Λιγότερο από ένας μήνας μας χωρίζει από την πλήρη εφαρμογή του Νέου Γενικού Κανονισμού για την Προστασία των Δεδομένων, του περίφημου GDPR (General Data Protection Regulation). Όλες οι επιχειρήσεις και οι οργανισμοί, δημόσιοι και ιδιωτικοί, οφείλουν να λάβουν μέριμνα και να συμμορφωθούν με τις απαιτήσεις του.
Νάντια Λιάπη
Director, Governance, Risk & Compliance Services, Space Hellas
Η Ευρωπαϊκή Ένωση, 20 χρόνια μετά την Οδηγία 95/46/ΕΚ για τα Προσωπικά Δεδομένα και λαμβάνοντας υπόψη τον τρόπο που αυτή ερμηνεύτηκε και υλοποιήθηκε από τις χώρες – μέλη, προχώρησε στη δημιουργία ενός νέου Κανονισμού με διπλό στόχο: να προάγει την ελεύθερη διακίνηση των δεδομένων εντός της Ένωσης ώστε να ενισχύσει με τον τρόπο αυτό την ψηφιακή οικονομία και ταυτόχρονα, να προστατεύσει τα φυσικά πρόσωπα από την κακή χρήση των προσωπικών τους δεδομένων.
Με δεδομένο το μεγάλο πλήθος παραβιάσεων δεδομένων (data breaches) τα τελευταία χρόνια, και μάλιστα με αλματώδη αύξηση κάθε χρόνο, είναι σαφές ότι τα προσωπικά δεδομένα κινδυνεύουν να χαθούν ή να κλαπούν περισσότερο από ποτέ. Με δεδομένο ότι, σημαντικός παράγοντας για να παραχωρήσουν οι άνθρωποι τα προσωπικά τους δεδομένα είναι η εμπιστοσύνη που έχουν ότι αυτά θα είναι προστατευμένα, τα στοιχεία για τις παραβιάσεις είναι ιδιαίτερα ανησυχητικά.
Ταυτόχρονα, η κοινωνική δικτύωση, οι σελίδες ηλεκτρονικού εμπορίου, οι κάρτες μέλους και γενικότερα ο τρόπος που ζούμε και δραστηριοποιούμαστε προσωπικά και επαγγελματικά, μας οδηγεί να παρέχουμε όλο και πιο συχνά, περισσότερα προσωπικά δεδομένα.
Για την αντιμετώπιση αυτής της αυξανόμενης πρόκλησης, η Ευρωπαϊκή Ένωση δημιούργησε τον Γενικό Κανονισμό Προστασίας Δεδομένων, ώστε να εξασφαλίσει ένα ορθό, κοινό για τις χώρες της ΕΕ, πλαίσιο προστασίας. Ο Κανονισμός ψηφίστηκε τον Απρίλιο του 2016, ενώ δόθηκαν δύο χρόνια στους οργανισμούς και τις επιχειρήσεις για να προσαρμοστούν, καθώς οι απαιτήσεις του Κανονισμού επηρεάζουν σημαντικά τον τρόπο λειτουργίας τους. Έτσι, στις 25 Μαΐου του 2018, οι επιχειρήσεις και οι οργανισμοί θα πρέπει να είναι σε θέση να αποδείξουν, ότι έχουν προσαρμοστεί στις νέες απαιτήσεις. Αυτή είναι και η πρώτη, σημαντικότατη, απαίτηση του Κανονισμού:
Η αρχή της Λογοδοσίας (Accountability Principle). Διατρέχει όλο τον Κανονισμό και αποτελεί τη μεγαλύτερη πρόκληση για τις επιχειρήσεις και τους οργανισμούς, καθώς τους μεταφέρει την ευθύνη για την εύρεση των κατάλληλων οργανωτικών και τεχνικών μέτρων, που ικανοποιούν τις απαιτήσεις του. Ταυτόχρονα, λαμβάνονται υπόψη η φύση, το πεδίο εφαρμογής, το πλαίσιο και οι σκοπούς της επεξεργασίας που εκτελούνται, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας, για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
Η Space Hellas με πολυετή εμπειρία στην Ασφάλεια Πληροφοριών και Πληροφοριακών Συστημάτων είναι σε θέση να υλοποιήσει ένα Πρόγραμμα Προστασίας Προσωπικών Δεδομένων που θα δημιουργεί στον οργανισμό την απαραίτητη κουλτούρα και θα καλύπτει όλες τις απαιτήσεις του Κανονισμού. Ταυτόχρονα, είμαστε σε θέση να συμβουλεύσουμε τους πελάτες μας για τα οργανωτικά και τεχνικά μέτρα, τα οποία είναι απαραίτητα και ταιριάζουν στις ανάγκες τους. Παρακάτω παρουσιάζω κάποια σημαντικά βήματα στην υλοποίηση του προγράμματος, τα οποία η εμπειρία μας στην υλοποίηση έργων συμμόρφωσης προς τον GDPR, ανέδειξε ως απαραίτητα:
- Καταρχήν, ενημέρωση και ευαισθητοποίηση των βασικών στελεχών του οργανισμού για τον Κανονισμό και τη δημιουργία κατάλληλης ομάδας, τόσο από την πλευρά της εταιρείας μας, όσο και από την πλευρά του οργανισμού. Συμβουλεύουμε τον οργανισμό για την αναγκαιότητα ή μη, ορισμού Υπεύθυνου Προστασίας Δεδομένων για τις ικανότητες, δεξιότητες, γνώσεις και εμπειρία που πρέπει να κατέχει. Κερδίζουμε την αφοσίωση της Ανώτατης Διοίκησης, τόσο στη συμμόρφωση προς τον Κανονισμό, όσο και στην υποστήριξη του Προγράμματος Προστασίας Προσωπικών Δεδομένων.
- Χαρτογραφούμε συνολικά το Κανονιστικό, Ρυθμιστικό και Νομοθετικό Πλαίσιο που αφορά τον οργανισμό, ώστε να το λαμβάνουμε υπόψη μας καθ’ όλη τη διάρκεια κατάρτισης του Προγράμματος Προστασίας Δεδομένων.
- Εντοπίζουμε όλα τα προσωπικά δεδομένα είτε είναι δομημένα και βρίσκονται στα πληροφοριακά του συστήματα, είτε όχι (αδόμητα δεδομένα), χρησιμοποιώντας αυτοματοποιημένα εργαλεία, ερωτηματολόγια και συνεντεύξεις. Χαρτογραφούμε όλα τα στοιχεία που σχετίζονται με αυτά (πώς συλλέχτηκαν, τι νομιμοποιεί τη συλλογή τους, που αποθηκεύονται και για πόσο, ποιος έχει πρόσβαση σε αυτά, πώς και που μεταφέρονται κ.λπ.). Εντοπίζουμε το χώρο όπου τα προσωπικά δεδομένα αποθηκεύονται, εξετάζουμε τη χρήση Cloud υπηρεσιών, καθώς και την πιθανότητα μεταφοράς των δεδομένων εκτός Ε.Ε.
- Εφ’ όσον υπάρχουν επεξεργασίες υψηλού κινδύνου στον οργανισμό, διενεργούμε Data Protection Impact Assessment (DPIA) για κάθε μία από αυτές, καθώς και τα απαραίτητα αρχεία επεξεργασίας. Η DPIA θα τροφοδοτήσει στη συνέχεια τόσο την Αξιολόγηση Κινδύνου -ας μη ξεχνάμε ότι ο Κανονισμός προάγει τη χρήση μεθοδολογιών Διαχείρισης Κινδύνου- όσο και το τελικό Πλάνο Συμμόρφωσης.
- Ο GDPR απαιτεί εξ’ ορισμού την ασφάλεια των προσωπικών δεδομένων και από το επίπεδο του σχεδιασμού για κάθε νέα επεξεργασία (Security by default and by design). Για να το επιτύχουμε αυτό ορίζουμε κατάλληλες διαδικασίες και επεμβαίνουμε, όπου και όταν χρειάζεται, στον τρόπο λειτουργίας του οργανισμού.
- Διενεργούμε IT Security Audit, με βάση την εμπειρία μας, καθώς έχουμε στο ενεργητικό μας πολλά αντίστοιχα έργα στους μεγαλύτερους οργανισμούς στην Ελλάδα, αλλά και κατάλληλα εργαλεία. Αυτή η διαδικασία θα προσφέρει στον οργανισμό μια τεκμηριωμένη χαρτογράφηση όλης της πληροφοριακής υποδομής του και την αντίστοιχη αξιολόγηση ασφαλείας της, από την οπτική της διαθεσιμότητας, της ακεραιότητας και της εμπιστευτικότητας των πληροφοριών.
- Αναθεωρούμε και συμπληρώνουμε τις Πολιτικές και τις Διαδικασίες Ασφάλειας Πληροφοριών, ώστε να συμπεριλάβουν τα προσωπικά δεδομένα και τη δική τους προστασία. Στις Πολιτικές αυτές συμπεριλαμβάνονται η βασική Πολιτική Προστασίας Προσωπικών Δεδομένων, η Πολιτική αντιμετώπισης περιστατικών ασφάλειας (Incident Response Plan), η Πολιτική ενημέρωσης της Αρχής και των φυσικών προσώπων σε περίπτωση παραβίασης και πολλές άλλες.
- Εκπαιδεύουμε, ενημερώνουμε και ευαισθητοποιούμε το σύνολο του προσωπικού που έχει επαφή με τα προσωπικά δεδομένα. Όταν έχει ολοκληρωθεί ο βασικός κορμός του Προγράμματος Προστασίας Δεδομένων, διενεργούμε εσωτερική επιθεώρηση, η οποία συμπεριλαμβάνει όλους τους εργαζόμενους που έχουν σχέση με τα προσωπικά δεδομένα, ώστε να ελέγξουμε το πραγματικό επίπεδο ενημέρωσης και ευαισθητοποίησης του οργανισμού και να λάβουμε συμπληρωματικά μέτρα, εφ’ όσον απαιτείται.
- Συμβουλεύουμε τον οργανισμό πώς να υλοποιήσει τα δικαιώματα των φυσικών προσώπων, στα πληροφοριακά του συστήματα. Για παράδειγμα, πώς να διαγράψει τα προσωπικά δεδομένα κάποιου φυσικού προσώπου που το αιτήθηκε και ποια από αυτά μπορεί ή δεν μπορεί να διαγράψει, βάσει άλλων νομοθεσιών ή κανονιστικών υποχρεώσεων.
- Η ανταλλαγή προσωπικών δεδομένων φυσικών προσώπων που έχει μια εταιρεία στην κατοχή της με προμηθευτές, συνεργάτες και υπεργολάβους πρέπει να αναθεωρηθεί εκ βάθρων ώστε να οριστούν και να συμφωνηθούν ο τρόπος και το είδος της επεξεργασίας που κάνει ο υπεύθυνος της επεξεργασίας και οι εκτελούντες αυτήν.
- Φροντίζουμε το Πρόγραμμα να καλύπτει όλες τις απαιτήσεις του Κανονισμού για τεχνικά και οργανωτικά μέτρα. Θέτουμε μετρήσιμους στόχους για την αξιολόγηση του Προγράμματος, ελέγχουμε τα επιμέρους στοιχεία του και φροντίζουμε για τη διαρκή βελτίωσή του.
Στο τέλος ενός τέτοιου προγράμματος, μέρος του οποίου αποτελούν όλα τα παραπάνω, ο οργανισμός θα έχει προστατεύσει αποτελεσματικά τις πληροφορίες και τα προσωπικά δεδομένα που έχει στην κατοχή του, θα έχει συμμορφωθεί με τις απαιτήσεις του νέου Κανονισμού και θα είναι έτοιμος να ανταπεξέλθει σε οποιαδήποτε αντίστοιχη πρόκληση εμφανιστεί στο μέλλον.
Η Space Hellas παρέχει επίσης και υπηρεσίες εξωτερικού προς τον οργανισμό Υπευθύνου Προστασίας Δεδομένων, αναγνωρίζοντας την αδυναμία σε κάποιες περιπτώσεις των πελατών της να αναθέσουν εσωτερικά αυτό το ρόλο, είτε για λόγους σύγκρουσης συμφερόντων, είτε ελλείψει αντίστοιχων προσόντων ή διαθεσιμότητας.
Παρότι θεωρούμε ότι όλοι οι οργανισμοί έχουν πραγματικό όφελος από τη συμμόρφωση με τον Κανονισμό, δεν πρέπει να ξεχνάμε και τα πρόστιμα που μπορεί να επιβληθούν σε περίπτωση παραβίασης και τα οποία μπορεί να φτάσουν και στο 4% του παγκόσμιου ετήσιου κύκλου εργασιών μιας επιχείρησης ή στα 20.000.000€, όποιο από τα δύο είναι μεγαλύτερο.
Στην πράξη η Space Hellas, βοηθάει τους πελάτες τους να «μεταφράσουν» τον Κανονισμό και τις απαιτήσεις του στη δική τους πραγματικότητα. Τους συμβουλεύει πώς να συμμορφωθούν με αυτόν, ώστε να εξασφαλίσουν ένα ακόμη ανταγωνιστικό πλεονέκτημα που θα ισχυροποιήσει την παρουσία τους στο χώρο όπου δραστηριοποιούνται και ταυτόχρονα, θα ικανοποιήσουν το κοινό αίσθημα για την προστασία των προσωπικών δεδομένων και της ιδιωτικότητας. Έτσι, θα αποφύγουν τα υψηλά πρόστιμα και τις επιπτώσεις στη φήμη τους που συνεπάγεται η μη συμμόρφωση με τον Κανονισμό.