GDPR: Τι πρέπει να ξέρουμε;

Update 24/05: Οι επιχειρήσεις και οι επαγγελματίες που εμπίπτουν στις διατάξεις του GDPR, θα πρέπει να ορίσουν στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα τον αρμόδιο DPO τους. Διαβάστε περισσότερα εδώ.

Ένας νέος Ευρωπαϊκός κανονισμός έρχεται να ταράξει τα νερά στον επιχειρηματικό κόσμο, καθώς υποχρεώνει όλες τις εταιρείες που χειρίζονται δεδομένα Ευρωπαίων πολιτών να πληρούν συγκεκριμένα κριτήρια.

Το General Data Protection Regulation (Γενικός Κανονισμός Προστασίας Δεδομένων) είναι στην ουσία η εξέλιξη της Οδηγίας Προστασίας Δεδομένων, που ισχύει στην Ευρώπη από το 1995 – με τη διαφορά ότι είναι πιο αυστηρός και (ως κανονισμός) έχει αυτόματη ισχύ σε όλες τις χώρες της Ένωσης από την ημερομηνία που ορίζει το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο, χωρίς να χρειάζεται ειδικός νόμος για να ενταχθεί στα εθνικά δίκαια.

Με το GDPR, η Ευρωπαϊκή Ένωση προσπαθεί να ισχυροποιήσει τον έλεγχο και τις διαδικασίες που σχετίζονται με την απόκτηση, την επεξεργασία, τη μεταφορά, αλλά και την αναγκαστική καταστροφή των προσωπικών δεδομένων των Ευρωπαίων πολιτών, ανεξάρτητα από το είδος τους και το αν η εταιρεία που τα επεξεργάζεται έχει έδρα στην Ευρώπη ή σε τρίτη χώρα. Ο νόμος και τα κριτήρια που πρέπει να πληρούνται είναι κοινά για όλες και θα τεθούν σε πλήρη ισχύ από τις 25 Μαΐου του 2018. Οι εταιρείες που δεν θα συμμορφωθούν με τις διαδικασίες που ορίζει ο κανονισμός ή δεν θα έχουν ανάλογη πιστοποιήσει ISO που εμπεριέχει το GDPR, μπορεί να βρεθούν αντιμέτωπες με πρόστιμα από την Ευρωπαϊκή Επιτροπή, που μπορεί να φτάσουν και τα 4% του ετήσιου τζίρου τους.

Στην πράξη, το GDPR σημαίνει ότι όλες οι εταιρείες (ανεξάρτητα από τη νομική τους μορφή), εφόσον χειρίζονται προσωπικά δεδομένα Ευρωπαίων πολίτων, πρέπει να τηρούν μία σειρά διαδικασιών που αφορούν κυρίως την φύλαξη του φυσικού και του ηλεκτρονικού αρχείου, αλλά και το δικαίωμα των πολιτών να ζητήσουν την καταστροφή των σχετικών αρχείων που τους αφορούν. Τα δεδομένα αυτά μπορεί να αφορούν φορολογικά στοιχεία, ιατρικά δεδομένα, φαρμακευτικές αγωγές, ασφαλιστήρια, τραπεζικές κινήσεις, πιστοληπτική ικανότητα, πολιτικές πεποιθήσεις, τιμολογιακή πολιτική και λογιστικά δεδομένα, username και passwords οποιασδήποτε πλατφόρμας, οπτικοακουστικό υλικό και πολλά άλλα.

Η συμμόρφωση των σχετικών εταιρειών θα πιστοποιείται από αναγνωρισμένους φορείς της επικράτειας (οι οποίοι συχνά δίνουν την πιστοποίηση GDPR πακέτο με κάποιο ISO) και για να φτάσουν στο τελικό στάδιο θα πρέπει να έχουν θεσμοθετήσει μια σειρά διαδικασιών, οι οποίες εν μέσω άλλων, θα είναι:

• φύλαξη του φυσικού αρχείου σε έπιπλα που κλειδώνουν και έχει πρόσβαση μόνο εξουσιοδοτημένο προσωπικό
• layers ασφαλείας για το ηλεκτρονικό αρχείο που θα επιβάλλουν τόσο ισχυρά passwords που θα αλλάζουν σε τακτά χρονικά διαστήματα, όσο και καταγραφή των αναζητήσεων και των ενεργειών κάθε χρήστη (log)
• έλεγχος της πρόσβασης του προσωπικού σε χώρους που φυλάσσεται το αρχείο ή οι servers
• clean desk policy, δηλαδή η παντελής απουσία εντύπων με ευαίσθητα δεδομένα ή αποθηκευτικά μέσα (flash drives, CDs κ.λπ.) στα γραφεία των υπαλλήλων, εφόσον δεν είναι παρόντες
• περιορισμένη ή ειδικώς αδειοδοτημένη πρόσβαση στα ηλεκτρονικά συστήματα της εταιρείας από συσκευές εκτός εταιρείας (π.χ. προσωπικά κινητά ή tablets υπαλλήλων)
• θεσμοθέτηση κλίμακας διαβάθμισης για όλα τα έντυπα ή τα αρχεία που διακινούνται στην εταιρεία που θα ορίζει ποιος έχει πρόσβαση σε αυτά (π.χ. δημόσιο, απόρρητο κ.λπ.)
• λήψη όλων των απαραίτητων μέτρων ασφαλείας του χώρου (π.χ. συναγερμός)
• καθιέρωση backup plans και πολιτικών που θα ορίζουν τι συμβαίνει σε περίπτωση που κάποια διαδικασία δεν μπορεί να υλοποιηθεί κατά τα γνωστά (π.χ. αν κοπεί το ρεύμα)

Για όλα τα παραπάνω, οι ενδιαφερόμενοι θα πρέπει να επισκεφθούν κάποιον από τους σχετικούς φορείς πιστοποίησης και να ορίσουν κάποιον από τους υπαλλήλους τους ως DPO (Data Protection Officer), ο οποίος θα είναι υπεύθυνος για την τήρηση των διαδικασιών και την επικαιροποίηση των πολιτικών σύμφωνα με τις αλλαγές της νομοθεσίας.

Πηγή πληροφοριών & φωτογραφίας