Η αλήθεια είναι ότι ο καιρός πλησιάζει ολοένα και πιο κοντά στην ημερομηνία που έχει τεθεί επίσημα από την Ευρωπαϊκή Ένωση ως καταληκτική για την εφαρμογή του περίφημου Γενικού Κανονισμού για την Προστασία Προσωπικών Δεδομένων, κοινώς γνωστό και ως General Data Protection Regulation (GDPR).
Του Κωνσταντίνου Βαβούση
Strategic Manager, Trust Information Technologies
kv@trust-it.gr
Όλοι μας, ανεξαρτήτως εταιρικής δραστηριότητας, φύσης και κλάδου, έχουμε ενημερωθεί από τα ποικίλα ενημερωτικά έντυπα, email εταιριών, σεμινάρια παντός τύπου και διαλέξεις για το GDPR. Υπάρχουν όμως ακόμη αρκετά ερωτηματικά τόσο για τον τρόπο με τον οποίο θα εφαρμοστεί ο Γενικός Κανονισμός GDPR στην πράξη, όσο και για την πρωτοφανή επιβολή προστίμων τόσο μεγάλου ύψους.
Ήδη από τις 27 Απριλίου του 2016, ψηφίστηκε από το Ευρωπαϊκό Κοινοβούλιο ο εν λόγω Κανονισμός για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), ο οποίος τέθηκε σε ισχύ έναν μήνα αργότερα, τον Μάιο του ιδίου έτους. Έχει δοθεί όμως μια περίοδος χάριτος δύο ετών για να εφαρμοστεί ως νομοθέτημα άμεσης εφαρμογής στις χώρες μέλη της Ευρωπαϊκής Ένωσης, τον ερχόμενο Μάιο και συγκεκριμένα στις 25 Μαΐου του 2018.
Ο Γενικός Κανονισμός GDPR, ουσιαστικά δεν είναι κάτι εντελώς καινούργιο αφού προϋπήρχε ήδη ο 95/46/ΕΚ και είχε τεθεί σε ισχύ στην Ελλάδα στο πλαίσιο του 2472/97, βάζοντας γερές βάσεις για έννοιες όπως “δεδομένα προσωπικού χαρακτήρα”, “ευαίσθητα προσωπικά δεδομένα”, “επεξεργασία προσωπικών δεδομένων”, “υπεύθυνος επεξεργασίας”, “εκτελών την επεξεργασία” αλλά και πολλές επιπλέον έννοιες, που βεβαίως συναντάμε και στο GDPR. Ποια επομένως η ειδοποιός διαφορά μεταξύ GDPR και 95/46/ΕΚ; Η μια βασική παράμετρος είναι το ύψος των προστίμων, τα οποία θα μπορούν να αγγίζουν το 2-4% του παγκόσμιου τζίρου ή τα 20 εκατομμύρια ευρώ (οποιοδήποτε από τα δύο ποσά είναι υψηλότερο), της εκάστοτε εταιρείας που έχει παραβιάσει ακούσια ή εκούσια τις αρχές της επεξεργασίας δεδομένων προσωπικού χαρακτήρα φυσικών προσώπων, οι οποίες αποτυπώνονται αναλυτικά στα άρθρα του GDPR. Η δεύτερη παράμετρος είναι η αυτή καθαυτή επιβολή των προστίμων.
Μεταξύ άλλων, μια σημαντική προσθήκη στον Γενικό Κανονισμό GDPR είναι και η έννοια του Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer–DPO). Ο DPO έχει ρόλο διαμεσολαβητή μεταξύ όλων των εμπλεκομένων μερών (π.χ. Εποπτική Αρχή, υποκείμενα δεδομένων, τμήματα και υπηρεσίες της εταιρείας). Πρόκειται για τον άνθρωπο εκείνο ο οποίος θα ενημερώνει τους χρήστες των οποίων τα δεδομένα επεξεργάζεται η εταιρεία αλλά και θα είναι εκείνος ο οποίος έρχεται σε επικοινωνία με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) για τυχόν ενημερώσεις συμβάντων, επικοινωνία για επικείμενους ελέγχους και λοιπές διαδικασίες.
Πέρα όμως από τις νέες έννοιες και τα πλαίσια που έχουν τεθεί για την ορθή εφαρμογή του Γενικού Κανονισμού GDPR, το πιο σημαντικό κομμάτι για την ελληνική επιχειρηματικότητα είναι ότι τίθενται τα θεμέλια για μια ασφαλή πλέον εταιρική υποδομή πληροφορικής, έστω και με την μορφή της επιβολής.
Υπογραμμίζουμε ότι υπόλογες απέναντι στον Γενικό Κανονισμό GDPR είναι οι εταιρείες εκείνες οι οποίες διαχειρίζονται προσωπικά δεδομένα πολιτών της ΕΕ, είτε εδρεύουν στην Ε.Ε. είτε όχι. Όπως προβλέπει ο ίδιος ο Κανονισμός και λόγω των υψηλών προστίμων, οι επιχειρήσεις δεν θα έχουν άλλη επιλογή πέραν της συμμόρφωσης. Τα υψηλά πρόστιμα και οι σοβαρές κυρώσεις είναι ένα ρίσκο που κανείς δεν μπορεί να αγνοήσει. Επομένως, όσο το δυνατόν γρηγορότερα ξεκινήσει μια εταιρεία να προετοιμάζεται τόσο πιο γρήγορα θα είναι έτοιμη για το GDPR.
Οι εταιρείες πλέον καλούνται να ασχοληθούν σοβαρά με την προστασία των πληροφοριακών τους συστημάτων και την προάσπιση των δεδομένων τους, κάνοντας τακτικά ελέγχους ασφάλειας δικτύων και υποδομών, υλοποιώντας πολιτικές ασφάλειας και διαδικασίες για την διαχείριση τόσο των εταιρικών πόρων όσο και των δεδομένων, αλλά και εκπαιδεύοντας τους χρήστες πληροφοριακών συστημάτων για την ορθή χρήση της εταιρικής υποδομής και των δεδομένων που διαχειρίζονται.
Ένα επιπλέον σημαντικό κομμάτι που ακόμη δεν έχει αποτυπωθεί επαρκώς στα διοικητικά συμβούλια των υπόλογων εταιρειών στο GDPR, είναι ο εναπομείναντας κίνδυνος (residual risk) τον οποίο η εταιρεία καλείται να διαχειριστεί, ύστερα από την υλοποίηση όλων εκείνων των οργανωτικών και τεχνικών μέτρων ασφάλειας. Σε αυτό το σημείο έρχονται να παράσχουν τις υπηρεσίες τους ασφαλιστικές εταιρείες στα πλαίσια του cyber insurance, για την ανάληψη του κινδύνου ή των κινδύνων που αδυνατεί να καλύψει η εταιρεία. Πρόκειται για ένα πολύ λεπτό σημείο στο οποίο πλέον η εκάστοτε εταιρεία καλείται να αποφασίσει αν συμφέρει περισσότερο να εφαρμόσει επιπλέον τεχνικά και οργανωτικά μέτρα για την ελάττωση του κινδύνου περαιτέρω ή συμφέρει να καλυφθεί μέσω κάποιου ασφαλιστικού προγράμματος.
Παρακάτω παρατίθενται ορισμένες οδηγίες οι οποίες θα σας βοηθήσουν στην προετοιμασία σας σχετικά με την συμμόρφωση με τον Γενικό Κανονισμό GDPR:
- Δέσμευση της διοίκησης για την προστασία των προσωπικών δεδομένων και ανάθεση ευθυνών.
- Αξιολόγηση των δραστηριοτήτων της εταιρείας και προσδιορισμός των προσωπικών δεδομένων προς επεξεργασία.
- Καθορισμός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer – DPO) εφόσον αυτό είναι απαραίτητο.
- Υιοθέτηση οργανωτικών και τεχνικών μέτρων ασφάλειας όπως πολιτικές ασφάλειας, εγκατάσταση και παραμετροποίηση υλικού και λογισμικού ασφάλειας, κατάρτιση πλάνου διαχείρισης περιστατικών ασφάλειας, τακτικοί έλεγχοι ασφάλειας, ανάλυση/εκτίμηση αντικτύπου σχετικά με την προστασία προσωπικών δεδομένων (Data Privacy Impact Assessment DPIA), αξιολόγηση και ανάλυση κινδύνων (Risk Assessment) κλπ.
- Εκπαίδευση εργαζομένων ανά τακτά χρονικά διαστήματα σε θέματα ασφάλειας.
- Καθορισμός σκοπού για την επεξεργασία προσωπικών δεδομένων.
- Σαφής καθορισμός των εκτελούντων την επεξεργασία των προσωπικών δεδομένων των υποκειμένων.
- Ρητή συγκατάθεση του υποκειμένου για την επεξεργασία των δεδομένων του.
- Σαφής καθορισμός της περιόδου διατήρησης των προσωπικών δεδομένων των υποκειμένων.
- Σαφής ενημέρωση των υποκειμένων για τους ακριβής λόγους επεξεργασίας.
- Αξιολόγηση υφιστάμενων συμβάσεων τρίτων παρόχων αλλά και καθορισμός πλαισίου για μελλοντικές συνεργασίες, σχετικά με την διαχείριση προσωπικών δεδομένων.
- Καθορισμών κατάλληλων μέτρων προστασίας των προσωπικών δεδομένων των υποκειμένων.
- Μεταφορά δεδομένων μόνο σε περίπτωση σαφούς πλαισίου, ιδιαίτερα όταν πρόκειται για τρίτες χώρες.
Με μεθοδικότητα και ιδιαίτερη προσοχή, θα πρέπει μέχρι την 25η Μαΐου του ερχόμενου έτους, να έχουν γίνει αποδεδειγμένα βήματα τόσο για την προστασία της εταιρικής σας υποδομής όσο και για τα προσωπικά και τα ευαίσθητα προσωπικά δεδομένα που η εταιρεία διαχειρίζεται. Θα πρέπει να έχετε ορίσει DPO και να έχετε ξεκινήσει πρόγραμμα εκπαίδευσης και επιμόρφωσης των εργαζομένων σας. Εμπιστευτείτε τις εταιρείες/συμβούλους σε θέματα ασφάλειας ώστε να καταφέρετε το μέγιστο δυνατό αποτέλεσμα μέχρι την καταληκτική ημερομηνία αλλά και ενημερωθείτε από τις ασφαλιστικές εταιρείες για τα διαθέσιμα προγράμματα σχετικά με το cyber insurance.