advisory_2_cover_rsm_brief_july_2019.png

Όπως δημοσιεύθηκε στο capital.gr.

Οι ευρωπαϊκές επιχειρήσεις έχουν ήδη ένα χρόνο εμπειρίας από την εφαρμογή του Γενικού Κανονισμού για την Προστασία των Δεδομένων (General Data Protection Regulation, GDPR) και, σε μεγάλο βαθμό, αναζητούν τις βέλτιστες πρακτικές για την πλήρη συμμόρφωσή τους. Όσο κι αν υπήρξε δύσκολο να προσαρμοστούν στα νέα δεδομένα ή έχουν ακόμη δρόμο να διανύσουν, ο GDPR ήρθε για να μείνει, επιφέροντας εντέλει αλλαγές σε παγκόσμιο επίπεδο για την προστασία των προσωπικών δεδομένων. Αλλαγές που μπορεί να αποδειχθούν ευκαιρίες για την επιχειρηματική πραγματικότητα, όπως καταγράφει η RSM από την εμπειρία της ανά την Ευρώπη, με ενδεικτικά παραδείγματα.

H διαδικασία της συμμόρφωσης με τον κανονισμό GDPR ήταν και είναι ευκαιρία για τις ελληνικές επιχειρήσεις να επανεξετάσουν και να αξιολογήσουν τις διαδικασίες για την επεξεργασία και την αποθήκευση των προσωπικών δεδομένων. Ειδικά οι μεγάλες και οι μεσαίες επιχειρήσεις μπορούν να αξιοποιήσουν ένα μοντέλο «Governance, Risk management and Compliance» (GRC), μέσα από την υλοποίηση του οποίου βελτιώνεται η ανταγωνιστικότητά τους, αφού αναγνωρίζουν και κατανοούν καλύτερα τους πελάτες/συνεργάτες τους, τις ανάγκες τους και τις υπηρεσίες που προσφέρουν. Παράλληλα, οι ίδιες οι εταιρείες παρουσιάζουν μια εικόνα σταθερότητας, γνωρίζοντας τους κινδύνους και προβλέποντας τους κανονισμούς, με αποτέλεσμα να προστατεύουν τόσο τους εαυτούς τους, όσο και τους συνεργάτες τους. Γενικότερα, η ανάληψη ευθύνης επιβάλλει στις επιχειρήσεις να βελτιωθούν, καθώς προσαρμόζονται και συμμορφώνονται με τον GDPR.

Από την άλλη, σημαντικές πρόκλησεις παραμένουν οι επενδύσεις που πρέπει να πραγματοποιηθούν, καθώς πολλές επιχειρήσεις δεν ήταν συμμορφωμένες ούτε με το προηγούμενο καθεστώς και τώρα καλούνται να ανταποκριθούν στον GDPR. Παράλληλα, η ενίσχυση των αρμοδιοτήτων και του ρόλου του Υπευθύνου Προστασίας Δεδομένων (DPO) σε κάθε εταιρεία (ο οποίος έχει άμεση σχέση με το Δ.Σ., αναφέρεται στον Διευθύνοντα Σύμβουλο, είναι ανεξάρτητος σύμβουλος και σύνδεσμος της επιχείρησης με την Αρχή Προστασίας Προσωπικών Δεδομένων) δημιουργεί μια νέα τάξη στις ισορροπίες και στον τρόπο λειτουργίας της.

Όσον αφορά την εφαρμογή του Κανονισμού, στην Ελλάδα οι εταιρίες παροχής υπηρεσιών και οι φαρμακευτικές ήταν οι πρώτες που προσαρμόστηκαν, ενώ περισσότερο υστερούν οι τομείς του Δημοσίου και της υγείας, όπως συμβαίνει και σε ευρωπαϊκό επίπεδο. Αξιοσημείωτο, δε, είναι το γεγονός ότι η Ελλάδα παραμένει μια από τις ελάχιστες χώρες οι οποίες δεν έχουν ψηφίσει τον εφαρμοστικό νόμο, με αποτέλεσμα να εκκρεμούν καίριες διευκρινήσεις για την πλήρη συμμόρφωση με τον κανονισμό.

Στην Ιρλανδία, η έλευση του GDPR υπήρξε καταλύτης για πολλούς οργανισμούς να εξετάσουν με κριτικό πνεύμα όλα τα στοιχεία που έχουν και την φιλοσοφία γύρω από αυτά. Αυτό οδήγησε σε ανάληψη έργων με σκοπό τον περιορισμό, με ελεγχόμενο τρόπο, του όγκου των δεδομένων που τηρούνται (όχι μόνο των δεδομένων προσωπικού χαρακτήρα), ενώ, ταυτόχρονα, εξασφαλίζεται η βελτίωση της ποιότητας αυτών των δεδομένων που διακρατούνται. Ως αποτέλεσμα, είναι δυνατή η καλύτερη εξυπηρέτηση των πελατών και παράλληλα τα δεδομένα που παρουσιάζονται στους υπεύθυνους λήψης αποφάσεων είναι πιο αξιόπιστα. Επίσης, καταγράφεται ένα ανανεωμένο ενδιαφέρον για έργα που επικεντρώνονται στη διαχείριση δεδομένων και αρχείων και τα οφέλη που προκύπτουν σε εταιρείες που θα πιστοποιηθούν σε αυτόν τον τομέα.

Είναι ενδεικτικό ότι ο δημόσιος τομέας στην Ιρλανδία αντιμετώπισε ορισμένα ζητήματα στην προσπάθεια να συμμορφωθεί με το επικαιροποιημένο καθεστώς προστασίας δεδομένων. Η τεράστια έκταση των ιστορικών αντιγράφων που έχει το Ιρλανδικό δημόσιο δεν του επιτρέπει την βεβαιότητα ότι έχει όντως όλα τα προσωπικά δεδομένα καταγεγραμμένα και υπό διαχείριση, ενώ το εύρος των χρηστών των υπηρεσιών του Δημοσίου καθιστά τη δυνατότητα συγκατάθεσης σχεδόν αδύνατη χωρίς την ανάπτυξη τεχνολογιών αυτοεξυπηρέτησης.

Από τη στιγμή που τέθηκε σε ισχύ ο GDPR, οι επιχειρήσεις στο Βέλγιο ενδιαφέρονται όλο και περισσότερο για το πρότυπο ISO 27001, το διεθνές σύστημα διαχείρισης ασφάλειας των πληροφοριών. Οι πιστοποιημένοι οργανισμοί κατά το συγκεκριμένο πρότυπο είναι δεδομένο ότι δίνουν ιδιαίτερη βαρύτητα στην συγκέντρωση, διαχείριση και ασφάλεια των πληροφοριών που διαχειρίζονται και των πληροφοριακών συστημάτων που χρησιμοποιούν. Για τις επιχειρήσεις στο Βέλγιο, η μεγαλύτερη πρόκληση εξακολουθεί να είναι ο τρόπος ανίχνευσης παραβιάσεων δεδομένων. Με τον GDPR υπάρχει υποχρέωση κοινοποίησης στις αρχές εντός 72 ωρών, ωστόσο στην πραγματικότητα η ανίχνευση παραβίασης μπορεί να διαρκέσει πολύ περισσότερο. Το διορθωτικό μέσο για το σκοπό αυτό είναι να διενεργηθεί ενδελεχής έλεγχος από το ΙΤ, αλλά, πολύ συχνά, οι επιχειρήσεις τον παραβλέπουν, υπό το φόβο του τι μπορεί εντέλει να βρεθεί.

Στη Βρετανία είναι σαφές ότι με την αύξηση των ψηφιακών καναλιών, της συνδεσιμότητας και του εγκλήματος στον κυβερνοχώρο, η ιδιωτικότητα των προσωπικών δεδομένων απασχολούσε πολύ πριν τεθεί σε ισχύ ο GDPR, τον Μάιο του 2018. Το GDPR μπορεί να επιβεβαίωσε και να ενίσχυσε τους κανόνες, ωστόσο οι επιχειρήσεις που συγκεντρώνουν μεγάλο όγκο προσωπικών δεδομένων (big data) και τον μοιράζονται εύκολα με άλλα τρίτα μέρη δυσκολεύονται να εφαρμόσουν τις αρχές του. Η συγκέντρωση και διαχείριση προσωπικών δεδομένων, καθώς και ο καθορισμός εκείνων που μπορούν να αποθηκευτούν και για πόσο καιρό, είναι χρονοβόρες και σύνθετες διαδικασίες για πολλές επιχειρήσεις. Ένας ακόμη παράγοντας δυσκολίας οφείλεται στις σημαντικές αλλαγές στις αρμοδιότητες του υπεύθυνου επεξεργασίας δεδομένων και του επεξεργαστή δεδομένων. Ο εντοπισμός εκείνων με τους οποίους μοιράζονται τα προσωπικά δεδομένα και ο έλεγχος που κάνουν τα τρίτα μέρη αποτελεί επίσης πρόκληση. Σύμφωνα με την εμπειρία του πρώτου χρόνου εφαρμογής του GDPR στη Βρετανία, η θέσπιση νέων συμβατικών όρων απαιτεί χρόνο, εξειδικευμένη νομική συνεισφορά και συνεργασία από όλα τα μέρη. Για πολλές μεσαίες επιχειρήσεις στο Ηνωμένο Βασίλειο, αυτό ήταν μια δαπανηρή και δυσκίνητη άσκηση.

Ο τρόπος συνεργασίας με τρίτους προμηθευτές αποτέλεσε βασική πρόκληση στην Ολλανδία. Πολλές επιχειρήσεις κατά το παρελθόν έτος αντιμετώπισαν προβλήματα με την ευθύνη για την προστασία των δεδομένων στην εφοδιαστική αλυσίδα. Ο λόγος πίσω από αυτό ήταν ότι πολλοί προμηθευτές έστειλαν στους πελάτες τους σύμβαση επεξεργασίας δεδομένων, προκειμένου να ελαχιστοποιήσουν την ευθύνη για την προστασία τους. Οι υπεύθυνοι επεξεργασίας δυσκολεύονταν να αναλάβουν την ευθύνη αυτή, ειδικά εάν υπήρχε διαρροή δεδομένων με τους εταίρους της αλυσίδας εφοδιασμού, πράγμα που θα σήμαινε την ανάγκη να αναφερθεί στις αρχές και τα ενδιαφερόμενα μέρη. Ωστόσο, σταδιακά γίνεται αντιληπτό ότι η σωστή ρύθμιση μιας διαδικασίας παρέχει επίσης διαφάνεια και μπορεί να καταστήσει την ίδια τη διαδικασία πιο σαφή και ξεκάθαρη, ενώ καταγράφεται ότι η ποσότητα των μολυσμένων δεδομένων μειώνεται δραστικά στις επιχειρήσεις όπου εφαρμόζονται βελτιώσεις στις διαδικασίες λόγω GDPR.

Είναι σαφές ότι δεν είναι μόνο τα προσωπικά δεδομένα που χρειάζονται προστασία. Τα εμπορικά ευαίσθητα δεδομένα που στηρίζουν τις βασικές επιχειρηματικές λειτουργίες και υπηρεσίες είναι εξίσου πολύτιμα. Η διασφάλιση ότι οι εργαζόμενοι, οι πελάτες, οι προμηθευτές και οι συνεργάτες μπορούν να εμπιστευτούν μια εταιρεία και να ασκούν επιχειρηματική δραστηριότητα μαζί της θα μπορούσε να προσδιοριστεί από την ικανότητά της να επιδεικνύει καλή διακυβέρνηση δεδομένων και ιδιωτικότητας.