Τις επιπτώσεις, τις ευθύνες και τις ευκαιρίες που δημιουργούνται για τις εταιρείες και τους πελάτες μέσα από το νέο πλαίσιο για την προστασία προσωπικών δεδομένων που ισχύει στην Ευρώπη αναλύουν οι Δρ. Χ. Ξενάκης, Αναπληρωτής Καθηγητής στο Τμήμα Ψηφιακών Συστημάτων στο Πανεπιστήμιο Πειραιώς και Δρ. Ν. Λουκάς, Research Associate στο Τμήμα Ψηφιακών Συστημάτων στο Πανεπιστήμιο Πειραιώς.
Πώς το GDPR θα επηρεάσει τη λειτουργία δημοσίων και ιδιωτικών οργανισμών/επιχειρήσεων;
O Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (General Data Protection Regulation – GDPR) αφορά και επηρεάζει όλους τους δημόσιους οργανισμούς και τις ιδιωτικές επιχειρήσεις που διαχειρίζονται προσωπικά δεδομένα. Κάθε οργανισμός ή επιχείρηση θα πρέπει να λάβει όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων, την εξασφάλιση της ακρίβειας και της διαθεσιμότητάς τους.
Αυτό ουσιαστικά μεταφράζεται στη δημιουργία πολιτικών και διαδικασιών προστασίας της ιδιωτικότητας, υιοθέτηση προτύπων όπως το ISO 27001, δημιουργία Data Recovery Plan (DRP), δημιουργία Σχεδίου Επιχειρησιακής Συνέχειας (Business Continuity) και υιοθέτηση λύσεων που παρέχουν κρυπτογράφηση, δεδομένου ότι τα περιστατικά παραβίασης προσωπικών δεδομένων, τα οποία έχουν κρυπτογραφηθεί, αντιμετωπίζονται διαφορετικά από τον Κανονισμό. Ο σημαντικότερος παράγοντας, όμως, για την αντιμετώπιση τέτοιων περιστατικών είναι η εκπαίδευση του ανθρώπινου δυναμικού στην οποία δίνει έμφαση ο κανονισμός, απαιτώντας την κατάλληλη και συνεχή εκπαίδευσή του.
Προστατεύεται σε μεγαλύτερο βαθμό ο πελάτης;
Τα κατάλληλα τεχνικά και οργανωτικά μέτρα που ζητά ο Κανονισμός αυξάνουν το επίπεδο προστασίας των δεδομένων που συλλέγει και διαχειρίζεται κάθε οργανισμός. Αυτή την προστασία απολαμβάνει ο πελάτης. Επίσης, θεμελιώνει το δικαίωμα της αποζημίωσης πελατών σε περίπτωση απώλειας προσωπικών δεδομένων τους. Εκτός από τα παραπάνω, ενδυναμώνει τα δικαιώματα των πελατών απαιτώντας τη σαφή συγκατάθεσή τους για την επεξεργασία των προσωπικών τους δεδομένων, τους δίνει το δικαίωμα να ζητήσουν διαγραφή των δεδομένων τους, να τα μεταφέρουν σε άλλο πάροχο υπηρεσιών και να γνωρίζουν εάν τα δεδομένα που έχουν δώσει έχουν υποστεί παραβίαση.
Ποιος θα είναι ο ρόλος του Data Protection Officer στις ασφαλιστικές εταιρείες;
Η υιοθέτηση του GDPR από τις εταιρείες και ειδικότερα από τις ασφαλιστικές θα αυξήσει την εμπιστοσύνη των πελατών σε αυτές. Η δημιουργία κατάλληλων υποδομών και κουλτούρας του ανθρώπινου δυναμικού τους, θα αυξήσει περαιτέρω το επίπεδο προστασίας των προσωπικών δεδομένων των πελατών τους. Ο DPO, σε συνεργασία με τη διοίκηση της ασφαλιστικής, θα μεριμνήσει τόσο για τη δημιουργία των κατάλληλων πολιτικών και διαδικασιών, όσο και τη συμμόρφωση της εταιρείας με τις απαιτήσεις του κανονισμού. Επίσης, θα αναλάβει την εκπροσώπησή της έναντι των Αρχών, Εθνικών & Ευρωπαϊκών σε περιπτώσεις περιστατικών παραβίασης. Ο DPO, λόγω της φύσης της εργασίας του, θα πρέπει να συντονίζει αποτελεσματικά μια ομάδα υποστήριξης του έργο του. Ο ρόλος του απαιτεί γνώσεις πολλών διαφορετικών θεματικών περιοχών όπως: νομοθεσίας, αρχών ασφάλειας πληροφοριακών συστημάτων, εκπαίδευσης του ανθρώπινου δυναμικού, ανάλυσης των επιπτώσεων που απορρέουν από τη φύση των δεδομένων που διαχειρίζεται η εταιρεία, δημιουργίας πλάνου αντιμετώπισης περιστατικών απώλειας δεδομένων, κ.ά. Οι παραπάνω δεξιότητεςδύσκολα συναντώνται σε ένα πρόσωπο και συνήθως απαιτούν τη συνεργασία διαφορετικών τμημάτων μιας εταιρείας. Το γεγονός αυτό προϋποθέτει την ικανότητα του DPO να συνθέτει απόψεις από διαφορετικούς χώρους και τμήματα της εταιρείας, με τα οποία θα πρέπει να συνεργάζεται αποδοτικά και αρμονικά, ώστε να επιτύχει τα καλύτερα δυνατά αποτελέσματα για την εταιρεία. Ο νέος κανονισμός προβλέπει ποιες είναι οι αναγκαίες γνώσεις ενός DPO και ζητά μελλοντικά την πιστοποίησή του γι’ αυτές. Εναλλακτικά, θα μπορούσε να ανατεθεί η εργασία της συμμόρφωσης της εταιρείας με τον Κανονισμό σε μια εταιρεία παροχής υπηρεσιών DPO. Η ευθύνη της συμμόρφωσης όμως, είτε γίνει εσωτερικά είτε εξωτερικά παραμένει στην επιχείρηση που συλλέγει και διαχειρίζεται τα δεδομένα και δεν μεταβιβάζεται.
Ποιες είναι οι κυρώσεις και τα πρόστιμα που προβλέπονται;
Οι επιχειρήσεις που δεν θα καταφέρουν να διατηρήσουν την ασφάλεια των προσωπικών δεδομένων των πελατών τους αντιμετωπίζουν διοικητικά πρόστιμα που προβλέπει ο Κανονισμός, τα οποία εκκινούν από 10.000.000 ευρώ ή το 2% του παγκόσμιου τζίρου εάν πρόκειται για διεθνή όμιλο, και φτάνουν σε περίπτωση παράβασης βασικών διατάξεων του Κανονισμού σε ποσά της τάξης των 20.000.000 ευρώ ή στο 4% του παγκόσμιου τζίρου τους, όποιο από τα δύο είναι μεγαλύτερο.
Θεωρείτε ότι είναι προετοιμασμένη η Ελλάδα για να εναρμονιστεί σε 1,5 χρόνο με το νέο πλαίσιο;
Ο χρόνος που απομένει για τη συμμόρφωση των εταιρειών με το νέο Κανονισμό είναι πράγματι λίγος και θα πρέπει να γίνουν πολλά από τις εταιρείες για να συμμορφωθούν με αυτόν. Το πρόβλημα αυτό δεν αφορά μόνο τις ελληνικές εταιρείες, αλλά όλες αυτές που διαχειρίζονται προσωπικά δεδομένα Ευρωπαίων πολιτών.
Κατά τη γνώμη σας η ασφάλιση Cyber Privacy Insurance θα μπορούσε να συμβάλλει στη θωράκιση των εταιρειών και την προστασία των πελατών;
Ο Κανονισμός επιβάλλει τη λήψη των κατάλληλων οργανωτικών και τεχνικών μέσων για την προστασία των προσωπικών δεδομένων. Η χρήση της ασφάλισης, ως εργαλείου διαχείρισης περιστατικών απώλειας προσωπικών δεδομένων, μπορεί πράγματι να αποτελέσει ένα μέσο για την αντιμετώπιση των οικονομικών συνεπειών τέτοιων περιστατικών. Πιο συγκεκριμένα, η ασφάλιση Cyber Privacy Insurance καλύπτει:
• Αστική Ευθύνη έναντι τρίτων οι οποίοι υπέστησαν ζημιά λόγω απώλειας των προσωπικών τους δεδομένων από την εταιρεία στην οποία τα είχαν δώσει. • Έξοδα και Υπηρεσίες διαχείρισης περιστατικών παραβίασης συστημάτων και απώλειας προσωπικών δεδομένων.
• Διακοπή Εργασιών – Κάλυψη για απώλεια εσόδων λόγω διακοπής της επιχειρηματικής δραστηριότητας από περιστατικά παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών.
• Κυβερνοεκβιασμό – Κάλυψη για διαχείριση περιστατικών εκβιασμού από απειλές που μπορεί να βλάψουν ένα δίκτυο ή να οδηγήσουν σε διαρροή εμπιστευτικών πληροφοριών.
• Διοικητικά Πρόστιμα που τυχόν θα επιβληθούν από αρμόδιες αρχές για περιστατικά διαρροής δεδομένων (data breach). Επίσης, με κατάλληλη επιλογή της ασφαλιστικής εταιρείας ο ασφαλισμένος μπορεί εκτός από τις χρηματικές αποζημιώσεις να έχει πρόσβαση στην Ομάδα Διαχείρισης, που διαθέτει η ασφαλιστική εταιρεία, η οποία έχει αντιμετωπίσει πλήθος περιστατικών και μπορεί να συμπληρώσει τη δική του ομάδα διαχείρισης περιστατικών που απαιτεί να έχει ο νέος Κανονισμός.
*Οι συγγραφείς θα ήθελαν να ευχαριστήσουν τον Νικόλαο Γεωργόπουλο από την εταιρεία CROMAR για τη συνεισφορά του στη συγγραφή του παρόντος.
Πηγή: Ασφαλιστικό Marketing – Τεύχος Μαρτίου 2017
