Ευρωπαϊκός Κανονισμός Προστασίας Προσωπικών Δεδομένων – GDPR
Ο Ευρωπαϊκός Κανονισμός Προστασίας Προσωπικών Δεδομένων – GDPR (General Data Protection Regulation) που υιοθετήθηκε με την οδηγία ΕΕ 2016/679 του Ευρωπαϊκού Κοινοβουλίου στις 27 Απριλίου 2016 στηρίζεται ουσιαστικά στο ήδη υφιστάμενο πλαίσιο προστασίας των προσωπικών δεδομένων.
Ο νέος κανονισμός έχει ως κύριο στόχο την αυστηρότερη εφαρμογή των διατάξεων για τη διαχείριση, την επεξεργασία και την διασφάλιση των προσωπικών δεδομένων.
Η υποχρεωτική εφαρμογή του κανονισμού GDPR αρχίζει στις 25 Μαΐου 2018.
Ο κανονισμός αναφέρεται στα εξής δεδομένα
Δεδομένα προσωπικού χαρακτήρα κάθε φυσικού προσώπου τα οποία περιέχουν τέτοια πληροφορία που μπορεί άμεσα ή έμμεσα να ταυτοποιησεί ένα φυσικό πρόσωπο, όπως (πχ. αριθμός ταυτότητας, οικονομική ή κοινωνική κατάσταση, διεύθυνση email, κτλ). Οπότε, ο κανονισμός δεν αναφέρεται στα δεδομένα των νομικών προσώπων.
Ορισμοί του GDPR
- Υπεύθυνος επεξεργασίας: Το φυσικό ή νομικό πρόσωπο ή άλλος φορέας που καθορίζει το σκοπό συλλογής και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
- Εκτελών την επεξεργασία: Το φυσικό ή νομικό πρόσωπο ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας .
- Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer): Είναι το πρόσωπο που έχει επιλεχθεί από τον υπεύθυνο και τον εκτελών την επεξεργασία με βάση τα επαγγελματικά του προσόντα και την εμπειρία πάνω σε θέματα διασφάλισης προσωπικών δεδομένων.
Γεωγραφικό κριτήριο εφαρμογής
O Ευρωπαϊκός Κανονισμός Προστασίας Προσωπικών Δεδομένων – GDPR εφαρμόζεται όταν η συλλογή ή επεξεργασία των προσωπικών δεδομένων λαμβάνει χώρα από υπεύθυνο που έχει την εγκατάσταση του εντός της Ευρωπαϊκής Ένωσης.
Επίσης, ο κανονισμός εφαρμόζεται ακόμα και εάν ο υπεύθυνος επεξεργασίας των προσωπικών δεδομένων δεν έχει την εγκατάσταση του στην Ευρωπαϊκή Ένωση, αλλά δραστηριοποιείται στην Ευρωπαϊκή Ένωση και επεξεργάζεται προσωπικά δεδομένα σχετικά με :
- προσφορά αγαθών και υπηρεσιών
- με μελέτες συμπεριφοράς της αγοράς
Ποιους αφορά
Ο νέος κανονισμός προστασίας δεδομένων αφορά όλες τις επιχειρήσεις, εκτός των νομικών προσώπων του δημοσίου, που επεξεργάζονται προσωπικά δεδομένα ανεξαρτήτως της φύσης της λειτουργίας τους.
Επιχειρήσεις όπως οι τράπεζες, εταιρείες τηλεπικοινωνιών, ασφαλιστικές εταιρείες, νοσοκομεία, διαγνωστικά κέντρα, κέντρα αισθητικής, εκπαιδευτικά κέντρα κτλ, είναι επιχειρήσεις που συλλέγουν και επεξεργάζονται ευαίσθητα προσωπικά δεδομένα και πρέπει να υιοθετήσουν άμεσα τις βέλτιστες πρακτικές για τη διασφάλιση των δεδομένων αυτών.
Βασικά σημεία προσοχής
- Οι εταιρείες που συλλέγουν και επεξεργάζονται προσωπικά δεδομένα οφείλουν να εφαρμόσουν διαδικασίες όπου θα φαίνεται ξεκάθαρα ο λόγος συλλογής, η ροή και η διαφάνεια της επεξεργασίας, η διαφύλαξη και ασφάλεια των δεδομένων αυτών.
- Είναι αναγκαία η ύπαρξη της ξεκάθαρης συναίνεσης το υποκείμενου των δεδομένων.
- Το δικαίωμα του υποκειμένου των δεδομένων να αντιταχθεί μελλοντικά στην επεξεργασία των δεδομένων του.
- Οι εταιρείες που συλλέγουν προσωπικά δεδομένα θα λογοδοτούν για οποιαδήποτε μη συμμόρφωση με τον κανονισμό στην εκάστοτε αρχή προστασίας προσωπικών δεδομένων.
GDPR και ISO 27001
Ο γενικός κανονισμός προστασίας δεδομένων ενθαρρύνει την υιοθέτηση των βέλτιστων πρακτικών του ISO 27001. Η πιστοποίηση του ISO 27001 δεν αναγκαία άλλα λόγο του γεγονότος ότι αποτελεί μία ολοκληρωμένη και έγκυρη λύση ασφαλείας των πληροφοριών, ο κανονισμός επιβραβεύει την εφαρμογή του.
Τα βασικά σημεία εφαρμογής του ISO 27001 είναι:
- Κρυπτογράφηση Δεδομένων: Η ακεραιότητα και διαθεσιμότητα της πληροφορίας με σκοπό την συνέχεια της επιχείρησης
- Αξιολόγηση του κινδύνου: Εντοπισμός απειλών
- Περιοδικές δοκιμές και αξιολογήσεις: Απαραίτητες επανεκτιμήσεις των υιοθετημένων διαδικασιών – Έλεγχος αποτελεσματικότητας αυτών
GDPR και πρόστιμα
Το πρόστιμο μη συμμόρφωσης φτάνει το ποσό των 20.000.000€ ή το 4% του τζίρου.
Ενέργειες που πρέπει να γίνουν από κάθε επιχείρηση που συλλέγει και επεξεργάζεται προσωπικά δεδομένα
Όπως προαναφέρθηκε κάθε επιχείρηση ανεξαρτήτως μεγέθους είναι υποχρεωμένη να συμμορφωθεί με τον νέο κανονισμό προστασίας δεδομένων.
Πιο κάτω θα παρουσιαστούν 3 βασικά σημεία οργάνωσης έτσι ώστε μια επιχείρηση να μπορεί να συμμορφωθεί με τις απαιτήσεις του νέου αυτού κανονισμού.
-
Εντοπισμός των προσωπικών δεδομένων που συλλέγονται
Ο υπεύθυνος της επεξεργασίας καθώς και ο εκτελών αυτής πρέπει να διερευνήσουν αναλυτικά τον λόγο συλλογής και επεξεργασίας προσωπικών δεδομένων καθώς και να προσδιορίσουν την τοποθεσία που αυτά τα προσωπικά δεδομένα συλλέγονται και επεξεργάζονται .
Σημεία όπου συνήθως υπάρχουν προσωπικά δεδομένα, είναι:
- Αρχεία πελατών
- Καταστάσεις μισθοδοσίας
- Αρχεία συλλογής πληροφοριών για θέματα markerting (πχ newsletter κτλ)
O Ευρωπαϊκός Κανονισμός Προστασίας Προσωπικών Δεδομένων – GDPR αναφέρεται επίσης και σε προσωπικά δεδομένα μπορούν να υπάρχουν και στο ευρύτερο εξωτερικό περιβάλλον της επιχείρησης και να αφορούν αυτή. Για παράδειγμα, προσωπικά δεδομένα μπορεί να βρίσκονται σε ένα database (που δεν βρίσκεται στον server της επιχείρησης αλλά κάπου στο εξωτερικό), του ιστότοπου που διατηρεί.
-
Καθορισμός της διαχείρισης των δεδομένων
Εφόσον μία επιχείρηση εντοπίσει όλα αυτά τα σημεία στα οποία συλλέγονται και επεξεργάζονται προσωπικά δεδομένα θα πρέπει να καταρτίσει ένα πλάνο διαχείρισης των δεδομένων αυτών.
Ενδεικτικά, μπορεί να απεικονίσει με ένα σχέδιο ροής τα βήματα που ακολουθεί στην πορεία συλλογής και επεξεργασίας των προσωπικών δεδομένων και να αναφέρει στο κάθε βήμα, τις δικλείδες ασφαλείας που έχει αποφασίσει να τηρεί.
Στο παρόν στάδιο σημαντικό είναι να διευκρινιστεί και ο τρόπος με τον οποίο ο υπεύθυνος επεξεργασίας θα δίνει τη δυνατότητα στο υποκείμενο των προσωπικών δεδομένων να επικαιροποιεί αυτά τα δεδομένα καθώς και να τα καταργεί στην περίπτωση που δεν επιθυμεί πλέον να επεξεργάζονται και να διαφυλάσσονται αυτά.
-
Προστασία δεδομένων και τεκμηρίωση
Στο στάδιο αυτό πρέπει να γίνει ανάλυση σχετικά με τους κινδύνους που διέπουν τα δεδομένα (όπως πχ η απώλεια, η καταστροφή κτλ) και η διαφύλαξη αυτών με κύριο στόχο τη συνέχεια της πληροφορίας στην επιχείρηση.
Παράλληλα πρέπει να καθοριστούν οι ενέργειες για την διατήρηση της απαιτούμενης τεκμηρίωσης της απόκτησης των προσωπικών δεδομένων.
Τέλος, είναι πολύ σημαντικό να καθοριστεί ένας διαφανής τρόπος συλλογής και επεξεργασίας των προσωπικών δεδομένων έτσι ώστε ο υπεύθυνος επεξεργασίας να μπορεί να αποδείξει ότι έχει συμμορφωθεί με τον γενικό κανονισμό στην εκάστοτε αρχή προστασίας προσωπικών δεδομένων.