GDPR- general Data Protection Regulation
For all business sectors- HR-SALES- MARKETING- LEGAL- IT-FINANCE
Ο κανονισμός της ιδιωτικότητας των δεδομένων δεν είναι κάτι νέο. Πλέον όμως είναι απαραίτητο να τον τηρούμε αδού ουσιαστικά επιβάλλεται από τις 25 Μαίου 2018 στην Ευρωπαική ένωση. Πιο απλά η κατεύθυνση παραμένει η ίδια με νέες προσθήκες και προσεγγίσεις στα προσωπικά δεδομένα, έτσι ώστε ο ευρωπαίος πολίτης να μπορεί να έχει μεγαλύτερο έλεγχο στα προσωπικά δεδομένα και στο τρόπο που αυτά διαχειρίζονται –επεξεργάζονται.
Ο λόγος που θα πρέπει να συμβαδίζουμε με το νέο νόμο είναι πως σε αντιθετη περίπτωση τα πρόστιμα είναι τσουχτερά. Όμως είναι τόσο δύσκολο να μπορέσουμε να βάλουμε μια τάξη στην επιχείρηση μας όσο αφορά τη νέα ευρωπαική κατευθυντήρια οδηγία; Είναι τόσο δύσκολο για τους εργαζομένους να εφαρμόσουν νέες πρακτικές;
Ας αρχίσουμε από το γεγονός πως πολλά από τα θεσμικά πλαίσια και από τις οδηγίες του νέου νόμου τις έχουμε ήδη εφαρμόσει προ πολλού. Επίσης ο GDPR κάθε άλλο παρά βάρος είναι για τις επιχειρήσεις. Αυτό σημαίνει πως χρησιμοποιούνται προς όφελος της επιχείρησης και της ευημερίας ενός οργανισμού. Πέρα λοιπόν από την αναγκαιότητα των αλλαγών βλέπουμε πως υπάρχει και μια κατέυθυνση στο να εξελίξουμε την υγεία της επιχείρησης μας όσο αφορά την ιδιωτικότητα αλλά και την γενικότερη οργάνωση των δεδομένων.
Ποιος όμως είναι υπεύθυνος για την αλλαγή και την τήρηση των νέων οδηγιών;
Κυρίως οι αρμόδιοι και προυστάμενοι στα τμήματα θα κινήσουν τα νήματα για τις μεγάλες αλλαγές αν και εφόσον χρειάζονται. Παρόλα αυτά ο κάθε υπάλληλος είναι υπεύθυνος να συμαζέψει τα δεδομένα που διαχειρίζεται. Η ασφάλεια και η σωστή αποθήκευση των δεδομένων αποκτά πλέον τεράστια σημασία και αξία. Η επιχείρηση όμως θα είναι υπεύθυνη να θέσει τις βάσεις έτσι ώστε όλα τα δεδομένα που συλλέγονται, καταχωρούνται και επεξεργάζονται μέσα στην εταιρεία (ή και έξω από αυτήν) να ακολουθούν και να συμβασδίζουν με τις κατευθυντήριες οδηγίες του GDPR.
Αρά λοιπόν το πρώτο μας μέλημα είναι να οργανώσουμε τις αλλαγές μας σε προσωπικό επίπεδο , οι οποίες θα αξιολογηθούν σε επίθπεδο τμήματος και τέλος όλες αυτές θα ενσωματωθουν στις κύριες διεργασίες της επιχείρησης μας έτσι ώστε να επιφέρουν το επιθυμητό αποτέλεσμα.
«Λίστα των αλλαγώ του GDPR στις οποίες θα πρέπει να συμβαδίζουμε και να συμμορφωθούμε»
- Όλα τα προσωπικά δεδομένα που διαχειριζεται μια επιχείρηση –ασχέτως αν είναι εντός ή εκτός ευρωπαικής ένωσης –θα πρέπει να είναι διαφανή και διακριτά καθώς και να επεξεργάζονται με τέτοιο τρόπο που να μπορεί ο ενδιαφερόμενος να ενημερώνεται σχετικά με αυτόν.
- Τα πρόστιμα είναι αυστηρά όσο αφορά το νέο γενικό κανονισμό προστασίας προσωπικών δεδομένων
- Αυστηρότερος και διακριτός τρόπος συγκατάθεσης από το υποκείμενο των δεδομένων θα χρειαστεί για την επεξεργασία και χρήση αυτών καθώς και έυκολη διαδικασία να αναιρέσουν την συγκατάθεσή τους οποιαδήποτε στιγμή αυτοί το επιθυμούν
- Η απώλεια και η διαρροή προσωπικών δεδομένων από μια επιχείρηση θα πρέπει να γίνονται γνωστές σε όλους τους ενδιαφερόμενους εντός 72 ωρών από αυτήν
- Το υποκείμενο θα έχει αυξημένα δικαιώματα να ενημερώνεται σχετικά με το πώς , που και για ποιο λόγο επεξεργάζονται τα δεδομένα τους
- Η διαγραφή των δεδομένων (the right to be forgotten) είναι δικαίωμα του υποκειμένου και μπορέι να ζητηθεί να διαγραφούν πλήρως τα δεδομένα ή ν ασταματήσει η επεξεργασία τους (δεδομένου πως αυτή η αίτηση είναι εναρμονισμένη και εφικτή βάσει των νομικών πλαισίων που υπάρχουν)
- Η διαδικασία της φορητότητας των δεδομένων θα ενεργοποιηθεί με τη δυνατότητα να έχει το υποκείμενο στην κατοχ’ἠ του δεδομένα που τον αφορούν
- Η διαδικασίες προστασίας των δεδομένων (privacy by design) θα πρέπει να ενσωματωθούν στον αρχικό σχεδιασμό των συστημάτων και όχι να είναι προσθήκη αυτών στη συνέχεια
- Η προστασία προσωπικών δεδομένων από ειδικό πιστοποιημένο προσωπικό θα είναι υποχρεωτική για αυτούς που οι κύριες διεργασίες τους αποτελούνται από λειτουργίες που απαιτούν συστηματικό και τακτικό έλεγχο (Monitoring) των δεδομένων σε μεγάλη κλίμακα, ή σε κάποιες περιπτώσεις , όπου οι επιχειρήσεις επεξεργάζονται σημαντικό όγκο δεδομένων ειδικής κατηγορίας.
Πωλήσεις και marketing
Παρατηρήσεις
Οι πωλήσεις και το marketing είναι δυο τμήματα που ως επι το πλείστον επικεντρώνονται στην χρήση δεδομένων πελατών για να αυξήσουν τις πωλήσεις και να επεκτείνουν το κανάλι τους, να δώσουν ώθηση στο brand που υποστηρίζουν. Με τον όγκο των δεδομένων και τις διάφορες καμπάνιες που τρέχουν , είναι τα δύο πρώτα τμήματα της επιχείρησης που θα πρέπει να αποκτήσουν μια πολιτική αυστηρής χρήσης δεδομένων και να λειτουργήσουν μια πολιτική opt–out για να συμβαδίσουν με το GDPR
Η GDPR επιρροή
Τα δύο αναφερόμενα τμήματα είτε αυτά είναι άτυπα είτε είναι δομημένα σε μια επιχείρηση , θα πρέπει να οργανωθούν έτσι ώστε να συμμαζέψουν τα δεδομένα χρήσης των πελατών τους. Σε αυτή τη περίπτωση πολύ απλά τα pre–ticket boxes σε μια φόρμα συμπλήρωσης ή η προὠθηση σε άτομα που είναι σε κάποιες λίστες newsletter και δεν κάνανε unsubscribe ειδικά δε θα θεωρείται συναίνεση από το χρήστη.
Συγκεκριμένο opt–in συναίνεση είναι απαραίτητη για την επεξεργασία ευαίσθητων προσωπικών δεδομένων , ενώ για τα μη ευαίσθητα προσωπικά δεδομένα , μια χαλαρού τὐπου συναινεση είναι αρκετή και νόμιμη.Επίσης η πρόληψη για τη διαγραφή δεδομένων είναι απαραίτητη κάτω από το «δικαίωμα του να ξεχαστούν » έτσι η αίτηση του πελάτη να διαγραφούν τα δεδομένα του θα πρέπει να είναι μια εύκολή διαδικασία.
5 βήματα για το πλάνο της επιχείρησης
1.Opt–outs , ή ακόμη και αυτοί που παραμένουν σιωπηλοί, θα πρέπει τώρα να κάνουν opt–in διαδικασία ή να δώσουν ρητές συναινέσεις με κάποιο τρόπο αν επιθυμείτε να τους κρατήσετε στη λίστα προώθησης της επιχείρησης. Η διαδικασία φαντάζει τεράστια και δύσκολη αλλά θα πρέπει να σκεφτούμε τρόπους έτσι ώστε να καθαρίσουμε τη λίστα της βάσης δεδομένων μας διακριτά με διαφάνεια και να πετύχουμε ξεκάθαρο αποτέλεσμα. Αρα δε θα πρέπει να γίνει με τρόπους που θα καλύπτουν όλες τις περιπτώσεις και θα συμμορφώνουν τη βάση μας με τους ισχύοντες νόμους.
2. Η βάση δεδομένων είναι απαραίτητο να κάνει opt–in και να ανταποκριθεί για να συμμορφωθεί με τους ισχύοντες νόμους. Αρα θα πρέπει να δώσουμε ένα δυνατό λόγο για να απαντήσει το μεγαλύτερο ποσοστό και φυσικά να δείξουμε πως είναι προς όφελος των πελατών να είναι ενημερωμένοι από την επιχειρησή μας. Το περιεχόμενο απόστολής θα πρέπει να δίνει το στίγμα του τι θα χάσει ο πελάτης αν δεν ανταποκριθεί στο κάλεσμα
3.Κάτω από τους όρους του GDPR, το περιεχόμενο συγκατάθεσης και συναίνεσης θα πρέπει να είναι ξεκάθαρο ευανάγνωστο και να δίνει ακριβώς στο πελάτη την ευκολία να κάνει την επιλογή του για το αν και πως θέλουν αυτόί να επεξεργάζεται η εταιρεία τα δεδομένα τους
4. Το βασικό μέλημα της επιχείρησης είναι να κρατήσει ένα audit μονοπάτι με τις απαραίτητες καταγραφές για το ποιος έκάνε opt–in
5. Θα χρειαστεί ρητή συγκατάθεση για τις διαδικασίες προώθησης σε ένα υποκείμενο- Για παράδειγμα, μια συμμετοχή σε ένα συνέδριο και η συλλογή μιας κάρτας από κάποιον δε σημαίνει πως μπορούμε να τον καταχωρήσουμε στη λίστα μας. Θα πρέπει να κάνουν ρητή αποδοχή είτε ξεκλικάρωντας ένα κουτί σε μια φόρμα για να δείξουν ξεκάθαρη , θετική απόκριση, είτε να παρέχουν μια δήλωση ή πράξη που ξεκαθαρα υποδηλώνει πως δέχονται την συλλογή και επεξεργασία των δεδομένων τους. Αυτό θα μπορούσε να γίνει με τη συμπλήρωση Του email τους σε ένα τμήμα φόρμας με προαιρετική συμπλήρωση αυτού που θα έχει όμως σε κάθε περίπτωση μια αποποίηση ευθύνης για τη χρήση της.
Βασικά σημεία GDPR που θα πρέπει να έχουμε ως βάση
1 Χρειάζεται ρητή συγκατάθεση για κάθε ένα ξεχωριστό σκοπό καταχώρησης και επεξεργασίας δεδομένων και όχι γενικότητες και αοριστίες
2. Είμαστε υπέυθυνοι να τεκμηριώσουμε σαφώς τους όρους και τους σκοπούς συλλογής των δεδομένων από ένα υποκείμενο. Δηλαδή είμαστε υποχρεωμένοι να έχουμε ξεκάθαρες και διαφανείς δηλώσεις για τον ή τους σκοπούς χρήσης και επεξεργασίας των δεδομένων
3. Η αναίρεση της συγκατάθεσης από το υποκείμενο πρέπει να έιναι εύκολη και εφικτή ανά πάσα στιγμή. Δε μπορούμε να αρνηθούμε ή να μη δώσουμε την επιλογή αναίρεσης στο υποκείμενο
4. Δεν θα πρέπει σε καμία περίπτωση να ζητάμε τη συγκατάθεση του υποκειμένου με αντάλλαγμα τις υπηρεσίες μας. Η επιλογή για το αν θα αποδεχθεί η όχι είναι καυθαρά του υποκειμένου χωρίς αυτός να αποκλείεται από το εύρος των διαθέσιμων υπηρεσιών μας.
5.Η προστασία των δεδομένων για κάθε εφαρμογή, υπηρεσία ήδιεργασία της επιχείρησης θα πρέπει να σχεδιάζεται και να προγραμματίζεται εξ’αρχής και όχι να είναι επιπρόσθετη επιλογή στη συνέχεια. Είναι απαραίτητη για κάθε διεργασία είτε αυτή είναι ένα πρόγραμμα είτε μια απλή διαδικασία στην επιχείρηση
6.Είμαστε υποχρεωμένοι να προστατεύουμε τα δεδομένα με τα εξής κατάλληλα μέτρα:
- Α. Ελαχιστοποίηση της συλλογής και καταχώρησης προσωπικών δεδομένων έτσι ώστε αυτά να είναι όσα χρειαζόμαστε και όχι περισσότερα ή περιττά
- Β. Είναι πλέον απαραίτητη σχεδόν η ψευδονυμοποίηση ή κρυπτογράφηση των προσωπικών δεδομένων
- Γ. Χρειάζεται διαφάνεια και δυνατότητα ελέγχου του χειρισμού των δεδομένων. Θα πρέπει να έχουμε καταγεγραμμένες λίστες ελέγχου για το πώς που και για ποιο λόγο επεξεργάστηκαν τα δεδομένα του υποκειμένου
Το νομικό τμήμα –η νομική πλευρά
Τα δεδομένα εδώ είναι κάπως διαφορετικά δεδομένου πως σε κάθε περίπτωση η νομική πλευρά ήδη έχει να αντιμετωπίσει μια σειρά από κανονισμούς που αφορούν το πλαίσιο διεργασιών τους. Η πολυπλοκότητα του νομικού πλαισίου καθώς και η επαύξηση των οδηγιών για ιδιωτικότητα και ασφάλεια των δεδομένων έρχεται να επιβαρύνει ήδη το τοπίο. Επομένως θα πρέπει να επαναπροσδιορίσουμε τις βασικές αρχές συλλογής καταχώρησης και επεξεργασίας των δεδομένων για να συμμορφωθούμε πλήρως με το GDPR. Κάτω από τους νόμους του GDPR, η επιχείρηση ευθύνεται πλήρως για οποιαδήποτε παραβίαση των κανόνων που συνδέονται με την επεξεργασία των δεδομένων, είτε αυτό συνδέεται με την εσωτερική διεργασία είτε με διεργασίες τρίτων συνεργατών. Άρα το κύριο μελημά μας είναι να παρέχουμε ασφάλεια στα δεδομένα μας καθόλη τη διάρκεια των διεργασιών μας έιτε εντός είτε εκτός (υπηρεσίες τρίτων). Αυτός είναι και ο λόγος που θα πρέπει να έχουμε δυνατές και ισχυρές πολιτικές προαστασίας των δεδομένων αλλά και να είμαστε σε θέση να αξιολογήσουμε και να επιλέξουμε συνεργάτες με αντίστοιχες πολιτικές ασφαλείας. Για παράδειγμα, εφόσον χρησιμοποιούμε εξωτερικούς συνεργάτες για διαδικασίες όπως το PR ή το datacenter μας, θα πρέπει να επιβεβαιώσουμε την χρήση αυστηρών πολιτικών ασφαλείας και να συμφωνήσουμε με κάποια SLAs πως αυτά τηρούνται για τις διαδικασίες μας
5 Βήματα για ένα ορθό πλάνο
- Οποιαδήποτε συμβόλαια έχουν γίνει χωρίς να έχουμ λάβει υπόψη το GDPR θα πρέπει να επαναπροσδιοριστουν και να επιβεβαιώθεί πως τηρούνται οι νέες οδηγίρε ασφαλεία
- Επιβεβαιώνουμε πως κάθε νέο συμβόλαιο ή κανονισμός λαμβάνουν υπόψη το GDPR έτσι ώστε να μην βρεθούμε σε δύσκολή θέση να αλλάζουμε την τελευταία στιγμή τους όρους εφόσον θα χρειαστούν εκ νέου αναθεώρηση
- Αυτό μπορεί να γίνει εφόσον προσθέσουμε συγκεκριμένες παραγράφους ρύθμισης των δεδομένων στα συμβολαια που θα έιναι διακριτές και θα μπορούν να μεταβληθούν έτσι ώστε να συμμορφωθούν με το GDPR
- Θα πρέπει να συνεργαστούμε με τους προμηθευτές έτσι ώστε να έχουμε μια κοινή γραμμή πολιτικών που θα καλύπτουν τις οδηγίες του GDPR. Θα πρέπει όλοι να γνωρίζουν τις ευθύνες και τις υποχρεώσεις τους έτσι ώστε να μπορούμε να αντιδράμε γρήγορα και σωστά αλλά και να έχουμε τεκμηριωμένο πλάνο σε περίπτωση παραβίασης δεδομένων.
Λογιστικά και χρηματοοικονομικά Τμήματα
Τα χρηματοοικονομικά τμήματα χειρίζονται ευαίσθητα προσωπικά δεδομένα και αυτός είναι ο λόγος που θα πρέπει να βρούμε φόρμουλες προσαρμογής στις οδηγίες GDPR
Λόγω του όγκου των δεδομένων που χειρίζονται καθημερινά τα τμήματα αυτά, αυτος θα είναι και ο λόγος που οι χειριστές δεδομένων θα επικεντρωθούν σε αυτά τα δεδομένα. Σε αυτό το στάδιο όμως και έχοντας υπόψη πως ήδη υπάρχει αυστηρό πλαίσιο για την χρήση των δεδομένων αυτών, Οι οδηγίες GDPR θα έρθουν απλά να συμπληρώσουν και να ενδυναμώσουν την διαφανή και απρόσκοπτη διεργασία των χρηματοοικονομικών στις επιχειρήσεις
Leave a reply