Skip to main content

Κανονισμός Προστασίας Προσωπικών Δεδομένων: Πρόληψη και ασφάλιση κινδύνων

Του Γιώργου Κουτίνα*

Η ραγδαία εξέλιξη της τεχνολογίας και ιδιαίτερα της πληροφορικής, η ανάπτυξη νέων μορφών επικοινωνίας και νέων τρόπων συναλλαγής μέσω διαδικτυακών εφαρμογών, αλλά και η έκνομη δραστηριότητα που παράλληλα αναπτύχθηκε με παραβίαση πληροφοριακών συστημάτων, δημιούργησαν ένα πρωτόγνωρο κοινωνικό και οικονομικό περιβάλλον έντασης “τεχνολογικών κινδύνων” που μοιραία επηρεάζει τις ανθρώπινες σχέσεις και την επιχειρηματικότητα.

Με δεδομένο πως η τεχνολογική εξέλιξη προηγείται και μοιραία παρασύρει τον άνθρωπο στο να θεσμοθετήσει ένα σύστημα προστασίας, η Ευρωπαϊκή Ένωση και οι κυβερνήσεις των σύγχρονων κρατών, αναγκάσθηκαν να δημιουργήσουν κατάλληλο θεσμικό πλαίσιο που να προασπίζει τα συμφέροντα των Καταναλωτών και να θέτει κανόνες υγιούς επιχειρηματικότητας και προστασίας του ανταγωνισμού, χωρίς όμως να αποθαρρύνει την “ψηφιακή οικονομία” και τη σύγχρονη επικοινωνία (ηλεκτρονικό εμπόριο, internet banking, social media, smartphones κλπ),

Στις 25 Μαΐου 2018 τίθεται σε υποχρεωτική εφαρμογή στις χώρες μέλη της ΕΕ ο νέος Ευρωπαϊκός Κανονισμός Προστασίας Προσωπικών Δεδομένων (General Data Protection Regulation _ γνωστός ως Κανονισμός GDPR), γεγονός το οποίο δημιουργεί νέες υποχρεώσεις στις επιχειρήσεις (ενίσχυση του συστήματος εσωτερικού ελέγχου, θέσπιση νέων διαδικασιών διαχείρισης πληροφοριακών συστημάτων δίδοντας έμφαση στην προστασία / ακεραιότητα, εμπιστευτικότητα και διαθεσιμότητα των πληροφοριών.

Ο προαναφερθείς Κανονισμός απαιτεί τη λήψη τεχνικών και οργανωτικών μέτρων από κάθε επιχείρηση για την προστασία των δεδομένων που διαχειρίζεται και προβλέπει υποχρεωτική γνωστοποίηση στην αρμόδια Αρχή  των περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων, εντός 72ωρών από την ανακάλυψή τους.

Στη χώρα μας ο Κανονισμός GDPR αντιμετωπίζεται σήμερα με σχετική απάθεια από αρκετές επιχειρήσεις ή ακόμη και ως “απειλή” από ορισμένες εξαιτίας των προβλεπόμενων αυστηρών προστίμων (έως €20 εκατ. ή το 4% του συνολικού ετήσιου κύκλου εργασιών, ποιο ποσό είναι υψηλότερο). Βέβαια, υπάρχουν και αυτές που συνειδητοποιούν την ανάγκη αναδιοργάνωσης και προσαρμογής τους, ώστε και να αποφύγουν τυχόν πρόστιμα και να διαφυλάξουν την εταιρική εικόνα – φήμη τους.

Υποχρεώσεις των Επιχειρήσεων

Ο Κανονισμός GDPR θέτει αναμφίβολα σε πιο αυστηρή βάση τις βασικές αρχές που ισχύουν έως σήμερα για το χειρισμό των προσωπικών δεδομένων Πελατών – Τρίτων που τηρούν οι διάφορες επιχειρήσεις, απαιτώντας βελτίωση υφιστάμενων δομών και διαδικασιών. Ειδικότερα οι τομές του νέου Κανονισμού εστιάζονται στα ακόλουθα:
–  Ορισμός Υπεύθυνου Διαχείρισης Πληροφοριών (Data Protection Officer – DPO),  που θα αναλάβει την ευθύνη για την εφαρμογή του νέου Κανονισμού GDPR. Το συγκεκριμένο άτομο (DPO) πρέπει να γνωρίζει το νομοθετικό και κανονιστικό περιβάλλον, τις διαδικασίες λειτουργίας της επιχειρήσεις, να κατανοεί το μηχανογραφικό περιβάλλον και να λειτουργεί ως εκπρόσωπος της επιχείρησης έναντι των Αρχών, Εθνικών και Ευρωπαϊκών στα θέματα διαχείρισης προσωπικών δεδομένων. Επίσης, θα πρέπει να διασφαλίσει την εναρμόνιση της λειτουργίας της επιχείρησης σε ότι αφορά τις πολιτικές και τη μεθοδολογία επεξεργασίας, αποθήκευσης και μεταφοράς Δεδομένων Προσωπικού Χαρακτήρα.
–  Θέσπιση Πολιτική Προστασίας Δεδομένων με την οποία οι επιχειρήσεις θα εντοπίσουν τα προσωπικά δεδομένα που διαχειρίζονται και θα καταγράψουν τις διαδικασίες επεξεργασίας τους ώστε να διασφαλίζεται , στο μέτρο του δυνατού, η προστασία τους.
–  Υποχρέωση λογοδοσίας με σαφή και κατανοητή γλώσσα για την πολιτική  απορρήτου. Οι επιχειρήσεις όντας υπόλογες για τα προσωπικά δεδομένα των εργαζομένων, συνεργατών και πελατών τους, πρέπει να μπορούν να αποδεικνύουν πως έχουν λάβει τα βέλτιστα οργανωτικά και τεχνικά μέτρα προστασίας των προσωπικών δεδομένων που τηρούν και διαχειρίζονται.
Σαφής συγκατάθεση από τα πρόσωπα για την τήρηση και επεξεργασία των προσωπικών τους δεδομένων.
–  Ανακοίνωση στην αρμόδια Αρχή των συμβάντων παραβίασης δεδομένων που ενδέχεται να θέσουν σε κίνδυνο τα δικαιώματα και τις ελευθερίες των προσώπων που αφορούν τα εν λόγω δεδομένα.

Ασφάλιση CYBER RISKS

Όσα μέτρα και να λάβει μια επιχείρηση στην κατεύθυνση της προστασίας των δεδομένων που διαχειρίζεται και όσο υψηλό βαθμό συμμόρφωσης με τον Κανονισμό GDPR να επιτύχει, πάντοτε θα υπάρχει ο κίνδυνος κάτι να πάει λάθος, κάποιο τυχαίο ζημιογόνο συμβάν να επέλθει (residual risk). Το κενό αυτό έρχεται να καλύψει η Ασφάλιση.

Το θεσμικό πλαίσιο όπως αυστηρά θα ισχύει μοιραία εισάγει και την ανάγκη για κατάλληλη ασφαλιστική κάλυψη των κινδύνων που σχετίζονται με την οργάνωση και  διαχείριση των πληροφοριών μέσω ηλεκτρονικών συστημάτων και του διαδικτύου.
Προς τούτο, το διεθνοποιημένο σύστημα της Ιδιωτικής Ασφάλισης έχει ήδη δημιουργήσει το κατάλληλο ασφαλιστικό προϊόν για την κάλυψη των κινδύνων Πληροφορικής και Διαδικτύου. Πρόκειται για την ασφάλιση “Cyber Risks Insurance”, η οποία χωρίς να κοστίζει ακριβά, καλύπτει:

  • Ζημιές σε συστήματα Η/Υ ως αποτέλεσμα διαδικτυακού “εγκλήματος” από κάποιο κακόβουλο εξωτερικό ή και εσωτερικό παράγοντα.
  • Απώλεια εσόδων από διακοπή επιχειρηματικής δραστηριότητας λόγω περιστατικού παραβίασης πληροφοριακών συστημάτων.
  • Αστική Ευθύνη έναντι Τρίτων. Δηλαδή, αξιώσεις Τρίτων για ζημιά που υπέστησαν από υπαιτιότητα της Επιχείρησης
  • Χρηματική ζημιά από απώλεια Φήμης και Δυσφήμιση της Επιχείρησης
  • Υποστήριξη στη διαπραγμάτευση για καταβολή λύτρων, σε περίπτωση κακόβουλης επίθεσης και διαδικτυακού εκβιασμού από Hackers
  • Χρηματικές απώλειες συνέπεια “Διαδικτυακού Εγκλήματος” (Cyber Crime).
  • Έξοδα Υπεράσπισης & Υποστήριξης. Πρόκειται για ιδιαίτερα σημαντική κάλυψη όχι τόσο για το ύψος της αποζημίωσης δαπανών για τη διαχείριση ζημιογόνων συμβάντων αλλά για την ουσιαστική υποστήριξη με τη συνδρομή εξειδικευμένων Δικηγόρων και Συμβούλων Πληροφορικής που η ασφαλιστική εταιρεία έχει διαπιστεύσει για την τεχνογνωσία και τις ικανότητές τους.

Η “Ασφάλιση Κινδύνων Διαδικτύου”, αποτελεί καταρχήν τεκμήριο συμβατότητας με τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), αφού η υλοποίησή της προϋποθέτει ύπαρξη των κατάλληλων συστημάτων πρόνοιας για ασφαλή και χρηστή διαχείριση των προσωπικών δεδομένων. Στη βάση αυτή, εκτός του ότι συντελεί στην αποφυγή προστίμου, αποτελεί σοβαρό στρατηγικό “εργαλείο” που πρέπει να χρησιμοποιεί η κάθε επιχείρηση προκειμένου να προστατεύσει τον ισολογισμό της αντιμετωπίζοντας διεξοδικά τις οικονομικές συνέπειες των κινδύνων που δεν μπορεί να μηδενίσει / ελαχιστοποιήσει με τις διαδικασίες πρόληψης και προστασίας που εφαρμόζει.
Είναι απαραίτητο η ελληνική αγορά στο πλαίσιο εκσυγχρονισμού της να δει σοβαρά και να εμπεδώσει μια τέτοια ασφάλιση, συστατικό του σύγχρονου επιχειρείν.

* Εμπειρογνώμων Ασφαλίσεων, διευθύνων σύμβουλος της ΚΟΥΤΙΝΑΣ ΑΕ – Insurance Brokers, Ανταποκριτές Lloyd’s