NEWSFLASH...
GDPR
ανάγνωση

ΣΕΒ: 10 +1 προτεινόμενα βήματα για την ορθή εφαρμογή του Κανονισμού GDPR από τις επιχειρήσεις

ΣΕΒ: 10 +1 προτεινόμενα βήματα για την ορθή εφαρμογή του Κανονισμού GDPR από τις επιχειρήσεις
08_05_2018
epixeiro icon GDPR

Είναι σημαντικό να διευκρινιστεί ότι η λίστα των ενεργειών δεν είναι εξαντλητική, ούτε μοναδική (δεν υφίσταται δηλαδή μία λύση για όλους). Όμως, κάθε επιχείρηση, με βάση τις δικές τις ανάγκες, τα χαρακτηριστικά (φύση και όγκος δεδομένων), το μέγεθος, το αντικείμενο των εργασιών και τη στρατηγική της, μπορεί να προσαρμοστεί σε αυτόν τον «οδηγό» και να πετύχει το σκοπό της.

Σημειώνεται ότι για τον ΣΕΒ, τρεις είναι οι βασικές προϋποθέσεις με οριζόντια ισχύ, προτού μία επιχείρηση εκκινήσει την προσπάθειά της να ακολουθήσει τα βήματα για την ορθή εφαρμογή του Κανονισμού, δίχως τις οποίες δεν μπορεί να επιτευχθεί η συμμόρφωση. Πρώτα από όλα, απαιτείται η ευαισθητοποίηση και δέσμευση της ανώτατης διοίκησης, να κατανοήσει δηλαδή την αναγκαιότητα συμμόρφωσης και έμπρακτα να αποφασίσει να δράσει προς αυτήν την κατεύθυνση. Δεύτερον, απαιτείται εξασφάλιση του σχετικού προϋπολογισμού, ο οποίος είναι απαραίτητος για την υλοποίηση του πλάνου συμμόρφωσης. Τρίτον, είναι σημαντικό να ενημερωθεί το σύνολο του προσωπικού για το νέο νομικό πλαίσιο και τις επερχόμενες αλλαγές, διαφορετικά θα προκύψουν προβλήματα στην υλοποίηση.

Ειδικότερα, τα προτεινόμενα βήματα για την ορθή εφαρμογή του Κανονισμού από τις επιχειρήσεις έχουν ως εξής:

Βήμα 1: Σύσταση Ομάδας Εργασίας 

Σύσταση Ομάδα Εργασίας, η οποία θα απαρτίζεται από εκπροσώπους Διευθύνσεων που εμπλέκονται περισσότερο με την προστασία των προσωπικών δεδομένων. Ενδεικτικά, αναφέρονται οι Διευθύνσεις Πληροφορικής, Νομικής και Ανθρώπινου Δυναμικού. Στις επιχειρήσεις που τα προσωπικά δεδομένα αποτελούν βασικό αντικείμενο της δραστηριότητας (π.χ. εταιρείες τηλεπικοινωνιών, ασφαλιστικές, τράπεζες), τότε είναι προφανές ότι πρέπει να συμμετέχουν και εκπρόσωποι των επιχειρησιακών Διευθύνσεων. Σε κάθε περίπτωση, η Ομάδα Εργασίας πρέπει να έχει μικρό και ευέλικτο μέγεθος, αλλά και δυνατότητα λήψης αποφάσεων.

Βήμα 2: Ορισμός Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ)

Υποχρεωτικό βήμα για όσες επιχειρήσεις προβαίνουν σε μεγάλης κλίμακας επεξεργασία προσωπικών δεδομένων, προαιρετικό για τις υπόλοιπες. Ο ΥΠΔ συμβουλεύει την επιχείρηση για τις υποχρεώσεις που απορρέουν από τον Κανονισμό και παρακολουθεί τις ενέργειες συμμόρφωσης με αυτόν. Συμμετέχει ενεργά σε όλα τα ζητήματα που σχετίζονται με τον Κανονισμό και αποτελεί το πρόσωπο επικοινωνίας τόσο με τα υποκείμενα των δεδομένων όσο και με την εποπτική Αρχή. Ο ΥΠΔ πρέπει να είναι άτομο κατάλληλα καταρτισμένο και προσεκτικά επιλεγμένο ώστε να είναι σε θέση να διεκπεραιώσει τις υποχρεώσεις του.

Βήμα 3: Χαρτογράφηση της ροής των δεδομένων 

Η χαρτογράφηση της πορείας των δεδομένων προσωπικού χαρακτήρα που τηρούνται και επεξεργάζονται εντός επιχείρησης (δηλαδή των δεδομένων προσωπικού, πελατών, προμηθευτών και τρίτων προσώπων) αποτελεί μια διαδικασία μέσω της οποίας απαντώνται τα εξής ερωτήματα: τί είδους δεδομένα, για ποιο σκοπό, πόσο συχνά, πώς αποκτώνται, πού υπάρχουν, ποιος έχει πρόσβαση και τα επεξεργάζεται, για πόσο χρόνο διακρατούνται. Προτείνεται η χρήση ερωτηματολογίων και η πραγματοποίηση «συνεντεύξεων» ανά Διεύθυνση προκειμένου να γίνει πλήρης καταγραφή.

Βήμα 4: Εντοπισμός και ανάλυση κινδύνων και ελλείψεων 

Αξιοποιώντας την πλήρη γνώση της ροής των προσωπικών δεδομένων (βήμα 3), η επιχείρηση οφείλει να καταγράψει τους πιθανούς κινδύνους και τις ελλείψεις που - ενδεχομένως - εντοπίστηκαν. Ενδεικτικά παραδείγματα σχετικών «κενών» είναι: πολύ μεγάλη περίοδος διατήρησης των δεδομένων άνευ λόγου, διατήρηση των ίδιων δεδομένων σε περισσότερα του ενός σημεία και ανεμπόδιστη πρόσβαση σε δεδομένα από όλα τα στελέχη ενώ δεν χρειάζεται.

Βήμα 5: Εκπόνηση Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑ)

Υποχρεωτικό βήμα για όσες επιχειρήσεις προβαίνουν σε επεξεργασία που ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, προαιρετικό για τις υπόλοιπες. Η εκπόνηση της ΕΑ εξ ορισμού προηγείται της επεξεργασίας των δεδομένων και περιλαμβάνει ανάλυση για τις πιθανότητες επέλευσης κινδύνων και τις συνέπειες στα προσωπικά δεδομένα. Καταλήγει σε κατηγοριοποίηση των δραστηριοτήτων επεξεργασίας σε υψηλού, μεσαίου και χαμηλού κινδύνου και σε επανεξέταση των απαιτούμενων διαδικασιών σε κάθε περίπτωση.

Βήμα 6: Αναθεώρηση πολιτικών και διαδικασιών 

Με βάση τα συμπεράσματα των βημάτων 4 και 5, η επιχείρηση προβαίνει σε αναθεώρηση των πολιτικών και των διαδικασιών τήρησης και επεξεργασίας δεδομένων προσωπικού χαρακτήρα,15 . Παραδείγματα αποτελούν: οριστική διαγραφή και καταστροφή δεδομένων με το πέρας Χ ετών, διαμόρφωση κοινού γλωσσάριου ώστε να υπάρχει η σωστή κατανόηση από όλο το προσωπικό, θέσπιση πολιτικής «καθαρού γραφείου», απαγόρευση εξόδου από την επιχείρηση USB sticks και laptops, ανάπτυξη πολιτικής διαβαθμισμένης πρόσβασης, ανάπτυξη πολιτικής για τις διαδρομές των φυσικών αρχείων εντός της επιχείρησης, θέσπιση ορισμένου χρόνου διατήρησης CVs κ.λπ.

Βήμα 7: Αξιοποίηση των εργαλείων πληροφορικής 

Κάθε επιχείρηση ανάλογα με τη φύση των εργασιών της, τα μεγέθη και τις δυνατότητές της, οφείλει να αξιοποιήσει κάποια από τα εργαλεία πληροφορικής που ενισχύουν την ασφάλεια των συστημάτων. Ενδεικτικά παραδείγματα αποτελούν: εργαλεία που με αυτοματοποιημένο τρόπο χαρτογραφούν τα δεδομένα (βήμα 3), εργαλεία που αξιολογούν την αποτελεσματικότητα των πολιτικών και διαδικασιών που έχουν αναπτυχθεί και εργαλεία που βοηθούν στην αποτροπή ή τον εντοπισμό των αποπειρών παραβίασης δεδομένων. Επιπλέον, η κρυπτογράφηση και η ψευδωνυμοποίηση αποτελούν δύο εκ των απλούστερων τεχνικών μέτρων προστασίας.

Βήμα 8: Ανάπτυξη διαδικασιών γνωστοποίησης εποπτικής Αρχής και ανακοίνωσης υποκειμένου 

Υποχρεωτικές διαδικασίες για κάθε επιχείρηση. Η πρώτη αφορά στη διαδικασία γνωστοποίησης της παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική Αρχή, εντός μόλις 72 ωρών από τη στιγμή που η επιχείρηση αποκτά γνώση του γεγονότος16 . Το σύντομο χρονικό διάστημα που προβλέπεται είναι προφανές ότι αυξάνει το βαθμό δυσκολίας. Η δεύτερη αφορά στη διαδικασία άμεσης ανακοίνωσης της παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, όταν υπάρχει ενδεχόμενο να τεθούν σε υψηλό κίνδυνο τα δικαιώματα και οι ελευθερίες του . Ο επικοινωνιακός χειρισμός σε αυτήν την περίπτωση είναι κρίσιμης σημασίας και μπορεί να κάνει τη διαφορά όσον αφορά στη φήμη της επιχείρησης.

Βήμα 9: Δοκιμαστικοί έλεγχοι συστημάτων και διαδικασιών 

Πρόκειται για το τελευταίο χρονικά στάδιο. Αναφέρεται σε δοκιμαστικούς ελέγχους επί των συστημάτων και διαδικασιών που έχει αναπτύξει η επιχείρηση στα προηγούμενα βήματα, προκειμένου να εξασφαλιστεί ότι μετά την 25η Μαΐου 2018 οι ενέργειες συμμόρφωσης θα δουλέψουν αποτελεσματικά στην πράξη. Ενδεχομένως, οδηγήσει σε ανάγκη υλοποίησης διορθωτικών παρεμβάσεων.

Βήμα 10: Διαρκής παρακολούθηση και επικαιροποίηση των διαδικασιών και των συστημάτων 

Η συμμόρφωση στον Κανονισμό είναι μια δυναμική «άσκηση» και στο πλαίσιο αυτό οι επιχειρήσεις οφείλουν συνεχώς να επικαιροποιούν τις διαδικασίες τους (ή έστω να εξετάζουν την αναγκαιότητα επικαιροποίησής τους) και να αναβαθμίζουν τα συστήματά τους. Επιβάλλεται συνεχής επαγρύπνηση και διαρκής παρακολούθηση, καθώς οι κίνδυνοι παραβίασης των δεδομένων είναι πιθανοί ανά πάσα στιγμή. Με άλλα λόγια, όπως στο βήμα 9 συστήνονται δοκιμαστικοί έλεγχοι των συστημάτων και διαδικασιών πριν την έναρξη εφαρμογής του Κανονισμού, όμοια προτείνονται αντίστοιχες δοκιμές και μετά την έναρξη εφαρμογής του.

Βήμα 11: Εκπαίδευση προσωπικού 

Η επιχείρηση οργανώνει εκπαιδευτικές δράσεις, προς το σύνολο του προσωπικού, προκειμένου να εξασφαλίσει ότι όλοι γνωρίζουν τις πολιτικές και τις διαδικασίες που έχουν αναπτυχθεί για την προστασία των προσωπικών δεδομένων, γιατί είναι σημαντικές για την επιχείρηση, αλλά και τί πρέπει να κάνουν σε περίπτωση που αντιληφθούν απειλή παραβίασης. Οι εν λόγω δράσεις προτείνεται να επαναλαμβάνονται, με βάση τις ανάγκες και τα χαρακτηριστικά κάθε επιχείρησης (π.χ. δραστηριότητα υψηλού κινδύνου, μεγάλη / συχνή αλλαγή προσωπικού, σημαντικές αλλαγές επί των πολιτικών και διαδικασιών κ.λπ.).

... σχόλια | Κάνε click για να σχολιάσεις
Επιχειρώ - epixeiro.gr
Επιχειρώ - epixeiro.gr