Κεφάλαιο 5.5 – Πρακτικές ασκήσεις
Επιχειρηματικό Σενάριο 1 – Ειδοποίηση παραβίασης 72 ωρών
Λόγω διαρροής δεδομένων, μια εθνική εταιρεία logistics (εφοδιαστική) ανακαλύπτει ότι ορισμένα από τα προσωπικά δεδομένα 150.000 διαφορετικών πελατών στο χαρτοφυλάκιο πελατών της έχουν παραβιαστεί. Το όνομα, ο αριθμός κινητού τηλεφώνου και η διεύθυνση παράδοσης περιλαμβάνονται σε αυτές τις προσωπικές πληροφορίες. Σε αυτήν την περίπτωση, ο κανονισμός GDPR απαιτεί από τις επιχειρήσεις να ενημερώνουν τα επηρεαζόμενα μέρη ή συγκεκριμένες ρυθμιστικές αρχές για μια παραβίαση εντός 72 ωρών.
Ο υπεύθυνος εισαγωγής δεδομένων ή ο υπεύθυνος υπάλληλος της εταιρείας πρέπει να συμπληρώσει και υποβάλει το έντυπο για ειδοποίηση παραβίασης δεδομένων. Ωστόσο, θα πρέπει επίσης να ζητηθεί η γνώμη ενός δικηγόρου για να καθοριστεί ποιες πληροφορίες απαιτούν εκ των προτέρων ειδοποίηση. Η ικανότητα της εταιρείας να διαχειρίζεται αποτελεσματικά τη διαδικασία εντός της μπορεί επίσης να διευκολυνθεί από την ύπαρξη ενός σχεδίου αντιμετώπισης παραβίασης δεδομένων που αναπτύσσει η εταιρεία εσωτερικά για την προετοιμασία έναντι ενός τέτοιου περιστατικού.
Επιχειρηματικό Σενάριο 2 – Χρηματοοικονομική Αναφορά
Είναι ευρέως γνωστό ότι το λογιστήριο μιας επιχείρησης είναι η πιο σημαντική μονάδα που είναι υπεύθυνη για τη λήψη οικονομικών αποφάσεων. Ως αποτέλεσμα, είναι σημαντικό οι πληροφορίες αυτού του τμήματος να διατηρούνται εμπιστευτικές και να είναι προσβάσιμες μόνο σε εξουσιοδοτημένα άτομα. Σε αυτή την περίπτωση, ας θεωρήσουμε ότι το λογιστήριο έχει έναν φάκελο, γνωστό ως «Φάκελος Παρακολούθησης Απόδοσης». Αυτός ο φάκελος περιέχει σχετικές πληροφορίες για υπαλλήλους σε διάφορα τμήματα της εταιρείας, όπως μηνιαίο μισθό, μηνιαία επιπλέον μπόνους με βάση την απόδοση, ανάλυση και αξιολόγηση μελλοντικών αποτελεσμάτων μισθών κ.λπ.
Εάν η εταιρεία διαθέτει αποτελεσματική διαχείριση αρχείων καταγραφής, μπορούν επίσης να αποθηκευτούν οι καταχωρίσεις αρχείων καταγραφής για να παρακολουθείται άμεσα ποιος έχει συνδεθεί στο φάκελο και τις συναλλαγές του. Για παράδειγμα, οι διαχειριστές συστήματος ενδέχεται να ειδοποιούνται λόγω καταγραφής όταν ένας υπάλληλος του λογιστηρίου αλλάζει ή διαγράφει πληροφορίες σε αυτόν τον φάκελο χωρίς άδεια.
Σε αυτό το σημείο, ο διαχειριστής μπορεί επίσης εύκολα να εξακριβώσει ποιος είναι συνδεδεμένος. Τόσο ο τρέχων GDPR όσο και τα ισχύοντα πρότυπα απαιτούν τη διαχείριση αρχείων καταγραφής για την αποφυγή διαρροής πληροφοριών και παραβιάσεων επιχειρήσεων.
Επιχειρηματικό Σενάριο 3 – Ανάγκη για GDPR
Τα ιδρύματα θεωρούνται υπεύθυνα για τον ΓΚΠΔ εάν προσφέρουν αγαθά ή υπηρεσίες σε άτομα στην Ευρωπαϊκή Ένωση που έχουν τον έλεγχο των προσωπικών δεδομένων ή παρακολουθούν τη συμπεριφορά των ατόμων αυτών. Στο κείμενο του ΓΚΠΔ, ο όρος “παρακολούθηση της συμπεριφοράς” αναφέρεται σε τεχνολογικές μεθόδους προσδιορισμού των προτιμήσεων και των συνηθειών των καταναλωτών μέσω της παρακολούθησης των δραστηριοτήτων των ανθρώπων στο Διαδίκτυο. Αν και δραστηριοποιείται εκτός της ΕΕ, έχει συνειδητοποιήσει ότι ο ΓΚΠΔ θα εφαρμοστεί στις επιχειρήσεις που πωλούν σε πελάτες της ΕΕ.
Με λίγα λόγια, εάν η μικρή ή μεσαία επιχείρησή σας επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, πρέπει να συμμορφώνεται με τον GDPR. Ωστόσο, εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν αποτελεί κεντρικό μέρος των ΜΜΕ σας και η κύρια λειτουργία της δεν ενέχει κινδύνους για τους ανθρώπους, τότε ορισμένες ευθύνες του ΓΚΠΔ δεν θα ισχύουν για εσάς (π.χ. ο διορισμός υπευθύνου προστασίας δεδομένων (“ΥΠΔ”).
Μελέτη περίπτωσης 1 – Επίλυση προκλήσεων προστασίας δεδομένων στη λογιστική πρακτική της εταιρείας
Εταιρικό Προφίλ
Μια αναπτυσσόμενη ανεξάρτητη λογιστική εταιρεία με περίπου 100 υπαλλήλους και τέσσερις τοποθεσίες σε δύο νομούς. Μέσω εξαγορών, η εταιρεία έχει αυξηθεί σε μέγεθος και τεχνογνωσία τα τελευταία χρόνια, καθιστώντας αναγκαία την προσθήκη νέων διαδικασιών και την ενοποίηση της υπάρχουσας υποδομής πληροφορικής.
Λογιστική Πρακτική:
Πρόκληση
Η εταιρεία συλλέγει, επεξεργάζεται και αποθηκεύει τακτικά ευαίσθητα δεδομένα πελατών (όπως προσωπικές συντάξεις κ.λπ.) επειδή ειδικεύεται στη λογιστική, τη φορολογία και την παροχή συμβουλών σε επιχειρήσεις. Πρέπει πάντα να γνωρίζει ακριβώς ποια δεδομένα αποθηκεύει και πού, ώστε να προστατεύει τυχόν ευαίσθητα δεδομένα από το να χαθούν.
Η εταιρεία είχε αξιολογήσει την προστασία των δεδομένων της σύμφωνα με το πρόγραμμα Cyber Essentials, εκτός από τον κανονισμό GDPR, και επεδίωκε να ενισχύσει περαιτέρω την ασφάλειά της σύμφωνα με το πρότυπο του Κέντρου Διαδικτυακής Ασφάλειας (CIS).
Κατά τη διάρκεια της πανδημίας COVID-19, η πρωτοβουλία για εργασία από το σπίτι κατέστησε επειγόντως αναγκαία την παροχή στους υπαλλήλους εφαρμογών εκτός γραφείου, ώστε να διασφαλιστεί η συνέχιση της εργασίας και του αμειβόμενου ελεύθερου χρόνου.
Η χρήση παλαιότερων, πιο εξειδικευμένων για τον κλάδο εφαρμογών, στις οποίες η πρόσβαση μπορεί να γίνει μέσω απομακρυσμένης επιφάνειας εργασίας, παρουσιάζει επιπλέον προβλήματα ασφάλειας για τις ομάδες πληροφορικής σε σύγκριση με τις εφαρμογές που βασίζονται στο cloud οι οποίες έχουν σχεδιαστεί με γνώμονα την ασφάλεια.
Λύση
Απαιτείται αξιολόγηση της ασφάλειας της εταιρείας στον κυβερνοχώρο. Αυτό θα πρέπει να γίνει με την αξιολόγηση της διάθεσης της εταιρείας να αναλάβει κινδύνους στον κυβερνοχώρο και της τρέχουσας κατάστασης ασφαλείας της. Στη συνέχεια, οι εταιρείες πρέπει να καταρτίσουν εκθέσεις και να αναλάβουν δράση για τη διασφάλιση της Ανθεκτικότητας στον Κυβερνοχώρο.