Κάποιες διαδικτυακές κινήσεις που καλούμαστε να κάνουμε είναι εμφανώς πιο ευάλωτες, ευαίσθητες, τρωτές, γι’ αυτό και αυτόματα, χωρίς να το σκεφτούμε ιδιαίτερα, προσπαθούμε να τις διασφαλίσουμε από οποιονδήποτε κίνδυνο. Και τα καταφέρνουμε… Ή τουλάχιστον έτσι πιστεύουμε. Τέτοιες ενέργειες είναι οι διατραπεζικές συναλλαγές, οι διαδικτυακές αγορές και διάφορες άλλες παρόμοιες ανάγκες μας.
Υπάρχουν όμως και εκείνες οι κινήσεις, εκείνα τα κλικ που τα κάνουμε –συνήθως— ασυναίσθητα και ελαφρά τη καρδία, χωρίς να δίνουμε σημασία. Αυτά τα κλικ έχουν να κάνουν κυρίως με τη ζωή που ζούμε μέσα από τα κοινωνικά δίκτυα, αυτές τις αστείρευτες πηγές πληροφοριών για τους ίδιους μας τους εαυτούς που παραχωρούμε μόνοι μας (!) στη δημοσιότητα με όποιες επιπτώσεις έχει αυτό.
Η Ευρωπαϊκή Ένωση θέλοντας να βάλει ένα φρένο στις “ατασθαλίες” στο θέμα των προσωπικών δεδομένων, ενέκρινε τον Απρίλιο του 2016 τον Γενικό Κανονισμό Προστασίας Δεδομένων ή αλλιώς κοινώς GDPR (General Data Protection Regulation), ο οποίος τέθηκε σε εφαρμογή από τις 25 Μαΐου 2018.
Για το θέμα αυτό μιλάει στην «ΕτΔ» ο σύμβουλος Ασφαλείας Συστημάτων Πληροφορικής και καθηγητής Πληροφορικής κ. Αναστάσιος Αραμπατζής. «Ο GDPR, λέει, είναι η προσπάθεια της Ευρωπαϊκής Ένωσης να εναρμονίσει όλους τους επιμέρους κανονισμούς που υπήρχαν ήδη στην Ε.Ε., δηλαδή είναι μια κοινή φόρμουλα, αποδεκτή από όλα τα μέλη. Αφορά πρωτίστως τις επιχειρήσεις που επεξεργάζονται, αποθηκεύουν και διακινούν δεδομένα προσωπικού χαρακτήρα». Επίσης, σημειώνει ότι «ο κανονισμός αφορά μόνο τις επιχειρήσεις που έχουν περισσότερες από 5.000 εγγραφές προσωπικών δεδομένων στη βάση τους».
Σύμφωνα με τον κ. Αραμπατζή ο κανονισμός δίνει τη δύναμη στις Εθνικές Αρχές Προστασίας Δεδομένων να ελέγχουν, αν οι εταιρείες (που εμπίπτουν σε αυτόν) έχουν τα κατάλληλα μέτρα ασφαλείας, καθώς επίσης σε περίπτωση παραβίασης δεδομένων να αποδοθούν ευθύνες.
Ο GDPR θεσπίζει συγκεκριμένες δομές που πρέπει να υπάρχουν στις εταιρείες. Οι δομές αυτές μιλάνε με την Αρχή Προστασίας Δεδομένων. Από εκεί παίρνουν οδηγίες και εκεί αναφέρονται. Εδώ έρχεται ο DPO (Data Protection Officer ή Υπεύθυνος Προστασίας Δεδομένων), ο οποίος είναι μέλος της εταιρείας, αλλά ταυτόχρονα και ανεξάρτητος από την εταιρεία. Δίνει λόγο αποκλειστικά και μόνο στον πρόεδρο και σε κανέναν άλλον. Δρα αυτόνομα και είναι ο σύνδεσμος της εταιρείας με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (η Α.Π.Δ.Π.Χ. είναι ανεξάρτητος φορέας που υπάγεται στο Υπουργείο Εσωτερικών και στην Αστυνομία και έχει την ευθύνη για τους προληπτικούς ελέγχους).
Αν γίνει κάποια παραβίαση ασφαλείας από hacker (χάκερ) στα προσωπικά δεδομένα κάποιας εταιρείας, εκείνη οφείλει να καταγγείλει το γεγονός στην Α.Π.Δ.Π.Χ. σε χρονικό διάστημα 72 ωρών. Ειδάλλως, θα υπάρξουν νομικές κυρώσεις αναλόγως με τη βαρύτητα της παραβίασης, που κλιμακώνονται από απλή σύσταση μέχρι πολύ βαριά χρηματικά ποσά.
-Τι εννοούμε όμως με τον όρο “Προσωπικά Δεδομένα”;
-Είναι τα δεδομένα τα οποία είτε ταυτοποιούν, είτε καθιστούν ταυτοποιήσιμο το άτομο, δηλαδή το υποκείμενο των δεδομένων. Για παράδειγμα, το ονοματεπώνυμο μόνο του δεν θεωρείται προσωπικό δεδομένο, αν όμως το συνδυάσουμε με κάποια περιοχή αυτό αποτελεί προσωπικό δεδομένο. Δηλαδή, το πρόβλημα με τα προσωπικά δεδομένα είναι ο συνδυασμός κάποιων στοιχείων που ταυτοποιούν ένα πρόσωπο και μία λύση είναι οι εταιρείες να χρησιμοποιούν ψευδώνυμα και κρυπτογράφηση στα αρχεία τους, ώστε να καθιστούν δύσκολη την ταυτοποίηση με το εκάστοτε άτομο.
Ερωτώμενος για τη σχέση του πολίτη με τον Γενικό Κανονισμό Προστασίας Δεδομένων, ο σύμβουλος Ασφαλείας Συστημάτων Πληροφορικής απαντά: «Εμείς οι ίδιοι φέρουμε ευθύνη. Με τον GDPR είναι ευκαιρία να προσέξουμε εμείς οι πολίτες τι προσωπικά δεδομένα απελευθερώνουμε». Και συνεχίζει: «Ο Κανόνας είναι: καλό είδος εκπαίδευσης τόσο για τους πολίτες όσο και για τις επιχειρήσεις, για να εισαχθούμε στην ψηφιακή πραγματικότητα». Ακόμα σημειώνει: «Είμαστε επιρρεπείς στο πώς αποδεσμεύουμε τα προσωπικά δεδομένα στα Social Media (κοινωνικά δίκτυα). Έχουμε την τάση να δίνουμε πολλές πληροφορίες για το άτομό μας (φωτογραφίες, ημερομηνία γέννησης, διεύθυνση, τηλέφωνα κλπ). Και το χειρότερο είναι πως αυτό το κάνουν οι γονείς για τα παιδιά δίνοντάς τους έτσι το λάθος παράδειγμα».
Όσον αφορά στους γονείς, θα πρέπει να γνωρίζουν πως το πρώτο βήμα είναι η ενημέρωση των κινδύνων του διαδικτύου γενικότερα. Πρέπει οι γονείς, ως ενήλικες, να δημιουργήσουν ένα “συμβόλαιο κατανόησης” για τον τρόπο χρήσης του ίντερνετ, ο οποίος θα είναι κοινός για όλα τα μέλη της οικογένειας και θα ορίζει το χρονικό διάστημα πλοήγησης καθώς επίσης και τις ιστοσελίδες που θα έχουν πρόσβαση. Ακόμη, οι γονείς μπορούν να εγκαταστήσουν λογισμικό γονικού ελέγχου σε υπολογιστή, κινητό τηλέφωνο ή τάμπλετ. Αυτό αφενός, μπλοκάρει κακόβουλες σελίδες και περιεχόμενο, αφετέρου ειδοποιεί τον γονέα με μήνυμα για την “παραβίαση” που προσπάθησε να κάνει το παιδί.
Ο κ. Αραμπατζής εξηγεί: «Για να αντιδράσουμε σωστά ως προς τον GDPR πρέπει, μεταξύ των άλλων, να εντείνουμε την εκπαίδευση και την εξοικείωση με τον ψηφιακό κόσμο βελτιώνοντας το μάθημα της Πληροφορικής στα σχολεία και εισάγοντας στην ύλη την ασφαλή πλοήγηση στο ίντερνετ. Ακόμη, πολύ σημαντικό είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα να διευρύνει και να εντείνει το κομμάτι της ενημέρωσης προς τον κόσμο».
Στην Ελλάδα, τα Ευαίσθητα Υπουργεία, όπως για παράδειγμα το Υπουργείο Υγείας, έχουν ήδη ορίσει DPO, οι οποίοι προσπαθούν να βάλουν μια τάξη στα αρχεία. Αναμένεται δε, το επόμενο χρονικό διάστημα να στελεχωθούν περίπου άλλες 2.000 δημόσιες ή ιδιωτικές θέσεις εργασίας.
Όσον αφορά στην επιχειρηματική πτυχή του θέματος μιλώντας στην «ΕτΔ» ο κ. Κωνσταντίνος Καραναστάσης, από γνωστή επιχείρηση που παρέχει υπηρεσίες υποστήριξης τεχνολογιών πληροφορίας και μηχανογράφησης επιχειρήσεων, εξηγεί πως λόγω του ότι η τεχνολογία έχει διεισδύσει σε πολλές ενότητες της ζωής μας, δυστυχώς δημιουργήθηκε και μία παράλληλη αγορά που πολλοί την εκμεταλλεύτηκαν για να κάνουν το ψηφιακό μάρκετινγκ.
Ο επιχειρηματίας σημειώνει οτι «πολλές επιχειρήσεις πανικοβλήθηκαν με την εφαρμογή του καινούργιου κανονισμού, γιατί δεν εφάρμοζαν ποτέ τις σωστές πολιτικές ασφαλείας πριν από τις 25 Μαΐου 2018. Ουσιαστικά, προσθέτει, οι επιχειρήσεις στην Ελλάδα δείχνουν μία ροπή στη φύλαξη των μηχανημάτων από φυσικές καταστροφές και φθορές, ενώ για τη διαδικτυακή ασφάλεια και οργάνωση γενικότερα στηρίζονται σε ερασιτεχνικές μεθόδους, όπως για παράδειγμα προτιμούν να “κατεβάσουν” δωρεάν σπασμένα προγράμματα από το να τα αγοράσουν και να έχουν πλήρη και ολοκληρωμένη κάλυψη».
Ραφαέλα Παπαοικονόμου