Του Γιάννη Σαλαβόπουλου, ΜΒΑ, CEO, CAPITALS Circle Group, (capitalscirclegroup.com, GRC, GDPR/Data Experts), Νομικού & Καθηγητή, SRH Berlin Int. Management University, (Email: [email protected])
Συμμόρφωση με τον GDPR σε 5 πρακτικά βήματα
Ο νέος κανονισμός της ΕΕ για την προστασία προσωπικών δεδομένων, γνωστός ως GDPR (EU 2016/679), ο οποίος τίθεται σε ισχύ από 25.50218, θα αλλάξει την καθημερινότητα εταιρειών, οργανισμών αλλά και των Ευρωπαίων πολιτών. Είναι πρώτη φορά που Ευρωπαϊκός Κανονισμός, έχει παγκόσμια ουσιαστικά αναφορά, αφού αφορά όχι μόνο τις ευρωπαϊκές εταιρείες και οργανισμούς αλλά και εκείνους εκτός ΕΕ, που επεξεργάζονται προσωπικά δεδομένα Ευρωπαίων πολιτών. Όλοι οι οργανισμοί θα πρέπει να συμμορφωθούν με τον GDPR από την πρώτη μέρα. Ο GDPR δεν αφορά μόνο μεγάλες εταιρείες αλλά τόσο μικρότερες εταιρείες όσο και σωματεία, συνδέσμους, Πανεπιστήμια και οργανισμούς του δημοσίου τομέα. Αφενός οπλίζει τους Ευρωπαίους πολίτες ως καταναλωτές με περισσότερα δικαιώματα σε περίπτωση κινδύνου ή παραβίασης των δεδομένων της, αφετέρου προστατεύει τις νομοταγείς εταιρείες, ενώ προβλέπει αυστηρά πρόστιμα για εκείνες που δεν τηρούν τις απαραίτητες πολιτικές και διαδικασίες ασφαλείας τις δικές τους είτε προσπαθήσουν να παραβιάσουν ή να υποκλέψουν προσωπικά δεδομένα από τρίτους οργανισμούς. Ο GDPR είναι επομένως σημαντικός για όλους μας. Ακόμη πιο σημαντικός είναι για οργανισμούς και εταιρείες, ειδικά για εκείνες που επεξεργάζονται κρίσιμα και ευαίσθητα δεδομένα ο λεγόμενος υπεύθυνος προστασίας δεδομένων (Data Protection Officer, DPO), ο οποίος θα είναι υπεύθυνος έναντι των αρχών για την εφαρμογή των πολιτικών και διαδικασιών προστασίας προσωπικών δεδομένων.
Η πρόσφατη περίπτωση του Facebook και η μη ορθή αν όχι παράνομη λήψη και χρήση προσωπικών δεδομένων εκατομμύριων στοχευμένων χρηστών του Facebook από την Cambridge Analytica με οικονομικό όφελος , συμβάν που πήρε διαστάσεις πολιτικο-οικονομικού σκανδάλου με αρνητική κάλυψη για αυτή και το Facebook σε όλα τα ΜΕΕ παγκοσμίως, με την κλήση του CEO του Facebook στο Αμερικανικό Κογκρέσο για εξηγήσεις, είχε εν τέλει για την Cambridge Analytica εξαιρετικά οδυνηρές συνέπειες, καθότι αναγκάστηκε μετά από τον σάλο που ξέσπασε και την απόσυρση πολλών πελατών της να κηρύξει πρόσφατα πτώχευση.
Το εν λόγω σκάνδαλο καθώς και πολλά άλλα παλαιότερα εταιρικά σκάνδαλα προσωπικών δεδομένων με οικονομικό, πολιτικό ή άλλο υπόβαθρο τόσο στην Ελλάδα όσο και σε άλλες ευρωπαϊκές χώρες, καταδεικνύουν τις πιθανές εξαιρετικά αρνητικές επιπτώσεις σε μια εταιρεία, στην περίπτωση που δεν τηρεί ορθές πολιτικές προστασίας προσωπικών δεδομένων, οδηγώντας ακόμα και στον αφανισμό της εταιρείας.
Ο GDPR προβλέπει αυστηρό πλαίσιο και διαδικασίες ενημέρωσης του υποκειμένου στις περιπτώσεις που τα προσωπικά δεδομένα βρίσκονται σε ρίσκο, ενώ στις περιπτώσεις που τα προσωπικά δεδομένα βρίσκονται σε υψηλό κίνδυνο χρειάζεται επιπλέον συντονισμός με τις αρχές καθώς και ανάλυση ρίσκου, ενώ είναι ακόμη πιο αυστηρός, στις περιπτώσεις παραβίασης των δεδομένων. Σε περίπτωση παραβίασης, οι οργανισμοί και εταιρείες υποχρεούνται να αντιδράσουν και να απαντήσουν μέσα σε 72 ώρες. Σε περίπτωση παραβίασης, τα πρόστιμα που προβλέπει ο Κανονισμός μπορεί να φθάσουν το 2% ή ακόμα και το 4% των συνολικών εσόδων του οργανισμού, ανάλογα με την περίπτωση και πόσο σοβαρή είναι η παραβίαση δεδομένων κάθε φορά, ποια μέτρα προστασίας ελήφθησαν προληπτικά κλπ. Επομένως γίνεται αντιληπτό, ότι πέραν της διαδικασίας συμμόρφωσης, είναι απαραίτητοι και η εγκαθίδρυση μηχανισμών και διαδικασιών παρακολούθησης ροής προσωπικών δεδομένων καθώς και πρόληψης επιθέσεων για την κλοπή δεδομένων.
Στην ψηφιακή εποχή, τα προσωπικά δεδομένα είναι εξαιρετικά πολύτιμα για διάφορους ενδιαφερόμενους (κράτη, μυστικές υπηρεσίες, ανταγωνιστικές εταιρείες, κακόβουλους χρήστες, αλλά και χάκερς, τρομοκράτες κλπ.) Οι κυβερνοεπιθέσεις με στόχο την κλοπή προσωπικών δεδομένων έχει αυξηθεί τα τελευταία χρόνια για διάφορους λόγους (π.χ. εγκληματικότητα, οικονομικούς, κατασκοπεία, πολιτικούς, εκδίκηση κλπ. ). Με τον GDPR οι οργανισμοί είναι υποχρεωμένοι μεταξύ άλλων, να διαθέτουν και το κατάλληλο τεχνικό επίπεδο ασφάλειας προσωπικών δεδομένων. Ένα έργο συμμόρφωσης με το GDPR έχει διαστάσεις πολιτικών και διαδικασιών, νομικές, τεχνολογικές. Τα 5 ακόλουθα πρακτικά βήματα, μπορούν να βοηθήσουν τους οργανισμούς να συμμορφωθούν με τον GDPR.
- Φάση σχεδιασμού. Χαρτογράφηση Προσωπικών Δεδομένων & Κατηγοριοποίηση Δεδομένων. Αξιολόγηση της τεράστιας κλίμακας των προσωπικών δεδομένων που επεξεργάζεται, διαχειρίζεται, ελέγχει κάθε οργανισμός.
- Φάση σχεδιασμού. Gap Analysis – Ανάλυση κενών συμμόρφωσης του οργανισμού σε σχέση με τις απαιτήσεις του GDPR. Αξιολόγηση και προσδιορισμός συγκεκριμένων τομέων μη συμμόρφωσης του οργανισμού σε σύγκριση με τις απαιτήσεις συμμόρφωσης του GDPR. Αξιολόγηση της τρέχουσας κατάστασης στον οργανισμό σε σχέση με την προστασία δεδομένων, των τρωτών σημείων σχετικά με τις πολιτικές, διαδικασίες και συστήματα προστασίας δεδομένων. Η Gap Analysis είναι το κλειδί για να προσδιοριστεί το επίπεδο μη συμμόρφωσης του οργανισμού, ώστε να καλυφθεί στη φάση εφαρμογής.
- Φάση σχεδιασμού. Αξιολόγηση κινδύνου προσωπικών δεδομένων & ανάλυση επιχειρησιακών επιπτώσεων/ρίσκων προσωπικών δεδομένων. Αναλύοντας τους πιθανούς κινδύνους κυρίως κρίσιμων και ευαίσθητων δεδομένων, καθώς και με την ανάπτυξη σεναρίων κινδύνων στην ψηφιακή παρουσία της εταιρείας και αλλού και πιθανών επιπτώσεων στον οργανισμό, οικοδομείται ένα πλάνο διαχείρισης κινδύνων, προκειμένου να μετριαστούν τα ρίσκα αλλά και να είναι προετοιμασμένος ο οργανισμός να αντιμετωπίσει κάθε σενάριο με βάση τις βέλτιστες πρακτικές και τα διεθνή πρότυπα. Αξιολόγηση της έκτασης των πιθανών ζημιών στον οργανισμό. Εκτίμηση της αποδοτικότητας των πολιτικών, διαδικασιών συστημάτων κλπ.
- Φάση υλοποίησης. 4.1 Παράδοση εγχειριδίου πολιτικών και διαδικασιών προστασίας προσωπικών δεδομένων με βάση τον GDPR, επικαιροποίηση υφιστάμενων πολιτικών και διαδικασίας προστασίας προσωπικών δεδομένων, εγχειριδίων, διαδικασιών (αν υπάρχουν), προσαρμογή τεχνικών διαδικασιών για τα συστήματα πληροφορικής του οργανισμού, επικοινωνία των νέων πολιτικών προστασίας προσωπικών δεδομένων στους χρήστες (υπαλλήλους, ) και λήψη της συναίνεσης τους πριν την 25.5.2018 για τη νόμιμη συνέχιση της επεξεργασίας δεδομένων τους, εγκατάσταση μηχανισμών και διαδικασιών παρακολούθησης ροής δεδομένων καθώς και πρόληψης κυβερνοεπιθέσεων για την κλοπή προσωπικών δεδομένων. 4.2. ‘Ελεγχος της ασφάλειας των συστημάτων πληροφορικής με τα λεγόμενα Vulnerabilities Tests των συστημάτων πρώτα Penetration Tests στη συνέχεια. Ο συνδυασμός των δύο για κρίσιμες τεχνολογικές υποδομές πληροφορικής του οργανισμού παρέχει ένα πρώτο επαρκές επίπεδο ασφαλείας. Αύξηση της ευαισθητοποίησης και της μεταφοράς γνώσης σχετικά με το θέμα μέσα στον οργανισμό.
- Ανασκόπηση & Παρακολούθηση. Review & Control σε επίπεδο πολιτικών, διαδικασιών και συστημάτων στο τέλος του έργου καθώς και επανάληψη τουλάχιστον μια φορά ανά έτος
Η συμμόρφωση με το GDPR δεν λήγει στις 25.5.2018, αλλά συνεχίζεται και πέραν αυτής της ημερομηνίας και θα πρέπει να είναι διαρκής. Όλοι οι οργανισμοί πρέπει να είναι διαρκώς συμμορφούμενοι, δεδομένου ότι κάθε οργανισμός λαμβάνει νέα προσωπικά δεδομένα καθημερινά, ενώ όλα τα δεδομένα πρέπει να είναι σε θέση να χαρτογραφούνται και να κατηγοριοποιούνται ηλεκτρονικά αλλά και να αποθηκεύονται με ασφάλεια. Επιπλέον, κάθε οργανισμός πρέπει να καθιερώσει όχι μόνο τη διαδικασία συμμόρφωσης με το GDPR, αλλά και διαδικασίες και μηχανισμούς για την παρακολούθηση δεδομένων και τη διαχείριση περιστατικών, προκειμένου να είναι σε θέση να ανιχνεύει τις απειλές αλλά και να αποτρέπει τις παραβιάσεις αλλά και πιθανές επιθέσεις για κλοπές προσωπικών δεδομένων.
Η ΕΕ αναδιαμορφώνει επομένως με το GDPR όλο το σκηνικό στη εποχή της ψηφιακής οικονομίας. Πέραν των μεγάλων οργανισμών, οι μεσαίες και μικρές εταιρείες πρέπει να μην διακινδυνεύουν τη μη συμμόρφωση ή την μη ορθή ή ολοκληρωμένη συμμόρφωση, ακόμη περισσότερο δεν πρέπει να διακινδυνεύουν μια παραβίαση δεδομένων, η οποία θα μπορούσε να προκαλέσει όχι μόνο βλάβη στη φήμη ή να επιφέρει πρόστιμο, αλλά ακόμη και να οδηγήσει στην εξαφάνιση της εταιρείας. Οι εταιρείες θα πρέπει να μπορούν να δούνε και την άλλη πλευρά του νομίσματος, καθώς αυτές που θα συμμορφωθούν με τον GDPR ορθά και πλήρως, θα έχουν ανταγωνιστικό πλεονέκτημα. Δεν πρέπει να θεωρούμε ότι η συμμόρφωση με τον GDPR αποτελεί ένα ακόμα ρυθμιστικό εμπόδιο, αλλά ως ένα νέο σύγχρονο πλαίσιο προστασίας δεδομένων, το οποίο θα ανοίξει νέες επιχειρηματικές ευκαιρίες σε νέα πεδία.
H CCG διοργανώνει δωρεάν τετράωρο σεμινάριο Συμμόρφωσης με τον GDPR στις 23.5.2018, 17.00-21.00 (Αθήνα, Γραφεία Ασφαλιστικών Συμβούλων Polaris. Δωρεάν Δήλωση Συμμετοχής: https://www.eventbrite.co.uk/e/gdpr-compliance-incident-management-data-cyber-insurance-workshop-registration-45825607626). Το Banks.com.gr είναι χορηγός επικοινωνίας τη εκδήλωσης.