Βασίλης Πετίνης
General Manager, RSM
Οι επιχειρήσεις πολύ συχνά υποτιμούν ποιοτικά και ποσοτικά τα δεδομένα των πελατών που έχουν στη διάθεσή τους. Εάν μία επιχείρηση δεν είναι σε θέση να αξιολογήσει και να αποθηκεύσει σωστά τα δεδομένα της, ο κίνδυνος μη συμμόρφωσης με τους νόμους είναι υπαρκτός, όπως επίσης υπάρχει και ο κίνδυνος για πιθανές κυρώσεις που μπορούν να της επιβληθούν. Οι κυρώσεις αυτές για μη συμμόρφωση ανέρχονται είτε σε € 20 εκ. είτε στο 4% του συνολικού παγκόσμιου εισοδήματος του οργανισμού, όποιο από τα δύο είναι μεγαλύτερο.
Επομένως, επιβάλλεται οι επιχειρήσεις όχι μόνο να αξιολογούν τις κύριες πηγές από τις οποίες λαμβάνουν τις πληροφορίες των πελατών τους (όπως είναι τα συστήματα διαχείρισης πελατειακών σχέσεων, τα συστήματα marketing κ.λπ.), αλλά κάθε είδους πηγή πληροφοριών, καθώς και τα μέσα αποθήκευσης αυτών, όπως είναι τα συστήματα IT, οι φορητές ηλεκτρονικές συσκευές, τα υπολογιστικά φύλλα και τα αρχεία ηλεκτρονικού ταχυδρομείου.
Πώς αυτό επηρεάζει την επιχείρησή σας; Όλες οι εταιρείες οι οποίες έχουν στην κατοχή τους προσωπικά δεδομένα θα πρέπει από τον Μάιο του 2018 να συμμορφωθούν με τον καινούργιο νόμο (General Data Protection Regulation ή GDPR) που τίθεται σε εφαρμογή. Αυτό σημαίνει ότι οι επιχειρήσεις θα πρέπει να κατανοήσουν αρχικά τις αλλαγές που θα προκύψουν στις ήδη υπάρχουσες διαδικασίες από την εφαρμογή του καινούργιου νόμου. Παρακάτω παρατίθεται μία λίστα με βασικά σημεία τα οποία οι επιχειρήσεις θα πρέπει να λάβουν υπόψη τους.
1. Συγκατάθεση: Έχετε την αποκλειστική συγκατάθεση για τα προσωπικά δεδομένα που έχετε στην κατοχή σας; Σύμφωνα με τον νέο νόμο, όλες οι απαιτήσεις έχουν γίνει πιο αυστηρές, απαιτώντας την ξεκάθαρη συγκατάθεση των πελατών αναφορικά με την επεξεργασία των προσωπικών τους δεδομένων.
2. Νέες ευθύνες: Είστε διαχειριστής δεδομένων και είστε υπεύθυνος για τη διαχείριση των προσωπικών δεδομένων; Σύμφωνα με το GDPR, οι διαχειριστές δεδομένων θα έχουν μεγαλύτερη νομική ευθύνη και θα υποχρεούνται να κρατούν αρχεία με τα προσωπικά δεδομένα και τις διαδικασίες που ακολουθούν. Επίσης, θα υπάρχουν επιπλέον υποχρεώσεις για τους διαχειριστές δεδομένων, έτσι ώστε να εξασφαλίζουν εκείνοι πως οποιοσδήποτε τρίτος ανάδοχος έργου θα συμμορφώνεται με τον νόμο, π.χ. outsourcing ή cloud hosting.
3. Υπευθυνότητα: Διαθέτετε συστήματα ασφαλείας δεδομένων και μπορείτε να αποδείξετε τους τρόπους με τους οποίους συμμορφώνεστε με τα προαπαιτούμενα του GDPR; Επιχειρησιακά και τεχνικά μέτρα για την προστασία προσωπικών δεδομένων είναι εφεξής υπευθυνότητα του διαχειριστή δεδομένων –η προστασία δεδομένων και οι απαιτήσεις απορρήτου θα πρέπει να είναι ενσωματωμένες στα συστήματα και στις διαδικασίες της επιχείρησής σας.
4. Υποχρεωτικές ειδοποιήσεις παραβάσεων: Θα είστε σε θέση να ενημερώσετε την αρμόδια αρχή για οποιαδήποτε παραβίαση δεδομένων μέσα σε 72 ώρες; Θα χρειαστείτε εσωτερικές διαδικασίες οι οποίες θα σας επιτρέψουν να αναφέρετε και να επικοινωνήσετε άμεσα και με ακρίβεια με τους πελάτες για τους οποίους έχει πραγματοποιηθεί η παράβαση.
5. Νέα δικαιώματα: Γνωρίζετε πώς να συμμορφωθείτε με τα νέα δικαιώματα που παρέχονται; Το δικαίωμα να «ξεχαστείς» (the right to be forgotten), το δικαίωμα της φορητότητας δεδομένων (the right to data portability) και το δικαίωμα άρνησης της ομαδοποίησης δεδομένων (the right to object to data profiling); Θα χρειαστεί να υπάρχουν διαδικασίες σε εφαρμογή για να διασφαλίζετε τη συμμόρφωσή σας με αυτά τα δικαιώματα και να εξασφαλίζετε πως αυτά τηρούνται (όπως, για παράδειγμα, είναι η ειδοποίηση τρίτων).
6. Διαχειριστής προστασίας δεδομένων: Πραγματοποιείτε μεγάλης κλίμακας συστημική παρακολούθηση (συμπεριλαμβανομένου και των δεδομένων των υπαλλήλων) ή διαχειρίζεστε μεγάλου όγκου ευαίσθητα προσωπικά δεδομένα; Όταν πραγματοποιείται μεγάλης κλίμακας διαχείριση δεδομένων, είναι επιτακτική η ανάγκη ύπαρξης ενός διαχειριστή προστασίας δεδομένων.
Τα παραπάνω είναι μερικά βασικά σημεία τα οποία οι επιχειρήσεις θα πρέπει να έχουν υπόψη τους για να είναι σύμφωνες με τον καινούργιο νόμο. Είναι επίσης επιτακτικό όλες οι επιχειρήσεις να πραγματοποιούν ελέγχους σε κάθε είδους πηγή δεδομένων, έτσι ώστε να μειώνεται στον μέγιστο βαθμό οποιοσδήποτε ενδεχόμενος κίνδυνος.
Παρακάτω μπορείτε να βρείτε μια λίστα με σημεία ελέγχου για να ελέγξετε από μόνοι σας κατά πόσο η επιχείρησή σας συμβαδίζει με τον καινούργιο νόμο.
Αξιολογήστε το επίπεδο προστασίας δεδομένων της επιχείρησής σας
Ιδανικά, όλες οι απαντήσεις σε όλα τα σημεία ελέγχου θα πρέπει να είναι θετικές, κάτι που θα αναδεικνύει πως οι διαδικασίες του οργανισμού σας αναφορικά με την προστασία δεδομένων λειτουργούν σε ικανοποιητικό βαθμό. Παρόλα αυτά, εάν εντοπίσετε ελλείψεις στην επιχείρησή σας σε σχέση με τα παρακάτω σημεία, μη διστάσετε να έρθετε σε επικοινωνία με το Σύμβουλό σας.
Σημείο ελέγχου 1: Λήψη πληροφοριών με δίκαιο τρόπο
î Είναι οι διαδικασίες λήψης δεδομένων ανοιχτές, διαφανείς και άμεσες;
î Ο τρόπος και ο σκοπός με τον οποίο έχουν συλλεχθεί οι πληροφορίες έχει πραγματοποιηθεί ύστερα από ξεκάθαρη επικοινωνία με τα άτομα τα οποία αφορούν οι πληροφορίες αυτές;
î Τα άτομα αυτά γνωρίζουν εάν προσωπικές τους πληροφορίες έχουν δοθεί σε τρίτους;
î Γνωρίζουν επίσης εάν προσωπικά τους δεδομένα έχουν χρησιμοποιηθεί σε δευτερεύουσες χρήσεις;
Σημείο ελέγχου 2: Σαφή προαπαιτούμενα των συστημάτων
î Είναι σαφής ο λόγος συλλογής προσωπικών δεδομένων;
î Είναι οι πληροφορίες που διατηρούνται σε συστήματα σαφείς όσον αφορά τον σκοπό τους και με τη σύμφωνη γνώμη των ατόμων που αφορούν αυτές οι πληροφορίες;
î Υπάρχει κάποιος υπεύθυνος που θα εξασφαλίζει την κατάλληλη συντήρηση των δεδομένων σύμφωνα με τις απαιτήσεις;
Σημείο ελέγχου 3: Χρήση και δημοσίευση των πληροφοριών
î Υπάρχει ξεκάθαρα ορισμένη πολιτική αναφορικά με τη χρήση και δημοσίευση των πληροφοριών;
î Έχει κοινοποιηθεί αυτή η πολιτική σε όλα τα μέλη του προσωπικού;
î Είναι τα άτομα τα οποία αφορούν οι πληροφορίες ενήμερα για τις χρήσεις και τις δημοσιεύσεις των προσωπικών τους πληροφοριών;
î Έχετε επανεξετάσει τη συγκατάθεση του χρήστη, στο ενδεχόμενο που οι χρήσεις και οι δημοσιεύσεις έχουν τροποποιηθεί με το πέρασμα του χρόνου;
Σημείο ελέγχου 4: Χαρακτηριστικά ασφαλείας
î Υπάρχουν αξιόπιστες δικλίδες ασφαλείας για κάθε σύστημα της επιχείρησή σας που περιέχει ευαίσθητες πληροφορίες;
î Υπάρχει κάποιος υπεύθυνος για τον έλεγχο των δικλίδων ασφαλείας;
î Είναι οι δικλίδες ασφαλείας οι κατάλληλες για την ευαισθησία των προσωπικών δεδομένων που διατηρούνται στην επιχείρησή σας;
î Είναι τα συστήματά σας και οι βάσεις δεδομένων σας κατάλληλα προστατευμένες με κωδικούς ασφαλείας για να αποτρέπουν τη μη εξουσιοδοτημένη πρόσβαση σε προσωπικά δεδομένα;
î Είναι τα αρχεία σας και οι υπολογιστές σας κλειδωμένα με ασφάλεια και μακριά από οποιαδήποτε μη εξουσιοδοτημένη χρήση;
Σημείο ελέγχου 5: Επαρκείς και σχετικές πληροφορίες
î Είναι τα στοιχεία που συλλέγονται δίκαια και επαρκή;
î Είναι όλες οι πληροφορίες που συλλέγονται σχετικές αλλά όχι εκτεταμένες, ανάλογες με τον σκοπό που έχει καθοριστεί για το άτομο που αφορούν οι πληροφορίες αυτές;
î Εάν έπρεπε να αιτιολογήσετε τον λόγο για τη φύλαξη και την επεξεργασία των δεδομένων, θα είχατε τη δυνατότητα να παρέχετε αιτιολόγηση για όλα τα δεδομένα που συλλέγετε;
î Είναι η προστασία δεδομένων αναπόσπαστο μέρος των πολιτικών και διαδικασιών σας;
Σημείο ελέγχου 6: Ακριβείς και ενημερωμένες πληροφορίες
î Ελέγχονται σε τακτική βάση τα δεδομένα για την ακρίβειά τους;
î Κατατάσσονται τα προσωπικά δεδομένα αναφορικά με την ευαισθησία τους στον χρόνο, καθιστώντας τα λιγότερο ακριβή με την πάροδό του;
î Υπάρχουν τυποποιημένες διαδικασίες για να διασφαλίζουν πως όλα τα συστήματα και οι βάσεις δεδομένων είναι ενημερωμένες;
Σημείο Ελέγχου 7: Χρόνος διατήρησης αρχείων
î Υπάρχει ξεκάθαρη πολιτική αναφορικά με τα χρονοδιαγράμματα διατήρησης αρχείων;
î Είναι σαφείς οι νομικές απαιτήσεις αναφορικά με τη διατήρηση δεδομένων;
î Διαγράφονται τακτικά δεδομένα τα οποία δεν χρειάζονται περαιτέρω από τα συστήματάα σας;
î Υπάρχει πολιτική αναφορικά με τη διαγραφή προσωπικών στοιχείων τα οποία δεν είναι πλέον σχετικά;
Σημείο Ελέγχου 8: Δικαιώματα πρόσβασης
î Υπάρχει υπεύθυνος για τον χειρισμό των αιτήσεων πρόσβασης;
î Υπάρχουν διαδικασίες για τη ρύθμιση αιτημάτων προσβάσεως σε πληροφορίες;
î Είναι αυτές οι διαδικασίες σε συμμόρφωση με τις κανονιστικές απαιτήσεις;