Στις 25 Μαΐου τίθεται σε εφαρμογή σε όλη την Ευρώπη ο κανονισμός GDPR (Γενικός Κανονισμός Προστασίας Δεδομένων), ο οποίος ορίζει το πώς όλα τα προσωπικά δεδομένα (πελατών-καταναλωτών) πρέπει να φυλάσσονται και να διαχειρίζονται, αλλάζοντας ουσιαστικά τον τρόπο με τον οποίο όλες οι επιχειρήσεις οφείλουν να λειτουργούν. Με δεδομένο τις αυστηρές-εξοντωτικές κυρώσεις για όποια επιχείρηση δεν συμμορφωθεί στον κανονισμό, επικοινωνήσαμε με διάφορες ξενοδοχειακές επιχειρήσεις –έναν κλάδο που θα επηρεαστεί πολύ στην καθημερινή του λειτουργία– για να δούμε τι γνωρίζουν και το κυριότερο τι έχουν κάνει για να προετοιμαστούν. Οι περισσότερες –μικρομεσαίες κυρίως– είχαν πλήρη άγνοια.
Οπως, για παράδειγμα, ο κ. Βασίλης που έχει ένα μικρό ξενοδοχείο στην Ηπειρο και δεν είχε ιδέα για τι πράγμα τον ρωτούσαμε. «Κάποιος δεν θα έπρεπε να με έχει ενημερώσει;», αναρωτήθηκε αγχωμένος, κάνοντάς μας ένα σωρό ερωτήσεις για το τι όφειλε να κάνει. Oταν μιλήσαμε την επόμενη ημέρα, μας επιβεβαίωσε πως πολλοί από τους συναδέλφους του δεν είχαν επίσης ιδέα για το τι θα έπρεπε να κάνουν, με αποτέλεσμα να είναι τελείως εκτεθειμένοι σε μια καταγγελία από τη στιγμή που ο ευρωπαϊκός κανονισμός θα τεθεί σε εφαρμογή στις 25 Μαΐου.
Κάποιοι άλλοι ξενοδόχοι είχαν λάβει μια πρώτη ενημέρωση –οι περισσότεροι από τους ασφαλιστές τους, και τους είχαν δώσει λευκή επιταγή να κάνουν ό,τι χρειάζεται– ενώ άλλοι, όπως ο κ. Μιχόπουλος με ξενοδοχείο στο Ναύπλιο είχε ενημερωθεί από έναν τοπικό σύλλογο και είχε ήδη λάβει κάποια από τα αναγκαία μέτρα. «Κυριαρχεί ένας πανικός το τελευταίο διάστημα, γιατί ένα λάθος να κάνεις, μπορεί να σε τελειώσουν», μας λέει.
Οι περιορισμοί
Oπως εξήγησε στην «Κ» ο διευθυντής ενός μεγάλου ξενοδοχειακού ομίλου, βάσει του νέου κανονισμού είναι κυριολεκτικά μόνο δύο τα στοιχεία που μπορεί πλέον να πάρει κανείς χωρίς ρητή συγκατάθεση του πελάτη: το όνομα και το επίθετό του. Oλα τα αλλά υπάγονται στον νέο κανονισμό.
Την ημέρα που συναντηθήκαμε με τον διευθυντή του ξενοδοχείου, προετοιμαζόταν για το τρίτο και τελευταίο σεμινάριο που θα έκανε με τους επικεφαλής όλων των τμημάτων του για τον GDPR. Ο ίδιος είχε αρχίσει να ασχολείται με το θέμα αυτό εδώ και τουλάχιστον έναν χρόνο. Ψάχνοντας στην αγορά βρήκε εκατοντάδες γραφεία –τα περισσότερα δικηγορικά– που διαφήμιζαν πως προσφέρουν ολοκληρωμένες προτάσεις για συμμόρφωση του ομίλου με τον κανονισμό. Η αμοιβή τους κυμαινόταν μεταξύ 50.000 και 80.000 ευρώ ανάλογα με τις υπηρεσίες που παρείχαν. Εχοντας, όμως, χρόνο και διάθεση προτίμησε να αναλάβει το πρότζεκτ ο ίδιος σε συνεργασία με τους υπεύθυνους πληροφορικής και το νομικό τμήμα του ομίλου.
Το πρώτο πράγμα που έπρεπε να κάνουν ήταν μια χαρτογράφηση της λειτουργίας τους (πρόκειται για μια διαδικασία που όλοι πρέπει να έχουν κάνει και σε περίπτωση ελέγχου από την αρμόδια αρχή οφείλουν να επιδείξουν). «Ουσιαστικά είναι μια ακτινογραφία της επιχείρησης, που αποτυπώνει όλα τα στάδια που ο πελάτης μας δίνει προσωπικά δεδομένα», εξηγεί. Στη συνέχεια κατέληξαν στις διαδικασίες που χρειάζεται να αλλάξουν για να διασφαλιστεί πως τα δεδομένα αυτά θα είναι ασφαλή.
Η αλλαγή –μας εξήγησαν όσοι έχουν ασχοληθεί με το συγκεκριμένο θέμα–π.χ. για μια τουριστική επιχείρηση, ξεκινά από τη στιγμή που ο πελάτης θα θελήσει να κλείσει ένα δωμάτιο σε ένα ξενοδοχείο – εάν το κάνει μέσω ενός ταξιδιωτικού γραφείου, εκείνοι θα πρέπει να έχουν βρει έναν τρόπο να πάρουν τη συγκατάθεσή του πριν στείλουν τα στοιχεία του στο ξενοδοχείο. Στη συνέχεια θα πρέπει να υπάρχει συγκεκριμένη διαδικασία για το πώς θα πληρώσει. «Παλιά, ακόμα και εμείς βγάζαμε φωτοτυπία της πιστωτικής κάρτας και τη βάζαμε στο συρτάρι της ρεσεψιόν, κάνοντας τον σταυρό μας να μην πέσει σε ξένα χέρια», εξηγεί ο διευθυντής του μεγάλου ξενοδοχείου. «Αυτά μπορεί για εμάς να έχουν τελειώσει εδώ και καιρό, αλλά πλέον με τον κανονισμό γίνεται υποχρεωτικό ακόμα και για το μικρότερο ξενοδοχείο στο πιο απομακρυσμένο νησί», σημειώνει. Τα στοιχεία της κάρτας πρέπει να είναι κρυπτογραφημένα χρησιμοποιώντας συγκεκριμένα συστήματα που όλοι πρέπει να έχουν προμηθευτεί.
Χωρίς εξαιρέσεις
Και οι αλλαγές αυτές αφορούν όχι μόνο τα δεδομένα πελατών, αλλά και των προμηθευτών και όλων των συνεργατών μιας επιχείρησης – ακόμα και ένα βιογραφικό υποψηφίου εργαζομένου δεν μπορεί πλέον να είναι προσβάσιμο στον οποιονδήποτε. Θα πρέπει να υπάρχει ειδική διαδικασία που θα ακολουθηθεί και συγκεκριμένα άτομα που θα έχουν πρόσβαση σε αυτό.
Και βέβαια, η διεύθυνση e-mail που παραχωρεί ο πελάτης δεν μπορεί πλέον να χρησιμοποιηθεί ξανά, παρά μόνον εάν έχει δώσει συγκατάθεση στην οποία θα καθορίζεται ακριβώς ο σκοπός για τον οποίο θα χρησιμοποιηθεί (παλαιότερα αρκούσε η δυνατότητα που είχε κάποιος να διαγραφεί από μία λίστα εάν ήθελε).
Για παράδειγμα, ο κ. Μιχόπουλος, ξενοδόχος στο Ναύπλιο, συνήθιζε να στέλνει στοχευμένα e-mails στους πελάτες του – τους κατηγοριοποιούσε σε εθνικότητες, θυμόταν πολλές φορές τα ενδιαφέροντά τους και τους έστελνε δύο-τρεις φορές τον χρόνο ενημερωτικά μηνύματα ή προσφορές ανάλογα με τις εθνικές εορτές του καθενός ή τα δρώμενα στην πόλη του. «Τώρα, εάν δεν έχεις πάρει προκαταβολικά το ΟΚ, δεν μπορείς να το κάνεις», εξηγεί.
«Γύρω από τον GDPR έχει ήδη στηθεί ολόκληρη φάμπρικα»
Ο κ. Μιχόπουλος έχει ήδη τυπώσει για τη ρεσεψιόν του τα έντυπα συγκατάθεσης (σε πέντε γλώσσες), τα οποία θα πρέπει να υπογράψει ο πελάτης και να φυλάσσει ο ξενοδόχος για όσο κρατάει τα δεδομένα αυτά (και τουλάχιστον για πέντε χρόνια). Θεωρητικά με αυτό θα είναι καλυμμένος, αλλά σκέφτεται μήπως δεν αξίζει το ρίσκο: «Μάλλον δεν θα χρησιμοποιώ πλέον καθόλου τα e-mails, γιατί εάν κάνω κάποιο λάθος χωρίς να το καταλάβω, μπορεί να βρω τον μπελά μου», εξηγεί. Οι κυρώσεις είναι ιδιαίτερα αυστηρές: Ανάκληση άδειας και πρόστιμα μέχρι 20 εκατ. ευρώ ή 4% του τζίρου της επιχείρησης.
Και ο ίδιος προετοιμάζεται εδώ και καιρό για την 25η Μαΐου. Αντιλαμβάνονται όλοι στην Αρχή πως το επόμενο διάστημα ο φόρτος εργασίας θα αυξηθεί δραματικά. Στις αντίστοιχες Αρχές στο εξωτερικό έχουν ήδη προσληφθεί και εκπαιδευθεί νέα στελέχη και οι προϋπολογισμοί τους έχουν διπλασιαστεί.
Αυτό στην Ελλάδα δεν έχει συμβεί. Ούτως ή άλλως υποστελεχωμένοι, έχουν προσπαθήσει με διάφορες προκηρύξεις να αποσπαστούν 32 άτομα για να ενισχυθεί ο ελεγκτικός τους μηχανισμός, αλλά τελευταία στιγμή δεν εγκρίθηκε η μετακίνησή τους.
Παραπληροφόρηση
Ο κ. Ζορκάδης αφουγκράζεται την ανησυχία που επικρατεί και συνιστά ψυχραιμία και ενημέρωση. Μας δίνει παραδείγματα παραπληροφόρησης, περιπτώσεις όπου π.χ. διάφορα γραφεία θέλοντας να «πουλήσουν» υπηρεσίες ενημέρωναν –λανθασμένα– τους υποψήφιους πελάτες πως είναι υποχρεωτικό βάσει κανονισμού τουλάχιστον ένας υπάλληλος να πιστοποιηθεί στον GDPR (κάτι που ισχύει για πολύ συγκεκριμένες επιχειρήσεις).
«Είναι σαφές πως γύρω από τον GDPR έχει στηθεί μια ολόκληρη “φάμπρικα” με πολλά χρήματα», εκτιμά ο Μανώλης Σφακιανάκης. Ο πρώην επικεφαλής της Δίωξης Ηλεκτρονικού Εγκλήματος ασχολείται και εκείνος με τη «νέα μόδα» όπως αποκαλεί τον κανονισμό, έχοντας ιδρύσει μια συμβουλευτική εταιρεία με υπηρεσίες για συμμόρφωση σε αυτόν. Αυτό που τον ανησυχεί, όμως, δεν είναι τα δεκάδες γραφεία που όπως λέει πωλούν υπηρεσίες χωρίς να έχουν την απαραίτητη τεχνογνωσία, αλλά οι εταιρείες από την… απέναντι όχθη.
«Το αμέσως επόμενο διάστημα θα δείτε να ξεφυτρώνουν ΜΚΟ που με ευρωπαϊκές επιδοτήσεις –υποτίθεται για προστασία των δεδομένων του πολίτη– θα κάνουν συνεχώς καταγγελίες ειδικά στον τουριστικό τομέα», προειδοποιεί. «Τουρίστες κάποιων χωρών το έχουν στην κουλτούρα τους το να καταγγέλλουν, οπότε αντί να περιμένουν να αξιολογήσει η αρμόδια Αρχή την καταγγελία τους, θα εξουσιοδοτούν τη ΜΚΟ η οποία θα κάνει και αγωγή στα αστικά δικαστήρια». Είναι ένα σενάριο που εάν επαληθευτεί θα βάλει στο στόχαστρο πολλές και κυρίως μικρές τουριστικές επιχειρήσεις, που ενδεχομένως δεν θα είναι τόσο προετοιμασμένες. «Δεν έχουμε ακόμα ενδείξεις πως κάτι τέτοιο συμβαίνει, αλλά σίγουρα είναι κάτι που μας ανησυχεί», σημειώνει από την πλευρά του ο κ. Ζορκάδης της Αρχής Προστασίας Προσωπικών Δεδομένων.
Διαρκής απειλή οι κυβερνοεπιθέσεις
Ολοι όσοι μίλησαν στην «Κ» για τoν GDRP συμφωνούν πως μέχρι τώρα η κατάσταση ήταν ανεξέλεγκτη, με τα προσωπικά δεδομένα να γίνονται καθημερινά αντικείμενο εκμετάλλευσης. Και πράγματι, δημιουργώντας έναν ψεύτικο λογαριασμό e-mail επικοινωνήσαμε πριν από λίγες ημέρες με κάποιον που διαφήμιζε πως είχε «ελληνικές λίστες με προσωπικά δεδομένα». Μέσα σε λίγες ώρες, κάποιος κύριος Ιβάν μας έστειλε δείγματα από έξι λίστες που θα μπορούσαμε να αγοράσουμε για να διαφημίσουμε την υποτιθέμενη επιχείρησή μας –κάποιες ήταν επαγγελματιών που ενδεχομένως είχαν τα στοιχεία τους διαθέσιμα στο Ιντερνετ– άλλες όμως, όπως π.χ. αυτή με 150.000 e-mails (προς πώληση για 120 ευρώ) αφορούσε προσωπικές διευθύνσεις. Αυτό ανέκαθεν ήταν παράνομο, αλλά πλέον βάσει του κανονισμού (που σύντομα θα γίνει και εθνικός νόμος) θα έχει πολύ σοβαρές κυρώσεις.
Συνεχής εκπαίδευση
Η Αρχή με ειδικούς ελέγχους θα μπορεί να εντοπίζει από πού προέρχονται τα δεδομένα. «Τέτοια στοιχεία μπορεί να διαρρεύσουν από κάποιον μέσα από μια εταιρεία ή από μια κυβερνοεπίθεση» προειδοποιούν. Στον έλεγχο θα πρέπει η εταιρεία να αποδείξει πως είχε κάνει ό,τι προβλέπεται από τον κανονισμό.
Ο κ. Σφακιανάκης θεωρεί πως ίσως το σημαντικότερο κομμάτι είναι η συνεχής εκπαίδευση των εργαζομένων. «Οποιος έρχεται σε επαφή με προσωπικά δεδομένα, πρέπει να ξέρει τι είναι το GDPR, αλλά και πώς να προστατεύεται από κυβερνοεπιθέσεις», σημειώνει. Οταν πρόσφατα ο ίδιος θέλησε να αποδείξει σε έναν πελάτη του πόσο σημαντικό είναι αυτό, έκανε το εξής: Ενας συνεργάτης του έκλεισε ραντεβού στην εταιρεία του πελάτη και πριν μπει ζήτησε από τη γραμματέα να του τυπώσει το βιογραφικό του από ένα δικό του στικάκι. Εκείνη το έκανε και με αυτόν τον τρόπο, αυτόματα ο Σφακιανάκης «εισχώρησε» από τον δικό του υπολογιστή στο δίκτυο της εταιρείας. «Η επιχείρηση αυτή είχε πληρώσει ένα σωρό χρήματα για να συμμορφωθεί στον GDPR, αλλά δεν είχε καταφέρει να περάσει στη νοοτροπία των εργαζομένων το τι πρέπει να προσέχουν. Μια διαρροή πιστωτικών καρτών ή άλλων προσωπικών δεδομένων είναι εύκολη και στοιχίζει πλέον πάρα πολύ ακριβά», εξηγεί.
Αυτό έχει καταλάβει ο κ. Μιχόπουλος από το Ναύπλιο και θέλοντας να είναι όσο πιο συνεπής γίνεται με τον νέο κανονισμό μίλησε την περασμένη εβδομάδα με έναν προγραμματιστή. Εκείνος τον προειδοποίησε πως ως έχει, είναι εκτεθειμένος και πως όλα τα ηλεκτρονικά συστήματα που χρησιμοποιεί θα έπρεπε να αναβαθμιστούν. Ο λογαριασμός όμως ξεπερνούσε τις 10.000 ευρώ. «Τέτοια ποσά με διαλύουν» εξηγεί στην «Κ», «φοβάμαι πως ο νέος κανονισμός τελικά δεν θα ακουμπάει εκείνους που έχουν στρατιές δικηγόρων και χρήματα αλλά πως στο τέλος θα την πληρώσουμε εμείς οι μικροί», καταλήγει.