Σε έναν κόσμο που η πληροφορία είναι παντού, ελεύθερη στη διακίνηση και εύκολη στην πρόσκτηση, είναι ελάχιστες πια οι επιχειρήσεις που δεν κατέχουν, επεξεργάζονται, διακινούν και χρησιμοποιούν προσωπικά δεδομένα πελατών, προμηθευτών, εργαζομένων, συνεργατών κτλ.
Δεν είναι τυχαίο, λοιπόν, που γίνεται μεγάλη συζήτηση για το Γενικό Κανονισμό Προστασίας Δεδομένων (General Data Protection Regulation, GDPR) , ο οποίος στοχεύει στο να προσφέρει στους πολίτες της Ευρωπαϊκής Ένωσης ενιαία και εναρμονισμένη προσέγγιση, όσον αφορά την προστασία της ιδιωτικής ζωής στην Ευρωπαϊκή Ένωση. Ο Κανονισμός επιδιώκει να ενισχύσει τα δικαιώματα των πολιτών για την προστασία των δεδομένων τους, όπως ορίζεται στο άρθρο 8 του Χάρτη Θεμελιακών Δικαιωμάτων στην Ε.Ε .
Εγκρίθηκε από το κοινοβούλιο της Ε.Ε στις 14 Απριλίου του 2016, μετά από συζήτηση 4 ετών. Παρόλο που ως έγγραφο άρχισε να ισχύει 20 ημέρες μετά την ημερομηνία έγκρισης, ημερομηνία υποχρεωτικής εφαρμογής του GDPR καθορίστηκε η 25 Μαΐου 2018. Μπορεί τα δύο χρόνια να φαίνονται πολύς χρόνος προετοιμασίας, αλλά υπάρχουν πολλά πράγματα που έπρεπε να γίνουν και παρόλο που πέρασαν ήδη, δεν έχουν ακόμη υλοποιηθεί από τους περισσότερους.
Μια από τις πρώτες θεμελιώδεις αλλαγές σχετικά με το προηγούμενο πλαίσιο προστασίας δεδομένων (οδηγία της ΕΕ για την προστασία των δεδομένων – οδηγία 95/46 / ΕΕ) είναι ότι, μετά από πολλές συζητήσεις, το κοινοβούλιο της ΕΕ αποφάσισε ότι το νέο πλαίσιο προστασίας της ιδιωτικής ζωής θα δημιουργηθεί με τη μορφή κανονισμού και όχι οδηγίας. Ένας κανονισμός είναι μια δεσμευτική νομοθετική πράξη που εφαρμόζεται άμεσα σε όλα τα κράτη μέλη της ΕΕ, εξαλείφοντας την ανάγκη κατάρτισης τοπικών νομοθετικών πράξεων. Αυτό καταδεικνύει και την αποφασιστικότητα εφαρμογής των πολιτικών προστασίας προσωπικών δεδομένων των Ευρωπαίων πολιτών, όπου κι αν βρίσκονται σε όλο τον κόσμο.
Η παγκόσμια εμβέλεια του GDPR, αφού προστατεύει την ιδιωτικότητα των Ευρωπαίων Πολιτών, σε όποιο σημείο του πλανήτη και αν βρίσκονται αυτοί, είναι άλλο ένα από τα νέα χαρακτηριστικά που συμβάλλουν σημαντικά στο αυξημένο επίπεδο προστασίας των προσωπικών δεδομένων. Μία από τις συνέπειες της προσέγγισης αυτής είναι ότι οι εταιρείες που δεν είναι εγκατεστημένες στην ΕΕ πρέπει όχι μόνο να διορίσουν έναν εκπρόσωπο, αλλά, αν συναλλάσσονται καθ’ οιονδήποτε τρόπο με Ευρωπαίους πολίτες, να τηρούν πλήρως και τον σχετικό κανονισμό.
Σε μια σημαντική επικαιροποίηση, το GDPR της ΕΕ εισήγαγε νέα δικαιώματα για τα υποκείμενα των δεδομένων. Αυτά είναι:
– δικαιώματα πρόσβασης, διόρθωσης και φορητότητας
– δικαίωμα να αντιταχθεί στην επεξεργασία των δεδομένων του
-δικαιώματα διαγραφής και περιορισμού της επεξεργασίας
Το πιο σημαντικό ζήτημα της νέας αλλαγής, είναι το ευρέως συζητημένο «Δικαίωμα στη Λήθη» (το οποίο τώρα αποκαλείται «δικαίωμα διαγραφής»). Το δικαίωμα διαγραφής μπορεί να ενεργοποιηθεί σε αρκετές περιπτώσεις, αν το υποκείμενο των δεδομένων αποσύρει τη συγκατάθεσή του ή εάν δεν υπάρχει πλέον καμία αιτιολόγηση για την επεξεργασία των προσωπικών του δεδομένων. Ο υπεύθυνος επεξεργασίας πρέπει να ανταποκρίνεται «χωρίς αδικαιολόγητη καθυστέρηση» κατά τη λήψη αυτών των αιτήσεων και πρέπει να ειδοποιεί όλες τις οντότητες στις οποίες έχει κοινοποιήσει αυτά τα δεδομένα, ώστε να τα διαγράψουν και αυτές.
Σε σύγκριση με την προηγούμενη οδηγία, το GDPR επιβάλλει υποχρεώσεις τόσο στους υπεύθυνους επεξεργασίας δεδομένων όσο και στους επεξεργαστές δεδομένων. Το GDPR προσφέρει επίσης καθοδήγηση και παραδείγματα για να διευκολύνει τους οργανισμούς να μετριάσουν τον κίνδυνο.
Μεταξύ αυτών είναι:
– ψευδωνυμοποίηση δεδομένων προσωπικού χαρακτήρα (δηλαδή επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο που δεν μπορεί πλέον να αποδοθεί σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση πρόσθετων πληροφοριών)
-την απαίτηση να αποκαθιστά εγκαίρως τη διαθεσιμότητα (και την πρόσβαση) σε προσωπικά δεδομένα, ύστερα από φυσικά ή τεχνικά περιστατικά
-την απαίτηση διασφάλισης της εμπιστευτικότητας, της ακεραιότητας και της ανθεκτικότητας των συστημάτων επεξεργασίας
– την προσθήκη διαδικασιών, ελέγχων και αξιολόγησης τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας των επεξεργασμένων δεδομένων προσωπικού χαρακτήρα
Επιπλέον, οι οργανισμοί πρέπει τώρα να πληρούν πιο αυστηρά πρότυπα όταν πρόκειται για παραβιάσεις κοινοποιήσεων. Σε γενικές γραμμές, οι οργανώσεις που έχουν υποστεί παραβίαση δεδομένων πρέπει να ενημερώσουν την εποπτική αρχή (ανεξάρτητη δημόσια αρχή που έχει συσταθεί από κάθε κράτος μέλος σύμφωνα με το άρθρο 51 του GDPR) «χωρίς αδικαιολόγητη καθυστέρηση» εκτός εάν η παραβίαση δεν θέτει σε κίνδυνο τα υποκείμενα των δεδομένων. Εάν υπάρχει κίνδυνος για τα επηρεαζόμενα άτομα, οι υπεύθυνοι πρέπει επίσης να το γνωστοποιήσουν στα ενδιαφερόμενα πρόσωπα στα οποία αναφέρονται, και πάλι «χωρίς αδικαιολόγητη καθυστέρηση».
Φυσικά έχουμε και νέες κυρώσεις, οι οποίες είναι σημαντικά υψηλότερες από ό, τι στην προηγούμενη οδηγία, αφού τα πρόστιμα μπορούν τώρα να φθάσουν το 4% του συνολικού κύκλου εργασιών της εταιρείας που βρίσκεται σε παραβίαση. Είναι σαφές ότι δίδεται μεγάλη έμφαση στην πρόθεση και προσπάθεια των επιχειρήσεων να συμμορφωθούν με τον Κανονισμό αφού το ένα σκέλος των προστίμων αφορά στη συμμόρφωση και το δεύτερο στις παραβιάσεις καθ’ αυτές.
Εργαλεία που μπορεί να βοηθήσουν μια επιχείρηση, είναι μια μελέτη ανάλυσης ελλείψεων (GDPR GAP Analysis) και μια μελέτη πιθανών επιπτώσεων (PIA) στο πλαίσιο του GDPR. Με αυτά, η επιχείρηση αποδεικνύει σε τυχόν έλεγχο ότι έχει πάρει όλα τα μέτρα για την προστασία των δεδομένων που χειρίζεται.
Εν κατακλείδι, με την εφαρμογή του Κανονισμού ο κόσμος, όπως τον γνωρίζουμε, αλλάζει σε πτυχές που ίσως δε φανταζόμαστε αυτή τη στιγμή. Η έκθεση σε αυτούς τους νέους κινδύνους και ο βαθμός συμμόρφωσης θα αναδιαμορφώσουν το χάρτη αξιών εταιριών κι οργανισμών, την ανάληψη κινδύνων από ασφαλιστικούς ή χρηματοοικονομικούς οργανισμούς, την πιστοληπτική ικανότητα των υποκειμένων, την ασφαλισιμότητα περιουσιακών στοιχείων και την αξιοπιστία συμβάσεων με ευνοϊκότερους όρους ή μη, ακόμα και την ύπαρξη ή μη επιχειρήσεων που επέλεξαν να μην συμμορφωθούν.
Η 25η Μαΐου είναι μόνο η αρχή μιας νέας πραγματικότητας. Μέχρι τότε παραθέτουμε επτά τρόπους για ν’ αποφύγουμε μια παραβίαση δεδομένων:
1. Μάθετε πού βρίσκονται τα ευαίσθητα προσωπικά δεδομένα που χειρίζεται ο οργανισμός σας.
2. Προσδιορίστε όλους τους κινδύνους που θα μπορούσαν να προκαλέσουν παραβίαση των δεδομένων αυτών.
3. Εφαρμόστε τα καταλληλότερα μέτρα (ελέγχους) για να μετριάσετε αυτούς τους κινδύνους.
4. Εφαρμόστε τις απαραίτητες πολιτικές και διαδικασίες για τη στήριξη των ελέγχων.
5. Διεξάγετε τακτικές δοκιμές και ελέγχους για να βεβαιωθείτε ότι όλα λειτουργούν όπως προβλέπεται.
6. Αναθεωρείτε και ενημερώνετε τα σχέδια ασφαλείας σας τακτικά.
7. Εφαρμόστε ένα ολοκληρωμένο και αξιόπιστο σύστημα ασφαλείας των πληροφοριών σας.
Και, αν νοιώθετε απροστάτευτοι, αν έχετε ανησυχία σχετικά με πιθανές καταγγελίες, ασφαλιστείτε. Είναι και αυτό ένας τρόπος να αντιμετωπίσετε αν όχι το πρόβλημα, τουλάχιστον τις συνέπειες του.
Η Αναστασία Μανώλα είναι Διευθύντρια Υποκ/τος Ευρωπαϊκής Πίστης, Μέλος ΔΣ Επιμελητηρίου Ρεθύμνου
