Όπως πιθανόν θα έχετε μάθει, στις 25 Μαΐου 2018 μπαίνει σε ισχύ ο νέος κανονισμός για την επεξεργασία προσωπικών δεδομένων GDPR (General Data Protection Regulation), που θα αφορά όλες τις εταιρείες και τους οργανισμούς (του δημόσιου και του ιδιωτικού τομέα) που αποθηκεύουν, επεξεργάζονται και χρησιμοποιούν δεδομένα Ευρωπαίων πολιτών.
Συνοπτικά, στην ψηφιακή αυτή εποχή που ζούμε και, έπειτα από αρκετές κυβερνοεπιθέσεις σε μεγάλους οργανισμούς, τα δεδομένα πολλών πολιτών χρησιμοποιήθηκαν παράνομα για στοχευμένο μάρκετινγκ. Έτσι, η Ευρωπαϊκή Ένωση αποφάσισε να βελτιώσει τους νόμους και τις οδηγίες που ήδη ίσχυαν, εισάγοντας τον GDPR.
Αυτό, πρακτικά, σημαίνει πως «πέφτει η αυλαία» για τις μαζικές λίστες με στοιχεία πελατών που βρίσκονται ξεχασμένες σε κοινούς server εταιρειών και για τη μαζική αποστολή email σε 1.000 παραλήπτες που μπορούν να βλέπουν ο ένας τα στοιχεία του άλλου, ενώ πρέπει να ξεχάσουμε μια για πάντα τα μηνύματα από εταιρείες στις οποίες δεν έχουμε δώσει ποτέ τα στοιχεία μας.
Με απλά λόγια, όλοι εμείς που δίνουμε τα στοιχεία μας σε μια εταιρεία και αυτά καταχωρούνται σε βάσεις δεδομένων, έχουμε το δικαίωμα να ενημερωνόμαστε για αυτό, να γνωρίζουμε για ποιους λόγους επεξεργάζονται οι εταιρείες τα στοιχεία μας, να μπορούμε να τα αλλάξουμε ή να τα διαγράψουμε, να τα μεταφέρουμε σε άλλον υπεύθυνο επεξεργασίας και –τέλος- να ενημερωνόμαστε άμεσα όταν τα στοιχεία μας έχουν παραβιαστεί/κλαπεί.
Παράλληλα, δημιουργήθηκε και μια νέα θέση εργασίας στις εταιρείες και τους οργανισμούς: αυτή του υπεύθυνου προστασίας δεδομένων (DPO, δηλαδή Data Protection Officer), η οποία μπορεί να καλυφθεί εσωτερικά από κάποιον υπάλληλο ή μέσω εξωτερικού συνεργάτη.
Μέσα σε αυτό το κλίμα αλλαγής, αν και υπάρχουν ορισμένες επιχειρήσεις και οργανισμοί (κυρίως σε χώρες όπως Σουηδία, Γερμανία, Δανία) που ήδη έχουν πρωτόκολλα και ανθρώπους αποκλειστικά για θέματα συλλογής, αποθήκευσης και επεξεργασίας δεδομένων, οι περισσότερες εταιρείες τρέχουν και δε φτάνουν!
Έτσι, βλέπουμε να εμφανίζονται από το πουθενά εταιρείες και πρόσωπα, δηλώνοντας ειδικοί στο θέμα και έτοιμοι να προσφέρουν τις υπηρεσίες τους. Αυτό δεν είναι μόνο ελληνικό φαινόμενο, αφού και στην Αγγλία -όπου ο κρατικός οργανισμός προστασίας δεδομένων (ICO) έχει ξεκινήσει πολλές καμπάνιες ενημέρωσης- παρουσιάζονται ξαφνικά επαγγελματίες και εταιρείες ως «ειδικοί» και χρεώνουν απίστευτα ποσά για να… «βοηθήσουν» στην προστασία των δεδομένων.
Όμως τα πράγματα είναι πολύ πιο σοβαρά και δεν λύνονται απλώς με τη «βοήθεια» κάποιου. Υπάρχουν εταιρείες και οργανισμοί που θα πρέπει, ξαφνικά, να αντιμετωπίσουν σοβαρές προκλήσεις σε μια δύσκολη οικονομική εποχή για όλους.
Για την ierax analytix, ο ρόλος του DPO στην πραγματικότητα είναι DPT (Data Protection Team), μια ομάδα στην οποία θα συμπεριλαμβάνεται, απαραιτήτως, ένας δικηγόρος με γνώση ανθρώπινων δικαιωμάτων, τεχνικός ΙΤ με γνώση δικτύων και προστασίας από εξωτερικές απειλές και data analyst/handler με γνώση σε διαχείριση και κρυπτογράφηση βάσεων δεδομένων.
Για τις πρώτες δύο ειδικότητες –ευτυχώς- βλέπουμε ανθρώπους να κάνουν αξιόλογες προσπάθειες, όμως η κατηγορία των αναλυτών έχει μείνει –περιέργως- εκτός των συζητήσεων. Και είναι αξιοπερίεργο, γιατί οι data analysts/handlers είναι η μόνη ειδικότητα που έχει εμπειρία και έχει χειριστεί βάσεις δεδομένων, άρα ήδη γνωρίζει τη σημασία και τη δυναμική τους.
Για την δική μας εταιρεία, το θέμα του GDPR απαιτεί προσοχή και επαγρύπνηση. Από τη μια ετοιμαζόμαστε για να έχουμε τα κατάλληλα εργαλεία να προσφέρουμε στις εταιρείες, αλλά από την άλλη αναγνωρίζουμε ρεαλιστικά ότι η αρχική περίοδος του GDPR θα είναι αναγνωριστική, ενώ μόνο μέσα από τα κατάλληλα case studies (παραδείγματα) θα στηθούν σωστά τα εργαλεία και θα «διαμορφωθούν» οι ειδικοί. Άλλωστε, κατά τη διάρκεια του πρώτου διαστήματος της ισχύος του κανονισμού, θα γίνονται κατά κύριο λόγο παρατηρήσεις στις εταιρείες και θα επιβάλλονται μικρά πρόστιμα, ενώ τα τεράστια ποσά που ακούμε (μέχρι 20.000.000 ευρώ) θα ισχύουν αργότερα. Αντίστοιχα θα δούμε τον GDPR να έρχεται μερικές φορές σε αντίθεση με το δικαίωμα στη διάχυση των πληροφοριών και στο δικαίωμα του επιχειρεί ν, και έτσι να δυσκολεύει την προσαρμογή και απορρόφησή του.
Για τώρα, εμείς στην ierax analytix στήνουμε τα κατάλληλα πρωτόκολλα και ετοιμάζουμε μια υπηρεσία που θα προσφέρει στις εταιρείες και στους οργανισμούς τη δυνατότητα να διαχειρίζονται προσωπικά δεδομένα χωρίς το φόβο ότι θα εκτεθούν και θα βρεθούν στη δυσάρεστη θέση να απολογούνται για τον τρόπο διαχείρισης των δεδομένων των πελατών τους. Όλα είναι θέμα συνεργασίας και ειλικρίνειας: χωρίς αυτά καμία ενέργεια που αφορά προσωπικά δεδομένα δεν πρόκειται να ευδοκιμήσει. Το σημαντικό είναι να γίνει η κατάλληλη αυτοψία στις εταιρείες, ώστε να υπάρχει μια πλήρης εικόνα για τα δεδομένα που διαχειρίζονται και να γίνουν οι απαραίτητες ενέργειες, ώστε να ικανοποιηθούν οι βασικές απαιτήσεις του GDPR σε θέματα συλλογής, διατήρησης, επεξεργασίας δεδομένων και ενημέρωσης πολιτών.