Τι πρέπει να κάνει η επιχείρηση;

Ο Κανονισμός ισχύει τόσο σε ένα ‘’μαγαζί’’ 2 ατόμων όσο και σε μια ‘’επιχείρηση’’ πολύ περισσότερων ατόμων.

Η διαφορά δεν βρίσκεται στον αριθμό των εργαζομένων αλλά στον αριθμό των “ροών πληροφ οριών”.

Ξέρετε από έρχονται τα δεδομένα, πού και σε ποιους πηγαίνουν; Ξέρετε πώς να κρατάτε την πληροφορία σε περιορισμένα κανάλια, χωρίς να σταματήσετε τη ροή με άχρηστα πρωτόκολλα ασφαλείας;

Περιοχές που, ενδεικτικά, απαιτούν προσοχή:

  • Ηλεκτρονικά αρχεία & προγράμματα / φυσικά αρχεία
  • Ασφάλεια συστημάτων
  • Backup
  • Πρόσβαση σε δίκτυο και συστήματα
  • Συμβάσεις με προσωπικό
  • Συμβάσεις με πελάτες
  • Κάμερες στον χώρο εργασίας (σύστημα CCTV)
  • Παρακολούθηση δικτύων (πχ wifi tracking)
  • Συγκατάθεση για marketing

Μια επιχείρηση για να απαντήσει σε ερωτήματα όπως:

Μπορεί ο ιδιοκτήτης να είναι Yπεύθυνος ή/& Εκτελών την Επεξεργασία ή θα αναθέσει αρμοδιότητες σε τρίτους;

  • Ποιος είναι ο σκοπός της επεξεργασίας;
  • Πως ικανοποιούνται τα δικαιώματα των φυσικών προσώπων;
  • Απαιτείται η συγκατάθεση ή άλλη νομική βάση;
  • Ο ορισμός DPO είναι απαραίτητος;
  • Τι διαδικασίες χρειάζονται;
  • Τι αρχεία πρέπει να τηρούνται;

Θα πρέπει πρώτα να κατανοήσει τι προσωπικές πληροφορίες συλλέγει και επεξεργάζεται και με τι μέσα. Δηλαδή να:

  1.  Να καταγράψει όλες τις ροές πληροφοριών (δηλαδή data inventory κατά αναλογία του asset inventory)
  2. Να χαρτογραφήσει τις ροές και τις πιθανές διασυνδέσεις μεταξύ των ροών πληροφοριών (data mapping). Δηλαδή τι δεδομενα συλλέγονται,πως, για πόσο, από ποιους, κα
  3. Να τεκμηριώσει τη νομική βάση (νομιμότητα) των τύπων επεξεργασίας δεδομένων
  4. Να γνωρίζει / καταγράψει (α) σε τι μέσον καταγράφεται η πληροφορία (β) που βρίσκονται και σε τι κατάσταση ελέγχου, από πλευράς ασφάλειας, τα παραπάνω μέσα.
  5. Να γνωρίζει / καταγράψει τα υπάρχοντα αρχεία, διαδικασίες, έντυπα, κλπ.

 

Τι μπορεί να κάνει μια επιχείρηση;

Να σχεδιάσει τα κατάλληλα οργανωτικά & τεχνικά μέτρα που μπορεί να περιλαμβάνουν:

  • Ευαισθητοποίηση / εκπαίδευση του ανθρώπινου δυναμικού (αλλαγή κουλτούρας)
  • Σαφείς και τεκμηριωμένοι ρόλοι, αρμοδιότητες & ευθύνες στην επεξεργασία των προσωπικών δεδομένων
  • Πολιτικές και Διαδικασίες προστασίας δεδομένων
  • Σχέδια που να εξασφαλίζουν τις αρχές CIA (όπως σχέδια ανάκτησης δεδομένων, επιχειρηματικής συνέχειας, αντιμετώπισης περιστατικών παραβίασης ασφάλειας)

Οι δράσεις που πρέπει να σχεδιάσει μια επιχείρηση μπορούν να διακριθούν σε τρία στάδια.

  • Στην πρώτη φάση θα πρέπει να συσταθεί Ομάδα Έργου, να κατανοηθούν τα βασικά σημεία του GDPR ώστε να εντοπιστούν οι υπάρχουσες αποκλίσεις, να αξιολογηθούν οι πιθανές επιπτώσεις και να προγραμματιστούν οι επόμενες δράσεις.
  • Στην δεύτερη φάση θα πρέπει να προσδιοριστούν τα κατάλληλα οργανωτικά & τεχνικά μέτρα, να σχεδιαστούν πολιτικές και σχετικές διαδικασίες, ανάλογα με την υποδομή που υπάρχει.
  • Στην τρίτη φάση  σχεδιάζονται οι δράσεις και διαδικασίες monitoring και reporting.

Οφέλη των επιχειρήσεων από την υιοθέτηση του Κανονισμού

1. Βελτίωση φήμης

Γίνεται μεγάλος θόρυβος για σημαντικές παραβιάσεις δεδομένων σε πολυεθνικές , αλλά το πρόβλημα της προστασίας των δεδομένων είναι πολύ μεγαλύτερο όταν εξετάζονται μικρότερες εταιρείες. Με την απειλή της επίθεσης τόσο υψηλά (δείτε σχετικά e-newsletter στην ιστοσελίδα μας), η συμμόρφωση ως προς GDPR είναι ένα σημαντικό πλεονέκτημα.

2. Ασφάλεια σημαίνει μεγαλύτερη αφοσίωση των πελατών

Η φήμη ότι είναι “cyber safe” συνιστά ένα μεγάλο πλεονέκτημα για επιχειρήσεις όλων των μεγεθών, και συνεπώς σημαντικά βελτιώνει την πίστη των υφιστάμενων πελατών. Αυτό αποδεικνύεται από έρευνα που δημοσιεύθηκε στις ΗΠΑ το 2016, όπου το 76% των καταναλωτών που συμμετείχαν παραδέχτηκε ότι πιθανότατα θα απέφευγαν μια εταιρεία ένοχη για αμελή χειρισμό δεδομένων, και το 75% δεν θα αγόραζε πλέον από εταιρεία που υπέστη παραβίαση δεδομένων. Περαιτέρω 59% επιβεβαίωσαν ότι θα αναλάμβαναν νομικά μέτρα εάν τα προσωπικά τους στοιχεία είχαν κλαπεί και στη συνέχεια χρησιμοποιήθηκαν για εγκληματικούς σκοπούς.

3. Πιο ακριβή δεδομένα

Η εφαρμογή του GDPR θα βελτιώσει τα επίπεδα ακρίβειας των δεδομένων που είναι αποθηκευμένα στη βάση δεδομένων μιας εταιρείας, διότι θα επιτρέψει στους πελάτες όχι μόνο να έχουν πρόσβαση στα προσωπικά τους δεδομένα αλλά να επιθεωρούν και να επικυρώνουν τις αποθηκευμένες πληροφορίες. Σύμφωνα με τον Κανονισμό η επιχείρηση οφείλει να έχει ακριβή /  επικαιροποιημένα προσωπικά δεδομένα.

4. Εκπαίδευση στην προστασία της ιδιωτικότητας και της ασφάλειας των δεδομένων

Η απόκτηση γνώσης στα θέματα του Κανονισμού, από την ευαισθητοποίηση μέχρι την εκπαίδευση και την κατάρτιση, συνεισφέρει σημαντικά στην αλλαγή κουλτούρας.