Τι να περιμένουν οι επιχειρήσεις το 2023

 

Γράφει η Αναστασία Φύλλα

LLM Information Technology and Communications Law

 

 

Είναι αδιαμφισβήτητο πλέον, ότι οι εξελίξεις στον τομέα της προστασίας των προσωπικών δεδομένων είναι συνεχώς αυξανόμενες, τόσο σε αριθμό και ποικιλία των πηγών προέλευσης, όσο και λόγω του εξέχοντος ενδιαφέροντος και της σημαντικής επίδρασης που αναμένεται να επιφέρουν στην οργάνωση και λειτουργία των επιχειρήσεων.

Εντός του έτους 2023 αναμένονται με μεγάλο ενδιαφέρον σημαντικές εξελίξεις μεταξύ άλλων στον τομέα των διεθνών διαβιβάσεων προσωπικών δεδομένων μεταξύ ΕΕ και ΗΠΑ, εντατικές νομοθετικές πρωτοβουλίες με την υιοθέτηση, αλλά και εφαρμογή νέας ευρωπαϊκής νομοθεσίας. Αναμένονται επίσης αυξημένες προκλήσεις σε ό,τι αφορά στη συμμόρφωση των επιχειρήσεων με την νομοθεσία για την προστασία των προσωπικών δεδομένων λόγω των αυξημένων πιθανοτήτων να λάβουν χώρα αρκετά και ενδεχομένως σοβαρά περιστατικά ασφαλείας.

Έναρξη διαδικασίας υιοθέτησης απόφασης επάρκειας

Συγκεκριμένα λοιπόν, στο κομμάτι των διεθνών διαβιβάσεων προσωπικών δεδομένων μεταξύ Ευρωπαϊκής Ένωσης και Ηνωμένων Πολιτειών, αναμένονται νεότερα σε σχέση με τη διαδικασία υιοθέτησης της απόφασης επάρκειας στο πλαίσιο της ιδιωτικής ζωής ΕΕ- ΗΠΑ (EU-US Data Privacy Framework), διαδικασία που ξεκίνησε από την Ευρωπαϊκή Επιτροπή στις 13-12-2022[1]. Το σχέδιο της απόφασης επάρκειας συνοπτικά και στην ουσία, θεωρεί ότι το νομικό πλαίσιο των ΗΠΑ παρέχει επαρκές επίπεδο προστασίας στα προσωπικά δεδομένα που διαβιβάζονται από την Ευρώπη προς τις ΗΠΑ, σε συνέχεια των προβληματισμών που είχαν τεθεί με την απόφαση Schrems II. Επί του παρόντος η Επιτροπή υπέβαλε το σχέδιο απόφασης στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) για να λάβει τη γνωμοδότησή του, και στη συνέχεια η Επιτροπή θα αναζητήσει έγκριση από την επιτροπή εκπροσώπων των Κρατών Μελών, ενώ δικαίωμα ελέγχου υπάρχει και από το Ευρωπαϊκό Κοινοβούλιο. Η ολοκλήρωση της διαδικασίας και η έκδοση της τελικής απόφασης επάρκειας είναι εξέχουσας σημασίας καθώς θα διευκολύνει και θα απλοποιήσει την κυκλοφορία δεδομένων μεταξύ εταιρειών από την ΕΕ προς εταιρείες στις ΗΠΑ που θα έχουν πιστοποιηθεί από το τμήμα Εμπορίου των ΗΠΑ βάσει του νέου πλαισίου. Ο αντίκτυπος της απόφασης επάρκειας, θα είναι για τις επιχειρήσεις άμεσος και θα συμπεριλαμβάνει μεταξύ άλλων την επαναξιολόγηση των συνεργατών τους στις ΗΠΑ καθώς και την αναδιάρθρωση και αναδιαμόρφωση όλων των επιχειρηματικών πτυχών, διαδικασιών και απαιτήσεων συμμόρφωσης που θα σχετίζονται με το νέο πλαίσιο, η δε υιοθέτηση της θα απλοποιήσει και θα μειώσει το κόστος της συμμόρφωσης των επιχειρήσεων με την ισχύουσα νομοθεσία για τις διεθνείς διαβιβάσεις.

Εγρήγορση σε σχέση με την αυξημένη νομοθετική πρωτοβουλία

Εντός του 2023, αναμένεται να συνεχιστεί η αυξημένη νομοθετική πρωτοβουλία που έχει ήδη ξεκινήσει από την Ευρωπαϊκή Ένωση, παράδειγμα της οποίας αποτελεί η Πράξη για τις Ψηφιακές Υπηρεσίες (Digital Services Act) με ρυθμίσεις που περιλαμβάνουν μεταξύ άλλων την καλύτερη προστασία των δικαιωμάτων των καταναλωτών στο διαδίκτυο και την καθιέρωση υποχρέωσης διαφάνειας και λογοδοσίας για τις διαδικτυακές πλατφόρμες. Άλλα παραδείγματα αποτελούν η πρόταση Πράξης για τα Δεδομένα (Data Act Proposal) καθώς και η πρόταση Πράξης για την Τεχνητή Νοημοσύνη (Artificial Intelligence Act Proposal). Εξυπακούεται ότι η υιοθέτηση νέων ρυθμίσεων απαιτεί μεταξύ άλλων και αναλόγως του είδους της επιχείρησης ένα επικαιροποιημένο νομικό έλεγχο συμμόρφωσης της επιχείρησης με τις νέες υποχρεώσεις που η καθεμιά από τις νομοθεσίες θέτει, εξυπακούεται εντός εκάστου χρονικού πλαισίου συμμόρφωσης.

Πρόληψη και αντιμετώπιση ενδεχόμενων περιστατικών ασφαλείας

Από την άλλη, δεν μπορεί κανείς να παραβλέψει τoν διαρκή προβληματισμό για τα ενδεχόμενα περιστατικά ασφαλείας με αφορμή μάλιστα και την πρόσφατη ανακοίνωση της Εθνικής Υπηρεσίας Κυβερνοασφάλειας της Ιταλίας (ACN) σύμφωνα με την οποία χιλιάδες σέρβερ δέχθηκαν επίθεση προειδοποιώντας τους οργανισμούς να λάβουν μέτρα για να προστατεύσουν τα συστήματά τους[2]. Η συνεχιζόμενη αυτή απειλή θέτει κατ’ εξακολούθηση την κυβερνοασφάλεια ως πρωταρχικό μέλημα για την επιχειρηματική συνέχεια των επιχειρήσεων, επιβάλλοντας αυξημένα μέτρα πρόληψης στο εσωτερικών των οργανισμών και καθιστά επιβεβλημένη την άμεση και συγκροτημένη απόκριση στα περιστατικά αυτά μέσω οργανωμένων και καταγεγραμμένων διαδικασιών που προϋποθέτουν μεταξύ άλλων ευαισθητοποιημένο και κατάλληλα εκπαιδευμένο προσωπικό. Άλλωστε ακόμα και ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ), καθιστά σαφείς τις υποχρεώσεις των υπευθύνων επεξεργασίας σε περίπτωση περιστατικών παραβίασης προσωπικών δεδομένων (γνωστοποίηση της παραβίασης των δεδομένων στην εποπτική αρχή και ανακοίνωση της παραβίασης των δεδομένων στο υποκείμενο των δεδομένων όπως αυτές ειδικότερα εξειδικεύονται στα άρθρα 33 και 34 του ΓΚΠΔ) καθιστώντας την άμεση και προσήκουσα αντιμετώπιση τέτοιου είδους περιστατικών, όχι μόνο θέμα κύρους και εμπορικής πίστης, αλλά επιπλέον σημαντικό πυλώνα της συμμόρφωσης της επιχείρησης στη νομοθεσία για τα προσωπικά δεδομένα.

Οι ανωτέρω αναμενόμενες εξελίξεις, θέτουν αναμφισβήτητα τις επιχειρήσεις σε κατάσταση αυξημένης εγρήγορσης, για την παρακολούθηση των εξελίξεων που θα επηρεάσουν ευθέως τόσο την μακροπρόθεσμη οργάνωση όσο και την καθημερινή λειτουργία τους. Ο διαρκής έλεγχος του ισχύοντος νομοθετικού πλαισίου σε συνάρτηση πάντα με την επιχειρηματική δραστηριότητα της κάθε επιχείρησης καθίσταται αναγκαίος για να αποσαφηνιστούν οι ειδικότερες υποχρεώσεις των επιχειρήσεων που εξασφαλίζουν την επιδιωκόμενη συμμόρφωση τους εντός των προθεσμιών που κάθε φορά τίθενται. Επιπλέον, η παρακολούθηση της ολοκλήρωσης των διαδικασιών και η τήρηση των προϋποθέσεων και εγγυήσεων για την διαβίβαση των δεδομένων από την ΕΕ στις ΗΠΑ, ενδέχεται να αποτελέσει κριτήριο για την επιλογή σημαντικών συνεργατών των επιχειρήσεων που διαμορφώνουν το κόστος αλλά και την ποιότητα των υπηρεσιών και συνεπώς είναι αναμφίβολα ιδιαίτερης σημασίας. Τέλος, η επικαιροποίηση των πολιτικών και διαδικασιών στο εσωτερικό των οργανισμών σε συνδυασμό πάντα με την τακτική εκπαίδευση του προσωπικού αλλά και την υιοθέτηση κατάλληλων συστημάτων καθώς και η επιμέλεια και οργάνωση για την δυνατότητα άμεσης υλοποίησης των απαραίτητων ενεργειών στις περιπτώσεις παραβίασης προσωπικών δεδομένων, πρέπει να συμπεριληφθούν στις άμεσες προτεραιότητες των επιχειρήσεων τόσο από άποψη κονδυλίων όσο και από άποψη χρονικής προτεραιότητας και διάθεσης των αναγκαίων πόρων. 


*Τα ανωτέρω αποτελούν απόψεις της γράφουσας και δε συνιστούν εξειδικευμένη νομική συμβουλή.


[1] https://ec.europa.eu/commission/presscorner/detail/en/ip_22_7631

[2] https://www.reuters.com/world/europe/italy-sounds-alarm-large-scale-computer-hacking-attack-2023-02-05/