Μια πολύ ενδιαφέρουσα συνέντευξη μας παραχώρησε ο Δρ Λεωνίδας Κανέλλος – Πρόεδρος Πανελληνίου Δικτύου Επαγγελματιών Υπευθύνων Προστασίας Δεδομένων (DPO Network), αναδεικνύοντας τους στόχους και τις δράσεις του φορέα καθώς επίσης και όλες εξελίξεις σχετικά με τη συμμόρφωση στον GDPR και τον ρόλο των DPOs.

 

Συνέντευξη με τον Πρόεδρο του DPO Network,  Δρ Λεωνίδα Κανέλλο 

 

Κύριε Κανέλλο, ας ξεκινήσουμε με το DPO Network και να μας πείτε κάποια πράγματα για το ποιοι λόγοι ώθησαν στην ίδρυση του, ποιοι μπορούν να γίνουν μέλη και τι στόχους έχει ;

Πολύ συνοπτικά θέλω να σας πω ότι το Πανελλήνιο Δίκτυο Επαγγελματιών Υπευθύνων Προστασίας Δεδομένων (Data Protection Officer Network), που συνάντησε μεγάλη ανταπόκριση στους συναδέλφους, ιδρύθηκε ως μη κερδοσκοπικός φορέας από μια ομάδα έμπειρων στελεχών από το χώρο του δικαίου, των επιχειρήσεων και της ασφάλειας. Στόχος μας, είναι να δημιουργήσουμε μια πλατφόρμα επικοινωνίας, συνεργασίας, υποστήριξης, εκπαίδευσης και ανταλλαγής εμπειριών μεταξύ επαγγελματιών, ανεξαρτήτως ειδικότητας, οι οποίοι έχουν αναλάβει ή θέλουν να αναλάβουν το ρόλο του Data Protection Officer στο δημόσιο ή ιδιωτικό τομέα στην Ελλάδα και το εξωτερικό. Τα μέλη μας ως φυσικά πρόσωπα πληρώνουν μια συμβολική συνδρομή 60 ευρώ το χρόνο, για να έχουν πρόσβαση στις εκδηλώσεις και στην ιστοσελίδα μας μαζί με άλλα προνόμια, όπως δικτύωση, ενημέρωση για θέσεις εργασίας κλπ.  Στην  Ελλάδα εκτιμούμε ότι προκύπτουν περίπου 2500 με 3000 νέες θέσεις εργασίας για DPOs εκ των οποίων δεν έχουν καλυφθεί σήμερα ούτε οι μισές. Ζήτηση για ΥΠΔ υπάρχει τόσο στο δημόσιο τομέα, δηλαδή σε υπουργεία, εποπτευόμενους οργανισμούς, δήμους, περιφέρειες, νπδδ, νοσοκομεία, διωκτικές αρχές, αστυνομία, λιμενικό σώμα αλλά και στον ιδιωτικό τομέα, όπως τράπεζες, εταιρίες τηλεπικοινωνιών, ανάλυσης πιστωτικού κινδύνου, διαφημιστικές εταιρίες , σύλλογοι, σωματεία κλπ.

Ποιος είναι λοιπόν σήμερα ο ουσιαστικός ρόλος και ποια τα καθήκοντα και οι ευθύνες ενός DPO, μετά και τη ψήφιση του νόμου όπου η χώρα μας ευθυγραμμίζεται με το ευρωπαϊκό πλαίσιο του GDPR;

Ο  DPO, φυσικό πρόσωπο ή εταιρία, έχει κεντρικό ρόλο στη διαδικασία της κανονιστικής συμμόρφωσης σε δημόσιο και ιδιωτικό τομέα. Αποτελεί δίαυλο επικοινωνίας μεταξύ Εποπτικής Αρχής και υπευθύνου ή εκτελούντος επεξεργασία, συμμετέχει σε διαβουλεύσεις με την Αρχή, παρέχει συμβουλές, γνωμοδοτήσεις και ενημέρωση, συμβάλλει στην ευαισθητοποίηση, την επιμόρφωση και κατάρτιση υπαλλήλων, παρακολουθεί τη συμμόρφωση, εκτιμά τον αντίκτυπο των κινδύνων κάθε επεξεργασίας. Ο νόμος 4624/2019 επικεντρώνεται στον ΥΠΔ του δημόσιου τομέα και στην προστασία του, αφού δεν επιτρέπει καταγγελία της σύμβασης ή ανάκληση των καθηκόντων του, αν είναι υπάλληλος του δημόσιου φορέα, παρά μόνο για σπουδαίο λόγο. Ακόμα ο νόμος απαγορεύει να απολυθεί ο DPO για διάστημα ενός έτους μετά τη λήξη της ανάθεσης. Εντούτοις, νομίζω ότι παρά την καλή πρόθεση του νομοθέτη να διασφαλίσει την ανεξαρτησία του ΥΠΔ, η διάκριση αυτή είναι άστοχη αφού ο GDPR προβλέπει αδιακρίτως ότι ο DPO του δημόσιου και του ιδιωτικού τομέα, δεν απολύεται για γνώμες ή απόψεις που εξέφρασε κατά την άσκηση των καθηκόντων του.
Πως εξελίσσεται γενικά η συμμόρφωση στον GDPR; Ποιος είναι ο βαθμός ετοιμότητας των δημόσιων οργανισμών αλλά και των ιδιωτικών επιχειρήσεων απέναντι στις προκλήσεις και τις αλλαγές που επιφέρει ο κανονισμός ;Τι άλλο πρέπει να γίνει ακόμα κατά τη γνώμη σας;

Δυστυχώς , παρά την πρόοδο που σημειώθηκε, υπάρχει ακόμα σοβαρό έλλειμμα πληροφόρησης για τα πρακτικά βήματα  της συμμόρφωσης. Οι διαθέσιμες έρευνες δείχνουν σημαντική υστέρηση  κυρίως σε ότι αφορά το δημόσιο τομέα και τις μικρομεσαίες επιχειρήσεις. Τα κύρια ζητήματα είναι η ασφάλεια, η διαφάνεια και η νομιμότητα της επεξεργασίας, η χρήση cookies στις ιστοσελίδες των εταιριών, η χρήση καμερών, έξυπνων συσκευών και η αθρόα εμπορευματοποίηση των δεδομένων  κλπ.  Αυτό που χρειάζεται είναι διαρκής εκπαίδευση, ενημέρωση του κοινού με ημερίδες και σεμινάρια. Κυρίως πρέπει η Αρχή να κάνει αισθητή την παρουσία της με ελέγχους και επιβολή κυρώσεων κατά των παραβατών που εφησυχάζουν και αδιαφορούν, νομίζοντας ότι δεν θα συμβεί τίποτε.

 

Είναι αλήθεια ότι υπάρχει μια συζήτηση για το επιστημονικό και γνωστικό υπόβαθρο που θα πρέπει να έχει ένας DPO και κυρίως αν πρέπει να είναι νομικό ή τεχνολογικό. Ποια είναι η δική σας γνώμη;

Όπως γνωρίζετε, ο κανονισμός δεν ορίζει την επαγγελματική ιδιότητα αλλά το γνωστικό υπόβαθρο και την εμπειρογνωσία του DPO. Απαιτεί συνδυαστικά δεξιότητες από το χώρο του δικαίου, της ιδιωτικότητας, των προτύπων ασφάλειας, της ανάλυσης επιχειρηματικού κινδύνου, των επιχειρησιακών διαδικασιών και της τεχνολογίας διαχείρισης πληροφοριών. Στην πράξη ο DPO μπορεί να είναι είτε νομικός με τεχνικές γνώσεις είτε μηχανικός, τεχνικός, compliance officer ή άλλη ειδικότητα με νομικές γνώσεις, πράγμα σπάνιο στην πράξη. Το DPO Network ιδρύθηκε ακριβώς για να συμβάλλει στην υποστήριξη και  επιμόρφωση του DPO. Θέλουμε ακόμα να συμβάλουμε στην ενημέρωση και την κατοχύρωση προσόντων του DPO, και στην εθελοντική πιστοποίησή του, που νομίζουμε θα γίνει αναγκαία γιατί τη ζητάει η αγορά, παρότι δεν την απαιτεί ο Κανονισμός. Η τάση αυτή είναι γενική και σε άλλα επαγγέλματα, όπως π.χ, οι ασφαλιστικοί πράκτορες όπου μάλιστα η πιστοποίηση είναι υποχρεωτική από το νόμο 4583/2018.

Ποιες δράσεις σκοπεύετε να αναπτύξετε στο άμεσο μέλλον ως DPO Network; 

Οι δράσεις που έχουμε προγραμματίσει ανακοινώνονται στην ιστοσελίδα μας www.dponetwork.gr. Περιλαμβάνουν την διοργάνωση διαλέξεων με έμπειρους ομιλητές, τη  συμμετοχή μας σε διεθνείς πρωτοβουλίες, τις συνεργασίες με άλλους φορείς, συμμετοχή σε ευρωπαϊκά προγράμματα, αρθρογραφία, μετάκληση εμπειρογνωμόνων, διαλέξεις, σεμινάρια, ατομική προβολή DPO,  υποβολή απόψεων σε διαβουλεύσεις όπως αυτή του νόμου 4624/2019 από όπου απαλείφθηκε η διάταξη περί ποινικής ευθύνης του DPO, καθώς και πρόγραμμα ομαδικής ασφάλισης για τα μέλη μας.