GDPR: Τι είναι και τι αλλάζει

gdpr

Τι είναι ο GDPR;

Ο GDPR - General Data Protection Regulation - είναι o νέος Eυρωπαϊκός Kανονισμός που αποσκοπεί στην προστασία των προσωπικών δεδομένων και της ιδιωτικότητας. Μέσα από τις διατάξεις του μεριμνά για την προστασία του καταναλωτή και των στοιχείων που τον αφορούν και τον προσδιορίζουν ως οντότητα, οριοθετώντας ένα πλαίσιο διαφάνειας ως προς την συλλογή και διαχείριση των στοιχείων αυτών.

Χρειάζεται ο GDPR ή όχι;

Η ύπαρξη ενός κανονισμού που θα πλαισιώνει και θα προστατεύει τα προσωπικά δεδομένα του καταναλωτή είναι μία μάλλον θετική εξέλιξη. Μέχρι σήμερα υπήρχαν μόνο κοινοτικές οδηγίες που υπαγόρευαν με πιο χαλαρό τρόπο το πλαίσιο διάδρασης με τα προσωπικά δεδομένα καταναλωτών. Με τον GDPR υπάρχει πλέον κανονισμός με συγκεκριμένες διατάξεις, προβλέψεις, ρήτρες και χρονοδιάγραμμα. Άπαντες καλούνται να εναρμονιστούν με αυτόν υπό την προϋπόθεση ότι παρέχουν υπηρεσίες σε Ευρωπαίους πολίτες.

H χαλαρότητα των προηγουμένων ετών έδωσε τη δυνατότητα σε επιτήδειους να εξελίξουν περίπλοκα δίκτυα στα οποία ανταλλάσσονταν προσωπικά δεδομένα καταναλωτών, χωρίς δική τους προηγούμενη έγκριση. Αυτό είχε ως αποτέλεσμα να φτάσουμε ακόμη και σε επίπεδο παρενόχλησης καταναλωτών, με σκοπό φυσικά το κέρδος αυτών που διακινούσαν τα δεδομένα εις βάρος των υποκειμένων των δεδομένων (καταναλωτών).

Είναι πολύ πιθανόν ο καθένας από εμάς να έχει λάβει κάποιο μήνυμα στο κινητό του ή κάποιο email με διαφημίσεις συνήθως, από αποστολείς που δεν τους αναγνωρίζει και να μην μπορεί με τίποτα να διαγραφεί από ανεπιθύμητες λίστες που τον σπαμάρουν συνεχώς.

Η ασφάλεια των εφαρμογών είναι ένα από τα καυτά ζητήματα που θέτει επί τάπητος ο GDPR. Οι σύγχρονες πλέον εφαρμογές θα πρέπει να σχεδιάζονται με γνώμονα την προστασία των προσωπικών δεδομένων του καταναλωτή, κάτι το οποίο διαφέρει από την ασφάλεια συστημάτων ως γενική έννοια. Στο σύγχρονο κόσμο του διαδικτύου, η ηλεκτρονική παρανομία ανθεί και τα παράνομα πλέον δίκτυα έχουν ιδιαίτερα μεγάλη δυναμική να βυθίσουν ακόμη και τα μεγαλύτερα datacenters και να παρακάμψουν την ασφάλεια πολύπλοκων δομών ασφαλείας. Αναφορικά λοιπόν με την ασφάλεια, πέραν της τεχνολογικά ελεγχόμενης ασφάλισης των πληροφοριών (firewalls, κρυπτογραφήσεις κ.α.), ο GDPR πάει ένα βήμα παραπέρα και ζητά την λογική προστασία των προσωπικών δεδομένων των καταναλωτών μέσα από δομές οι οποίες θα καθιστούν πρακτικά άχρηστη και ασύνδετη την όποια πληροφορία αποκτήσει κάποιος με παράνομο τρόπο από κάποιο σύστημα.

Καλούνται λοιπόν όλοι όσοι διαχειρίζονται προσωπικά δεδομένα καταναλωτών, να βάλουν στο μικροσκόπιο τις διαδικασίες τους, να δουν τι δεδομένα συλλέγουν, αν τα χρειάζονται πραγματικά και πως θα μπορέσουν να διασφαλίσουν πρακτικά των καταναλωτή ακόμη και σε περίπτωση υποκλοπής των δεδομένων αυτών. Η κρυπτογράφηση και η ψευδωνυμοποίηση είναι όροι που οριοθετούν την παραπάνω προσέγγιση και αναφέρονται τακτικά σε άρθρα του κανονισμού με επιμέρους διευκρινήσεις.

Σε ποιους αναφέρεται;

Ο GDPR αναφέρεται σε όσους αλληλεπιδρούν με προσωπικά δεδομένα Ευρωπαίων πολιτών. Η αλληλεπίδραση δεν είναι αναγκαίο να είναι μόνο ηλεκτρονική. Ακόμη και η περίπτωση φυσικής κλοπής ενός μηχανήματος από ένα χώρο εργασίας θα πρέπει να απασχολήσει έντονα τον ιδιοκτήτη μιας επιχείρησης, εφόσον σε αυτόν τον υπολογιστή υπάρχουν αποθηκευμένα προσωπικά δεδομένα πελατών. Μπορούν επί παραδείγματι, να κρυπτογραφούνται τα δεδομένα στους σκληρούς δίσκους των υπολογιστών και να προστατεύονται με κωδικούς σε επίπεδο hardware ακόμη, ώστε και σε περίπτωση φυσικής κλοπής να είναι δύσκολο ή και αδύνατο να αντληθούν από εκεί πληροφορίες.

Σκεφτείτε το ακραίο αλλά πιθανό σενάριο, να εισέλθει κάποιος σε ένα μικροβιολογικό εργαστήριο και να κλέψει έναν φάκελο με τις ιατρικές εξετάσεις ενός ασθενούς και να τον εκβιάζει εν συνεχεία για κάποιον λόγο που να σχετίζεται με τις εξετάσεις αυτές. Ακόμη και σε αυτήν την περίπτωση ο GDPR, καλεί όσους διατηρούν προσωπικά δεδομένα καταναλωτών, να προστατέψουν με μηχανισμούς ακόμη και τα φυσικά έντυπα. Συνεπώς στο παράδειγμά μας, θα μπορούσαν αυτά τα έντυπα να είναι αφενός κλειδωμένα σε ντουλάπι, αφετέρου θα μπορούσαν ενδεχομένως να μην αναφέρονται όλα τα στοιχεία του ασθενούς επάνω στις εξετάσεις. Εναλλακτικά, θα ήταν προτιμότερο να υπάρχει μόνο ένας κωδικός ασθενούς, οπότε να χρειαστεί να παραβιαστεί και ένα δεύτερο σύστημα προκειμένου να ταυτοποιήσει ο υποκλέπον τα δεδομένα, με το φυσικό πρόσωπο στο οποίο ανήκουν.

Φυσικά ο σχεδιασμός φορμών, εντύπων και η αποθήκευση δεδομένων μπορεί να υπαγορεύονται και από ήδη υπάρχουσες νομοθετικές διατάξεις, οπότε κατά περίπτωση οι υπεύθυνοι θα πρέπει να ερευνούν τις βέλτιστες τεχνικές και πολιτικές διασφάλισης προσωπικών δεδομένων, προκειμένου να εξασφαλίσουν την προστασία και ανωνυμία των καταναλωτών / πελατών τους.

Πηγή: ip.gr