Νέος Κανονισμός GDPR

Νέα δεδομένα επιφέρει στη διαχείριση προσωπικών δεδομένων (Π.Δ.), ο νέος Γενικός Κανονισμός για την προστασία των Π.Δ., γνωστός ως GDPR (2016/679). 

Ο Κανονισμός αντικαθιστά οδηγία με τον ίδιο στόχο του 1995 (95/46/ΕΚ), η οποία εκ των πραγμάτων ξεπεράστηκε λόγω της εξέλιξης της τεχνολογίας. Ο Νέος Κανονισμός τοποθετεί ένα πολύ πιο σφιχτό θεσμικό πλαίσιο για τη διαχείριση των Π.Δ. και καθιερώνει μια σειρά από νέα δικαιώματα στους Ευρωπαίους πολίτες σχετικά με τα Π.Δ. τους. Ο Κανονισμός έρχεται να θωρακίσει την ιδιωτικότητα και βοηθά τους Ευρωπαίους πολίτες να ανακτήσουν μέρος του ελέγχου των Π.Δ. τους, που χάθηκε σε μεγάλο βαθμό στην εποχή της επανάστασης της πληροφορίας. 

Ο Κανονισμός δεν στοχεύει στον περιορισμό της ψηφιακής οικονομίας, αλλά αντίθετα επιχειρεί να την ενισχύσει ξαναχτίζοντας την εμπιστοσύνη μεταξύ των πολιτών και των επιχειρήσεων αλλά και των δημόσιων οργανισμών που λαμβάνουν και διαχειρίζονται Π.Δ.. 

Ο Κανονισμός έχει διεθνή ισχύ αφού επηρεάζει και Οργανισμούς σε χώρες εκτός της Ε.Ε., αφού καλύπτει οποιονδήποτε διαχειρίζεται Π.Δ. Ευρωπαίων πολιτών, όπου και αν αυτός βρίσκεται. 

Ο Κανονισμός που τίθεται σε ταυτόχρονη εφαρμογή στις 25/5/2018 σε όλες τις χώρες της Ε.Ε., δημιουργεί μια σειρά από νέες προκλήσεις για τους οργανισμούς, οι οποίοι καλούνται να εναρμονιστούν με τις πρόνοιες του. Η σημασία που αποδίδει η Ε.Ε. στην εφαρμογή του Κανονισμού διαφαίνεται από τα πρόστημα που δικαιούνται να επιβάλουν στους παρανομούντες οργανισμούς οι 28 Επίτροποι Προστασίας Π.Δ., τα οποία μπορούν να ξεπεράσουν τα 20 εκ. Ευρώ. 

Καλούνται λοιπόν εκ των πραγμάτων οι οργανισμοί δημοσίου και ιδιωτικού τομέα να εναρμονιστούν το συντομότερο, όπως καλούνται και οι πολίτες να μάθουν τα νέα τους δικαιώματα και να τα διεκδικούν. 

Το ζητούμενο είναι να κτιστεί μια νέα κουλτούρα προστασίας των Π.Δ. μεταξύ τόσο των Οργανισμών, όσο και των Πολιτών. 
Ο νέος Κανονισμός ενισχύει τα υφιστάμενα δικαιώματα των Ευρωπαίων πολιτών (περιλαμβανομένων των ανηλίκων) σχετικά με τη Διαφάνεια, Φορητότητα δεδομένων, Λογοδοσία, Ακρίβεια, Ακεραιότητα, Εμπιστευτικότητα, Συγκατάθεση, Πρόσβαση, τον περιορισμό αποθήκευσης και την ελαχιστοποίηση τήρησης δεδομένων.
Επίσης, ενισχύει το έργο των υφιστάμενων εποπτικών αρχών εφόσον τα προσωπικά δεδομένα πρέπει πλέον να:
•    συλλέγονται για συγκεκριμένο και νόμιμο σκοπό και με τη συγκατάθεση του ατόμου-ιδιοκτήτη
•    μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό για τον οποίο λαμβάνονται
•    συλλέγονται μόνο όσα εξ αυτών είναι απαραίτητα
•    είναι ακριβή και να επικαιροποιούνται
•    αποθηκεύονται μόνο για όσο χρονικό διάστημα απαιτείται με βάση τις ισχύουσες νομοθετικές απαιτήσεις που υπόκειται ο κάθε οργανισμός
•    επεξεργάζονται με κατανοητό τρόπο και με τρόπο που να διασφαλίζεται η επαρκής ασφάλειά τους.
Από τις πιο βασικές ενέργειες που απαιτούνται για επαρκή συμμόρφωση με τον Κανονισμό είναι οι πιο κάτω:
•     Επαρκής ενημέρωση εμπλεκόμενων, ως προς τους κανονισμούς προστασίας προσωπικών δεδομένων
•     Αναγνώριση από ενδιαφερόμενους φορείς αναφορικά με το ποια προσωπικά δεδομένα επεξεργάζεται ο οργανισμός, πού βρίσκονται, πώς φυλάσσονται, ποιος και πώς τα διαχειρίζεται
•     Τήρηση αρχείου στο οποίο να υπάρχουν πληροφορίες αναφορικά με την επεξεργασία των δεδομένων
•     Απογραφή δραστηριοτήτων καθώς επίσης και κωδικών δεοντολογίας
•     Αξιολόγηση της τρέχουσας κατάστασης σε θέματα που αφορούν συστήματα, διαδικασίες, πολιτικές (Gap Analysis)
•     Διενέργεια εκτίμησης επιπτώσεων και κινδύνου  (Privacy Impact Assessment)
•     Καθορισμός ενός πλάνου υλοποίησης του Κανονισμού με βάση τα αποτελέσματα των πιο πάνω
•     Ορισμός Υπεύθυνου Προστασίας Δεδομένων
•     Καθορισμό Στρατηγικής απορρήτου καθώς και κατάλληλα τεχνικά και οργανωτικά μέτρα και πολιτικές για την πρόληψη, τον έλεγχο και την παρακολούθηση οποιωνδήποτε παραβιάσεων                                        
•     Ενσωμάτωση των προϋποθέσεων του Κανονισμού στις καθημερινές λειτουργίες
•     Εφαρμογή απαραίτητων διαδικασιών διασυνοριακής επεξεργασίας δεδομένων, εντός ή εκτός της Ε.Ε.
•     Τήρηση επαρκούς ελεγκτικού ίχνους της ζήτησης και της αποδοχής της συγκατάθεσης του πολίτη για τη χρήση προσωπικών δεδομένων
•     Αξιολόγηση της συμμόρφωσης περί του απορρήτου χρησιμοποιώντας νέες τεχνολογίες (π.χ. Big Data, εφαρμογές για κινητά, προφίλ πελατών κ.α.)
•     Διάθεση επαρκών ελέγχων για διασφάλιση ότι οι ροές δεδομένων είναι ασφαλείς και συμμορφώνονται με τις απαιτήσεις του Κανονισμού. 

Οι οργανισμοί καλούνται να θέσουν σαφείς πολιτικές και διαδικασίες, έτσι ώστε να διασφαλιστεί η ετοιμότητα χειρισμού και γνωστοποίησης προς την Εποπτική Αρχή, κάθε παραβίασης δεδομένων, εντός 72 ωρών από τη στιγμή που αποκτάται γνώση του γεγονότος.

Οι απαιτήσεις του Κανονισμού δεν είναι στατικές. Η συμμόρφωση θα πρέπει να βασίζεται σε μια συνεχή προσπάθεια αφού οι οργανισμοί είναι δυναμικοί και τόσο οι πληροφορίες, όσο και οι μορφές διαχείρισης του και τα συνεπαγόμενα ρίσκα, αλλάζουν συνεχώς. Για να υπάρχει συνεχής και συνεπής συμμόρφωση, οι πρόνοιες του Κανονισμού πρέπει να μεταβληθούν σε ένα σύστημα διεύθυνσης (management system) εντός του κάθε οργανισμού. Ενός συστήματος που θα μπορεί κάποιος να παρακολουθήσει τις μεταβολές τους στην πορεία του χρόνου (Audit trail) και θα εμπεριέχει και τις διαδικασίες συνεχούς βελτίωσης του. Γιατί μπορεί να εναρμονιστεί ένας οργανισμός σε κάποιο σημείο του χρόνου, αλλά θα πρέπει να δημιουργήσει και την υποδομή και την κουλτούρα αυτόματης ανανέωσης της συμμόρφωσης όταν υπάρχουν αλλαγές, ώστε να παραμείνει σε συμμόρφωση. 

Σε ένα συνεχώς μεταβαλλόμενο επιχειρηματικό περιβάλλον, η εφαρμογή του Κανονισμού θα πρέπει να θεωρηθεί ως μια ευκαιρία παρά ως βάρος. Άλλωστε, μια σωστή στρατηγική διαχείρισης απορρήτου μπορεί να προσφέρει ανταγωνιστικό πλεονέκτημα έναντι των άλλων ανταγωνιστών που δεν θα έχουν τα ίδια επίπεδα προστασίας, αφού δεν θα μπορούν να χτίσουν σχέσεις εμπιστοσύνης με τους πελάτες τους. 

Ο Κανονισμός όπως αναφέρθηκε ήδη, δεν στοχεύει να περιορίσει την ψηφιακή οικονομία, αλλά να την ενισχύσει, επιφυλάσσοντας την ιδιωτικότητα των πολιτών. 

Στόχος του Συνδέσμου Προστασίας της Ιδιωτικότητας και Πληροφοριών Κύπρου που λειτουργεί υπό την αιγίδα του ΚΕΒΕ, είναι να ενισχύσει αυτή την προσπάθεια προσφέροντας επαγγελματική γνώση και καθοδήγηση, να ενημερώνει το κοινό και τους επαγγελματίες του Τομέα και να αναβαθμίσει το επάγγελμα του ειδικού προστασίας πληροφοριών και ιδιωτικότητας.

Για περισσότερες πληροφορίες για το Σύνδεσμο, αποτείνεστε στο ΚΕΒΕ, στο τηλέφωνο 22 889890. 

O Κυριάκος Παρπούνας είναι Πρόεδρος του Δ.Σ.του Συνδέσμου Προστασίας Πληροφοριών και Ιδιωτικότητας Κύπρου.

Δειτε Επισης

Οι μειώσεις στα επιτόκια, ο μηχανισμός νομισματικής μετάδοσης και οι επιπτώσεις στην κυπριακή οικονομία
Προκλήσεις και ευκαιρίες στον τομέα ακινήτων: Ανάγκη για βιώσιμες λύσεις και συνεργασία
Γραφειοκρατία στην Κύπρο: Ένα εμπόδιο για τους πολίτες και τις επενδύσεις
Η αυστηρή προειδοποίηση του Elon Musk: Πράγματι η Αμερική οδεύει προς τη χρεοκοπία;
Ο μετασχηματιστικός ρόλος της ΤΝ στην κανονιστική συμμόρφωση των χρηματοπιστωτικών ιδρυμάτων
Παρωχημένα συστήματα και τεχνολογία αιχμής: Μπορεί το PropTech να φέρει επιτέλους την αγορά ακινήτων στο μέλλον;
Το ψηφιακό ευρώ: Ποια τα οφέλη του για εσάς;
Η άνοδος των βιώσιμων επενδύσεων: Οι προκλήσεις του ESG και των πράσινων ομολόγων για έναν επενδυτή
Καλό είναι κάποιοι να αρχίσουν να ξεχνάνε την ηλεκτροκίνηση
Έχει ο άνθρωπος νοημοσύνη να βάλει χαλινάρια στην AI πριν να είναι αργά;