Την υιοθέτηση λύσεων «κομμένων και ραμμένων» στις ανάγκες και τις ιδιαιτερότητες κάθε οργανισμού, ακόμα και τώρα, λίγο πριν την έναρξη εφαρμογής του νέου Γενικού Κανονισμού GDPR (Προστασία Δεδομένων) στις 25 Μαίου 2018, θεωρεί εφικτή ο ΣΕΒ. Ο νέος Κανονισμός, προβλέποντας ένα αρκετά αυστηρό και γραφειοκρατικό πλαίσιο, έρχεται να θωρακίσει την ιδιωτικότητα και να μεταθέσει την ευθύνη της προστασίας στην ίδια την επιχείρηση, προβλέποντας κυρώσεις ύψους έως και 4% του παγκόσμιου τζίρου για όσους αποτύχουν να συμμορφωθούν με τις απαιτήσεις του. Συνεπώς, όπως τονίζουν οι αναλυτές, η συμμόρφωση με τις απαιτήσεις του Ευρωπαϊκού Κανονισμού παρουσιάζει ένα δίλημμα για τον επιχειρηματικό κόσμο, θα αντιμετωπισθεί ως άλλη μια κανονιστική υποχρέωση - δηλαδή σαν βάρος - ή σαν μια ευκαιρία αλλαγής του επιχειρηματικού μοντέλου και εισαγωγής των ελληνικών επιχειρήσεων στον κόσμο της ψηφιακής οικονομίας; Σε ειδική μελέτη του Συνδέσμου προτείνονται 11 βήματα για την ορθή εφαρμογή του Κανονισμού από τις επιχειρήσεις.
Ειδικότερα, ο ΣΕΒ εισηγείται τα εξής:
-Σύσταση Ομάδας Εργασίας η οποία θα απαρτίζεται από εκπροσώπους Διευθύνσεων πουεμπλέκονται περισσότερο με την προστασία των προσωπικών δεδομένων. Ενδεικτικά, αναφέρονται οι Διευθύνσεις Πληροφορικής, Νομικής και Ανθρώπινου Δυναμικού.
-Ορισμό Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ), ως υποχρεωτικό βήμα για όσες επιχειρήσεις προβαίνουν σε μεγάλης κλίμακας επεξεργασία προσωπικών δεδομένων, προαιρετικό για τις υπόλοιπες. Ο ΥΠΔ συμβουλεύει την επιχείρηση για τις υποχρεώσεις που απορρέουν από τον Κανονισμό και παρακολουθεί τις ενέργειες συμμόρφωσης με αυτόν.
-Χαρτογράφηση της ροής των δεδομένων προσωπικού χαρακτήρα που τηρούνται και επεξεργάζονται εντός επιχείρησης (δηλαδή των δεδομένων προσωπικού, πελατών, προμηθευτών και τρίτων προσώπων), μια διαδικασία μέσω της οποίας απαντώνται τα εξής ερωτήματα: τί είδους δεδομένα, για ποιο σκοπό, πόσο συχνά, πώς αποκτώνται, πού υπάρχουν, ποιος έχει πρόσβαση και τα επεξεργάζεται, για πόσο χρόνο διακρατούνται.
-Εντοπισμό και ανάλυση κινδύνων και ελλείψεων. Ενδεικτικά παραδείγματα σχετικών «κενών» είναι: πολύ μεγάλη περίοδος διατήρησης των δεδομένων άνευ λόγου, διατήρηση των ίδιων δεδομένων σε περισσότερα του ενός σημεία και ανεμπόδιστη πρόσβαση σε δεδομένα από όλα τα στελέχη ενώ δεν χρειάζεται.
-Εκπόνηση Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑ), ως υποχρεωτικό βήμα για όσες επιχειρήσεις προβαίνουν σε επεξεργασία που ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, προαιρετικό για τις υπόλοιπες.
-Αναθεώρηση πολιτικών και διαδικασιών τήρησης και επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Παραδείγματα αποτελούν: οριστική διαγραφή και καταστροφή δεδομένων με το πέρας Χ ετών, διαμόρφωση κοινού γλωσσάριου ώστε να υπάρχει η σωστή κατανόηση από όλο το προσωπικό, θέσπιση πολιτικής «καθαρού γραφείου», απαγόρευση εξόδου από την επιχείρηση USB sticks και laptops, ανάπτυξη πολιτικής διαβαθμισμένης πρόσβασης, ανάπτυξη πολιτικής για τις διαδρομές των φυσικών αρχείων εντός της επιχείρησης, θέσπιση ορισμένου χρόνου διατήρησης CVs κ.λπ.
-Αξιοποίηση των εργαλείων πληροφορικής που ενισχύουν την ασφάλεια των συστημάτων. Ενδεικτικά παραδείγματα αποτελούν: εργαλεία που με αυτοματοποιημένο τρόπο χαρτογραφούν τα δεδομένα, εργαλεία που αξιολογούν την αποτελεσματικότητα των πολιτικών και διαδικασιών που έχουν αναπτυχθεί και εργαλεία που βοηθούν στην αποτροπή ή τον εντοπισμό των αποπειρών παραβίασης δεδομένων.
-Ανάπτυξη διαδικασιών γνωστοποίησης εποπτικής Αρχής και ανακοίνωσης υποκειμένου, ως υποχρεωτικές διαδικασίες για κάθε επιχείρηση. Η πρώτη αφορά στη διαδικασία γνωστοποίησης της παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική Αρχή, εντός μόλις 72 ωρών από τη στιγμή που η επιχείρηση αποκτά γνώση του γεγονότος. Το σύντομο χρονικό διάστημα που προβλέπεται είναι προφανές ότι αυξάνει το βαθμό δυσκολίας. Η δεύτερη αφορά στη διαδικασία άμεσης ανακοίνωσης της παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, όταν υπάρχει ενδεχόμενο να τεθούν σε υψηλό κίνδυνο τα δικαιώματα και οι ελευθερίες του.
-Δοκιμαστικούς ελέγχους συστημάτων και διαδικασιών. Πρόκειται για το τελευταίο χρονικά στάδιο. Αναφέρεται σε δοκιμαστικούς ελέγχους επί των συστημάτων και διαδικασιών που έχει αναπτύξει η επιχείρηση στα προηγούμενα βήματα, προκειμένου να εξασφαλιστεί ότι μετά την 25η Μαΐου 2018 οι ενέργειες συμμόρφωσης θα δουλέψουν αποτελεσματικά στην πράξη. Ενδεχομένως, οδηγήσει σε ανάγκη υλοποίησης διορθωτικών παρεμβάσεων.
-Διαρκή παρακολούθηση και επικαιροποίηση των διαδικασιών και των συστημάτων. Επιβάλλεται συνεχής επαγρύπνηση και διαρκής παρακολούθηση, καθώς οι κίνδυνοι παραβίασης των δεδομένων είναι πιθανοί ανά πάσα στιγμή. Με άλλα λόγια, όπως στο βήμα 9 συστήνονται δοκιμαστικοί έλεγχοι των συστημάτων και διαδικασιών πριν την έναρξη εφαρμογής του Κανονισμού, όμοια προτείνονται αντίστοιχες δοκιμές και μετά την έναρξη εφαρμογής του.
-Εκπαίδευση προσωπικού, προκειμένου να εξασφαλίσει ότι όλοι γνωρίζουν τις πολιτικές και τις διαδικασίες που έχουν αναπτυχθεί για την προστασία των προσωπικών δεδομένων, γιατί είναι σημαντικές για την επιχείρηση, αλλά και τί πρέπει να κάνουν σε περίπτωση που αντιληφθούν απειλή παραβίασης. Οι εν λόγω δράσεις προτείνεται να επαναλαμβάνονται, με βάση τις ανάγκες και τα χαρακτηριστικά κάθε επιχείρησης (π.χ. δραστηριότητα υψηλού κινδύνου, μεγάλη / συχνή αλλαγή προσωπικού, σημαντικές αλλαγές επί των πολιτικών και διαδικασιών κ.λπ.).