Πώς να αντιμετωπίσετε το GDPR σαν ευκαιρία

    Από: Startup Team

και τι σημαίνει αυτό για τους επαγγελματίες της Πληροφορικής

Από τον Παναγιώτη Δρούκα, CISA, IS Auditor, ISACA Athens Chapter President

Γενική καθαριότητα

Κάποιοι από εσάς σίγουρα θα πραγματοποιείτε κάθε χρόνο “γενική καθαριότητα” πριν από την άνοιξη ή τον χειμώνα, ακολουθώντας μια παράδοση που δεν είναι μόνο ελληνική (στη βόρεια Ευρώπη και Αμερική την έχουν βαφτίσει spring cleaning). Η συνήθεια αυτή αποτελεί μιας πρώτης τάξεως ευκαιρία να πετάξουμε όση σαβούρα έχει μαζευτεί και να βάλουμε σε μία τάξη τα πράγματα που μας είναι πραγματικά απαραίτητα. Από την άλλη μεριά βέβαια, δεν σας υποχρεώνει κανείς να ξεσκαρτάρετε και να τακτοποιήσετε τα υπάρχοντά σας. Μπορείτε αν θέλετε να στοιβάξετε όση παλιατζούρα χωράει στο σπίτι σας.

Πού το έχω και γιατί το έχω;

Όταν έρθει η ώρα της γενικής καθαριότητας, συνήθως αναρωτιόμαστε μπροστά σε κάποιο άλμπουμ με φωτογραφίες ή κάποιο ρούχο: ποιανού είναι αυτό; γιατί το κρατάω ακόμα; τι μου χρειάζεται και που αλλού μπορώ να το χρησιμοποιήσω;

 

Το ίδιο πάνω-κάτω πρόβλημα αντιμετωπίζουμε και με τα προσωπικά δεδομένα που τηρούμε στις εταιρείες μας. Στοιβάζουμε διαρκώς νέες πληροφορίες σχετικά με πελάτες, υπαλλήλους και συνεργάτες προκειμένου να εκτελέσουμε μια παραγγελία, να πληρώσουμε ένα τιμολόγιο ή να διαχειριστούμε μια σύμβαση χωρίς ποτέ να μπούμε στον κόπο να αναρωτηθούμε γιατί τις  κρατάω ακόμα; τι μου χρειάζονται και που αλλού μπορώ να τις χρησιμοποιήσω; Πολλές φορές μάλιστα διαφορετικές μονάδες της ίδιας εταιρείας συλλέγουν πληροφορίες για το ίδιο φυσικό πρόσωπο για διαφορετικούς σκοπούς (π.χ. παραγγελιοληψίας, τιμολόγησης, πληρωμής, κ.α.), με αποτέλεσμα να μην γνωρίζουμε σε πόσες μεριές τηρούνται τα στοιχεία του προμηθευτή ή του πελάτη.

Αν αναγνωρίζετε ότι και η δικιά σας εταιρεία ταιριάζει σε αυτή την περιγραφή δεν είσαστε ο μόνος. Καμία ελληνική εταιρεία που πασχίζει να κρατηθεί ζωντανή εν μέσω ύφεσης δεν είχε την πολυτέλεια να ασχοληθεί με τέτοια ερωτήματα, πόσο μάλλον με μια “γενική καθαριότητα” σε επίπεδο προσωπικών δεδομένων. Είναι κοινό μυστικό για πολλά στελέχη ότι σε κάποια στιγμή έστειλαν το αρχείο μισθοδοσίας στο προσωπικό τους λογαριασμό ηλεκτρονικού ταχυδρομείου για να το δουλέψουν στο σπίτι, ή κάποια άλλη στιγμή αποθήκευσαν το πελατολόγιο σε ένα USB stick προκειμένου να ολοκληρώσουν εκκρεμότητες που δεν πρόλαβαν στο γραφείο.

Τι μας περιμένει;

Ωστόσο, θα πρέπει σύντομα να αλλάξουμε συμπεριφορά και στάση απέναντι στη διαχείριση προσωπικών δεδομένων καθώς από 25 Μαΐου 2018 μπαίνει σε εφαρμογή ο Γενικός Κανονισμός για την Προστασία Δεδομένων (Κανονισμός ΕΕ 2016/679 ή GDPR), ο οποίος μας υποχρεώνει θέλοντας και μη να βάλουμε μια τάξη, να χαρτογραφήσουμε ποια δεδομένα αφορούν ποιο φυσικό πρόσωπο και να υλοποιήσουμε κατάλληλα μέτρα προστασίας. Το κείμενο του κανονισμού προβλέπει μεταξύ άλλων ότι:

  • Η επεξεργασία προσωπικών δεδομένων θα πρέπει να είναι σύννομη και για την επεξεργασία αυτή θα πρέπει να έχουμε λάβει προηγουμένως σχετική συγκατάθεση.
  • Τα φυσικά πρόσωπα για τα οποία τηρούμε προσωπικά δεδομένα είναι δυνατόν να  ζητήσουν ενημέρωση για τα δεδομένα που τηρούμε για λογαριασμό τους, διορθώσεις εάν υπάρχουν τυχόν λάθη ή ακόμα και την πλήρη διαγραφή τους εάν δεν συντρέχει πλέον λόγος τήρησής τους.
  • Πρέπει να διασφαλίζεται το απόρρητο, η ακεραιότητα και η διαθεσιμότητα προσωπικών δεδομένων μέσω της εφαρμογής κατάλληλων τεχνικών και οργανωτικών μέτρων.
  • Την γνωστοποίηση τυχόν διαρροής προσωπικών δεδομένων στην αρμόδια εποπτική αρχή εντός 72 ωρών από τη στιγμή του εντοπισμού της.
  • Την επιβολή διοικητικών προστίμων ύψους μέχρι €20 εκ. ή το 4% του ετήσιου τζίρου της εταιρείας εάν αυτός είναι μεγαλύτερος.

Και τώρα τι κάνω και τί σημαίνει αυτό για τους επαγγελματίες της Πληροφορικής;

Τι επιπτώσεις έχει η εφαρμογή του GDPR για τους επαγγελματίες πληροφορικής, ασφάλειας πληροφοριών, διαχείρισης κινδύνων καθώς και τους εσωτερικούς ελεγκτές;

Πως αξιολογούνται οι υφιστάμενοι μηχανισμοί ασφαλείας υπό το πρίσμα του νέου κανονισμού GDPR;

Ποια είναι τα μέτρα ασφαλείας που θα πρέπει να αναλάβουν οι πάροχοι ψηφιακών υπηρεσιών προκειμένου να προστατεύσουν τα προσωπικά στοιχεία υπαλλήλων, πελατών και πολιτών που έχουν στη διάθεσή τους;

Ποια διαθέσιμα εργαλεία υπάρχουν;

Τι πρέπει να περιλαμβάνει και πώς οργανώνεται ένα Πρόγραμμα Προστασίας της Ιδιωτικότητας (Data Privacy Program);

Πώς εφαρμόζουν σήμερα το GDPR οι πλέον ώριμοι σε IT security & Data Privacy οργανισμοί του εξωτερικού;

Θα μπορούσε κανείς να προσθέτει επιπλέον ερωτήματα εάν λάβει επιπλέον υπόψη ότι οι τεχνολογικές εξελίξεις στα αντικείμενα cloud computing, big data analytics και internet of things παρέχουν πρακτικά απεριόριστες δυνατότητες συλλογής, συσχέτισης και επεξεργασίας προσωπικών δεδομένων.

Όπως συμβαίνει με κάθε αλλαγή τέτοιου μεγέθους, μπορείτε να αντιδράσετε με πολλούς τρόπους. Ο ελληνικός τρόπος συνδυάζει την άρνηση της πραγματικότητας (π.χ. δεν πρόκειται να εφαρμοστεί στην Ελλάδα, δεν μας αφορά, δεν πρόκειται να διαρρεύσουν προσωπικά δεδομένα), με τη μετάθεση των απαραίτητων ενεργειών από τη μεριά μας στο απώτερο μέλλον.

Σε όλο τον υπόλοιπο κόσμο πάντως δουλεύουν ήδη πάνω στην υλοποίηση προγραμμάτων προστασίας της ιδιωτικότητας (data privacy protection program), με σκοπό όχι μόνο τη συμμόρφωση με τον εν λόγω κανονισμό, αλλά την καλύτερη και αποτελεσματικότερη οργάνωση της πληροφορίας καθώς και την αποτελεσματική αντιμετώπιση αδυναμιών που χρονίζουν.

Εάν λοιπόν θέλετε και εσείς να κάνετε μια “γενική καθαριότητα” στα προσωπικά δεδομένα και δεν ξέρετε από πού να αρχίσετε, δεν έχετε παρά να ανατρέξετε σε βέλτιστες πρακτικές που έχουν ήδη εφαρμοσθεί από τους περισσότερο προνοητικούς και οργανωμένους φορείς/οργανισμούς/επιχειρήσεις και κατευθύνσεις που ήδη έχουν διερευνηθεί και τεκμηριωθεί από διεθνείς φορείς εξειδικευμένους σε θέματα ηλεκτρονικής διακυβέρνησης και συμμόρφωσης.

Ο διεθνής οργανισμός ISACA International, ηγέτης στη διαμόρφωση προτύπων, και επαγγελματικών πιστοποιήσεων στο χώρο της Ηλεκτρονικής Διακυβέρνησης και της Ασφάλειας/Ελέγχου Πληροφορικών συστημάτων, έχει ήδη στο ενεργητικό του, μέσω του ειδικού Task Force, 3 εργαλεία τα οποία προέρχονται από εμπειρία σε τέτοιου είδους διαδικασιών μιας μεγάλης ομάδας επαγγελματιών από την διεθνή αγορά:

  • ISACA Privacy Principles & Program Management Guide
  • Implementing a Privacy Protection Program: Using COBIT 5 Enablers With the ISACA Privacy Principles,
  • GDPR Data Protection Impact Assessments & the Assessment Tool

Στο πλαίσιο των εκπαιδευτικών δραστηριοτήτων του ISACA Athens Chapter (Ινστιτούτο Ελέγχου Συστημάτων Πληροφορικής) διοργανώνεται με την συνεργασία της Ελληνοαμερικανικής Ένωσης, 2ήμερο εκπαιδευτικό εργαστήριο για το GDPR σε σχέση με τη διαμόρφωση ενός Προγράμματος Διασφάλισης της Ιδιωτικότητας (Data Privacy Program), στις 23-24/5.

Πρόκειται για σεμινάριο που επκεντρώνει στην εφαρμογή του GDPR σε ΙΤ συστήματα και διαδικασίες με χρήση παραδειγμάτων από αντίστοιχα έργα του εξωτερικού, με βάση τα 3 παραπάνω εργαλεία του ISACA, και με πρακτική εξάσκηση σε DPIA με χρήση open source εργαλείου που χρησιμοποιεί η Αρχή Προστασίας Δεδομένων της Γαλλίας.  Εισηγητής είναι ο κ. Yves Le Roux, CISM, CISSP, σύμβουλος με περισσότερα από 30 χρόνια εμπειρίας σε θέματα Security και Data Privacy regulation & legislation, Chair του ISACA Data Privacy Task Force και του EAC GDPR Task Force.

Δείτε περισσότερα εδώ. Πληροφορίες/εγγραφές: Ελληνοαμερικανική Ένωση: 210-3680907, training@hau.gr