Δέκα τρόποι μη επιτυχίας συμμόρφωσης με τον GDPR

  • Δημοσιεύτηκε από: dgiannakis
gdpr

Μπορεί μια εταιρεία να επαληθεύσει την συμμόρφωση της με τον GDPR αν δεν γνωρίζει που είναι τα δεδομένα της;

Σίγουρα δεν είναι ευχάριστο για μια εταιρεία να πληρώσει πρόστιμο 4% επί των συνολικών της εσόδων. Όμως, αυτή είναι η πιο πιθανή ποινή σε περίπτωση που έχει γίνει παραβίαση κατά τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της Ε.Ε., ο οποίος τέθηκε σε εφαρμογή στις 25 Μαΐου 2018. Επίσης, το πιο πιθανό είναι ένας οργανισμός που δραστηριοποιείται σε παγκόσμια κλίμακα να έχει ενημερωθεί για το κατά πόσον υπόκειται σε συμμόρφωση στον GDPR, αν συναλλάσσεται με πελατειακό κοινό εντός της Ε.Ε. και παράλληλα συλλέγει, αποθηκεύει και επεξεργάζεται προσωπικά δεδομένα.

Η συμμόρφωση στον GDPR είναι μια πολύπλοκη διαδικασία. Μια βασική πρόκληση είναι η διαμόρφωση της αντίληψης ότι ο GDPR είναι ουσιαστικά ένας Κανονισμός και όχι ένας οδηγός ή εγχειρίδιο. Για παράδειγμα, θα απαιτούσε ιδιαίτερη προσπάθεια να εξηγηθεί πως και γιατί επιβάλλονται τα επιμέρους πρόστιμα, όσον αφορά την αποτυχία εντοπισμού και αναφοράς μιας παραβίασης δεδομένων, όμως όχι τόση προσπάθεια για να εξηγηθεί πως μπορεί να γίνει ο εντοπισμός μιας τέτοιας παραβίασης.

Αντί λοιπόν να δει κανείς τι θα μπορούσε να πάει λάθος σε επίπεδο αρχικού σχεδιασμού του GDPR, θα μπορούσε να εξετάσει πως μπορεί να αποφύγει το πρόστιμο του 4%.

 

Βασικοί Κανόνες του GDPR

Ο γενικός στόχος του GDPR είναι η προστασία του απορρήτου των πολιτών και πιο συγκεκριμένα οτιδήποτε μπορεί να χρησιμοποιηθεί για την άμεση ή έμμεση ταυτοποίηση ενός ατόμου (υποκείμενο των δεδομένων). Τέτοιου είδους δεδομένα μπορεί να είναι οτιδήποτε, όπως για παράδειγμα το όνομα, μια φωτογραφία, η διεύθυνση ηλεκτρονικού ταχυδρομείου, ο τραπεζικός λογαριασμός, πληροφορίες κοινωνικών δικτύων, ιατρικές πληροφορίες ή ακόμα και η IP διεύθυνση του Η/Υ. Σε αυτό το σημείο βέβαια να αναφερθεί ότι οι παραβιάσεις δεδομένων που θέτουν σε κίνδυνο τα υποκείμενα, πρέπει να γνωστοποιούνται στις αρχές εντός 72 ωρών, αλλά και στα προσβαλλόμενα υποκείμενα αμέσως μετά.

Μέρος του Κανονισμού, θέλει τα υποκείμενα να έχουν την δυνατότητα να δουν τα δεδομένα που μια επιχείρηση διατηρεί για αυτά, να μπορούν να τα διορθώσουν αν αυτό επιτρέπεται, ή ακόμα και να διαγράψουν, αν και πάλι κάτι τέτοιο είναι εφικτό (πχ. αν κάποιος χρωστάει χρήματα σε μια εταιρεία, δεν μπορεί να ζητήσει να γίνει διαγραφή αυτής της εγγραφής). Επιμέρους διαδικασίες που επιζητούν προσοχής ώστε μια εταιρεία ή οργανισμός να αποφύγει την αποτυχία συμμόρφωσης με τον GDPR είναι οι εξής:

  1. Οι πολιτικές απορρήτου και διατήρησης δεδομένων δεν συμμορφώνονται στον GDPR

Δεν απαιτείται συγκεκριμένη διατύπωση από τον GDPR, αλλά οι πολιτικές πρέπει να ανταποκρίνονται στους γενικούς στόχους του Κανονισμού, καθώς επίσης και στις απαιτήσεις οποιασδήποτε άλλης δικαιοδοσίας στην οποία η επιχείρηση ή ο οργανισμός δραστηριοποιείται (όπως στις ΗΠΑ).

  1. Οι πραγματικές πρακτικές δεν συμφωνούν με την πολιτική απορρήτου

Είναι εύκολο να δημιουργήσει κανείς μια πολιτική συμμόρφωσης απορρήτου, αλλά αρκετά δύσκολο να διασφαλίσει ότι η επιχείρηση έμπρακτα θα την υιοθετήσει και θα την εφαρμόζει στο διηνεκές.

  1. Οι υπεργολάβοι της εταιρείας δεν φέρουν εις πέρας τις GDPR ευθύνες τους

Έστω ότι τα δεδομένα πελατών του προηγούμενου παραδείγματος εντοπίζονται στην Φρανκφούρτη. Ακόμα, θα μπορούσε να υπάρχει σχέση υπεργολαβίας στο Σαν Φρανσίσκο, η οποία υπεργολάβος εταιρεία εκτελεί αναλύσεις δεδομένων για την αρχική εταιρεία, ή παραδίδει αναφορές πιστοληπτικής αξιοπιστίας ή χειρίζεται επεξεργασία εικόνας, κτλ.. Σε όλες αυτές τις διαδικασίες, μήπως τα δεδομένα των πελατών διαφεύγουν της Ε.Ε.; Αλλά ακόμα και αν παραμένουν εντός της Ε.Ε., είναι προστατευμένα με τρόπους που είναι συμμορφωμένοι με τον GDPR και άλλους παρεμφερείς κανονισμούς ή οδηγίες;

  1. Γίνεται χρήση της υπολογιστικής νέφους

Η μεθοδολογία της υπολογιστικής νέφους (cloud computing) κάθε κατηγορίας αποτελεί μια πρόκληση για την συμμόρφωση στον GDPR, ιδιαιτέρως για εταιρείες που επιχειρούν εντός και εκτός της Ε.Ε.. Θα μπορούσε ενδεχομένως μια εταιρεία να χρησιμοποιήσει ένα cloud-based CRM σύστημα για να αποθηκεύσει όλα τα δεδομένα των πελατών της; Επίσης, τι συμβαίνει στην περίπτωση που χρησιμοποιούνται εικονικές μηχανές (virtual machines) για την επεξεργασία δεδομένων στο cloud; Μήπως χρειάζονται παράλληλα συστήματα, το ένα εντός της Ε.Ε. και το άλλο εκτός;

  1. Πρέπει να υπάρχει μια και μοναδική τεκμηρίωση

Έστω ότι μια από τις βάσεις δεδομένων της εταιρείας δηλώνει πως ένας πελάτης διαμένει στην πόλη Α της Ισπανίας. Αλλά μια άλλη βάση δηλώνει πως διαμένει στην πόλη Β. Ποια από τις δύο δηλώσεις είναι η σωστή; Μήπως θα πρέπει να ελεγχθεί ο τρόπος με τον οποίο έχει γραφτεί το όνομα του πελάτη; Υπάρχει περίπτωση να έχουν αποθηκευτεί δύο διαφορετικά τηλέφωνα; Μήπως το ένα τηλέφωνο είναι σταθερό και το άλλο κινητό; Ή μήπως κάποιο εκ των τηλεφώνων δεν ισχύει πλέον;

  1. Δεν παρέχεται στους πελάτες κάποιος τρόπος να δουν τα δεδομένα τους

Υπό την ομπρέλα του GDPR, οι πελάτες έχουν το δικαίωμα να δουν τα δεδομένα τους, τα οποία άλλωστε έχουν συλλεχτεί για αυτούς. Όμως η εταιρεία θα πρέπει να αποφασίσει ποια από αυτά τα δεδομένα θα επιλέξει να δείξει. Ο GDPR δεν παρέχει σαφή καθοδήγηση επί τούτου. Επίσης, ο Κανονισμός ενέχει ασαφείς καθοδηγήσεις ως προς το πως θα επιλέξει η εταιρεία να παρουσιάσει αυτά τα δεδομένα (την μορφοποίηση τους). Από πλευράς συμμόρφωσης όμως η εταιρεία θα πρέπει να διασφαλίσει ότι σίγουρα πράττει το ελάχιστο δυνατό (αρχή της ελαχιστοποίησης).

  1. Δεν παρέχεται στους πελάτες κάποιος τρόπος να μεταβάλλουν ή να διαγράψουν τα δεδομένα τους

Το ανωτέρω ζήτημα προφανώς είναι ακόμα πιο περίπλοκο. Ποια από τα δεδομένα στο σύνολο τους θα επιλέξει η εταιρεία να δώσει δικαιώματα μεταβολής στους πελάτες της; Για παράδειγμα, θα πρέπει η εταιρεία να δώσει πρόσβαση στους πελάτες της να αλλάξουν το όνομα τους, αν αυτό έχει πρωτίστως χρησιμοποιηθεί για εκτέλεση συναλλαγής πίστωσης; Φυσικά αντιλαμβανόμαστε ότι θα πρέπει η εταιρεία να δίνει το δικαίωμα στους πελάτες της να μπορούν να διαγράψουν πληροφορίες τραπεζικών δεδομένων τους, όπως για παράδειγμα των απευθείας χρεώσεων του λογαριασμού τους. Όμως τι συμβαίνει σε περιπτώσεις περαιτέρω συναλλαγών, ή τι συμβαίνει σε επίπεδο πληροφορίας, όταν ο πελάτης συχνά επαναλαμβάνει αγορές, τις οποίες έπειτα επιστρέφει ή ακόμα και ισχυρίζεται ότι τα προϊόντα δεν έχουν παραδοθεί;

  1. Η εταιρεία δεν μπορεί πλέον να επαληθεύσει κάποιες από τις πληροφορίες ταυτοποίησης των πελατών της

Πώς μπορεί μια εταιρεία να γνωρίζει αν ένα άτομο που ζητά πρόσβαση σε συγκεκριμένες προσωπικές πληροφορίες ενός άλλου ατόμου Χ (έστω πρώην πελάτη) είναι το ίδιο το άτομο Χ; Κάτι τέτοιο θα ήταν περίπλοκο, ιδιαιτέρως αν το άτομο Χ δεν έχει πλέον πρόσβαση στην ίδια διεύθυνση ηλεκτρονικού ταχυδρομείου ή στον αριθμό κινητού τηλεφώνου. Προφανώς, ένα τέτοιο πρόβλημα θα πρέπει να το επιληφθεί η ίδια η εταιρεία. Όμως δεν είναι απαραίτητο η λύση σε ένα τέτοιο ζήτημα να είναι διαδικτυακής φύσεως. Πιθανώς σε τέτοιες σπάνιες περιπτώσεις, θα πρέπει η εταιρεία να επικοινωνήσει με το άτομο Χ και έπειτα να βρει έναν διαφορετικό τρόπο για να επαληθεύσει την εγκυρότητα της ταυτότητας του ατόμου.

  1. Η πύλη πληροφοριών του πελάτη παρουσιάζει στοιχεία παραβίασης

Έστω η εταιρεία του ανωτέρω παραδείγματος, η οποία έχει καταβάλλει σημαντική προσπάθεια να εξορθολογήσει και να τακτοποιήσει τα δεδομένα των πελατών της και αντιστοίχως να δημιουργήσει μια εύχρηστη πύλη, ώστε οι πελάτες της να μπορούν να αναζητούν τα δεδομένα τους ηλεκτρονικά. Παράλληλα όμως, έστω ότι ένας τρίτος εντοπίζει ένα κενό παραβίασης και καταφέρνει να υποκλέψει τα δεδομένα 10.000 πελατών της εταιρείας και να τα στείλει σε άλλες χώρες εκτός. Ένα πιθανό αποτέλεσμα θα είναι να δημοσιευθεί το γεγονός στις εφημερίδες, η τιμή της μετοχής της εταιρείας να κατρακυλήσει, αλλά και να επιβαρυνθεί με πρόστιμο της τάξης 4% επί του τζίρου της.

  1. Η εταιρεία δεν έχει τα κατάλληλα εργαλεία, τις διαδικασίες και τις λειτουργίες για την ανίχνευση παραβιάσεων στα δεδομένα της

Μέσα σε μία χρονική περίοδο 72 ωρών, η εταιρεία θα πρέπει να εντοπίσει τις επιμέρους παραβιάσεις που έχουν γίνει στα δεδομένα της. Επιπλέον η εταιρεία δεν έχει απλά 3 μέρες μόνο για να εντοπίσει αυτές τις παραβιάσεις, αλλά και για να τις αποκαλύψει στις σχετικές ρυθμιστικές αρχές (ΑΠΔΠΧ). Σε μια τέτοια περίπτωση, είναι αρκετές οι εταιρείες που συνήθως θα δαπανήσουν εβδομάδες ή και μήνες για κάτι τέτοιο. Φυσικά κάτι τέτοιο δεν είναι ούτε αποτελεσματικό, αλλά ούτε και εφικτό επί του συνόλου, το οποίο με την σειρά του δηλώνει ότι η εταιρεία θα πρέπει να δώσει περαιτέρω βαρύτητα τόσο σε εργαλεία ασφαλείας, όσο και σε επιμέρους διαδικασίες ελέγχου ασφαλής πρόσβασης, κρυπτογράφησης, δοκιμών λογισμικού, κτλ.

Ολοκληρώνοντας μπορούμε να πούμε πως αν πραγματικά υπάρχει ένα μακροπρόθεσμο όφελος μέσω της GDPR συμμόρφωσης, αυτό είναι το γεγονός ότι πιέζει τις επιχειρήσεις και τους οργανισμούς σε παγκόσμια κλίμακα να επιληφθούν, να αξιολογήσουν και να αντιμετωπίσουν με την δέουσα σοβαρότητα ζητήματα σχετικά με την ασφάλεια εν γένει και προπαντός με την προστασία των δεδομένων.

Σίγουρα σε βραχυπρόθεσμο επίπεδο ο καθορισμός πολιτικών απορρήτου, αποθήκευσης δεδομένων και όλων των ειδών ζητήματα ασφαλείας, θα αναμένεται να κοστίσουν αρκετά στην εταιρεία, όμως όχι μόνο είναι απαραίτητες διαδικασίες, τόσο σε εταιρικό όσο και σε επίπεδο Ε.Ε., αλλά παράλληλα τα αναμενόμενα οφέλη θα είναι μείζονος σημασίας κατά το πλαίσιο εταιρικής διακυβέρνησης και οργανωτικής κουλτούρας των εταιριών και οργανισμών.