- Ημ / νία: 06.07.18
Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR )
Ο Κανονισμός (ΕΕ 2016/679 – General Data Protection Regulation/GDPR) αντικατάστησε από 25.5.2018 το προηγούμενο καθεστώς προστασίας προσωπικών δεδομένων (Οδηγία 95/46). Νομοθεσίες προστασίας προσωπικών δεδομένων εφαρμόζονται στις χώρες της Ε.Ε. για πάνω από 25 έτη. Είναι ένας γενικός κανονισμός και αυτό συνεπάγεται ότι δεν υπάρχουν συγκεκριμένοι κανόνες τους οποίους οι επιχειρήσεις υποχρεούνται να ακολουθήσουν.
Επίσης δεν είναι ξεκάθαρο για παράδειγμα εάν ο κανονισμός θεωρεί ως απώλεια προσωπικών δεδομένων την περίπτωση όπου ένα μη εξουσιοδοτημένο άτομο ναι μεν υποκλέπτει κάποιο αρχείο στο οποίο περιέχονται προσωπικά δεδομένα (άρα τα έχει στην κατοχή του), αλλά δεν μπορεί να έχει πρόσβαση σε αυτά επειδή το αρχείο είναι κρυπτογραφημένο.
Ποιους αφορά;
Έχει καλλιεργηθεί λανθασμένα η αντίληψη ότι ο GDPR αφορά μόνο μεγάλες επιχειρήσεις και οργανισμούς. Αντιθέτως αφορά κάθε επαγγελματία που επεξεργάζεται και αποθηκεύει προσωπικά δεδομένα ευρωπαίου πολίτη. Ουσιαστικά ο GDPR αφορά την πιτσαρία της γειτονιάς η οποία διατηρεί σε αρχείο το πελατολόγιο της, το γυμναστήριο της γειτονιάς κ.τ.λ. Σαφώς ένας διεθνής οργανισμός ο οποίος διαχειρίζεται μαζικά προσωπικά δεδομένα, πιθανότατα θα χρειαστεί ολόκληρο κλιμάκιο, το οποίο θα εξασφαλίζει ότι τα δεδομένα αυτά δεν πρόκειται να παραβιαστούν, δεν θα υπάρξει αθέμιτη εκμετάλλευση τους και θα διαγραφούν στον προβλεπόμενο κάθε φορά χρόνο. Τι είναι προσωπικά δεδομένα; Είναι «κάθε πληροφορία που αφορά φυσικό πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, η σε έναν η περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα φυσικού προσώπου».
Γενικά οποιαδήποτε πληροφορία αφορά φυσικό πρόσωπο και η οποία μπορεί να χρησιμοποιηθεί για την άμεση ή έμμεση ταυτοποίηση του, θεωρείται προσωπικό δεδομένο.
• η φυλετική ή εθνοτική καταγωγή
• τα πολιτικά φρονήματα
• οι θρησκευτικές ή φιλοσοφικές πεποιθήσεις
• η συμμετοχή σε συνδικαλιστική οργάνωση
• η υγεία ή η σεξουαλική ζωή
Το κλειδί σε όλη αυτή την ιστορία είναι η γνωστοποίηση του καθετί που έχει να κάνει με έναν πελάτη και εργαζόμενο στην εταιρία μας. Ένα απλό παράδειγμα είναι η αποστολή βιογραφικών. Η εκάστοτε εταιρία θα πρέπει να γνωστοποίηση στον «εμπλεκόμενο» ότι θα κρατήσει το βιογραφικό του για Χ χρόνο και Χ λόγους και να τον ρωτάν αν έχει τη συγκατάθεσή του. Ως «υπεύθυνος επεξεργασίας» θεωρείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα Ο κάθε επαγγελματίας που διαχειρίζεται τέτοια δεδομένα, καλό θα ήταν να καλλιεργήσει αυτή τη νοοτροπία, έχοντας υπόψιν ότι κρατά στα χέρια του ένα μέρος της προσωπικής ζωής κάποιου άλλου και για το λόγο αυτό θα πρέπει να συμπεριφερθεί με τον ανάλογο σεβασμό. Οι εταιρείες που δεν συμμορφώνονται με τον GDPR, θα υφίστανται πρόστιμο έως 4% του παγκόσμιου ετήσιου κύκλου εργασιών τους ή πρόστιμο που αγγίζει τα 20 εκατομμύρια ευρώ. Τα προσωπικά δεδομένα δεν διατηρούνται μόνο σε ηλεκτρονική μορφή. Υπάρχουν πολλά παραδείγματα απώλειας δεδομένων και σε έντυπη μορφή. Πολλοί διατηρούσαν τα έντυπα αρχεία τους σε ράφια και φωριαμούς τα οποία δεν κλείδωναν. Έτσι οποιοδήποτε άτομο είχε φυσική πρόσβαση σε αυτά, πολύ εύκολα μπορούσε να αφαιρέσει κάποιο φάκελο και να τον ιδιοποιηθεί. Λάβετε υπόψη ότι η πρόσβαση μπορεί να λαμβάνει χώρα είτε με φυσική παρουσία είτε από απόσταση. θα πρέπει πάντα να δημιουργούνται πολλαπλές ζώνες άμυνας, ώστε ακόμα και αν υπάρξει κάποια μη εξουσιοδοτημένη πρόσβαση, τα δεδομένα να διατηρηθούν ανέπαφα. Συνεπώς, οι πολιτικές που θα ακολουθήσει ακόμα και μία μικρή επιχείρηση για να συμμορφωθεί με τον GDPR, καλό είναι να περιλαμβάνουν και την κρυπτογράφηση των επίμαχων αρχείων.
Σε πρακτικό επίπεδο θα πρέπει να γνωρίζουν σε βάθος όπως
• Αξιολόγηση των Κινδύνων και των Απειλών
• Θέσπιση Πολιτικών Ασφάλειας
• Έλεγχο Ασφάλειας των Υποδομών
• Εκπαίδευση των Χρηστών
• Υιοθέτηση Τεχνολογικών Λύσεων και Υπηρεσιών
Ίσως το μεγαλύτερο ζήτημα της βιομηχανίας αποθήκευσης είναι η διαχείριση των δεδομένων. Oι εταιρείες θα πρέπει να αποδείξουν τη συμμόρφωσή τους όσον αφορά τη διαχείριση, την αποθήκευση και την ανταλλαγή δεδομένων, ανεξάρτητα από το μέγεθος τους. Επίσης θα πρέπει να αναφέρουν τις παραβιάσεις δεδομένων εντός 72 ωρών από την ανίχνευση τους. Σε πρόσφατη διεθνή έρευνα για την αξιολόγηση του βαθμού ετοιμότητας διαφόρων τομέων οικονομίας, η ξενοδοχειακή βιομηχανία φάνηκε να είναι πιο ευάλωτη στην παραβίαση δεδομένων σε σχέση με άλλους τομείς όπως το λιανεμπόριο.
Το 67% των ερωτηθέντων απάντησε ότι υπήρξε κλοπή δεδομένων προσωπικού χαρακτήρα από ξενοδοχειακές επιχειρήσεις. Παρόλο που καμία από τις περιοχές όπου σημειώθηκε παραβίαση δεδομένων σε ξενοδοχειακές επιχειρήσεις υπήρχε στην ΕΕ, υπάρχει μεγάλη πιθανότητα τα δεδομένα να ανήκαν σε πρόσωπα της ΕΕ. Ενώ τα περιστατικά που αφορούν μεγάλες ξενοδοχειακές αλυσίδες είναι πιο πιθανό να φτάσουν στον Τύπο, παραβιάσεις δεδομένων μπορεί να συμβούν σε οποιοδήποτε ξενοδοχείο, ανεξάρτητα από το μέγεθός του. Σύμφωνα με την έκθεση της Verizon, η βιομηχανία ξενοδοχείων αντιπροσωπεύει έναν από τους υψηλότερους αριθμούς παραβιάσεων σε οποιοδήποτε τομέα και έχει τον υψηλότερο όγκο απολεσθέντων δεδομένων. Η Verizon αναφέρει ότι αυτό δεν είναι έκπληξη, δεδομένου ότι επεξεργάζεται πληροφορίες που είναι ιδιαίτερα επιθυμητές για τους εγκληματίες με οικονομικά κίνητρα. Τέλος η συμπεριφορά των χρηστών θα αλλάξει. Ο μέσος χρήστης δεν γνωρίζει πώς τα τρίτα μέρη χειρίζονται τις προσωπικές του πληροφορίες. Αυτό είναι πιθανό να αλλάξει ως αποτέλεσμα δύο μέτρων που περιέχονται στο GDPR.
Πρώτον, ο κανονισμός απαιτεί στις περισσότερες (ίσως όλες) περιπτώσεις να παρέχεται εξαντλητικός βαθμός λεπτομέρειας στους χρήστες σχετικά με τον τρόπο χρήσης των προσωπικών τους πληροφοριών από κάθε μέρος που επιθυμεί να τα χρησιμοποιήσει και προβλέπει τη δημιουργία εικονογραφίας για τη συνοπτική επεξήγηση της χρήσης των δεδομένων, τους κινδύνους και τα δικαιώματα σε απλή γλώσσα. Δεύτερον, ο κανονισμός κατοχυρώνει το δικαίωμα πρόσβασης ενός χρήστη σε όλες τις προσωπικές πληροφορίες που κατέχει μια εταιρεία σχετικά με αυτόν.
Αν θέλετε να διαβάσετε όλο το κανονισμό ανατρέξτε στο παρακάτω link: https://www.taxheaven.gr/laws/circular/view/id/23542
Σε κάθε περίπτωση θα χρειαστεί να ενημερωθείτε από τους ειδικούς στο θέμα GDPR, και να εναρμονίσετε όλη την επιχείρησή σας (offline και online) με τις απαιτήσεις του νέου νόμου.
Με εκτίμηση, KONTIS SPYRIDON City University of Seattle MSc in M.I.T Information Security Management InformationTechnology - GDPR e-mail: Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε. skype: kontisspiros mob: +306948232174