Επιχειρηματικές αποφάσεις και προστασία προσωπικών δεδομένων

Συσχέτιση και συνεκτίμηση για τη λήψη ασφαλών επιχειρηματικών αποφάσεων

Γράφει η Αναστασία Φύλλα

Δικηγόρος LLM Information Technology and Communications Law

Αποτελεί κοινό τόπο πλέον ότι η επιχειρηματική δραστηριότητα δεν διευκολύνεται μόνο, αλλά διαμορφώνεται και προσαρμόζεται από την ραγδαία πρόοδο της τεχνολογίας. Συσκευές, λογισμικά και εφαρμογές ακόμα και η σύνθετη διαδικασία του ψηφιακού μετασχηματισμού των επιχειρήσεων, υιοθετούνται στην καθημερινή λειτουργία των επιχειρήσεων με σκοπό μεταξύ άλλων να διευκολύνουν τις επιχειρηματικές πρακτικές, να αυξήσουν την ασφάλεια των εργαζομένων και των πόρων, να παρέχουν πληροφόρηση για την βελτίωση της ποιότητας των υπηρεσιών και να επιτύχουν την προσδοκώμενη αύξηση της αποδοτικότητας/παραγωγικότητας/ικανοποίησης του πελάτη. Πλέον τούτου, είναι αδιαμφισβήτητο ότι πέρα από εργαλείο διευκόλυνσης, η ψηφιακή συναλλαγή είναι πολλές φορές η ίδια αντικείμενο επιχειρηματικής δραστηριότητας (για παράδειγμα internet banking), οπότε και όλα τα ανωτέρω αποκτούν ακόμα μεγαλύτερη σημασία.

Κοινή παράμετρος: η αξιοποίηση της πληροφορίας

Κοινή παράμετρος σε όλες τις ανωτέρω περιπτώσεις είναι η πληροφορία, η οποία ανεξαρτήτως της δυνατότητας που παρέχει για ταυτοποίηση ή όχι φυσικών προσώπων, συγκεντρώνεται, συσχετίζεται και χρησιμοποιείται για την εξαγωγή συμπερασμάτων. Ενώ από τη μια πλευρά, ο στόχος των επιχειρήσεων είναι η λήψη και η αξιοποίηση της πληροφορίας με τον πλέον αποδοτικό τρόπο, από την άλλη, ο ίδιος αυτός στόχος φέρνει στο προσκήνιο μια σειρά εκτιμήσεων που με τη σειρά τους επηρεάζουν ποικίλες σημαντικές επιχειρηματικές αποφάσεις σε σχέση με τις ειδικότερες παραμέτρους της διαδικασίας συγκέντρωσης, αποθήκευσης και αξιοποίησης των πληροφοριών.

Έτσι λοιπόν, όταν μιλάμε για πληροφορία η οποία εμπίπτει στην έννοια των προσωπικών δεδομένων, όπως αυτή ορίζεται από τον Κανονισμό (ΕΕ) 2016/679[1], δηλαδή πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο[2], οι επιχειρηματικές αποφάσεις επηρεάζονται από παραμέτρους που σχετίζονται μεταξύ άλλων με την ασφάλεια και την υποχρέωση συμμόρφωσης των εταιρειών στο υφιστάμενο και (υπό διαμόρφωση στην περίπτωση της Τεχνητής Νοημοσύνης) νομικό πλαίσιο.

Ας απαριθμήσουμε λοιπόν μερικές περιπτώσεις που ζητήματα συμμόρφωσης έρχονται να επηρεάσουν επιχειρηματικές αποφάσεις των εταιρειών σε σχέση με δραστηριότητες σχετικές με επεξεργασία προσωπικών δεδομένων:

Αποθήκευση δεδομένων – Από την επιλογή του τόπου εγκατάστασης του server μέχρι την επιλογή του παρόχου υπηρεσιών αποθήκευσης στο cloud, η εξασφάλιση αντίστοιχου επιπέδου προστασίας των προσωπικών δεδομένων με αυτό που παρέχεται στην ΕΕ, πρέπει να αποτελεί μια παράμετρο αξιολόγησης που παρεμβάλλεται και επηρεάζει αποφασιστικά τις επιχειρηματικές επιλογές. Συναφής με τα ανωτέρω είναι και η εν γένει επιλογή συνεργατών, που ανεξαρτήτως του συσχετισμού και των ειδικότερων ρόλων που ενδέχεται να διαδραματίζουν στην επεξεργασία των δεδομένων – διέπονται από τον κοινό παρανομαστή της επιλογής με βάση το αναμενόμενο επίπεδο συμμόρφωσης με το ισχύον νομοθετικό καθεστώς.

Μέτρα ασφαλείας – Η επιλογή των τεχνικών και οργανωτικών μέτρων που εξασφαλίζουν το απαιτούμενο από τον Κανονισμό 2016/679 επίπεδο ασφαλείας, είναι επίσης μια παράμετρος που τελικά καθορίζει αν μη τι άλλο την επιχειρηματική απόφαση ειδικότερα σε σχέση με τη διάθεση των πόρων, το προηγμένο ή μη των τεχνολογιών, της ασφάλειας και των εφαρμοζόμενων από την επιχείρηση διαδικασιών και μέτρων. Με άλλα λόγια ένα αυξημένο επίπεδο ετοιμότητας και εγρήγορσης απαιτεί μέριμνα τόσο σε επίπεδο συστημάτων και διαδικασιών όσων και σε επίπεδο εξειδικευμένων επαγγελματιών που υποστηρίζουν διαρκώς τη λειτουργία της.

Τοποθεσία επιχειρηματικών δραστηριοποίησης – To νομικό πλαίσιο δεν καθορίζει μόνο τις απαιτήσεις συμμόρφωσης αλλά ιδωμένο σε προηγούμενο στάδιο, μπορεί να επηρεάζει και την επιλογή της τοπικού εύρους ανάπτυξης της επιχειρηματικής δραστηριότητας, καθώς ο Κανονισμός 2016/679 στο άρθρο 3, έχει υιοθετήσει συγκεκριμένα κριτήρια για την εδαφική εφαρμογή του. Δεν αποκλείεται λοιπόν η αναγκαιότητα συμμόρφωσης με ένα απαιτητικό κανονιστικό πλαίσιο όπως το Ενωσιακό, να υψώσει τόσο το κατώφλι συμμόρφωσης ώστε τελικά να αποτελέσει ανασταλτικό παράγοντα για την επιλογή τόπου δραστηριότητας ή επέκτασης της επιχείρησης.

Επιχειρηματικό μοντέλο – Με αφορμή την υπόθεση της Meta, μπορούμε πλέον να διαπιστώσουμε ότι ζητήματα συμμόρφωσης με τη νομοθεσία για την προστασία των προσωπικών δεδομένων, φτάνουν στο σημείο να επηρεάζουν ακόμα και το επιχειρηματικό μοντέλο που επιλέγουν οι εταιρείες. Εν προκειμένω, η αλλαγή της Meta στο μοντέλο “pay or consent” δηλαδή η δυνατότητα χρήσης της πλατφόρμας είτε με πληρωμή για την έκδοση της πλατφόρμας χωρίς διαφημίσεις ή χωρίς πληρωμή αλλά με συγκατάθεση για τη χρήση της έκδοσης της πλατφόρμας όπου γίνεται επεξεργασία δεδομένων με σκοπό την προσωποποιημένη διαφήμιση των χρηστών συνιστά στην ουσία τροποποίηση του μοντέλο λειτουργίας της επιχείρησης, ως ανταπόκριση στη συμμόρφωση με αποφάσεις Αρχών Προστασία προσωπικών δεδομένων και του Ευρωπαϊκού Συμβούλιου Προστασίας Δεδομένων (ΕΣΠΔ).

Αντί επιλόγου λοιπόν θα μπορούσε να κανείς να αναφέρει ότι η διείσδυση της τεχνολογίας είτε ιδωμένη ως εργαλείο είτε ως αντικείμενο της της συναλλαγής, έχει περιπλέξει τις επιχειρηματικές επιλογές εισφέροντας νέες παραμέτρους εκτίμησης. Δεδομένης της ευκολίας, ταχύτητας και αναβάθμισης της ποιότητας που αναμφισβήτητα αυτή προσφέρει, καταλήγουμε πλέον στο συμπέρασμά ότι οι επιχειρήσεις θα πρέπει, με τη συνδρομή των εξειδικευμένων επαγγελματιών σε τεχνικό και νομικό επίπεδο, να αξιολογούν και το επίπεδο συμμόρφωσης ως αναγκαία παράμετρο πλέον σε αποφάσεις που στο παρελθόν ήταν αποκλειστικά ή ενδεχομένως σε μεγαλύτερο βαθμό αμιγώς επιχειρηματικές.

*Τα ανωτέρω έχουν ενημερωτικό χαρακτήρα και δε συνιστούν εξατομικευμένη νομική συμβουλή.

[1] Του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27^ηςΑπριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)

[2] άρθρο 4 παρ. 1 το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,

Η σημαντική επίδραση των Ευρωπαϊκών οδηγιών NIS2 και DORA

H εμπειρία συναντά την καινοτομία στην PeS Cybersecurity

Η ενίσχυση της εταιρικής κουλτούρας κυβερνοασφάλειας είναι μείζονος σημασίας