Είναι αδιαμφισβήτητο ότι η κανονιστική συμμόρφωση αποτελεί μια μεγάλη και απαιτητική πρόκληση για όλες τις επιχειρήσεις, ανεξαρτήτως μεγέθους. Η πρόκληση αυτή καθίσταται ακόμα μεγαλύτερη στις περιπτώσεις των μικρών και μεσαίων επιχειρήσεων, όπου τα κονδύλια που δεσμεύονται είναι ευλόγως πιο περιορισμένα συγκριτικά με τις μεγάλες επιχειρήσεις.
Αναστασία Φύλλα
Δικηγόρος LLM Information Technology and Communications Law
Στο παρόν σύντομο άρθρο, θα προσπαθήσουμε να προσεγγίσουμε την αναγκαιότητα συμμόρφωσης όσο το δυνατόν πιο σφαιρικά και ολιστικά, με αναφορά σε δυο πολύ γνωστούς τομείς συμμόρφωσης και συγκεκριμένα τη συμμόρφωση με τη νομοθεσία για την προστασία των προσωπικών δεδομένων και την κυβερνοασφάλεια.
Τι σημαίνει για τις μικρές και μεσαίες επιχειρήσεις η συμμόρφωση από πλευράς χρόνου, προϋπολογισμού και όγκου εργασίας;
Αποτελεί κοινό τόπο, ότι η άσκηση συμμόρφωσης στην νομοθεσία για τα προσωπικά δεδομένα και την κυβερνοασφάλεια, απαιτεί χρόνο για την προετοιμασία και υλοποίηση όλων των απαραίτητων ενεργειών συμμόρφωσης της επιχείρησης, τόσο κατά το αρχικό στάδιο όσο και στην πορεία λειτουργίας της εταιρείας. Επιπλέον προϋποθέτει τη δέσμευση κονδυλίων τα οποία αφορούν μεταξύ άλλων τους εξειδικευμένους επαγγελματίες που θα απασχοληθούν σε αυτή την άσκηση και την επένδυση σε κατάλληλα τεχνικά, οργανωτικά και λειτουργικά μέτρα ασφαλείας. Τέλος, δεν θα πρέπει να παραγνωρίζεται το γεγονός ότι ακόμα και αν τα δυο προηγούμενα δεσμευτούν και λάβουν χώρα, απαιτείται από πλευράς της επιχείρησης και η τρίτη παράμετρος που συνδέεται με τη συνδρομή της ίδιας της επιχείρησης στο ολοκληρωμένο πλάνο συμμόρφωσης, τόσο κατά το στάδιο αρχικής διαμόρφωσης και υλοποίησής της όσο και στη μετέπειτα πορεία για τη διατήρηση και επικαιροποίησή της.
Υπάρχει κάποια διάκριση ως προς τις υποχρεώσεις συμμόρφωσης στις μικρές και μεσαίες επιχειρήσεις;
Στον τομέα της προστασίας των προσωπικών δεδομένων το πλαίσιο του οποίου διαμορφώνεται για την Ελλάδα κατά βάση από το Γενικό Κανονισμό για την Προστασία Δεδομένων (εφεξής «ΓΚΠΔ»), το νόμο 4624/2019, την ευρωπαϊκή και ελληνική νομολογία και τις οδηγίες της Ελληνικής Αρχής Προστασίας Προσωπικών Δεδομένων καθώς και τις κατευθυντήριες γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, οι βασικές υποχρεώσεις οι οποίες εξαρτώνται στην ουσία από το είδος της επεξεργασίας των δεδομένων είναι ίδιες ανεξαρτήτως μεγέθους της εταιρείας (π.χ. ενδεικτικά νομιμότητα επεξεργασίας, ικανοποίηση δικαιωμάτων υποκειμένων, λογοδοσία, ενημέρωση αναλόγως των περιστάσεων σε περίπτωση παραβίασης δεδομένων στην εποπτική αρχή και στα υποκείμενα των δεδομένων, διενέργεια εκτίμησης αντικτύπου, ορισμός ΥΠΔ, σύνταξη συμφωνητικών με εκτελούντες την επεξεργασία κλπ) και σε ελάχιστες περιπτώσεις και υπό προϋποθέσεις εξαρτώνται από το μέγεθος της επιχείρησης και πάλι όχι όπως ως απόλυτο και μοναδικό κριτήριο (π.χ. σύνταξη αρχείου δραστηριοτήτων).
Στον τομέα της κυβερνοασφάλειας, όπως αυτός διαμορφώνεται από την Οδηγία NIS και NIS 2 (η τελευταία κατά το χρονικό σημείο συγγραφής του παρόντος δεν έχει ακόμα ενσωματωθεί στην Ελλάδα με νόμο), η κατάσταση είναι ελαφρώς διαφορετική. Το πεδίο εφαρμογής της Οδηγίας NIS όπως ενσωματώθηκε με το Νόμο 4577/2018 ήταν αρκετά πιο περιορισμένο, κατάσταση η οποία διαφοροποιείται κατά πολύ με τη διεύρυνση του πεδίου εφαρμογής της NIS 2, όπου περιλαμβάνει μεγάλες και μεσαίες επιχειρήσεις αναλόγως των εκάστοτε διακρίσεων και κριτηρίων που υιοθετεί, στις οποίες επιβάλλει μεταξύ άλλων υποχρεώσεις συμμόρφωσης σχετικές με τη διακυβέρνηση, τη λήψη κατάλληλων και αναλογικών, επιχειρησιακών, τεχνικών οργανωτικών και μέτρων ασφαλείας, την υποχρέωση αναφοράς περιστατικών και τη χρήση ευρωπαϊκών συστημάτων πιστοποίησης κλπ.
Τι προσφέρει τελικά η συμμόρφωση πέρα από τα αυτονόητα;
Εξυπακούεται ότι η συμμόρφωση με το ισχύον νομοθετικό πλαίσιο και τις υποχρεώσεις που αυτό επιτάσσει, αποτελεί υποχρέωση των πολιτών και επιχειρήσεων που ζουν και δραστηριοποιούνται στην ελληνική επικράτεια. Πλέον τούτου, η συμμόρφωση προσφέρει τη δυνατότητα περιορισμού των κινδύνων μέσω καταρχήν της αποτροπής τους ή του έγκαιρου εντοπισμού και της άμεσης και αποτελεσματικής αντιμετώπισής τους (π.χ. στα περιστατικά παραβίασης προσωπικών δεδομένων και περιστατικών κιβερνοασφάλειας) γεγονός που με τη σειρά του περιορίζει τις πιθανότητες διοικητικών προστίμων λόγω αυτών. Επιπλέον, η κουλτούρα συμμόρφωσης αυξάνει την αξιοπιστία και ως εκ τούτου βελτιώνει τη φήμη και την εμπορική πίστη της εταιρείας με πολλαπλά πλεονεκτήματα. Τέλος η συμμόρφωση αναβαθμίζει την εικόνα της επιχείρησης και προς το εσωτερικό της, δηλαδή προς τους εργαζόμενους, αφού δημιουργεί κλίμα ασφάλειας, σεβασμού και δημιουργεί κίνητρα καλύτερης απόδοσης.
Αντί επιλόγου
Η επιβίωση των μικρομεσαίων επιχειρήσεων είναι αναμφισβήτητα ένας αγώνας δρόμου, μακράς διαρκείας, με πολλές απαιτήσεις. Η κανονιστική συμμόρφωση τους, παρόλο που στην αρχή μπορεί να φαντάζει ιδιαίτερα δύσκολη και απαιτητική, προφέρει πολύ σημαντικά πλεονεκτήματα, τα οποία ιδωμένα σε βάθος χρόνου μπορούν να αποτρέψουν μεγάλους κινδύνους και να εμπεδώσουν κλίμα ασφάλειας και εμπιστοσύνης τόσο στο εσωτερικό τις επιχείρησης όσο και ως ανταγωνιστικό πλεονέκτημα στην παροχή υπηρεσιών της.