Τα data είναι το “πετρέλαιο” της 4ης βιομηχανικής επανάστασης. Σύμφωνα με εκτιμήσεις, η αξία της αγοράς των προσωπικών δεδομένων υπολογίζεται ότι θα ανέλθει σε σχεδόν €1 τρισ. το 2020, ενώ έως το 2025 εκτιμάται ότι ο όγκος των δεδομένων θα αυξηθεί από 16,1 ΖΒ σε 163 ΖΒ, σημειώνει ο ΣΕΒ σε special report του.
Αναμενόμενα, καθώς τα ίδια τα δεδομένα και η αγορά που διαμορφώνεται γύρω από αυτά διογκώνονται, αυξάνονται εκθετικά και οι κίνδυνοι παραβίασής τους ακόμη και σε μεγάλες επιχειρήσεις, με εξαιρετικά δυσμενείς επιπτώσεις. Ταυτόχρονα, η διαχείρισή τους με σεβασμό στην προσωπικότητα και την ιδιωτική ζωή του καθενός μας, θα γίνει σταδιακά βασικό κριτήριο αξιολόγησης κάθε επιχείρησης που χειρίζεται προσωπικά δεδομένα, δηλαδή πρακτικά όλων. Επιχειρηματικοί κολοσσοί όπως η Yahoo!, η Uber και η Target, όταν ήρθαν αντιμέτωπες εσωτερικά με σοβαρές υποθέσεις παραβίασης ή διαρροής προσωπικών δεδομένων, δεν έχασαν μόνο δεδομένα αξίας εκατομμυρίων ευρώ, αλλά και μέρος του σημαντικότερου περιουσιακού στοιχείου της επιχείρησης: αυτό της καλής φήμης και της αξιοπιστίας.
Η αλυσίδα τέτοιων φαινομένων, αλλά και η ανάγκη ρύθμισης της αγοράς των προσωπικών δεδομένων, οδήγησαν στην αυστηροποίηση του νομικού πλαισίου πανευρωπαϊκά και στη θέσπιση του νέου Γενικού Κανονισμού GDPR. Με έναρξη εφαρμογής την 25η Μαΐου 2018, ο νέος Κανονισμός, προβλέποντας ένα αρκετά αυστηρό και γραφειοκρατικό πλαίσιο, έρχεται να θωρακίσει την ιδιωτικότητα και να μεταθέσει την ευθύνη της προστασίας στην ίδια την επιχείρηση, προβλέποντας κυρώσεις ύψους έως και 4% του παγκόσμιου τζίρου για όσους αποτύχουν να συμμορφωθούν με τις απαιτήσεις του. Συνεπώς η συμμόρφωση με τις απαιτήσεις του Ευρωπαϊκού Κανονισμού παρουσιάζει ένα δίλημμα για τον επιχειρηματικό κόσμο: θα την αντιμετωπίσουμε ως άλλη μια κανονιστική υποχρέωση – δηλαδή σαν βάρος – ή σαν μια ευκαιρία αλλαγής του επιχειρηματικού μοντέλου και εισαγωγής των ελληνικών επιχειρήσεων στον κόσμο της ψηφιακής οικονομίας;
Παρότι η «συμμόρφωση» φαίνεται να συνεπάγεται υψηλά κόστη και βαριές διαδικασίες, οι ειδικοί του χώρου επιμένουν: Εκείνος που θα μετατρέψει την κουλτούρα σεβασμού και προστασίας των προσωπικών δεδομένων σε πυρήνα της καθημερινής του λειτουργίας, θα αποκτήσει αυτόματα ένα «ανταγωνιστικό πλεονέκτημα». Γιατί θα είναι εκείνος που θα είναι διαρκώς σε θέση να αποδείξει στον καταναλωτή, τον πελάτη, τον εργαζόμενο, όχι μόνο ότι έχει λάβει τα απαραίτητα μέτρα προστασίας των προσωπικών δεδομένων τους, αλλά και ότι είναι διαρκώς σε θέση να τα διατηρεί προστατευμένα.
Με την τεχνολογία πολύτιμο συμπαραστάτη στη διαδικασία συμμόρφωσης, και ακολουθώντας τα 10 + 1 βήματα για έξυπνη συμμόρφωση που ο ΣΕΒ προτείνει, είναι εφικτή η υιοθέτηση λύσεων «κομμένων και ραμμένων» στις ανάγκες και τις ιδιαιτερότητες κάθε οργανισμού, ακόμα και τώρα, λίγες ημέρες μόλις πριν την έναρξη εφαρμογής του.
Ειδικότερα, τα προτεινόμενα βήματα για την ορθή εφαρμογή του Κανονισμού από τις επιχειρήσεις έχουν ως εξής:
Βήμα 1: Σύσταση Ομάδας Εργασίας
Σύσταση Ομάδα Εργασίας, η οποία θα απαρτίζεται από εκπροσώπους Διευθύνσεων που εμπλέκονται περισσότερο με την προστασία των προσωπικών δεδομένων. Ενδεικτικά, αναφέρονται οι Διευθύνσεις Πληροφορικής, Νομικής και Ανθρώπινου Δυναμικού. Στις επιχειρήσεις που τα προσωπικά δεδομένα αποτελούν βασικό αντικείμενο της δραστηριότητας (π.χ. εταιρείες τηλεπικοινωνιών, ασφαλιστικές, τράπεζες), τότε είναι προφανές ότι πρέπει να συμμετέχουν και εκπρόσωποι των επιχειρησιακών Διευθύνσεων. Σε κάθε περίπτωση, η Ομάδα Εργασίας πρέπει να έχει μικρό και ευέλικτο μέγεθος, αλλά και δυνατότητα λήψης αποφάσεων.
Βήμα 2: Ορισμός Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ)
Υποχρεωτικό βήμα για όσες επιχειρήσεις προβαίνουν σε μεγάλης κλίμακας επεξεργασία προσωπικών δεδομένων, προαιρετικό για τις υπόλοιπες. Ο ΥΠΔ συμβουλεύει την επιχείρηση για τις υποχρεώσεις που απορρέουν από τον Κανονισμό και παρακολουθεί τις ενέργειες συμμόρφωσης με αυτόν. Συμμετέχει ενεργά σε όλα τα ζητήματα που σχετίζονται με τον Κανονισμό και αποτελεί το πρόσωπο επικοινωνίας τόσο με τα υποκείμενα των δεδομένων όσο και με την εποπτική Αρχή. Ο ΥΠΔ πρέπει να είναι άτομο κατάλληλα καταρτισμένο και προσεκτικά επιλεγμένο ώστε να είναι σε θέση να διεκπεραιώσει τις υποχρεώσεις του.
Βήμα 3: Χαρτογράφηση της ροής των δεδομένων
Η χαρτογράφηση της πορείας των δεδομένων προσωπικού χαρακτήρα που τηρούνται και επεξεργάζονται εντός επιχείρησης (δηλαδή των δεδομένων προσωπικού, πελατών, προμηθευτών και τρίτων προσώπων) αποτελεί μια διαδικασία μέσω της οποίας απαντώνται τα εξής ερωτήματα: τί είδους δεδομένα, για ποιο σκοπό, πόσο συχνά, πώς αποκτώνται, πού υπάρχουν, ποιος έχει πρόσβαση και τα επεξεργάζεται, για πόσο χρόνο διακρατούνται. Προτείνεται η χρήση ερωτηματολογίων και η πραγματοποίηση «συνεντεύξεων» ανά Διεύθυνση προκειμένου να γίνει πλήρης καταγραφή.
Βήμα 4: Εντοπισμός και ανάλυση κινδύνων και ελλείψεων
Αξιοποιώντας την πλήρη γνώση της ροής των προσωπικών δεδομένων (βήμα 3), η επιχείρηση οφείλει να καταγράψει τους πιθανούς κινδύνους και τις ελλείψεις που – ενδεχομένως – εντοπίστηκαν. Ενδεικτικά παραδείγματα σχετικών «κενών» είναι: πολύ μεγάλη περίοδος διατήρησης των δεδομένων άνευ λόγου, διατήρηση των ίδιων δεδομένων σε περισσότερα του ενός σημεία και ανεμπόδιστη πρόσβαση σε δεδομένα από όλα τα στελέχη ενώ δεν χρειάζεται.
Βήμα 5: Εκπόνηση Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑ)
Υποχρεωτικό βήμα για όσες επιχειρήσεις προβαίνουν σε επεξεργασία που ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, προαιρετικό για τις υπόλοιπες. Η εκπόνηση της ΕΑ εξ ορισμού προηγείται της επεξεργασίας των δεδομένων και περιλαμβάνει ανάλυση για τις πιθανότητες επέλευσης κινδύνων και τις συνέπειες στα προσωπικά δεδομένα. Καταλήγει σε κατηγοριοποίηση των δραστηριοτήτων επεξεργασίας σε υψηλού, μεσαίου και χαμηλού κινδύνου και σε επανεξέταση των απαιτούμενων διαδικασιών σε κάθε περίπτωση.
Βήμα 6: Αναθεώρηση πολιτικών και διαδικασιών
Με βάση τα συμπεράσματα των βημάτων 4 και 5, η επιχείρηση προβαίνει σε αναθεώρηση των πολιτικών και των διαδικασιών τήρησης και επεξεργασίας δεδομένων προσωπικού χαρακτήρα,. Παραδείγματα αποτελούν: οριστική διαγραφή και καταστροφή δεδομένων με το πέρας Χ ετών, διαμόρφωση κοινού γλωσσάριου ώστε να υπάρχει η σωστή κατανόηση από όλο το προσωπικό, θέσπιση πολιτικής «καθαρού γραφείου», απαγόρευση εξόδου από την επιχείρηση USB sticks και laptops, ανάπτυξη πολιτικής διαβαθμισμένης πρόσβασης, ανάπτυξη πολιτικής για τις διαδρομές των φυσικών αρχείων εντός της επιχείρησης, θέσπιση ορισμένου χρόνου διατήρησης CVs κ.λπ.
Βήμα 7: Αξιοποίηση των εργαλείων πληροφορικής
Κάθε επιχείρηση ανάλογα με τη φύση των εργασιών της, τα μεγέθη και τις δυνατότητές της, οφείλει να αξιοποιήσει κάποια από τα εργαλεία πληροφορικής που ενισχύουν την ασφάλεια των συστημάτων. Ενδεικτικά παραδείγματα αποτελούν: εργαλεία που με αυτοματοποιημένο τρόπο χαρτογραφούν τα δεδομένα (βήμα 3), εργαλεία που αξιολογούν την αποτελεσματικότητα των πολιτικών και διαδικασιών που έχουν αναπτυχθεί και εργαλεία που βοηθούν στην αποτροπή ή τον εντοπισμό των αποπειρών παραβίασης δεδομένων. Επιπλέον, η κρυπτογράφηση και η ψευδωνυμοποίηση αποτελούν δύο εκ των απλούστερων τεχνικών μέτρων προστασίας.
Βήμα 8: Ανάπτυξη διαδικασιών γνωστοποίησης εποπτικής Αρχής και ανακοίνωσης υποκειμένου
Υποχρεωτικές διαδικασίες για κάθε επιχείρηση. Η πρώτη αφορά στη διαδικασία γνωστοποίησης της παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική Αρχή, εντός μόλις 72 ωρών από τη στιγμή που η επιχείρηση αποκτά γνώση του γεγονότος. Το σύντομο χρονικό διάστημα που προβλέπεται είναι προφανές ότι αυξάνει το βαθμό δυσκολίας. Η δεύτερη αφορά στη διαδικασία άμεσης ανακοίνωσης της παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, όταν υπάρχει ενδεχόμενο να τεθούν σε υψηλό κίνδυνο τα δικαιώματα και οι ελευθερίες του. Ο επικοινωνιακός χειρισμός σε αυτήν την περίπτωση είναι κρίσιμης σημασίας και μπορεί να κάνει τη διαφορά όσον αφορά στη φήμη της επιχείρησης.
Βήμα 9: Δοκιμαστικοί έλεγχοι συστημάτων και διαδικασιών
Πρόκειται για το τελευταίο χρονικά στάδιο. Αναφέρεται σε δοκιμαστικούς ελέγχους επί των συστημάτων και διαδικασιών που έχει αναπτύξει η επιχείρηση στα προηγούμενα βήματα, προκειμένου να εξασφαλιστεί ότι μετά την 25η Μαΐου 2018 οι ενέργειες συμμόρφωσης θα δουλέψουν αποτελεσματικά στην πράξη. Ενδεχομένως, οδηγήσει σε ανάγκη υλοποίησης διορθωτικών παρεμβάσεων.
Βήμα 10: Διαρκής παρακολούθηση και επικαιροποίηση των διαδικασιών και των συστημάτων
Η συμμόρφωση στον Κανονισμό είναι μια δυναμική «άσκηση» και στο πλαίσιο αυτό οι επιχειρήσεις οφείλουν συνεχώς να επικαιροποιούν τις διαδικασίες τους (ή έστω να εξετάζουν την αναγκαιότητα επικαιροποίησής τους) και να αναβαθμίζουν τα συστήματά τους. Επιβάλλεται συνεχής επαγρύπνηση και διαρκής παρακολούθηση, καθώς οι κίνδυνοι παραβίασης των δεδομένων είναι πιθανοί ανά πάσα στιγμή. Με άλλα λόγια, όπως στο βήμα 9 συστήνονται δοκιμαστικοί έλεγχοι των συστημάτων και διαδικασιών πριν την έναρξη εφαρμογής του Κανονισμού, όμοια προτείνονται αντίστοιχες δοκιμές και μετά την έναρξη εφαρμογής του.
Βήμα 11: Εκπαίδευση προσωπικού
Η επιχείρηση οργανώνει εκπαιδευτικές δράσεις, προς το σύνολο του προσωπικού, προκειμένου να εξασφαλίσει ότι όλοι γνωρίζουν τις πολιτικές και τις διαδικασίες που έχουν αναπτυχθεί για την προστασία των προσωπικών δεδομένων, γιατί είναι σημαντικές για την επιχείρηση, αλλά και τί πρέπει να κάνουν σε περίπτωση που αντιληφθούν απειλή παραβίασης. Οι εν λόγω δράσεις προτείνεται να επαναλαμβάνονται, με βάση τις ανάγκες και τα χαρακτηριστικά κάθε επιχείρησης (π.χ. δραστηριότητα υψηλού κινδύνου, μεγάλη / συχνή αλλαγή προσωπικού, σημαντικές αλλαγές επί των πολιτικών και διαδικασιών κ.λπ.).