Στις 25 Μαΐου 2018, ο πολυαναμενόμενος Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) θα εφαρμοστεί σε ολόκληρη την ΕΕ, αποτελώντας την πιο δραστική ή νομοθετική προσπάθεια για την προστασία των δεδομένων στην ψηφιακή εποχή.

Στην τελευταία έκδοση του Global Risk Dialogue, οι ειδικοί της Allianz Global Corporate & Special (AGCS) για θέματα του κυβερνοχώρου Christopher Rau, Jens Krickhahn και Marek Stanislawski παρουσιάζουν τις απόψεις τους για το τι μπορούν να αναμένουν οι επιχειρήσεις...

Τι είναι ο GDPR;

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) είναι ένα σύνολο κανόνων και απαιτήσεων που αποσκοπούν στην προστασία των προσωπικών δεδομένων που έχουν στη διάθεσή τους οι επιχειρήσεις και άλλοι οργανισμοί. Επί του παρόντος, οι νόμοι για την προστασία των δεδομένων διαφέρουν ανάλογα με τη χώρα, αλλά το GDPR θα εναρμονίσει τους κανόνες προστασίας της ιδιωτικής ζωής και στις 28 χώρες της ΕΕ.

Οι νέοι κανόνες ενισχύουν το ρόλο και τις εξουσίες των αρχών προστασίας δεδομένων, αναγνωρίζουν πρόσθετα δικαιώματα στα πρόσωπα στα οποία αναφέρονται τα δεδομένα (κατά κύριο λόγο, σε κάθε άτομο), ενισχύουν τα ενδεχόμενα πρόστιμα και κυρώσεις και καθορίζουν πρόσθετες απαιτήσεις για τις οργανώσεις προστασίας προσωπικών δεδομένων. Αυτές οι απαιτήσεις περιλαμβάνουν, μεταξύ άλλων, την εφαρμογή ορισμένων πολιτικών και διαδικασιών, την ανάπτυξη ενός αποτελεσματικού εσωτερικού συστήματος διαχείρισης για την προστασία των δεδομένων και τον διορισμό υπεύθυνου προστασίας δεδομένων.

Γιατί είναι απαραίτητος ο GDPR;

Η επεξεργασία και η προστασία των προσωπικών δεδομένων αποτελεί ένα καυτό θέμα τα τελευταία χρόνια καθώς όλο και περισσότερα προσωπικά δεδομένα βρίσκονται υπό επεξεργασία λόγω της ψηφιοποίησης, μέσω των διαδικτυακών αγορών, των ψηφιακών εφαρμογών, των μέσων κοινωνικής δικτύωσης, ακόμα και μέσω μιας συνηθισμένης επίσκεψης στο γιατρό.

Ως απάντηση στις προκλήσεις του 21ου αιώνα που προέκυψαν από τις νέες τεχνολογίες, τα νέα επιχειρηματικά μοντέλα και τους νέους κινδύνους στον κυβερνοχώρο, οι Ευρωπαίοι νομοθέτες αποφάσισαν να επικαιροποιήσουν και να εναρμονίσουν τους ευρωπαϊκούς νόμους για την προστασία των δεδομένων αντικαθιστώντας την υφιστάμενη κατευθυντήρια γραμμή από το 1995 με την GDPR.

Πού εφαρμόζεται ο GDPR;

Γενικά, ο GDPR προστατεύει τις προσωπικά αναγνωρίσιμες πληροφορίες των ατόμων με μόνιμη κατοικία στην ΕΕ, αλλά έχει επίσης και νομική αναφορά στις χώρες του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ). Βασικά, μόνο οι πληροφορίες για τα φυσικά πρόσωπα εμπίπτουν στο πεδίο εφαρμογής ενώ τα εταιρικά δεδομένα είναι εκτός πεδίου.

Κάθε εταιρία που ελέγχει προσωπικά δεδομένα ή επεξεργάζεται προσωπικά δεδομένα από μόνη της ή για λογαριασμό άλλης εταιρίας πρέπει να συμμορφώνεται με τον GDPR, ακόμη και αν η εταιρία έχει την έδρα της εκτός της ΕΕ. Ο GDPR δεν συνδέεται με διαβατήρια της ΕΕ και δεν ισχύει για υπηκόους της ΕΕ με μόνιμη κατοικία εκτός της ΕΕ.

Οι μικρομεσαίες επιχειρήσεις καλύπτονται από τον GDPR;

Οι μικρομεσαίες επιχειρήσεις (ΜΜΕ) υπόκεινται επίσης στον GDPR. Ο GDPR μπορεί να προσφέρει κάποια ευελιξία στις μικρότερες επιχειρήσεις, αλλά γενικά δεν δίνει ιδιαίτερη προσοχή στο μέγεθος μιας επιχείρησης.

Εισάγει ο GDPR νέες απαιτήσεις;

Πολλές απαιτήσεις του GDPR για την προστασία των προσωπικών δεδομένων υφίστανται ήδη βάσει των εθνικών νόμων, αλλά ο GDPR θέτει νέο τόνο και βελτιώνει τις αρχές για την επεξεργασία των προσωπικών δεδομένων, την υποχρέωση λογοδοσίας και τις υποχρεώσεις των νομικών προσώπων, τις αιτήσεις πρόσβασης των υποκειμένων των δεδομένων και τη ρυθμιστική εξουσία επίβλεψης.

Ο GDPR είναι περισσότερο μια εξέλιξη των υφιστάμενων νόμων της ΕΕ για την προστασία των δεδομένων παρά μια επανάσταση.

Πώς αυξάνει ο GDPR τον κίνδυνο για τις επιχειρήσεις;

Εκτός από το εκτεταμένο εξωεδαφικό πεδίο εφαρμογής, ο GDPR αυξάνει επίσης σημαντικά τη δυνατότητα υψηλότερων προστίμων και κυρώσεων σε μη συμμορφούμενες εταιρίες. Περιέχει έναν κατάλογο διαφορετικών παραβιάσεων με μέγιστα όρια. Οι επιχειρήσεις θα πρέπει να κατανοούν την έκθεσή τους σε κινδύνους ενώ η διαχείριση της προστασίας των δεδομένων τους θα βρίσκεται στο επίκεντρο.

Η προστασία των δεδομένων θα αποτελέσει τον κύριο κίνδυνο για τις επιχειρήσεις, λαμβάνοντας ιδίως υπόψη τους δυνητικούς κινδύνους δυσφήμισης που αντιμετωπίζουν ως συνέπεια των παραβιάσεων των δεδομένων ή της κακής διαχείρισης των δεδομένων προσωπικού χαρακτήρα.

Ποιες πτυχές του GDPR θα είναι οι πιο δύσκολες;

Υπάρχουν πολλά ζητήματα από οργανωτική και τεχνική άποψη. Επιπλέον, το χρονοδιάγραμμα για την εφαρμογή είναι πολύ φιλόδοξο και δύσκολο να επιτευχθεί, ιδίως επειδή πολλές απαιτήσεις δεν θα καθοριστούν επαρκώς από τον ίδιο τον GDPR ή από τις αρχές έως το Μάιο του 2018.

Η πιο σημαντική και πολύπλοκη νέα αλλαγή είναι το δικαίωμα του υποκειμένου των δεδομένων να μπορεί "να λησμονηθεί", σύμφωνα με το οποίο μπορεί να ζητήσει από μια εταιρία να διαγράψει τα προσωπικά του δεδομένα. Οι εταιρίες θα πρέπει να θέσουν σε εφαρμογή διαδικασίες για να εντοπίσουν τα δεδομένα και να συμμορφωθούν με αυτά τα αιτήματα, αν και μπορεί να μην είναι απλή η διαγραφή ενός μόνο αρχείου δεδομένων που μπορεί να έχει αντιγραφεί σε πολλές βάσεις δεδομένων, να συγκεντρωθεί ή να μοιραστεί με ένα τρίτο μέρος.

Πόσο σημαντική είναι η απαίτηση κοινοποίησης παραβίασης δεδομένων;

Μια άλλη σημαντική πρόκληση της συμμόρφωσης με τον GDPR είναι η νέα απαίτηση να κοινοποιείται στις αρχές η ύπαρξη παραβίασης των δεδομένων εντός 72 ωρών από την εμφάνισή τους. Αυτό έχει επιπτώσεις στη διαχείριση των κινδύνων.

Οι εταιρίες θα πρέπει να θέσουν σε εφαρμογή κατάλληλες διαδικασίες και συστήματα για να εντοπίσουν τα δεδομένα που επηρεάζονται και να βελτιώσουν την εσωτερική συνεργασία πριν ενημερώσουν τον ρυθμιστή. Οι διαδοχικές παραβιάσεις θα οδηγήσουν σε μεγαλύτερες κυρώσεις και αυστηρότερη κανονιστική παρακολούθηση.

Τα πρόστιμα θα είναι μεγαλύτερα λόγω του GDPR;

Ενώ η απάντηση των αρχών σε μία παραβίαση δεδομένων μπορεί να διαφέρει μεταξύ των χωρών, γενικά θα περιμέναμε να δούμε όλο και μεγαλύτερα πρόστιμα για παραβιάσεις δεδομένων στο πλαίσιο του GDPR.

Οι νέοι κανόνες δίνουν στις αρχές τη δυνατότητα να επιβάλλουν πρόστιμα ύψους έως και 4% των συνολικών εσόδων μιας εταιρίας (σε επίπεδο ομίλου όχι μόνο του ενιαίου νομικού προσώπου) και προσωπική ευθύνη μέχρι 20 εκατομμύρια ευρώ, ποσό πολύ υψηλότερο από τα τρέχοντα ανώτατα πρόστιμα των 500.000 λιρών (707.300 δολάρια) στο Ηνωμένο Βασίλειο και 300.000 ευρώ (710.000 δολάρια) στη Γερμανία.

Πώς θα εφαρμοστεί ο GDPR;

Οι αρχές σε μεμονωμένες χώρες της ΕΕ θα είναι υπεύθυνες για την επιβολή του GDPR σε κάθε κράτος μέλος, πράγμα που σημαίνει ότι ορισμένες χώρες θα μπορούσαν να υιοθετήσουν μια πιο επιθετική στάση από άλλες, για παράδειγμα όταν πρόκειται για πρόστιμα.

Επιπλέον, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα μεσολαβεί σε ενδεχόμενες διαφορές μεταξύ των εθνικών αρχών και θα εκδώσει κατευθυντήριες γραμμές σχετικά με τα υπό αμφισβήτηση πορίσματα με περισσότερο ή λιγότερο δεσμευτικό αποτέλεσμα. Τα υποκείμενα των δεδομένων, οι εταιρίες ή οι ρυθμιστικές αρχές μπορούν να ζητήσουν την τελική απόφαση σε θέματα διαφορών με το Ευρωπαϊκό Δικαστήριο.

Πόσο έτοιμες είναι οι επιχειρήσεις;

Εξαρτάται από την επιχείρηση και το μέγεθος της. Ορισμένες χώρες της ΕΕ και ορισμένοι τομείς - όπως οι τηλεπικοινωνίες και τα χρηματοπιστωτικά ιδρύματα - υπόκεινται ήδη σε πιο αυστηρή νομοθεσία για όσο αφορά την προστασία των δεδομένων. Γενικότερα, οι περισσότερες εταιρίες βρίσκονται στο στάδιο της συμμόρφωσης. Πολλές εταιρίες δεν διαθέτουν ακόμη τα συστήματα και τις διαδικασίες που χρειάζονται για να χειριστούν την απαίτηση των υποκειμένων για διαγραφή των δεδομένων τους. Άλλες εταιρίες δεν είναι δεν μπορούν να επιβεβαιώσουν ότι τα παλιά δεδομένα που διαθέτουν είναι συμβατά με τη νομοθεσία.

Εάν μια εταιρία αντιληφθεί ότι δεν θα έχει συμμορφωθεί μέχρι τον Μάιο του 2018, θα πρέπει να απευθυνθεί στις αρχές και να προχωρήσει σε διάλογο εκ των προτέρων, αντί να κρύψει το γεγονός και να ελπίζει ότι δεν θα συμβεί τίποτα. Ο GDPR δεν καθορίζει καμία περίοδο χάριτος, έτσι ώστε κάθε περίπτωση να αξιολογείται μεμονωμένα από την αντίστοιχη αρχή.

Πώς μπορούν οι επιχειρήσεις να προετοιμαστούν καλύτερα για τον GDPR;

Πρέπει να κατανοήσουν με σαφήνεια τα προσωπικά δεδομένα που επεξεργάζονται: πόσα, ποιες πληροφορίες, πού αποθηκεύονται και με ποιους μοιράζονται. Εάν η εταιρία διαπιστώσει ότι η δραστηριότητά της επεξεργασίας δεδομένων θα δημιουργούσε «υψηλό κίνδυνο» στις απαιτήσεις του GDPR και των «δικαιωμάτων και ελευθεριών» των ατόμων, θα πρέπει να διεξάγει και να τεκμηριώνει μια λεπτομερή αξιολόγηση των επιπτώσεων στην ιδιωτική ζωή, έχοντας κατά νου ότι είναι η έδρα του υποκειμένου των δεδομένων, και όχι η εταιρία, που γενικά καθορίζει ποιος εμπίπτει στο πεδίο εφαρμογής του GDPR.

Τα Paradise Papers, δηλαδή η αποκάλυψη εμπιστευτικών ηλεκτρονικών εγγράφων που συνδέονται με offshore εταιρίες και άτομα που εδρεύουν σε φορολογικούς παραδείσους, θα καλύπτονταν από τον GDPR.

Πώς μπορούν οι επιχειρήσεις να μετριάσουν τους κινδύνους παραβίασης;

Η καλή προετοιμασία για την αποφυγή παραβίασης των δεδομένων θα συμβάλει στη μείωση του κινδύνου δυσφήμισης η διακοπής εργασιών. Η εμπειρία του παρελθόντος έδειξε ότι ο τρόπος με τον οποίο ένας οργανισμός διαχειρίζεται μια παραβίαση έχει άμεσο αντίκτυπο στο κόστος, και αυτό εξετάζεται περισσότερο στον GDPR.

Οι αρχές είναι πιο πιθανό να "τιμωρήσουν" εταιρίες που δεν είναι καλά προετοιμασμένες και δεν αντιμετωπίζουν παραβιάσεις σύμφωνα με τις βέλτιστες πρακτικές.

Τι ρόλο διαδραματίζει η διαχείριση κινδύνου κατά την προετοιμασία του GDPR;

Έχει χρειαστεί χρόνος για να συνειδητοποιήσουν οι εταιρίες την έκταση της έκθεσης, αλλά τώρα βλέπουμε ότι η διαχείριση κινδύνου εμπλέκεται έντονα στα σχέδια των οργανισμών όσο αφορά τον GDPR. Ωστόσο, η διαχείριση κινδύνου πρέπει να διατηρεί την ιδιωτικότητα των δεδομένων στην agenda των κινδύνων ακόμη και μετά την ολοκλήρωση των έργων "ετοιμότητας". Ο GDPR απαιτεί επίσης την "ιδιωτικότητα από το σχεδιασμό" και την "ιδιωτικότητα από προεπιλογή" για την ενθάρρυνση της προστασίας των δεδομένων από το αρχικό στάδιο οποιουδήποτε σχεδίου ή πρωτοβουλίας.

Ένας ισχυρός έλεγχος απορρήτου στην αρχή κάθε σχεδίου ή νέας διαδικασίας θα αποτελέσει υποχρεωτική εσωτερική απαίτηση. Δεδομένου ότι ο GDPR δεν είναι μια εφάπαξ υλοποίηση, θα απαιτηθεί μια συνεχής προσέγγιση κινδύνου.

Πώς μπορεί η ασφάλιση να βοηθήσει στην προετοιμασία ή στη συμμόρφωση με τον GDPR;

Η ασφάλιση του κυβερνοχώρου (cyber insurance) μπορεί να σας βοηθήσει με τη συμμόρφωση. Οι ασφαλίσεις, για παράδειγμα, συχνά περιλαμβάνουν συμβουλευτικές υπηρεσίες και υπηρεσίες σχεδιασμού περιστατικών, καθώς και υπηρεσίες αντιμετώπισης παραβίασης.

Εάν μια εταιρία υποστεί παραβίαση, θα χρειαστεί τη βοήθεια εμπειρογνωμόνων, όπως ειδικών δικηγόρων, ειδικών σε θέματα πληροφορικής και συμβούλων διαχείρισης κρίσεων. Η ασφάλιση παρέχει άμεση πρόσβαση σε αυτούς τους εμπειρογνώμονες και βοηθάει ώστε να αποδειχθεί στις αρχές ότι η εταιρία έχει λάβει άμεσα και κατάλληλα μέτρα για να μειώσει τον αντίκτυπο της παραβίασης των δεδομένων, αλλά και στην τήρηση των κανονιστικών απαιτήσεων και προθεσμιών.

Ο GDPR θα συμβάλλει στη βελτίωση της ασφάλειας του κυβερνοχώρου και θα οδηγήσει στη ζήτηση ασφάλισης cyber insurance;

Ένα κοινό ρητό είναι ότι "μπορείτε να έχετε ασφάλεια χωρίς ιδιωτικότητα, αλλά δεν μπορείτε να έχετε ιδιωτικότητα χωρίς ασφάλεια". Εάν οι εταιρίες προσεγγίσουν τις απαιτήσεις του GDPR με τη δέουσα επιμέλεια, υποχρεούνται να αυξήσουν την ασφάλεια στον κυβερνοχώρο, βελτιώνοντας τη διαδικασία, αυξάνοντας την ευαισθητοποίηση και συχνά αυξάνοντας τον προϋπολογισμό ασφαλείας, προκειμένου να εφαρμόσουν πρόσθετα μέτρα ασφαλείας.

Ο GDPR αναμένεται να υποστηρίξει την υιοθέτηση της ασφάλισης cyber insurance, αλλά σε τελική ανάλυση αυτό θα εξαρτηθεί από τις μεμονωμένες εταιρίες που θα πρέπει να αποφασίσουν πώς θα κατανείμουν καλύτερα τους προϋπολογισμούς διαχείρισης κινδύνων και ασφαλείας.

Πηγή: allianz.com