Η πανδημία COVID-19 δίνει ιδιαίτερη έμφαση στη δύσκολη ισορροπία που επιδιώκει να επιτύχει ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) – GDPR μεταξύ των δικαιωμάτων των ατόμων και της κοινωνίας στο σύνολό της.
Γράφει ο Κωνσταντίνος Ντζαμίλης*
Σε αυτούς τους πρωτοφανείς καιρούς, πώς θα αντιμετωπίσουν – αρχικά οι αρχές προστασίας δεδομένων και εν συνεχεία οι επιχειρήσεις – το ζήτημα της προστασίας των δεδομένων και της ιδιωτικής ζωής, υπό το πρίσμα σοβαρών ανησυχιών, τόσο για την υγεία, όσο και για την οικονομία;
Πώς θα ξεκινήσετε τη συμμόρφωση με τον ΓΚΠΔ;
Προσδιορίστε τα δεδομένα που πρέπει να συλλέξετε. Τα προσωπικά δεδομένα που προστατεύονται από τον ΓΚΠΔ περιλαμβάνουν ονόματα, διευθύνσεις email, φωτογραφίες, τραπεζικές πληροφορίες, διευθύνσεις IP κλπ.
- Περιγράψτε για ποιο λόγο θα τα χρησιμοποιήσετε.
- Λάβετε τη συγκατάθεσή τους.
- Μην τα αποθηκεύεται για πάντα, εκτός εάν χρησιμοποιούνται για σαφή επιχειρηματικό σκοπό. “Το δικαίωμα στη λήθη” αποτελεί μέρος του καταλόγου των δικαιωμάτων προστασίας των κάθε μορφής προσώπων που περιλαμβάνεται στον ΓΚΠΔ.
- Αναφέρετε τις παραβιάσεις γρήγορα.
- Δώστε προτεραιότητα στις προσπάθειές σας για προστασία δεδομένων. Επειδή μια τέτοια συντριπτική πλειοψηφία των επιθέσεων στον κυβερνοχώρο συμβαίνει λόγω αδυναμιών ή κλεμμένων κωδικών πρόσβασης, θεωρείστε το multi-factor έλεγχο ταυτότητας (MFA) ως το πρώτο βήμα για μια αποτελεσματική στρατηγική ασφάλειας στον κυβερνοχώρο.
- Δώστε προτεραιότητα στα (PII) δεδομένα. Προσωπικά αναγνωρίσιμες πληροφορίες (PII) είναι ένας συχνός στόχος για επιθέσεις στον κυβερνοχώρο αλλά και από προσωπικό της εταιρείας σας.
- Εκπαίδευση. Ένα κρίσιμο κομμάτι της ισχυρής ασφάλειας είναι μια αποτελεσματική κουλτούρα ασφάλειας.
- Χρησιμοποιήστε υπηρεσίες cloud που διαθέτουν ενσωματωμένα εργαλεία προστασίας δεδομένων.
ΓΚΠΔ υπό Covid-19, τι ισχύει;
Η νομοθεσία για την προστασία των δεδομένων δεν εμποδίζει τους εργοδότες να λαμβάνουν τα απαραίτητα μέτρα για να διατηρούν το προσωπικό και το κοινό ασφαλές και υποστηριζόμενο κατά τη διάρκεια της πανδημίας.
Η καθοδήγηση επικεντρώνεται στις δοκιμές “επιστροφής στην εργασία” για να ελεγχθεί εάν το προσωπικό έχει συμπτώματα COVID-19. Οι δοκιμές αυτές περιλαμβάνουν την υπέρ της εκχώρησης δεδομένων υγείας, τα οποία χαρακτηρίζονται ως “δεδομένα ειδικής κατηγορίας”, στο πλαίσιο του ΓΚΠΔ λόγω της ευαισθησίας του και απαιτούν ακόμη πιο προσεκτική προστασία.
Οι ιδιωτικοί οργανισμοί πρέπει πρώτα να είναι ικανοποιημένοι και να διενεργούν τέτοιες δοκιμές για να πληρούν το εργατικό δίκαιο, δηλαδή τις υποχρεώσεις τους για την υγεία και την ασφάλεια στην εργασία ως εργοδότες.
Οι εργοδότες πρέπει στη συνέχεια να αποδεικνύουν τη συμμόρφωση καθ’ όλη τη διάρκεια της διαδικασίας, από την πρόσθετη τήρηση αρχείων έως τη συλλογή μόνο του ελάχιστου απαιτούμενου όγκου πληροφοριών.
Όταν οι εργαζόμενοι είναι θετικοί, οι πληροφορίες αυτές μπορούν να διατηρηθούν, με ασφάλεια και υπόκεινται σε υποχρέωση εμπιστευτικότητας.
Διαφάνεια: Οι εργοδότες πρέπει να είναι σαφείς και ειλικρινείς με τους εργαζόμενους, εξηγώντας τι σκοπεύουν να κάνουν με τα αποτελέσματα πριν από τη δοκιμή.
Οι πληροφορίες μπορούν επίσης να κοινοποιηθούν στις αρχές για λόγους δημόσιας υγείας ή στην αστυνομία, όπου είναι απαραίτητο και αναλογικό.
Ο ρόλος της Τεχνολογίας
Η συνέχεια των επιχειρηματικών ή ανθρώπινων δραστηριοτήτων σε μικρό χρονικό διάστημα άλλαξε την ροή των πραγμάτων σε παγκόσμιο επίπεδο.
Εταιρείες και οργανισμοί υιοθέτησαν Cloud τεχνολογίες μέσα σε διάστημα 24 ωρών το πολύ, διαθέτοντας στο προσωπικό τους Secure remote working υπηρεσίες με αναβαθμισμένο επίπεδο ασφαλείας, από αυτό που είχαν στις on premise υποδομές τους.
Διασφάλισε ότι τα δεδομένα των επιχειρήσεων είναι ασφαλή στο Azure cloud ως προς την πρόσβαση και αποθήκευσή τους, καθώς επίσης ότι θα είναι διαθέσιμα ακόμα κι έπειτα από κάθε «επίγειο» καταστροφικό γεγονός, φυσικό ή πανδημικό, στους πιστοποιημένους χρήστες τους.
Μείωσε το αρνητικό κόστος μη επιχειρησιακής λειτουργίας των επιχειρήσεων μεγιστοποιώντας την επιστροφή της επένδυσης, αρχικά οικονομικά κι εν συνεχεία εξυψώνοντας την εικόνα της κάθε εταιρείας που ανέλαβε.
Η Office Line A.E., έχει υλοποιήσει απαιτητικά έργα μετάβασης Οργανισμών του Δημοσίου και Ιδιωτικού τομέα στο Azure cloud προκειμένου να οδηγηθούν σε ασφαλή περιβάλλοντα παραγωγικής τηλεργασίας εν μέσω, πανδημικής δυσλειτουργίας. Η ανταλλαγή με ταυτόχρονη επεξεργασία εγγράφων, τηλεδιασκέψεων, τηλεκπαιδεύσεων, εικονικών εκθέσεων, κλπ. υπό το πρίσμα της μέγιστης ασφάλειας δεδομένων και μιας επιτυχημένης επιχειρηματικής συνέχειας για την ελαχιστοποίηση της μείωσης των οικονομικών μεγεθών της αγοράς, ήταν το πρώτο αποτέλεσμα. Το βασικό όμως πλεονέκτημα ήταν ότι άλλαξε την «κουλτούρα» εργασίας και δημιούργησε τις απόλυτα ικανές συνθήκες για μια ασφαλή και απρόσκοπτη επιχειρησιακή συνέχεια με ταυτόχρονη υγειονομική προστασία του ανθρώπινου δυναμικού της χώρας.
Ωστόσο, η αντιμετώπιση της πρόκλησης προστασίας δεδομένων εκ των προτέρων θα σας βοηθήσει να υπερασπιστείτε τις πληροφορίες σας, τους πελάτες σας και, ως εκ τούτου, το μέλλον της επιχείρησής σας.
Η απόφαση είναι ατομική και συνάμα συλλογική καθώς το «κύτταρο» επηρεάζει την ορθή ή όχι λειτουργία του «οργανισμού».
*Ο Κωνσταντίνος Ντζαμίλης είναι Αναλυτής Πληροφορικής με εξειδίκευση στη ανάλυση συστημάτων δεδομένων που αφορούν την ασφάλεια πληροφοριών και των διαδικασιών ελέγχου.
Έχει πιστοποίηση από το Πανεπιστήμιο του Derby της Αγγλίας ως Data Protection Officer και είναι μέλος της Ευρωπαϊκής Ομάδας: European Association Data Protection Professionals με έδρα την Ολλανδία και μέλος του Ελληνικού τμήματος.
Είναι πιστοποιημένος Lead Auditor ISO 9001 και εσωτερικός ελεγκτής συστημάτων ασφάλειας δεδομένων ISO 27001 και από τον Παγκόσμιο Οργανισμό Υγείας για Risk Assessments που αφορούν στην Πανδημία και τη διαχείριση των Π.Δ. κατά τον εμβολιασμό του πληθυσμού μιας χώρας.
Στοιχεία Επικοινωνίας στο linkedin https://www.linkedin.com/in/konstantinosntzamilis/