fbpx

GDPR και πιστοποίηση – Είναι εδώ για να μείνει. Μάθετε να δουλεύετε μαζί του όπως πρέπει. Του Κυριάκου Παρπούνα

Έχουμε περάσει τις 25 Μαΐου και ο νέος Γενικός Κανονισμός για την Προστασία των Δεδομένων, άλλως γνωστός ως GDPR, είναι πλέον στη ζωή μας.

 

Μπορεί να μην έχουμε παρατηρήσει θεμελιώδεις αλλαγές σε αυτή τη φάση, αλλά η εφαρμογή του Κανονισμού θα συνεχίσει να δημιουργεί ανάγκες και υποχρεώσεις στους οργανισμούς. Μια από τις βασικές αλλαγές που επιφέρει ο Κανονισμός είναι η συνυπευθυνότητα υπεύθυνων επεξεργασίας δεδομένων (controllers) και εκτελούντων την επεξεργασία (processors). Στην παλιά νομοθεσία, ευθύνες είχαν μόνο οι controllers. Οι δύο, ή και περισσότεροι παίκτες που εμπλέκονται πλέον στην επεξεργασία Προσωπικών Δεδομένων (Π.Δ.) με βάση το νέο Κανονισμό, δημιουργούν εκατέρωθεν νομικές ευθύνες, τις οποίες θα πρέπει να ρυθμίσουν στην μεταξύ τους σχέση, διασφαλίζοντας ο ένας στον άλλο ότι εφαρμόζουν επαρκώς τον Κανονισμό. Την ίδια ανάγκη παροχής εγγυημένης εφαρμογής του Κανονισμού έχουν και οι οργανισμοί που θέλουν να επικοινωνήσουν στους πελάτες τους ότι προστατεύουν επαρκώς τα Προσωπικά Δεδομένα τους. Σε αυτά τα πλαίσια, ο Κανονισμός προβλέπει στα άρθρα του 42 και 43 τη δημιουργία μηχανισμών πιστοποίησης της εφαρμογής του Κανονισμού που θα ρυθμίσουν την υλοποίηση του Κανονισμού με συγκροτημένο τρόπο, υπό την ευθύνη των Εποπτικών Αρχών (Επίτροποι Προστασίας των Π.Δ.).

Η πιστοποίηση φυσικά έχει και μια άλλη σημαντική αξία για τους οργανισμούς, αφού σε πιστοποιημένους οργανισμούς αυτό θα λαμβάνεται σοβαρά υπόψη στην αξιολόγηση και την επιβολή προστίμων σε περίπτωση αστοχιών με τα Προσωπικά Δεδομένα. Ως εκ τούτου, η πιστοποίηση θα θωρακίζει εν μέρει τους οργανισμούς, όταν κάτι πάει στραβά.

Εκείνο που θέλουμε να αναδείξουμε σε αυτή την αρχική φάση της εφαρμογής του Κανονισμού, είναι η αξία των κριτηρίων πιστοποίησης και ο ρόλος που αυτά θα πρέπει να παίξουν στη σωστή ανάπτυξη ενός συστήματος προστασίας των Π.Δ. μέσα σε ένα οργανισμό. Δεν είναι τυχαία που αναφερόμαστε σε σύστημα προστασίας των Προσωπικών Δεδομένων γιατί ένας οργανισμός χρειάζεται ένα τέτοιο σύστημα για να μπορεί συστηματικά να εφαρμόζει τον Κανονισμό. Οι οργανισμοί, καθώς και η διαχείριση Π.Δ. εντός των οργανισμών, αποτελούν δυναμικές διαδικασίες και ως εκ τούτου δεν μπορούν να αντιμετωπίζονται με στατικές λύσεις. Δεν εφαρμόζεται ο Κανονισμός με την ικανοποίηση ενός αρχικού στατικού check list. Ή τουλάχιστον δεν μπορεί να εφαρμόζει κάποιος συστηματικά τον Κανονισμό αν το μόνο που έκανε είναι να ικανοποιεί με ένα κλικ σημεία ενός checklist.

Για τη συστηματική εφαρμογή του Κανονισμού, χρειάζονται δυναμικά σύστημα συμμόρφωσης προτύπων, τύπου ISO, που ελέγχονται, προσαρμόζονται και βελτιώνονται στην πάροδο του χρόνου.

Ο Κανονισμός καθορίζει τρία ουσιαστικά συστατικά στοιχεία που θα πρέπει ο κάθε οργανισμός να αντιμετωπίσει στην διαδικασία υλοποίησης του Κανονισμού:

α. Οργανικά και διακυβέρνησης

β. Νομικά

γ. Τεχνικά

Αυτό από μόνο του καταδεικνύει την ανάγκη να δουλέψει ο κάθε οργανισμός ταυτόχρονα σε τρία τουλάχιστον επίπεδα για να πετύχει εναρμόνιση με τον Κανονισμό. Αυτό, σε αντίθεση με όσα βλέπουμε σε πολλές επιχειρήσεις σήμερα, να επικεντρώνουν τη δράση της εναρμόνισης τους σε ένα μόνο τομέα. Είτε το nομικό δουλεύοντας μόνο με νομικούς, είτε το τεχνικό δουλεύοντας μόνο με ειδικούς πληροφορικής.

Έχουμε δει παράλληλα σε διάφορες προκηρύξεις διαγωνισμών του δημοσίου ή του ευρύτερου δημοσίου τομέα, να δίνεται πολύ σημαντική προτεραιότητα στις ομάδες υλοποίησης του Κανονισμού σε ένα μόνο κλάδο των ειδικών που απαιτούνται (νομικοί). Όποιος όμως έχει δει τον Κανονισμό σε κάποια λεπτομέρεια, αντιλαμβάνεται ότι αυτό αποτελεί στρέβλωση που θα επηρεάσει στην πορεία τους ίδιους τους οργανισμούς, γιατί δουλειά των νομικών είναι να καλύψουν το νομικό κομμάτι του Κανονισμού και όχι να εφαρμόζουν συστήματα διαχείρισης. Άλλωστε, δεν είναι σύνηθες όταν θέλουμε να εφαρμόσουμε ένα άλλο πρότυπο (όπως τα ISO) σε ένα οργανισμό να φωνάζουμε τους νομικούς μας για να μας καθοδηγήσουν στην εφαρμογή.

Δεν χρειάζεται κάποιος να μπει στις λεπτομέρειες του πολυσέλιδου Κανονισμού για να αντιληφθεί τη στρέβλωση. Πρόσφατα το European Data Protection Board (Συμβούλιο των 28 Ευρωπαίων Επιτρόπων) εξέδωσε guidelines για την πιστοποίηση και τα κριτήρια πιστοποίησης με βάση τα άρθρα 42 και 43 του Κανονισμού 2016/679. Στα guidelines αυτά, διαφαίνεται η συνάφεια των προτεινόμενων συστημάτων πιστοποίησης με άλλα πρότυπα τύπου ISO.

Οι οδηγίες αυτές είναι πολύ σημαντικές γιατί αφορούν τους οργανισμούς που βρίσκονται, ή θα μπουν σύντομα σε διαδικασία υλοποίησης του Κανονισμού. Είναι σημαντικές γιατί η εύκολη λύση τώρα είναι να γίνουν πρόχειρες και «φτηνές» υλοποιήσεις με βάση στατικά checklists που θα καταρρεύσουν με την πρώτη ευκαιρία που θα υπάρξουν θέματα Π.Δ. και που σίγουρα δεν θα μπορούν να οδηγήσουν σε πιστοποίηση, αφού δεν δημιουργούν σύστημα διαχείρισης των Π.Δ. όπως προβλέπεται στον Κανονισμό.

Πριν αποφασίσουν λοιπόν οι οργανισμοί ποιο δρόμο θα ακολουθήσουν για την υλοποίηση του Κανονισμού χρήσιμο θα ήταν να διεξέλθουν έστω και περιληπτικά τα guidelines στο https://edpb.europa.eu/our-work-tools/public-consultations/2018/guidelines-12018-certification-and-identifying_en για να έχουν άποψη αν αυτά που τους προτείνονται για την υλοποίηση του GDPR μπορεί όντως να οδηγήσουν σε κάποια στιγμή σε πιστοποίηση, ή όχι.

Αν βασίζονται οι προτάσεις που αξιολογούν σε checklists και όχι σε συστήματα διαχείρισης θα πρέπει να γνωρίζουν ότι το πιο πιθανόν η υλοποίηση που θα κάνουν να μην μπορεί να πιστοποιηθεί, ή τουλάχιστον να χρειάζεται πολύ δουλειά στη συνέχεια για να μετατραπεί σε πιστοποιήσιμο σύστημα διαχείρισης των Π.Δ..

Ως εκ τούτου, η σωστή αξιολόγηση των προτάσεων στην αρχή και η επαρκής αντίληψη από τους οργανισμούς για το τι υπηρεσίες θα προμηθευτούν είναι πολύ σημαντική, γιατί μια «φτηνή» υλοποίηση σήμερα μπορεί να αποδειχθεί πολύ ακριβότερη όταν χρειαστεί να ξαναχτιστεί στη συνέχεια από την αρχή ένα σωστό σύστημα διαχείρισης Π.Δ. και να πιστοποιηθεί με βάση τα αναμενόμενα πρότυπα. 

Γράφει: Κυριάκος Παρπούνας


Φωτογραφία της ημέρας

puppuupa

Για να μην ξεχνάμε...Οτι στην Συρία συνεχίζονται οι βομβαρδισμοί. Στην φωτογραφία ένα αγόρι κλαίει τρομοκρατημένο μετά από κυβερνητικούς βομβαρδισμούς στην πόλη Ariha της επαρχίας Idlib, με στόχο την αγορά και την βιομηχανική ζώνη της περιοχής. Απόλογισμός; Τουλάχιστον 15 άνθρωποι νεκροί και πολλοί στιγματισμένοι από τον τρόμο για πάντα. (AP Photo/Ghaith Alsayed)

Ήξερες ότι...

Το στρες καθυστερεί την επούλωση των τραυμάτων.

Σήμερα


Σάββατο
18
Ιανουαρίου
2020

Γιορτάζουν : Αθανάσιος, Αθανασία, Θανάσης, Νάσια, Νάνσυ, Νάσος, Σάκης, Θάνος, Θανάσος, Θανασάκης, Θανασία, Θανασούλα, Σούλα, Νάσα, Κύριλλος, Κυριλλία, Κυρίλλα, Κυρίλλη, Θεόδουλος, Θεοδούλιος, Θεοδούλης, Θεοδουλία, Θεοδούλα, Θεόδουλη

1923
Καθιερώνεται στην Ελλάδα το νέο Γρηγοριανό ημερολόγιο, που θα ίσχυε από 16 Φεβρουαρίου. Έτσι, η 16 Φεβρουαρίου θα ήταν 1 Μαρτίου με το νέο ημερολόγιο.
1964
Οι Beatles βρίσκονται για πρώτη φορά στους πίνακες κατάταξης του περιοδικού Μπίλμπορντ
1965
Η Αλίκη Βουγιουκλάκη και ο Δημήτρης Παπαμιχαήλ παντρεύονται στους Δελφούς
1977
Γίνεται στο Σίδνεϊ το καταστροφικότερο σιδηροδρομικό ατύχημα στην ιστορία της Αυστραλίας, στο οποίο 83 άνθρωποι χάνουν τη ζωή τους.
1996
Ο Κώστας Σημίτης εκλέγεται πρωθυπουργός με 86 ψήφους έναντι 75 του Άκη Τσοχατζόπουλου, στο δεύτερο γύρο της ψηφοφορίας της Κοινοβουλευτικής Ομάδας του ΠΑΣΟΚ.

Newsletter

Εγγραφείτε στο Newsletter μας 

Client Newsletter Icon2 copy