Όπως είναι ήδη γνωστό, την 25η Μαΐου 2018, τίθεται σε εφαρμογή ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (General Data Protection Regulation). Από αυτή την ημερομηνία και μετά, το σύνολο των οργανισμών και εταιρειών που διαχειρίζονται με οποιοδήποτε τρόπο προσωπικά δεδομένα ευρωπαίων πολιτών, θα πρέπει να έχει συμμορφωθεί με τις επιταγές του. Στο κείμενο που ακολουθεί θα δούμε περιληπτικά τι σημαίνει αυτό στην πράξη και πώς ο εν λόγω κανονισμός επηρεάζει την καθημερινότητα του κάθε επαγγελματία.
Του Παναγιώτη Κικίλια
Υποψήφιου Διδάκτωρ Εγκληματολογίας
Τι είναι στην ουσία o GDPR
Ο GDPR είναι ένας ευρωπαϊκός κανονισμός τον οποίο υποχρεούνται να εφαρμόσουν όλες οι χώρες της Ευρωπαϊκής Ένωσης και αφορά την προστασία των προσωπικών δεδομένων του κάθε ευρωπαίου πολίτη. Θα πρέπει να επισημανθεί εδώ ότι ο GDPR δεν είναι κάτι καινούριο. Νομοθεσίες προστασίας προσωπικών δεδομένων εφαρμόζονται στις χώρες της Ε.Ε. για πάνω από 25 έτη. Ο GDPR απλά έρχεται ως επικαιροποίηση των νομοθεσιών αυτών και προσδοκά στην ομογενοποίησή τους, δηλαδή την ισχύ ενός κοινού νομοθετικού πλαισίου για τα προσωπικά δεδομένα σε όλες τις χώρες της Ε.Ε.
Είναι ένας γενικός κανονισμός και αυτό συνεπάγεται ότι δεν υπάρχουν συγκεκριμένοι κανόνες τους οποίους οι επιχειρήσεις υποχρεούνται να ακολουθήσουν, δυσχεραίνοντας έτσι αρκετά την εφαρμογή του. Υπάρχουν επίσης και θολά σημεία, τα οποία πιθανότατα θα ξεκαθαριστούν μετά από έρευνα πολλών υποθέσεων απώλειας δεδομένων προσωπικού χαρακτήρα. Δεν είναι ξεκάθαρο για παράδειγμα εάν ο κανονισμός θεωρεί ως απώλεια προσωπικών δεδομένων την περίπτωση όπου ένα μη εξουσιοδοτημένο άτομο ναι μεν υποκλέπτει κάποιο αρχείο στο οποίο περιέχονται προσωπικά δεδομένα (άρα τα έχει στην κατοχή του), αλλά δεν μπορεί να έχει πρόσβαση σε αυτά επειδή το αρχείο είναι κρυπτογραφημένο. Να σημειωθεί εδώ ότι σε άλλα πρωτόκολλα που σχετίζονται με την προστασία προσωπικών δεδομένων όπως για παράδειγμα το PCI–DSS (Payment Card Industry Data Security Standard) που αφορά οργανισμούς οι οποίοι διαχειρίζονται δεδομένα πιστωτικών/χρεωστικών καρτών, υπάρχουν πιο σαφείς κανόνες και έτσι η εφαρμογή τους είναι αρκετά πιο εύκολη.
Ποιους αφορά
Έχει καλλιεργηθεί λανθασμένα η αντίληψη ότι ο GDPR αφορά μόνο μεγάλες επιχειρήσεις και οργανισμούς που διαχειρίζονται μαζικά προσωπικά δεδομένα ή εμπλέκονται στην επεξεργασία αυτών (π.χ. εταιρείες που προβαίνουν σε big–data analytics). Όμως, δεν αφορά μόνο μόνο αυτούς, αλλά κάθε επαγγελματία που επεξεργάζεται και αποθηκεύει προσωπικά δεδομένα ευρωπαίου πολίτη. Με άλλα λόγια, ο GDPR αφορά την delivery πιτσαρία της γειτονιάς η οποία διατηρεί σε αρχείο το πελατολόγιο της, το λογιστικό γραφείο που χρησιμοποιεί τους κωδικούς taxisnet των πελατών του, την εταιρεία security που αρχειοθετεί και επεξεργάζεται τα προσωπικά δεδομένα των πελατών της, τον δικηγόρο που αρχειοθετεί τις υποθέσεις του και φυσικά τις τράπεζες ή τις εταιρείες τηλεπικοινωνιών οι οποίες διαχειρίζονται και επεξεργάζονται προσωπικά δεδομένα σε μαζικό αριθμό. Ουσιαστικά λοιπόν o GDPR αφορά σχεδόν όλους του επαγγελματίες.
Οι κυρώσεις και η ευκαιρία αναβάθμισης
Κρίνεται σκόπιμο να αναφερθεί εδώ ότι οι κυρώσεις που προβλέπει ο κανονισμός, παρόλο που επιβάλλονται αναλογικά, είναι αναμενόμενο ότι θα επηρεάσουν περισσότερο μία μέση επιχείρηση παρά έναν μεγάλο οργανισμό. Για παράδειγμα, ένα υψηλό πρόστιμο που θα επιβληθεί σε έναν όμιλο εταιρειών με ετήσιο κύκλο εργασιών πολλών δις ευρώ, θα επηρεάσει μεν την εύρυθμη λειτουργία του, αλλά πιθανότατα δεν θα προκαλέσει πολλές απώλειες. Αντίθετα, ένα αναλογικά υψηλό πρόστιμο σε μία μέση επιχείρηση, όχι απλά θα προκαλέσει απώλειες, αλλά πιθανότατα θα σημάνει και την παύση των δραστηριοτήτων της. Συνεπώς, ακόμα και οι μικρές ή μεσαίες επιχειρήσεις θα πρέπει να θορυβηθούν και να ενεργοποιηθούν αναφορικά με την εφαρμογή του κανονισμού, όχι όμως μόνο για να μην τους επιβληθούν κυρώσεις, αλλά και γιατί η εφαρμογή του συνιστά από μόνη της μία σοβαρή αναβάθμιση του επιπέδου των υπηρεσιών ή προϊόντων που προσφέρουν. Ένας πελάτης ο οποίος γνωρίζει ότι η εταιρεία στην οποία απευθύνεται θα διαχειριστεί τα προσωπικά του δεδομένα με σεβασμό και θα φροντίσει να παραμείνουν ασφαλή, αναπτύσσει μία σχέση εμπιστοσύνης μαζί της, η οποία μεταφράζεται σε πάρα πολλά οφέλη και για τους δύο. Καλό είναι λοιπόν οι επαγγελματίες να μην δουν τον GDPR ως άλλη μία τροχοπέδη, αλλά ως μία ευκαιρία αναβάθμισης των υπηρεσιών που προσφέρουν.
Ξεκινώντας την εφαρμογή του κανονισμού
Όπως έχει ήδη ειπωθεί, ο GDPR συνιστά έναν γενικό κανονισμό και γι αυτό το λόγο η εφαρμογή του καλό θα ήταν να ανατεθεί σε ειδικούς, οι οποίοι ανάλογα με τις δραστηριότητες της εκάστοτε επιχείρησης, θα προσαρμόσουν το πεδίο και το επίπεδο εφαρμογής. Για παράδειγμα, κρίνεται περιττό μία επιχείρηση η οποία διατηρεί ένα μόνο αρχείο με προσωπικά δεδομένα, να προσλάβει κάποιον DPO (Data Protection Officer) για να τα εξασφαλίσει. Στον αντίποδα, ένας διεθνής οργανισμός ο οποίος διαχειρίζεται μαζικά προσωπικά δεδομένα, πιθανότατα θα χρειαστεί ολόκληρο κλιμάκιο, το οποίο θα εξασφαλίζει ότι τα δεδομένα αυτά δεν πρόκειται να παραβιαστούν, δεν θα υπάρξει αθέμιτη εκμετάλλευση τους και θα διαγραφούν στον προβλεπόμενο κάθε φορά χρόνο. Καλό θα ήταν επίσης, πριν ο κάθε επαγγελματίας απευθυνθεί στον ειδικό, να έχει υπόψη του κάποιες βασικές αρχές αναφορικά με την εφαρμογή του κανονισμού:
- Η προστασία δεδομένων προσωπικού χαρακτήρα είναι περισσότερο νοοτροπία, παρά τεχνική κατάρτιση. Ο κάθε επαγγελματίας που διαχειρίζεται τέτοια δεδομένα, καλό θα ήταν να καλλιεργήσει αυτή τη νοοτροπία, έχοντας υπόψιν ότι κρατά στα χέρια του ένα μέρος της προσωπικής ζωής κάποιου άλλου και για το λόγο αυτό θα πρέπει να συμπεριφερθεί με τον ανάλογο σεβασμό.
- Τα προσωπικά δεδομένα δεν διατηρούνται μόνο σε ηλεκτρονική μορφή. Υπάρχουν πολλά παραδείγματα μαζικής απώλειας δεδομένων και σε έντυπη μορφή. Είναι πολλές οι περιπτώσεις όπου γραφεία παροχής υπηρεσιών (π.χ. λογιστικά, δικηγορικά γραφεία), ενώ είχαν υψηλό βαθμό ασφάλειας στο ηλεκτρονικό τους δίκτυο, διατηρούσαν τα έντυπα αρχεία τους σε ράφια και φωριαμούς τα οποία δεν κλείδωναν. Έτσι οποιοδήποτε άτομο είχε φυσική πρόσβαση σε αυτά, πολύ εύκολα μπορούσε να αφαιρέσει κάποιο φάκελο και να τον ιδιοποιηθεί.
- Ο εκάστοτε υπεύθυνος θα πρέπει να γνωρίζει το είδος και την ποσότητα των δεδομένων προσωπικού χαρακτήρα που διατηρεί, καθώς επίσης και το ποιοι έχουν πρόσβαση με οποιοδήποτε τρόπο σε αυτά[1]. Η γνώση αυτή όταν μιλάμε για μεγάλες εταιρείες και οργανισμούς, μπορεί να συνεπάγεται ακόμα και την προμήθεια ειδικού λογισμικού (software) για το σκοπό αυτό.
- Κατά την εφαρμογή μέτρων και πολιτικών προστασίας των προσωπικών δεδομένων, θα πρέπει πάντα να δημιουργούνται πολλαπλές ζώνες άμυνας, ώστε ακόμα και αν υπάρξει κάποια μη εξουσιοδοτημένη πρόσβαση, τα δεδομένα να διατηρηθούν ανέπαφα.
- Σημαντικό ρόλο στην προστασία των δεδομένων προσωπικού χαρακτήρα που αποθηκεύονται ηλεκτρονικά παίζει η κρυπτογράφηση, την οποία δεν θα πρέπει να αμελούν εκείνοι που τα διαχειρίζονται. Πολλές φορές και όταν μιλάμε για μικρό όγκο προσωπικών δεδομένων, η κρυπτογράφηση των αρχείων που τα περιέχουν, είναι αρκετή για να τα εξασφαλίσει από οποιαδήποτε απειλή. Συνεπώς, οι πολιτικές που θα ακολουθήσει ακόμα και μία μικρή επιχείρηση για να συμμορφωθεί με τον GDPR, καλό είναι να περιλαμβάνουν και την κρυπτογράφηση των επίμαχων αρχείων.
Εκτιμάται ότι ο εκάστοτε επαγγελματίας έχοντας τα παραπάνω στο μυαλό του, θα μπορέσει να εκτιμήσει το επίπεδο ασφάλειας που απαιτείται να εφαρμόσει στην επιχείρησή του προκειμένου να μπορέσει να πραστατέψει τα προσωπικά δεδομένα επαρκώς μεν και χωρίς να υπερβάλει δε. Κλείνοντας, να αναφέρουμε για ακόμα μια φορά ότι η εφαρμογή του GDPR δεν θα πρέπει να ειδωθεί ως ένας νέος περιορισμός για τις επιχειρήσεις, αλλά ως μία ευκαιρία αναβάθμισής τους. Αντιμετωπίζοντάς τον έτσι και ο κανονισμός θα εκπληρώσει τον σκοπό δημιουργίας του και το επίπεδο των παρεχόμενων υπηρεσιών προς τους ευρωπαίους πολίτες θα αναβαθμιστεί.
[1] Η πρόσβαση μπορεί να λαμβάνει χώρα είτε με φυσική παρουσία είτε από απόσταση.