Ο τρόπος με τον οποίο ορίζονται τα προσωπικά δεδομένα αποτελεί σημαντική πτυχή του νέου κανονισμού. Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) ορίζει τα προσωπικά δεδομένα ως τα δεδομένα αυτά που επιτρέπουν την άμεση ή έμμεση εξακρίβωση της ταυτότητας του ατόμου.

Πρόκειται για έναν αρκετά ευρύ ορισμό, ο οποίος αναμένεται να διευρυνθεί περαιτέρω με την πάροδο του χρόνου. Ειδικότερα, αυτό σημαίνει ότι η νέα νομοθεσία καλύπτει ακόμα και τις διευθύνσεις διαδικτυακού πρωτοκόλλου (IP), δεδομένα τοποθεσίας ή άλλους παράγοντες μέσω των οποίων μπορεί να εξακριβωθεί η ταυτότητα ενός ατόμου.

Ο ορισμός του όρου «προσωπικά δεδομένα» στο πλαίσιο του κανονισμού, είναι αρκετά ενδεικτικός για το ύφος της νέας νομοθεσίας, σύμφωνα με την οποία τα προσωπικά δεδομένα θεωρούνται ως ένα πολύτιμο περιουσιακό στοιχείο και οι κανόνες που τα αφορούν πρόκειται να γίνουν αυστηρότεροι.

Δεν είναι τυχαίο ότι αυτό συμβαδίζει με τεχνολογικές τάσεις, όπως το cloud computing, τα social media, τα κινητά και οι ηλεκτρονικές συσκευές με ενσωματωμένους αισθητήρες συλλογής δεδομένων (Internet of Things), όπου η συλλογή δεδομένων και η επαρκής ανάλυσή τους γίνονται στρατηγικοί φορείς διαφοροποίησης για τους οργανισμούς.

Υπό αυτή την έννοια, ο Ευρωπαίος νομοθέτης έχει αρχίσει να συμβαδίζει με την πραγματικότητα.

4 νέα στοιχεία αλλαγών

Στο μέτρο που η ισχύουσα νομοθεσία είχε θέσει τα θεμέλια για την προστασία των δεδομένων, το GDPR πρόκειται να χτίσει ένα στέρεο οικοδόμημα πάνω σε αυτά.

Τα τελευταία χρόνια έχουν υπάρξει αρκετές εξελίξεις στην προστασία των δεδομένων – όχι μόνο η ακύρωση των αρχών του Safe Harbour – οι οποίες δημιούργησαν πολύ «θόρυβο» γύρω από το GDPR.

Κατά συνέπεια, πολλοί οργανισμοί έχουν σοβαρές ανησυχίες σχετικά με τη νέα νομοθεσία, αλλά στην πραγματικότητα αυτό δεν χρειάζεται, λέει η Καλλιόπη Σπυριδάκη, επικεφαλής της Chief Privacy Strategist, Europe & EU Public Policy Director της SAS:

“Οι κανόνες είναι αυστηρότεροι τώρα, αλλά οι βασικές αρχές παραμένουν οι ίδιες εδώ και πολλά χρόνια. Υπό αυτή την έννοια, το GDPR αφορά περισσότερο τις διαδικασίες ελέγχου της συμμόρφωσης στη νομοθεσία, παρά την οικοδόμηση κάτι νέου από το μηδέν. ”

Παρόλα αυτά, η Σπυριδάκη τονίζει 4 σημαντικά στοιχεία που υφίστανται τροποποιήσεις με την υιοθέτηση του GDPR:

1. Περισσότερα μέσα επιβολής

Με τον νέο κανονισμό, η επιβολή του νόμου γίνεται αυστηρότερη. Οι αρχές προστασίας προσωπικών δεδομένων αποκτούν περισσότερους πόρους και θα ενώσουν τις δυνάμεις τους σε ένα νέο πανευρωπαϊκό σώμα που θα εκδίδει δεσμευτικές γνωμοδοτήσεις. Εκτός αυτού, τα πρόστιμα θα είναι τόσο υψηλά – έως και 4% του ετήσιου παγκόσμιου κύκλου εργασιών ενός οργανισμού – που το GDPR αυτομάτως αφυπνίζει τους οργανισμούς σε όλoυς τους κλάδους.

«Για την ακρίβεια, πρόστιμα τέτοιου επιπέδου στην Ευρώπη συναντάμε μόνο στο Δίκαιο Ανταγωνισμού.» Ο φόβος της επιβολής προστίμου δεν θα έπρεπε να είναι το βασικό κίνητρο των οργανισμών για συμμόρφωση, αλλά είναι σίγουρα ένας λόγος για να δώσουν τώρα μεγαλύτερη προσοχή.

Ενώ πριν από 5 χρόνια το απόρρητο των προσωπικών δεδομένων, ως ζήτημα νομικής συμμόρφωσης, δεν πλησίαζε καν τη λίστα με τα 10 σημαντικότερα ζητήματα, σήμερα βρίσκεται στην κορυφή των θεμάτων αυτών », δήλωνει η Σπυριδάκη.

2. Αυξημένη υποχρέωση λογοδοσίας

Το GDPR καθιστά τους οργανισμούς υπόλογους για την προστασία των προσωπικών δεδομένων. Θα φέρουν το βάρος της απόδειξης όσον αφορά το εάν, το πώς και το πόσο καλά προστάτευσαν τα προσωπικά δεδομένα. Σήμερα υπάρχει μια αρκετά τυπική διαδικασία για την απόκτηση άδειας πρόσβασης σε προσωπικά δεδομένα:

• τι είδους δεδομένα επεξεργάζεστε;
• Τα μεταφέρετε σε τρίτους;

Στο μέλλον, αυτό που θα μετρά περισσότερο θα είναι το πόσο καλά οργανωμένες είναι οι διαδικασίες των επιχειρήσεων, παρά η απόκτηση τυπικής άδειας πρόσβασης. Στο πλαίσιο αυτό, θα είναι χρήσιμο να υπάρχει κάποιος, είτε εσωτερικά είτε εξωτερικά, που να αντιλαμβάνεται την έννοια του απορρήτου των δεδομένων και γνωρίζει πώς να επιφέρει αλλαγές και να εφαρμόζει τη νομοθεσία.

3. Προστασία της ιδιωτικότητας ήδη από το σχεδιασμό.

Το πρώτο βήμα για κάθε οργανισμό θα είναι μια άσκηση χαρτογράφησης της ροής των δεδομένων στην οποία θα  συμμετέχει το σύνολο του οργανισμού, επειδή η προστασία της ιδιωτικότητας ήδη από τον σχεδιασμό προϋποθέτει ότι όλες οι υπηρεσίες θα εξετάσουν τα δεδομένα τους και τον τρόπο με τον οποίο τα χειρίζονται. Αφού εντοπίσετε τα προσωπικά σας δεδομένα και πώς ακριβώς τα χρησιμοποιείτε, θα πρέπει να τα διασφαλίσετε με τον σωστό τρόπο.

“Η εξέταση των δεδομένων σας από τη σκοπιά της ιδιωτικότητας τους, από την ανάπτυξη του προϊόντος σε όλη την αλυσίδα του εφοδιασμού έως τον τελικό πελάτη, είναι ακριβώς η ουσία της νέας νομοθεσίας των προσωπικών δεδομένων. Οι περισσότερες εταιρείες έχουν ήδη υιοθετήσει ένα σύστημα που είναι σε θέση να προσδιορίζει τα προσωπικά δεδομένα, αφού ήδη πρέπει να έχουν συμμορφωθεί με την υφιστάμενη νομοθεσία για την προστασία των δεδομένων.

Η νέα νομοθεσία υποχρεώνει τους οργανισμούς να υιοθετήσουν πιο λεπτομερείς διαδικασίες, αλλά ευτυχώς υπάρχουν πολλές λύσεις που μπορούν να υποστηρίξουν αυτή τη διαδικασία ελέγχου. Η SAS είναι ασφαλώς διατεθειμένη να υποστηρίξει τους πελάτες της στη διαδικασία εντοπισμού και διαχείρισης της ροής δεδομένων, προκειμένου να καταστεί δυνατή η συμμόρφωση με το GDPR.»

Η προστασία της ιδιωτικότητας ήδη από τον σχεδιασμό προϋποθέτει επίσης ότι υπάρχει μεγαλύτερη διαφάνεια σχετικά με τα δεδομένα και τη μεταφορά δεδομένων. Και ίσως έχετε ήδη ακούσει για το καυτό ζήτημα στο πλαίσιο του νέου κανονισμού: το δικαίωμα διαγραφής των δεδομένων προσωπικού χαρακτήρα (Right to be Forgotten) . Αυτό μας φέρνει αντιμέτωπους με τον τέταρτο μεγάλο παράγοντα αλλαγής στον τομέα της προστασίας των προσωπικών δεδομένων: η σαφής εστίαση στον πελάτη.

4. Δίνοντας προβάδισμα στο άτομο

Ο νέος κανονισμός για την προστασία προσωπικών δεδομένων δίνει μεγαλύτερη εξουσία στο άτομο,  τοποθετώντας τον πελάτη στο κέντρο της προστασίας των δεδομένων. 6

Για παράδειγμα, το δικαίωμα στη φορητότητα των δεδομένων προβλέπει ότι όταν οι πελάτες θέλουν να αλλάξουν πάροχο για τα e-mail τους, θα πρέπει να μπορούν να μεταφέρουν το σύνολο των δεδομένων τους στο νέο πάροχο. Σήμερα, οι καταναλωτές έχουν ήδη τη δυνατότητα να ζητήσουν την διαγραφή των προσωπικών τους στοιχείων, αλλά το GDPR ενισχύει αυτό το δικαίωμα διαγραφής με το λεγόμενο «Right to be Forgotten».

«Ωστόσο, πέρα ​​από τη συμμόρφωση, η μεγαλύτερη αλλαγή θα είναι η μετατόπιση της στάσης του οργανισμού απέναντι στην προστασία της ιδιωτικής ζωής. Η προστασία της ιδιωτικής ζωής τείνει να γίνει αντικείμενο σεβασμού για τις επιχειρήσεις. Στοιχείο-κλειδί θα είναι το να καταφέρουν να κερδίσουν την εμπιστοσύνη των πελατών και να αποκτήσουν ανταγωνιστικό πλεονέκτημα, ακριβώς επειδή οι πελάτες δίνουν μεγάλη αξία στην προστασία της ιδιωτικής τους ζωής.

Εκτιμούν, επίσης, τις απλές και διαφανείς διαδικασίες για να την προάσπιση των δικαιωμάτων τους », σχολίασε η Σπυριδάκη.

Αγκαλιάζοντας την καινοτομία

Μαζί με την ανανέωση των κανόνων προστασίας των δεδομένων, στην αγορά εισέρχονται φορείς καινοτομίας. Ένα παράδειγμα είναι η εταιρία Hoxton Analytics, με το νέας γενιάς σύστημα καταμέτρησης ανθρώπων (people counter system) που βοηθά τα καταστήματα λιανικής να κατανοήσουν τους πελάτες τους χωρίς την καταγραφή δεδομένων προσωπικού χαρακτήρα.

Αυτή η επινόηση δημιουργείται από ένα «έξυπνο» πάτωμα που συγκεντρώνει εικόνες των υποδημάτων των ανθρώπων. Οι εικόνες, σε συνδυασμό με τεχνικές machine  learning και artificial intelligence, έχουν ως αποτέλεσμα  την αυτόματη καταμέτρηση ανθρώπων από το σύστημα.

Αυτό που είναι ακόμα πιο αξιοσημείωτο: το σύστημα έχει επίσης τη δυνατότητα δημογραφικής κατηγοριοποίησης των ανθρώπων βάσει των υποδημάτων τους και του τρόπου που περπατούν.Μαζί με την ανανέωση των κανόνων προστασίας των δεδομένων, στην αγορά εισέρχονται φορείς καινοτομίας.

Αν συγκρίνετε τον κλάδο των δεδομένων με ένα πιο παραδοσιακό τομέα, όπως οι χρηματοπιστωτικές υπηρεσίες, καθίσταται σαφές ότι στο πλαίσιο του κλάδου των δεδομένων δεν υπάρχουν αρκετοί κανονισμοί, επειδή πρόκειται κατά κάποιο τρόπο για μια αναδυόμενη αγορά. Θα χρειαστεί να περάσουν μερικά χρόνια αλλά τελικά, ο κλάδος των δεδομένων θα αποτελέσει και αυτός μια ώριμη, ρυθμιζόμενη αγορά.»

Η Ευρώπη βρίσκεται στην πρώτη γραμμή της νομοθεσίας για την προστασία της ιδιωτικής ζωής, αλλά και άλλες χώρες στον κόσμο είναι επίσης σε συγκρίσιμο επίπεδο (για παράδειγμα, ο Καναδάς ή η Αυστραλία) ή κάνουν μεγάλα άλματα προς τα εμπρός στο χώρο των κανονιστικών ρυθμίσεων των δεδομένων.

«Είναι πολύ πιο εύκολο να μεταφέρει κανείς δεδομένα στα κράτη μέλη που διαθέτουν επαρκές επίπεδο προστασίας των δεδομένων.

Συναντάμε μια τάση στις ανερχόμενες οικονομίες, κυρίως στην Ασία και τη Λατινική Αμερική, όπου δίνεται αξία στην οικονομία των δεδομένων, αντικατοπτρίζοντας το νέο GDPR. Αλλά και εντός της Ευρωπαϊκής Ένωσης, το GDPR θα φέρει περισσότερη διαφάνεια και θα οδηγήσει σε πιο εναρμονισμένους κανόνες.

Η ερμηνεία της οδηγίας για την προστασία των δεδομένων σήμερα παρουσιάζει διαφορές μεταξύ των κρατών μελών της ΕΕ. Τελικά, η εναρμόνιση αυτή θα έχει θετική επίδραση στις επιχειρήσεις”, κατέληξε η Σπυριδάκη.