε και πάρα πολλές μικρές εταιρείες στην Κύπρο. Μεγαλύτερες εταιρείες που εφάρμοζαν την παλιά οδηγία ή έχουν πιστοποιημένα συστήματα για τη διαχείριση και την ασφάλεια των δεδομένων (π.χ. ISO 27001), είναι σε πολύ καλό επίπεδο και σχετικά εύκολα θα καλύψουν και τις απαιτήσεις του νέου Κανονισμού. Όσοι όμως δεν έχουν κανένα σύστημα προστασίας των Π.Δ. θα χρειαστούν να κάνουν σημαντικές αλλαγές για να τηρήσουν το νέο Κανονισμό. 

Πως θα διασφαλίζεται ότι οι διάφορες επιχειρήσεις στην Κύπρο θα προστατεύουν τα προσωπικά δεδομένα και δεν θα τα διαρρέουν;

Θα χρειαστεί να μπουν σε μια διαδικασία υλοποίησης του Κανονισμού, με μια συγκροτημένη μεθοδολογία. Σε πολύ αδρές γραμμές πρέπει να καταγράψουν όλα τα Π.Δ. που κατέχουν και τις ροές τους εντός και εκτός της επιχείρησης, να αξιολογήσουν τους κινδύνους που προκύπτουν για την ασφάλεια των δεδομένων και να διαμορφώσουν μέτρα και πολιτικές για την ασφάλεια και την προστασία τους. Επανέρχομαι όμως σε κάτι που έχω ξαναπεί. Κλειδί αποτελεί μαζί με αυτά τα συστήματα να αλλάξουν και οι άνθρωποι μέσα στις επιχειρήσεις και να αποκτήσουν κουλτούρα σεβασμού και προστασίας των Π.Δ. Ακόμη και στις πιο καλά οργανωμένες επιχειρήσεις σε αυτό τον τομέα, τα περισσότερα θέματα απώλειας ή άλλων προβλημάτων με τα Π.Δ. προκύπτουν από λάθη και παραλείψεις των ανθρώπων παρά από εξωτερικές κλοπές δεδομένων. Επειδή λοιπόν ο ανθρώπινος παράγοντας και η κουλτούρα είναι σημαντική, η συστηματική εκπαίδευση των στελεχών των επιχειρήσεων είναι απαραίτητο στοιχείο στην εφαρμογή του νέου Κανονισμού. Φυσικά την εφαρμογή του Κανονισμού θα επιβλέπει το Γραφείο της Επιτρόπου Προστασίας Προσωπικών Δεδομένων με ελέγχους που θα ασκεί στις επιχειρήσεις μετά τις 25 Μαΐου 2018. 

Είναι εύκολο να επιτευχθεί η εμπιστοσύνη των πολιτών έναντι των επιχειρήσεων σε αυτό το κομμάτι; 

Μπορεί να μην είναι πολύ εύκολο γιατί η εμπιστοσύνη κερδίζεται, δεν δίνεται, αλλά αυτός είναι ο στόχος του Κανονισμού. Να επαναφέρει την εμπιστοσύνη μεταξύ του πολίτη που δίνει τα δεδομένα του και της επιχείρησης που τα λαμβάνει. Θεωρώ πως οι επιχειρήσεις που θα δουν τον Κανονισμό ως ευκαιρία και όχι ως απειλή, θα μπορέσουν και πιο εύκολα να τον εφαρμόσουν και θα κερδίσουν την εμπιστοσύνη του κοινού, μετατρέποντας την πρόκληση σε ανταγωνιστικό πλεονέκτημα.