Γράφει η Αναστασία Τσερμενίδου
Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων ή αλλιώς GDPR έχει τεθεί σε εφαρμογή από τις 25 Μαΐου 2018 και αντικατέστησε την Οδηγία 95/46/ΕΚ. Ο Κανονισμός αυτός ουσιαστικά ήρθε να εκσυγχρονίσει τη νομοθεσία της Ευρωπαϊκής Ένωσης για την προστασία των προσωπικών δεδομένων και εν γένει των θεμελιωδών δικαιωμάτων, σε μια εποχή της άκριτης ψηφιοποίησης και της τεχνολογικής φρενίτιδας. Ο Κανονισμός αυτός αποτελείται από ενενήντα εννέα άρθρα, που ρυθμίζου όλο το πεδίο εφαρμογής αυτού του κανονισμού.
Ένα από τα πλέον σημαντικότερα άρθρα και με τη μέγιστη πρακτική σημασία είναι το άρθρο 5 στο οποίο αναπτύσσονται οι κυριότερες αρχές που πρέπει να τηρούνται σχεδόν ευλαβικά κατά το στάδιο επεξεργασίας προσωπικών δεδομένων. Το στοιχείο ε΄ του ΓΚΠΔ συστήνει την αρχή της περιόδου αποθήκευσης των προσωπικών δεδομένων ή διαφορετικά το «storage limitation». Σύμφωνα με την εν λόγω αρχή, τα δεδομένα προσωπικού χαρακτήρα διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Τα προσωπικά δεδομένα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον αυτά θα υποβάλλονται σε επεξεργασίας μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς λόγους, σύμφωνα με το άρθρο 89 παρ. 1 του ΓΚΠΔ και εφόσον εφαρμόζονται και τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο Κανονισμός για τη διασφάλιση των δικαιωμάτων και των ελευθεριών των δεδομένων.
Όπως διαφαίνεται και παραπάνω από το περιεχόμενο του Κανονισμού, για να μπορούν ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασίας να προχωρήσουν στο λεγόμενο processing των προσωπικών δεδομένων, πρέπει πρωταρχικά να έχει καθοριστεί με σαφήνεια ο σκοπός του processing. Βάσει ακριβώς αυτού του σκοπού θα οριστεί μετέπειτα και το χρονικό διάστημα αποθήκευσης των προσωπικών δεδομένων. Η διάρκεια αυτή ταυτίζεται με τη διάρκεια ύπαρξης του σκοπού.
Ωστόσο, η τακτική των εταιριών κολοσσών αλλά και των πολυεθνικών, έρχεται να διαψεύσει την πραγματικότητα. Πλέον, οι περισσότερες εταιρίες επιλέγουν να κρατούν τα προσωπικά δεδομένα για πολύ μεγαλύτερο χρονικό διάστημα, πέρα του επιβεβλημένου σκοπού. Πολλές φορές μάλιστα, αναζητούν και αποθηκεύουν όλο και μεγαλύτερες ποσότητες προσωπικών δεδομένων, μόνο για την εξαιρετική περίπτωση που θα τα χρειαστούν στο μέλλον. Φυσικά οι λόγοι είναι κλασσικά λόγοι μάρκετινγκ και προώθησης προϊόντων. Η «λογική» τους βασίζεται στην ιδέα πως όσα περισσότερα δεδομένα διαθέτουν, τόσο πιο στοχευμένη θα είναι η εκάστοτε εκστρατεία προώθησης προϊόντων και υπηρεσιών. Ως επί των πλείστων δε, δε λαμβάνονται υπόψη οι τυχόν νομικές υποχρεώσεις, αλλά ούτε και η καίρια υποχρέωση επανεξέτασης και ενημέρωσης των δεδομένων που έχουν αποθηκευτεί στους servers.
Πολλές μάλιστα εταιρίες δε σταματούν εκεί. Δεν είναι λίγες αυτές που αγοράζουν έναντι τεράστιων χρηματικών ποσών σωρεία προσωπικών δεδομένων. Το αποτέλεσμα; Η κατάληξη αυτών των δεδομένων στα γνωστά
«data graveyards». Πρόκειται ουσιαστικά για ψηφιακούς-εικονικούς χώρους-αποθήκες δεδομένων που παραμένουν αχρησιμοποίητα για μεγάλα χρονικά διαστήματα ή και για πάντα. Το ρίσκο; Τα δεδομένα δεν είναι ενημερωμένα και επικαιροποιιημένα, ενώ ελλοχεύει και ο κίνδυνος παραβίασης αυτών των διακομιστών, με περαιτέρω αποτέλεσμα τη διαρροή των προσωπικών δεδομένων. Δεν είναι λίγα τα σκάνδαλα παραβίασης που έχουν απασχολήσει κατά καιρούς τον επιχειρηματικό και το νομικό κόσμο.
Επομένως, οι προκλήσεις είναι πολλές: η ανεπαρκής αποθηκευτική υποδομή, η έλλειψη διακομιστών υψηλής τεχνολογίας, το κόστος συντήρησης που είναι αρκετά δαπανηρό, η μη συμμόρφωση με τον ΓΚΠΔ και ο κίνδυνος προστίμων, οικονομικών επιβαρύνσεων και συστάσεων της εκάστοτε Ευρωπαϊκής Αρχής Προστασίας Προσωπικών Δεδομένων, η έλλειψη εξειδικευμένου ανθρώπινου δυναμικού, ειδικά εκπαιδευμένου και καταρτισμένου στις κυβερνοεπιθέσεις, τα διαρκώς μεταβαλλόμενα δεδομένα, οι γρήγοροι ρυθμοί εξέλιξης και προόδου της τεχνολογίας.
Παρά τα τόσα red flags, η τακτική αυτή των εταιριών δε δείχνει να αλλάζει και ίσα ίσα παρατηρείται η επίμονη προσπάθεια τους να ανεύρουν κόλπα ή έξυπνους τρόπους να διαφύγουν της προσοχής των Αρχών Προστασίας της εκάστοτε Ευρωπαϊκής χώρας, προκειμένου να επιτύχουν των απώτερο σκοπό τους, που δεν είναι άλλος από την επίτευξη μεγάλων οικονομικών κερδών.
Μέσα σε αυτό το κομφούζιο εκτεθειμένο βρίσκεται το υποκείμενο των προσωπικών δεδομένων, το οποίο συνήθως αγνοεί αυτή τη δυσμενή πραγματικότητα και του οποίου τα δεδομένα επεξεργάζονται ή «φυλάσσονται» σε κάπου εικονική αποθήκη, χωρίς το ίδιο να έχει την παραμικρή ιδέα.
Αυτό που καμία εταιρία δε δείχνει να αντιλαμβάνεται είναι πως οι οικονομικοί της στόχοι μπορούν πράγματι να επιτευχθούν με την χρήση πολύ λιγότερων δεδομένων. Έχοντας να διαχειριστεί έναν μικρότερο αριθμό προσωπικών δεδομένων, ουσιαστικά θα καταφέρει εν τέλει να πετύχει πιο στοχευμένο μάρκετινγκ, χωρίς να απωλέσει υπέρογκα χρηματικά ποσά και καταφέρνοντας παράλληλα να παραμείνει συμμορφωμένη με το περιεχόμενο του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων.
Είναι μεγάλη πρόκληση η αλλαγή πλεύσης και στρατηγικής, η τήρηση των επιταγών της αρχής της περιόδου αποθήκευσης προσωπικών δεδομένων θα συντελέσει και θα οδηγήσει τελικώς στην καλύτερη απόδοση της εταιρίας.
Βιβλιογραφία
· Article “Data Graveyards: Challenges and Risks”, August 11, 2020. Διαθέσιμο σε https://dataprivacymanager.net/data-graveyards-challenges-and-risks/
· The GDPR Regulation. Διαθέσιμο εδώ https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN