Προετοιμασία για τον GDPR: Τι είναι και τι αλλάζει

Τι είναι ο GDPR;

Ο GDPR - General Data Protection Regulation - είναι o νέος Eυρωπαϊκός Kανονισμός που αποσκοπεί στην προστασία των προσωπικών δεδομένων και της ιδιωτικότητας. Μέσα από τις διατάξεις του μεριμνά για την προστασία του καταναλωτή και των στοιχείων που τον αφορούν και τον προσδιορίζουν ως οντότητα, οριοθετώντας ένα πλαίσιο διαφάνειας ως προς την συλλογή και διαχείριση των στοιχείων αυτών.

Χρειάζεται ο GDPR ή όχι;

Η ύπαρξη ενός κανονισμού που θα πλαισιώνει και θα προστατεύει τα προσωπικά δεδομένα του καταναλωτή είναι μία μάλλον θετική εξέλιξη. Μέχρι σήμερα υπήρχαν μόνο κοινοτικές οδηγίες που υπαγόρευαν με πιο χαλαρό τρόπο το πλαίσιο διάδρασης με τα προσωπικά δεδομένα καταναλωτών. Με τον GDPR υπάρχει πλέον κανονισμός με συγκεκριμένες διατάξεις, προβλέψεις, ρήτρες και χρονοδιάγραμμα. Άπαντες καλούνται να εναρμονιστούν με αυτόν υπό την προϋπόθεση ότι παρέχουν υπηρεσίες σε Ευρωπαίους πολίτες.

H χαλαρότητα των προηγουμένων ετών έδωσε τη δυνατότητα σε επιτήδειους να εξελίξουν περίπλοκα δίκτυα στα οποία ανταλλάσσονταν προσωπικά δεδομένα καταναλωτών, χωρίς δική τους προηγούμενη έγκριση. Αυτό είχε ως αποτέλεσμα να φτάσουμε ακόμη και σε επίπεδο παρενόχλησης καταναλωτών, με σκοπό φυσικά το κέρδος αυτών που διακινούσαν τα δεδομένα εις βάρος των υποκειμένων των δεδομένων (καταναλωτών).

Είναι πολύ πιθανόν ο καθένας από εμάς να έχει λάβει κάποιο μήνυμα στο κινητό του ή κάποιο email με διαφημίσεις συνήθως, από αποστολείς που δεν τους αναγνωρίζει και να μην μπορεί με τίποτα να διαγραφεί από ανεπιθύμητες λίστες που τον σπαμάρουν συνεχώς.

Η ασφάλεια των εφαρμογών είναι ένα από τα καυτά ζητήματα που θέτει επί τάπητος ο GDPR. Οι σύγχρονες πλέον εφαρμογές θα πρέπει να σχεδιάζονται με γνώμονα την προστασία των προσωπικών δεδομένων του καταναλωτή, κάτι το οποίο διαφέρει από την ασφάλεια συστημάτων ως γενική έννοια. Στο σύγχρονο κόσμο του διαδικτύου, η ηλεκτρονική παρανομία ανθεί και τα παράνομα πλέον δίκτυα έχουν ιδιαίτερα μεγάλη δυναμική να βυθίσουν ακόμη και τα μεγαλύτερα datacenters και να παρακάμψουν την ασφάλεια πολύπλοκων δομών ασφαλείας. Αναφορικά λοιπόν με την ασφάλεια, πέραν της τεχνολογικά ελεγχόμενης ασφάλισης των πληροφοριών (firewalls, κρυπτογραφήσεις κ.α.), ο GDPR πάει ένα βήμα παραπέρα και ζητά την λογική προστασία των προσωπικών δεδομένων των καταναλωτών μέσα από δομές οι οποίες θα καθιστούν πρακτικά άχρηστη και ασύνδετη την όποια πληροφορία αποκτήσει κάποιος με παράνομο τρόπο από κάποιο σύστημα.

Καλούνται λοιπόν όλοι όσοι διαχειρίζονται προσωπικά δεδομένα καταναλωτών, να βάλουν στο μικροσκόπιο τις διαδικασίες τους, να δουν τι δεδομένα συλλέγουν, αν τα χρειάζονται πραγματικά και πως θα μπορέσουν να διασφαλίσουν πρακτικά των καταναλωτή ακόμη και σε περίπτωση υποκλοπής των δεδομένων αυτών. Η κρυπτογράφηση και η ψευδωνυμοποίηση είναι όροι που οριοθετούν την παραπάνω προσέγγιση και αναφέρονται τακτικά σε άρθρα του κανονισμού με επιμέρους διευκρινήσεις.

Σε ποιους αναφέρεται;

Ο GDPR αναφέρεται σε όσους αλληλεπιδρούν με προσωπικά δεδομένα Ευρωπαίων πολιτών. Η αλληλεπίδραση δεν είναι αναγκαίο να είναι μόνο ηλεκτρονική. Ακόμη και η περίπτωση φυσικής κλοπής ενός μηχανήματος από ένα χώρο εργασίας θα πρέπει να απασχολήσει έντονα τον ιδιοκτήτη μιας επιχείρησης, εφόσον σε αυτόν τον υπολογιστή υπάρχουν αποθηκευμένα προσωπικά δεδομένα πελατών. Μπορούν επί παραδείγματι, να κρυπτογραφούνται τα δεδομένα στους σκληρούς δίσκους των υπολογιστών και να προστατεύονται με κωδικούς σε επίπεδο hardware ακόμη, ώστε και σε περίπτωση φυσικής κλοπής να είναι δύσκολο ή και αδύνατο να αντληθούν από εκεί πληροφορίες.

Σκεφτείτε το ακραίο αλλά πιθανό σενάριο, να εισέλθει κάποιος σε ένα μικροβιολογικό εργαστήριο και να κλέψει έναν φάκελο με τις ιατρικές εξετάσεις ενός ασθενούς και να τον εκβιάζει εν συνεχεία για κάποιον λόγο που να σχετίζεται με τις εξετάσεις αυτές. Ακόμη και σε αυτήν την περίπτωση ο GDPR, καλεί όσους διατηρούν προσωπικά δεδομένα καταναλωτών, να προστατέψουν με μηχανισμούς ακόμη και τα φυσικά έντυπα. Συνεπώς στο παράδειγμά μας, θα μπορούσαν αυτά τα έντυπα να είναι αφενός κλειδωμένα σε ντουλάπι, αφετέρου θα μπορούσαν ενδεχομένως να μην αναφέρονται όλα τα στοιχεία του ασθενούς επάνω στις εξετάσεις. Εναλλακτικά, θα ήταν προτιμότερο να υπάρχει μόνο ένας κωδικός ασθενούς, οπότε να χρειαστεί να παραβιαστεί και ένα δεύτερο σύστημα προκειμένου να ταυτοποιήσει ο υποκλέπον τα δεδομένα, με το φυσικό πρόσωπο στο οποίο ανήκουν.

Φυσικά ο σχεδιασμός φορμών, εντύπων και η αποθήκευση δεδομένων μπορεί να υπαγορεύονται και από ήδη υπάρχουσες νομοθετικές διατάξεις, οπότε κατά περίπτωση οι υπεύθυνοι θα πρέπει να ερευνούν τις βέλτιστες τεχνικές και πολιτικές διασφάλισης προσωπικών δεδομένων, προκειμένου να εξασφαλίσουν την προστασία και ανωνυμία των καταναλωτών / πελατών τους.

Τι ετοιμάζει η IP.GR αναφορικά με τον GDPR;

- Προσήλωση στα δικαιώματα πελάτη:

Εδώ και καιρό μελετούμε τα δεδομένα που ζητάμε από τους πελάτες μας. Σε τεχνολογικό επίπεδο λαμβάνουμε μέτρα που σχετίζονται με την κρυπτογράφηση κατά τη διακίνηση πληροφοριών μέσα από ασφαλείς συνδέσεις δικτύου. Κάποιες από τις πληροφορίες καταναλωτών τις αποθηκεύουμε κρυπτογραφημένες στα συστήματά μας για λόγους ασφαλείας. Σε μερικές από τις φόρμες της ιστοσελίδας μας έχουν προκύψει τροποποιήσεις ώστε να είναι πιο ξεκάθαρη η έννοια της συγκατάθεσης του πελάτη για τα δεδομένα που δίνει στην εφαρμογή.

Μέσα από τη σελίδα του λογαριασμού του πελάτη, θα δίνεται η δυνατότητα στον πελάτη να ενημερωθεί για τα προσωπικά δεδομένα και εν συνεχεία θα δοθούν ειδικές φόρμες αλληλεπίδρασης, προκειμένου να πληρούνται οι προϋποθέσεις του GDPR και οι ειδικές συμβάσεις που ορίζουν τα συνεργαζόμενα μητρώα ονομάτων και τα συνεργαζόμενα datacenters για την διάθεση domains και hosting αντίστοιχα, καθώς και των λοιπών συνοδευτικών υπηρεσιών.

- Τεχνικά:

Σε επίπεδο αρχιτεκτονικής κάνουμε κατά το βέλτιστο δυνατό διαχωρισμό των servers που απαρτίζουν την ιστοσελίδα μας μέσα από n-tier αρχιτεκτονική, κάτι το οποίο αφορά και την ασφάλεια των δομών μας σε περίπτωση παραβίασης κάποιου υποσυστήματος.

Κάθε υποσύστημα λειτουργεί με τα ελάχιστα δικαιώματα πρόσβασης από συγκεκριμένα άλλα υποσυστήματα ώστε να περιοριστούν κατά το δυνατό οι επιρροές από εξωγενείς παράγοντες.

Σε επίπεδο ασφάλισης από φυσική κλοπή, έχουμε προβεί ήδη σε κρυπτογράφηση δεδομένων σε όλους του υπολογιστές του χώρου εργασίας μας, σε αυστηρότερο έλεγχο διακίνησης εντύπων και πάσης φύσεως πληροφορίας και το σημαντικότερο σε ενημέρωση του προσωπικού για τις επιταγές του GDPR και της φιλοσοφίας γύρω από την προστασία προσωπικών δεδομένων.

- Συνεχής ενημέρωση / προσαρμογή:

Η προσαρμογή στον GDPR και στην νέα οπτική ως προς την διαχείριση προσωπικών δεδομένων των καταναλωτών, είναι μια διαδικασία που θα περάσει από την φάση της ανατροφοδότησης και επανασχεδιασμού πολλές φορές το προσεχές διάστημα για όλους.

Η εταιρεία μας βρίσκεται σε συνεχή αλληλεπίδραση με όλους τους συνεργαζόμενους φορείς που συμμετέχουν ως προς την παροχή των υπηρεσιών μας καθότι άπαντες προσαρμόζονται στον GDPR και προκειμένου να είναι σύμφωνα τα συστήματά μας με αυτά των συνεργατών μας και συγχρόνως σύμφωνα με τον GDPR.

- Νέοι όροι χρήσης:

Οι όροι χρήσης της υπηρεσίας μας αλλάζουν και αυτοί με την εφαρμογή του GDPR, προκειμένου να είναι πιο ξεκάθαροι για τον καταναλωτή, ως προς τους λόγους και τους τρόπους συλλογής και αλληλεπίδρασης με τα προσωπικά δεδομένα που τον αφορούν και τον προσδιορίζουν ως οντότητα. Εκεί θα αναφέρονται όλες οι ειδικές ρουτίνες που αφορούν τον GDPR μέσα σε ειδικές παραγράφους που θα καλύπτουν την ανωτέρω θεματολογία και όλα όσα προβλέπει η νέα νομοθεσία.

Αναλυτικά στοιχεία θα δοθούν με την διάθεση των αλλαγών από την τελική εφαρμογή του GDPR και μετά.

Μείνετε συντονισμένοι με το blog μας για όλα τα νέα που αφορούν τον GDPR αλλά και  και τις υπηρεσίες μας