Το 2018 είναι ένα μεγάλο έτος για την προστασία των δεδομένων. Ο γενικός κανονισμός για την προστασία των δεδομένων (GDPR) αποτελεί σημαντική νομοθετική πράξη που αποσκοπεί στην ενίσχυση και ενοποίηση των νομοθεσιών περί προστασίας δεδομένων για όλα τα άτομα εντός της Ευρωπαϊκής Ένωσης (ΕΕ), αλλά οι επιχειρήσεις που λειτουργούν εκτός ΕΕ πρέπει να γνωρίζουν τον παρόντα κανονισμό. οι επερχόμενες αλλαγές στη νομοθεσία αποτελούν ευκαιρία για βελτίωση της αποτελεσματικότητας των διαδικασιών που αφορούν τη διαχείριση των δεδομένων.
Τι είναι ο GDPR;
Ο γενικός κανονισμός για την προστασία των δεδομένων (GDPR) είναι ένας νέος κανονισμός της ΕΕ που αποσκοπεί στην προστασία των προσωπικών δεδομένων των πολιτών της ΕΕ. Λόγω του ευρέος ορισμού των «προσωπικών δεδομένων», ο GDRP έχει επιπτώσεις σχεδόν σε κάθε εταιρεία της ΕΕ, καθώς και εταιρείες εκτός ΕΕ που ανταλλάσσουν δεδομένα μεταξύ τους. Ο κανονισμός τέθηκε σε ισχύ τον Μάιο του 2018, αλλά οι περίπλοκες απαιτήσεις σημαίνουν ότι οι επιχειρήσεις πρέπει να αρχίσουν να σχεδιάζουν και να αναλαμβάνουν δράση τώρα.
Τα «προσωπικά δεδομένα» ορίζονται από το GDPR ως οποιοδήποτε αρχείο δεδομένων που θα μπορούσε ενδεχομένως να αναγνωρίσει ένα άτομο. Δεν πρέπει να αποτελεί έκπληξη το γεγονός ότι τα δεδομένα αυτά περιλαμβάνουν ονόματα, αριθμούς τηλεφώνου και διευθύνσεις. Ωστόσο, περιλαμβάνει επίσης μια ολόκληρη σειρά άλλων θεμάτων, συμπεριλαμβανομένων των τοποθεσιών GPS, συνήθειες συμπεριφοράς, τατουάζ και πολλά άλλα.
Ίσως έχετε ήδη καταλάβει ότι κάτω από αυτόν τον ορισμό των αρχείων δεδομένων, ουσιαστικά όλες οι επιχειρήσεις και τα άτομα θα επηρεαστούν. Ο κανονισμός επιβάλλει υποχρεώσεις στις επιχειρήσεις και ορίζει τα δικαιώματα των πολιτών της ΕΕ να έχουν πρόσβαση σε πληροφορίες σχετικά με αποθηκευμένα και επεξεργασμένα τα προσωπικά τους δεδομένα.
Υπάρχουν πολλά άρθρα στο διαδίκτυο σχετικά με το GDPR, αλλά συχνά είναι υπερβολικά περίπλοκα ή βασίζονται στις συχνές ερωτήσεις από την επίσημη ιστοσελίδα του GDPR. Ωστόσο, οι προθέσεις της GDPR είναι:
- Δικαίωμα στην λήθη
- Ευκολότερη πρόσβαση στα δεδομένα ενός ατόμου
- Δικαίωμα στη φορητότητα δεδομένων
- Δικαίωμα να γνωρίζετε πότε έχουν χακάρει τα δεδομένα κάποιου ατόμου
- Ασφάλεια από το σχεδιασμό και από προεπιλογή
- Αυστηρότερη εφαρμογή των κανόνων
Ο κατάλογος δεν αποτελεί πλήρη αναπαράσταση των απαιτήσεων και των δικαιωμάτων του χρήστη που ορίζονται από το GDPR. Οι διατυπώσεις και οι φράσεις μπορούν να ερμηνευτούν μόνο από λίγους ειδικούς.
Πώς θα αντιμετωπίσουμε τις απαιτήσεις του GDPR;
Σε αντίθεση με τις οδηγίες της ΕΕ, όλοι οι κανονισμοί της ΕΕ πρέπει να υιοθετηθούν και να τηρηθούν αυστηρά. Πρόθεση της ΕΕ – και ένας από τους λόγους για τους οποίους υπάρχει η GDPR – είναι να ενοποιήσει την προστασία των προσωπικών δεδομένων μέσω ενός κεντρικού κανονισμού σε ολόκληρη την ΕΕ. Μετά την οριστικοποίηση του κανονισμού, οι εταιρείες μπορούν τώρα να ξεκινήσουν αμέσως τον προγραμματισμό του τρόπου με τον οποίο θα διασφαλίσουν ότι συμμορφώνονται με τις απαιτήσεις.
Υπεύθυνος προστασίας δεδομένων (Data Protection Officer)
Για να διευκολυνθούν οι αλλαγές που εισάγονται, το GDPR θα σημαίνει ότι οι επιχειρήσεις και τα άτομα πρέπει να δημιουργήσουν μια θέση Λειτουργού Προστασίας Δεδομένων. Αυτό το άτομο θα βοηθήσει τους υπεύθυνους επεξεργασίας δεδομένων να εκπληρώνουν, να ελέγχουν και να επικοινωνούν με τις εθνικές αρχές.
Ο υπεύθυνος προστασίας δεδομένων θα πρέπει να έχει πλήρη προσόντα και να διαθέτει επαρκείς γνώσεις στον τομέα της προστασίας δεδομένων. Θα αποτελέσουν ουσιαστικό σύνδεσμο μεταξύ των αρχών και του επεξεργαστή. Θα ενεργεί επίσης ως επιβλέπων για να ελέγχει αν η εταιρεία έχει εκπληρώσει επαρκώς όλες τις κανονιστικές απαιτήσεις και να αναφέρει τυχόν συμβάντα ασφαλείας.
Οι μικρές οργανώσεις ενδέχεται να δυσκολεύονται οικονομικά να δημιουργήσουν τη θέση του υπεύθυνου προστασίας δεδομένων. Ευτυχώς, η εξωτερική ανάθεση της θέσης, όπως επιτρέπεται από το GDPR, μπορεί εν μέρει να λύσει αυτό το πρόβλημα.
Ανάλυση κενού (Gap analysis)
Σε γενικές γραμμές, η αντιμετώπιση των απαιτήσεων του GDPR απαιτεί ανάλυση των τρεχουσών καταστάσεων και αξιολόγηση των περιοχών όπου οι απαιτήσεις αυτές δεν έχουν ακόμη εκπληρωθεί. Η ανάλυση κινδύνων θα είναι απαραίτητη για τον εντοπισμό τρωτών σημείων που απαιτούν προστατευτικά μέτρα από κινητές εφαρμογές.
Δημιουργία νέων διαδικασιών και τροποποιήσεων υφιστάμενων εφαρμογών
Το επόμενο βήμα θα είναι η καθιέρωση νέων διαδικασιών και η τροποποίηση των αιτήσεων για τη διασφάλιση της μέγιστης ασφάλειας των δεδομένων κατά τις διαδικασίες απόκτησης, μεταφοράς, αποθήκευσης και χειρισμού. Θα είναι επίσης αναγκαία η ενσωμάτωση κατάλληλου λογισμικού ή υλικού για τη στήριξη της εποπτείας και του ελέγχου της ασφάλειας για πράξεις που αφορούν δεδομένα των πολιτών της ΕΕ.
Η ρύθμιση GDPR έχει ήδη οριστικοποιηθεί και εγκριθεί και δεν υπάρχει αμφιβολία για την αναστάτωση που θα προκαλέσει στις διαδικασίες και τις δραστηριότητες των εταιρειών στην Ευρώπη.
