GDPR, ALGOSYSTEMS και PRIORITY. It’s time to meet your GPDR Challenge!
Ο νέος κανονισμός για το GDPR δίνει τη δυνατότητα στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα να επιβάλλει εξαιρετικά μεγάλα πρόστιμα σε οργανισμούς που παραβαίνουν τον κανονισμό και για αυτό πρέπει γρήγορα οι επιχειρήσεις να κινηθούν ώστε να συμμορφωθούν.
Ο νέος ευρωπαϊκός κανονισμός 2016/697 για «την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (ΔΠΧ) και για την ελεύθερη κυκλοφορία των δεδομένων αυτών» (GDPR), ο οποίος θα τεθεί σε πλήρη εφαρμογή από τις 25 Μαΐου 2018, είναι ένα πολυσύνθετο νομικό κείμενο 88 σελίδων, 99 άρθρων και 173 αιτιολογικών σκέψεων, που ακουμπά σε μικρότερο ή μεγαλύτερο βαθμό όλες τις επιχειρήσεις και δημοσίους οργανισμούς σε Ευρωπαϊκή και ευρύτερη γεωγραφία. Ο κανονισμός διέπεται από την λογική «ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν», το όποιο σε ελεύθερη μετάφραση σημαίνει ότι τα ΔΠΧ δεν ανήκουν τελικά στις εταιρείες που τα συλλέγουν, αλλά τα δανείζονται αυτές από τα φυσικά πρόσωπα με τα οποία συναλλάσσονται για την εκτέλεση συγκεκριμένου σκοπού συναλλαγής ή συμβατικής υποχρέωσης.
Ο κανονισμός GDPR επηρεάζει λοιπόν εμφανώς (αν όχι προφανώς) τις περισσότερες δραστηριότητες πρακτικά όλων των επιχειρήσεων και στις τρεις βασικές τους διαστάσεις: α) νομική, β) οργανωτική και διεργασιακή και γ) τεχνολογική.
Α) Επηρεάζει στην νομική διάσταση διότι όλες οι επεξεργασίες ΔΠΧ του οργανισμού (είτε αφορούν πελάτες, είτε πελάτες πελατών, είτε υπαλλήλους, είτε υπεργολάβους, είτε προμηθευτές) πρέπει να ελεγχτούν και μετα-σχηματιστούν με βάση το νέο κανονισμό. Για παράδειγμα, πρέπει να αλλάξουν οι συμβάσεις με υπεργολάβους ενός οργανισμού στον βαθμό που αυτοί έρχονται σε επαφή με εταιρικά ΔΠΧ, ή επί παραδείγματι, κάτι δυσκολότερο, πρέπει όλες οι επεξεργασίες ΔΠΧ του οργανισμού να ελεγχτούν ως προς την κατ’ αρχήν νομιμότητά τους. Eδώ είναι χρήσιμο να προσθέσουμε ότι για το νέο κανονισμό, η «επεξεργασία» συμπεριλαμβάνει: συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμός, περιορισμός, διαγραφή ή καταστροφή.
Β) Επηρεάζει στην οργανωτική και διεργασιακή διάσταση, διότι πρέπει να ελεγχτούν και μετασχηματιστούν κατάλληλα όλες οι διαδικασίες εκείνες που αγγίζουν ΔΠΧ, ώστε για παράδειγμα να ακολουθούν πλέον την «αρχή της αναλογικότητας», η οποία προβλέπει ότι κάθε επεξεργασία ΔΠΧ δεν θα υπερβαίνει τα απαιτούμενα για την επίτευξη του στόχου για τον οποίο επιτελείται. Με άλλα λόγια, εάν είναι κατ’ αρχήν νομικά ορθό ο οργανισμός, στα πλαίσια μιας διεργασίας, να συλλέγει ΔΠΧ από π.χ. πελάτες του, τότε θα πρέπει τα δεδομένα αυτά, να είναι τα λιγότερα δυνατά, να τίθενται στη λιγότερη δυνατή επεξεργασία (με την ευρεία έννοια που εξηγήσαμε προηγούμενα), να έχουν πρόσβαση σε αυτά οι λιγότερο δυνατόν υπάλληλοι, να διακινούνται σε τρίτους το λιγότερο δυνατό, να διατηρούνται για το λιγότερο δυνατό χρονικό διάστημα, κλπ.
Γ) Επηρεάζει την τεχνολογική διάσταση και κυρίως στις τεχνολογίες πληροφορικής και επικοινωνιών, διότι είναι αυτές οι τεχνολογίες που εμπλέκονται στην μαζική επεξεργασία ΔΠΧ όταν αυτή συμβαίνει. Και αυτό, γιατί διαμέσου αυτών των τεχνολογιών διακινούνται τα ΔΠΧ εντός ή εκτός οργανισμού και συμβαίνουν τα περισσότερα data breaches αλλά και γιατί είναι οι τεχνολογίες αυτές που δύναται να βοηθήσουν ισχυρά έναν οργανισμό να μπορέσει να καλύψει τις νέες απαιτήσεις του κανονισμού. Απαιτήσεις όπως π.χ. η συγκατάθεση των φυσικών προσώπων, η σωστά οργανωμένη και πλήρη data security και data safety προσέγγιση συμπεριλαμβανομένου του business continuity, η έγκαιρη ενημέρωση της αρχής σε περιστατικά data breach, το αναλυτικό accountability, το αναγκαίο provability, κλπ. Επίσης, τα νέα δικαιώματα που δίνονται στα φυσικά πρόσωπα, όπως για παράδειγμα το δικαίωμα στη λήθη και το δικαίωμα στη φορητότητα, τα οποία δικαιώματα απαιτούν αναθεώρηση των τρεχόντων τεχνολογικών προσεγγίσεων των οργανισμών.
Ένα στοιχείο που είναι ενδιαφέρον, είναι ότι όσον αφορά στην Πληροφορική, πέρα από τις αλλαγές που πρέπει να υποστεί η τρέχουσα υποδομή ICT ενός οργανισμού σε επίπεδο δικτύων, βάσεων δεδομένων, στο τώρα αναγκαίο continuous monitoring & assessment, στο access control, στο device control, στα web sites κλπ, αυτή εμπλέκεται/βοηθάει και στην οργανωτική και διεργασιακή διάσταση στον επιτυχή μετα-σχηματισμό της υποδομής μιας εταιρίας και εντέλει στη έγκαιρη συμμόρφωσή της. Και αυτό, χάρη σε τεχνολογίες όπως π.χ. Data discovery, workflow control, Document Management, privacy protection, risk assessment and management, κλπ.
Η Algosystems είναι σε θέση να προσφέρει μαζί με την στρατηγικό συνεργάτη της, την εταιρεία συμβούλων PRIORITY, ολοκληρωμένη προσέγγιση στις GDPR ανάγκες των πελατών της. Η Algosystems μπορεί με πληρότητα, τεχνογνωσία και ευελιξία να καλύψει την «Τεχνολογική διάσταση» τόσο στο privacy protection, στο ICT security και data safety, στο security monitoring και στο disaster recovery όπως ήδη πράττει για τους πελάτες της εδώ και χρόνια. Παράλληλα, η PRIORITY, ως ένας από τους πιο πετυχημένους business consultants της Ελληνικής αγοράς, μπορεί να καλύψει με ακρίβεια, αποτελεσματικότητα και αξιοπιστία τη «Νομική», και «Οργανωτική-διεργασιακή διάσταση» του κανονισμού, κάτι που έχει ολοκληρώσει με επιτυχία σε πολλαπλά έργα GDPR, μέχρι και σήμερα.
Οι δύο εταιρείες προσφέρουν αυτό ακριβώς που οι πελάτες τους χρειάζονται για να προσεγγίσουν το GDPR με επιτυχία: πληρότητα, αξιοπιστία, λογική προσέγγιση στα πλαίσια του εφικτού, ελάχιστη κατά το δυνατό διαταραχή στη τρέχουσα επιχειρησιακή δραστηριότητά τους, και εντέλει, προσφορά γνώσης και υπηρεσίας υψηλής προστιθέμενης αξίας επικεντρωμένης στην επίτευξη του στόχου για το οποίο έχουν κληθεί-τη συμμόρφωση του πελάτη τους με τον νέο κανονισμό GDPR!
