Για την Ευρωπαϊκή Ένωση ένα από τα σημαντικότερα θέματα είναι η προστασία των προσωπικών δεδομένων. Γι’ αυτό και η ΕΕ έχει προχωρήσει στη διαμόρφωση ενός νέου Γενικού Κανονισμού για την Προστασία Δεδομένων (General Data Protection Regulation – GDPR), ο οποίος τίθεται σε εφαρμογή από τις 25 Μαΐου 2018 και πρακτικά αφορά όλες τις επιχειρήσεις σε όλα τα κράτη – μέλη της ΕΕ. Αυτό, όμως, που δεν έχει γίνει απόλυτα κατανοητό από έναν μεγάλο αριθμό επιχειρήσεων είναι πως η συμμόρφωση με τις απαιτήσεις του κανονισμού απαιτούν προετοιμασία αρκετών μηνών και αξιοποίηση λύσεων που σχετίζονται με τις ψηφιακές τεχνολογίες και όχι μόνο.
Η συμμόρφωση με το GDPR είναι ένα θέμα με πολλές προεκτάσεις, τις οποίες, μέχρι τώρα, δεν έχουν κατανοήσει όλες οι επιχειρήσεις που επηρεάζονται. Στη λίστα με τις τελευταίες περιλαμβάνονται όλες οι επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα ανεξαρτήτως κλάδου, οικονομικής δραστηριότητας και μεγέθους. Κάτι που σημαίνει πως η λίστα είναι ιδιαίτερα μεγάλη.
Ένα δεύτερο σημείο που χρήζει ιδιαίτερης προσοχής είναι ότι σε σχέση με το υπάρχον πλαίσιο για την προστασία των προσωπικών δεδομένων, στον νέο κανονισμό προβλέπονται πιο συγκεκριμένες διαδικασίες, καθώς και μεγαλύτερα πρόστιμα σε περίπτωση παραβίασης (με τον νέο κανονισμό τα πρόστιμα που μπορεί να φτάσουν έως 20 εκατ. ευρώ ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.
«Δεδομένα προσωπικού χαρακτήρα είναι κάθε πληροφορία που αφορά φυσικό πρόσωπο με βάση την οποία ταυτοποιείται / αναγνωρίζεται. Αυτό μπορεί να είναι το όνομα, επώνυμο, ο ΑΦΜ, ο ΑΜΚΑ καθώς και οποιαδήποτε άλλη πληροφορία μέσα από την οποία μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, η ταυτότητα ενός ατόμου» σημειώνει στο CNN Greece, ο Γιάννης Καλλιάς, διευθύνων σύμβουλος της TUV Austria Hellas, η οποία είναι από τις πιο ενεργές εταιρείες στο συγκεκριμένο χώρο και πρόσφατα διοργάνωσε μία αρκετά ενδιαφέρουσα σχετική ημερίδα.
«Σε συγκεκριμένες περιπτώσεις και υπό προϋποθέσεις επιτρέπεται για τα δεδομένα αυτά η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή. Όλες οι παραπάνω ενέργειες ονομάζονται επεξεργασία προσωπικών δεδομένων» προσθέτει ο κ. Καλλιάς.
Με το GDPR, οι επιχειρήσεις θα πρέπει να διαθέτουν διαδικασίες ώστε να έχουν την άδεια του πολίτη για να αποθηκεύσουν και να χρησιμοποιήσουν τα στοιχεία όπως και να δίνουν στους πελάτες του τη δυνατότητα να μπορούν άμεσα και να ζητούν τη διακοπή συγκέντρωσης των προσωπικών δεδομένων τους όπως και την οριστική διαγραφή όσων έχουν συγκεντρωθεί από κάποιον οργανισμό.
Για τις επιχειρήσεις, η διαδικασία συμμόρφωσης δεν είναι καθόλου απλή, δεδομένου κιόλας ότι για επιχειρήσεις που συγκεντρώνουν σημαντικό όγκο δεδομένων απαιτείται ακόμη και ο καθορισμός ενός στελέχους που θα είναι επιφορτισμένο με την ευθύνη της παρακολούθησης της τήρησης των κανόνων που θέτει το GDPR και ο οποίος αποκαλείται DPO (Data Protection Officer).
«Όταν κάποιος συνειδητοποιεί ότι πρέπει να υιοθετήσει και να συμμορφωθεί με τις επιταγές του GDPR, το συναίσθημα που επικρατεί είναι πανικός» επισημαίνει ο κ. Καλλιάς, σύμφωνα με τον οποίο οι επιχειρήσεις θα πρέπει να ακολουθήσουν ορισμένα βασικά βήματα προκειμένου να είναι έτοιμες για την εφαρμογή του νέου κανονισμού της Ευρωπαϊκής Ένωσης, ο οποίος θα πρέπει να τονιστεί ότι είναι ο αυστηρότερος σε παγκόσμιο επίπεδο.
Το πρώτο βήμα είναι η εκπαίδευση. Λόγω του γεγονότος ότι ο κανονισμός απαιτεί συγκεκριμένες γνώσεις από διαφορετικά αντικείμενα (νομικά, πληροφορική, ασφάλεια κ.α), απαιτείται ενημέρωση από εξειδικευμένους επιστήμονες, οι οποίοι βοηθούν τους συμμετέχοντες να κατανοήσουν τις απαιτήσεις και τους ρόλους τους στα πλαίσια του κανονισμού. Το δεύτερο βήμα είναι η πιστοποίηση γνώσεων. Για την υλοποίηση και την συνεχιζόμενη συμμόρφωση προς τις απαιτήσεις του GDPR, χρειάζεται η απασχόληση στελεχών που αποδεδειγμένα έχουν τις κατάλληλες γνώσεις. Και το τρίτο βήμα είναι ο έλεγχος και η πιστοποίηση της εφαρμογής των απαιτήσεων του υπόχρεου οργανισμού.
Θα πρέπει να σημειωθεί ότι αυτή τη στιγμή, πολλές από τις μεγάλες ελληνικές επιχειρήσεις και οργανισμούς ασχολούνται με το θέμα της συμμόρφωσης, αλλά πρακτικά ελάχιστες είναι εκείνες που έχουν ολοκληρώσει το συγκεκριμένο έργο, το οποίο απαιτεί συντονισμό μίας μεγάλης ομάδας στελεχών και διαμόρφωση εξειδικευμένων διαδικασιών. Πάντως, στο ζήτημα του GDPR θα πρέπει να επισημανθεί ότι η Ελλάδα δεν βρίσκεται πίσω από τις υπόλοιπες χώρες της ΕΕ, καθώς και εκεί παρουσιάζονται αρκετές καθυστερήσεις.
cnn.gr
