Με τον GDPR να είναι σε ισχύ από τον Μάιο του 2018 και το σχέδιο νόμου του υπουργείου Δικαιοσύνης για την εφαρμογή του Γενικού Κανονισμού για την Προστασία Προσωπικών Δικαιωμάτων στη χώρα μας να είναι 10 μήνες μετά τον Κανονισμό προ των πυλών, η ανεξάρτητη αρχή εντοπίζει – σε αυτεπάγγελτους ελέγχους αλλά και περιστατικά που διερευνά μετά από καταγγελίες – «κενά» στη συμμόρφωση.
της Βίκυς Γερασίμου
Οι εταιρείες που συλλέγουν και διαχειρίζονται δεδομένα σε όλους τους επιχειρηματικούς κλάδους πλέον εστιάζουν στο πώς θα ενσωματώσουν σε όλο το φάσμα των δραστηριοτήτων τους τον Κανονισμό, στη συνεχή εκπαίδευση προσωπικού και συνεργατών αλλά και στο πώς θα διασφαλίσουν τα συστήματά τους από εσωτερικά λάθη και επιθέσεις crackers. Σύμφωνα με στοιχεία Ιανουαρίου 2019 τους πρώτους μήνες της εφαρμογής στις αρμόδιες ευρωπαϊκές αρχές έχουν καταγραφεί 95.000 καταγγελίες, ενώ στην Ελλάδα μέσα στους πρώτους 6 μήνες η αρχή εντόπισε 66 περιστατικά παραβίασης δεδομένων.
«Ένας εκ των βασικών στόχων του GDPR είναι να δώσει στους πολίτες μεγαλύτερο έλεγχο σε μία βασική πηγή της σύγχρονης οικονομίας, τα δεδομένα τους. Μπορούμε να επιτύχουμε το στόχο αυτό μόνο εάν οι άνθρωποι αποκτήσουν πλήρη επίγνωση των δικαιωμάτων τους και των συνεπειών των αποφάσεων τους» (κοινή δήλωση Timmermans Αντιπροέδρου της Ευρωπαϊκής Επιτροπής, Επιτρόπων Jourová & Gabriel). Και σε αυτό το επίπεδο θα δούμε σε όλη την Ευρώπη αλλά και στην Ελλάδα να παίζουν τους επόμενους μήνες καταλυτικό ρόλο ανεξάρτητες αρχές, ενώσεις καταναλωτών και Μη Κυβερνητικές Οργανώσεις.
Οι περισσότερες καταγγελίες που έχουν γίνει στην Ελλάδα και την Ευρώπη αφορούν σε telemarketing, προωθητικά emails και παρακολούθηση ατόμων από κάμερες, ενώ το μεγαλύτερο πρόστιμο που μέχρι στιγμής έχει επιβληθεί είναι από τις γαλλικές αρχές στην Google και ανέρχεται στα 50 εκατομμύρια. Συνολικά 23 χώρες έχουν ενσωματώσει τον Κανονισμό στις εθνικές τους νομοθεσίες και αναμένεται το ίδιο να γίνει στη Βουλγαρία, την Πορτογαλία, την Τσεχία, τη Σλοβενία και την Ελλάδα. Στη χώρα μας σχέδιο νόμου για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα σε εφαρμογή του GDPR καταρτίζεται από νομοπαρασκευαστική επιτροπή και αναμένεται να κατατεθεί στη Βουλή.
Crash test από την Ανεξάρτητη Αρχή σε 65 ιστοσελίδες
Ήδη η Ανεξάρτητη Αρχή προχώρησε, αυτεπάγγελτα, στον έλεγχο συμμόρφωσης ιστοσελίδων 65 εταιρειών, ανάμεσα στις οποίες ήταν ασφαλιστικές εταιρείες, χρηματοπιστωτικά ιδρύματα, επιχειρήσεις που δραστηριοποιούνται στο ηλεκτρονικό εμπόριο, σε υπηρεσίες εισιτηρίων καθώς και δημόσιες υπηρεσίες. Η Αρχή έλεγξε τον τρόπο ικανοποίησης συγκεκριμένων απαιτήσεων στους τομείς της διαφάνειας, τη χρήση cookies, την αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων και την ασφάλεια των διαδικτυακών τόπων μέσω ενδεικτικών σημείων ελέγχου, αντιληπτών στον πολίτη κατά την πλοήγησή του στο διαδίκτυο και τη χρήση διαδικτυακών υπηρεσιών.
Προβλήματα εντοπίστηκαν κυρίως σε τρία σημεία:
α) έλλειψη συμμόρφωσης με τη νομοθεσία για τα cookies και τις συναφείς τεχνολογίες, στο σύνολο σχεδόν των υπευθύνων επεξεργασίας,
β) ύπαρξη ελλιπούς ενημέρωσης για τις πράξεις επεξεργασίας στοιχείων και τους αποδέκτες σε ποσοστό 40% των υπευθύνων και
γ) μεγάλη υστέρηση του Δημοσίου στη διαφάνεια.
Από την άλλη πλευρά τα θετικά σημεία που εντόπισε η Αρχή είναι ότι:
α)υπάρχει ικανοποιητική αναφορά στα δικαιώματα των υποκειμένων,
β) υπάρχει επαρκής βαθμός δημοσιοποίησης στοιχείων υπευθύνου προστασίας δεδομένων στον ιδιωτικό τομέα, σε ποσοστό άνω του 70% των υπευθύνων επεξεργασίας,
γ) καταγράφεται υψηλό ποσοστό, άνω του 80%, των υπευθύνων επεξεργασίας δεδομένων και
δ) παρατηρήθηκε ικανοποιητικό βασικό επίπεδο ασφάλειας,
ΑΠΔΠΧ: Τρεις συμβουλές προς τις εταιρείες
Τον Ιανουάριο η Ανεξάρτητη Αρχή με αφορμή τα 66 περιστατικά παραβιάσεων συστημάτων με προσωπικά δεδομένα συστήνει στους υπεύθυνους επεξεργασίας και εκτελούντες την επεξεργασία δεδομένων να εφιστήσουν την προσοχή τους στα εξής:
1) Ο ανθρώπινος παράγοντας αποτελεί βασική πηγή κινδύνων. Χαρακτηριστικά παραδείγματα αποτελούν: α) η αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου που περιέχουν δεδομένα προσωπικού χαρακτήρα σε λανθασμένο σύνολο αποδεκτών, και β) η εξαπάτηση χειριστών ηλεκτρονικών υπολογιστών από κακόβουλα μηνύματα που μπορεί να οδηγήσει σε εγκατάσταση κακόβουλου λογισμικού τύπου ransomware ή malware. Η Αρχή συστήνει την υλοποίηση δράσεων ευαισθητοποίησης των χρηστών για την κατανόηση και αντιμετώπιση των εν λόγω κινδύνων.
2) Σημαντικός αριθμός περιστατικών παραβίασης οφείλεται στο χρησιμοποιούμενο λογισμικό. Oι «υπεύθυνοι» και «εκτελούντες την επεξεργασία δεδομένων προσωπικού χαρακτήρα» οφείλουν να: α) ελέγχουν πλήρως κάθε νέα έκδοση λογισμικού πριν τη χρήση του και να διαθέτουν διαδικασία για την άμεση αντιμετώπιση προβλημάτων που θα ανακύψουν κατά την παραγωγική του λειτουργία, β) ελέγχουν τις ρυθμίσεις των διακομιστών διαδικτύου που χρησιμοποιούν ώστε να μην καθίστανται προσβάσιμες μη δημόσιες πληροφορίες, και γ) παρακολουθούν και επικαιροποιούν άμεσα το λογισμικό με κάθε νέα έκδοση ασφάλειας, όταν αυτή καταστεί διαθέσιμη.
3) Εμφανίστηκαν, επίσης, περιστατικά κλοπής ή απώλειας ηλεκτρονικών υπολογιστών και αποθηκευτικών μέσων. Για την εξασφάλιση των «υπευθύνων» και «εκτελούντων την επεξεργασία» η Αρχή συστήνει τη χρήση λογισμικού κρυπτογράφησης.
Πηγή: Ασφαλιστικό Marketing Φεβρουαρίου 2019
