GDPR: Τι πρέπει να γνωρίζετε (IΙ)

Σε συνέχεια του 1ου μας αρθρου ( GDPR: Τι πρέπει να γνωρίζετε (Ι) ) συνεχίζουμε την επίλυση αποριων σχετικά με τον κανονισμό GPDR
 
Τα πρόστιμα θα είναι μεγαλύτερα λόγω του GDPR;
Ενώ η απάντηση των αρχών σε μία παραβίαση δεδομένων μπορεί να διαφέρει μεταξύ των χωρών, γενικά θα περιμέναμε να δούμε όλο και μεγαλύτερα πρόστιμα για παραβιάσεις δεδομένων στο πλαίσιο του GDPR.
Οι νέοι κανόνες δίνουν στις αρχές τη δυνατότητα να επιβάλλουν πρόστιμα ύψους έως και 4% των συνολικών εσόδων μιας εταιρίας (σε επίπεδο ομίλου όχι μόνο του ενιαίου νομικού προσώπου) και προσωπική ευθύνη μέχρι 20 εκατομμύρια ευρώ, ποσό πολύ υψηλότερο από τα τρέχοντα ανώτατα πρόστιμα των 500.000 λιρών (707.300 δολάρια) στο Ηνωμένο Βασίλειο και 300.000 ευρώ (710.000 δολάρια) στη Γερμανία.
 
Πώς θα εφαρμοστεί ο GDPR;
Οι αρχές σε μεμονωμένες χώρες της ΕΕ θα είναι υπεύθυνες για την επιβολή του GDPR σε κάθε κράτος μέλος, πράγμα που σημαίνει ότι ορισμένες χώρες θα μπορούσαν να υιοθετήσουν μια πιο επιθετική στάση από άλλες, για παράδειγμα όταν πρόκειται για πρόστιμα.
Επιπλέον, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων θα μεσολαβεί σε ενδεχόμενες διαφορές μεταξύ των εθνικών αρχών και θα εκδώσει κατευθυντήριες γραμμές σχετικά με τα υπό αμφισβήτηση πορίσματα με περισσότερο ή λιγότερο δεσμευτικό αποτέλεσμα. Τα υποκείμενα των δεδομένων, οι εταιρίες ή οι ρυθμιστικές αρχές μπορούν να ζητήσουν την τελική απόφαση σε θέματα διαφορών με το Ευρωπαϊκό Δικαστήριο.
 
Πόσο έτοιμες είναι οι επιχειρήσεις;
Εξαρτάται από την επιχείρηση και το μέγεθος της. Ορισμένες χώρες της ΕΕ και ορισμένοι τομείς - όπως οι τηλεπικοινωνίες και τα χρηματοπιστωτικά ιδρύματα - υπόκεινται ήδη σε πιο αυστηρή νομοθεσία για όσο αφορά την προστασία των δεδομένων. Γενικότερα, οι περισσότερες εταιρίες βρίσκονται στο στάδιο της συμμόρφωσης. Πολλές εταιρίες δεν διαθέτουν ακόμη τα συστήματα και τις διαδικασίες που χρειάζονται για να χειριστούν την απαίτηση των υποκειμένων για διαγραφή των δεδομένων τους. Άλλες εταιρίες δεν είναι δεν μπορούν να επιβεβαιώσουν ότι τα παλιά δεδομένα που διαθέτουν είναι συμβατά με τη νομοθεσία.
Εάν μια εταιρία αντιληφθεί ότι δεν θα έχει συμμορφωθεί μέχρι τον Μάιο του 2018, θα πρέπει να απευθυνθεί στις αρχές και να προχωρήσει σε διάλογο εκ των προτέρων, αντί να κρύψει το γεγονός και να ελπίζει ότι δεν θα συμβεί τίποτα. Ο GDPR δεν καθορίζει καμία περίοδο χάριτος, έτσι ώστε κάθε περίπτωση να αξιολογείται μεμονωμένα από την αντίστοιχη αρχή.
 
Πώς μπορούν οι επιχειρήσεις να προετοιμαστούν καλύτερα για τον GDPR;
Πρέπει να κατανοήσουν με σαφήνεια τα προσωπικά δεδομένα που επεξεργάζονται: πόσα, ποιες πληροφορίες, πού αποθηκεύονται και με ποιους μοιράζονται. Εάν η εταιρία διαπιστώσει ότι η δραστηριότητά της επεξεργασίας δεδομένων θα δημιουργούσε «υψηλό κίνδυνο» στις απαιτήσεις του GDPR και των «δικαιωμάτων και ελευθεριών» των ατόμων, θα πρέπει να διεξάγει και να τεκμηριώνει μια λεπτομερή αξιολόγηση των επιπτώσεων στην ιδιωτική ζωή, έχοντας κατά νου ότι είναι η έδρα του υποκειμένου των δεδομένων, και όχι η εταιρία, που γενικά καθορίζει ποιος εμπίπτει στο πεδίο εφαρμογής του GDPR.
Τα Paradise Papers, δηλαδή η αποκάλυψη εμπιστευτικών ηλεκτρονικών εγγράφων που συνδέονται με offshore εταιρίες και άτομα που εδρεύουν σε φορολογικούς παραδείσους, θα καλύπτονταν από τον GDPR.
 
Πώς μπορούν οι επιχειρήσεις να μετριάσουν τους κινδύνους παραβίασης;
Η καλή προετοιμασία για την αποφυγή παραβίασης των δεδομένων θα συμβάλει στη μείωση του κινδύνου δυσφήμισης η διακοπής εργασιών. Η εμπειρία του παρελθόντος έδειξε ότι ο τρόπος με τον οποίο ένας οργανισμός διαχειρίζεται μια παραβίαση έχει άμεσο αντίκτυπο στο κόστος, και αυτό εξετάζεται περισσότερο στον GDPR.
Οι αρχές είναι πιο πιθανό να "τιμωρήσουν" εταιρίες που δεν είναι καλά προετοιμασμένες και δεν αντιμετωπίζουν παραβιάσεις σύμφωνα με τις βέλτιστες πρακτικές.
 
Τι ρόλο διαδραματίζει η διαχείριση κινδύνου κατά την προετοιμασία του GDPR;
Έχει χρειαστεί χρόνος για να συνειδητοποιήσουν οι εταιρίες την έκταση της έκθεσης, αλλά τώρα βλέπουμε ότι η διαχείριση κινδύνου εμπλέκεται έντονα στα σχέδια των οργανισμών όσο αφορά τον GDPR. Ωστόσο, η διαχείριση κινδύνου πρέπει να διατηρεί την ιδιωτικότητα των δεδομένων στην agenda των κινδύνων ακόμη και μετά την ολοκλήρωση των έργων "ετοιμότητας". Ο GDPR απαιτεί επίσης την "ιδιωτικότητα από το σχεδιασμό" και την "ιδιωτικότητα από προεπιλογή" για την ενθάρρυνση της προστασίας των δεδομένων από το αρχικό στάδιο οποιουδήποτε σχεδίου ή πρωτοβουλίας.
Ένας ισχυρός έλεγχος απορρήτου στην αρχή κάθε σχεδίου ή νέας διαδικασίας θα αποτελέσει υποχρεωτική εσωτερική απαίτηση. Δεδομένου ότι ο GDPR δεν είναι μια εφάπαξ υλοποίηση, θα απαιτηθεί μια συνεχής προσέγγιση κινδύνου.
 
Πώς μπορεί η ασφάλιση να βοηθήσει στην προετοιμασία ή στη συμμόρφωση με τον GDPR;
Η ασφάλιση του κυβερνοχώρου (cyber insurance) μπορεί να σας βοηθήσει με τη συμμόρφωση. Οι ασφαλίσεις, για παράδειγμα, συχνά περιλαμβάνουν συμβουλευτικές υπηρεσίες και υπηρεσίες σχεδιασμού περιστατικών, καθώς και υπηρεσίες αντιμετώπισης παραβίασης.
Εάν μια εταιρία υποστεί παραβίαση, θα χρειαστεί τη βοήθεια εμπειρογνωμόνων, όπως ειδικών δικηγόρων, ειδικών σε θέματα πληροφορικής και συμβούλων διαχείρισης κρίσεων. Η ασφάλιση παρέχει άμεση πρόσβαση σε αυτούς τους εμπειρογνώμονες και βοηθάει ώστε να αποδειχθεί στις αρχές ότι η εταιρία έχει λάβει άμεσα και κατάλληλα μέτρα για να μειώσει τον αντίκτυπο της παραβίασης των δεδομένων, αλλά και στην τήρηση των κανονιστικών απαιτήσεων και προθεσμιών.
 
Ο GDPR θα συμβάλλει στη βελτίωση της ασφάλειας του κυβερνοχώρου και θα οδηγήσει στη ζήτηση ασφάλισης cyber insurance;
Ένα κοινό ρητό είναι ότι "μπορείτε να έχετε ασφάλεια χωρίς ιδιωτικότητα, αλλά δεν μπορείτε να έχετε ιδιωτικότητα χωρίς ασφάλεια". Εάν οι εταιρίες προσεγγίσουν τις απαιτήσεις του GDPR με τη δέουσα επιμέλεια, υποχρεούνται να αυξήσουν την ασφάλεια στον κυβερνοχώρο, βελτιώνοντας τη διαδικασία, αυξάνοντας την ευαισθητοποίηση και συχνά αυξάνοντας τον προϋπολογισμό ασφαλείας, προκειμένου να εφαρμόσουν πρόσθετα μέτρα ασφαλείας.
 
Ο GDPR αναμένεται να υποστηρίξει την υιοθέτηση της ασφάλισης cyber insurance, αλλά σε τελική ανάλυση αυτό θα εξαρτηθεί από τις μεμονωμένες εταιρίες που θα πρέπει να αποφασίσουν πώς θα κατανείμουν καλύτερα τους προϋπολογισμούς διαχείρισης κινδύνων και ασφαλείας.