Cyprus: GDPR Και Ασφάλεια Προσωπικών Δεδομένων - Πόσο Εναρμονισμένη Είναι Η Επιχείρησή Σας;

Η ραγδαία προηγμένη τεχνολογική εξέλιξη, η παγκοσμιοποίηση της σύγχρονης οικονομίας και οι συνθήκες της υγειονομικής κρίσης κάνουν σήμερα πιο επιτακτική την ανάγκη των επιχειρήσεων να οργανώσουν τον τρόπο λειτουργίας τους βασιζόμενοι σε μέτρα που προωθούν όχι μόνο την προστασία των πληροφοριών, αλλά και την κουλτούρα σεβασμού στην ιδιωτικότητα και στο προσωπικό απόρρητο.

Στο πλαίσιο αυτό, ο ΓΚΠΠΔ (GDPR) διαφαίνεται ότι λειτούργησε με τρόπο – θα τολμούσαμε να πούμε – προληπτικό, αφού οι διατάξεις του ορίζουν μέτρα και τεχνικές που στοχεύουν ακριβώς σε αυτό το σκοπό. Πόσο λοιπόν εναρμονισμένη είναι η επιχείρησή σας με τα προβλεπόμενα μέτρα; Και πως αυτά δύναται να ενισχύσουν την ομαλή λειτουργία των επιχειρηματικών σας δραστηριοτήτων αυξάνοντας κατ' επέκταση την παραγωγικότητά; Το παρόν άρθρο στοχεύει να δώσει απαντήσεις σε αυτά τα ερωτήματα.

Προφανώς, η διαχείριση των πληροφοριών που κατέχει μια επιχείρηση είναι ζωτικής σημασίας για τη λειτουργία και για την εξελικτική της πορεία. Αποτελούν το σημαντικότερο κλειδί στη λειτουργία των σύγχρονων επιχειρηματικών μοντέλων, της καινοτομίας, της έρευνας και των επιστημών. Στο πλαίσιο αυτό, τα δεδομένα και, δη τα προσωπικά, θα πρέπει να τυγχάνουν διαχείρισης με τρόπο που εξασφαλίζει ότι:

• δικαίως και νομίμως τυγχάνουν επεξεργασίας,
• είναι επαρκή και όχι περισσότερα από τα απαραίτητα για να εξυπηρετήσουν το σκοπό συλλογής,
• δεν χρησιμοποιούνται για άλλο σκοπό πέραν αυτού για τον οποίο παραχωρήθηκαν,
• είναι ακριβή και πλήρως ενημερωμένα, διορθώνονται ή και διαγράφονται όταν πια δεν είναι σε ισχύ ή είναι ελλιπή,
• είναι ασφαλή από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων,
• δεν διατηρούνται για περισσότερο χρόνο από αυτό που απαιτείται για το σκοπό για τον οποίο κατέχονται και πάντα σε συνάρτηση με το νόμο.

Για να είναι σε θέση μια επιχείρηση να εξασφαλίσει ότι οι πιο πάνω αρχές τηρούνται, θα πρέπει να εφαρμόσει μέτρα οργάνωσης αξιοποιώντας τις δυνατότητες των λογισμικών που διαθέτει και ευρύτερα της τεχνολογίας, να θεσπίσει πολιτικές και τις σχετικές διαδικασίες και φυσικά να εκπαιδεύσει το προσωπικό της ώστε να ανταποκρίνονται σε αυτές. O ΓΚΠΠΔ δίνει τις βασικές γραμμές που πρέπει να ακολουθήσει μια επιχείρηση.

Μέτρα ασφαλείας, τα βασικά στάδια:

Αρχικά θα πρέπει να αξιολογούνται οι επιπτώσεις στην ιδιωτικότητα των ατόμων και, όπου ενδείκνυται να αξιολογείται ο αντίκτυπος για τα άτομα κατά την συλλογή ευαίσθητων δεδομένων, όταν η επιχείρηση προβαίνει σε κατάρτιση προφίλ ή όταν κατέχει δεδομένα ατόμων σε ευρεία γεωγραφική Κλίμακα. Η αξιολόγηση μπορεί να γίνει με την καθοδήγηση ενός καταρτισμένου στον ΓΚΠΠΔ ατόμου, όπως π.χ. ενός έμπειρου Λειτουργού Προστασίας Προσωπικών Δεδομένων.

Έπειτα, όπου κριθεί απαραίτητη – κι εδώ είναι σημαντικά τα πορίσματα της προαναφερθείσας αξιολόγησης ρίσκων - γίνεται αναβάθμιση ή/και βελτίωση ή/και αντικατάσταση των συστημάτων και διαδικασιών που αφορούν στην επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Συγκεκριμένα, η τεχνολογική υποδομή θα πρέπει να περιορίζει την πρόσβαση των χρηστών στις πληροφορίες που τους είναι απαραίτητες για να εξασκούν εύρυθμα τα καθήκοντά τους και η διοίκηση να είσαι σε θέση να γνωρίζει ανά πάσα στιγμή το επίπεδο της πρόσβασης.

Επιπρόσθετα, είναι καίριας σημασίας η υποδομή να υποστηρίζεται από συστήματα ασφαλείας που εξασφαλίζουν τη διαθεσιμότητα, ακεραιότητα των δεδομένων και την προστασία τους από τυχόν μη εξουσιοδοτημένη πρόσβαση/ τροποποίηση ή/και διαγραφή.

Τέλος, η αυτοματοποίηση θα μπορούσε να συμβάλει ώστε τα δεδομένα να διατηρούνται ακριβή με τη ενεργοποίηση ενός αυτόματου μηνύματος λίγο πριν την λήξη ενός εγγράφου (πχ ημερολογιακή υπενθύμιση).

Περαιτέρω, ο ΓΚΠΠΔ απαιτεί όπως χρησιμοποιείται η κρυπτογράφηση ή/και ανωνυμοποίηση προσωπικών δεδομένων όποτε αυτό είναι απαραίτητο π.χ. όταν τα δεδομένα θα χρησιμοποιηθούν για στατιστικούς σκοπούς, έτσι ώστε τα άτομα να μην μπορούν πλέον να ταυτοποιηθούν.

Για να είναι όλα αυτά τα μέτρα λειτουργικά και υλοποιήσιμα, πρέπει το προσωπικό μιας επιχείρησης να ενημερώνεται και να τυγχάνει εκπαίδευσης από καταρτισμένο άτομο, ανά τακτικά διαστήματα για ζητήματα που αφορούν τον Κανονισμό Περί Προστασίας Προσωπικών Δεδομένων (GDPR) και τις σχετικές πολιτικές της επιχείρησης.

Τα πιο πάνω μέτρα δεν εξασφαλίζουν μόνο την προστασία και τον σεβασμό στην ιδιωτικότητα όπως προνοείται στον ΓΚΠΠΔ. Ενισχύουν παράλληλα την ομαλή λειτουργία των δραστηριοτήτων της επιχείρησης καθώς υποχρεώνουν το επιχειρηματικό μοντέλο να οργανώσει τις πρακτικές που ακολουθεί αξιοποιώντας εποικοδομητικά τα τεχνολογικά μέσα που έχει στη διάθεσή του. Έτσι, μειώνεται το κόστος παραγωγικότητας. Θετικό πρόσημο προκύπτει και για το κύρος της επιχείρησης που λαμβάνει μέτρα προστασίας των δεδομένων.

Είναι χαρακτηριστικά τα στοιχεία που έδωσε η έρευνα του Συνδέσμου Ελλήνων Βιομηχάνων σύμφωνα με τα οποία το 44% των επιχειρήσεων έκριναν ότι οι πελάτες τους αξιολόγησαν θετικά τα προβλεπόμενα μέτρα.

Καθότι οι επιχειρήσεις είναι εν τη γενέσει τους ενεργοί οργανισμοί, έχουν την ευθύνη να διασφαλίζουν ότι το προσωπικό τους είναι σε θέση να ανταποκριθεί στους εσωτερικούς κανονισμούς και διαδικασίες διασφάλισης της προστασίας της επιχειρηματικής δραστηριότητας και ότι τα μέτρα προστασίας ανταποκρίνονται στις σύγχρονες απαιτήσεις του οικονομικού γίγνεσθαι.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.