Από την έντυπη έκδοση
Της Λέττας Καλαμαρά
[email protected]
Ντεμπούτο κάνει από σήμερα στην Ευρώπη ο νέος Γενικός Ευρωπαϊκός Κανονισμός για την Προστασία των Δεδομένων (GDPR), που αφορά το σύνολο των ιδιωτικών επιχειρήσεων. Ήδη έχουν ξεκινήσει οι αποστολές και λήψεις ηλεκτρονικών μηνυμάτων για την επιβεβαίωση στοιχείων και ενημερώσεων από την πλευρά των εταιρειών προς τους συμμετέχοντες στις βάσεις δεδομένων τους, στο πλαίσιο της συμμόρφωσης με τα νέα δεδομένα. Ωστόσο, σύμφωνα με πληροφορίες, επικρατεί αρκετή ένταση και γκρίνια, μιας και ούτε οι επιχειρήσεις είναι απόλυτα έτοιμες για τον σκοπό αυτό ούτε οι πελάτες τους είναι απόλυτα έτοιμοι να ανταποκριθούν άμεσα στα αιτήματα επικοινωνίας που λαμβάνουν σωρηδόν. Είναι αρκετοί εκείνοι που υποστηρίζουν πως ένα σημαντικό μέρος όσων περιλαμβάνονται στις βάσεις δεδομένων δεν θα ανταποκριθεί.
Σύμφωνα με στοιχεία της Infobank Hellastat, σε ποσοστό 87% οι ερωτηθέντες επικεφαλής επιχειρήσεων θεωρούν ότι οι τρέχουσες διαδικασίες τους αφήνουν εκτεθειμένους στο νέο πλαίσιο του GDPR. Ο Κανονισμός ρυθμίζει τα δικαιώματα των φυσικών προσώπων σχετικά με: 1. Τα προσωπικά τους δεδομένα, 2. Την επεξεργασία των προσωπικών τους δεδομένων, 3. Την ελεύθερη και ανεμπόδιστη κυκλοφορία και μεταβίβαση των προσωπικών τους δεδομένων εντός των ορίων της Ευρωπαϊκής Ένωσης, 4. Τις διαδικασίες μεταφοράς προσωπικών δεδομένων εκτός Ευρωπαϊκής Ένωσης.
Η μη συμμόρφωση στον νέο κανονισμό επιφέρει πρόστιμο που ανέρχεται στο 4% του παγκόσμιου κύκλου εργασιών, ενώ στα 250 εκατ. ευρώ φτάνει το πρόστιμο για μια μέση εταιρεία του FTSE 100. Όπως τονίζουν οι συμβουλευτικές εταιρείες, η κυριαρχία των δεδομένων (data) στη σημερινή εποχή έχει οδηγήσει στην άρρηκτη σύνδεση της ιδιωτικότητας, της ασφάλειας και της εμπιστοσύνης, τα οποία αποκτούν ολοένα και μεγαλύτερη σημασία. Προσωπικά δεδομένα θεωρούνται: στοιχεία αναγνώρισης (ΑΦΜ, ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση κ.λπ.), φυσικά χαρακτηριστικά, εκπαίδευση, εργασία (προϋπηρεσία, εργασιακή συμπεριφορά κ.λπ.), οικονομική κατάσταση (έσοδα, περιουσιακά στοιχεία, οικονομική συμπεριφορά), ενδιαφέροντα, δραστηριότητες, συνήθειες, IP Address, e-mail, internet cookies, GPS location, τα ιατρικά, τα θρησκευτικά, τα πολιτικά, οι ερωτικές προτιμήσεις, η συνδικαλιστική δραστηριότητα κ.ά.
Οι επιχειρήσεις βρίσκονται σε συναγερμό, προσπαθώντας να προλάβουν τους χρόνους συμμόρφωσης με τους νέους κανόνες υπ’ όψιν και των ποινών που επισείει η παράβασή τους, ωστόσο, όπως δείχνουν τα στοιχεία από την Ελλάδα, αλλά και την υπόλοιπη Ευρώπη, σε χαμηλά επίπεδα παραμένει ο δείκτης της ετοιμότητάς τους. Αντίστοιχα ζητούμενο είναι το επίπεδο γνώσης των ιδιωτών εν αναμονή της εφαρμογής των νέων κανόνων για την προστασία των προσωπικών δεδομένων, η οποία αποτελεί συνολική εταιρική ευθύνη και όχι μόνο του τμήματος μάρκετινγκ ή του ΙΤ μάνατζερ μιας εταιρείας. Από την πλευρά τους οι εταιρείες τεχνολογίας και συμβούλων τονίζουν ότι το πλάνο συμμόρφωσης με τον νέο κανονισμό αφορά τον προσδιορισμό (πού υπάρχουν, πού βρίσκονται τα προσωπικά δεδομένα), τη διαχείρισή τους (πώς χρησιμοποιούνται), την προστασία τους, τις αναφορές (αιτήματα δεδομένων και απαιτούμενη τεκμηρίωση). Στο μεταξύ πάνω από 1 στις 10 εταιρείες δεν γνωρίζει με βεβαιότητα πού βρίσκονται όλα τα δεδομένα της. Περισσότερες μεγάλες εταιρείες σε σύγκριση με τις μμε καταλαβαίνουν τη σοβαρότητα του αντίκτυπου των χρηματικών προστίμων για το GDPR. Ο αντίκτυπος στη φήμη είναι επίσης πιο έντονος στις μεγάλες εταιρείες, που αισθάνονται πιο εκτεθειμένες από τις μικρότερες εταιρείες. Το 39% των εταιρειών σχεδιάζει να επανεξετάσει την τεχνολογία πληροφορικής / συστήματα δεδομένων πελατών. Τα δύο τρίτα των μεγάλων εταιρειών είναι πρόθυμα για την αναβάθμιση των συστημάτων τους σε σύγκριση με το 8% των μμε. Το άρθρο του νέου κανονισμού (Data protection by design and by default) όπως λένε «πονοκεφαλιάζει» τα στελέχη των εταιρειών, που προσπαθούν να αποφύγουν τα χειρότερα, επιστρατεύοντας τους υπεύθυνους προστασίας δεδομένων των εταιρειών. Το 39% των εταιρειών σχεδιάζει να αναθέσει τον ρόλο αυτό σε εσωτερικό υπάλληλο, το 15% να προσλάβει κάποιον ειδικό, το 12% θα το αναθέσει σε εξωτερικό πάροχο υπηρεσιών, το 35% δεν θα κάνει τίποτα από αυτά, και το 10% δεν ξέρει τι να κάνει.
PwC
Τι λένε όμως τα πρόσφατα στοιχεία; Στην ετήσια έρευνα της PwC για την παγκόσμια ασφάλεια πληροφοριών «2018 Global State of Information Security Survey», αρκετοί οργανισμοί δεν έχουν δώσει το απαιτούμενο βάρος στην προστασία του ιδιωτικού απορρήτου. Σε ποσοστό 49% οι συμμετέχοντες στην έρευνα δήλωσαν ότι ο οργανισμός τους περιορίζει τη συλλογή, διατήρηση και πρόσβαση σε στοιχεία προσωπικού χαρακτήρα, στα απολύτως απαραίτητα βάσει του νομικού πλαισίου. Αντιθέτως, το 51% διατηρεί ενημερωμένο μητρώο δεδομένων προσωπικού χαρακτήρα εργαζομένων και πελατών στο οποίο συλλέγονται, διακινούνται και αποθηκεύονται τα δεδομένα. Το 53% εισάγει ως υποχρεωτική την παρακολούθηση επιμορφωτικών προγραμμάτων για την πολιτική και τις πρακτικές προστασίας ιδιωτικού απορρήτου. Το 31% των συμμετεχόντων στην έρευνα GSISS 2018 δήλωσε ότι το διοικητικό συμβούλιο του οργανισμού συμμετέχει άμεσα στην επισκόπηση των κινδύνων που σχετίζονται με την ασφάλεια και το ιδιωτικό απόρρητο. Για τους οργανισμούς που έχουν αξία πάνω από 25 δισ. δολάρια το ποσοστό αυτό αυξάνεται στο 36%.
Αντιμετώπιση των GDPR και NIS ως ευκαιρία
Αναφορικά με τον Ευρωπαϊκό Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR), που ισχύει για όλους τους οργανισμούς που δραστηριοποιούνται στην Ε.Ε., μερίδα συμμετεχόντων στην έρευνα GSISS 2018 από διάφορες χώρες του κόσμου, δήλωσε ότι είχε ήδη ξεκινήσει να προετοιμάζεται από το πρώτο εξάμηνο του 2017. Ενδεικτικά, περίπου το ένα τρίτο των ερωτηθέντων (32%) ήταν ήδη σε διαδικασία αξιολόγησης, με το ποσοστό αυτό να είναι λίγο υψηλότερο στην Ασία (37%) σε σχέση με όλες τις υπόλοιπες περιοχές. Όπως σχολιάζει ο Γιώργος Ναούμ, partner στο Συμβουλευτικό Τμήμα της PwC Ελλάδας και επικεφαλής του Τομέα Τεχνολογίας: «Η συμμόρφωση με το πλαίσιο και τις διαδικασίες που ορίζει το GDPR πέραν των άμεσων οφελών που έχει σε επίπεδο διαχείρισης προσωπικών δεδομένων, αποτελεί μια ευκαιρία και καλλιεργεί το έδαφος για τον Ψηφιακό Μετασχηματισμό. Η σωστή διαχείριση δεδομένων θα οδηγήσει, μεταξύ άλλων, στη λήψη αποτελεσματικότερων επιχειρηματικών αποφάσεων, στην ενίσχυση της εταιρικής διακυβέρνησης, στη μείωση πολυπλοκότητας και στη βελτιστοποίηση των εσωτερικών διαδικασιών».
Η οδηγία της Ε.Ε. για την Ασφάλεια στα Συστήματα Δικτύου και Πληροφοριών (οδηγία NIS) έχει σκοπό να ενισχύσει την ανθεκτικότητα στις διαδικτυακές απειλές. Οι επιχειρήσεις που ορίζονται από τα κράτη-μέλη ως διαχειριστές σημαντικών υπηρεσιών (κρίσιμες υποδομές), καθώς και οι προμηθευτές ψηφιακών υπηρεσιών (μηχανές αναζήτησης, υπηρεσίες cloud και διαδικτυακές αγορές), βάσει του κανονισμού καλούνται άμεσα να συμμορφωθούν σε νέες απαιτήσεις ασφάλειας και αναφοράς συμβάντων στις εθνικές αρχές. Όπως και με το GDPR, σε περίπτωση μη συμμόρφωσης υπάρχει το ενδεχόμενο σοβαρών κυρώσεων.
Με βάση τα ευρήματα της GSISS για το 2018, οι επιχειρήσεις στην Ευρώπη και τη Μέση Ανατολή σε γενικές γραμμές παρουσιάζουν μια καθυστέρηση σε σχέση με τις επιχειρήσεις στην Ασία, τη Βόρεια και τη Νότια Αμερική σε ό,τι αφορά την ανάπτυξη ολοκληρωμένης στρατηγικής ασφάλειας πληροφοριών και την εφαρμογή πρακτικών διακυβέρνησης στη χρήση δεδομένων. Τα ανώτερα διοικητικά στελέχη αναγνωρίζουν τους σοβαρούς κινδύνους που ελλοχεύουν στην έλλειψη διαδικτυακής ασφάλειας. Οι διαδικτυακές απειλές συμπεριλήφθηκαν για τρίτη φορά στην 5άδα με τους σημαντικότερους παράγοντες που απειλούν την ανάπτυξη, με το 40% των CEO να δηλώνει εξαιρετικά προβληματισμένο, παρουσιάζοντας αύξηση 15% σε σχέση με το 2017. Παρ’ όλα αυτά υπάρχει αισιοδοξία, καθώς το 87% των CEO δήλωσε ότι επενδύει στη διαδικτυακή ασφάλεια, στοχεύοντας στην εμπιστοσύνη των πελατών του. Αντίστοιχο ποσοστό (81%) δήλωσε ότι προσπαθεί να προσδώσει διαφάνεια στη χρήση και την αποθήκευση των δεδομένων. Όμως λιγότεροι από τους μισούς δήλωσαν ότι αναλαμβάνουν αυτές τις πρωτοβουλίες σε μεγάλη κλίμακα.
Τι αλλάζει στη διαχείριση δεδομένων
Oι βασικές αλλαγές που τίθενται σε ισχύ με τον GDPR είναι οι παρακάτω:
- Προστασία των δικαιωμάτων των παιδιών: Το τοπίο στα social media αλλάζει. Βάσει του νέου κανονισμού, απαγορεύεται η χρήση των social media από παιδιά έως 16 ετών παρά μόνο με τη συγκατάθεση των γονέων.
- Δικαίωμα στη λήθη: Ο χρήστης έχει το δικαίωμα να ζητήσει τη διαγραφή των δεδομένων του και ο υπεύθυνος επεξεργασίας έχει υποχρέωση άμεσα να τα διαγράψει και, αν τα έχει δημοσιοποιήσει, να ενημερώσει και όλους τους άλλους που τα έχουν αναδημοσιεύσει ότι έχει ζητηθεί η διαγραφή τους.
- Δικαίωμα ενημέρωσης και πρόσβασης στα δεδομένα: Ο πολίτης θα έχει περισσότερη και σαφέστερη ενημέρωση κατά τη συλλογή των δεδομένων του για την επεξεργασία τους και το δικαίωμα πρόσβασης σε αυτά.
- Δικαίωμα διόρθωσης: Ο χρήστης θα έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας τη διόρθωση ανακριβών στοιχείων, καθώς και τη συμπλήρωση ελλιπών δεδομένων που τον αφορούν.
- Δικαίωμα εναντίωσης στην επεξεργασία: Ο χρήστης θα έχει το δικαίωμα να αντιταχθεί στην επεξεργασία των δεδομένων του υπό συγκεκριμένες προϋποθέσεις, ιδίως όταν πρόκειται για κατάρτιση «προφίλ» ή για σκοπούς απευθείας εμπορικής προώθησης.΄
Τι αλλάζει στο διαδίκτυο
Τελευταία, πολλοί από τους μεγάλους ιστότοπους, υπηρεσίες και εφαρμογές που χρησιμοποιούμε σπεύδουν να επικαιροποιήσουν τις πολιτικές απορρήτου και τους όρους χρήσης τους. Ίσως έχετε παρατηρήσει πολλές νέες ειδοποιήσεις για το θέμα αυτό στο τηλέφωνό και στο email σας. Ο λόγος πίσω απ’ αυτές τις αλλαγές δεν είναι άλλος από τη συμμόρφωση των εταιρειών στον νέο Γενικό Κανονισμό για την Προστασία των Δεδομένων. Με τους νέους κανόνες γίνεται δυσκολότερη η στοχευμένη διαφήμιση, καθώς οι εταιρείες δε θα έχουν πλέον το δικαίωμα να συλλέγουν και να πωλούν πληροφορίες για τις προτιμήσεις των χρηστών εάν πρώτα δεν έχουν εξασφαλίσει τη συγκατάθεσή τους.
Επιπρόσθετα μια ακόμα αλλαγή που ορίζει ο νέος κανονισμός και θα τη δούμε να εφαρμόζεται από αύριο είναι η πρόσβαση των παιδιών ηλικίας από 13 έως 15 ετών (για την Ελλάδα) στα κοινωνικά δίκτυα μόνο με γονική συναίνεση. Μέχρι στιγμής πάντως παραμένει αδιευκρίνιστο το πώς θα εφαρμοστεί αυτή η διάταξη, καθώς δεν υπάρχουν σχετικές ανακοινώσεις από τα κοινωνικά δίκτυα.