Τα οφέλη του byDesign για τη συμμόρφωση των ΜμΕ στον GDPR και την προστασία δεδομένων από τον σχεδιασμό
Τα κύρια αποτελέσματα του έργου ‘byDesign’, από την Αρχή Προστασίας Δεδομένων, σε συνεργασία με το Πανεπιστήμιο Πειραιώς και την Ελληνική εταιρεία Πληροφορικής ‘ICT Abovo ΙΚΕ’
Το έργο με τον πλήρη τίτλο «Διευκόλυνση της συμμόρφωσης μικρομεσαίων επιχειρήσεων με τον GDPR και προώθηση της προστασίας δεδομένων από τον σχεδιασμό σε προϊόντα και υπηρεσίες ΤΠΕ (byDesign)» (https://bydesign-project.eu/), του οποίου η υλοποίηση άρχισε τον Νοέμβριο 2020 και ολοκληρώθηκε τον Οκτώβριο 2022, από την Αρχή Προστασίας Δεδομένων, σε συνεργασία με το Πανεπιστήμιο Πειραιώς και την Ελληνική εταιρεία Πληροφορικής ‘ICT Abovo ΙΚΕ’, συγχρηματοδοτήθηκε σε ποσοστό 80% από την Ευρωπαϊκή Επιτροπή και είχε τους εξής κύριους στόχους:
1. Δημιουργία εργαλειοθήκης συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ) για τη διευκόλυνση μικρομεσαίων επιχειρήσεων, η οποία σχεδιάστηκε να περιλαμβάνει απλά στη χρήση εργαλεία υποβοήθησης των εταιρειών και επαγγελματιών, συνοδευόμενα από πρότυπα των απαραίτητων εγγράφων, κατάλληλα προσαρμόσιμα στα εκάστοτε δεδομένα τους.
2. Δημιουργία εκπαιδευτικού υλικού για την παροχή εξειδικευμένης γνώσης και πρακτικής καθοδήγησης στους επαγγελματίες και τις εταιρείες που δραστηριοποιούνται σε ΤΠΕ και νέες τεχνολογίες, ώστε να ενσωματώνουν στα προϊόντα και τις υπηρεσίες τους μεθοδολογίες και σύγχρονες τεχνικές για την προστασία των δεδομένων εκ σχεδιασμού (data protection by design).
Α. Εργαλειοθήκη συμμόρφωσης με τον ΓΚΠΔ
Ανάλυση απαιτήσεων και δημιουργία υλικού και εφαρμογής
Μετά από εκτενή ανάλυση των αναγκών συμμόρφωσης με τον ΓΚΠΔ μικρομεσαίων επιχειρήσεων, τη σχετική συνεισφορά ενώσεων υπευθύνων επεξεργασίας, εργαζομένων και καταναλωτών, καθώς και μεμονωμένων επιχειρήσεων και επαγγελματικών, διαμορφώθηκαν, με τη βοήθεια ερωτηματολογίων (EU Survey) και την οργάνωση εργαστηρίων, οι λειτουργικές απαιτήσεις της εργαλειοθήκης συμμόρφωσης, προκειμένου να έχει ιδιαίτερη πρακτική αξία για κάθε ενδιαφερόμενο. Η προσπάθεια επικεντρώθηκε στις ανάγκες των τομέων τουρισμού και της φιλοξενίας, της εκπαίδευσης, του ηλεκτρονικού εμπορίου και της υγείας, λόγω του ευρέος ενδιαφέροντος που εκδηλώθηκε με τη συμπλήρωση των ερωτηματολογίων και τη συμμετοχή εκπροσώπων τους στα εργαστήρια.
Αφού αναλύθηκαν οι επιχειρηματικές δραστηριότητες των προαναφερόμενων τομέων οι οποίες συνεπάγονται επεξεργασία δεδομένων, σε σχέση με τις αρχές της νομιμότητας και λογοδοσίας, προσδιορίστηκαν ως κύριες πράξεις επεξεργασίας που θα υποστηρίζονται από την εργαλειοθήκη συμμόρφωσης η διαχείριση προσωπικού και υποψηφίων υπαλλήλων, η διαχείριση πελατών και υποψηφίων πελατών, η διαχείριση προμηθευτών, βίντεο-επιτήρηση και η διαχείριση περιστατικών παραβίασης δεδομένων.
Επιπλέον, διαμορφώθηκαν πρότυπες διαδικασίες και έγγραφα, προσαρμόσιμα στα δεδομένα κάθε υπευθύνου επεξεργασίας, με τη βοήθεια κατάλληλων οδηγών που υλοποιεί το εργαλείο συμμόρφωσης, σχετικά με τη διαφάνεια, την παροχή πληροφοριών στα υποκείμενα των δεδομένων, τη συναίνεση, τα δικαιώματα προστασίας δεδομένων και τις διαδικασίες διαχείρισης αιτημάτων υποκειμένων δεδομένων, τις διαδικασίες καταστροφής δεδομένων, τα αρχεία δραστηριοτήτων επεξεργασίας, τα μέτρα ασφάλειας, τον χειρισμό περιστατικών παραβίασης δεδομένων, την ανάθεση επεξεργασίας δεδομένων σε εκτελούντες την επεξεργασία, απαιτήσεις ιστοσελίδων όσον αφορά τη διαφάνεια και τα βασικά μέτρα ασφάλειας και τη συμμόρφωση με τις νομοθετικές προβλέψεις για cookies, άμεσο μάρκετινγκ μέσω ηλεκτρονικών μέσων, βίντεοεπιτήρηση και διαχείριση αρχείων εργαζομένων και υποψηφίων υπαλλήλων.
Πιλοτική και παραγωγική λειτουργία της εργαλειοθήκης συμμόρφωσης
Μετά από τρίμηνη πιλοτική λειτουργία της εργαλειοθήκης, ακολούθησε βελτίωσή της, στη βάση παρατηρήσεων και προτάσεων χρηστών και της ομάδας έργου και από το τέλος του περασμένου Ιουλίου, η εργαλειοθήκη τέθηκε σε παραγωγική λειτουργία. Η εργαλειοθήκη περιλαμβάνει τη διεπαφή χρήστη για τη συμπλήρωση του ερωτηματολογίου που καλείται να συμπληρώσει ο ενδιαφερόμενος, μέσω του οποίου προσδιορίζονται οι διαδικασίες και τα έγγραφα που σχετίζονται με τον χρήστη (επιχείρηση) και τα οποία προσαρμόζονται από τα αντίστοιχα υποδείγματα της βάσης δεδομένων της εργαλειοθήκης και παρέχονται στον χρήστη. Επίσης, περιλαμβάνεται και διεπαφή διαχείρισης, για τη βελτίωση ή διεύρυνση των υποδειγμάτων και την ενδεχόμενη τροποποίηση της λογικής προσαρμογής τους στις εκάστοτε ανάγκες των χρηστών. Οι γλώσσες στις οποίες παρέχονται τα αποτελέσματα της εφαρμογής είναι η ελληνική και η αγγλική, υπάρχει όμως η δυνατότητα πρόβλεψης και άλλων γλωσσών, υπό την προϋπόθεση αντίστοιχης μετατροπής και των περιεχομένων της βάσης δεδομένων της. Αξιοσημείωτο είναι ότι από τον χρόνο θέσης της σε παραγωγική λειτουργία (28/7) μέχρι τις 19 Οκτωβρίου είχαν καταγραφεί 372 προσβάσεις στην εργαλειοθήκη και η παραγωγή 410 συνόλων εγγράφων και διαδικασιών συμμόρφωσης.
Η εργαλειοθήκη είναι διαθέσιμη στο https://www.dpa.gr/el/byDesign... και στην ιστοσελίδα του έργου byDesign, www.bydesign-project.eu.
Β. Εκπαιδευτικό υλικό και εκπαιδεύσεις στην προστασία δεδομένων εκ σχεδιασμού
Ανάλυση εκπαιδευτικών αναγκών και δημιουργία εκπαιδευτικού υλικού και μεθοδολογίας
Για τη συλλογή και ανάλυση των εκπαιδευτικών αναγκών, διαμορφώθηκε και απεστάλη ειδικό ερωτηματολόγιο, ανά κατηγορία ενδιαφερομένων, με τη βοήθεια της εφαρμογής EU Survey. Κυρίως προσεγγίστηκαν, μέσω ενώσεων επαγγελματιών ή εταιριών, μεμονωμένων επιχειρήσεων και μέσω ανοικτών προσκλήσεων, τέσσερις κατηγορίες εμπλεκομένων, μηχανικοί και αρχιτέκτονες λογισμικού, προγραμματιστές, υπεύθυνοι έργων πληροφορικής, καθώς και φοιτητές με εμπειρία προγραμματισμού. Ελήφθησαν 168 απαντήσεις από επαγγελματίες και 23 από φοιτητές, οι οποίες και συζητήθηκαν σε τέσσερα εικονικά εργαστήρια, στα οποία συμμετείχαν συνολικά 92 ενδιαφερόμενοι, εκτός των στελεχών της Αρχής και των εταίρων στο έργο.
Με βάση τις εκπαιδευτικές ανάγκες που προσδιορίστηκαν, αναπτύχθηκε εκπαιδευτικό υλικό στα ακόλουθα θέματα: ορολογία και αρχές προστασίας δεδομένων, άμεση προώθηση προϊόντων και υπηρεσιών – διαφήμιση, cookies, χειρισμός περιστατικών παραβίασης δεδομένων, διάρκεια τήρησης δεδομένων, δικαιώματα των υποκειμένων των δεδομένων, τεχνικές και ρόλος κρυπτογραφίας, ανωνυμοποίησης και ψευδωνυμοποίησης, αποτίμηση κινδύνου ασφάλειας σε αντιδιαστολή με την εκτίμηση αντικτύπου στην προστασία δεδομένων και μεθοδολογίες προσδιορισμού απαιτήσεων προστασίας δεδομένων εκ σχεδιασμού. Επίσης, καθορίστηκε η εκπαιδευτική μεθοδολογία και το πλάνο των εκπαιδεύσεων.
Πραγματοποίηση εκπαιδεύσεων
Οι εκπαιδεύσεις χωρίστηκαν σε γενικού και ειδικού τεχνικού περιεχομένου. Το εκπαιδευτικό σεμινάριο γενικού περιεχομένου απευθυνόταν σε διοικητικά στελέχη και αναλυτές και σχεδιαστές πληροφοριακών συστημάτων, καθώς και σε στελέχη που εμπλέκονται στη συμμόρφωση με τον ΓΚΠΔ, είχε δε ως βασικές θεματικές ενότητες τις εξής: Εισαγωγή στην ορολογία για την προστασία προσωπικών δεδομένων, Οργανωτική δομή και ρόλοι για τη συμμόρφωση με τον ΓΚΠΔ, Εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων, Προστασία δεδομένων από το σχεδιασμό και εξ’ ορισμού, Διαχείριση περιστατικών παραβίασης δεδομένων, Πολιτικές ιδιωτικότητας και Λογισμικό καταγραφής ενεργειών (cookies, trackers) κατά την προώθηση/διαφήμιση προϊόντων. Το σεμινάριο γενικού περιεχομένου πραγματοποιήθηκε επτά φορές, συμμετείχαν δε σε αυτό 450 ενδιαφερόμενοι.
Τα τέσσερα σεμινάρια ειδικού τεχνικού περιεχομένου απευθύνονταν σε εργαζόμενους στον τομέα της πληροφορικής, με αντικείμενο την ‘Αποτίμηση επικινδυνότητας στην προστασία δεδομένων και στην ασφάλεια πληροφοριών’, ‘Ανάλυση και υλοποίηση απαιτήσεων προστασίας δεδομένων εκ σχεδιασμού, αρχές επεξεργασίας, δικαιώματα υποκειμένων των δεδομένων και χρόνο τήρησης δεδομένων’, ‘Διαχείριση περιστατικών παραβίασης δεδομένων’ και ‘Τεχνικές κρυπτογράφησης, ψευδωνυμοποίησης και ανωνυμοποίησης για την προστασία δεδομένων’, αντίστοιχα. Τα τέσσερα αυτά τεχνικά σεμινάρια πραγματοποιήθηκαν τρεις φορές το καθένα, στα μέσα Οκτώβριο δε πραγματοποιήθηκε ακόμη ένα τεχνικό σεμινάριο που αφορούσε όλη την προαναφερόμενη ύλη, εστίασε όμως σε μελέτες περίπτωσης. Επίσης, πραγματοποιήθηκαν και δύο εκπαιδευτικές εκδηλώσεις που απευθύνονταν σε φοιτητές με εμπειρία στην ανάπτυξη συστημάτων πληροφορικής.
Διαμόρφωση Οδηγού στην προστασία δεδομένων εκ σχεδιασμού
Το εκπαιδευτικό υλικό, αποτελούμενο κυρίως από τις παρουσιάσεις που αξιοποιήθηκαν στις εκπαιδεύσεις, αποτέλεσε τη βάση για τη δημιουργία οδηγού στην προστασία δεδομένων εκ σχεδιασμού, στον οποίο περιλήφθηκαν και εισαγωγικά κείμενα, προσδοκώμενα αποτελέσματα, πρόσθετες επεξηγήσεις εννοιών και βιβλιογραφικές αναφορές.
Επίλογος
Τόσο η εργαλειοθήκη συμμόρφωσης με τον ΓΚΠΔ όσο και ο Οδηγός προστασίας δεδομένων εκ σχεδιασμού θα προσφέρονται για αρκετό χρόνο μετά την ολοκλήρωση της υλοποίησης του έργου byDesign, στο τέλος Οκτωβρίου.
Στο μεταξύ, η Αρχή προστασίας Δεδομένων, σε συνεργασία και πάλι με το Πανεπιστήμιο Πειραιώς και την εταιρία Abovo, άρχισαν τον περασμένο Σεπτέμβριο την υλοποίηση ενός δεύτερου έργου, με τον διακριτικό τίτλο ‘byDefault’, με βασικές επιδιώξεις τη δημιουργία εκπαιδευτικού υλικού στην προστασία δεδομένων για μαθητές πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης και τη δημιουργία πλατφόρμας συνεργασίας και ενημέρωσης DPOs και εν γένει επαγγελματιών στην προστασία δεδομένων.
Σχόλια