3 Χρόνια GDPR: Αντιμετωπίζoντας τις προκλήσεις, μέσω της ψηφιοποίησης, για συμμόρφωση με κανονισμούς και οδηγίες

Πριν από την εισαγωγή και επιβολή του Γενικού Κανονισμού για την Προστασία Δεδομένων - ΓΚΠΔ (GDPR) τον Μάιο του 2018, αρκετοί οργανισμοί βρίσκονταν εκτεθειμένοι σε κινδύνους που προκύπταν από την ανεπαρκή προστασία δεδομένων και τον έλεγχο της ασφάλειας στον κυβερνοχώρο. Ανεξάρτητα από τον τύπο και το μέγεθος ενός οργανισμού, τα δεδομένα συλλέγονται, υποβάλλονται σε επεξεργασία και αποθηκεύονται χωρίς τα κατάλληλα μέτρα ασφαλείας. Ως αποτέλεσμα, υπάρχει μεγάλη πιθανότητα παραβίασης δεδομένων και διαρροών με άμεσες και σοβαρές συνέπειες (όπως ζημιά στην εταιρική φήμη και σκληρές κυρώσεις) στους υπεύθυνους επεξεργασίας δεδομένων. Σήμερα, για να αντιμετωπιστεί και να ελαχιστοποιηθεί αυτή η πιθανοτητα, οι οργανισμοί οφείλουν να συμμορφώνονται με τον GDRP, μια νομοθεσία που έχει σχεδιαστεί με βάση τις αρχές απορρήτου που χρησιμοποιούνται για την αντιμετώπιση των απαιτήσεων προστασίας δεδομένων και ασφάλειας στον κυβερνοχώρο. Με βάση τις κύριες δραστηριότητες επεξεργασίας οι οργανισμοί πρέπει να επιτύχουν τους στόχους τους και εάν αυτές οι δραστηριότητες επεξεργάζονται μεγάλο αριθμό προσωπικών δεδομένων που δεν είναι αναλογικά με βάση τα δικαιώματα των υποκειμένων των δεδομένων, οι οργανισμοί πρέπει να διορίσουν έναν Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer, DPO) .

Ανάλογα με τον τύπο και το μέγεθος ενός οργανισμού και τις υποχρεώσεις όσον αφορά τη συμμόρφωση με τον GDPR, οι DPO μπορούν να διοριστούν είτε εσωτερικά (πρόσληψη ή ανάθεση καθηκόντων σε υφιστάμενο υπάλληλο) είτε εξωτερικά (υπηρεσίες υποστήριξης DPO-as-a-Service). Ο DPO πρέπει να έχει εκτενή γνώση όχι μόνο για τα νομικά θέματα του GDPR αλλά και για τομείς όπως η ασφάλεια στον κυβερνοχώρο, και συνάμα με το πεδίο, το πλαίσιο και τον σκοπό κάθε δραστηριότητας επεξεργασίας του οργανισμού. Μερικές από τις πρωταρχικές ευθύνες που έχει ο DPO είναι:

i) συμμόρφωση του οργανισμού με τον GDPR και συνεχής ενημέρωση για τυχόν αλλαγές στους νόμους περί προστασίας δεδομένων.

ii) παρακολούθηση των δραστηριοτήτων επεξεργασίας δεδομένων του οργανισμού και ενεργοποίηση Εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ - Data Protection Impact Assessments (DPIA)) όταν χρειαστεί

iii) συνεργασία με εποπτικές αρχές

iv) προώθηση της εκπαίδευσης στον τομέα της προστασίας δεδομένων και της ασφάλειας στον κυβερνοχώρο με σκοπό τη δημιουργία ενός προγράμματος ευαισθητοποίησης και εκπαίδευσης των υπαλλήλων του οργανισμού

Οι DPO δεν πρέπει να αποχωρούν από ένα οργανισμό κατά την εκπλήρωση της αποστολής τους, καθώς αυτή η θέση βασίζεται σε μια συνεχή λειτουργία παρακολούθησης και σε περίπτωση που εγερθούν ζητήματα σχετικά με την προστασία προσωπικών δεδομένων, αυτά πρέπει να επιλύονται άμεσα.

Οι προκλήσεις που αντιμετωπίζουν οι DPO και οι οργανισμοί τρία χρόνια αργότερα

Oι προκλήσεις ξεκινούν με την εφαρμογή του GDPR, καθώς αποτελεί ένα κολοσσιαίο έργο που πρέπει να εκπληρωθεί μιας και τα ανεπεξέργαστα δεδομένα βρίσκονται σε όλα τα συστήματα / τμήματα ενός οργανισμού, καθιστώντας εξαιρετικά δύσκολη την ανίχνευση, πρόσβαση, ενημέρωση, κοινοποίηση και οργάνωση τους.

Επιπλέον, η ανάθεση αυτού του έργου σε μη εξειδικευμένο προσωπικό γιγαντιώνει την  πρόκληση, μιας και η τήρηση των κατευθυντήριων γραμμών του GDPR απαιτεί εξειδικευμένη ομάδα. Επιπλέον, η έλλειψη συνεργασίας με άλλα τμήματα / οργανωτικές μονάδες / ιδιοκτήτες διεργασιών προσθέτει μια επιπλέον δυσκολία δεδομένου ότι οι DPO δεν μπορούν να γνωρίζουν πού βρίσκονται τα δεδομένα, ποιος έχει πρόσβαση σε αυτά, πώς χρησιμοποιούνται και ποιος είναι τελικά υπεύθυνος για αυτά. Επομένως, είναι δύσκολο να διεκπαιρεωθεί κάθε προσπάθεια προσδιορισμού των δεδομένων που χρησιμοποιούνται. Ως αποτέλεσμα όλων αυτών των προκλήσεων και λόγω της έλλειψης κατάλληλων εργαλείων για τη διαχείριση της προστασίας δεδομένων και της ιδιωτικής ζωής, οι DPO δεν θα μπορούν να βρουν μια μεθοδολογική προσέγγιση για την αντιμετώπιση αυτών των προκλήσεων.

Αντιμετωπίζοντας της σημερινές προκλήσεις μέσω της ψηφιοποίησης της συμμόρφωσης για την προστασία προσωπικών δεδομένων και της κυβερνοασφάλειας

Για τον έγκαιρο προσδιορισμό και την ιεράρχηση των δραστηριοτήτων επεξεργασίας του οργανισμού, πρέπει να υπάρχει μια αποτελεσματική οργανωτική δομή για να διασφαλιστεί ότι όλες οι παραπάνω προκλήσεις θα αντιμετωπιστούν επαρκώς.

Για να γίνει αυτό, σήμερα οι περισσότεροι οργανισμοί και οι DPO τους χρησιμοποιούν ηλεκτρονικά φύλλα καταγραφής (spreadsheets), για να παρακολουθούν τις διαδικασίες που επεξεργάζονται προσωπικά δεδομένα (δηλ. καταγραφή των δραστηριοτήτων επεξεργασίας, αιτήματα για θέματα δεδομένων κ.λ.π.) που πραγματοποιούνται εντός του οργανισμού. Ωστόσο, αυτή η προσέγγιση διαθέτει πολλές προκλήσεις, όπως η έλλειψη ουσιαστικών αποτελεσμάτων που χρησιμοποιούνται για τη λήψη ζωτικών και αποτελεσματικών αποφάσεων, την έλλειψη δομημένων σύνθετων δεδομένων και διαδικασιών και την απουσία κατάλληλων διασφαλίσεων για την παρακολούθηση και τον έλεγχο των καταγεγραμμένων δραστηριοτήτων επεξεργασίας.

Στην Grant Thornton Κύπρου, αντιμετωπίζουμε αυτές τις προκλήσεις χρησιμοποιώντας την πλατφόρμα Enactia SaaS (www.enactia.com) τόσο εσωτερικά όσο και για την υποστήριξη των πελατών μας. Πρόκειται για μια πλατφόρμα cloud-based που έχει σχεδιαστεί για σκοπούς διακυβέρνησης, διαχείρισης των κινδύνων και συμμόρφωσης (GRC), εστιάζοντας στην ασφάλεια στον κυβερνοχώρο και στην προστασία δεδομένων. Η Enactia επιτρέπει σ’ έναν οργανισμό να παρακολουθεί τη συμμόρφωσή του προς διάφορες νομοθεσίες και πλαίσια, όπως GDPR, CCPA, PDPL, ISO27001 / ISO27701, NIST και πολλά άλλα.

Η πλατφόρμα αυτή περιλαμβάνει διάφορες διασυνδεδεμένες ενότητες που μπορούν να προσαρμοστούν στις επιχειρηματικές απαιτήσεις και να αναπτυχθούν αποτελεσματικά σε πολύπλοκες διαδικασίες. Αυτές οι ενότητες μπορούν να ικανοποιήσουν τις απαιτήσεις του GDPR, όπως εγγραφή δραστηριοτήτων επεξεργασίας και μητρώο περιουσιακών στοιχείων, διαχείριση αιτημάτων από υποκείμενο των δεδομένων (Data Subject Right Requets), μητρώο παραβίασης δεδομένων και αναφορά, αξιολόγηση συμμόρφωσης, διαχείριση εισιτηρίων (ticketing), διαχείριση κινδύνων, προμηθευτών και διαχείριση τρίτων. Στην περίπτωση του GDPR, η Enactia μπορεί να βοηθήσει τον DPO στη συλλογή των απαιτούμενων πληροφοριών για την εκπλήρωση εργασιών που σχετίζονται με το απόρρητο, χρησιμοποιώντας συγκεκριμένες λειτουργίες και λειτουργίες για αποτελεσματική συνεργασία με άλλα οργανωτικά τμήματα και υπαλλήλους.

Με την εποχή της ψηφιοποίησης και τη δύναμη των δεδομένων, είναι ευθύνη κάθε οργανισμού να λάβει τόσο προληπτικά όσο και μετριαστικά μέτρα για τη διαχείριση δεδομένων και να καθιερώσει αποδοτικές και αποτελεσματικές προσεγγίσεις.

Τηρώντας τις κανονιστικές απαιτήσεις, οι οργανισμοί μπορούν να θέσουν τα θεμέλια για την επιτυχή διακυβέρνηση των δεδομένων και συνάμα να διασφαλίσουν την ποιότητα, την ακεραιότητα και την ασφάλεια των δεδομένων τους.

Χρίστος Μακεδόνας, Leader, Digital Risk services, Grant Thornton Cyprus

christos.makedonas@cy.gt.com