GDPR και πιστοποίηση: Είναι εδώ για να μείνει. Μάθετε να δουλεύετε μαζί του όπως πρέπει
13:00 - 15 Ιουνίου 2018
Έχουμε περάσει τις 25 Μαΐου και ο νέος Γενικός Κανονισμός για την Προστασία των Δεδομένων, άλλως γνωστός ως GDPR, είναι πλέον στη ζωή μας. Μπορεί να μην έχουμε παρατηρήσει θεμελιώδεις αλλαγές σε αυτή τη φάση, αλλά η εφαρμογή του Κανονισμού θα συνεχίσει να δημιουργεί ανάγκες και υποχρεώσεις στους οργανισμούς. Μια από τις βασικές αλλαγές που επιφέρει ο Κανονισμός είναι η συνυπευθυνότητα υπεύθυνων επεξεργασίας δεδομένων (controllers) και εκτελούντων την επεξεργασία (processors). Στην παλιά νομοθεσία, ευθύνες είχαν μόνο οι controllers. Οι δύο, ή και περισσότεροι παίκτες που εμπλέκονται πλέον στην επεξεργασία Προσωπικών Δεδομένων (Π.Δ.) με βάση το νέο Κανονισμό, δημιουργούν εκατέρωθεν νομικές ευθύνες, τις οποίες θα πρέπει να ρυθμίσουν στην μεταξύ τους σχέση, διασφαλίζοντας ο ένας στον άλλο ότι εφαρμόζουν επαρκώς τον Κανονισμό. Την ίδια ανάγκη παροχής εγγυημένης εφαρμογής του Κανονισμού έχουν και οι οργανισμοί που θέλουν να επικοινωνήσουν στους πελάτες τους ότι προστατεύουν επαρκώς τα Προσωπικά Δεδομένα τους. Σε αυτά τα πλαίσια, ο Κανονισμός προβλέπει στα άρθρα του 42 και 43 τη δημιουργία μηχανισμών πιστοποίησης της εφαρμογής του Κανονισμού που θα ρυθμίσουν την υλοποίηση του Κανονισμού με συγκροτημένο τρόπο, υπό την ευθύνη των Εποπτικών Αρχών (Επίτροποι Προστασίας των Π.Δ.).
Η πιστοποίηση φυσικά έχει και μια άλλη σημαντική αξία για τους οργανισμούς, αφού σε πιστοποιημένους οργανισμούς αυτό θα λαμβάνεται σοβαρά υπόψη στην αξιολόγηση και την επιβολή προστίμων σε περίπτωση αστοχιών με τα Προσωπικά Δεδομένα. Ως εκ τούτου, η πιστοποίηση θα θωρακίζει εν μέρει τους οργανισμούς, όταν κάτι πάει στραβά.
Εκείνο που θέλουμε να αναδείξουμε σε αυτή την αρχική φάση της εφαρμογής του Κανονισμού, είναι η αξία των κριτηρίων πιστοποίησης και ο ρόλος που αυτά θα πρέπει να παίξουν στη σωστή ανάπτυξη ενός συστήματος προστασίας των Π.Δ. μέσα σε ένα οργανισμό. Δεν είναι τυχαία που αναφερόμαστε σε σύστημα προστασίας των Προσωπικών Δεδομένων γιατί ένας οργανισμός χρειάζεται ένα τέτοιο σύστημα για να μπορεί συστηματικά να εφαρμόζει τον Κανονισμό. Οι οργανισμοί, καθώς και η διαχείριση Π.Δ. εντός των οργανισμών, αποτελούν δυναμικές διαδικασίες και ως εκ τούτου δεν μπορούν να αντιμετωπίζονται με στατικές λύσεις. Δεν εφαρμόζεται ο Κανονισμός με την ικανοποίηση ενός αρχικού στατικού check list. Ή τουλάχιστον δεν μπορεί να εφαρμόζει κάποιος συστηματικά τον Κανονισμό αν το μόνο που έκανε είναι να ικανοποιεί με ένα κλικ σημεία ενός checklist.
Για τη συστηματική εφαρμογή του Κανονισμού, χρειάζονται δυναμικά σύστημα συμμόρφωσης προτύπων, τύπου ISO, που ελέγχονται, προσαρμόζονται και βελτιώνονται στην πάροδο του χρόνου.
Ο Κανονισμός καθορίζει τρία ουσιαστικά συστατικά στοιχεία που θα πρέπει ο κάθε οργανισμός να αντιμετωπίσει στην διαδικασία υλοποίησης του Κανονισμού:
α. Οργανικά και διακυβέρνησης
β. Νομικά
γ. Τεχνικά
Αυτό από μόνο του καταδεικνύει την ανάγκη να δουλέψει ο κάθε οργανισμός ταυτόχρονα σε τρία τουλάχιστον επίπεδα για να πετύχει εναρμόνιση με τον Κανονισμό. Αυτό, σε αντίθεση με όσα βλέπουμε σε πολλές επιχειρήσεις σήμερα, να επικεντρώνουν τη δράση της εναρμόνισης τους σε ένα μόνο τομέα. Είτε το nομικό δουλεύοντας μόνο με νομικούς, είτε το τεχνικό δουλεύοντας μόνο με ειδικούς πληροφορικής.
Έχουμε δει παράλληλα σε διάφορες προκηρύξεις διαγωνισμών του δημοσίου ή του ευρύτερου δημοσίου τομέα, να δίνεται πολύ σημαντική προτεραιότητα στις ομάδες υλοποίησης του Κανονισμού σε ένα μόνο κλάδο των ειδικών που απαιτούνται (νομικοί). Όποιος όμως έχει δει τον Κανονισμό σε κάποια λεπτομέρεια, αντιλαμβάνεται ότι αυτό αποτελεί στρέβλωση που θα επηρεάσει στην πορεία τους ίδιους τους οργανισμούς, γιατί δουλειά των νομικών είναι να καλύψουν το νομικό κομμάτι του Κανονισμού και όχι να εφαρμόζουν συστήματα διαχείρισης. Άλλωστε, δεν είναι σύνηθες όταν θέλουμε να εφαρμόσουμε ένα άλλο πρότυπο (όπως τα ISO) σε ένα οργανισμό να φωνάζουμε τους νομικούς μας για να μας καθοδηγήσουν στην εφαρμογή.
Δεν χρειάζεται κάποιος να μπει στις λεπτομέρειες του πολυσέλιδου Κανονισμού για να αντιληφθεί τη στρέβλωση. Πρόσφατα το European Data Protection Board (Συμβούλιο των 28 Ευρωπαίων Επιτρόπων) εξέδωσε guidelines για την πιστοποίηση και τα κριτήρια πιστοποίησης με βάση τα άρθρα 42 και 43 του Κανονισμού 2016/679. Στα guidelines αυτά, διαφαίνεται η συνάφεια των προτεινόμενων συστημάτων πιστοποίησης με άλλα πρότυπα τύπου ISO.
Οι οδηγίες αυτές είναι πολύ σημαντικές γιατί αφορούν τους οργανισμούς που βρίσκονται, ή θα μπουν σύντομα σε διαδικασία υλοποίησης του Κανονισμού. Είναι σημαντικές γιατί η εύκολη λύση τώρα είναι να γίνουν πρόχειρες και «φτηνές» υλοποιήσεις με βάση στατικά checklists που θα καταρρεύσουν με την πρώτη ευκαιρία που θα υπάρξουν θέματα Π.Δ. και που σίγουρα δεν θα μπορούν να οδηγήσουν σε πιστοποίηση, αφού δεν δημιουργούν σύστημα διαχείρισης των Π.Δ. όπως προβλέπεται στον Κανονισμό.
Πριν αποφασίσουν λοιπόν οι οργανισμοί ποιο δρόμο θα ακολουθήσουν για την υλοποίηση του Κανονισμού χρήσιμο θα ήταν να διεξέλθουν έστω και περιληπτικά τα guidelines στο https://edpb.europa.eu/our-work-tools/public-consultations/2018/guidelines-12018-certification-and-identifying_en για να έχουν άποψη αν αυτά που τους προτείνονται για την υλοποίηση του GDPR μπορεί όντως να οδηγήσουν σε κάποια στιγμή σε πιστοποίηση, ή όχι.
Αν βασίζονται οι προτάσεις που αξιολογούν σε checklists και όχι σε συστήματα διαχείρισης θα πρέπει να γνωρίζουν ότι το πιο πιθανόν η υλοποίηση που θα κάνουν να μην μπορεί να πιστοποιηθεί, ή τουλάχιστον να χρειάζεται πολύ δουλειά στη συνέχεια για να μετατραπεί σε πιστοποιήσιμο σύστημα διαχείρισης των Π.Δ..
Ως εκ τούτου, η σωστή αξιολόγηση των προτάσεων στην αρχή και η επαρκής αντίληψη από τους οργανισμούς για το τι υπηρεσίες θα προμηθευτούν είναι πολύ σημαντική, γιατί μια «φτηνή» υλοποίηση σήμερα μπορεί να αποδειχθεί πολύ ακριβότερη όταν χρειαστεί να ξαναχτιστεί στη συνέχεια από την αρχή ένα σωστό σύστημα διαχείρισης Π.Δ. και να πιστοποιηθεί με βάση τα αναμενόμενα πρότυπα.
*Ο Κυριάκος Παρπούνας είναι πρόεδρος του Συνδέσμου Προστασίας Πληροφοριών και Ιδιωτικότητας