ΓΡΑΦΕΙ Ο
ΚΩΝΣΤΑΝΤΙΝΟΣ ΤΣΙΟΥΡΤΟΣ* 

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ("EDPB") δημοσίευσε μόλις τον περασμένο μήνα της τελικές κατευθυντήριες γραμμές σχετικά με τη χρήση του επίσημου μηχανισμού πιστοποίησης στο πλαίσιο του GDPR. 

Οι πιστοποιήσεις προορίζονται να βοηθήσουν τις επιχειρήσεις να παράσχουν αποδεικτικά στοιχεία συμμόρφωσης με το κανονισμό. Οι κατευθυντήριες γραμμές παρέχουν πληροφόρηση αναφορικά με τα σχετικά κριτήρια που θα εξεταστούν κατά την αξιολόγηση των αιτήσεων πιστοποίησης.

>>> ΟΛΗ Η ΡΟΗ ΕΙΔΗΣΕΩΝ BRIEF ΜΕ ΕΠΙΛΕΓΜΕΝΟ ΠΕΡΙΕΧΟΜΕΝΟ <<<

Ο πρωταρχικός σκοπός των πιστοποιήσεων είναι να παρέχουν στις επιχειρήσεις ένα επίσημο μέσο απόδειξης της συμμόρφωσής τους με τις υποχρεώσεις τους βάσει του κανονισμού. Η πιστοποίηση συνήθως συνοδεύεται από ένα σχετικό σύμβολο (π.χ. ένα σήμα ή έμβλημα που μπορεί να εμφανίζεται σε δημοσιευμένα έγγραφα και ιστότοπους, επιβεβαιώνοντας ότι η σχετική επιχείρηση πληροί τις απαιτήσεις της σχετικής σφραγίδας ή πιστοποίησης). Το σύστημα πιστοποίησης που προβλέπει ο κανονισμός δεν έχει μπει ακόμη σε εφαρμογή αφού οι Εθνικές Αρχές Προστασίας Δεδομένων ανέμεναν πως ένα ενιαίο Ευρωπαϊκό σχήμα πιστοποίησης θα ετοιμαζόταν από το EDPB σε συνεργασία με τον Ευρωπαϊκό οργανισμό προτύπων, CEN CENELEC. 

Αυτή η διαδικασία όμως φαίνεται να παίρνει περισσότερο χρόνο από όσο αρχικά είχε υπολογιστεί. Εν τω μεταξύ όμως το EDPB αποφάσισε να προχωρήσει με την έκδοση κατευθυντήριων γραμμών έτσι που να δώσει την ευκαιρία στα κράτη μέλη να αναπτύξουν τα εθνικά συστήματα πιστοποίησης, με την έγκριση πάντα του EDPB ότι πληρούν τις απαιτήσεις του κανονισμού για να θεωρηθούν επίσημες πιστοποιήσεις GDPR. 

Το EDPB δημοσίευσε τις κατευθυντήριες γραμμές 1/2018 σχετικά με την πιστοποίηση και τον προσδιορισμό των κριτηρίων πιστοποίησης σύμφωνα με τα άρθρα 42 και 43 του GDPR. Ο πρωταρχικός στόχος των κατευθυντήριων γραμμών είναι να προσδιοριστούν γενικά κριτήρια που ενδέχεται να είναι σημαντικά για την αξιολόγηση των μηχανισμών πιστοποίησης. Το EDPB δηλώνει ρητά ότι οι Κατευθυντήριες Γραμμές είναι σχετικές για τις Αρχές Προστασίας Δεδομένων, τους φορείς πιστοποίησης και τις επιχειρήσεις κατά τον καθορισμό της δικής τους στρατηγικής συμμόρφωσης με το GDPR και θεωρώντας την πιστοποίηση ως μέσο απόδειξης της συμμόρφωσης.

Πιστοποίηση βάσει του GDPR
Η εφαρμογή ενός συστήματος πιστοποίησης είναι μια δύσκολη και χρονοβόρα άσκηση. Το GDPR επιβάλλει νομική υποχρέωση στα κράτη μέλη της ΕΕ, στις αρχές προστασίας δεδομένων, στο EDPB και στην Ευρωπαϊκή Επιτροπή να λάβουν μέτρα για να ενθαρρύνουν τη θέσπιση συστημάτων πιστοποίησης προστασίας δεδομένων και τη χρήση σημάτων και σημάτων προστασίας δεδομένων για το σκοπό, ως απόδειξη της συμμόρφωσης με το GDPR. Η αιτιολογική σκέψη 100 του GDPR εξηγεί ότι τα συστήματα πιστοποίησης αποσκοπούν στη βελτίωση της διαφάνειας και της συμμόρφωσης με το GDPR και επιτρέπουν στα άτομα να κατανοούν εύκολα το επίπεδο συμμόρφωσης GDPR που έχει επιτύχει μια επιχείρηση.

Τι μπορεί να πιστοποιηθεί βάσει του GDPR;
Μπορούν να πιστοποιηθούν δραστηριότητες επεξεργασίας και όχι επιχειρήσεις στο σύνολο των δραστηριοτήτων τους. Ενδέχεται μια επιχείρηση να χρειαστεί διαφορετική διαδικασία ή ακόμη και σχήμα πιστοποίησης για κάθε δραστηριότητα επεξεργασίας. 

Δεν μπορούν να πιστοποιηθούν συστήματα διαχείρισης ή ολόκληρες υπηρεσίες και προϊόντα, ή ακόμα και πρόσωπα. 

Κατά την εκτίμηση οποιασδήποτε δραστηριότητας επεξεργασίας δεδομένων, πρέπει να λαμβάνονται υπόψη τα ακόλουθα τρία κύρια στοιχεία:
 -   τα δεδομένα προσωπικού χαρακτήρα που υφίστανται επεξεργασία και οι απαιτήσεις συμμόρφωσης GDPR που ενεργοποιούνται από την εν λόγω επεξεργασία 
  -  τα τεχνικά συστήματα που χρησιμοποιούνται για τη διεκπεραίωση της επεξεργασίας - δηλαδή το σχετικό υλικό και λογισμικό, οι σχετικές ρυθμίσεις στελέχωσης κλπ. και
 -   οι εσωτερικοί κανόνες και διαδικασίες που διέπουν τις σχετικές δραστηριότητες επεξεργασίας.

Κριτήρια Πιστοποίησης
Οι κατευθυντήριες γραμμές παρέχουν οδηγίες σχετικά με τα κριτήρια που πρέπει να χρησιμοποιούν τα συστήματα πιστοποίησης για την αξιολόγηση του επιπέδου συμμόρφωσης που επιτυγχάνουν οι επιχειρήσεις. Το EDPB δήλωσε ότι τα κριτήρια πρέπει να επικεντρώνονται στα εξής:
- επαλήθευση (δηλαδή εάν η συμμόρφωση προς το σχετικό κριτήριο μπορεί να αξιολογηθεί και να επιβεβαιωθεί) 
- σημασία /βαρύτητα (δηλαδή πόσο σημαντικό είναι το κριτήριο για τον προσδιορισμό της συμμόρφωσης με το GDPR). και
- καταλληλότητα (δηλ. Κατά πόσο είναι κατάλληλο/αρμόδιο το κριτήριο για την αξιολόγηση της συμμόρφωσης με το GDPR).

Τα κριτήρια αυτά πρέπει να είναι σαφή, κατανοητά και ικανά για πρακτική εφαρμογή. Οι κατευθυντήριες γραμμές καθορίζουν εξάλλου ζητήματα τα οποία θα πρέπει να επιλύσουν τα συστήματα πιστοποίησης πριν να μπορέσουν να διαπιστευθούν από το EDPB. Αυτά περιλαμβάνουν τη διασφάλιση ότι τα συστήματα πιστοποίησης είναι ικανά για επαλήθευση, είναι γενικά ή προσαρμοσμένα στην αγορά (π.χ. συγκεκριμένοι βιομηχανικοί τομείς) και είναι διαλειτουργικά με άλλα πρότυπα (π.χ. σχετικά πρότυπα CEN CENELEC ).

Επιπτώσεις για τις επιχειρήσεις
Κατ' αρχήν, οι μηχανισμοί πιστοποίησης θα δώσουν στις επιχειρήσεις τη δυνατότητα να αποδείξουν ότι οι δραστηριότητες επεξεργασίας τους είναι συμβατές με το GDPR, επιτρέποντάς τους να βελτιώσουν τη διαφάνεια έναντι των υποκειμένων επεξεργασίας και άλλες επιχειρήσεις με τις οποίες αλληλεπιδρούν. Προκύπτουν επίσης οικονομικά οφέλη για τις επιχειρήσεις, καθώς η τήρηση των εγκεκριμένων μηχανισμών πιστοποίησης είναι ένας παράγοντας που πρέπει να θεωρηθεί ως παράγοντας μετριασμού των επιπτώσεων κατά την επιβολή προστίμων στο πλαίσιο του GDPR [άρθρο 83 παράγραφος 2 στοιχείο ι) του GDPR].

Από την άλλη πλευρά, οι περισσότερες επιχειρήσεις δεν έχουν πραγματική εμπειρία όσον αφορά τη χρήση συστημάτων πιστοποίησης σε ένα πλαίσιο προστασίας δεδομένων και το γεγονός ότι η EDPB θεώρησε ότι είναι απαραίτητο να εκδώσει σχεδόν 30 σελίδες κατευθυντήριων γραμμών για το θέμα αυτό υποδεικνύει ότι απαιτούνται σημαντικές διευκρινίσεις. 

Επιπλέον, η αξιολόγηση της συμμόρφωσης με το GDPR, ακόμη και σε σχέση με μια ενιαία δραστηριότητα επεξεργασίας, είναι συχνά ένα πολύπλοκο έργο που απαιτεί σημαντική επένδυση χρόνου.

Συνεπώς δεν είναι τόσο εύκολο το έργο για τις επιχειρήσεις που επιδιώκουν να συμμετάσχουν και να βασίζονται σε συστήματα πιστοποίησης για να αποδείξουν τη συμμόρφωσή τους με το GDPR. 

Οι επιχειρήσεις που θεωρούν αναγκαία την πιστοποίηση κάποιων ή όλων των δραστηριοτήτων επεξεργασίας τους, θα πρέπει να αρχίσουν ήδη να ετοιμάζουν προδραστικά το πλάνο τους. 

Το EDPB και οι Εθνικές αρχές δεν θα κρατήσουν χαλαρή στάση αναφορικά με την αυστηρότητα των κριτηρίων της πιστοποίησης αφού ήδη υπάρχουν φωνές που ισχυρίζονται πως η Ευρωπαϊκή Ένωση αλλά και οι εθνικές αρχές δεν εφάρμοσαν τον κανονισμό με την κατάλληλη αυστηρότητα στο πρώτο χρόνο της εφαρμογής του.

>>> ΔΙΑΒΑΣΤΕ ΟΛΕΣ ΤΙΣ ΕΡΕΥΝΕΣ & ΑΝΑΛΥΣΕΙΣ ΤΗΣ BRIEF <<< 

Το μήνυμα αυτό πήρε προφανώς η αρμόδια Επίτροπος Vera Jourova, η οποία και τόνισε στην ομιλία της για την επέτειο του πρώτου χρόνου εφαρμογής του κανονισμού, πως η Επιτροπή θα παρακολουθεί στενά τα κράτη μέλη έτσι που να υπάρχει πλήρης και ενιαία συμμόρφωση και εφαρμογή του. 

*Ο Κωνσταντίνος Τσιούρτος είναι Νομικός /Σύμβουλος ασφαλείας πληροφοριών και ιδιωτικότητας, Εμπειρογνώμονας κυβερνοασφάλειας και ιδιωτικότητας στον Ευρωπαίο Οργανισμό Τυποποίησης – CEN CENELEC) και το Διεθνή Οργανισμό Τυποποίησης – ISO). 
https://www.linkedin.com/in/constantinostsiourtos