Το General Data Protection Regulation (γνωστό σε όλους μας ως GDPR) είναι ένας κανονισμός που επέχει θέση νόμου του Κράτους μας, και θα τεθεί σε ισχύ από την 25η Μαΐου 2018. Σκοπός του είναι η προστασία των δεδομένων προσωπικού χαρακτήρα, εμφανίζοντας για πρώτη φορά στην Ευρώπη, ένα πλαίσιο τόσο για την ευαισθητοποίηση, την πρόληψη και την καταστολή φαινομένων παραβίασης των δεδομένων προσωπικού χαρακτήρα.
Με βάση τον νέο κανονισμό, δεδομένο προσωπικού χαρακτήρα θεωρείται οποιαδήποτε πληροφορία μπορεί έμμεσα ή άμεσα να βοηθήσει στην αναγνώριση ενός φυσικού προσώπου. Συγκεκριμένα αναφέρεται: “Any information related to a natural person or ‘Data Subject’, that can be used to directly or indirectly identify the person. It can be anything from a name, a photo, an email address, bank details, posts on social networking websites, medical information, or a computer IP address.”
Σήμερα, οι περισσότεροι από εμάς, γνωρίζουμε αυτό το ακρωνύμιο, σε συνδυασμό με τα πρόστιμα που το ακολουθούν. Τόσο μεγάλα και τόσο δυσθεώρητα, που πολύς κόσμος πιστεύει λανθασμένα ότι δεν θα εφαρμοστεί ο νόμος. Υπερισχύει επίσης η αντίληψη ότι θα δοθεί παράταση στην εφαρμογή του νόμου, όπως σε κάθε τι καινούργιο στην Ελλάδα. Όμως αυτό δεν είναι ελληνικό επίτευγμα, είναι Ευρωπαϊκό, και έχει θεσπιστεί εδώ και πολλά χρόνια, ασχέτως αν εμείς το ακούμε το τελευταίο εξάμηνο.
Μια βασική διαστρέβλωση του κανονισμού GDPR είναι ότι αφορά κυρίως τα συστήματα πληροφορικής. Αυτό όμως είναι ένα μικρό μέρος της αλήθειας. Αφορά κυρίως τις διαδικασίες ενός οργανισμού, άρα είναι μια μίξη διαχείρισης προσωπικού (HR), νομικής προστασίας (Legal), διαδικασιών, και ασφάλισης συστημάτων και υποδομών (IT).
Το πρώτο βήμα μιας επιχείρησης είναι να συμβουλευτεί τα όργανα, συνδέσμους στους οποίους ανήκει καθώς και άλλες επιχειρήσεις του ίδιου κλάδου δραστηριοποίησης. Πρέπει να αναγνωριστούν οι τομείς προφύλαξης, οι οποίοι είναι διαφορετικοί σε μια εταιρεία που πουλάει online αεροπορικά εισιτήρια, με ένα ασφαλιστικό γραφείο και με έναν διανομέα τροφίμων και ποτών στην επαρχία.
Σήμερα υπάρχουν πολλές εταιρείες συμβούλων που προτείνουν διάφορα μοντέλα ανάλογα με το αντικείμενο της επιχείρησης, αλλά και τους τομείς προφύλαξης. Ορισμένα διαδεδομένα μοντέλα είναι τα POPIT, SIPOC και PRIPARE, που ανάλογα την περίπτωση μπορούν να χρησιμοποιηθούν για την αποτύπωση της τρέχουσας κατάστασης, και να καθοδηγήσουν σε στρατηγικές επίλυσης.
Μια καλή αρχή είναι η παρακολούθηση κάποιου σχετικού σεμιναρίου. Καθώς η κάθε επιχείρηση έχει τα δικά της χαρακτηριστικά, μια πρώτη εικόνα του κανονισμού μπορεί να αποτυπωθεί στο επερχόμενο 13ο E-Business Forum που διοργανώνεται από την ΕΕΔΕ στο Μουσείο Μπενάκη, την Πέμπτη 7 Δεκεμβρίου 2017.
Συνολικά, η διαδικασίες που προκύπτουν μέσα από τον νέο κανονισμό, προσφέρουν μια ευκαιρία για εκσυγχρονισμό της επιχείρησης και όχι άλλο ένα αναγκαίο κακό. Το GDPR προσφέρει το κατάλληλο πεδίο ώστε μια επιχείρηση να αξιολογήσει τη δραστηριότητά της και να βελτιωθεί όχι μόνο για την αποφυγή προστίμων, αλλά κυρίως για την απόκτηση ανταγωνιστικού πλεονεκτήματος τη μείωση του λειτουργικού κόστους και της γραφειοκρατίας.