Κάθε οργανισμός που χειρίζεται προσωπικά δεδομένα τα οποία αφορούν σε άτομα εντός της Ευρωπαϊκής Ένωσης, θα είναι υποχρεωμένος να συμμορφωθεί πλήρως με τους νέους κανονισμούς EU General Data Protection Regulation – GDPR, επανεξετάζοντας ή και αναθεωρώντας όλες τις διαδικασίες διαχείρισης των πληροφοριών του.
Ο Γενικός Κανονισμός Προστασίας Δεδομένων της ΕΕ GDPR έχει ως στόχο να διευρύνει την προστασία των δεδομένων στην εποχή των big data και του cloud computing, εξασφαλίζοντας ότι η προστασία των δεδομένων αποτελεί θεμελιώδες βασικό δικαίωμα, το οποίο θα ρυθμίζεται με συνέπεια σε όλη την Ευρώπη. Κάθε εταιρεία που εξυπηρετεί Ευρωπαίους πελάτες και συλλέγει τα δεδομένα τους, θα πρέπει να συμμορφώνονται με αυτή την οδηγία, ακόμη και αν η ίδια εδρεύει σε χώρα εκτός Ευρώπης.
Το νέο περιβάλλον στο οποίο καλούνται να δραστηριοποιηθούν οι επιχειρήσεις απαιτεί από αυτές:
• να έχουν εκπαιδεύσει κατάλληλα το ανθρώπινο δυναμικό τους
• να έχουν τα κατάλληλα μέτρα ασφαλείας και τις αναγκαίες πολιτικές για την προστασία των πληροφοριών
• να κάνουν αναλύσεις των επιπτώσεων που μπορούν να προκύψουν λόγω παραβίασης ιδιωτικότητας (Privacy Impact Assessment)
• να σχεδιάζουν προϊόντα και υπηρεσίες λαμβάνοντας υπόψη την προστασία της ιδιωτικότητας
• να ενημερώνουν τις αρμόδιες αρχές εντός 72 ωρών από τον εντοπισμό συμβάντος παραβίασης συστημάτων και απώλειας δεδομένων
• να έχουν ορίσει υπεύθυνο για την προστασία των δεδομένων (Data Protection Officer)
• να έχουν πλάνο αντιμετώπισης περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων (Incident Response Plan)
• να είναι έτοιμες να αποζημιώσουν τους πελάτες των οποίων τα δεδομένα δεν κατάφεραν να προστατεύσουν.
και προβλέπει πρόστιμα τα οποία μπορούν να φθάσουν έως 4% του τζίρου της επιχείρησης ή €20εκ όποιο από τα δύο είναι μεγαλύτερο.
Ο νέος Κανονισμός GDPR αναμένεται να αναγκάσει τις εταιρίες να συμμορφωθούν στα νέα δεδομένα, να προετοιμαστούν κατάλληλα επιλέγοντας προϊόντα και υπηρεσίες προστασίας των πληροφοριών που διαχειρίζονται, που θα τις βοηθήσουν να αντιμετωπίσουν αποτελεσματικά μελλοντικά περιστατικά, δημιουργώντας τις κατάλληλες συνθήκες που θα εξασφαλίσουν την ασφαλισιμότητα των εταιριών και την ανάπτυξη της αγοράς του cyber insurance.
Ο κανονισμός GDPR θα εφαρμοστεί το Μάιο του 2018, έτσι ώστε οι επιχειρήσεις να έχουν χρόνο για να προετοιμαστούν και να συμμορφωθούν πλήρως με το νέο πλαίσιο. Οι επιχειρήσεις που θα ολοκληρώσουν το έργο αυτό νωρίτερα δεν θα επωφεληθούν μόνο από το γεγονός ότι θα έχουν υπό έλεγχο τα δεδομένα τους αλλά θα επιτύχουν και ισχυρότερη διαχείριση δεδομένων που θα τους βοηθήσει να χρησιμοποιήσουν τους πόρους αποθήκευσής τους πιο αποτελεσματικά, κερδίζοντας πολύτιμες πληροφορίες για τα δεδομένα που αποθηκεύουν.
Ο νέος κανονισμός GDPR εισάγει νέες αρχές, όπως «το δικαίωμα να λησμονηθούν» καθώς και νέες υποχρεώσεις κοινοποίησης. Ως εκ τούτου, σε ορισμένες περιπτώσεις, μια εταιρεία πρέπει να διαγράφει εντελώς τα δεδομένα προσωπικού χαρακτήρα μέσα σε ένα ορισμένο χρονικό διάστημα, αν ένας χρήστης το απαιτήσει. Επιπλέον, τα άτομα που πλήττονται από την παραβίαση προσωπικών δεδομένων πρέπει να ειδοποιούνται χωρίς καθυστέρηση, εάν κάποιο από τα προσωπικά τους στοιχεία έχει διαρρεύσει σε λάθος χέρια, καθώς και για το ότι η διαρροή αυτή μπορεί να αποτελεί απειλή για τα δικαιώματα και τις ελευθερίες τους.