GlobalSign. Ο GDPR και τι σημαίνει για τα δεδομένα της επιχείρησής σας
Για τις περισσότερες σύγχρονες επιχειρήσεις, τα δεδομένα αποτελούν το σημαντικότερο περιουσιακό στοιχείο καθώς και το ανταγωνιστικό πλεονέκτημά τους. Από την άποψη των εμπορικών συναλλαγών, τα δεδομένα αποτελούν τη βάση για την προώθηση των πωλήσεων και του μάρκετινγκ, αφού σας επιτρέπουν να διατηρείτε επαφή με τους πελάτες σας και να αποθηκεύετε πληροφορίες και δεδομένα αναφορικά με το εργατικό δυναμικό σας. Αλλά εδώ, ταιριάζει και με το παραπάνω η περίφημη παροιμία: Τη μεγάλη δύναμη, συνοδεύει και μεγάλη ευθύνη.
Στη προστασία των δεδομένων, τα πράγματα έχουν πάρει μία νέα τροπή στην ολοένα και περισσότερο ψηφιοποιημένη εποχή μας. Η λήψη καλύτερων και περισσότερων μέτρων εταιρικής ασφάλειας στον κυβερνοχώρο αλλά και ο νέος ευρωπαϊκός κανονισμός για τη προστασία των προσωπικών δεδομένων (GDPR) είναι οι καλύτεροι τρόποι για να παραμείνετε ένα βήμα μπροστά από οποιαδήποτε πιθανή κυβερνοεπίθεση. Και αυτό από μόνο του δημιουργεί τις προϋποθέσεις και βάζει τις εταιρείες στη διαδικασία να διαφυλάξουν και να ασφαλίσουν τόσο τα προσωπικά δεδομένα που διατηρούν στα συστήματά τους όσο και να τα χρησιμοποιούν με υπευθυνότητα.
Δεν υπάρχει άλλη εναλλακτική λύση, τουλάχιστον που να αξίζει να λάβετε υπόψη σας. Κάθε φορά που φτάνει στο φως μια παραβίαση δεδομένων υψηλού προφίλ, γίνεται κατανοητό πόσο γρήγορα και εύκολα μπορούν να πέσουν θύματα εκμετάλλευσης τα ευάλωτα συστήματα και πρωτόκολλα, καθώς και πόσο δυνητικά καταστροφικές είναι οι συνέπειες μίας τέτοιας παραβίασης, όπως είναι η κακή χρήση των δεδομένων που εκλάπησαν, οι απάτες, οι κλοπές διαπιστευτηρίων ή ταυτοτήτων κ.ά. Για τον οργανισμό σας, μία παραβίαση επίσης θα έχει ως αποτέλεσμα βαριά πρόστιμα, αποζημιώσεις και βεβαίως θα κάνει πολύ κακό στη φήμη της εταιρείας σας.
Αν χρειάζεστε κάτι πιο πειστικό ή και αποδείξεις, απλώς πάρτε σαν παράδειγμα την πρόσφατη θεαματική επίθεση στο δίκτυο του Εθνικού Συστήματος Υγείας της Μ. Βρετανίας, στην εταιρεία FedEx ή στην Renault καθώς και σε πολλά άλλα συστήματα πληροφορικής στη Ρωσία, στη Ταϊβάν και στην Ινδία. Η επίθεση χαρακτηρίστηκε από την εφημερίδα The Telegraph ως “η μεγαλύτερη επίθεση ransomware στην ιστορία”.
Με ποια νομοθεσία είναι απαραίτητο να συμμορφωθείτε;
Επί του παρόντος όλες οι επιχειρήσεις του Ηνωμένου Βασιλείου πρέπει να συμμορφώνονται με τον νόμο περί προστασίας δεδομένων του 1998. Όμως, ο παραπάνω νόμος θα αντικατασταθεί από τον Γενικό Κανονισμό για την Προστασία των Δεδομένων (GDPR) που θα τεθεί σε ισχύ τον Μάιο του 2018 και θα ισχύει για όλες τις επιχειρήσεις στο Ηνωμένο Βασίλειο, παρά το… Brexit και βεβαίως στην Ελλάδα και σε όλες τις Ευρωπαϊκές χώρες ενώ θα ισχύει και για κάθε επιχείρηση κατέχει προσωπικά δεδομένα Ευρωπαίων πολιτών.
Η αρχή που διέπει τον Γενικό Κανονισμό για την Προστασία των Δεδομένων (GDPR) που θα τεθεί σε ισχύ τον Μάιο του 2018 είναι ότι η αυξημένη προστασία δεδομένων θα επιτευχθεί μόνο αν όλες οι μεμονωμένες εταιρείες τεθούν προ των ευθυνών τους για τη συμμόρφωση τους, δεδομένου ότι θα έχουν να αντιμετωπίσουν μεγάλα πρόστιμα που θα αγγίζουν έως και τα €20 εκατομμύρια σε περίπτωση μη συμμόρφωσης τους. Οι επιχειρήσεις στη Μ. Βρετανία επίσης που επιθυμούν να συλλέγουν, να αποθηκεύουν και / ή να χρησιμοποιούν προσωπικά δεδομένα θα πρέπει να πραγματοποιήσουν εγγραφή στο Γραφείο του Επιτρόπου Πληροφοριών (ICO).
Ποια είναι τα βασικά σημεία του GDPR;
Σύμφωνα με τον Γενικό Κανονισμό για την Προστασία των Δεδομένων (GDPR), τα προσωπικά δεδομένα ορίζονται ως οτιδήποτε μπορεί να χρησιμοποιηθεί για την αναγνώριση ενός ατόμου. Αυτό περιλαμβάνει προσωπικά στοιχεία όπως ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου, διευθύνσεις IP, αριθμούς τηλεφώνου, δεδομένα GPS, ημερομηνίες γέννησης και πληροφορίες για την υγεία.
Εν συντομία, η νομοθεσία GDPR ορίζει ότι είναι καθήκον της εταιρείας σας να:
- Συλλέγει, αποθηκεύει και να χρησιμοποιεί καταλλήλως τα δεδομένα και με βάσιμους λόγους.
Τα εν λόγω δεδομένα πρέπει να αποτελούν μέρος μιας πελατειακής σύμβασης ή ο πελάτης θα πρέπει διαφορετικά να έχει δώσει τη ρητή εξουσιοδότησή για την επεξεργασία των δεδομένων του.
- Χρησιμοποιείτε τα δεδομένα νόμιμα και για συγκεκριμένους σκοπούς.
Τα δεδομένα πρέπει να χρησιμοποιούνται μόνο με λογικό και διαφανή τρόπο και πρέπει να υπάρχει μια πολιτική απορρήτου που να μπορεί να προσεγγιστεί εύκολα από τον πελάτη.
- Διατηρείτε επαρκή, αλλά όχι υπερβολικά, ποσά δεδομένων για τον καθορισμένο σκοπό σας.
Να διατηρείτε μόνο όσα προσωπικά δεδομένα είναι απαραίτητα, και καταστήστε μία πολιτική για τη καταστροφή τυχόν άσχετων ή υπερβολικών ποσοτήτων δεδομένων.
- Βεβαιωθείτε ότι τα προσωπικά δεδομένα είναι πάντα ακριβή και ενημερωμένα.
Θα πρέπει να λάβετε όλα τα εύλογα μέτρα για να διασφαλίσετε ότι όλες οι προσωπικές πληροφορίες που διατηρούνται σε αρχείο ελέγχονται τακτικά και ενημερώνονται ή διαγράφονται.
- Καταστρέψτε τυχόν προσωπικά δεδομένα που δεν χρειάζονται πλέον.
Ενώ δεν υπάρχει ελάχιστο ή μέγιστο χρονικό διάστημα που επιτρέπεται να διατηρείτε δεδομένα, πρέπει να λάβετε μέτρα για να καταστρέφετε τυχόν δεδομένα που έχουν εκπληρώσει το σκοπό τους και δεν είναι πια απαραίτητα.
- Προστατεύετε τα προσωπικά δεδομένα που είναι αποθηκευμένα από τον οργανισμό σας.
Πρέπει να βεβαιωθείτε ότι διαθέτετε τις απαραίτητες και ισχυρές διαδικασίες και μηχανισμούς, καθώς και τους επαρκείς τεχνικούς πόρους για την προστασία των δεδομένων από κλοπή ή απώλεια και να είστε έτοιμοι να απαντήσετε ή και να λογοδοτήσετε σε τυχόν παραβιάσεις δεδομένων.
- Συμμορφωθείτε με τα ενισχυμένα δικαιώματα των πολιτών περί προσωπικών δεδομένων.
Σύμφωνα με τον Γενικό Κανονισμό για την Προστασία των Δεδομένων (GDPR), τα άτομα έχουν το δικαίωμα να ενημερώνονται, το δικαίωμα στη πρόσβαση, στη διόρθωση, στη διαγραφή, στο περιορισμό της επεξεργασίας, στη φορητότητα των δεδομένων, ενώ έχουν το δικαίωμα να προβάλλουν αντιρρήσεις και δικαιώματα αναφορικά με την αυτοματοποιημένη λήψη αποφάσεων και τη δημιουργία προφίλ. Οι εταιρείες έχουν ένα μήνα για να απαντήσουν στα αιτήματα των χρηστών και πελατών τους.
- Λάβετε ενεργά μέτρα για να επιδείξετε συμμόρφωση.
Τα μέτρα προστασίας δεδομένων θα πρέπει να ενσωματωθούν στις εταιρικές διαδικασίες μέσω μιας σειράς εργαλείων λογοδοσίας, συμπεριλαμβανομένων των πολιτικών προστασίας των δεδομένων, της κατάρτισης και των αναθεωρήσεων.
Με τον Γενικό Κανονισμό για την Προστασία των Δεδομένων (GDPR) να υπόσχεται ότι θα φέρει τη μεγαλύτερη ανατροπή στη νομοθεσία της προστασίας των προσωπικών δεδομένων σε ολόκληρη την Ευρώπη εδώ και δύο δεκαετίες, οι επιχειρήσεις θα διαπιστώσουν ότι ο τρόπος με τον οποίο διατηρούν και διαχειρίζονται προσωπικά δεδομένα θα υπόκεινται τώρα σε αυξανόμενο έλεγχο. Και με τεράστια πρόστιμα που αγγίζουν έως και το 4% του ετήσιου παγκόσμιου κύκλου εργασιών, το να αγνοήσετε τον Γενικό Κανονισμό για την Προστασία των Δεδομένων (GDPR) βάζετε σε κίνδυνο την βιωσιμότητα της επιχείρησης σας.Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.