Ο νέος Κανονισμός GDPR δίνει ιδιαίτερη σημασία στην υποχρέωση του υπεύθυνου επεξεργασίας να λαμβάνει μέτρα για την ασφάλεια των προσωπικών δεδομένων που επεξεργάζεται.
Συγκεκριμένα προβλέπει ότι λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας των προσωπικών δεδομένων έναντι των κινδύνων.
Με αυτή την πρόβλεψη ο GDPR είναι σαφές ότι δεν επιβάλλει σε όλες τις επιχειρήσεις να λαμβάνουν τα ίδια μέτρα. Άλλα μέτρα ασφαλείας των δεδομένων θα λάβει μία μικρή επιχείρηση με 10 εργαζόμενους που δεν επεξεργάζεται ευαίσθητα προσωπικά δεδομένα και άλλα μέτρα θα λάβει μία πολυεθνική επιχείρηση με εκατοντάδες εργαζόμενους που συλλέγει εκατομμύρια δεδομένα από τους χρήστες των υπηρεσιών της.
Δυστυχώς πολλές εταιρίες προσπαθούν να πείσουν τις μικρές επιχειρήσεις ότι είναι υποχρεωμένες λόγω του GDPR να προβούν σε υπερβολικές τεχνικές λύσεις να αγοράσουν ειδικά προγράμματα κρυπτογράφησης και να πληρώσουν μεγάλα κόστη για την συμμόρφωσή του με τον GDPR.
Όμως για τις περισσότερες επιχειρήσεις η λήψη απλών και λογικών μέτρων ασφαλείας των προσωπικών δεδομένων, όπως το να κλειδώνεις σε ένα συρτάρι τα έγγραφα της μισθοδοσίας και να μην τα αφήνεις εκτεθειμένα ή να έχεις κωδικό πρόσβασης στον υπολογιστή σου είναι αρκετά για να συμμορφωθεί η επιχείρηση με τον GDPR.
Η δικηγορική μας εταιρία Στέφανος Οικονόμου και συνεργάτες με γραφεία στο Κολωνάκι και στη Γλυφάδα αφού αναλύσει τις ανάγκες της εταιρίας σας θα σας υποδείξει τι τεχνικά και οργανωτικά μέτρα ασφαλείας πρέπει να λάβετε για να συμμορφωθείτε με τον GDPR εύκολα και με λογικό κόστος.
Μεταξύ των μέτρων που περιλαμβάνει ο GDPR ως μέτρα ασφαλείας των προσωπικών δεδομένων είναι και τα εξής:
α) η ψευδωνυμοποίηση και κρυπτογράφηση δεδομένων προσωπικού χαρακτήρα,
β) η διασφάλιση του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,
γ) η δυνατότητα αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος,
δ) η διαδικασία για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.
Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας πρέπει να λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ` άλλο τρόπο σε επεξεργασία.
Η τήρηση εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 όταν αυτά εκδοθούν μπορεί να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις απαιτήσεις ασφαλείας των προσωπικών δεδομένων σύμφωνα με τον GDPR.