Πόσο έτοιμες είναι οι επιχειρήσεις για την εφαρμογή του GDPR ;

Απο τις 25 Μαΐου 2018 , τίθεται σε ισχύ ο Ευρωπαϊκός Κανονισμός για τη Προστασία των Δεδομένων GDPR (General Data Protection Regulation).
Ο Κανονισμός αυτός φέρνει πολλές υποχρεώσεις σε όλες τις επιχειρήσεις -ανεξαρτήτως μεγέθους- που με οποιονδήποτε τρόπο αποθηκεύουν ή διαχειρίζονται προσωπικά δεδομένα εργαζομένων, συνεργατών, πελατών ή άλλων φυσικών προσώπων εντός της Ευρωπαϊκής Ένωσης.

Σύμφωνα με διαπίστωση του Συνδέσμου Ελλήνων  Βιομηχάνων (ΣΕΒ) , ο βαθμός ετοιμότητας των ελληνικών επιχειρήσεων στο GDPR χαρακτηρίζεται ως μέτριος, ενώ ειδικά οι μικρότερες επιχειρήσεις έχουν πολύ δρόμο να διανύσουν ακόμα ..
Σε έκθεση του ΣΕΒ ,παρουσιάζονται τα συμπεράσματα μιας έρευνας της ICAP που πραγματοποιήθηκε τον περασμένο Δεκέμβριο σύμφωνα με τα οποία ,1 στις 4 επιχειρήσεις δηλώνει ότι δεν γνωρίζει τον νέο Κανονισμό. Ενώ το 22% δηλώνει ότι, ακόμα δεν γνωρίζει τον ορισμό των προσωπικών δεδομένων….
Κατά τον ΣΕΒ , σημαντική «παγίδα» για τις επιχειρήσεις αποτελεί επίσης το γεγονός , λανθασμένα να έχουν την πεποίθηση ότι δεν εμπίπτουν στον Κανονισμό και ως εκ τούτου να θεωρούν ότι δεν χρειάζεται να προβούν σε καμία δράση συμμόρφωσης.
Που αποσκοπεί ο νέος Κανονισμός
Ο GDPR έχει ως στόχο να διευρύνει την προστασία των προσωπικών δεδομένων
των Ευρωπαίων πολιτών .
Χαρακτηρίζεται ιδίως από την ριζική αλλαγή του συστήματος ευθύνης για τήρηση της νομοθεσίας, εισάγοντας την αρχή της Λογοδοσίας (Accountability Principle), η οποία πλέον μεταφέρεται στις εταιρείες , ενώ επιτάσσεται ή ύπαρξη ξεκάθαρης συναίνεσης του ατόμου ,για κάθε σκοπό επεξεργασίας των προσωπικών του δεδομένων .
Με άλλα λόγια, ο Κανονισμός αποτελεί ένα κοινό πλαίσιο ρυθμίσεων για τον τρόπο με τον οποίο συλλέγονται, επεξεργάζονται, φυλάσσονται, διακινούνται, αξιοποιούνται, αλλά και καταστρέφονται, δεδομένα προσωπικού χαρακτήρα των πολιτών της ΕΕ, ανεξαρτήτως του τόπου διαμονής τους, τόσο σε ηλεκτρονική όσο και σε φυσική μορφή.
Ποιες επιχειρήσεις αφορά
Θεωρητικά όλες !!
Έχει γενική εφαρμογή, σε όλες τις επιχειρήσεις του ιδιωτικού τομέα (ανεξαρτήτως μεγέθους και κλάδου δραστηριοποίησης), όσο και τους φορείς του δημοσίου.
Ταυτίζεται με πολιτικές και διαδικασίες της επιχείρησης (π.χ. για συμβάσεις, διεξαγωγή διαγωνισμών, εξυπηρέτηση πελατών), με υποδομές και συστήματα που χρησιμοποιούνται (π.χ. servers, ηλεκτρονικό ταχυδρομείο, USB sticks, CRM, POS), με πράξεις αυτοδέσμευσης της διοίκησης (π.χ. Κώδικες Δεοντολογίας και συστήματα πιστοποίησης), με το ανθρώπινο δυναμικό (π.χ. διαδικασίες προσλήψεων, συμβάσεις προσωπικού, ομαδικά συμβόλαια ασφάλισης, βιογραφικά σημειώματα και συνεντεύξεις), αλλά κυρίως με την κουλτούρα της επιχείρησης.
Ποια δεδομένα πρέπει να προστατεύονται
Κάθε πληροφορία που σχετίζεται, χαρακτηρίζει ένα φυσικό πρόσωπο όπως είναι: το όνομα & το επάγγελμά, η οικογενειακή κατάσταση, η ηλικία, η κατοικία, η διεύθυνση ηλεκτρονικού ταχυδρομείου, τα στοιχεία του τραπεζικού λογαριασμού, αλλά και η διεύθυνση IP του ηλεκτρονικού υπολογιστή.
Τι πρέπει να κάνουν οι Εταιρείες
Να προστατεύουν τα προσωπικά δεδομένα λαμβάνοντας κατάλληλα μέτρα ασφαλείας
Να γνωστοποιούν στις αρχές τις παραβιάσεις προσωπικών δεδομένων
Να λαμβάνουν συγκατάθεση για τη συλλογή και την επεξεργασία προσωπικών δεδομένων
Να τηρούν αρχεία που θα παρέχουν αναλυτικές πληροφορίες για τις δραστηριότητες επεξεργασίας δεδομένων
Να παρέχουν σαφή γνωστοποίηση για τη συλλογή δεδομένων
Να περιγράφουν το λόγο και τις περιπτώσεις επεξεργασίας των προσωπικών δεδομένων
Να ορίζουν πολιτικές διατήρησης και διαγραφής δεδομένων
Θα παρέχουν σαφή γνωστοποίηση για τη συλλογή δεδομένων

Η Πρόταση του ΣΕΒ για «έξυπνη» συμμόρφωση

Σύμφωνα με τον ΣΕΒ , ο Κανονισμός παρουσιάζει σημαντικές ευκαιρίες, που αν αξιοποιηθούν, μπορούν να συμβάλουν στην ουσιαστική βελτίωση του τρόπου λειτουργίας του επιχειρηματικού μοντέλου, με αποτέλεσμα όχι απλά την τυπική συμμόρφωση, αλλά την επίτευξη θετικού προσήμου μέσα από την εν λόγω διαδικασία.
Αυτό μπορεί να επιτευχθεί εάν οι επιχειρήσεις, αντί για ένα ακόμα «στείρο» νομικό κείμενο υποχρεώσεων, εκλάβουν τον Κανονισμό ως υποχρεωτική «άσκηση» χάρη στην οποία θα αλλάξουν την επιχειρηματική κουλτούρα προς όφελός τους, δίχως να επιβαρυνθούν με σημαντικό χρηματικό και διοικητικό κόστος.
Αυτό , ο ΣΕΒ το αποκαλεί «έξυπνη συμμόρφωση», βασισμένη σε τρεις αρχές που αναδεικνύουν εύληπτα και τα οφέλη που προκύπτουν από τον Κανονισμό.
Η πρώτη αρχή αφορά στο «νοικοκύρεμα» των (προσωπικών) δεδομένων.
Μέχρι σήμερα οι επιχειρήσεις, κατά συνήθη πρακτική, επιδίδονται σε ένα «κυνήγι όγκου» δεδομένων, γεγονός που συνεπάγεται σημαντικό κόστος συγκέντρωσης, καταχώρισης, ψηφιοποίησης, φύλαξης, επεξεργασίας, ανάλυσης κ.λπ.
Ο Κανονισμός «αναγκάζει» τις επιχειρήσεις να επανεξετάσουν τα δεδομένα τους, αλλά και τις δομές, τις εσωτερικές λειτουργίες και τις διαδικασίες τους σε σχέση με αυτά. Δηλαδή τις καλεί να επανεξετάσουν ποια δεδομένα διατηρούν, πώς τα συλλέγουν, για ποιο σκοπό, για πόση διάρκεια, ποιος έχει πρόσβαση σε αυτά και πώς φυλάσσονται
Η δεύτερη αρχή αφορά στη μετατροπή της υποχρέωσης συμμόρφωσης σε ανταγωνιστικό πλεονέκτημα.
Όταν ακόμη οι αναζητήσεις μας στο διαδίκτυο αποκαλύπτουν τις προσωπικές ή επαγγελματικές προτιμήσεις μας και το κινητό μας «εκπέμπει» τα προσωπικά μας δεδομένα, είναι εύλογο ότι ο τρόπος προστασίας τους γρήγορα θα αποτελέσει κριτήριο για τις επιλογές που θα κάνουν οι πελάτες, οι προμηθευτές και οι ίδιοι οι εργαζόμενοι.
Είναι δε χαρακτηριστικό ότι έχει ήδη ξεκινήσει διεθνώς μια πολύ ζωντανή και ενδιαφέρουσα συζήτηση γύρω από την προστασία των προσωπικών δεδομένων και την ανάγκη αυτορρύθμισης των επιχειρήσεων, ώστε να αποφευχθούν δυστοπικά σενάρια μιας επερχόμενης «ψηφιακής δικτατορίας».
Τέλος, η τρίτη αρχή αφορά στην επένδυση σε λύσεις που προσφέρει η τεχνολογία και, μέσω αυτής της διαδικασίας, στην είσοδο στην εποχή της ψηφιακής οικονομίας.
Είναι γεγονός ότι η ενσωμάτωση των ψηφιακών τεχνολογιών στην επιχειρηματική λειτουργία αποτελεί πλέον μονόδρομο για την επιβίωση και ανάπτυξη των επιχειρήσεων.
Υπό αυτήν την έννοια, ο Κανονισμός μπορεί να αποτελέσει πύλη εισόδου στη ψηφιακή κοσμογονία (ενδεικτικά, business analytics, big data), καθώς οι τεχνολογίες πληροφορικής και επικοινωνιών παρέχουν όχι μόνο εργαλεία συμμόρφωσης χαμηλού κόστους (π.χ. cloud computing, firewalls, κρυπτογράφηση, ψευδωνυμοποίηση κ.ά.), αλλά και λύσεις που τελικά θα αναβαθμίσουν το ίδιο το επιχειρηματικό μοντέλο.