Ο νέος Ευρωπαϊκός Κανονισµός που τίθεται σε άµεση εφαρµογή στις 25 Μαΐου 2018, έρχεται για να θωρακίσει τα προσωπικά δεδοµένα στη νέα τεχνολογική εποχή και παρ’ όλο που αρκετές επιχειρήσεις -ειδικότερα µεγάλου µεγέθους- εµφανίζονται προετοιµασµένες, εντούτοις, η γενικότερη εκτίµηση που επικρατεί είναι πως σε ορισµένους τοµείς και δη στον δηµόσιο τοµέα υπάρχει ακόµα δουλειά που πρέπει να γίνει. «Με τον νέο Κανονισµό ενισχύονται υφιστάµενα δικαιώµατα και δηµιουργούνται νέα για τα φυσικά πρόσωπα», όπως ανέφερε σε πρόσφατη συνέντευξή της στο περιοδικό Capital Today η Επίτροπος Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα, κα Ειρήνη Λοϊζίδου-Νικολαΐδου, η οποία πραγµατοποίησε σειρά επαφών και παρουσιάσεων µε όλους τους επηρεαζόµενους φορείς για ενηµέρωση σχετικά µε τον νέο Κανονισµό και τη σωστή εφαρµογή του.
ΟΛΟΚΛΗΡΩΘΗΚΕ Η ∆ΙΑΒΟΥΛΕΥΣΗ
Στο µεταξύ, ολοκληρώθηκε περί τα τέλη Απριλίου η σχετική διαβούλευση σε ό,τι αφορά στο προσχέδιο του Νοµοσχεδίου για την εφαρµογή στην Κύπρο ορισµένων διατάξεων του νέου Κανονισµού για προστασία των προσωπικών δεδοµένων. Το νοµοσχέδιο αναµένεται να κατατεθεί στη Βουλή από το Υπουργείο ∆ικαιοσύνης και ∆ηµοσίας Τάξεως το συντοµότερο, αφού θα πρέπει να υιοθετηθεί από την Ολοµέλεια του Σώµατος πριν από τις 25 Μαΐου 2018. Με τον νέο Κανονισµό εισάγονται νέες υποχρεώσεις για όλους τους οργανισµούς και φορείς που τηρούν αρχεία και επεξεργάζονται προσωπικά δεδοµένα όπως είναι, µεταξύ άλλων, ο διορισµός Υπεύθυνων Προστασίας ∆εδοµένων, η επιβολή προστίµων σε περίπτωση µη συµµόρφωσης, το όριο ηλικίας σε ό,τι αφορά τις υπηρεσίες στην κοινωνία της πληροφορίας. Συγκεκριµένα όπως αναφέρεται, «όταν η προσφορά υπηρεσιών της κοινωνίας της πληροφορικής απευθείας σε παιδί βασίζεται στη συγκατάθεση του παιδιού, η επεξεργασία δεδοµένων προσωπικού χαρακτήρα είναι σύννοµη, εάν το παιδί είναι τουλάχιστον δεκατεσσάρων ετών». «Για παιδί ηλικίας µέχρι 14 ετών, η επεξεργασία αυτή είναι σύννοµη κατόπιν συγκατάθεσης που παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική µέριµνα του παιδιού».
ΓΙΑΤΙ ΑΛΛΑΖΕΙ ΤΟ ΠΛΑΙΣΙΟ
Σύµφωνα µε παρουσίαση που πραγµατοποίησε η αρµόδια Επίτροπος στο ΚΕΒΕ η υφιστάµενη οδηγία (95/46/ΕΚ) µετά από περίπου µια εικοσαετία, θεωρείται ξεπερασµένη-δεν ανταποκρίνεται επαρκώς στις ανάγκες της εποχής λόγω:
• Των ραγδαίων τεχνολογικών εξελίξεων π.χ. smartphones, mobile banking
• Της χρήσης του διαδικτύου και των νέων υπηρεσιών που παρέχει π.χ. ηλεκτρονικό εµπόριο
• Της ανάπτυξης της ψηφιακής οικονοµίας π.χ. internet banking
• Της ευρείας χρήσης των µέσων κοινωνικής δικτύωσης
• Της αυξανόµενης δηµοσιοποίησης προσωπικών πληροφοριών και διάθεσής τους σε παγκόσµιο επίπεδο
«ΥΠΑΡΧΕΙ ∆ΡΟΜΟΣ ΑΚΟΜΑ»
«Για την εφαρµογή του νέου Κανονισµού υπολογίζεται ότι 75.000 επαγγελµατίες θα ασχολούνται µε την προστασία των προσωπικών δεδοµένων ευρωπαϊκά, άρα και στην Κύπρο θα δηµιουργηθεί ένας αριθµός επαγγελµατιών», αναφέρει σε δήλωσή του στο Capital Today ο πρόεδρος του ∆.Σ. του Συνδέσµου Προστασίας Πληροφοριών και Ιδιωτικότητας Κύπρου κ. Κυριάκος Παρπούνας. Μιλώντας µας για τη δηµιουργία του Συνδέσµου, ο κ. Παρπούνας ανέφερε ότι δηµιουργήθηκε ως απόρροια του νέου Γενικού Κανονισµού για την προστασία των προσωπικών δεδοµένων. «Θέλαµε να στεγάσουµε αυτούς τους επαγγελµατίες, ώστε να αποκτήσουν φωνή, να τύχουν εκπαίδευσης, να καθορίσουµε έναν κώδικα επικοινωνίας και συµπεριφοράς, για να καθορίσουµε ένα υψηλό επίπεδο παροχής υπηρεσιών». Ανάµεσα στους στόχους του Συνδέσµου είναι η ευαισθητοποίηση του κοινού και η ενηµέρωση των Οργανισµών.
Τονίζοντας τη σηµασία και τη σοβαρότητα, µε την οποία αντιµετωπίζει η Ευρώπη τον Κανονισµό, αναφέρθηκε στα εξοντωτικά πρόστιµα που προβλέπονται. Κληθείς να σχολιάσει κατά πόσον οι επιχειρήσεις είναι έτοιµες να εφαρµόσουν τον Κανονισµό εξέφρασε την άποψη ότι δεν θα είναι έτοιµες να τον εφαρµόσουν πλήρως στις 25 Μαΐου, προσθέτοντας πως ούτε στην υπόλοιπη Ευρώπη είναι έτοιµοι.
• ΤΙ ΕΙΝΑΙ ΤΑ ΠΡΟΣΩΠΙΚΑ ∆Ε∆ΟΜΕΝΑ
Όπως αναφέρεται στο προσχέδιο του Νοµοσχεδίου, «δεδοµένα προσωπικού χαρακτήρα» σηµαίνει κάθε πληροφορία που αφορά ταυτοποιηµένο ή ταυτοποιήσιµο φυσικό πρόσωπο («υποκείµενο των δεδοµένων»). Το ταυτοποιήσιµο φυσικό πρόσωπο είναι εκείνο, του οποίου η ταυτότητα µπορεί να εξακριβωθεί άµεσα ή έµµεσα, ιδίως µέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας όπως σε όνοµα, σε αριθµό ταυτότητας, σε δεδοµένα θέσης, σε επιγραµµικό αναγνωριστικό ταυτότητας, ή σε ένα ή περισσότερους παράγοντες που προσιδιάζουν στη σωµατική, φυσιολογική, γενετική, ψυχολογική, οικονοµική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
• ΤΙ ΣΗΜΑΙΝΕΙ ΠΑΡΑΒΙΑΣΗ ∆Ε∆ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Σύµφωνα µε το προσχέδιο του νοµοσχεδίου, «παραβίαση δεδοµένων προσωπικού χαρακτήρα σηµαίνει την παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνοµη καταστροφή, απώλεια, µεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδοµένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύθηκαν ή υποβλήθηκαν κατά άλλο τρόπο σε επεξεργασία».
• ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΩΠΙΚΩΝ ∆Ε∆ΟΜΕΝΩΝ
Ο Υπεύθυνος Προστασίας ∆εδοµένων (ΥΠ∆) είναι υπεύθυνος για την παρακολούθηση της συµµόρφωσης µε τον Κανονισµό εντός του Οργανισµού. Ο ρόλος του είναι συµβουλευτικός. Κύρια καθήκοντά του είναι να ενηµερώσει τον υπεύθυνο επεξεργασίας για τις υποχρεώσεις του, να παράσχει συµβουλές, εφόσον του ζητηθεί σχετικά µε το πότε και πώς θα πρέπει να διενεργηθεί η εκτίµηση των επιπτώσεων της σχεδιαζόµενης πράξης, ενώ αποτελεί το σηµείο επαφής µεταξύ του Οργανισµού και του Γραφείου του Επιτρόπου. Οργανισµοί που πρέπει να ορίσουν Υπεύθυνο
Επεξεργασίας ∆εδοµένων είναι:
• Εάν η επεξεργασία διενεργείται από δηµόσια αρχή ή δηµόσιο φορέα (ανεξάρτητα από το είδος των δεδοµένων που υφίστανται επεξεργασία).
• Εάν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας, οι οποίες απαιτούν τακτική και συστηµατική παρακολούθηση των υποκειµένων των δεδοµένων σε µεγάλη κλίµακα.
• Εάν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν µεγάλης κλίµακας επεξεργασία ειδικών κατηγοριών δεδοµένων ή δεδοµένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήµατα.
«ΕΚΤΕΛΩΝ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ»
«Εκτελών την επεξεργασία» σηµαίνει το φυσικό ή νοµικό πρόσωπο, ή δηµόσια αρχή, ή υπηρεσία ή άλλο φορέα που επεξεργάζεται δεδοµένα προσωπικού χαρακτήρα για λογαριασµό του υπεύθυνου της επεξεργασίας.
ΤΡΑΠΕΖΑ ΚΥΠΡΟΥ: «ΠΡΟΚΛΗΣΗ ΠΟΥ ΑΔΡΑΞΑΜΕ ΤΟ GDPR»
Έτοιµη να ανταποκριθεί στις απαιτήσεις του νέου Κανονισµού για προστασία των προσωπικών δεδοµένων
Την προστασία των προσωπικών δεδοµένων των Ευρωπαίων πολιτών στοχεύει να ενισχύσει ο νέος Κανονισµός 2016/679 της Ευρωπαϊκής Ένωσης µε την ονοµασία Γενικός Κανονισµός για την Προστασία ∆εδοµένων [General Data Protection Regulation (GDPR)]. Στην ψηφιακή εποχή µας σχεδόν όλες οι δραστηριότητες, επιχειρηµατικές και µη, γίνονται ηλεκτρονικά. Ως εκ τούτου, αν δεν υπάρχει ικανοποιητική προστασία και εποπτεία στο πώς κρατικές ή και ιδιωτικές εταιρείες χειρίζονται τα προσωπικά δεδοµένα των πολιτών που συναλλάσσονται µαζί τους, η όλη δραστηριότητα και αλληλεπίδραση µπορεί να αποβεί εξαιρετικά επιζήµια. Επικίνδυνα ενδεχόµενα αυτού του είδους επιδιώκει να εξουδετερώσει η Ευρωπαϊκή Ένωση µε τον νέο κανονισµό για την προστασία δεδοµένων. Εγκρίθηκε από το Ευρωκοινοβούλιο και τίθεται σε ισχύ από τις 25 Μαΐου. Βασικός στόχος να διασφαλιστεί ότι τα δεδοµένα φυσικών προσώπων δεν θα τυγχάνουν παράτυπης επεξεργασίας, ούτε θα κυκλοφορούν ελεύθερα χωρίς τη δική τους συγκατάθεση. Τον Κανονισµό αυτό καλούνται να εφαρµόσουν εταιρείες και οργανισµοί και στην Κύπρο σε περίπου έναν µήνα από σήµερα.
ΠΡΩΤΟΠΟΡΟΣ ΟΡΓΑΝΙΣΜΟΣ
Η Τράπεζα Κύπρου προετοιµάζεται εδώ και αρκετό καιρό, για να ανταποκριθεί στις απαιτήσεις του νέου ευρωπαϊκού κανονισµού. Η κα Ζωή Στυλιανού, Υπεύθυνη Προσωπικών ∆εδοµένων, στη ∆ιεύθυνση Συµµόρφωσης, ανέφερε στο Capital Today ότι η πρώτη ενέργεια του οργανισµού ήταν να δηµιουργήσει τη θέση που κατέχει τώρα. Στη συνέχεια, όπως µας είπε η κα Στυλιανού «έλαβε χώρα ενδελεχής διαβούλευση µε τη ∆ιεύθυνση της Τράπεζας και τους ανθρώπους κλειδιά σε τµήµατα που έχουν άµεση σχέση µε δεδοµένα πελατών και θα επηρεαστούν σε µεγάλο βαθµό από τον κανονισµό». Η Τράπεζα διοργάνωσε, επίσης, παρουσιάσεις και εκπαιδευτικά σεµινάρια, ώστε όλα να είναι έτοιµα, όταν ο κανονισµός τεθεί σε ισχύ στις 25 Μαΐου.
Κατόπιν, έγινε σηµαντική δουλειά στο αρχείο δραστηριοτήτων, για να εντοπιστεί από πού προέρχεται η πληροφόρηση, πού αρχειοθετείται και φυλάσσεται, ποιοι έχουν πρόσβαση και, βέβαια, αν η επεξεργασία των δεδοµένων αυτών γίνεται µε βάση τις αρχές της νοµιµότητας, αντικειµενικότητας και διαφάνειας. Η κα Στυλιανού διευκρίνισε, επίσης, ότι «υπολογίστηκε ποια από τα δεδοµένα δεν είναι απολύτως απαραίτητα, έτσι ώστε να αποθηκευθούν µόνο όσα πραγµατικά χρειάζονται, υλοποιώντας την αρχή της ελαχιστοποίησης των δεδοµένων».
ΤΑ ΠΡΑΚΤΙΚΑ ΒΗΜΑΤΑ
Αφού τέθηκε το πλαίσιο, η Τράπεζα Κύπρου προχώρησε στα ακόλουθα πρακτικά βήµατα, για να διασφαλίσει ότι η εφαρµογή του κανονισµού θα είναι απρόσκοπτη.
▶ Ετοιµάστηκε και δηµοσιεύτηκε η δήλωση απορρήτου και η πολιτική για τα cookies.
▶ Εγκρίθηκε από το Συµβούλιο η νέα πολιτική Προστασίας Προσωπικών ∆εδοµένων και ο ρόλος και τα καθήκοντα του Υπεύθυνου Προσωπικών ∆εδοµένων.
▶ Αναθεωρήθηκαν έντυπα που σχετίζονται µε τη συλλογή προσωπικών δεδοµένων, ώστε να ενσωµατωθούν σε αυτά οι νέες πρόνοιες ή να γίνουν οι αναγκαίες διορθώσεις.
▶ Επανεξετάστηκαν διαδικασίες και καταρτίστηκε πολιτική διατήρησης αρχείων οποιασδήποτε µορφής, ώστε να συνάδει µε τον νέο Κανονισµό.
▶ Οικοδοµήθηκαν µηχανισµοί, ώστε να καθίσταται οµαλή η καταστροφή των ανωτέρω αρχείων.
▶ Έγινε η υποδοµή, ώστε να διασφαλίζονται τα δικαιώµατα στη φορητότητα, πρόσβαση, ενηµέρωση και διόρθωση των δεδοµένων, ενώ µελετήθηκαν τρόποι, για να περιοριστεί η επεξεργασία τους.
▶ ∆ηµιουργήθηκε η υποδοµή συλλογής, αρχειοθέτησης και διατήρησης της συγκατάθεσης, εκεί όπου χρειάζεται, µε βάση τον νέο Κανονισµό.
▶ Αναθεωρήθηκαν και ενισχύθηκαν οι διαδικασίες εντοπισµού περιστατικών ασφάλειας, ώστε να γίνεται ξεχωριστή καταχώριση αυτών που σχετίζονται µε µια πιθανή διαρροή προσωπικών δεδοµένων.
▶ Καταρτίστηκε πλάνο δράσης, ώστε ο Υπεύθυνος Προσωπικών ∆εδοµένων να µπορεί να έχει την απαιτούµενη πληροφόρηση έγκαιρα, για να ετοιµάζει τη σχετική έκθεση στην Επίτροπο Προστασίας Προσωπικών ∆εδοµένων εντός 72 ωρών, όπως απαιτείται.
▶ Ενσωµατώθηκαν οι διαδικασίες σχεδιασµού νέων προϊόντων, υπηρεσιών αλλά και αγοράς συστηµάτων.
▶ Ετοιµάσθηκαν προσθήκες στις συµφωνίες µε τους εκτελούντες την επεξεργασία για υπογραφή και εντοπίστηκαν περιπτώσεις που χρειάζονται περαιτέρω χειρισµό.
ΠΡΟΚΛΗΣΗ Ο ΚΑΝΟΝΙΣΜΟΣ
«Η Τράπεζα Κύπρου, ως οργανισµός έδινε και δίνει σηµασία στην προστασία των δεδοµένων. Είναι γνωστό, άλλωστε, ότι σχετικές πρόνοιες υπάρχουν και στον υφιστάµενο κανονισµό. Χωρίς αµφιβολία, όµως, µε τον νέο κανονισµό οι απαιτήσεις πολλαπλασιάζονται και καθίστανται πιο περίπλοκες. Αντιλαµβανόµαστε ότι η ∆ιεύθυνση της Τράπεζας υποστηρίζει θερµά τη διαδικασία εκσυγχρονισµού µηχανισµών και συστηµάτων, ώστε να εφαρµοστεί ο κανονισµός χωρίς προβλήµατα». Μας επισηµάνθηκε επίσης ότι η Τράπεζα Κύπρου είναι ο πρώτος οργανισµός στο νησί που ανακοίνωσε στον Τύπο και ανάρτησε στην ιστοσελίδα του τη δήλωση απορρήτου. Η Ζωή Στυλιανού τόνισε χαρακτηριστικά στο Capital Today: «Είναι σηµαντικό για µας οι πελάτες µας να νιώθουν ασφάλεια και να µας έχουν εµπιστοσύνη για τη χρήση και διαφύλαξη των προσωπικών τους δεδοµένων. Το GDPR το βλέπουµε σαν πρόκληση και την αδράξαµε, ώστε να ενισχύσουµε ακόµα περισσότερο τις ιδιαίτερα καλές σχέσεις που έχουµε αναπτύξει µε τους πελάτες µας».
ΕΠΙΣΤΡΑΤΕΥΘΗΚΑΝ ΣΥΜΒΟΥΛΟΙ
Η Τράπεζα Κύπρου είχε ήδη υποδοµές για την προστασία δεδοµένων των πελατών της. Για τις ανάγκες του νέου κανονισµού, όµως, αναπτύχθηκαν περαιτέρω τα υφιστάµενα συστήµατα, ενώ χρησιµοποιήθηκε και η υφιστάµενη τεχνολογία. Οι απαιτήσεις βέβαια είναι πλέον αυξηµένες και κατόπιν µελέτης εισήχθησαν εργαλεία από τη διεθνή αγορά για ταχύτερη και αποτελεσµατικότερη διεκπεραίωση εργασιών και παρακολούθηση ενεργειών. Το πιεστικό χρονοδιάγραµµα εφαρµογής (στις 25 Μαΐου) κατέστησε, επίσης, αναγκαία την επιστράτευση συµβούλων, οι οποίοι µε τις γνώσεις και εµπειρίες τους βοηθούν στο να διεκπεραιώνονται οι αναγκαίες προετοιµασίες καλύτερα και ταχύτερα.
Σε αυτό το πλαίσιο η Τράπεζα χρησιµοποίησε τις υπηρεσίες της Deloitte, ενώ για περίπλοκες υποχρεώσεις ζητήθηκε και η συνδροµή της Deloitte Ευρώπης. Γνώµονας των ανωτέρω ενεργειών ήταν να ελαχιστοποιηθεί το περιθώριο λάθους και να διασφαλιστεί ότι το πέρασµα στον νέο κανονισµό θα γίνει όσο πιο σωστά και αποτελεσµατικά γίνεται. Όπως µας αναφέρθηκε, κλειδί παραµένει η κατανόηση και η ορθή ερµηνεία του Κανονισµού, σε συνδυασµό µε τη συνεχή ενηµέρωση και µελέτη των οδηγιών της Επιτρόπου που εκδίδονται σταδιακά. Επιπλέον, λαµβάνονται πολύ προσεκτικά υπ’ όψιν οι οδηγίες και η καθοδήγηση από την ΕΕ, αλλά και σχετικά άρθρα που εκδίδουν αρµόδιες οµάδες της Ένωσης.
ΑΥΣΤΗΡΟΙ ΚΑΝΟΝΕΣ
Με την εφαρµογή του κανονισµού επέρχονται σηµαντικές αλλαγές. ∆εν θα γίνεται µόνο η διαχείριση των ευαίσθητων δεδοµένων, αλλά και των δεδοµένων σχετικά µε τις διευθύνσεις διαδικτυακού πρωτοκόλλου (ΙΡ), των δεδοµένων τοποθεσίας, καθώς και άλλων παραγόντων, µέσω των οποίων εξακριβώνεται η ταυτότητα ενός προσώπου. «Τα δεδοµένα θεωρούνται ένα πολύτιµο περιουσιακό στοιχείο και, ως εκ τούτου, οι κανόνες για την προστασία, τη χρήση και την επεξεργασία τους καθίστανται πολύ πιο αυστηροί», τόνισε η κα Ζωή Στυλιανού, αναφέροντας χαρακτηριστικά:
«Ο κάθε οργανισµός έχει πλέον αυξηµένη την υποχρέωση της λογοδοσίας. Κάθε εργαζόµενος θα εκπαιδευτεί, ώστε να χρησιµοποιεί τα δεδοµένα µόνο για τον σκοπό που συλλέγονται και να τα καταστρέφει, όταν ο σκοπός αυτός δεν υφίσταται πλέον. Τα δεδοµένα πρέπει να προστατεύονται τόσο κατά τη φύλαξη όσο και κατά τη διακίνησή τους. Πρώτιστο µέληµά µας θα πρέπει να είναι η παρεµπόδιση και αποφυγή του οποιουδήποτε περιστατικού διαρροής ή υποκλοπής προσωπικών δεδοµένων».