Είχαμε την ευκαιρία να συναντηθούμε με τον κύριο Αθανάσιο Κοσμόπουλο που έχει αναλάβει τη θέση του DPO του ΥΨΠΤΕ οπού μας μίλησε για το κρίσιμο αυτό ρόλο σε ένα τόσο σημαντικό οργανισμό, αλλά και γενικότερα για τις εξελίξεις που επιφέρει η θεσμοθέτηση του Υπευθύνου Προστασίας Δεδομένων όπως προβλέπεται από τον GDPR
Συνέντευξη με τον Αθανάσιο Κοσμόπουλο – Υπεύθυνος Προστασίας Δεδομένων Υπουργείου Ψηφιακής Πολιτικής Τηλεπικοινωνιών και Ενημέρωσης
Κύριε Κοσμόπουλε, θα θέλαμε αρχικά τη γνώμη σας, για το βαθμό ετοιμότητας των δημόσιων οργανισμών αλλά και των ιδιωτικών επιχειρήσεων απέναντι στις αλλαγές που έχει επιφέρει ο GDPR από τις 25 Μαΐου 2018 και μετά. Έχουν προλάβει να ορίσουν DPO οι οργανισμοί και πόσο καλά ανταποκρίνονται στις νέες συνθήκες;
Κύριε Αμανατίδη ασφαλώς ο νέος Κανονισμός φέρνει δομικές αλλαγές όσον αφορά την διαχείριση των προσωπικών δεδομένων. Ο Ιδιωτικός τομέας κινήθηκε σχετικά πιο γρήγορα προς την νέα κατεύθυνση, αλλά και ο Δημόσιος έκανε σημαντικά βήματα. Καταρχάς με δραστηριότητες εκπαιδευτικού και ενημερωτικού χαρακτήρα για το προσωπικό των οργανισμών, αλλά και με διαγωνιστικές διαδικασίες για την ανάθεση συμβουλευτικών υπηρεσιών σε διάφορες ειδικές εταιρείες. Παράλληλα αρκετές οντότητες του Δημοσίου τομέα έχουν ήδη ορίσει DPO όπως και οι περισσότερες ιδιωτικές. Ο Κανονισμός από τη φύση του είναι αρκούντως ασαφής, για αυτό και αφήνει πολλά ζητήματα στην διακριτική ευχέρεια των κρατών μελών. Είμαι βέβαιος ότι σύντομα θα έχουμε σχετική εθνική νομοθεσία στην Ελλάδα, η οποία θα διευκρινίσει και εξειδικεύσει αρκετά ζητήματα που είναι θολά σήμερα.
Πως εσείς θα περιγράφατε συνοπτικά το ρόλο και τα καθήκοντα του DPO;
Σε κάθε περίπτωση ο DPO είναι αυτός που θα υποστηρίξει τον Υπεύθυνο Επεξεργασίας και που θα φροντίσει να τον υποβοηθήσει στην προσπάθειά του να συμμορφωθεί έγκαιρα και έγκυρα με τις απαιτήσεις του κανονισμού. Δεν είναι ελεγκτικός ο ρόλος του. Μέσα στα καθήκοντά του είναι να παρέχει ενημερωτική και συμβουλευτική υποστήριξη για τις υποχρεώσεις υπευθύνου επεξεργασίας, όπως και του εκτελούντος την επεξεργασία. Περαιτέρω να ασχολείται με την παρακολούθηση της εσωτερικής συμμόρφωσης, την εκπαίδευση & ευαισθητοποίηση του προσωπικού καθώς και την εκτίμηση αντικτύπου με την παροχή ειδικών συμβουλών, όταν του ζητείται και την ειδικότερη παρακολούθηση της υλοποίησης. Τέλος είναι ο σύνδεσμος συνεργασίας και το σημείο επικοινωνίας με την Αρχή προστασίας, περιλαμβανομένων των διαβουλεύσεων. Να μην ξεχνάμε ότι δεν φέρει προσωπική ευθύνη για μη συμμόρφωση με τις απαιτήσεις του ΓΚΠΔ.
Είστε ο πρώτος Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer –DPO) που ανέλαβε καθήκοντα σε Ελληνικό Υπουργείο και συγκεκριμένα στο Υπουργείο Ψηφιακής Πολιτικής. Ποιες είναι οι ειδικές προκλήσεις που έχετε να αντιμετωπίσετε και ποιοι οι στόχοι σας;
Είμαι πράγματι από τους πρώτους και μάλιστα σε ένα εμβληματικό Υπουργείο λόγω αρμοδιότητας, αυτό της Ψηφιακής Πολιτικής. Έχουμε χρέος πιστεύω, να αποτελέσουμε το καλύτερο παράδειγμα για όλους τους υπόλοιπους και να χαράξουμε οδούς με τεχνοκρατικό τρόπο, δίνοντας τις βέλτιστες λύσεις στα ζητήματα που ανακύπτουν. Υπάρχουν και άλλοι αξιόλογοι DPO που τοποθετούνται σε άλλα Υπουργεία σταδιακά, με τους οποίους συζητάμε και ανταλλάσσουμε απόψεις για κοινά προβλήματα. Στόχος μου είναι να συνδράμω το προσωπικό του Υπουργείου στον να συνειδητοποιήσουν όλοι τον νέο τρόπο λειτουργίας που απαιτεί ο γενικός κανονισμός, να διαπιστώσουμε τι ενέργειες απαιτούνται ώστε να ολοκληρωθεί η πλήρης συμμόρφωσή μας με αυτόν και να ληφθούν τα σωστά διορθωτικά μέτρα όπου απαιτούνται. Παράλληλα να συνδράμω στην ταχύτατη επίλυση οποιουδήποτε προβλήματος έχει δημιουργηθεί στην λειτουργία του Υπουργείου εξ αφορμής του κανονισμού και βέβαια στην υποστήριξη κάθε πολίτη που έχει απορίες ή αιτήματα σχετικά με την διαχείριση των προσωπικών του δεδομένων από υπηρεσίες του Υπουργείου.
Είναι αλήθεια ότι υπάρχει μια συζήτηση για το επιστημονικό και γνωστικό υπόβαθρο που θα πρέπει να έχει ένας DPO και κυρίως αν πρέπει να είναι νομικό ή τεχνολογικό. Ποια είναι η δική σας γνώμη;
Η ερώτησή σας είναι εξαιρετική. Η θέση αυτή απαιτεί μια πολυεδρική γνωσιολογική βάση. Στο εξωτερικό λέγεται Technolegal expert. Απαιτείται μια πολύ καλή νομική βάση και μια πολύ καλή επίσης εξειδίκευση στα πληροφοριακά συστήματα και την ασφάλεια. Αυτό το υβριδικό επίπεδο το συναντάει κανείς τόσο σε νομικούς όσο και σε επιστήμονες πληροφορικής. Δεν λέω ότι είναι εύκολο, είναι πράγματι σπάνιο και δύσκολο. Όσοι από εμάς συνδυάζουμε αυτή τη μικτή εμπειρία και γνώση, έχουμε τη δυνατότητα να αντιμετωπίσουμε πιο εύκολα τις σχετικές προκλήσεις της αποστολής αυτής. Χωρίς να υποτιμώ όσους συναδέλφους έχουν μόνο την μία ή μόνον την άλλη. Εν κατακλείδι θεωρώ, χωρίς να είμαι απόλυτος, ότι η κυρίως βάση είναι η νομική, με περαιτέρω εξειδικεύσεις και βαθιά επιμόρφωση σε τεχνικά και πληροφοριακά ζητήματα και δη της ασφάλειας πληροφοριακών συστημάτων.
Τελικά, πόσο ευαισθητοποιημένοι είναι οι δημόσιοι και ιδιωτικοί οργανισμοί απέναντι στη προστασία των δεδομένων τους και ευρύτερα στη ψηφιακή ασφάλεια; Πως βλέπετε να εξελίσσεται στο μέλλον η συμμόρφωση στο κανονισμό και τι πρέπει να γίνει για να έχει ουσιαστικό ρόλο ο DPO ;
Σίγουρα οι ιδιωτικοί οργανισμοί είναι σχετικά περισσότερο ευαισθητοποιημένοι. Ήταν ήδη από παλιά όταν είχε εισαχθεί στην Ελληνική έννομη τάξη η νομοθεσία περί προσωπικών δεδομένων και ιδρύθηκε και η αρμόδια Αρχή Προστασίας. Και στην παρούσα φάση ο ιδιωτικός τομέας κινήθηκε πιο γρήγορα εν όψει και του ότι τα απειλούμενα πρόστιμα του γενικού κανονισμού για παραβάσεις είναι υψηλότατα. Στον Δημόσιο τομέα που παραδοσιακά είναι πιο δυσκίνητος υπάρχει μια μικρή υστέρηση αλλά γίνονται βήματα. Πιστεύω με την συστηματική ενημέρωση του προσωπικού και ιδιαίτερα των διευθυντικών στελεχών σύντομα θα προχωρήσουν ταχύτερα στην λήψη διορθωτικών μέτρων συμμόρφωσης της λειτουργίας όπου απαιτείται. Το βασικό είναι να αναπτύξουμε μια γενικότερη κουλτούρα σεβασμού των προσωπικών δεδομένων ώστε η συμμόρφωση αυτή να γίνεται από την αρχή, όπως λέγεται by design. Η μεγαλύτερη πρόκληση που βλέπω κύριε Αμανατίδη είναι ότι είναι εύκολο να βάλεις νέα πράγματα στα μυαλά των ανθρώπων, εν τούτοις είναι εξαιρετικά δύσκολο να τους βγάλεις τα παλιά από μέσα. Εννοώ για παράδειγμα την ιδιοκτησιακή νοοτροπία που έχουν ορισμένες υπηρεσίες και φορείς για τα δεδομένα και αρχεία που τηρούν και που αισθάνονται ότι πρέπει να τα προστατεύσουν και διαφυλάξουν από κάθε απειλή ακόμα και από αιτήματα πολιτών που τους αφορούν.
Για να έχει ουσιαστικό ρόλο ο DPO θα πρέπει να στηριχθεί από την ηγεσία σε ανώτατο επίπεδο – αφού σε αυτό αναφέρεται αποκλειστικά βάσει του κανονισμού- ώστε να ξεπεράσει προβλήματα, δυσαρμονίες και δυσχέρειες. Θα πρέπει επίσης να επιμορφώνεται διαρκώς, διότι οι εξελίξεις είναι καθημερινές και τέλος και μια προσωπική μου σκέψη είναι πως θα ήταν καλό όλοι εμείς οι DPO των υπηρεσιών και ΝΠΔΔ του Δημοσίου τομέα, να οργανώσουμε ένα άτυπο δίκτυο επικοινωνίας και ανταλλαγής απόψεων, ώστε αφενός να γνωριστούμε, να συζητήσουμε τα ειδικότερα προβλήματα που αντιμετωπίζει ο καθένας μας και να γίνουμε αποτελεσματικότεροι και αποδοτικότεροι στα καθήκοντά μας.
