Πόσος χρόνος θα χρειαστεί προκειμένου το σύστημά μου να είναι online και να τρέχει κανονικά;

Κατά τα αρχικά στάδια της αναζήτησής σας τόσο για ένα σύστημα ERP όσο και για έναν συνεργάτη (πάροχο) για να το ενσωματώσετε στην επιχείρησή σας, συνήθως η νούμερο ανησυχία που κυκλοφορεί στο μυαλό σας είναι το κόστος. Πέρα από αυτό όμως, θα έπρεπε να λάβετε υπόψιν σας και το πόσο μεγάλη απόσπαση θα μπορούσε να είναι για την επιχείρησή σας,…

Νέο ευρωπαϊκό πλαίσιο προστασίας προσωπικών δεδομένων: General Data Protection Regulation (GDPR)

Στις 25 Μαΐου 2018 μπαίνει σε ισχύ το νέο ευρωπαϊκό νομικό πλαίσιο General Data Protection Regulation (GDPR) σχετικά με τον χειρισμό και την προστασία των προσωπικών δεδομένων. Κάθε ιστοσελίδα που διαχειρίζεται προσωπικά δεδομένα χρηστών, ακόμη και φαινομενικά “αθώα” δεδομένα όπως ονοματεπώνυμα ή emails, οφείλει πλέον να είναι σύννομη με το νέο πλαίσιο, με τεράστια πρόστιμα να απειλούν τους παραβάτες.

Για πρώτη φορά, η ευθύνη για την συμμόρφωση βαρύνει τόσο τον ιδιοκτήτη της ιστοσελίδας (τον “Data Controller”) που συλλέγει τα δεδομένα, όσο και την εταιρία που υλοποίησε την πλατφόρμα (“Data Processor”).

Ας δούμε τι νέο φέρνει το νέο πλαίσιο, όπως και τις ενέργειες που πρέπει να γίνουν για την συμμόρφωση με αυτό.

Το GDPR συνοπτικά

Ποιούς αφορά

Ο ιστότοπός σας ή η εταιρία σας:

  1. Προσφέρει αγαθά ή υπηρεσίες σε πολίτες της Ευρωπαϊκής Ένωσης, ή σε πολίτες τρίτων χωρών που διαμένουν στην ΕΕ;
  2. Καταγράφει ή παρακολουθεί την συμπεριφορά των χρηστών;
  3. Έχει υπαλλήλους/χρήστες της ιστοσελίδας σε χώρα της ΕΕ;

Αν τουλάχιστον μια από τις τρεις ερωτήσεις έχει θετική απάντηση, κατά πάσα πιθανότητα θα πρέπει να συμμορφώνεται με το GDPR. Πρακτικά, όλες οι ιστοσελίδες που επιτρέπουν user registrations εμπίπτουν στην νέα νομοθεσία.

Βασικές αρχές

  • Προστασία δεδομένων “by design”:η ιδιωτικότητα και η προστασία των δεδομένων βρίσκονται πλέον στον πυρήνα των πληροφοριακών συστημάτων ήδη από την φάση σχεδιασμού. Τα προσωπικά δεδομένα προστατεύονται σε όλον τον κύκλο ζωής τους.
  • Ελαχιστοποίηση δεδομένων: Συλλέγονται και αποθηκεύονται τα ελάχιστα απαραίτητα δεδομένα για τον σκοπό.
  • Δικαίωμα να ξεχαστείς (“right to be forgotten”): το φυσικό πρόσωπο μπορεί να αιτηθεί την διαγραφή όλων των προσωπικών του δεδομένων.
  • Μεταφορά δεδομένων: το φυσικό πρόσωπο μπορεί να αιτηθεί την μεταφορά των δεδομένων του σε άλλο φορέα, π.χ. αν επιθυμεί την αλλαγή του παρόχου email.
  • Διαχείριση συναίνεσης: συγκεκριμένες διαδικασίες για την συναίνεση στην συλλογή των δεδομένων, διατήρηση της απόδειξης συναίνεσης και δυνατότητα ανάκλησης της συναίνεσης μόλις ολοκληρωθεί η αρχική χρήση
  • Κοινοποίηση παραβίασης: εάν εντοπιστεί παραβίαση, πρέπει να κοινοποιηθεί εντός 72 ωρών στην σχετική αρχή και στους εμπλεκόμενους χρήστες
  • Ακεραιότητα: διαδικασίες για την επαναφορά προσωπικών δεδομένων σε περίπτωση αστοχίας συστήματος
  • Ευθύνη και λογοδοσία: Καταγραφή για την απόκτηση / ανάκληση συναίνεσης όπως και για κάθε ενέργεια που σχετίζεται με την πρόσβαση στα δεδομένα.

Υποχρεώσεις

  • Η συλλογή των προσωπικών δεδομένων πρέπει να γίνεται για συγκεκριμένο, νόμιμο σκοπό, συλλέγοντας μόνο τα δεδομένα που είναι απολύτως απαραίτητα για την επίτευξη του στόχου.
  • Το φυσικό πρόσωπο πρέπει να γνωρίζει τον σκοπό της συλλογής των δεδομένων και να δίνει ρητή συγκατάθεση.
  • Δεν επιτρέπεται η επεξεργασία των δεδομένων για κανένα άλλο σκοπό πέρα από τον αρχικό σκοπό που κοινοποιήθηκε στα φυσικά πρόσωπα.
  • Η αποθήκευση των δεδομένων πρέπει να γίνεται για το ελάχιστο χρονικό διάστημα που απαιτείται για την διεκπεραίωση του αρχικού σκοπού.
  • Επιτρέπεται να δοθεί πρόσβαση στα προσωπικά δεδομένα σε τρίτο πρόσωπο (πχ συνεργάτες) μόνο εφόσον αποδεικνύεται η συμμόρφωση των τρίτων με το GDPR.
  • Πρέπει να προσφέρονται λειτουργικότητες που επιτρέπουν στα φυσικά πρόσωπα να:
    • Έχουν πρόσβαση στα δεδομένα τους
    • Διορθώνουν τα δεδομένα τους
    • Διαγράφουν τα δεδομένα τους
    • Ανακαλούν την συγκατάθεση
    • Ορίζουν περιορισμούς στην επεξεργασία των δεδομένων
    • Λαμβάνουν το σύνολο των προσωπικών τους δεδομένων σε ηλεκτρονική μορφή
  • Οι εταιρείες οφείλουν να γνωστοποιούν στα φυσικά πρόσωπα τα δικαιώματά τους, όπως προκύπτουν από το GDPR.
  • Τα δεδομένα πρέπει να φυλάσσονται με ασφάλεια σε όλον τον κύκλο τους.
  • Κάθε παραβίαση των προσωπικών δεδομένων πρέπει να κοινοποιείται στον αρμόδιο φορέα (για την Ελλάδα, την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) εντός 72 ωρών από τον εντοπισμό της παραβίασης, όπως και να κοινοποιείται η παραβίαση και στα φυσικά πρόσωπα των οποίων τα δεδομένα παραβιάστηκαν.
  • Να αποδεικνύεται πως τηρούνται πλήρως οι υποχρεώσεις του νομικού πλαισίου του GDPR.

Το σενάριο της μη συμμόρφωσης

Τα πρόστιμα για την μη συμμόρφωση με το GDPR ορίζονται ως 20 εκατομμύρια ευρώ ή 4% του ετήσιου τζίρου, όποιο είναι μεγαλύτερο. Είναι ξεκάθαρο πως η επιλογή του να μην συμμορφωθεί κανείς και να πληρώσει το πρόστιμο εάν γίνει αντιληπτός, δεν αποτελεί σοφή απόφαση.

Σε ποιόν ανήκει η ευθύνη για την συμμόρφωση με το GDPR?

Το GDPR ορίζει τρεις ρόλους που εμπλέκονται στην συμμόρφωση με το πλαίσιο και μοιράζονται την ευθύνη:

  1. Data Controller (η εταιρία στην οποία ανήκει η σελίδα) ορίζει το εύρος των απαιτητών προσωπικών δεδομένων και τους σκοπούς της επεξεργασίας τους. Επίσης, ευθύνεται για την συμμόρφωση όλων των τρίτων συνεργατών.
  2. Ο Data Processor (ΙΤ τμήμα, web agency που προσφέρει τεχνική υποστήριξη ή ακόμη και ο πάροχος hosting) είναι υπεύθυνος για την τήρηση των σύννομων διαδικασιών και για την διαχείριση παραβιάσεων.

Όποτε οι κύριες δραστηριότητες του συστήματος εμπεριέχουν “συστηματική επισκόπηση των υποκειμένων σε μεγάλη κλίμακα”, επεξεργασία δεδομένων σε “μεγάλη κλίμακα”, ή “ειδικές κατηγορίες ευαίσθητων δεδομένων” (πχ εθνικότητα, πολιτικές/θρησκευτικές/σεξουαλικές προτιμήσεις ή δεδομένα ανηλίκων), τότε απαιτείται ο ορισμός ενός Data Protection Officer (DPO) ο οποίος θα είναι υπόλογος για την τήρηση του πλαισίου.

O DPO μπορεί να είναι υπάλληλος του Controller ή του Processor, ή εναλλακτικά τρίτος πάροχος, ο οποίος θα συνδέεται όμως σε υψηλότατο επίπεδο με τον Controller. Δεδομένων των ευθυνών που εμπίπτουν στον DPO, η ορθή επιλογή κατάλληλου ατόμου είναι ζωτικής σημασίας.

Συμμόρφωση με το GDPR

Η διαδικασία συμμόρφωσης με το GDPR είναι πολυεπίπεδη. Απαιτείται μια αρχική καταγραφή-χαρτογράφηση της παρούσας κατάστασης, εντοπίζοντας τα προσωπικά δεδομένα, τις ροές δεδομένων, τις διαδικασίες συναίνεσης, επεξεργασίας και χειρισμού συμβάντων, ώστε να εντοπιστούν τα σημεία όπου απαιτείται παρέμβαση.

Στην συνέχεια, καταγράφονται τα ρίσκα και οι προτεραιότητες υλοποίησης, όπως και η σχετική πολυπλοκότητα διορθώσεων όπου απαιτούνται. Έτσι, μπορεί να οριστεί ένα πλάνο δράσης το οποίο δίνει προτεραιότητα στα θέματα μεγαλύτερου ρίσκου. Αυτό το πλάνο δράσης ορίζει χρονοδιαγράμματα, κόστη και προτεραιότητες, και εγκρίνεται από την αναθέτουσα εταιρία ώστε να ξεκινήσει η υλοποίηση εκ μέρους του Data Processor και τρίτων αναδόχων.

Η έκταση των εργασιών που απαιτούνται για την συμμόρφωση εξαρτώνται από πολλούς παράγοντες, όπως το μέγεθος της εταιρίας, η ποσότητα και το είδος των προσωπικών δεδομένων και την απόσταση ανάμεσα στην παρούσα κατάσταση και τις απαιτήσεις της νέας κατάστασης συμμόρφωσης.

Η υλοποίηση των απαραίτητων αλλαγών σε τεχνικό επίπεδο επαφίεται κυρίως στην ομάδα ανάπτυξης. Επεκτείνονται οι μηχανισμοί λήψης, αποθήκευσης και ανάκλησης συγκατάθεσης, ορίζονται συγκεκριμένες διαδικασίες μεταφοράς δεδομένων (πχ από τον live server στους developers / SEO experts κλπ), όπως επίσης ισχυροποιούνται τα μέτρα ασφαλείας που σχετίζονται με την οχύρωση των δεδομένων. Παράλληλα, δημιουργούνται τα πρωτόκολλα ασφαλείας που θα ενεργοποιηθούν σε ενδεχόμενη επίθεση ή υποκλοπή δεδομένων και εκπαιδεύεται το αρμόδιο προσωπικό στην χρήση τους.

Από την στιγμή που θα ολοκληρωθεί η συμμόρφωση με το GDPR, αυτή θα πρέπει να μπορεί να αποδειχθεί και να πιστοποιηθεί όποτε απαιτηθεί από τους αρμόδιους ελεγκτές. Η σαφής αποτύπωση των διαδικασιών και η καταγραφή όλων των συμβάντων που σχετίζονται με τα προσωπικά δεδομένα είναι κρίσιμης σημασίας. Συνιστάται να προγραμματιστούν τακτικές επιθεωρήσεις ασφαλείας, που θα επιβλέπουν και κάθε μελλοντική επέμβαση στην πλατφόρμα, όπως και περιοδικές αναφορές που θα αποδεικνύουν την συμμόρφωση και την ορθή διαχείριση κάθε περιστατικού.

 

 

Πηγή

Νέος Ευρωπαϊκός Γενικός Κανονισμός για τα Προσωπικά Δεδομένα

Στις 14 Απριλίου 2016, το Ευρωπαϊκό Κοινοβούλιο ενέκρινε τo Γενικό Κανονισμό για τα Προσωπικά δεδομένα.

Ο κανονισμός αναμένεται να τεθεί σε ισχύ την άνοιξη του 2016 και θα αρχίσει να εφαρμόζεται την άνοιξη του 2018.

Ο κανονισμός περιγράφει τα δικαιώματα του υποκειμένου των δεδομένων, δηλαδή του ατόμου του οποίου τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία. Αυτά τα ενισχυμένα δικαιώματα παρέχουν στα άτομα μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων, μεταξύ άλλων μέσω:

  • την ανάγκη ύπαρξης σαφούς συγκατάθεσης του ενδιαφερομένου για την επεξεργασία των προσωπικών του δεδομένων
  • της ευκολότερης πρόσβασης του ενδιαφερομένου στα προσωπικά του δεδομένα
  • των δικαιωμάτων διόρθωσης, διαγραφής και «λήθης»
  • του δικαιώματος εναντίωσης, μεταξύ άλλων στη χρησιμοποίηση των δεδομένων προσωπικού χαρακτήρα για την «κατάρτιση προφίλ»
  • του δικαιώματος φορητότητας των δεδομένων από πάροχο σε πάροχο

Θεσπίζει επίσης την υποχρέωση των υπεύθυνων επεξεργασίας των δεδομένων να παρέχουν διαφανείς και εύκολα προσβάσιμες πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά την επεξεργασία των δεδομένων τους.

Ο Νέος Κανονισμός ορίζει αναλυτικά τις γενικές υποχρεώσεις που έχουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία των δεδομένων προσωπικού χαρακτήρα για λογαριασμό αυτών. Και οι δύο έχουν την υποχρέωση τήρησης  κατάλληλων μέτρων ασφαλείας ανάλογα με τον κίνδυνο τον οποίον ενέχουν οι πράξεις επεξεργασίας δεδομένων τις οποίες εκτελούν.

Οι υπεύθυνοι επεξεργασίας σε ορισμένες περιπτώσεις, πρέπει να κοινοποιούν τα περιστατικά παραβίασης δεδομένων προσωπικού χαρακτήρα εντός 72 ωρών από την ανακάλυψη του περιστατικού παραβίασης και απώλειας προσωπικών δεδομένων στις αρμόδιες αρχές και στα υποκείμενα των δεδομένων αν η φύση των δεδομένων που χάθηκαν το απαιτεί.

Επίσης για τις εταιρείες και τις δημόσιες αρχές που εκτελούν πράξεις επεξεργασίας δεδομένων που ενέχουν κινδύνους θα πρέπει να έχουν ορίσει υπεύθυνο προστασίας δεδομένων.

Για τους υπεύθυνους επεξεργασίας ή τους εκτελούντες την επεξεργασία δεδομένων οι οποίοι παραβιάζουν τους κανόνες για την προστασία των δεδομένων προβλέπονται πολύ αυστηρές κυρώσεις.

Στους υπευθύνους επεξεργασίας δεδομένων μπορεί να επιβληθεί πρόστιμο που μπορεί να ανέλθει σε 20 εκατ. € ή στο 4% του συνολικού ετήσιου κύκλου εργασιών τους.

Για την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται υπόψη ενδεικτικά τα ακόλουθα:

  • η φύση, η βαρύτητα και η διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση, την έκταση ή το σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων των δεδομένων που έθιξε η παράβαση και το βαθμό ζημίας που υπέστησαν,
  • ο δόλος ή η αμέλεια που προκάλεσε την παράβαση,
  • οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων,
  • ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν,
  • τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία,
  • ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της,
  • οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση,
  • ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση,
  • σε περίπτωση που διατάχθηκε προηγουμένως η λήψη των μέτρων που αναφέρονται κατά του εμπλεκόμενου υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα,
  • η τήρηση εγκεκριμένων κωδίκων δεοντολογίας ή εγκεκριμένων μηχανισμών πιστοποίησης σύμφωνα και
  • κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.

Ο κανονισμός αναγνωρίζει το δικαίωμα των υποκειμένων των δεδομένων να υποβάλλουν καταγγελία σε εποπτική αρχή καθώς και το δικαίωμά τους για δικαστική προσφυγή και αποζημίωση έτσι οι εταιρίες είναι εκτεθειμένες σε αγωγές από τρίτους των οποίων χάθηκαν τα προσωπικά τους δεδομένα.

Πηγή

Τι είναι ο κανονισμός GDPR (General Data Protection Regulation)

Κάθε εταιρία που χειρίζεται προσωπικά δεδομένα τα οποία αφορούν σε άτομα εντός της Ευρωπαϊκής Ένωσης, θα είναι υποχρεωμένος να συμμορφωθεί πλήρως με το νέο κανονισμό της Ευρωπαικής ένωσης GDPR (EU General Data Protection Regulation), επανεξετάζοντας ή και αναθεωρώντας όλες τις διαδικασίες διαχείρισης των πληροφοριών του και αποτελεί τη μεγαλύτερη αλλαγή στην νομοθεσία περί προστασίας των δεδομένων τα τελευταία σχεδόν 20 χρόνια.

Αυτά μπορεί να αποκαλύπτουν την ταυτότητα του ατόμου, το φύλο του, την ηλικία του, τον τόπο διαμονής, την οικογενειακή του κατάσταση, την εργασιακή του σχέση αλλά και ακόμη πιο προσωπικές πληροφορίες όπως τις συνήθειές του, και τις προτιμήσεις του.
Η εταιρεία πρέπει να εξετάσει την αλλαγή ή και προσαρμογή των πληροφοριακών της συστημάτων για να συμμορφωθεί με όρους όπως:

  • Προσεκτική συγκέντρωση και ασφαλής αποθήκευση προσωπικών δεδομένων.
  • Καμία επεξεργασία των προσωπικών δεδομένων χωρίς συγκατάθεση
  • Κωδικοποίηση αυτών για αποφυγή αναγνώρισης ταυτότητας (profiling)
  • Αποφυγή συσχετισμού βάσεων δεδομένων (linked data)
  • Δυνατότητα διαγραφής ή εξαγωγής και παράδοσης των δεδομένων κατ’ απαίτηση.
  • Εφαρμογής της αρχής «τόσα δεδομένα όσα είναι απαραίτητα»
  • Διασφάλιση συμμόρφωσης στον Κανονισμό και από τις συνεργαζόμενες εταιρείες που διαχειρίζονται τα προσωπικά δεδομένα για λογαριασμό της.

 

Πηγή