Ταξίδι χωρίς τερματικό σταθμό ο Κανονισμός GDPR

της Σοφίας Μολίνου Information Security, BCM & Data Protection Officer του Ομίλου Interamerican

Ο δρόμος του GDPR ξεκίνησε στις 25 Μαΐου 2018 και μέχρι τώρα έχει αποδειχθεί ότι είναι ένα ταξίδι χωρίς τερματικό σταθμό το οποίο όμως παράλληλα έδωσε τη δυνατότητα στην Interamerican να επιδείξει την υπεροχή της έναντι των υπ ολοίπων. Η συμμόρφωση με τον GDPR επιβάλει την ενίσχυση των ήδη υφιστάμενων οργανωτικών και τεχνικών μέτρων αλλά και την υλοποίηση νέων όπου αυτό είναι απαραίτητο.

Αυτό απαιτεί ένα συνδυασμό νομικών και τεχνικών ενεργειών όπου με διαφάνεια και συνέπεια θα βοηθήσουν στην εφαρμογή και ρύθμιση εκείνων των αντίμετρων που θα παρέχουν προληπτική (proactive) αλλά και έγκαιρη αντιδραστική (reactive) προσέγγιση. Τα άρθρα 5, 6, 7 και 9 από τις βασικές αρχές που διέπουν την επεξεργασία των προσωπικών δεδομένων (όπως μεταξύ άλλων είναι ο περιορισμός του σκοπού, ελαχιστοποίηση των δεδομένων, ο περιορισμός της περιόδου αποθήκευσης, η λογοδοσία, προϋποθέσεις για συγκατάθεση, επεξεργασία ειδικής κατηγορίας δεδομένων προσωπικού χαρακτήρα) αποτέλεσαν τη μέγιστη πρόκληση για τον Οργανισμό μας και το έναυσμα για την έναρξη ενός μεγάλου έργου. Οι ενέργειες στις οποίες προβήκαμε ήταν πολλές είτε αυτό σημαίνει τροποποίηση των εφαρμογών και συστημάτων ή την τροποποίηση και διαμόρφωση εντύπων αλλά και ήδη υφιστάμενων διαδικασιών ώστ ε να προσαρμόσουμε ανάλογα τη συγκατάθεση (αλλά και ανάκληση) που πρέπει ο πελάτης να δίνει είτε για την εκτέλεση σύμβασης είτε για προωθητικές ενέργειες. Η ελαχιστοποίηση των δεδομένων αλλά και η περίοδος αποθήκευσης αυτών (σε έντυπη και ηλεκτρονική μορφή ) αποτέλεσε ένα κεφάλαιο ιδιαίτερα ενδιαφέρον το οποίο προαπαιτούσε τη συνεργασία πολλών επιχειρησιακών μονάδων στον Οργανισμό. Σε έναν ασφαλιστικό οργανισμό, υπάρχει καθημερινή επαφή με την πελατειακή βάση της επιχείρησης και μέσω μίας ποιοτικής εξυπηρέτ ησης των αναγκών του πελάτη χτίζεται και αναπτύσσεται μία σχέση εμπιστοσύνης μαζί τους.

Δώσαμε ιδιαίτερη έμφαση και στα άρθρα 32, 33, 34 προκειμένου να εδραιώσουμε ένα πλαίσιο με επαρκείς δικλείδες ασφαλείας καθότι στο χώρο τ ης ασφάλειας δεν μπορείς ποτέ να πεις ότι είσαι 100% προστατευμένος

Με τον ερχομό του GDPR η σχέση αυτή δοκιμάζεται, αρκεί ωστόσο να υπάρχουν καλά σχεδιασμένες και υλοποιημένες διαδικασίες. Για το λόγο αυτόν, τα δικαιώματα του υποκειμέ νου των δεδομένων (Άρθρα 12 – 23) αποτέλεσαν και αποτελούν για μας προτεραιότητα . Μέσα από τη σωστή διαχείριση άσκησης των δικαιωμάτων των υποκειμένων που παρέχει ο GDPR σε εκείνους, αναπτύσσεται και εδραιώνεται ακόμα περισσότερο η σχέση εμπιστοσύνης. Κι αυτ ό γιατί έχει έρθει πια η εποχή όπου ο πελάτης γνωρίζει τα δικαιώματά του και τα ασκεί! Η σχέση εμπιστοσύνης που αναπτύσσεται με τον πελάτη εξαρτάται από πολλούς παράγοντες και ένας από αυτούς ακόμη και πριν τον ερχομό του GDPR είναι η ειλικρίνεια απέναντί του. Αυτό γίνεται πλέον υποχρέωση κάθε οργανισμού και πράξη μέσα από τη συμμόρφωσή του με τον Κανονισμό. Ως εκ τούτου δώσαμε ιδιαίτερη έμφαση και στα άρθρα 32, 33, 34 προκειμένου να εδραιώσουμε ένα πλαίσιο με επαρκείς δικλείδες ασφαλείας καθότι στο χώρο τ ης ασφάλειας δεν μπορείς ποτέ να πεις ότι είσαι 100% προστατευμένος ούτε να πεις με σιγουριά ότι δεν θα έρθει ποτέ η στιγμή που μικρά ή μεγάλα, ακούσια ή εκούσια περιστατικά θα λάβουν χώρα.

Η εμπιστοσύνη του πελάτη και φυσικά η φήμη της εταιρείας σε αυτές τις περιπτώσεις θα είναι και αυτά που θα θιγούν . Πέρα από τα προαναφερόμενα, στην Interamerican πάντα δίναμε ιδιαίτερη έμφαση στην ενημέρωση όλου του προσωπικού για θέματα ασφάλειας. Η ανάγκη για δραστικά και αποτελεσματικά προγράμματα ενημέρωσης του προσω πικού είναι πλέον επιτακτική και είναι ένας τομέας που ενισχύσαμε αισθητά. Τα οργανωτικά και τεχνικά μέτρα που είναι υλοποιημένα σε έναν οργανισμό, όσο αποτελεσματικά και αν είναι, δεν επαρκούν εάν τα ίδια τα άτομα που διαχειρίζονται τα πελατειακά δεδομένα δεν έχουν μάθει να είναι σε επαγρύπνηση. Όπως είχε πει και o Αμερικανός κρυπτογράφος Bruce Schneier, « ο πιο αδύναμος κρίκος μέσα σε ένα σύστημα είναι ο ίδιος ο άνθρωπος» και αυτό γιατί τα περισσότερα περιστατικά παραβίασης προσωπικών δεδομένων οφείλονται στον ανθρώπινο παράγοντα.

Επιπλέον, η συνεχής εξέλιξη της τεχνολογίας δίνει πλέον τη δυνατότητα χρήσης πληθώρας εργαλείων και μεθόδων (διαθέσιμα στο ίντερνετ) με απώτερο σκοπό την υποκλοπή προσωπικών δεδομένων. Η θωράκιση του Οργανισμού από κινδύνους του κ υβερνοχώρου ήταν και παραμένει για μας νούμερο ένα προτεραιότητα. Αυτό προαπαιτεί τη διάθεση χρόνου και κεφαλαίου προκειμένου η υποδομή μας να αποτελεί έναν εύρωστο μηχανισμό έτοιμο να αντεπεξέλθει επαρκώς σε νέες προκλήσεις αλλά φυσικά και σε περιστατικά ασφαλείας. Καθοριστική σε όλα τα παραπάνω ήταν και είναι η συμβολή του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ) του οποίου η θέση καλύπτεται εσωτερικά και συνδυαστικά με το ρόλο του Υπεύθυνου Ασφάλειας Πληροφοριακών Συστημάτων. Σε ένα τόσο πολύπλοκο περιβάλλον όπως αυτό της Interamerican, οι προκλήσεις για εμάς θα είναι πάντα πολλές και σίγουρα θα υπάρχει χώρος για βελτιώσεις οι οποίες ωστόσο όπως έχει αποδειχθεί μέχρι τώρα, μακροπρόθεσμα μόνο θετικά αποτελέσματα θα έχουν”.