Εάν είστε σαν τους περισσότερους οργανισμούς, η απάντηση είναι πιθανώς “Όχι”.
Ως καθοριστικό μέτρο για την ολοκλήρωση της διαμόρφωσης της ενιαίας ψηφιακής αγοράς, η Ευρωπαϊκή Ένωση (ΕΕ) ψήφισε το 2016 το Γενικό Κανονισμό 2016/679 για την Προστασία Δεδομένων General Data Protection Regulation (GDPR).
Δημήτρης Μουζακίτης
Manager of Governance, Compliance and Risk Management, Odyssey
www.odysseycs.com
Ο κανονισμός έχει ως στόχο να διευρύνει την προστασία των προσωπικών δεδομένων των πολιτών της ΕΕ στην εποχή της αλόγιστης συλλογής και επεξεργασίας τους, την εποχή των Big Data και του Cloud Computing, εξασφαλίζοντας ότι η προστασία τους αποτελεί θεμελιώδες και βασικό δικαίωμα κάθε πολίτη.
Πέρα από την ενιαία αντιμετώπιση των θεμάτων που σχετίζονται με την προστασία και την ασφάλεια δεδομένων, ο κανονισμός χαρτογραφεί τις υποχρεώσεις των οργανισμών οποιουδήποτε μεγέθους και γεωγραφικού χώρου (ακόμη και αν εδρεύουν σε χώρα εκτός της ΕΕ) σε σχέση με τα δεδομένα που συλλέγουν, αποθηκεύουν ή/και επεξεργάζονται στο πλαίσιο λειτουργίας τους.
Ο κανονισμός εξουσιοδοτεί τις αρμόδιες Αρχές προστασίας προσωπικών δεδομένων των χωρών μελών της ΕΕ να επιβάλουν πρόστιμα μη συμμόρφωσης σε οργανισμούς και επιχειρήσεις ύψους έως και 20 εκατομμύρια ευρώ ή 4% του ετήσιου παγκόσμιου κύκλου εργασιών τους, ανάλογα με το ποιο είναι το μεγαλύτερο.
Ο κανονισμός έχει καταληκτική ημερομηνία εφαρμογής την 25η Μαΐου 2018 ώστε να δοθεί χρόνος στις επιχειρήσεις να προετοιμαστούν κατάλληλα και να συμμορφωθούν με το νέο πλαίσιο.
Εισάγοντας νέες διατάξεις σχετικά με τη συγκατάθεση του υποκειμένου των δεδομένων, την κρυπτογράφηση δεδομένων, τη διαφάνεια και την προστασία της ιδιωτικότητας, το GDPR απαιτεί από τους οργανισμούς που συλλέγουν, αποθηκεύουν ή/και επεξεργάζονται δεδομένα των πολιτών/υπηκόων της ΕΕ να υλοποιήσουν επιχειρησιακές μεταρρυθμίσεις που ενέχουν σημαντικές προκλήσεις:
| Υποχρεώσεις | Προκλήσεις |
| Συμμόρφωση με τις απαιτήσεις του κανονισμού | Λήψη ολοκληρωμένων υπηρεσιών συμβουλευτικού και νομικού περιεχομένου από εξειδικευμένους και αξιόπιστους οργανισμούς |
| Επεξεργασία δεδομένων προσωπικού χαρακτήρα σε όλη τη διάρκεια του κύκλου ζωής τους, από τη συλλογή έως και την καταστροφή | Ακριβής γνώση για το τι είδους δεδομένα συλλέγονται, που και πως αποθηκεύονται, με ποιο τρόπο και για ποιο λόγο επεξεργάζονται |
| Δυνατότητα και τρόπος μετάδοσης δεδομένων (ακόμα και σε χώρες εκτός ΕΕ) | Προσεκτική αξιολόγηση των δεδομένων που συλλέγονται για να εξασφαλιστεί ο κατάλληλος τρόπος μετάδοσης και επεξεργασίας, π.χ. κρυπτογράφηση |
| Προστασία ατομικών δικαιωμάτων των πολιτών | Καθορισμός και διαχωρισμός των επιχειρησιακών αναγκών για να εξασφαλιστεί ότι η απαιτούμενη συγκατάθεση συλλέγεται με τον ενδεδειγμένο τρόπο |
| Ασφάλεια (εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα) προσωπικών δεδομένων | Λήψη αποτελεσματικών μέτρων ασφάλειας για τον περιορισμό του κινδύνου από τυχόν παραβιάσεις, χωρίς να τίθενται σε κίνδυνο οι επιχειρησιακές προτεραιότητες |
| Κοινοποίηση σε περίπτωση παραβίασης | Καθορισμός και συχνότητα τρόπου επικοινωνίας μεταξύ οργανισμού, πολίτη και αρμόδιας Αρχής προστασίας προσωπικών δεδομένων |
| Διορισμός υπαλλήλων προστασίας δεδομένων | Εφαρμογή ενός πλαισίου προστασίας δεδομένων εντός του οργανισμού που να επιβάλλει την αποτελεσματική διακυβέρνηση των προσωπικών δεδομένων (data governance), διευκολύνοντας τον καθορισμό και την εφαρμογή της ιδιωτικότητας και της ασφάλειας των δεδομένων |
Κύκλος ζωής δεδομένων (Data Lifecycle)
Όταν πρόκειται για δεδομένα, ο οργανισμός σας πρέπει, ανά πάσα στιγμή, να είναι σε θέση να δώσει ακριβείς απαντήσεις σε κρίσιμες ερωτήσεις όπως: ποιος διέπραξε κάποια ενέργεια, τι ενέργεια διέπραξε, από που, πότε και πως. Για να δοθούν οι κατάλληλες απαντήσεις απαιτείται εις βάθος κατανόηση και εφαρμογή του κύκλου ζωής (εικόνα 1) των δεδομένων σας.
| Δημιουργία (Create)
|
Η ανάγκη για την ασφάλεια δεδομένων και την προστασία της ιδιωτικότητας ξεκινά από τη δημιουργία και τη συλλογή δεδομένων. Μόλις δημιουργηθούν ή τροποποιηθούν, ο οργανισμός θα πρέπει να γνωρίζει ποιος είναι υπεύθυνος/κάτοχος για τα δεδομένα αυτά καθώς και τους τρόπους προστασίας τους.
|
| Αποθήκευση (Store)
|
Μόλις δημιουργηθούν τα δεδομένα, είναι ευθύνη του οργανισμού να τα αποθηκεύει με ασφάλεια και να τα προστατεύει από οποιοδήποτε είδους κίνδυνο, περιορίζοντας την πρόσβαση σε όσους δεν είναι εξουσιοδοτημένοι.
|
| Χρήση (Use)
|
Από τη στιγμή που τα δεδομένα αποθηκεύονται και είναι σε κατάσταση αδράνειας, θεωρούνται χρησιμοποιήσιμα και μπορεί κάποιος να τα διαβάσει, να τα αντιγράψει ή/και να τα τροποποιήσει. Σε αυτό το στάδιο τα δεδομένα εκτίθενται σε κακόβουλες επιθέσεις, μη εξουσιοδοτημένη πρόσβαση, ακούσιες παραλείψεις και κακοδιαχείριση.
|
| Διακίνηση (Share)
|
Τα δεδομένα και τα μετα-δεδομένα ταξιδεύουν και μοιράζονται συνεχώς μεταξύ των εργαζομένων και των οργανισμών, καθιστώντας τον έλεγχο τους (που διακινούνται, πως, πότε) πραγματική πρόκληση.
|
| Αρχειοθέτηση (Archive)
|
Σε κάποιο σημείο του κύκλου ζωής τους τα δεδομένα δεν είναι πλέον χρήσιμα, αλλά μπορεί να εξακολουθούν να έχουν αξία για τον οργανισμό.
|
| Καταστροφή (Destroy)
|
Τα δεδομένα που έχουν επισημανθεί για καταστροφή, ενδέχεται να εξακολουθούν να έχουν αξία για τον οργανισμό και χρήζουν κατάλληλων μέτρων προστασίας και ασφάλειας, ειδικότερα εάν η καταστροφή προβλέπεται βάσει νόμου, όπως μπορεί να ισχύσει σε περιπτώσεις προσωπικών ή/και ιατρικών δεδομένων.
|
Πώς η Odyssey μπορεί να σας βοηθήσει
Παρέχοντας καινοτόμες υπηρεσίες και λύσεις οι οποίες καλύπτουν ολόκληρο το επιχειρησιακό φάσμα ενός οργανισμού (Ανθρώπινο Δυναμικό, Διαδικασίες και Τεχνολογία), στόχος της Odyssey είναι να βοηθήσει τον κάθε οργανισμό να διαχειριστεί αποτελεσματικά και αποδοτικά την ασφάλεια των δεδομένων του καθ’ όλη τη διάρκεια του κύκλου ζωής τους καθώς και να ενισχύσει την προστασία της ιδιωτικότητας.
Διατηρώντας ολιστική προσέγγιση και μεθοδολογία, η Odyssey προχώρησε στη χαρτογράφηση των κατάλληλων μέτρων προστασίας των δεδομένων σε κάθε στάδιο του κύκλου ζωής τους.
Η Odyssey σας υποστηρίζει με τις ακόλουθες λύσεις και προϊόντα:
| Odyssey’s Services & Products | Create | Store | Use | Share | Archive | Destroy |
| GDPR Readiness Assessment | √ | √ | √ | √ | √ | √ |
| Data Discovery and Classification | √ | √ | √ | √ | ||
| ISO 27001 Implementation | √ | √ | √ | √ | √ | √ |
| Security Awareness | √ | √ | √ | √ | √ | √ |
| Risk Assessment | √ | √ | √ | √ | √ | √ |
| IT Security Assessment | √ | √ | √ | √ | √ | √ |
| Security Policies and Procedures | √ | √ | √ | √ | √ | √ |
| Database Auditing & Protection | √ | √ | √ | √ | ||
| File Activity Monitoring & Protection | √ | √ | ||||
| User Activity Monitoring | √ | √ | ||||
| Enterprise Mobility Management | √ | √ | √ | √ | √ | |
| Data Loss Prevention | √ | √ | √ | √ | ||
| Data Masking | √ | √ | ||||
| Data Encryption | √ | √ | √ | √ | √ | √ |
| Web Application Firewall | √ | |||||
| Email Security & Encryption | √ | |||||
| Secure File Synchronization & Sharing | √ | |||||
| Hard Drive Degausser | √ | |||||
| Data Wiping | √ | |||||
| Security Information & Event Management | √ | √ | √ | √ |
Odyssey και GDPR
Η Odyssey, πρωτοπόρος εταιρεία στην παροχή αναβαθμισμένων υπηρεσιών Ασφάλειας Πληροφοριών, Λύσεων Υποδομής Δικτύων, Διαχείρισης Κινδύνου και Συστημάτων Ασφάλειας, εξειδικεύεται στην ανάλυση επιχειρηματικών Πολιτικών και Διαδικασιών που ικανοποιούν απαιτήσεις κανονιστικής συμμόρφωσης. Παράλληλα, οι υπηρεσίες αυτές ενισχύουν κάθε οργανισμό ανεξαρτήτως μεγέθους, πολυπλοκότητας και τομέα δραστηριότητας, ειδικότερα στον τομέα της ασφάλειας και προστασίας δεδομένων και της αξιολόγησης κινδύνων.
Με βάση την πολύχρονη εμπειρία μας στην εφαρμογή διεθνών προτύπων όπως το PCI και το ISO 27001, αλλά και την ενασχόλησή μας με προγράμματα διακυβέρνησης προσωπικών δεδομένων και προστασίας της ιδιωτικότητας (data governance και data privacy), θεωρούμε ότι η υποχρέωση συμμόρφωσης με το GDPR αποτελεί ευκαιρία για αποτελεσματική διαχείριση των δεδομένων του οργανισμού σας.
Ως μέλος μιας κοινοπραξίας οργανισμών που εξειδικεύονται στον τομέα τους, η Odyssey προσφέρει ολοκληρωμένο χαρτοφυλάκιο λύσεων και υπηρεσιών σχετικών με το GDPR, το οποίο περιλαμβάνει υπηρεσίες συμβουλευτικού και νομικού περιεχομένου για την αξιολόγηση του επιπέδου συμμόρφωσης του οργανισμού σας καθώς και τεχνολογικές λύσεις σχετικές με την ασφάλεια δεδομένων καθ’ όλη τη διάρκεια του κύκλου ζωής τους.
Το ανθρώπινο δυναμικό μας περιλαμβάνει ειδικούς σε θέματα συμμόρφωσης, προστασίας δεδομένων και ασφάλειας πληροφοριών. Η τεχνογνωσία και η εμπειρία τους μπορούν να συμβάλουν καθοριστικά στο να εκπληρώσει ένας οργανισμός τόσο τις νομικές όσο και τις τεχνικές προκλήσεις συμμόρφωσης με το GDPR.
Περισσότερες πληροφορίες σε ότι αφορά τη συμμόρφωση με το GDPR ή τις διαθέσιμες λύσεις της Odyssey, μπορείτε να βρείτε στην ιστοσελίδα μας www.odysseycs.com.
