Πώς μπορείτε να προστατεύσετε τα προσωπικά δεδομένα της επιχείρησής σας;
Ο Νίκος Γεωργόπουλος, Cyber Privacy Risks Insurance Advisor - Cromar Coverholder at Lloyd’s, Co-Founder The DPO Academy είναι ομιλητής στο GDPR Symposium που διοργανώνει η KPMG στις 16 Νοεμβρίου στο ξενοδοχείο Hilton και με αυτήν την αφορμή μίλησε στο epixeiro.gr.
Πείτε μας λίγα λόγια για τον ευρωπαϊκό κανονισμό για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών.
Η ΕΕ δημιούργησε ένα νέο πλαίσιο προστασίας των προσωπικών δεδομένων των πολιτών της, τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ - GDPR).
Ο Κανονισμός τέθηκε σε ισχύ στις 5 Μαΐου 2016 με μεταβατική περίοδο 2 ετών και θα εφαρμοσθεί άμεσα, ως νομοθέτημα αμέσου εφαρμογής (όχι Οδηγία) σε όλες τις χώρες μέλη της Ευρωπαϊκής Ένωσης στις 25 Μαΐου 2018.
Ο Κανονισμός ρυθμίζει τα δικαιώματα των φυσικών προσώπων σχετικά με:
- Τα προσωπικά τους δεδομένα.
- Την επεξεργασία των προσωπικών τους δεδομένων.
- Την ελεύθερη και ανεμπόδιστη κυκλοφορία και μεταβίβαση των προσωπικών τους δεδομένων εντός των ορίων της Ευρωπαϊκής Ένωσης.
- Τις διαδικασίες διαβίβασης προσωπικών δεδομένων εκτός Ευρωπαϊκής Ένωσης.
Η εφαρμογή του επηρεάζει όλους τους οργανισμούς εντός και εκτός ΕΕ οι οποίοι συλλέγουν και επεξεργάζονται δεδομένα Ευρωπαίων πολιτών. Στόχος του κανονισμού είναι η δημιουργία ενός περιβάλλοντος που προσφέρει ασφάλεια και προστατεύει την ιδιωτικότητα.
Ο Κανονισμός επίσης προβλέπει την υποχρεωτική γνωστοποίηση στις αρμόδιες αρχές συμβάντων που σχετίζονται με περιστατικά παραβίασης και απώλειας δεδομένων εντός 72 ωρών και την επιβολή προστίμων στις εταιρίες που δεν κατάφεραν να προστατεύσουν τα δεδομένα των πελατών τους τα οποία μπορούν να φθάσουν το 4% του τζίρου τους ή EUR 20 εκ όποιο από τα δύο είναι μεγαλύτερο.
Πώς ακριβώς ορίζονται τα προσωπικά δεδομένα; Τι είναι και τι δεν είναι σε αυτή την κατηγορία;
Προσωπικά δεδομένα είναι κάθε πληροφορία που αναφέρεται σε και περιγράφει ένα άτομο, όπως: στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση κλπ.), φυσικά χαρακτηριστικά, εκπαίδευση, εργασία (προϋπηρεσία, εργασιακή συμπεριφορά κ.λπ.), οικονομική κατάσταση (έσοδα, περιουσιακά στοιχεία, οικονομική συμπεριφορά), ενδιαφέροντα, δραστηριότητες, συνήθειες, γενετικά δεδομένα, βιομετρικά δεδομένα και δεδομένα υγείας.
Τι σημαίνει DPO, ποια τα καθήκοντα, τα προσόντα και οι ευθύνες του; Πρέπει να προσληφθεί ειδικός ή μπορεί η θέση να καλυφθεί εσωτερικά;
Ο Data Protection Officer είναι ο Υπεύθυνος Προστασίας Δεδομένων της εταιρίας ο οποίος θα αναλάβει το έργο της συμμόρφωσής της με το νέο Κανονισμό.
Πιο συγκεκριμένα αναλαμβάνει να:
- Εκπροσωπήσει την Επιχείρηση έναντι των Αρχών, Εθνικών και Ευρωπαϊκών.
- Διασφαλίσει την εναρμόνιση της λειτουργίας της επιχείρησης σε ότι αφορά τις πολιτικές πρακτικές και μεθοδολογία επεξεργασίας, αποθήκευσης και μεταφοράς Δεδομένων Προσωπικού Χαρακτήρα με το νέο αυστηρό νομοθετικό πλαίσιο και να δημιουργήσει την κατάλληλη κουλτούρα στο ανθρώπινο δυναμικό της εταιρείας.
- Προστατέψει την επιχείρηση από τους κινδύνους επιβολής των σημαντικότατων και βαρύτατων διοικητικών προστίμων που προβλέπει ο Κανονισμός.
Ο Data Protection Officer θα πρέπει να έχει τις κατάλληλες γνώσεις και δεξιότητες για να ανταποκριθεί στον ρόλο του, αποδεδειγμένη γνώση και εμπειρία στη νομοθεσία και πρακτική εφαρμογή των διαδικασιών διαχείρισης προσωπικών δεδομένων, εχέγγυα ανεξαρτησίας και να αναφέρεται απευθείας στον CEO ή σε μέλος του Δ.Σ μιας εταιρείας. Σημαντικός παράγοντας στην επιλογή στελεχών για την θέση του DPO είναι και η κατοχή σχετικής Πιστοποίησης από τους υποψηφίους. Αν μια εταιρεία θελήσει να καλύψει εσωτερικά την θέση ή να αναθέσει σε κάποιον τρίτο τις DPO υπηρεσίες είναι ένα θέμα προς συζήτηση που θα αναλυθεί διεξοδικά στο GDPR Symposium της KPMG, στο οποίο θα είμαι ομιλητής.
Πόσο κοστίζει να προετοιμαστεί καταλλήλως μια επιχείρηση; Μπορεί να γίνει εσωτερικά ή χρειάζεται ειδική γνώση;
Ο Κανονισμός προβλέπει ότι κάθε εταιρία ή οργανισμός θα πρέπει να λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα που θα εξασφαλίσουν την προστασία, ασφάλεια, ακεραιότητα και διαθεσιμότητα της πληροφορίας. Το κόστος των έργων που πρέπει να γίνουν, η επιλογή εξωτερικών συμβούλων για την υλοποίηση τους ή μη εξαρτάται από το στάδιο συμμόρφωσης που βρίσκεται κάθε εταιρία, αν έχει το κατάλληλο ανθρώπινο δυναμικό και τον χρόνο για την υλοποίησή τους. Ο κανονισμός και η ανάγκη συμμόρφωσης με αυτόν δημιούργησε μία νέα αγορά συμβουλευτικών υπηρεσιών.
Ποιος είναι κατάλληλος να συμβουλεύσει την επιχείρηση: Δικηγόρος, λογιστής ή υπεύθυνος πληροφορικής;
Ο πιο κατάλληλος είναι ο Data Protection Officer, ο οποίος θα πρέπει να δημιουργήσει μια ομάδα, η οποία θα αποτελείται από τα στελέχη της εταιρίας και εξωτερικούς συνεργάτες με ενεργή συμμετοχή όλων των μερών στην υλοποίηση της διαδικασίας συμμόρφωσης και την παρακολούθησή της μετά την ολοκλήρωσή της.
Πως μπορεί να προστατευθεί μια επιχείρηση από κακόβουλες ενέργειες;
‘Εχοντας μια συνολική στρατηγική για την διαχείριση των κινδύνων που απειλούν την επιχειρηματική της δραστηριότητα. Στην στρατηγική αυτή εκτός από την λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων που προβλέπονται από το GDPR θα πρέπει να προστεθεί και η ασφάλιση cyber insurance για την διαχείριση του κινδύνου (residual risk) που δεν μπορεί να μειωθεί περαιτέρω με πολιτικές και διαδικασίες.
Ενώ η ασφάλιση δεν μπορεί να εμποδίσει ένα περιστατικό παραβίασης ασφάλειας, μπορεί εκτός από την κάλυψη των οικονομικών επιπτώσεων, να βοηθήσει στην καλύτερη υλοποίηση του πλάνου αντιμετώπισης περιστατικών παραβίασης συστημάτων και απώλειας προσωπικών δεδομένων (Incident Response Plan) παρέχοντας εξειδικευμένες ομάδες ειδικών με εμπειρία στην διαχείριση και τις απαραίτητες υποδομές όταν εμφανίζεται συμβάν μειώνοντας τις επιπτώσεις της παραβίασης στους πελάτες και τη φήμη της εταιρείας.
Σχόλια