Matthias Matthiesen: Πρέπει να προετοιμαστούμε για το νέο νομικό πλαίσιο
Σε επαγρύπνηση ελληνικό και ευρωπαϊκό IAB για τη νομοθεσία σχετικά με το e-privacy και τα GDPR.
Γράφει η ΣΟΝΙΑ ΧΑΪΜΑΝΤΑ
Ένα νέο τοπίο στη νομοθετική «ομίχλη» των ευρωπαϊκών θεσμών σχετικά με το θέμα της προστασίας των προσωπικών δεδομένων στο Διαδίκτυο, περιέγραψε πρόσφατα ο Matthias Matthiesen, Senior Public Affairs Manager του IAB Europe, σε ένα ακροατήριο που κατά βάση απαρτιζόταν από μέλη του IAB Hellas, που στη συνέχεια, μετά την ολοκλήρωση της ομιλίας, συμμετείχαν στην ετήσια γενική τους συνέλευση.
Η ομιλία, με θέμα «GDPR & ePrivacy: Ο αντίκτυπος στο ψηφιακό οικοσύστημα και η επόμενη μέρα», φώτισε αρκετά τις σκοτεινές και άγνωστες ακόμη αλλαγές που εισηγούνται οι νέοι ευρωπαϊκοί κανονισμοί (regulations) στο ψηφιακό οικοσύστημα, ενώ σύμφωνα με τον ίδιο τον ομιλητή, πρόκειται για τη «σημαντικότερη νομοθετική παρέμβαση για την αγορά μας». Παρά το νεαρό της ηλικίας του, ο Matthias Matthiesen γνώριζε πολύ καλά τα νομικά θέματα της ψηφιακής δημοκρατίας, του περιεχομένου, της digital διαφήμισης και των ενδεχόμενων επιπτώσεων των επιδιωκόμενων αλλαγών.
Ποιους αφορά ακριβώς μια νέα πολιτική για τα δεδομένα των πολιτών, για τα cookies, τους πλοηγούς και το eprivacy; «Όλους», απαντά ο ειδήμων περί τα νομικά του digital, εννοώντας προφανώς ψηφιακούς εκδότες, εταιρείες τεχνολογίας, διαφημιστικές και διαφημιζόμενους… «Και ποιος ωφελείται;» Μάλλον κανείς, απάντησε υπομειδιώντας, για να προσθέσει αμέσως μετά σαρκαστικά: «εκτός από τους δικηγόρους». Γιατί; Πολύ απλά γιατί η νέα νομοθεσία συμπυκνώνει ένα κανονιστικό πλαίσιο που αφορά όλους τους παίκτες της ψηφιακής αγοράς. Οι οποίοι, αν δεν συμμορφωθούν προς τις… υποδείξεις, θα βρεθούν αντιμέτωποι με τσουχτερά πρόστιμα.
adb: Έχει ξεκαθαρίσει το τοπίο για το ποιος θεσμός θα είναι υπεύθυνος για την ορθή εφαρμογή των κανόνων που θα θεσπιστούν;
M.M.: Όχι, το τοπίο παραμένει θολό αναφορικά με το ποιες ακριβώς αρχές θα αναλάβουν εκ μέρους της Ε.Ε. το ρόλο του θεματοφύλακα της νομοθεσίας για τα GDPR. Και τούτο γιατί, προς το παρόν, το πλαίσιο GDPR υιοθετήθηκε το 2016 για να τεθεί σε εφαρμογή τον Μάιο του 2018, με την Κομισιόν να έχει δρομολογήσει κατ’ αρχάς την υιοθέτηση της οδηγίας e-Privacy έως την ίδια ημερομηνία.
adb: Επαρκεί αυτό το διάστημα για να ενεργοποιηθούν οι χώρες, οι αγορές, οι εταιρείες; Στην Ελλάδα πολύ λίγοι, ελάχιστοι γνωρίζουν…
M.M.: Όντως οι εταιρείες έχουν σχετικά λίγο χρόνο μπροστά τους για να οργανώσουν τη συμμόρφωσή τους με τα νέα κανονιστικά πλαίσια, διαδικασία επίπονη και απαιτητική. Κανείς δεν ξέρει αυτήν τη στιγμή πώς ακριβώς ορίζεται η «συμμόρφωση», ωστόσο εσείς οφείλετε να έχετε προετοιμαστεί.
adb: Τι ακριβώς συμβουλεύετε τους πρωταγωνιστές των αγορών;
M.M.: Θα πρέπει οι εμπλεκόμενοι να διαπιστώσουν αρχικά αν όντως τους αφορά το GDPR, αν δηλαδή διαχειρίζονται δεδομένα τα οποία μπορούν να οδηγήσουν στην ταυτοποίηση ενός προσώπου με οποιονδήποτε τρόπο. Στη συνέχεια θα πρέπει να ενεργοποιήσουν διαδικασίες διαχείρισης δεδομένων που εφαρμόζουν και φυσικά να διαμορφώσουν τον νέο χάρτη με τη συνδρομή νομικών και τεχνικών συμβούλων. Θεωρείται πολύ σημαντική στη φάση αυτή η υλοποίηση προγραμμάτων προσομοιώσεων αξιολόγησης των επιπτώσεων των διαδικασιών προστασίας δεδομένων. O IAB Europe
σκοπεύει να προσφέρει σύντομα κάποια αντίστοιχα εργαλεία.
adb: Δώστε μας κάποια tips εν είδει συμβουλών….
M.M.:
• Ξεκινήστε τη διαδικασία χαρτογράφησης των αλλαγών που απαιτούνται για την επίτευξη της συμμόρφωσης.
• Προσλάβετε Data Protection Officer, καθώς οι διαδικασίες είναι πολύπλοκες και χρονοβόρες, ενώ πρέπει να αποφευχθεί η σύγκρουση συμφερόντων, που σημαίνει ότι ο επικεφαλής μηχανικός σας δεν μπορεί να είναι παράλληλα Data Protection Officer.
adb: Τι θα αλλάξει σε σχέση με τα cookies;
M.M.: Μετά την εφαρμογή της νομοθεσίας και της ενσωμάτωσής της στα εθνικά δίκαια, ο χρήστης θα πρέπει να δίνει συνεχώς για το κάθε τι τη συγκατάθεσή του για τη χρήση των δεδομένων ή κινήσεών του στο Διαδίκτυο. Στην ουσία θα καταστεί δύσκολο και μάλλον πολύπλοκο να παραχωρεί κανείς τα δεδομένα του χωρίς αλλεπάλληλες συγκατανεύσεις, που θα είναι εξαιρετικά εκνευριστικές. Εδώ σημαντικό ρόλο θα διαδραματίσουν οι εταιρείες τεχνολογίας, οι οποίες θα πρέπει να αναπτύξουν αποδοτικούς τρόπους εφαρμογής της συγκατάθεσης του χρήστη σε κάθε βήμα εντός του οικοσυστήματος, χωρίς να διαταράσσεται η απρόσκοπτη λειτουργία. Για να επιτευχθεί κάτι τέτοιο, θα πρέπει όλοι να συνεργαστούμε: εκδότες, διαφημιστές και διαφημιζόμενοι. Ο ΙΑΒ Europe βρίσκεται σε διαρκή επαγρύπνηση και συνομιλεί με τα κέντρα λήψης αποφάσεων στις Βρυξέλλες στο δρόμο προς την υιοθέτηση και εφαρμογή του νέου κανονιστικού πλαισίου.
adb: Ποιος θα «πληρώνει» το πρόστιμο (π.χ. ο publisher ή ο διαφημιζόμενος) αν αποσπαστούν δεδομένα από κάποιον τρίτο συνεργάτη, όπως π.χ. μια εταιρεία μάρκετινγκ;
M.M.: Αν έχετε δικαίωμα πρόσβασης στο πληρωμένο από τους διαφημιζόμενους περιεχόμενο, χωρίς να δώσετε τη συγκατάθεσή σας ακόμη και για την ελάχιστη δυνατή επεξεργασία των δεδομένων σας, τότε όλο αυτό σταματά να είναι λειτουργικό. Κανείς δεν θα πληρώνεται και ο εκδότης θα πρέπει να βάλει συνδρομή ή να χρησιμοποιήσει paywall, και αυτό αποτελεί ένα μεγάλο ζήτημα. Το παραπάνω δεν αφορά μόνο τις στοχευμένες διαφημίσεις αλλά και άλλα πολύ σημαντικά ζητήματα. Ακόμα και αν διαθέτετε λιγότερα χρήματα για τις διαφημίσεις σας, δεν θα μπορούσατε χωρίς αυτούς.
adb: Ποια είναι τα θετικά και αρνητικά από τη νομοθεσία αυτήν τη στιγμή;
M.M.: Όσο αφορά τον Ευρωπαϊκό Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR), το καλό είναι ότι οι εταιρείες θα λογοδοτούν για τα δεδομένα και θα είναι υπεύθυνες για να μην προκαλούνται προβλήματα. Θεωρώ ότι αυτό είναι μια σωστή προσέγγιση, καθώς όταν για παράδειγμα αγοράζεις ένα αυτοκίνητο, δεν διαβάζεις τις οδηγίες και τις υπογράφεις, απλώς το οδηγείς, διότι η εταιρεία που το παράγει πρέπει να εξασφαλίσει ότι είναι ασφαλές. Είναι ένας καλύτερος τρόπος να γίνονται τα πράγματα, γιατί δεν απασχολείς τα άτομα που δεν είναι κατάλληλα να ασχοληθούν με αυτά τα προβλήματα. Το αρνητικό είναι ότι ακόμα το πλαίσιο είναι ασαφές. Πρέπει να υπάρχει διαφάνεια από αυτούς που θέτουν τους κανόνες, οι οποίοι δεν είναι πάντα συνεργάσιμοι. Κάνουμε ερωτήσεις, χωρίς να παίρνουμε απαντήσεις… Οι εταιρείες ζητούν προστασία των δεδομένων τους. Για παράδειγμα, ο Giovanni Buttarelli, ο υπεύθυνος προστασίας δεδομένων για την Ευρώπη, θεωρεί ότι είναι δουλειά των ίδιων των εταιρειών να καταλάβουν όλα όσα τους ζητούνται από το νόμο. Δεν είναι δουλειά των αρχών της προστασίας των δεδομένων να τους παρέχουν οδηγίες πάνω στο συγκεκριμένο θέμα.
adb: Ποιος είναι υπεύθυνος για την προστασία των δεδομένων;
M.M.: Μπορεί να είναι ένα άτομο, μια ομάδα, μια εταιρεία. Δεν υπάρχουν αυστηρά κριτήρια. Πρέπει να είναι κάποιος που είναι ειδικός στην προστασία δεδομένων και το δίκαιο. Δεν πρέπει να είσαι υποχρεωτικά δικηγόρος. Υπάρχουν συγκρουόμενα συμφέροντα. Αν είσαι πρώην μηχανικός που κατανοεί την προστασία των δεδομένων, τότε μπορείς να το δοκιμάσεις.
adb: Ποιος θα χάσει χρήματα με την εφαρμογή της νομοθεσίας;
M.M.: Όλοι εκτός από τους δικηγόρους.
adb: Πρέπει να ανασχεδιάσουμε τη δομή των εταιρειών/τα συστήματα πληροφοριών;
M.M.: Αυτό εξαρτάται από τον τρόπο που είναι οργανωμένη μια εταιρεία. Κάποιες θα πρέπει να προχωρήσουν σε σημαντικές αλλαγές, αλλά γενικά θα πρέπει να υπάρχει μία κοινή γραμμή, ώστε να μετριαστεί και το κόστος.
adb: Τι ισχύει για τις αμερικανικές εταιρείες;
M.M.: Ο νόμος ισχύει καθολικά. Δεν έχει σημασία αν μια εταιρεία είναι ευρωπαϊκή ή αμερικανική. Το Facebook και το Google, που είναι για παράδειγμα αμερικανικές εταιρείες, θα πρέπει να προσαρμοστούν στον Ευρωπαϊκό Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR), όταν πρόκειται για πληροφορίες που αφορούν την Ευρώπη. Δεν ισχύ- ει όμως το ίδιο για πληροφορίες που αφορούν την Κίνα…
Γράφει η ΣΟΝΙΑ ΧΑΪΜΑΝΤΑ
Ένα νέο τοπίο στη νομοθετική «ομίχλη» των ευρωπαϊκών θεσμών σχετικά με το θέμα της προστασίας των προσωπικών δεδομένων στο Διαδίκτυο, περιέγραψε πρόσφατα ο Matthias Matthiesen, Senior Public Affairs Manager του IAB Europe, σε ένα ακροατήριο που κατά βάση απαρτιζόταν από μέλη του IAB Hellas, που στη συνέχεια, μετά την ολοκλήρωση της ομιλίας, συμμετείχαν στην ετήσια γενική τους συνέλευση.
Η ομιλία, με θέμα «GDPR & ePrivacy: Ο αντίκτυπος στο ψηφιακό οικοσύστημα και η επόμενη μέρα», φώτισε αρκετά τις σκοτεινές και άγνωστες ακόμη αλλαγές που εισηγούνται οι νέοι ευρωπαϊκοί κανονισμοί (regulations) στο ψηφιακό οικοσύστημα, ενώ σύμφωνα με τον ίδιο τον ομιλητή, πρόκειται για τη «σημαντικότερη νομοθετική παρέμβαση για την αγορά μας». Παρά το νεαρό της ηλικίας του, ο Matthias Matthiesen γνώριζε πολύ καλά τα νομικά θέματα της ψηφιακής δημοκρατίας, του περιεχομένου, της digital διαφήμισης και των ενδεχόμενων επιπτώσεων των επιδιωκόμενων αλλαγών.
Ποιους αφορά ακριβώς μια νέα πολιτική για τα δεδομένα των πολιτών, για τα cookies, τους πλοηγούς και το eprivacy; «Όλους», απαντά ο ειδήμων περί τα νομικά του digital, εννοώντας προφανώς ψηφιακούς εκδότες, εταιρείες τεχνολογίας, διαφημιστικές και διαφημιζόμενους… «Και ποιος ωφελείται;» Μάλλον κανείς, απάντησε υπομειδιώντας, για να προσθέσει αμέσως μετά σαρκαστικά: «εκτός από τους δικηγόρους». Γιατί; Πολύ απλά γιατί η νέα νομοθεσία συμπυκνώνει ένα κανονιστικό πλαίσιο που αφορά όλους τους παίκτες της ψηφιακής αγοράς. Οι οποίοι, αν δεν συμμορφωθούν προς τις… υποδείξεις, θα βρεθούν αντιμέτωποι με τσουχτερά πρόστιμα.
adb: Έχει ξεκαθαρίσει το τοπίο για το ποιος θεσμός θα είναι υπεύθυνος για την ορθή εφαρμογή των κανόνων που θα θεσπιστούν;
M.M.: Όχι, το τοπίο παραμένει θολό αναφορικά με το ποιες ακριβώς αρχές θα αναλάβουν εκ μέρους της Ε.Ε. το ρόλο του θεματοφύλακα της νομοθεσίας για τα GDPR. Και τούτο γιατί, προς το παρόν, το πλαίσιο GDPR υιοθετήθηκε το 2016 για να τεθεί σε εφαρμογή τον Μάιο του 2018, με την Κομισιόν να έχει δρομολογήσει κατ’ αρχάς την υιοθέτηση της οδηγίας e-Privacy έως την ίδια ημερομηνία.
adb: Επαρκεί αυτό το διάστημα για να ενεργοποιηθούν οι χώρες, οι αγορές, οι εταιρείες; Στην Ελλάδα πολύ λίγοι, ελάχιστοι γνωρίζουν…
M.M.: Όντως οι εταιρείες έχουν σχετικά λίγο χρόνο μπροστά τους για να οργανώσουν τη συμμόρφωσή τους με τα νέα κανονιστικά πλαίσια, διαδικασία επίπονη και απαιτητική. Κανείς δεν ξέρει αυτήν τη στιγμή πώς ακριβώς ορίζεται η «συμμόρφωση», ωστόσο εσείς οφείλετε να έχετε προετοιμαστεί.
adb: Τι ακριβώς συμβουλεύετε τους πρωταγωνιστές των αγορών;
M.M.: Θα πρέπει οι εμπλεκόμενοι να διαπιστώσουν αρχικά αν όντως τους αφορά το GDPR, αν δηλαδή διαχειρίζονται δεδομένα τα οποία μπορούν να οδηγήσουν στην ταυτοποίηση ενός προσώπου με οποιονδήποτε τρόπο. Στη συνέχεια θα πρέπει να ενεργοποιήσουν διαδικασίες διαχείρισης δεδομένων που εφαρμόζουν και φυσικά να διαμορφώσουν τον νέο χάρτη με τη συνδρομή νομικών και τεχνικών συμβούλων. Θεωρείται πολύ σημαντική στη φάση αυτή η υλοποίηση προγραμμάτων προσομοιώσεων αξιολόγησης των επιπτώσεων των διαδικασιών προστασίας δεδομένων. O IAB Europe
σκοπεύει να προσφέρει σύντομα κάποια αντίστοιχα εργαλεία.
adb: Δώστε μας κάποια tips εν είδει συμβουλών….
M.M.:
• Ξεκινήστε τη διαδικασία χαρτογράφησης των αλλαγών που απαιτούνται για την επίτευξη της συμμόρφωσης.
• Προσλάβετε Data Protection Officer, καθώς οι διαδικασίες είναι πολύπλοκες και χρονοβόρες, ενώ πρέπει να αποφευχθεί η σύγκρουση συμφερόντων, που σημαίνει ότι ο επικεφαλής μηχανικός σας δεν μπορεί να είναι παράλληλα Data Protection Officer.
adb: Τι θα αλλάξει σε σχέση με τα cookies;
M.M.: Μετά την εφαρμογή της νομοθεσίας και της ενσωμάτωσής της στα εθνικά δίκαια, ο χρήστης θα πρέπει να δίνει συνεχώς για το κάθε τι τη συγκατάθεσή του για τη χρήση των δεδομένων ή κινήσεών του στο Διαδίκτυο. Στην ουσία θα καταστεί δύσκολο και μάλλον πολύπλοκο να παραχωρεί κανείς τα δεδομένα του χωρίς αλλεπάλληλες συγκατανεύσεις, που θα είναι εξαιρετικά εκνευριστικές. Εδώ σημαντικό ρόλο θα διαδραματίσουν οι εταιρείες τεχνολογίας, οι οποίες θα πρέπει να αναπτύξουν αποδοτικούς τρόπους εφαρμογής της συγκατάθεσης του χρήστη σε κάθε βήμα εντός του οικοσυστήματος, χωρίς να διαταράσσεται η απρόσκοπτη λειτουργία. Για να επιτευχθεί κάτι τέτοιο, θα πρέπει όλοι να συνεργαστούμε: εκδότες, διαφημιστές και διαφημιζόμενοι. Ο ΙΑΒ Europe βρίσκεται σε διαρκή επαγρύπνηση και συνομιλεί με τα κέντρα λήψης αποφάσεων στις Βρυξέλλες στο δρόμο προς την υιοθέτηση και εφαρμογή του νέου κανονιστικού πλαισίου.
adb: Ποιος θα «πληρώνει» το πρόστιμο (π.χ. ο publisher ή ο διαφημιζόμενος) αν αποσπαστούν δεδομένα από κάποιον τρίτο συνεργάτη, όπως π.χ. μια εταιρεία μάρκετινγκ;
M.M.: Αν έχετε δικαίωμα πρόσβασης στο πληρωμένο από τους διαφημιζόμενους περιεχόμενο, χωρίς να δώσετε τη συγκατάθεσή σας ακόμη και για την ελάχιστη δυνατή επεξεργασία των δεδομένων σας, τότε όλο αυτό σταματά να είναι λειτουργικό. Κανείς δεν θα πληρώνεται και ο εκδότης θα πρέπει να βάλει συνδρομή ή να χρησιμοποιήσει paywall, και αυτό αποτελεί ένα μεγάλο ζήτημα. Το παραπάνω δεν αφορά μόνο τις στοχευμένες διαφημίσεις αλλά και άλλα πολύ σημαντικά ζητήματα. Ακόμα και αν διαθέτετε λιγότερα χρήματα για τις διαφημίσεις σας, δεν θα μπορούσατε χωρίς αυτούς.
adb: Ποια είναι τα θετικά και αρνητικά από τη νομοθεσία αυτήν τη στιγμή;
M.M.: Όσο αφορά τον Ευρωπαϊκό Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR), το καλό είναι ότι οι εταιρείες θα λογοδοτούν για τα δεδομένα και θα είναι υπεύθυνες για να μην προκαλούνται προβλήματα. Θεωρώ ότι αυτό είναι μια σωστή προσέγγιση, καθώς όταν για παράδειγμα αγοράζεις ένα αυτοκίνητο, δεν διαβάζεις τις οδηγίες και τις υπογράφεις, απλώς το οδηγείς, διότι η εταιρεία που το παράγει πρέπει να εξασφαλίσει ότι είναι ασφαλές. Είναι ένας καλύτερος τρόπος να γίνονται τα πράγματα, γιατί δεν απασχολείς τα άτομα που δεν είναι κατάλληλα να ασχοληθούν με αυτά τα προβλήματα. Το αρνητικό είναι ότι ακόμα το πλαίσιο είναι ασαφές. Πρέπει να υπάρχει διαφάνεια από αυτούς που θέτουν τους κανόνες, οι οποίοι δεν είναι πάντα συνεργάσιμοι. Κάνουμε ερωτήσεις, χωρίς να παίρνουμε απαντήσεις… Οι εταιρείες ζητούν προστασία των δεδομένων τους. Για παράδειγμα, ο Giovanni Buttarelli, ο υπεύθυνος προστασίας δεδομένων για την Ευρώπη, θεωρεί ότι είναι δουλειά των ίδιων των εταιρειών να καταλάβουν όλα όσα τους ζητούνται από το νόμο. Δεν είναι δουλειά των αρχών της προστασίας των δεδομένων να τους παρέχουν οδηγίες πάνω στο συγκεκριμένο θέμα.
adb: Ποιος είναι υπεύθυνος για την προστασία των δεδομένων;
M.M.: Μπορεί να είναι ένα άτομο, μια ομάδα, μια εταιρεία. Δεν υπάρχουν αυστηρά κριτήρια. Πρέπει να είναι κάποιος που είναι ειδικός στην προστασία δεδομένων και το δίκαιο. Δεν πρέπει να είσαι υποχρεωτικά δικηγόρος. Υπάρχουν συγκρουόμενα συμφέροντα. Αν είσαι πρώην μηχανικός που κατανοεί την προστασία των δεδομένων, τότε μπορείς να το δοκιμάσεις.
adb: Ποιος θα χάσει χρήματα με την εφαρμογή της νομοθεσίας;
M.M.: Όλοι εκτός από τους δικηγόρους.
adb: Πρέπει να ανασχεδιάσουμε τη δομή των εταιρειών/τα συστήματα πληροφοριών;
M.M.: Αυτό εξαρτάται από τον τρόπο που είναι οργανωμένη μια εταιρεία. Κάποιες θα πρέπει να προχωρήσουν σε σημαντικές αλλαγές, αλλά γενικά θα πρέπει να υπάρχει μία κοινή γραμμή, ώστε να μετριαστεί και το κόστος.
adb: Τι ισχύει για τις αμερικανικές εταιρείες;
M.M.: Ο νόμος ισχύει καθολικά. Δεν έχει σημασία αν μια εταιρεία είναι ευρωπαϊκή ή αμερικανική. Το Facebook και το Google, που είναι για παράδειγμα αμερικανικές εταιρείες, θα πρέπει να προσαρμοστούν στον Ευρωπαϊκό Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR), όταν πρόκειται για πληροφορίες που αφορούν την Ευρώπη. Δεν ισχύ- ει όμως το ίδιο για πληροφορίες που αφορούν την Κίνα…
