Ο νέος Γενικός Κανονισμός για την Προστασία των Δεδομένων (GDPR) της ΕΕ εγκρίθηκε τον Απρίλιο του 2016 και θα τεθεί σε ισχύ σε ολόκληρη την επικράτεια της ΕΕ στις 25 Μαΐου 2018, όταν θα αντικαταστήσει τους 28 ισχύοντες εθνικούς νόμους βάσει της οδηγίας για την προστασία δεδομένων του 1995).
Παναγιώτης Καλαντζής
Διευθυντής Τομέα
Information Security, Governance, Risk & Compliance
Syntax Information Technology – www.syntax.com
Ο νέος κανονισμός, που θεσπίστηκε για να συμβαδίζει με το σύγχρονο ψηφιακό τοπίο, αποσκοπεί στην ενίσχυση των δικαιωμάτων προστασίας των δεδομένων προσωπικού χαρακτήρα των ατόμων και στην απλούστευση της ελεύθερης ροής αυτών στην ΕΕ, εφαρμόζοντας ένα συνεκτικό πλαίσιο προστασίας δεδομένων σε όλα τα κράτη μέλη. Ελάχιστοι οργανισμοί πιθανά δεν επηρεάζονται από τον νέο κανονισμό, αλλά είναι ξεκάθαρο ότι το νέο κανονιστικό πλαίσιο επηρεάζει όλους εκείνους τους οργανισμούς που συλλέγουν, αποθηκεύουν ή επεξεργάζονται προσωπικά δεδομένα των ευρωπαίων πολιτών.
Προσωπικά Δεδομένα και Data Governance
Τι είναι τα προσωπικά δεδομένα; Παρότι μέχρι στιγμής δεν υπάρχει συμφωνία για το τι ακριβώς σημαίνει “προσωπικά δεδομένα”, ο καλύτερος ορισμός προέρχεται από το ίδιο το νομοθετικό πλαίσιο.
Ο παραπάνω ορισμός είναι αρκετά ευρύς ώστε να καλύπτει ένα μεγάλο εύρος πληροφοριών που μπορεί να διατηρεί ένας οργανισμός για τους υπάλληλους ή πελάτες του. Σε αντιδιαστολή, δεν εκτιμάται ότι σύντομα θα υπάρξει ένας οριστικός κατάλογος των προσωπικών δεδομένων, και θα αφεθεί στους οργανισμούς να δικαιολογήσουν αυτά που έχουν κατηγοριοποιήσει ως προσωπικά τους δεδομένα και προστατεύουν κατάλληλα.
Ακόμα όμως, και στην περίπτωση που ένας οργανισμός καταλήξει στο τι καθιστά προσωπικά δεδομένα και ποια από τα δεδομένα που επεξεργάζεται κατηγοριοποιούνται ως τέτοια, το ερώτημα ποιο θα πρέπει να είναι το επόμενο βήμα παραμένει ανοικτό.
Data Governance
Η απάντηση στο παραπάνω ερώτημα δεν θα πρέπει να είναι μονοδιάστατη. Απεναντίας, θα πρέπει να υιοθετηθεί μια ολιστική και δομημένη προσέγγιση Data Governance στα πλαίσια του νέου Κανονισμού. Η εν λόγω προσέγγιση, συνίσταται από τέσσερις φάσεις:
- Ανακάλυψη (Discover), όπου «ανακαλύπτονται» τα δεδομένα του οργανισμού, αντιστοιχούνται σε ιδιοκτήτες και κατηγοριοποιούνται ανάλογα με την αξία τους και το βαθμό ευαισθησίας τους.
- Προστασία (Protect), όπου υλοποιούνται μηχανισμοί προστασίας των δεδομένων τόσο αναφορικά με την διατήρηση της εμπιστευτικότητα και ακεραιότητας, όσο και από μη εξουσιοδοτημένη πρόσβαση.
- Έλεγχος (Control), όπου υλοποιούνται μηχανισμοί έλεγχου της πρόσβασης στην πληροφορία και της αποτροπής διαρροών και μη χρηστής χρήσης.
- Αναζήτηση (Investigate), όπου υλοποιούνται μηχανισμοί παρακολούθησης των παραπάνω, καθώς και αναζήτησης πληροφοριών.
Στο επίκεντρο της παραπάνω προσέγγισης, και καθοριστικός παράγοντας της επιτυχίας της, αποτελεί η εκτενής και εξονυχιστική χαρτογράφηση των δεδομένων που χρησιμοποιεί ο οργανισμός, και οι ροές αυτών των δεδομένων. Η χαρτογράφηση αυτή, η οποία μπορεί να έρθει εις πέρας είτε με χρήση οργανωτικών μέτρων (διαδικασίες καταλογογράφησης δεδομένων), είτε με την υποβοήθηση τεχνολογικών εργαλείων, είτε με συνδυασμό αυτών, θα πρέπει να δίνει απάντηση στα Πέντε Π (5Π).
Τα Πέντε Π (5Π) στην ουσία περιγράφουν τις δραστηριότητες συλλογής, αποθήκευσης, επεξεργασίας και διαχείρισης των δεδομένων του οργανισμού.
- Ποιός είναι ο προορισμός (σκοπός) της επεξεργασίας των δεδομένων;
Υπάρχουν διάφοροι λόγοι για τους οποίους ένας οργανισμός διαχειρίζεται προσωπικά δεδομένα. Παραδείγματα αποτελούν η διαχείριση του προσωπικού και των πελατών, νομικές και φορολογικές υποχρεώσεις, και ανάγκες Μάρκετινγκ. Σε κάθε περίπτωση, και ανεξάρτητα από το πώς γίνεται η επεξεργασία των δεδομένων είναι πολύ σημαντικό να μπορεί να αποδειχτεί η νομική βάση της επεξεργασίας και η αναγκαιότητά της για την λειτουργία του οργανισμού.
- Ποιόν αφορούν τα προσωπικά δεδομένα που διαχειρίζεται ο οργανισμός;
Επίσης είναι σημαντικό να υπάρχει σαφής εικόνα αναφορικά με το ποιους αφορούν τα δεδομένα που επεξεργάζεται ο οργανισμός, και τα οποία εμπίπτουν στο νέο κανονιστικό πλαίσιο. Τέτοιοι μπορεί να είναι το προσωπικό και οι πελάτες του οργανισμού, ανήλικοι και κηδεμόνες τους (το νέο κανονιστικό πλαίσιο αναφέρει συγκεκριμένες υποχρεώσεις αναφορικά με προσωπικά στοιχεία ανηλίκων), επιχειρηματικές επαφές και προμηθευτές, μέλη ομάδων, αιτούντες υπηρεσιών, κτλ.
- Ποιες είναι οι Πληροφορίες (ποια είναι τα προσωπικά δεδομένα);
Επίσης σημαντικό είναι να προσδιοριστεί ποιες πληροφορίες (προσωπικά δεδομένα) διαχειρίζεται ο οργανισμός για τις παραπάνω κατηγορίες ενδιαφερόμενων.
Παρότι, όπως αναφέρθηκε παραπάνω δεν υπάρχει συγκεκριμένος κατάλογος προσωπικών δεδομένων, θα πρέπει να εξεταστεί κατ’ ελάχιστον, αν ο οργανισμός διαχειρίζεται προσωπικά στοιχεία (όνομα, διεύθυνση, ηλεκτρονικό ταχυδρομείο, τηλέφωνο, ημερομηνία γέννησης, σεξουαλικός προσανατολισμός, εθνικότητα), οικονομικές λεπτομέρειες (τραπεζικός λογαριασμός, στοιχεία πιστωτικής κάρτας, φορολογική αναφορά), πληροφορίες υγείας (σωματική υγεία και ψυχολογικά προφίλ), φωτογραφίες και φωνητικές εγγραφές, φορολογικά στοιχεία και στοιχεία οικονομικών συναλλαγών, στοιχεία διαβατηρίου, ταυτότητας ή διπλώματος οδήγησης, διεύθυνση IP (καθώς και άλλους τεχνικούς ταυτοποιητές όπως διευθύνσεις MAC, UUID, SIM number, IMEI), στοιχεία αναφορικά με ποινικές καταδίκες ή αξιόποινες πράξεις, βιομετρικά στοιχεία, στοιχεία εκπαίδευσης και κατάρτισης, και στοιχεία απασχόλησης (βιογραφικό σημείωμα, αναφορές, ετήσιες αξιολογήσεις, καθεστώς απασχόλησης).
Θα πρέπει επίσης να τονιστεί ότι ο οργανισμός θα πρέπει να έχει τεκμηριωμένη αιτιολόγηση για την ανάγκη χρήσης των διαχειριζόμενων δεδομένων, καθώς και της αναλογικότητας των δεδομένων σε σχέση με τον σκοπό της επεξεργασίας.
- Πότε εκτελείται η επεξεργασία των δεδομένων;
Επιπρόσθετα, ο οργανισμός πρέπει να αξιολογήσει, μεταξύ άλλων:
- Πότε συλλέγονται τα προσωπικά δεδομένα;
- Πότε ενημερώνονται τα προσωπικά δεδομένα;
- Πόσο καιρό διατηρούνται τα προσωπικά δεδομένα;
- Πότε μπορούν να αποκαλυφθούν προσωπικά δεδομένα;
- Που εκτελείται η επεξεργασία των δεδομένων;
Τέλος, ο οργανισμός πρέπει να εντοπίσει που λαμβάνει χώρα η διαχείριση των προσωπικών δεδομένων. Ενδεικτικά, πρέπει να εξεταστεί η ύπαρξη φυσικών και ηλεκτρονικών εγγράφων, εσωτερικών συστημάτων διαχείρισης (CRM, ERP κτλ.), καθώς και η χρήση κινητών συσκευών και υπολογιστικής νέφους (cloud computing).
Η απάντηση στα Πέντε Π (5Π), ανεξάρτητα με τον τρόπο που αυτή επιτυγχάνεται (με χρήση οργανωτικών μέτρων ή εργαλείων), θα αποτελέσει μια αναλυτική χαρτογράφηση των δεδομένων που χρησιμοποιεί ο οργανισμός, και ένα αποφασιστικό βήμα για μια ολιστική και δομημένη προσέγγιση Data Governance στα πλαίσια του νέου Κανονισμού Προστασίας Προσωπικών Δεδομένων.
Η προσέγγιση που περιγράφηκε προσφέρει στον οργανισμό, εκτός της αναλυτικής χαρτογράφησης των διαχειριζόμενων (προσωπικών) δεδομένων, τα παρακάτω πλεονεκτήματα:
- Βοηθά τον οργανισμό να ανακαλύψει «κρυμμένη» πληροφορία, να εντοπίσει τους κινδύνους και να ταξινομήσει με ακρίβεια το σύνολο των δεδομένων, ώστε να έχει την γνώση και την νοημοσύνη να ικανοποιήσει κάθε σενάριο συμμόρφωσης.
- Δίνει στον οργανισμό την δυνατότητα τεκμηριωμένης διατήρησης ή και διαγραφής δεδομένων με αυξημένο βαθμό εμπιστοσύνης, γνωρίζοντας τις επιχειρησιακές ανάγκες και τις απαιτήσεις συμμόρφωσης. Με αυτό τον τρόπο είναι σε θέση να καθορίσει αντίστοιχες στρατηγικές διατήρησης των δεδομένων και δυνατότητες καταγραφής και ελέγχου, ώστε να μπορεί να καταγράφει και να αναφέρει δραστηριότητες βάσει πραγματικών γεγονότων.
- Δίνει στον οργανισμό την δυνατότητα αξιολόγησης της ετοιμότητάς του, καθώς και της δημιουργίας ενός οδικού χάρτη ώστε με ρεαλιστικά βήματα και στόχους να επιτύχει την συμμόρφωση με το νέο κανονιστικό πλαίσιο.
Κίνδυνοι & Ευκαιρίες
Κάθε οργανισμός εντός ή εκτός ΕΕ, που επεξεργάζεται ή μοιράζεται τα προσωπικά δεδομένα κατοίκων της ΕΕ έχει πλέον λιγότερους από 12 μήνες για να συμμορφωθεί με τον κανονισμό.
Η παραβίαση των προσωπικών δεδομένων ή η μη ορθή συμμόρφωση με τις απαιτήσεις του κανονισμού μπορεί να έχει δαπανηρές επιπτώσεις: οι οργανώσεις που διαπιστώνεται ότι παραβιάζουν τον κανονισμό αντιμετωπίζουν διοικητικά πρόστιμα μέχρι 4% του ετήσιου παγκόσμιου κύκλου εργασιών τους ή 20 εκατ. Ευρώ, το μέγιστο κατά περίπτωση.
Οι οργανισμοί που θα λάβουν όλα τα απαραίτητα μέτρα στο εναπομείναν χρονικό πλαίσιο, ώστε να προετοιμάσουν και να συμμορφωθούν με τον νέο κανονισμό θα αποφύγουν σημαντικά πρόστιμα και ζημιές στη φήμη.
Επιπρόσθετα, με την υλοποίηση Data Governance οι οργανισμοί και οι επιχειρήσεις θα αποκτήσουν καθαρή εικόνα για τις πληροφορίες τους και την αξία τους, και θα είναι σε θέση να εκλογικευόσουν τους πόρους τους με αποτελεσματικό χειρισμό, για την ασφάλεια και τη διατήρηση των πληροφοριών που έχουν πραγματική επιχειρηματική αξία, και την απόσυρση/καταστροφή των υπολοίπων. Έτσι, θα μειώσουν το κόστος διαχείρισης και αποθήκευσης των πληροφοριών και θα βελτιστοποιήσουν το ανταγωνιστικό τους πλεονέκτημα σε ένα επιχειρησιακό περιβάλλον όπου η εξάρτηση από τις κατάλληλες πληροφορίες αποκτά ύψιστη σημασία.
Σχετικά με την SYNTAX Πληροφορική ΑΒΕΕ
Η SYNTAX Πληροφορική Α.Β.Ε.Ε. (www.syntax.gr) ιδρύθηκε το 1994 και δραστηριοποιείται στην Ευρώπη και στον Αραβικό Κόλπο.
Η SYNTAX προσφέρει σε μεγάλες επιχειρήσεις και οργανισμούς τη δυνατότητα να αφομοιώνουν τεχνολογίες αιχμής και βέλτιστες πρακτικές, έτσι ώστε να διαφοροποιούνται στην αγορά, και να μειώνουν το λειτουργικό τους κόστος, αποκτώντας ανταγωνιστικό πλεονέκτημα και βέλτιστη αποτελεσματικότητα (ROI).
Η εταιρία παρέχει συμβουλευτικές υπηρεσίες, αναλαμβάνει έργα μελετών, ανάπτυξης, υλοποίησης και υποστήριξης τεχνολογιών αιχμής, λειτουργίας & διαχείρισης συστημάτων ΙΤ και εκχωρεί εξειδικευμένο προσωπικό με συμβάσεις ορισμένου χρόνου.
Τομείς εξειδίκευσης: Applications Lifecycle Management – Data Management – Security, Governance, Risk & Compliance – IT Operations, Business Service & SLA Management.
Τον κατάλογο των πελατών κοσμούν κορυφαίες μεγάλες επιχειρήσεις και οργανισμοί από όλους τους τομείς της οικονομίας.
Η SYNTAX είναι πιστοποιημένη κατά ISO 9001: 2008 και 27001: 2013 και μέλος των φορέων ΣΕΠΕ, ΣΕΣΜΑ, ITSMF και TMF.