Boldon James. Ένας χρόνος με τον GDPR… Τι έχουμε μάθει μέχρι σήμερα;
Έχει περάσει ένας χρόνος από τότε που τέθηκε σε ισχύ ο Ευρωπαϊκός Γενικός Κανονισμός για την Προστασία των Δεδομένων (GDPR) – ένας κανονισμός που έχει στόχο την τυποποίηση των νομοθεσιών περί προστασίας δεδομένων σε ολόκληρη την Ευρωπαϊκή Ένωση, την ενίσχυση της ιδιωτικότητας, την προστασία των προσωπικών δεδομένων καθώς και την επέκταση των δικαιωμάτων του υποκειμένου των δεδομένων. Οπότε, τι συνέβη κατά την διάρκεια του χρόνου από τότε που τέθηκε σε ισχύ ο GDPR και τι μάθαμε;
Σύμφωνα με έρευνα του Διεθνή Οργανισμό Επαγγελματιών Προστασίας Προσωπικών Δεδομένων (IAPP), από τότε που τέθηκε σε ισχύ, πάνω από 500.000 οργανισμοί και εταιρείες διαθέτουν σήμερα έναν εγκεκριμένο υπεύθυνο προστασίας δεδομένων – μια νέα, απαιτούμενη από τον κανονισμό θέση, για εταιρείες και οργανισμούς που πληρούν συγκεκριμένα κριτήρια, και που έχει υπό την επίβλεψη της τις υποχρεώσεις συμμόρφωσης και προστασίας δεδομένων.
Με τον νέο κανονισμό, ήρθαν στο φως πάνω από 200.000 υποθέσεις από τις αρχές προστασίας δεδομένων αλλά και πάνω από 94.000 καταγγελίες, που κυμαίνονται από το δικαίωμα στη λήθη (διαγραφή δεδομένων) έως την αθέμιτη επεξεργασία.
Ο GDPR επανεξέτασε και υπέδειξε νέες απαιτήσεις για τις ειδοποιήσεις/ κοινοποιήσεις παραβιάσεων δεδομένων, κάτι που είχε ως αποτέλεσμα να σημειωθεί σημαντική αύξηση στις αναφερόμενες παραβιάσεις δεδομένων – οι οποίες εκτιμάται ότι είναι πάνω από 64.000, και σε ορισμένες χώρες διπλάσιες σε αριθμό από αυτές που είχαν αναφερθεί το προηγούμενο έτους.
Το πιο καυτό θέμα που σχετίζεται με τον Ευρωπαϊκό Γενικό Κανονισμό για την Προστασία των Δεδομένων ήταν κατά πόσο οι παραβιάσεις θα ισοδυναμούσαν με πρόστιμα για οργανισμούς που παραβίασαν την νομοθεσία ή που απεδείχθη ότι απέτυχαν να προστατεύσουν τα δεδομένα των χρηστών τους – μέχρι σήμερα έχουν εκδοθεί πρόστιμα άνω των €56 εκατομμυρίων ως μέτρα επιβολής του GDPR, ωστόσο το μεγαλύτερο πρόστιμο που δόθηκε σε μία εταιρεία, ήταν στην Google, με το πρόστιμο να φτάνει τα 50 εκατομμύρια ευρώ.
Ο GDPR και ο υπόλοιπος κόσμος
Δεν πρέπει να ξεχνάμε ότι ο Ευρωπαϊκός κανονισμός GDPR δεν ισχύει μόνο για τις χώρες της ΕΕ, αλλά για κάθε χώρα που αποθηκεύει στοιχεία και δεδομένα για τους Ευρωπαίους πολίτες και αν και πρόκειται ένα μικρό ποσοστό του συνολικού αριθμού, το τελευταίο έτος έχουν συγκεντρωθεί περίπου 300 διασυνοριακές υποθέσεις.
Παρόλο που περιγράφεται ως εξέλιξη και όχι ως επανάσταση, ο GDPR έχει εισαγάγει παρόμοιες προτάσεις για την προστασία των δεδομένων σε ολόκληρο τον κόσμο. Η πράξη για την προστασία της ιδιωτικής ζωής των καταναλωτών στην Καλιφόρνια (CCPA) έχει υπογραφεί για να γίνει νόμος, αν και αυτή τη στιγμή μόνο σε κρατικό επίπεδο, αλλά από ότι φαίνεται και οι ΗΠΑ είναι πολύ πιθανό στο μέλλον να υιοθετήσουν έναν κανονισμό στα πρότυπα του GDPR σε εθνικό επίπεδο.
Η Βραζιλία, η μεγαλύτερη οικονομία της Λατινικής Αμερικής και ο κανονισμός Lei Geral de Proteçao de Dados (LGPD) έχει ήδη δρομολογηθεί για το 2020 και η Αυστραλία έχει εδραιώσει τις απαιτήσεις κοινοποίησης παραβιάσεων των προσωπικών δεδομένων από το 2018 με τροπολογία του Αυστραλιανού νόμου περί ιδιωτικότητας (Australian Privacy Act).
Τι μάθαμε;
Τα στοιχεία επαρκούν για να δείξουν μια στροφή στην προστασία των προσωπικών δεδομένων και στην επιβολή της νομοθεσίας για όσους κρίνονται ανεπαρκείς, όμως το πρώτο έτος είναι και ένα μεταβατικό έτος και έτσι περιμένουμε πολύ περισσότερη κινητικότητα τα επόμενα χρόνια.
Το θετικό είναι ότι δεν είναι μόνο οι οργανισμοί που αφυπνίστηκαν από την ανάγκη να προστατεύσουν τα προσωπικά δεδομένα των χρηστών τους, αλλά και άλλες χώρες που τώρα υιοθετούν παρόμοιες προσεγγίσεις με τον GDPR για την προστασία των προσωπικών δεδομένων των πολιτών τους.
Αυτό που επίσης μάθαμε είναι ότι από τότε που τέθηκε σε εφαρμογή ο GDPR, είναι ότι η πλειονότητα των επιχειρήσεων έπρεπε να διαθέσει τεράστιο όγκο πόρων και να κάνει σημαντικές επενδύσεις ώστε να προσφέρει το απαιτούμενο επίπεδο προστασίας των προσωπικών δεδομένων, κάτι που ενδεχομένως θα αποτελούσε έκπληξη για τον μέσο πολίτη αν μάθαινε ότι προηγουμένως δεν υπήρχε (αυτό το επίπεδο προστασίας).
Το γενικό αίσθημα είναι ότι υπάρχει ακόμη πολύς δρόμος μέχρι να εφαρμοστεί μία προσέγγιση για την προστασία των προσωπικών δεδομένων στα πρότυπα του GDPR σε παγκόσμιο επίπεδο.
Ταξινόμηση δεδομένων και συμμόρφωση με GDPR
Αν θέλετε να μάθετε περισσότερα σχετικά με τον τρόπο που η ταξινόμηση δεδομένων υποστηρίζει τη συμμόρφωση με τον GDPR μέσω της οπτικής σήμανσης, της αυξημένης ευαισθητοποίησης του εργατικού δυναμικού σχετικά με την αξία των χρησιμοποιούμενων δεδομένων και με τις ετικέτες μεταδεδομένων που διευκολύνουν την ασφάλεια δεδομένων, τη διαχείριση δεδομένων και τις πολιτικές διατήρησης τότε κατεβάστε το GDPR – Protect Sensitive Personal Data On EU Citizens Fact Sheet ή ζητήστε να δείτε μία επίδειξη (demo) της ταξινόμησης δεδομένων.