6 Παγίδες στο GDPR και πως να τις αποφύγετε!

Πρόσφατες έρευνες αποκαλύπτουν ότι οι επιχειρήσεις σε όλο τον κόσμο δεν γνωρίζουν αν συμμορφώνονται με τον κανονισμό της ΕΕ για την προστασία των προσωπικών δεδομένων (GDPR), ανεξάρτητα από το γεγονός ότι η προθεσμία εφαρμογής είναι λιγότερο από δύο μήνες μακριά. Εάν αυτό συνεχιστεί, θα υπάρξει παραβίαση της συμμόρφωσης με το GDPR και υψηλά πρόστιμα.

Εάν ο οργανισμός ή η επιχειρησή σας θέλει να αποφύγει την κατάταξή της στην "λίστα με τα κακά παιδιά" του GDPR τότε θα πρέπει να αποφύγετε τις παρακάτω 6 παγίδες!

 1) Αγνοήστε την όλη  "κατάσταση" με την Προστασία Προσωπικών Δεδομένων.

 Ναι, θα ήταν ευκολότερο εάν έπρεπε απλώς να προστατεύσετε τα προσωπικά στοιχεία των πελατών σας. Όλα αυτά τα χρόνια, η ασφάλεια των δεδομένων δεν υπήρξε προτεραιότητα των επιχειρήσεων, αλλά και στο ποιοι είχαν πρόσβαση ή στο που αποθηκεύτηκαν τα δεδομένα αυτά ήταν δευτερεύουσας σημασίας. Όμως, το GDPR δεν είναι ένας κανονισμός για την ασφάλεια των δεδομένων, είναι ένας κανονισμός για την προστασία δεδομένων. Ζητώντας από τις εταιρείες να παραδίδουν δεδομένα πελατών τους  στον νόμιμο ιδιοκτήτη τους ή να τα διαγράψουν εντελώς, η εταιρεία πρέπει να γνωρίζει πού βρίσκονται αυτά τα δεδομένα, ποιος έχει πρόσβαση σε αυτά και πως τα επεξεργάζεται. Τελικά, οι επιχειρήσεις δεν θα λάβουν μερική πίστωση χρόνου για την απόδειξη της ασφάλειας των προσωπικών δεδομένων των πελατών τους.

2) Δεν μπορώ να σε ξεχάσω πραγματικά .

 Ακόμα κι αν δεν χρησιμοποιούσατε το πορσελάνινο σερβίτσιο της μητέρας σας εδώ και χρόνια, δεν θα το πετούσατε. Ομοίως, οι επιχειρήσεις διστάζουν να διαγράψουν οριστικά όλα τα δεδομένα τους, και κυρίως τα αρχεία πελατών. Παρ 'όλα αυτά, σύμφωνα με το GDPR, ένας πολίτης της ΕΕ μπορεί να ζητήσει τη διαγραφή των αρχείων του (θυμηθείτε, το GDPR αφορά την ιδιωτικότητα των δεδομένων) και η επιχείρηση που κατέχει τα αρχεία αυτά, πρέπει να συμμορφώνεται. Ωστόσο, μερικές φορές, αυτό το δικαίωμα της διαγραφής ή του δικαιώματος στην λήθη αντιβαίνει στους υπάρχοντες νόμους. Για παράδειγμα, οι τράπεζες της ΕΕ πρέπει να διατηρούν δεδομένα πελατών για επτά χρόνια. Υπάρχουν επίσης ορισμένες καταστάσεις που θα μπορούσαν να απαιτούν από μια επιχείρηση να διατηρεί δεδομένα πελατών παρά το αίτημα του πελάτη να το διαγράψει. Αυτές περιλαμβάνουν επιστημονική ή ιστορική έρευνα που ωφελεί τη δημόσια υγεία ή το κοινό καλό. Αλλά αυτές είναι εξαιρέσεις από τον κανόνα. Εάν μια επιχείρηση δεν μπορεί να εντοπίσει και διαγράψει τα αρχεία του πελάτη και προσπαθεί να χρησιμοποιήσει ένα από αυτά τα "παραθυράκια" ως δικαιολογία, οι δικηγόροι των υποκειμένων θα μπορούν να πείσουν έναν δικαστή για αυτή τους την ανάγκη. 

3) Βασικά σε ξέχασα, αλλά μετά σε ξαναθυμήθηκα. 

Νομίζετε ότι η διαδικασία γύρω από το να "ξεχάσετε" κάποιον που θέλει να διαγραφεί, είναι εύκολη. Αλλά τι συμβαίνει εάν το άτομο αυτό μπαίνει στο σύστημά σας μέσω άλλου καναλιού; Εξετάστε μια επιχείρηση που έχει προσωπικά δεδομένα πολίτη της ΕΕ σε ένα σύστημα CRM. Τι γίνεται αν το άτομο αυτό έχει εγγραφεί σε ενημερωτικό δελτίο εταιρείας; Ή έχει δημοσιεύσει μια εικόνα του στη σελίδα Facebook της εταιρείας; Οι διευθύνσεις ηλεκτρονικού ταχυδρομείου και οι φωτογραφίες χαρακτηρίζονται ως προσωπικά δεδομένα και, ενώ πρέπει να διαγραφούν για να ικανοποιήσουν ένα αίτημα "Διαγραφής", είναι πιθανό να παραβλεφθούν. Τελικά, μια επιχείρηση θα πρέπει να ψάξει σε πολλά διαφορετικά συστήματα για προσωπικά δεδομένα που πρέπει να διαγραφούν. Ο περιορισμός της αναζήτησης στα συνηθισμένα συστήματα και δίκτυα, όπως μια βάση δεδομένων CRM ή ERP, δεν αρκεί.

4) Να είστε επιλεκτικοί στα δεδομένα πελατών που επιλέγετε να καταχωρίσετε ή να διαγράψετε.

Δεδομένα που χαρακτηρίζονται ως Προσωπικές Πληροφορίες από το GDPR μπορούν να σας εκπλήξουν. Φυσικά, το όνομα ενός πελάτη, η διεύθυνση ηλεκτρονικού ταχυδρομείου, ο αριθμός πιστωτικής κάρτας, ο αριθμός κοινωνικής ασφάλισης ή ο αριθμός διαβατηρίου μετράνε. Αλλά και τα γενετικά ή βιομετρικά δεδομένα που μπορούν να αναγνωρίσουν με μοναδικό τρόπο ένα άτομο, συμπεριλαμβανομένων φωτογραφιών, δακτυλικών αποτυπωμάτων, εγγραφών φωνής ή ακόμα και υπογραφών. Ακόμη και μια ανακοίνωση στα μέσα κοινωνικής δικτύωσης ή μια περιγραφή ενός πολίτη της ΕΕ χαρακτηρίζεται ως Προσωπικό Δεδομένο. Εάν οι επιχειρήσεις δεν γνωρίζουν ποια δεδομένα ταξινομούνται ως τέτοια (και μια πρόσφατη έρευνα αποκάλυψε ότι δεν το γνωρίζουν), σίγουρα δεν θα μπορέσουν να τα εντοπίσουν, απομονώσουν ή να τα διαγράψουν.

5) Η αποτυχία  εφαρμογής του δικαιώματος φορητότητας των προσωπικών δεδομένων ενός πολίτη της ΕΕ.

Παρόμοια με το δικαίωμα της διαγραφής, οι πολίτες της ΕΕ μπορούν να ζητούν και να λαμβάνουν όλα τα προσωπικά τους δεδομένα από μια επιχείρηση. Τα δεδομένα πρέπει να παραδίδονται «χωρίς εμπόδια», δωρεάν, και σε μορφή που θα τους είναι εύκολο να έχουν πρόσβαση και να τα επεξεργαστούν. Συνήθως, ο λόγος για αυτό το αίτημα είναι επειδή ο πελάτης θέλει να τερματίσει τη σχέση του με μια επιχείρηση, π.χ. έναν γιατρό ή μια τράπεζα, και πρέπει να μεταφέρει τα αρχεία του σε μια νέα επιχείρηση. Πριν από την GDPR, μια επιχείρηση μπορούσε να μην καταχωρήσει αυτό το αίτημα σαν υψηλή προτεραιότητα και σε ορισμένες βιομηχανίες, είναι δεδομένο για την επιχείρηση να χρεώνει τον πελάτη για αυτήν την υπηρεσία. Ωστόσο, με το GDPR, η επιχείρηση πρέπει ή να συμμορφώθεί ή να διακινδυνεύσει να της επιβληθεί πρόστιμο.

6) Να αναφέρεται μια διαρροή Προσωπικών Δεδομένων μέσα σε 72 ώρες

Η δημόσια κατακραυγή για τις παραβιάσεις δεδομένων είναι συνήθως διαχωρισμένη μεταξύ του γεγονότος ότι μια παραβίαση συνέβη και ότι η επιχείρηση περίμενε εβδομάδες - ακόμη και μήνες - για να την αναφέρει. Ο εντοπισμός, η επιδιόρθωση και η αποκάλυψη μιας παραβίασης συνεπάγεται τη συμβολή πολλών ατόμων.  Εάν δεν υπάρχει ήδη ένα σχέδιο, αυτή η διαδικασία μπορεί εύκολα να διαρκέσει αρκετές εβδομάδες. Αυτός ο συλλογισμός, ωστόσο, δεν θα βρει ένα συμπαθητικό κοινό μεταξύ των εποπτικών αρχών, οι οποίες έχουν επιφορτιστεί με την επιβολή της GDPR. Για μια ακόμη φορά, το GDPR αφορά την ιδιωτική ζωή των πολιτών, οπότε εάν έχει θιγεί η ιδιωτική ζωή ενός πολίτη της ΕΕ, πρέπει να ενημερωθεί το συντομότερο δυνατό. Προκειμένου μια επιχείρηση να αναφέρει παραβίαση εντός 72 ωρών, πρέπει να έχει υψηλό βαθμό εμπιστοσύνης στα δεδομένα των πελατών της, που έχουν ή μη, επηρεαστεί.

εμείς στην BENEFIT fs μπορούμε να σας καθοδηγήσουμε, να σας οργανώσουμε και να σας υποστηρίξουμε αν συμβεί κάποια παραβίαση με το Cyber Insurance

Η ​​ασφάλιση Cyber Insurance είναι ένα κρίσιμο κομμάτι της συνολικής στρατηγικής για τη διαχείριση των κινδύνων. Ενώ στον κυβερνοχώρο η ασφάλιση δεν μπορεί να εμποδίσει ένα περιστατικό ασφαλείας, μπορεί να βοηθήσει το πρόγραμμα ασφάλειας των πληροφοριών της εταιρείας με την παροχή βοήθειας μέσω εξειδικευμένων παρόχων που παρέχουν τις κατάλληλες υποδομές και το κατάλληλο ανθρώπινο δυναμικό, όταν εμφανίζεται συμβάν ασφάλειας μειώνοντας τις επιπτώσεις της παραβίασης στους πελάτες, τη φήμη της εταιρείας και το εμπορικό σήμα της.

 Πηγή: www.securityboulevard-com