Μετά από τέσσερα χρόνια προετοιμασίας το Ευρωκοινοβούλιο ενέκρινε τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ) με ημερομηνία εφαρμογής την 25η Μαΐου 2018.

Η προστασία της ιδιωτικής ζωής γίνεται όλο και πιο σημαντική, ακόμα περισσότερο στη σημερινή ψηφιακή εποχή. «Οι ψηφιακοί εγκληματίες μπορούν να διαπράξουν κάθε είδους δόλιες δραστηριότητες με τα προσωπικά δεδομένα που είναι σε θέση να τα κλέψουν. Oταν τα προσωπικά στοιχεία μοιράζονται σε εταιρείες, οργανισμούς, αυτοί έχουν νόμιμο καθήκον να τα κρατήσουν ιδιωτικά και ασφαλή.

Σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων, οι καταναλωτές έχουν το δικαίωμα να γνωρίζουν ποιες πληροφορίες διαθέτουν οι εταιρείες σχετικά με αυτούς και πώς τις χρησιμοποιούν. Οι επιχειρήσεις θα έχουν έναν μήνα για να ενημερώσουν το άτομο, στην περίπτωση που αυτό ζητήσει να τις δει. Αν ένας καταναλωτής θέλει μια εταιρεία να διαγράψει τα δεδομένα του, μπορεί απλώς να το ζητήσει.

Αν αποφασίσετε να ακολουθήσετε αυτή τη γραμμή, ο οργανισμός θα πρέπει να διαγράψει τα δεδομένα σας, εκτός αν ο οργανισμός χρησιμοποιεί αυτά τα δεδομένα προκειμένου να εκτελέσει σύμβαση που έχετε συνάψει, τις νομικές του υποχρεώσεις και να προστατεύσει ζωτικής σημασίας συμφέροντά σας» εξηγεί μιλώντας στο «Βήμα» ο γενικός μάναντζερ της Kaspersky Lab για την Ανατολική Ευρώπη κ. Zoran Puskovic.

Η άγνοια

Σύμφωνα με τα στατιστικά στοιχεία της Kaspersky Lab, που προέκυψαν από 804 διαδικτυακές απαντήσεις εργαζομένων σε επιχειρήσεις, στο εργαλείο αξιολόγησης του Γενικού Κανονισμού Προστασίας Δεδομένων της Kaspersky Lab μεταξύ Ιανουαρίου και Φεβρουαρίου 2018, φαίνεται ότι αρκετοί εργαζόμενοι επιχειρήσεων που «κρατούν» προσωπικά δεδομένα δεν γνώριζαν ούτε πού φυλάσσονται τα προσωπικά δεδομένα για τα οποία είναι υπεύθυνοι.

Συγκεκριμένα, το 68% των ομάδων μάρκετινγκ και επικοινωνίας δεν έχει αναθεωρήσει τις υπάρχουσες ειδοποιήσεις και πολιτικές προστασίας προσωπικών δεδομένων για να διασφαλίσει ότι θα εκπληρώσει τις νέες υποχρεώσεις σχετικά με τον Κανονισμό.

Μόλις οι μισές (52%) ομάδες μάρκετινγκ και επικοινωνίας γνωρίζουν ότι χρειάζονται συγκατάθεση για την επεξεργασία των προσωπικών στοιχείων παιδιών ηλικίας κάτω των 13 ετών και το 1/4 των οργανισμών (24%) δεν μπορεί να εντοπίσει πού φυλάσσονται προσωπικά δεδομένα για τα οποία είναι υπεύθυνοι (όπως τα αρχεία προσωπικού, τα δεδομένα πελατών και τα αρχεία προμηθευτών).

Την ίδια ώρα το 54% των οργανισμών θα μπορούσε να δείξει πώς και από πού προέρχονται τα προσωπικά δεδομένα για τα οποία είναι υπεύθυνοι, ενώ μόνο 2 στους 5 οργανισμούς (44%) θα μπορούσαν να παράσχουν λεπτομέρειες σχετικά με τον τρόπο με τον οποίο έχουν μοιραστεί προσωπικά δεδομένα, εφόσον του ζητηθεί.

Η παραβίαση

Λιγότεροι από τους μισούς (43%) οργανισμούς πιστεύουν ότι θα μπορούσαν να αναφέρουν παραβίαση δεδομένων εντός 72 ωρών από την ανίχνευση, το 68% των οργανισμών δηλώνουν ότι δεν κρυπτογραφούν προς το παρόν προσωπικά δεδομένα και το 29% των οργανισμών δηλώνουν ότι δεν διαθέτουν ενημερωμένη ασφάλεια για τα τερματικά σημεία.

«Σε περίπτωση παραβίασης της ασφάλειας, θα πρέπει να το αναφέρετε στην εποπτική αρχή εντός 72 ωρών, εκτός εάν η παραβίαση προσωπικών δεδομένων είναι απίθανο να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Αν η παραβίαση ασφαλείας ενδέχεται να θέσει σε σοβαρό κίνδυνο την ιδιωτικότητα των ατόμων, τότε αυτά τα άτομα θα πρέπει επίσης να ενημερώνονται για την παραβίαση. Κατά πάσα πιθανότητα, οι καταναλωτές θα δουν περισσότερες ειδοποιήσεις παραβίασης κατά την εφαρμογή του κανονισμού και οι ελεγκτές Δεδομένων ίσως χρειαστεί να παραδεχθούν δημόσια παραβιάσεις» σημειώνει ο κ. Puskovic.

Ωστόσο, όπως υπογραμμίζει, «η συμμόρφωση δεν είναι υποχρέωση της μιας φοράς, κάτι που απλώς επιτυγχάνεται. Οι επιχειρήσεις θα πρέπει να αξιολογούν και να προσαρμόζονται τακτικά. Η συμμόρφωση δεν έγκειται μόνο στην παρακολούθηση του τι προστάζει ο νόμος, αλλά και στην υιοθέτηση μιας πρακτικής μεθόδου διασφάλισης της ασφάλειας των δεδομένων».

Τα πρόστιμα

Τα πρόστιμα για την παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων ή για την παραβίαση που «ενδέχεται να έχει ως αποτέλεσμα υψηλό κίνδυνο παραβίασης των δικαιωμάτων και των ελευθεριών των ατόμων» είναι σημαντικά. Σε όσους δεν εκπληρώσουν την προθεσμία αναφοράς των 72 ωρών ενδέχεται να επιβληθούν πρόστιμα ύψους μέχρι 2% των ετήσιων παγκόσμιων εσόδων τους ή 10 εκατ. ευρώ, όποιο είναι υψηλότερο.

Ωστόσο, για τη μη τήρηση των βασικών αρχών επεξεργασίας δεδομένων, όπως η συναίνεση, η παραβίαση των δικαιωμάτων των ατόμων σε σχέση με τα δεδομένα τους ή τη μεταφορά δεδομένων σε άλλη χώρα, μπορεί να επιβληθεί σε μια εταιρεία πρόστιμο της τάξης των 20 εκατ. ευρώ ή 4% του παγκόσμιου κύκλου εργασιών, όποιο είναι μεγαλύτερο. «Οι κυρώσεις θα μπορούσαν επίσης να επεκταθούν περαιτέρω, δεδομένου ότι τα πρόστιμα θα είναι γνωστά στο κοινό και η φήμη των μη συμμορφούμενων οργανισμών θα μπορούσε επίσης να επηρεαστεί, οδηγώντας ενδεχομένως σε πρόσθετες οικονομικές ζημίες, όπως καταγγελθείσες συμβάσεις, χαμένοι πελάτες και μειωμένη ανταγωνιστικότητα» καταλήγει ο κ. Puskovic.