Τι είναι το GDPR και υποχρεώσεις που απορέουν;

Ο νέος Ευρωπαϊκός Κανονισμός Γενικής Προστασίας Δεδομένων (GDPR) ψηφίστηκε πρόσφατα από το Ευρωκοινοβούλιο.


Κάθε εταιρία που χειρίζεται προσωπικά δεδομένα τα οποία αφορούν σε άτομα εντός της Ευρωπαϊκής Ένωσης, θα είναι υποχρεωμένη να συμμορφωθεί πλήρως με τους νέους κανονισμούς EU General Data Protection Regulation, επανεξετάζοντας ή και αναθεωρώντας όλες τις διαδικασίες διαχείρισης των πληροφοριών της.


Ο Γενικός Κανονισμός Προστασίας Δεδομένων της ΕΕ έχει ως στόχο να διευρύνει την προστασία των δεδομένων στην εποχή των news letter και του cloud, εξασφαλίζοντας ότι η προστασία των δεδομένων αποτελεί θεμελιώδες βασικό δικαίωμα, το οποίο θα ρυθμίζεται με συνέπεια σε όλη την Ευρώπη. Κάθε εταιρεία που εξυπηρετεί ευρωπαίους πελάτες και συλλέγει τα δεδομένα τους, θα πρέπει να συμμορφώνονται με αυτή την οδηγία, ακόμη και αν η ίδια εδρεύει σε χώρα εκτός Ευρώπης.


Ο νέος κανονισμός εξουσιοδοτεί τις εκάστοτε Αρχές Προστασίας Προσωπικών Δεδομένων στην Ευρώπη, να επιβάλουν για σοβαρές παραβάσεις πρόστιμα σε ύψος έως και 4% του ετήσιου παγκόσμιου κύκλου εργασιών τους ή 20 εκατομμύρια ευρώ, ανάλογα πάντα με το ποιο είναι το μεγαλύτερο. Το μέγεθος των προστίμων που μπορεί να επιβληθούν εξασφαλίζει ουσιαστικά ότι το απόρρητο των δεδομένων θα αποτελεί πλέον ένα θέμα που θα συζητείται σε επίπεδο διοικητικού συμβουλίου, καθώς η μη συμμόρφωση με τον GDPR θα παρουσιάζει σημαντικό οικονομικό και επιχειρηματικό κίνδυνο.


Ο κανονισμός εχει εφαρμοστεί από το Μάιο του 2018, Οι επιχειρήσεις που ολοκληρώσαν το έργο αυτό επωφεληθηκαν από το γεγονός ότι έχουν υπό έλεγχο τα δεδομένα τους αλλά και πετυχαν ισχυρότερη διαχείριση δεδομένων που θα τους βοηθήσε να χρησιμοποιήσουν τους πόρους αποθήκευσής τους πιο αποτελεσματικά, κερδίζοντας πολύτιμες πληροφορίες για τα δεδομένα που αποθηκεύουν.


Ο νέος κανονισμός GDPR εισάγει νέες αρχές, όπως “το δικαίωμα να λησμονηθούν” καθώς και νέες υποχρεώσεις κοινοποίησης. Ως εκ τούτου, σε ορισμένες περιπτώσεις, μια εταιρεία πρέπει να διαγράφει εντελώς τα δεδομένα προσωπικού χαρακτήρα μέσα σε ένα ορισμένο χρονικό διάστημα, αν ένας χρήστης το απαιτήσει. Επιπλέον, τα άτομα που πλήττονται από την παραβίαση προσωπικών δεδομένων πρέπει να ειδοποιούνται χωρίς καθυστέρηση, εάν κάποιο από τα προσωπικά τους στοιχεία έχει διαρρεύσει σε λάθος χέρια, καθώς και για το ότι η διαρροή αυτή μπορεί να αποτελεί απειλή για τα δικαιώματα και τις ελευθερίες τους.


Δυστυχώς, οι περισσότερες εταιρείες δεν αντιλαμβάνονται πλήρως τη σύνθεση περίπου των μισών από τα δεδομένα που αποθηκεύουν. Σύμφωνα με την πρόσφατη έρευνα Global Databerg Report, το 52% όλων των πληροφοριών που αποθηκεύονται και επεξεργάζονται από οργανισμούς σε όλο τον κόσμο, χαρακτηρίζονται ως “σκοτεινά” δεδομένα, των οποίων το προφίλ είναι άγνωστο. Η έλλειψη ορατότητας σε αυτά, καθιστά δύσκολη την αναζήτηση από τους οργανισμούς, ώστε να βρίσκουν άμεσα τα σωστά δεδομένα.


Οι επιχειρήσεις, προκειμένου να μετριάσουν τους κινδύνους, θα πρέπει να κατανοήσουν καλύτερα τα δεδομένα τους, συμπεριλαμβανομένων του σημαντικού ποσοστού των “dark data” που είναι διασκορπισμένα σε αποθηκευτικά μέσα, τόσο στις ίδιες τις εγκαταστάσεις της επιχείρησης, όσο και σε υποδομές cloud.


Οι εταιρείες πρέπει να κατανοήσουν ποιος θα έχει εξουσιοδότηση πρόσβασης σε προσωπικά δεδομένα στο σύστημα αρχείων τους. Αυτό είναι δύσκολο, με δεδομένο ότι τα περιβάλλοντα αποθήκευσης είναι εξαιρετικά κατακερματισμένα που αποτελούνται από file servers, cloud based υπηρεσίες, διάφορες τερματικές συσκευές, αντίγραφα ασφαλείας και αρχειοθετημένα αρχεία.


Αυτόματη κατηγοριοποίηση δεδομένων – Σύμφωνα με τον νέο GDPR, θα είναι απαραίτητο να γνωρίζουν οι επιχειρήσεις πού αποθηκεύονται τα προσωπικά δεδομένα, ειδικά σε μη δομημένες μορφές όπως για παράδειγμα αρχεία κειμένων, παρουσιάσεις και υπολογιστικά φύλλα. Αυτό είναι ζωτικής σημασίας τόσο για την προστασία των ιδίων των δεδομένων, όσο και για την παρακολούθηση σχετικών αιτημάτων που αφορούν στη διόρθωση και διαγραφή των δεδομένων προσωπικού χαρακτήρα


Η open web & more πιστή στους ευρωπαικούς κανονισμούς εχει ηδη ενημερώσει μέσω προσωπικών μηνυμάτων τους χρήστες για τους οποίους έχει καταχωρημένα δεδομένα καθώς και τα προσωπικά στοιχεία που έχει στη βάση της. Επιπρόσθετα παρέχει με μοναδικό και με κρυπτογραφημένο λογισμικό τη δυνατότητα να παρακολουθεί ο παραλήπτης τα στοιχεία που είναι αποθηκευμένα μέσα στην βάση της παρέχοντας πλήρη προσβαση για μεταβολή ή διαγραφή τους απο τον ίδιο τον χρήστη.