Allianz: Όλα όσα πρέπει να γνωρίζετε για τον κανονισμό GDPR!
Στις 25 Μαΐου 2018, ο πολυαναμενόμενος Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) θα εφαρμοστεί σε ολόκληρη την ΕΕ, αποτελώντας την πιο δραστική ή νομοθετική προσπάθεια για την προστασία των δεδομένων στην ψηφιακή εποχή.
Στην τελευταία έκδοση του Global Risk Dialogue, οι ειδικοί της Allianz Global Corporate & Special (AGCS) για θέματα του κυβερνοχώρου Christopher Rau, Jens Krickhahn και Marek Stanislawski παρουσιάζουν τις απόψεις τους για το τι μπορούν να αναμένουν οι επιχειρήσεις…
Τι είναι ο GDPR;
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) είναι ένα σύνολο κανόνων και απαιτήσεων που αποσκοπούν στην προστασία των προσωπικών δεδομένων που έχουν στη διάθεσή τους οι επιχειρήσεις και άλλοι οργανισμοί. Επί του παρόντος, οι νόμοι για την προστασία των δεδομένων διαφέρουν ανάλογα με τη χώρα, αλλά το GDPR θα εναρμονίσει τους κανόνες προστασίας της ιδιωτικής ζωής και στις 28 χώρες της ΕΕ.
Οι νέοι κανόνες ενισχύουν το ρόλο και τις εξουσίες των αρχών προστασίας δεδομένων, αναγνωρίζουν πρόσθετα δικαιώματα στα πρόσωπα στα οποία αναφέρονται τα δεδομένα (κατά κύριο λόγο, σε κάθε άτομο), ενισχύουν τα ενδεχόμενα πρόστιμα και κυρώσεις και καθορίζουν πρόσθετες απαιτήσεις για τις οργανώσεις προστασίας προσωπικών δεδομένων. Αυτές οι απαιτήσεις περιλαμβάνουν, μεταξύ άλλων, την εφαρμογή ορισμένων πολιτικών και διαδικασιών, την ανάπτυξη ενός αποτελεσματικού εσωτερικού συστήματος διαχείρισης για την προστασία των δεδομένων και τον διορισμό υπεύθυνου προστασίας δεδομένων.
Γιατί είναι απαραίτητος ο GDPR;
Η επεξεργασία και η προστασία των προσωπικών δεδομένων αποτελεί ένα καυτό θέμα τα τελευταία χρόνια καθώς όλο και περισσότερα προσωπικά δεδομένα βρίσκονται υπό επεξεργασία λόγω της ψηφιοποίησης, μέσω των διαδικτυακών αγορών, των ψηφιακών εφαρμογών, των μέσων κοινωνικής δικτύωσης, ακόμα και μέσω μιας συνηθισμένης επίσκεψης στο γιατρό.
Ως απάντηση στις προκλήσεις του 21ου αιώνα που προέκυψαν από τις νέες τεχνολογίες, τα νέα επιχειρηματικά μοντέλα και τους νέους κινδύνους στον κυβερνοχώρο, οι Ευρωπαίοι νομοθέτες αποφάσισαν να επικαιροποιήσουν και να εναρμονίσουν τους ευρωπαϊκούς νόμους για την προστασία των δεδομένων αντικαθιστώντας την υφιστάμενη κατευθυντήρια γραμμή από το 1995 με την GDPR.
Πού εφαρμόζεται ο GDPR;
Γενικά, ο GDPR προστατεύει τις προσωπικά αναγνωρίσιμες πληροφορίες των ατόμων με μόνιμη κατοικία στην ΕΕ, αλλά έχει επίσης και νομική αναφορά στις χώρες του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ). Βασικά, μόνο οι πληροφορίες για τα φυσικά πρόσωπα εμπίπτουν στο πεδίο εφαρμογής ενώ τα εταιρικά δεδομένα είναι εκτός πεδίου.
Κάθε εταιρία που ελέγχει προσωπικά δεδομένα ή επεξεργάζεται προσωπικά δεδομένα από μόνη της ή για λογαριασμό άλλης εταιρίας πρέπει να συμμορφώνεται με τον GDPR, ακόμη και αν η εταιρία έχει την έδρα της εκτός της ΕΕ. Ο GDPR δεν συνδέεται με διαβατήρια της ΕΕ και δεν ισχύει για υπηκόους της ΕΕ με μόνιμη κατοικία εκτός της ΕΕ.
Οι μικρομεσαίες επιχειρήσεις καλύπτονται από τον GDPR;
Οι μικρομεσαίες επιχειρήσεις (ΜΜΕ) υπόκεινται επίσης στον GDPR. Ο GDPR μπορεί να προσφέρει κάποια ευελιξία στις μικρότερες επιχειρήσεις, αλλά γενικά δεν δίνει ιδιαίτερη προσοχή στο μέγεθος μιας επιχείρησης.
Εισάγει ο GDPR νέες απαιτήσεις;
Πολλές απαιτήσεις του GDPR για την προστασία των προσωπικών δεδομένων υφίστανται ήδη βάσει των εθνικών νόμων, αλλά ο GDPR θέτει νέο τόνο και βελτιώνει τις αρχές για την επεξεργασία των προσωπικών δεδομένων, την υποχρέωση λογοδοσίας και τις υποχρεώσεις των νομικών προσώπων, τις αιτήσεις πρόσβασης των υποκειμένων των δεδομένων και τη ρυθμιστική εξουσία επίβλεψης.
Ο GDPR είναι περισσότερο μια εξέλιξη των υφιστάμενων νόμων της ΕΕ για την προστασία των δεδομένων παρά μια επανάσταση.
Πώς αυξάνει ο GDPR τον κίνδυνο για τις επιχειρήσεις;
Εκτός από το εκτεταμένο εξωεδαφικό πεδίο εφαρμογής, ο GDPR αυξάνει επίσης σημαντικά τη δυνατότητα υψηλότερων προστίμων και κυρώσεων σε μη συμμορφούμενες εταιρίες. Περιέχει έναν κατάλογο διαφορετικών παραβιάσεων με μέγιστα όρια. Οι επιχειρήσεις θα πρέπει να κατανοούν την έκθεσή τους σε κινδύνους ενώ η διαχείριση της προστασίας των δεδομένων τους θα βρίσκεται στο επίκεντρο.
Η προστασία των δεδομένων θα αποτελέσει τον κύριο κίνδυνο για τις επιχειρήσεις, λαμβάνοντας ιδίως υπόψη τους δυνητικούς κινδύνους δυσφήμισης που αντιμετωπίζουν ως συνέπεια των παραβιάσεων των δεδομένων ή της κακής διαχείρισης των δεδομένων προσωπικού χαρακτήρα.
Ποιες πτυχές του GDPR θα είναι οι πιο δύσκολες;
Υπάρχουν πολλά ζητήματα από οργανωτική και τεχνική άποψη. Επιπλέον, το χρονοδιάγραμμα για την εφαρμογή είναι πολύ φιλόδοξο και δύσκολο να επιτευχθεί, ιδίως επειδή πολλές απαιτήσεις δεν θα καθοριστούν επαρκώς από τον ίδιο τον GDPR ή από τις αρχές έως το Μάιο του 2018.
Η πιο σημαντική και πολύπλοκη νέα αλλαγή είναι το δικαίωμα του υποκειμένου των δεδομένων να μπορεί “να λησμονηθεί”, σύμφωνα με το οποίο μπορεί να ζητήσει από μια εταιρία να διαγράψει τα προσωπικά του δεδομένα. Οι εταιρίες θα πρέπει να θέσουν σε εφαρμογή διαδικασίες για να εντοπίσουν τα δεδομένα και να συμμορφωθούν με αυτά τα αιτήματα, αν και μπορεί να μην είναι απλή η διαγραφή ενός μόνο αρχείου δεδομένων που μπορεί να έχει αντιγραφεί σε πολλές βάσεις δεδομένων, να συγκεντρωθεί ή να μοιραστεί με ένα τρίτο μέρος.
Πόσο σημαντική είναι η απαίτηση κοινοποίησης παραβίασης δεδομένων;
Μια άλλη σημαντική πρόκληση της συμμόρφωσης με τον GDPR είναι η νέα απαίτηση να κοινοποιείται στις αρχές η ύπαρξη παραβίασης των δεδομένων εντός 72 ωρών από την εμφάνισή τους. Αυτό έχει επιπτώσεις στη διαχείριση των κινδύνων.
Οι εταιρίες θα πρέπει να θέσουν σε εφαρμογή κατάλληλες διαδικασίες και συστήματα για να εντοπίσουν τα δεδομένα που επηρεάζονται και να βελτιώσουν την εσωτερική συνεργασία πριν ενημερώσουν τον ρυθμιστή. Οι διαδοχικές παραβιάσεις θα οδηγήσουν σε μεγαλύτερες κυρώσεις και αυστηρότερη κανονιστική παρακολούθηση.
nextdeal