Σε συναγερμό η αγορά για τα προσωπικά δεδομένα

Αντίστροφα μετρά πλέον ο χρόνος για τη «μεγάλη μέρα», την 25η Μαΐου, τη μέρα έναρξης σε ισχύ της εφαρμογής του νέου κανονιστικού πλαισίου της Ευρωπαϊκής Επιτροπής για την προστασία δεδομένων..

Αντίστροφα μετρά πλέον ο χρόνος για τη «μεγάλη μέρα», την 25η Μαΐου, τη μέρα έναρξης σε ισχύ της εφαρμογής του νέου κανονιστικού πλαισίου της Ευρωπαϊκής Επιτροπής για την προστασία δεδομένων (General Data Protection Regulation) που συνοπτικά αναφέρεται με το ακρωνύμιο GDPR.

Είναι γεγονός ότι τους τελευταίους μήνες ένας σημαντικός αριθμός επιχειρήσεων που δρουν στην ελληνική επικράτεια ενημερώθηκε για τα νέα δεδομένα και τις αλλαγές που προκύπτουν και σε αυτό ένα μικρό μερίδιο συμβολής αντιστοιχεί και του Security Report που διοργάνωσε πρόσφατα το 2ο συνέδριο Athens Electronix, όπου βασικό ζήτημα στη θεματολογία του ήταν και ο νέος κανονισμός GDPR και οι αλλαγές που επιφέρει ειδικότερα στον τομέα των συστημάτων ασφαλείας και σε όσους διαχειρίζονται δεδομένα που προκύπτουν από τα διάφορα συστήματα, όπως κάμερες ασφαλείας, κλειστά κυκλώματα κ.ά.  

Αλλά από την άλλη η πλειοψηφία των επιχειρήσεων «τρέχει» να προλάβει τους χρόνους συμμόρφωσης με τους νέους κανόνες, λόγω και των βαρύτατων κυρώσεων που επισείει η παράβασή τους, καθώς ανέρχονται έως και 20 εκατ. ευρώ ή έως το 4% του συνολικού ετήσιου κύκλου εργασιών τους. Επί της ουσίας η πλειοψηφία των επιχειρηματιών δεν γνωρίζει τι εστί ο κανονισμός, πόσο μάλλον να έχουν προετοιμαστεί για το νέο θεσμικό πλαίσιο. Πόσοι επί παραδείγματι γνωρίζουν ότι δεν θα μπορούν να προσθέτουν νέες διευθύνσεις στις λίστες ηλεκτρονικού ταχυδρομείου τους ή να στέλνουν μη στοχευμένες επικοινωνίες σε όλους τους εγγεγραμμένους χρήστες τους;

Ο κανονισμός δίνει ιδιαίτερη σημασία στο θέμα της συγκατάθεσης, καθώς υποχρεώνει τις εταιρείες να καθαρίσουν από δεδομένα που διατηρούν, ενώ δεν θα έπρεπε. Συνεπώς, όλες οι επιχειρήσεις θα έπρεπε ήδη να έχουν κάνει μια  «χαρτογράφηση» των ροών προσωπικών δεδομένων και μεταξύ άλλων να έχουν  διερευνήσει πώς αποκτήθηκαν, για ποιο σκοπό αποκτήθηκαν, ποιος έχει πρόσβαση σε αυτά, ποια τεχνικά και οργανωτικά μέτρα έχουν ληφθεί για την προστασία τους, να έχουν εντοπίσει υφιστάμενα κενά, να έχουν προχωρήσει στην υιοθέτηση των αναγκαίων τεχνικών και οργανωτικών μέτρων για την ασφάλεια των δεδομένων, να έχουν διορίσει υπεύθυνο προστασίας δεδομένων.

Οι επιχειρήσεις πλέον καλούνται να ασχοληθούν και επίσημα με την προετοιμασία των συστημάτων στα οποία τηρούν προσωπικά δεδομένα φυσικών προσώπων (πελατών, υπαλλήλων ή τρίτων). Αυτό θα πρέπει να γίνει αφενός μέσω της συμμόρφωσής τους με τις υποχρεώσεις που θέτει ο κανονισμός, μέχρι τις 25.05.2018, και αφετέρου, μετά τις 25.05.2018, παρακολουθώντας τακτικά την συμμόρφωσή τους και διασφαλίζοντας ότι κάθε επεξεργασία προσωπικών δεδομένων στην οποία προβαίνουν, διενεργείται σύμφωνα με τον Κανονισμό. Πρακτικά αυτό σημαίνει ότι οι επιχειρήσεις θα πρέπει, μεταξύ άλλων: να γνωστοποιούν στα φυσικά πρόσωπα ποιοί είναι όταν ζητούν τα προσωπικά δεδομένα τους, καθώς και τον λόγο που τα ζητούν (τι θα τα κάνουν), να ενημερώνουν τα φυσικά πρόσωπα για πόσο καιρό θα φυλάξουν τα προσωπικά δεδομένα τους και ποιός θα τα λαμβάνει κ.ά. Αξίζει πάντως να σημειωθεί ότι αρκετές καθυστερήσεις στην συμμόρφωση παρουσιάζονται όχι μόνο στη χώρα μας, αλλά και σε επιχειρήσεις άλλων ευρωπαϊκών χωρών, χωρίς βέβαια αυτό να συνηγορεί σε «χαλάρωση» απέναντι στις απαιτήσεις του νέου κανονισμού.