Ο νέος κανονισμός της ΕΕ για την προστασία προσωπικών δεδομένων, γνωστός ως GDPR, ο οποίος τίθεται σε ισχύ από 25.50218, αφορά όλους τους οργανισμούς και εταιρίες, μεγάλες μεσαίες και Startups και θα αλλάξει τον τρόπο που λειτουργούν οι εταιρίες στο μέλλον.
Πολλές που δεν θα συμμορφωθούν θα είναι εκτεθειμένες σε ρίσκα και κινδύνους, ενώ εκείνες που θα συμμορφωθούν πλήρως, θα έχουν συγκριτικό πλεονέκτημα και θα ανακαλύψουν νέες ευκαιρίες αξιοποίησης των δεδομένων τους. Είναι πρώτη φορά που Ευρωπαϊκός Κανονισμός, έχει παγκόσμια αναφορά, εφαρμοζόμενος τόσο σε ευρωπαϊκές όσο και σε εταιρείες εκτός ΕΕ, που επεξεργάζονται όμως προσωπικά δεδομένα Ευρωπαίων πολιτών.
Του Γιάννη Σαλαβόπουλου, ΜΒΑ, CEO, CAPITALS Circle Group*
Πολλά εταιρικά σκάνδαλα παραβίασης προσωπικών δεδομένων στο πρόσφατο παρελθόν (Facebook, Cambridge Analytica, Vodafone, Lidl κλπ.) με οικονομικό, πολιτικό ή άλλο υπόβαθρο τόσο στην Ελλάδα όσο και σε άλλες ευρωπαϊκές χώρες, καταδεικνύουν τις πιθανές εξαιρετικά αρνητικές επιπτώσεις σε μια εταιρία, στην περίπτωση που δεν τηρεί ορθές πολιτικές προστασίας προσωπικών δεδομένων, οδηγώντας σε κάθε περίπτωση με βάση το νέο Κανονισμό σε έλεγχο, πιθανά υψηλά πρόστιμα και μερικές φορές στον αφανισμό της εταιρείας (Cambridge Analytica κλπ.). Επομένως τόσο η τήρηση πολιτικών και διαδικασιών συνεχώς είναι σημαντική, ενώ ο ρόλος του Data Protection Officer (DPO) θα είναι κρίσιμος για την τήρηση και την εφαρμογή τους.
Ο GDPR προβλέπει αυστηρό πλαίσιο και διαδικασίες ενημέρωσης του υποκειμένου στις περιπτώσεις που τα προσωπικά δεδομένα βρίσκονται σε ρίσκο, ενώ στις περιπτώσεις που τα προσωπικά δεδομένα βρίσκονται σε υψηλό κίνδυνο χρειάζεται επιπλέον συντονισμός με τις αρχές καθώς και ανάλυση ρίσκου, ενώ είναι ακόμη πιο αυστηρός, στις περιπτώσεις παραβίασης των δεδομένων. Σε περίπτωση παραβίασης, οι οργανισμοί και εταιρείες υποχρεούνται να αντιδράσουν και να απαντήσουν μέσα σε 72 ώρες. Σε περίπτωση παραβίασης, τα πρόστιμα που προβλέπει ο Κανονισμός μπορεί να φθάσουν το 2% ή ακόμα και ως το 4% των συνολικών εσόδων του οργανισμού, ανάλογα με την περίπτωση και πόσο σοβαρή είναι η παραβίαση δεδομένων κάθε φορά, ποια μέτρα προστασίας ελήφθησαν προληπτικά κλπ.
Τα προσωπικά δεδομένα είναι πλέον πολύτιμα για διάφορους ενδιαφερόμενους (κράτη, μυστικές υπηρεσίες, ανταγωνιστικές εταιρείες, κακόβουλους χρήστες, αλλά και χάκερς, τρομοκράτες κλπ.) Οι κυβερνοεπιθέσεις με στόχο την κλοπή προσωπικών δεδομένων έχει αυξηθεί τα τελευταία χρόνια για διάφορους λόγους (π.χ. εγκληματικότητα, οικονομικούς, κατασκοπεία, πολιτικούς, εκδίκηση κλπ. ). Με τον GDPR οι οργανισμοί είναι υποχρεωμένοι μεταξύ άλλων, να διαθέτουν και το κατάλληλο τεχνικό επίπεδο ασφάλειας προσωπικών δεδομένων. Οι 5 ακόλουθες φάσεις μπορούν να αποτελέσουν ένα οδηγό συμμόρφωσης με τον GDPR.
- Φάση σχεδιασμού. Χαρτογράφηση Προσωπικών Δεδομένων & Κατηγοριοποίηση Δεδομένων.
- Φάση σχεδιασμού. Gap Analysis – Ανάλυση κενών συμμόρφωσης του οργανισμού και της εταιρείας σε σχέση με τις απαιτήσεις του GDPR.
- Φάση σχεδιασμού. Αξιολόγηση κινδύνου προσωπικών δεδομένων & ανάλυση επιχειρησιακών επιπτώσεων/ρίσκων προσωπικών δεδομένων στην εταιρεία (Data Risk Assessment & Data Business Impact Analysis).
- Φάση υλοποίησης. 4.1 Επικαιροποίηση πολιτικής και διαδικασίας προστασίας προσωπικών δεδομένων με βάση τον GDPR, εσωτερικού εγχειριδίου πολιτικών και διαδικασιών προστασίας προσωπικών δεδομένων με βάση τον GDPR, προσαρμογή των συστημάτων πληροφορικής, επικοινωνία της νέας πολιτικής προστασίας προσωπικών δεδομένων του οργανισμού στους χρήστες και λήψη της συναίνεσης τους πριν την 25.5.2018 για τη νόμιμη συνέχιση της επεξεργασίας δεδομένων τους, ανάπτυξη διαδικασιών και χρήση τεχνολογικών tools για την παρακολούθηση της ροής και της παρακολούθησης των προσωοικών δεδομένων καθώς και πρόληψης κυβερνοεπιθέσεων για την κλοπή προσωπικών δεδομένων. 4.2. ‘Ελεγχος της ασφάλειας των συστημάτων πληροφορικής με τη χρήση των Vulnerabilities Tests των συστημάτων καταρχήν καθώς και των Penetration Tests στη συνέχεια. Ο συνδυασμός των δύο για κρίσιμες τεχνολογικές υποδομές πληροφορικής του οργανισμού παρέχει ένα πρώτο επαρκές επίπεδο ασφαλείας. Αύξηση της ευαισθητοποίησης και της μεταφοράς γνώσης σχετικά με το θέμα μέσα στον οργανισμό.
- Ανασκόπηση & Παρακολούθηση. Review & Control ως προς τις πολιτικές, διαδικασίες και συστήματα στο τέλος του έργου καθώς και review τουλάχιστον μια φορά ανά έτος
Όλες οι ανωτέρω φάσεις έργου είναι απαραίτητες για την ορθή και πλήρη συμμόρφωση με τον GDPR και μάλιστα με την ως άνω σειρά. Η παράλειψη μιας φάσης ή αλλαγή της σειράς των φάσεων, μπορεί να προκαλέσει επιπλοκές και να θέσει σε κίνδυνο την ομαλή εφαρμογή της συμμόρφωσης με τον GDPR, η οποία δεν τελειώνει στις 25.5.2018, αλλά συνεχίζεται και μετά από την ημερομηνία. Οπότε ειδικά οι πολιτικές, διαδικασίες και μηχανισμοί Data Monitoring & Data Incident Management, στους οποίους πολλές εταιρείες και οργανισμοί, δεν έχουν δώσει τη δέουσα προσοχή στην παρούσα φάση, είναι εξαιρετικά σημαντικοί και μπορούν να αποτρέψουν ή να προλάβουν περιπτώσεις παραβίασης, κλοπής κλπ. προσωπικών δεδομένων. Πέραν των ανωτέρω διαδικασιών παρακολούθησης και πρόληψης, οι εταιρείες, οι οποίες έχουν τηρήσει τη διαδικασία συμμόρφωσης με τον GDPR, έχουν πλέον τη δυνατότητα να ασφαλιστούν για συγκεκριμένους κινδύνους από GDPR (π.χ. αντιδικίες, πρόστιμα, παραβιάσεις και σχετικές αποζημιώσεις κλπ.), καθότι κάποιες εκ των μεγάλών ασφαλιστικών εταιρειών διαθέτουν πλέον στην αγορά, τα λεγόμενα GDPR Cyber Insurance Products.
O GDPR δεν αφορά μόνο τις μεγάλες εταιρείες, όπως πολλοί πιστεύουν αλλά αφορά τόσο τις μεσαίες, όσο και τις μικρές αλλά ακόμα και τις Startups, είναι σαφές δε, ότι οι τεχνολογικές εταιρείες και ακόμα περισσότερο τις εταιρείες B2C με μεγάλη βάση προσωπικών δεδομένων. Οι εταιρείες που θα συμμορφωθούν ορθά και πλήρως με τον GDPR, θα έχουν ανταγωνιστικό ένα μεγάλο ανταγωνιστικό πλεονέκτημα, αντιλαμβανόμενες ορθά την ποιότητα των δεδομένων που τηρούν, έχοντας τη δυνατότητα να αναπτύξουν δραστηριότητα σε νέα πεδία, αξιοποιώντας την έξυπνη διαχείριση των δεδομένων τους.
* (capitalscirclegroup.com, GRC, GDPR/Data, Regulatory/Public Affairs), Νομικού & Καθηγητή, SRH Berlin Int. Management University, (Email: [email protected])
H CCG σε συνεργασία με την εταιρίες ασφαλιστικών συμβούλων Cromar & Polaris, διοργανώνει δωρεάν εξειδικευμένο σεμινάριο συμμόρφωσης με τον GDPR, διαχείρισης και ασφάλισης κινδύνων από τον GDPR στις 23.5.2018, 17.00-21.00 (Αθήνα, Γραφεία Ασφαλιστικών Συμβούλων Polaris). Δωρεάν Δήλωση Συμμετοχής: https://www.eventbrite.co.uk/e/gdpr-compliance-incident-management-data-cyber-insurance-workshop-registration-45825607626).
Το Crisis Monitor είναι χορηγός επικοινωνίας της εκδήλωσης.