ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ - ΠΟΣΟ GDPR ΕΤΟΙΜΟΣ ΕΙΣΑΙ ;



ΚΑΝΟΝΙΣΜΌΣ (ΕΕ) 2016/679 ΤΟΥ ΕΥΡΩΠΑΪΚΟΫ ΚΟΙΝΟΒΟΥΛΊΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΊΟΥ της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)
ή πιο γνωστός  ώς :    ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
Αγγλιστί :                     GDPR – GENERAL DATA PROTECTION REGULATION
Όπως έχετε ακούσει, η 25η Μαΐου 2018 ήταν μια πολύ σημαντική ημερομηνία, αφού τέθηκε σε ισχύ ο Γενικός Κανονισμός για την Προστασία Δεδομένων, γνωστός ως GDPR (General Data Protection Regulation).
Εξαιτίας του GDPR, οι επιχειρήσεις πρέπει να προσαρμόσουν τις υποδομές και τις διαδικασίες τους, για να αποφύγουν τα υψηλά πρόστιμα που προβλέπει ο εν λόγω κανονισμός.
Παραθέτουμε ένα κατάλογο σημαντικών - σε σχέση με τον GDPR - σημείων και συγκεκριμένα, πώς επηρεάζει ο εν λόγω κανονισμός την επιχείρησή σας και πώς μπορείτε να πραγματοποιήσετε την συμμόρφωση με τον GDPR.


Καταρχήν τι είναι ο κανονισμός GDPR

Ο γενικός κανονισμός για την προστασία δεδομένων (GDPR) εισάγει νέους κανόνες οι οποίοι επηρεάζουν εταιρείες σε ολόκληρο τον κόσμο. Αφορά όλες τις εταιρείες του Ευρωπαϊκού Οικονομικού Χώρου, αλλά και άλλες, οι οποίες συναλλάσσονται με αγορές ή πολίτες στο εσωτερικό της Ευρωπαϊκής Ένωσης (ΕΕ). Επιγραμματικά, ο κανονισμός GDPR δίνει στους πολίτες της ΕΕ νέα δικαιώματα σε σχέση με τα προσωπικά τους δεδομένα, όπως, μεταξύ άλλων, το δικαίωμα να αποσύρουν τη συγκατάθεσή τους, καθώς και ευκολότερη πρόσβαση στα δεδομένα που τους ανήκουν. Αναγκάζει τις επιχειρήσεις – ανεξαρτήτως μεγέθους, από τις ατομικές έως τις πολυεθνικές - να αναλάβουν μεγαλύτερη ευθύνη για τα δεδομένα χρηστών τα οποία συλλέγουν και επεξεργάζονται και ταυτόχρονα να εξασφαλίσουν ότι κάνουν ό,τι καλύτερο μπορούν για την προστασία των δεδομένων αυτών. Οι εταιρείες δεν μπορούν πλέον να συλλέγουν οποιαδήποτε πληροφορία επιθυμούν, αν δεν συντρέχει σοβαρός λόγος. Για να είμαστε ειλικρινείς, ορισμένες χώρες ήδη διαθέτουν νόμους παρόμοιους με τον κανονισμό GDPR, αλλά με μία σημαντική διαφορά: τα τρομακτικά πρόστιμα!
Στην περίπτωση του GDPR, τα πρόστιμα για την μη συμμόρφωση είναι πολύ υψηλά, τρομάζοντας ακόμα και τους μεγάλους παίκτες. Τα πρόστιμα μπορούν να φτάσουν στο 4% του ετήσιου κύκλου εργασιών ή στα 20 εκατομμύρια ευρώ (οποιοδήποτε από τα δύο ποσά είναι υψηλότερο). Οι επιχειρήσεις δεν έχουν άλλη επιλογή από τη συμμόρφωση. Τα πρόστιμα και οι πιθανές κυρώσεις είναι ένα ρίσκο που κανείς δεν μπορεί να αγνοήσει.
Βήματα προκειμένου να ικανοποιήσουμε τα κριτήρια συμμόρφωσης
Η αρχή γίνεται με μια ανάλυση των ελλείψεων. Ερευνούμε τι πρέπει να γίνει για να ευθυγραμμιστείτε με τους νέους κανόνες, καθώς υπάρχουν πολύ συγκεκριμένες κατευθυντήριες γραμμές. Πραγματοποιούμε σύγκριση με την υφιστάμενη δομή και τις διαδικασίες σας και στη συνέχεια εντοπίζουμε τις ελλείψεις. Από εκεί και πέρα, μπορούμε να διαμορφώσουμε μαζί τον ‘οδικό χάρτη’ για τη συμμόρφωσή σας. Είναι σημαντικό να εξασφαλίσετε ότι οι εργαζόμενοι έχουν επίγνωση των προσδοκιών της επιχείρησής σας, σε κάθε σημείο της διαδρομής συμμόρφωσης. Έχουν αναπτυχθεί διάφορα μοντέλα υλοποίησης της διαδρομής συμμόρφωσης αλλά όλα ακολουθούν εν κατακλείδι τα ίδια βήματα :
·        ΕΝΤΟΠΙΣΜΟΣ - ΚΑΤΑΓΡΑΦΗ – ΑΝΑΛΥΣΗ δεδομένων & διαδικασιών επεξεργασίας
·        ΔΙΑΧΕΙΡΙΣΗ των ευρημάτων προς συμμόρφωση
·        ΠΡΟΣΤΑΣΙΑ των δεδομένων & των διαδικασιών
·        ΑΝΑΦΟΡΕΣ ΠΛΗΡΟΦΟΡΗΣΗΣ (σύστημα αναφορών πληροφόρησης ομαλής λειτουργίας)
Είναι εφικτή η συμμόρφωση μόνο με προμήθεια συγκεκριμένου είδους εξοπλισμού;
Όχι. Ο GDPR μεταξύ άλλων αφορά τις διαδικασίες ασφαλείας και τη διαχείριση κινδύνου. Η τεχνολογία είναι ένα κομμάτι του, αλλά δεν υπάρχει συγκεκριμένο προϊόν το οποίο μπορεί από μόνο του να σας εξασφαλίσει τη συμμόρφωση. Η τεχνολογία δεν θα λειτουργήσει αν δεν συνεργάζονται όλοι οι τομείς. Η άποψη ότι η ασφάλεια στον κυβερνοχώρο είναι θέμα μόνο επιπέδου τεχνολογίας, είναι εσφαλμένη δεδομένου ότι οι παραβιάσεις βασίζονται στην ευφυία των επιτιθέμενων σε συνδυασμό με τις τεχνολογικές γνώσεις και τον εξοπλισμό τους. Η τεχνολογία από μόνη της δεν μπορεί να τους σταματήσει. Το παιχνίδι έχει αλλάξει και η προστασία έναντι των παραβιάσεων δεδομένων είναι κάτι που όλες οι επιχειρήσεις πρέπει να συμπεριλάβουν στα σχέδιά τους. Επίσης, ο κανονισμός GDPR προβλέπει ότι οι επιχειρήσεις (αναλόγως μεγέθους) πρέπει να ορίσουν έναν υπεύθυνο προστασίας δεδομένων (data protection officer-DPO) ο οποίος δεν θα είναι το ίδιο άτομο με τον υπεύθυνο κινδύνων (risk officer) και δεν θα ανήκει σε κάποιο από τα ήδη υπάρχοντα τμήματα μηχανοργάνωσης (ΙΤ). Οι υπεύθυνοι προστασίας δεδομένων έχουν ειδική αποστολή, αλλά είναι ιδιαίτερα σημαντικό ο ρόλος τους να είναι εκτός του τμήματος ΙΤ και εκτός διοικητικού συμβουλίου, ώστε να είναι αυτόνομοι να λαμβάνουν αποφάσεις οι οποίες θα προάγουν τη συμμόρφωση.
Πώς επηρεάζει ο GDPR το πώς αντιμετωπίζεται μια παραβίαση δεδομένων;
Σε ορισμένες χώρες της ΕΕ, αν ένας οργανισμός είχε υποστεί παραβίαση δεδομένων δεν ήταν υποχρεωμένος να το αποκαλύψει σε κανέναν. Για λόγους ηθικής αλλά και δεοντολογίας, ορισμένες εταιρείες νιώθοντας την υποχρέωση το έκαναν, ειδικά δε αν η παραβίαση αφορούσε άμεσα τους πελάτες τους. Όμως τώρα με τον κανονισμό GDPR, αυτό  είναι υποχρεωτικό. Αν δεν αναφέρετε μια παραβίαση εντός 72 ωρών, θα αρχίσουν οι κυρώσεις.
Αν οι οργανισμοί δεν διαθέτουν τις κατάλληλες διαδικασίες ή/και την κατάλληλη τεχνολογία, δεν μπορούν να αξιολογήσουν το μέγεθος της παραβίασης. Όταν λοιπόν πρέπει να κάνουν τις σχετικές ανακοινώσεις και να απαντήσουν σε ερωτήσεις του τύπου «Ποια στοιχεία εκλάπησαν;», «Ποιες είναι οι επόμενες ενέργειές σας;» ή «Μπορείτε να διαβεβαιώσετε την Αρχή Προστασίας Δεδομένων ότι δεν θα ξανασυμβεί;», οι απαντήσεις τους δεν θα είναι πειστικές. Οι επιχειρήσεις πρέπει να αντιληφθούν τις υποχρεώσεις που τους δημιουργεί ο GDPR σε σχέση με την άσκηση των δικαιωμάτων των φυσικών προσώπων , των οποίων δεδομένα κατέχουν ή/και επεξεργάζονται. Θα πρέπει να υπάρχουν οι κατάλληλες διαδικασίες για την ικανοποίηση στους προβλεπόμενους χρόνους των (νόμιμων) αιτημάτων των υποκειμένων των δεδομένων.
Ο κανονισμός GDPR δημιουργήθηκε για να μας ενθαρρύνει αλλά και να μας υποχρεώσει να κινηθούμε προς την κατεύθυνση αυτή.
ZICON-Ειδικά Πακέτα Συμμόρφωσης GDPR για επιχειρήσεις & οργανισμούς






Κοινοποίησε το άρθρο:

Δημοσίευση σχολίου

Σημείωση: Μόνο ένα μέλος αυτού του ιστολογίου μπορεί να αναρτήσει σχόλιο.

 
Copyright © zwnews.gr. Designed by OddThemes