Από την 25η Μαΐου 2018 τίθεται σε ισχύ ο Γενικός Κανονισμός για την Προστασία Δεδομένων, γνωστός ως GDPR (General Data Protection Regulation).
Εξαιτίας του κανονισμού GDPR, οι επιχειρήσεις έχουν ήδη αρχίσει να πραγματοποιούν θεμελιώδεις αλλαγές στον τρόπο λειτουργίας τους και στις μεθόδους διαχείρισης κινδύνου που εφαρμόζουν. Σε λιγότερο από έναν χρόνο από σήμερα, οι επιχειρήσεις πρέπει να προσαρμόσουν τις υποδομές τους, για να αποφύγουν τα υψηλά πρόστιμα.
Κάθε εταιρία που χειρίζεται προσωπικά δεδομένα τα οποία αφορούν σε άτομα εντός της Ευρωπαϊκής Ένωσης, θα είναι υποχρεωμένη να συμμορφωθεί πλήρως με το νέο κανονισμό της Ευρωπαικής Ένωσης GDPR, επανεξετάζοντας ή και αναθεωρώντας όλες τις διαδικασίες διαχείρισης των πληροφοριών τους, κάτι που αποτελεί τη μεγαλύτερη αλλαγή στην νομοθεσία περί προστασίας των δεδομένων τα τελευταία σχεδόν 20 χρόνια.
Τα στοιχεία μπορεί να αποκαλύπτουν την ταυτότητα του ατόμου, το φύλο του, την ηλικία του, τον τόπο διαμονής, την οικογενειακή του κατάσταση, την εργασιακή του σχέση αλλά και ακόμη πιο προσωπικές πληροφορίες όπως τις συνήθειές του, και τις προτιμήσεις του.
Η εταιρεία πρέπει να εξετάσει την αλλαγή ή και προσαρμογή των πληροφοριακών της συστημάτων για να συμμορφωθεί με όρους όπως:
- Προσεκτική συγκέντρωση και ασφαλής αποθήκευση προσωπικών δεδομένων.
- Καμία επεξεργασία των προσωπικών δεδομένων χωρίς συγκατάθεση
- Κωδικοποίηση αυτών για αποφυγή αναγνώρισης ταυτότητας (profiling)
- Αποφυγή συσχετισμού βάσεων δεδομένων (linked data)
- Δυνατότητα διαγραφής ή εξαγωγής και παράδοσης των δεδομένων κατ’ απαίτηση.
- Εφαρμογής της αρχής «τόσα δεδομένα όσα είναι απαραίτητα»
- Διασφάλιση συμμόρφωσης στον Κανονισμό και από τις συνεργαζόμενες εταιρείες που διαχειρίζονται τα προσωπικά δεδομένα για λογαριασμό της.
Τι είναι ο κανονισμός GDPR και πώς φτάσαμε εδώ;
Ο γενικός κανονισμός για την προστασία δεδομένων (GDPR) εισάγει νέους κανόνες οι οποίοι θα επηρεάσουν εταιρείες σε ολόκληρο τον κόσμο. Θα εφαρμοστεί τόσο σε εταιρείες του Ευρωπαϊκού Οικονομικού Χώρου, όσο και σε άλλες, οι οποίες συναλλάσσονται με αγορές ή πολίτες στο εσωτερικό της Ευρωπαϊκής Ένωσης (ΕΕ). Επιγραμματικά, ο κανονισμός GDPR δίνει στους πολίτες της ΕΕ νέα δικαιώματα σε σχέση με τα προσωπικά τους δεδομένα, όπως, μεταξύ άλλων, το δικαίωμα να αποσύρουν τη συγκατάθεσή τους, καθώς και ευκολότερη πρόσβαση στα δεδομένα που τους ανήκουν. Αναγκάζει τις επιχειρήσεις να αναλάβουν μεγαλύτερη ευθύνη για τα δεδομένα χρηστών τα οποία συλλέγουν και να εξασφαλίσουν ότι κάνουν ό,τι καλύτερο μπορούν για την προστασία των δεδομένων αυτών.Δύο είναι οι λόγοι που οδήγησαν στη δημιουργία αυτού του κανονισμού. Ο πρώτος είναι οι ίδιοι οι πολίτες να έχουν τον έλεγχο των δεδομένων τους. Οι εταιρείες δεν θα μπορούν πλέον να συλλέγουν οποιαδήποτε πληροφορία επιθυμούν, αν δεν συντρέχει σοβαρός λόγος.Δεύτερον, κάθε χώρα έχει χωριστή νομοθεσία για τον έλεγχο των δεδομένων των χρηστών. Τι συμβαίνει όμως όταν μια εταιρεία με έδρα την Ελλάδα έχει πελάτες στην Ιταλία, τη Γερμανία και την Ισπανία; Ποιος νόμος ισχύει σε αυτήν την περίπτωση; Με τον κανονισμό GDPR θα μειωθεί η «σύγχυση» και θα είναι ευκολότερο να διαπιστωθούν οι κανόνες που ισχύουν σε κάθε περίπτωση. Δεν θα υπάρχουν πλέον δικαιολογίες.Για να είμαστε ειλικρινείς, ορισμένες χώρες ήδη διαθέτουν νόμους παρόμοιους με τον κανονισμό GDPR, αλλά με μία σημαντική διαφορά: τα τρομακτικά πρόστιμα! Στην περίπτωση του GDPR, οι ποινές μη συμμόρφωσης είναι πολύ υψηλές, τρομάζοντας ακόμα και τους μεγάλους παίκτες. Τα πρόστιμα μπορούν να φτάσουν στο 4% του ετήσιου κύκλου εργασιών ή στα 20 εκατομμύρια ευρώ (οποιοδήποτε από τα δύο ποσά είναι υψηλότερο).Οι επιχειρήσεις δεν έχουν άλλη επιλογή από τη συμμόρφωση. Τα πρόστιμα και οι πιθανές κυρώσεις είναι ένα ρίσκο που κανείς δεν μπορεί να αγνοήσει. Όσο νωρίτερα αρχίσετε να προετοιμάζεστε, τόσο καλύτερα.
Πώς θα ξεκινήσω τον σχεδιασμό μου προκειμένου να ικανοποιήσω τα κριτήρια;
Η αρχή γίνεται με μια ανάλυση των ελλείψεων. Ερευνήστε τι πρέπει να κάνετε για να ευθυγραμμιστείτε με τους νέους κανόνες, καθώς υπάρχουν πολύ συγκεκριμένες κατευθυντήριες γραμμές. Κάντε σύγκριση με την υφιστάμενη δομή και τις διαδικασίες σας και στη συνέχεια εντοπίστε τις ελλείψεις.Από εκεί και πέρα, μπορείτε να χτίσετε τον οδικό χάρτη σας. Είναι σημαντικό να εξασφαλίσετε ότι η εταιρεία σας έχει επίγνωση των προσδοκιών της από τους εργαζομένους, σε κάθε σημείο της διαδρομής. Όσο πιο πολύ το καθυστερείτε, τόσο πιο πιθανό είναι να καταλήξετε σε μια κατάσταση πανικού. Άρα είναι καλό να αρχίσετε να προετοιμάζεστε από τώρα και αν δεν ξέρετε από πού να ξεκινήσετε, υπάρχουν ειδικοί που μπορούν να σας βοηθήσουν. Ξεκινήστε ρωτώντας τον νομικό σας σύμβουλο.
Μπορώ να επιτύχω συμμόρφωση αν προμηθευτώ ένα συγκεκριμένο είδος εξοπλισμού;
Όχι. Το GDPR πάνω από όλα αφορά τις διαδικασίες ασφαλείας και τη διαχείριση κινδύνου. Η τεχνολογία είναι ένα κομμάτι του, αλλά δεν υπάρχει ένα συγκεκριμένο προϊόν το οποίο μπορεί να λύσει όλα σας τα προβλήματα. Η τεχνολογία δεν θα λειτουργήσει αν δεν συνεργάζονται όλοι οι τομείς.Πολλοί πιστεύουν, ότι η ασφάλεια στον κυβερνοχώρο είναι πρόβλημα τεχνολογίας, στο οποίο απαντάμε με τεχνολογία. Ωστόσο, οι κακοί γίνονται όλο και πιο ευφυείς. Η τεχνολογία από μόνη της δεν μπορεί να τους σταματήσει. Θα αναζητήσουν κάθε αδυναμία η οποία μπορεί να τους ανοίξει τον δρόμο. Επίσης, ο κανονισμός GDPR αναφέρει ότι οι οργανισμοί πρέπει να ορίσουν έναν υπεύθυνο προστασίας δεδομένων (data protection officer) ο οποίος δεν θα είναι το ίδιο άτομο με τον υπεύθυνο κινδύνων (risk officer) και δεν θα ανήκει σε κάποιο από τα ήδη υπάρχοντα τμήματα μηχανοργάνωσης (ΙΤ).Οι υπεύθυνοι προστασίας δεδομένων έχουν ειδική αποστολή, αλλά είναι ιδιαίτερα σημαντικό ο ρόλος τους να είναι εκτός του τμήματος ΙΤ και εκτός διοικητικού συμβουλίου, ώστε να είναι αυτόνομοι να λαμβάνουν αποφάσεις οι οποίες θα προάγουν τη συμμόρφωση.Και πάλι, το θέμα είναι να εξασφαλιστεί ότι οι εταιρείες αναγνωρίζουν το μέγεθος της ευθύνης που φέρουν όταν συλλέγουν και μεταφέρουν δεδομένα άλλων ανθρώπων.
Πώς επηρεάζει ο κανονισμός GDPR το πώς θα αντιμετωπίσω μια παραβίαση δεδομένων;
Σήμερα, σε ορισμένες χώρες της ΕΕ, αν ένας οργανισμός υποστεί παραβίαση δεδομένων δεν είναι υποχρεωμένος να το αποκαλύψει σε κανέναν. Βέβαια, για λόγους ηθικής αλλά και δεοντολογίας, ορισμένες εταιρείες νιώθουν την υποχρέωση να το κάνουν, ειδικά αν η παραβίαση αφορά άμεσα τους πελάτες τους.Όμως τώρα με τον κανονισμό GDPR, αυτό θα είναι αναγκαστικό. Αν δεν αναφέρετε μια παραβίαση εντός 72 ωρών, θα αρχίσουν τα πρόστιμα.
Αν οι οργανισμοί δεν διαθέτουν τις κατάλληλες διαδικασίες ή την κατάλληλη τεχνολογία, δεν θα μπορούν να αξιολογήσουν το μέγεθος της παραβίασης. Όταν λοιπόν θα πρέπει να κάνουν τις σχετικές ανακοινώσεις και να απαντήσουν σε ερωτήσεις του τύπου «Ποια στοιχεία εκλάπησαν;», «Τι θα κάνετε τώρα;» ή «Μπορείτε να με διαβεβαιώσετε ότι δεν θα ξανασυμβεί;», οι απαντήσεις τους δεν θα είναι και τόσο πειστικές.