Opinion Works

4 days ago

Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR): Βασικές ενέργειες προς Συμμόρφωση

By KPMG Team

Opinion Works

4 days ago

Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR): Βασικές ενέργειες προς Συμμόρφωση

Η προστασία προσωπικών δεδομένων είναι μια θεμελιώδης αρχή με βάση την οποία έχει το δικαίωμα διαφύλαξης πληροφοριών ο κάθε Ευρωπαίος

By KPMG Team


Τα προσωπικά δεδομένα, συμπεριλαμβανομένων των βιομετρικών και γενετικών δεδομένων, παραχωρούνται και διαχειρίζονται σε καθημερινή βάση σε διάφορες μορφές (όπως για παράδειγμα με το άνοιγμα ενός τραπεζικού λογαριασμού, άνοιγμα λογαριασμού στο διαδίκτυο, εγγραφή μέλους σε καταστήματα κ.λπ.), καθιστώντας τα προσωπικά δεδομένα ευάλωτα σε αρκετούς κινδύνους.

Η μεγαλύτερη αλλαγή στους κανόνες που διέπουν την προστασία προσωπικών δεδομένων φυσικών προσώπων τίθεται σε άμεση εφαρμογή στις 25 Μαΐου 2018, με βάση το νέο Γενικό Ευρωπαϊκό Κανονισμό Προστασίας Δεδομένων 2016/679 (General Data Protection Regulation –GDPR) ο οποίος εκδόθηκε στις 27 Απριλίου 2016, διαμορφώνοντας ένα ενιαίο νομικό πλαίσιο, χωρίς την υποχρέωση ψήφισης εθνικής νομοθεσίας ή οδηγίας και εναρμόνισης με την υφιστάμενη κυπριακή νομοθεσία.

Ο Κανονισμός αυξάνει σημαντικά τις υποχρεώσεις όλων των οντοτήτων οι οποίες διαχειρίζονται προσωπικά δεδομένα εντός και εκτός Ευρωπαϊκής Ένωσης, εφόσον τα προσωπικά δεδομένα αφορούν Ευρωπαίους πολίτες, με πρόστιμα να φτάνουν από 2% μέχρι 4% του παγκόσμιου κύκλου εργασιών ή από 10 εκατ. μέχρι 20 εκατ. Ευρώ για επιχειρήσεις που δεν συμμορφώνονται.

Με το νέο Κανονισμό απαιτείται συμμόρφωση από όλες τις οντότητες οι οποίες διαχειρίζονται προσωπικά δεδομένα, συμπεριλαμβανομένων δεδομένων των ίδιων των υπαλλήλων (π.χ. ιατρικά αρχεία) και ιδιαίτερα από οργανισμούς που λειτουργούν στους τομείς με Χρηματοοικονομικές δραστηριότητες, στον Εκπαιδευτικό τομέα καθώς και στους παρόχους Υπηρεσιών Υγείας.

Οι Ευρωπαίοι ρυθμιστές προστασίας προσωπικών δεδομένων έχουν καταστήσει σαφές ότι προτίθενται να εξασκήσουν τις ερευνητικές και διορθωτικές δικαιοδοσίες τους, ως προς την παρακολούθηση υλοποίησης των σχετικών θεμάτων ασφαλείας.

Ο νέος Κανονισμός ενισχύει τα υφιστάμενα δικαιώματα των Ευρωπαίων πολιτών (περιλαμβανομένων των ανηλίκων) σχετικά με τη Διαφάνεια, Φορητότητα δεδομένων, Λογοδοσία, Ακρίβεια, Ακεραιότητα, Εμπιστευτικότητα, Συγκατάθεση, Πρόσβαση, τον περιορισμό αποθήκευσης και την ελαχιστοποίηση τήρησης δεδομένων.

Επίσης, ενισχύει το έργο των υφιστάμενων εποπτικών αρχών εφόσον τα προσωπικά δεδομένα πρέπει να:
-συλλέγονται για συγκεκριμένο και νόμιμο σκοπό και με τη συγκατάθεση του ατόμου
-μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό για τον οποίο λαμβάνονται
-να συλλέγονται μόνο όσα εξ αυτών είναι απαραίτητα
-είναι ακριβή και να επικαιροποιούνται
-αποθηκεύονται μόνο για όσο χρονικό διάστημα απαιτείται με βάση τις ισχύουσες νομοθετικές απαιτήσεις του κάθε οργανισμού
-επεξεργάζονται με κατανοητό τρόπο και με τρόπο που να διασφαλίζεται η επαρκής ασφάλειά τους

Αρκετοί οργανισμοί έχουν κάνει διαβήματα και βρίσκονται σε προκαταρκτικά στάδια για την υιοθέτηση μέτρων και διαδικασιών διασφάλισης της συμμόρφωσης με τις απαιτήσεις του Κανονισμού, χωρίς ωστόσο να έχουν εφαρμοστεί ακόμη όλες οι απαραίτητες ενέργειες προς συμμόρφωση.

Οι βασικοί παράγοντες επιτυχίας σχετικά για τη διασφάλιση της συμμόρφωσης με τον Κανονισμό αφορούν τις ακόλουθες ενέργειες:
-Καθορισμό Στρατηγικής απορρήτου καθώς και κατάλληλα τεχνικά και οργανωτικά μέτρα και πολιτικές για την πρόληψη, τον έλεγχο και την παρακολούθηση οποιωνδήποτε παραβιάσεων
-Αξιολόγηση της τρέχουσας κατάστασης σε θέματα που αφορούν συστήματα, διαδικασίες, πολιτικές (Gap Analysis)
-Διενέργεια εκτίμησης επιπτώσεων (Privacy Impact Assessment)
-Καθορισμός ενός πλάνου υλοποίησης με βάση τα αποτελέσματα των πιο πάνω
-Ενσωμάτωση των προϋποθέσεων του Κανονισμού στις καθημερινές λειτουργίες
-Επαρκής ενημέρωση εμπλεκόμενων ως προς τους κανονισμούς προστασίας προσωπικών δεδομένων
-Αναγνώριση από ενδιαφερόμενους φορείς αναφορικά με το ποιες προσωπικές πληροφορίες επεξεργάζεται ο οργανισμός, πού βρίσκονται, πώς φυλάσσονται, ποιός και πώς τις διαχειρίζεται
-Διάθεση επαρκών ελέγχων προς διασφάλιση ότι οι ροές δεδομένων είναι ασφαλείς και συμμορφώνονται με τις απαιτήσεις
-Τήρηση αρχείου στο οποίο να υπάρχουν πληροφορίες αναφορικά με την επεξεργασία δεδομένων
-Τήρηση επαρκούς ελεγκτικού ίχνους ζήτησης και αποδοχής της συγκατάθεσης χρήσης προσωπικών πληροφοριών
-Αξιολόγηση συμμόρφωσης περί απορρήτου χρησιμοποιώντας νέες τεχνολογίες (π.χ. Big Data, εφαρμογές για κινητά, προφίλ πελατών)
-Απογραφή δραστηριοτήτων καθώς επίσης και κωδικών δεοντολογίας
-Εφαρμογή απαραίτητων διαδικασιών διασυνοριακής επεξεργασίας δεδομένων εντός ή εκτός Ε.Ε.
-Ορισμός Υπεύθυνου Προστασίας Δεδομένων

Οι οργανισμοί θα πρέπει να θέσουν σαφείς πολιτικές και διαδικασίες, έτσι ώστε να διασφαλιστεί η ετοιμότητα χειρισμού και γνωστοποίησης προς την Εποπτική Αρχή, κάθε παραβίασης δεδομένων, εντός 72 ωρών από τη στιγμή που αποκτάται γνώση του γεγονότος.

Οι πρόνοιες ισχύουν και θα πρέπει να εφαρμόζονται από οποιαδήποτε τρίτα μέρη διαχειρίζονται πληροφορίες (για παράδειγμα πράκτορες), τα οποία διέπονται από τις ίδιες συμβατικές υποχρεώσεις αναφορικά με την προστασία των δεδομένων, με τον οργανισμό στον οποίο προσφέρουν υπηρεσίες.

Σε ένα συνεχώς μεταβαλλόμενο επιχειρηματικό περιβάλλον, η εφαρμογή του Κανονισμού θα πρέπει να θεωρηθεί ως μια ευκαιρία, ιδιαίτερα σε μια εποχή όπου τα προσωπικά δεδομένα είναι ένα από τα πιο σημαντικά στοιχεία στην κατοχή ενός οργανισμού. Η διαχείριση αυτών των δεδομένων απαιτεί μια προσεκτικά επιλεγμένη στρατηγική ως προς την αξιοπιστία χρήσης τους με την έγκαιρη λήψη συγκατάθεσης των ατόμων για τα οποία τηρούνται προσωπικά δεδομένα, αυξάνοντας έτσι την εμπιστοσύνη προς τους πολίτες. Άλλωστε, μια σωστή στρατηγική διαχείρισης απορρήτου μπορεί να προσφερθεί ως ανταγωνιστικό πλεονέκτημα.

Οι απαιτήσεις σχετικά με την προστασία προσωπικών δεδομένων και την ασφάλεια των πληροφοριών αυξάνονται σε παγκόσμιο επίπεδο, γεγονός που οδηγεί σε πολύπλοκες προδιαγραφές συμμόρφωσης. Είναι επομένως ζωτικής σημασίας για κάθε οργανισμό, να εντάξει εντός της κουλτούρας και του περιβάλλοντος που τον διέπουν τους απαραίτητους μηχανισμούς διαχείρισης προσωπικών δεδομένων, έτσι ώστε να είναι σε πλεονεκτική θέση να δύναται να ανταποκριθεί σε αυτές τις αυξανόμενες απαιτήσεις. Αυτό προϋποθέτει αλλαγές στην υποδομή, πέραν από την υιοθέτηση νέων δικλείδων ασφαλείας στις καθημερινές δραστηριότητες καθώς και την ανάγκη ισχυρών διαδικασιών εσωτερικής διακυβέρνησης.

Μαριλένα Ζάρκα, Principal, KPMG Limited, τηλ. 22209000, ηλεκτρ. διεύθ. [email protected]

SHARE
FETCHING MORE CONTENT