Τι αλλαγές στην καθηµερινότητα των επιχειρήσεων φέρνει η νέα οδηγία;  Εξασφαλίζεται, θεωρείτε, η προστασία των δεδοµένων µε το νέο πλαίσιο;

Οι επιχειρήσεις τίθενται υπόλογες προς την επεξεργασία των προσωπικών δεδοµένων απέναντι στις αρχές, τα υποκείµενα δεδοµένων και τους συνεργάτες τους. Αυτό θα επιφέρει µία σταδιακή αλλαγή στη κουλτούρα της διαχείρισης των εν λόγω δεδοµένων, κυρίως σε οργανωτικό και διαδικαστικό επίπεδο. Ο κανονισµός δεν εξασφαλίζει την προστασία των δεδοµένων, αλλά την προστασία του υποκειµένου δεδοµένων. Όσο αφορά την διασφάλιση των εν λόγω δεδοµένων, ο κανονισµός φέρνει ένα πλαίσιο, το οποίο εάν εφαρµοστεί σωστά θα αυξήσει κατά πολύ τις πιθανότητες, του να παραµείνουν ασφαλή τα δεδοµένα.

  Τι αλλαγές έρχονται σε σχέση µε αυτά που ίσχυαν µέχρι τώρα;

 Στο γενικό πλαίσιο όχι πολλές. Σε αρκετά σηµεία µάλιστα το GDPR είναι ίδιο µε τον DPD και τον Ν. 2472/1997.  Αυτό που φέρνει ο νέος κανονισµός είναι ένα πιο εκσυγχρονισµένο πλαίσιο της ήδη υπάρχουσας οδηγίας του 1995, απαλείφοντας κάποια γραφειοκρατικά ζητήµατα, όπως η ανακοίνωση στην αρχή της ύπαρξης αρχείου προσωπικών δεδοµένων, και θέτοντας ένα γενικό πλαίσιο για την ορθή χρήση των πληροφορικών συστηµάτων και την ευκολότερη διαχείριση των προσωπικών δεδοµένων. Τέλος ορίζει ποιες θα είναι οι ποινές σε περίπτωση µη συµµόρφωσης.

   Ποιους κλάδους αφορά; Πώς θα γίνεται ο έλεγχος συµµόρφωσης και τι πρόστιµα προβλέπονται;  Ποιες οι κυρώσεις για όσους δε συµµορφωθούν;

 Αφορά όλους τους κλάδους και όλες τις επιχειρήσεις µε εγκατάσταση εντός της Ε.Ε. καθώς και εκείνες εκτός Ένωσης που επεξεργάζονται δεδοµένα Ευρωπαίων πολιτών.

Προς το παρόν οι έλεγχοι θα γίνονται από τις αρµόδιες αρχές. Για την Ελλάδα αυτή θα είναι η Αρχή Προστασίας Δεδοµένων Προσωπικού Χαρακτήρα. Ενδέχεται στο µέλλον η αγορά του εκάστοτε κλάδου να απαιτεί την ύπαρξη κάποιας πιστοποίησης για την προστασία των δεδοµένων και εποµένως να δούµε στο µέλλον ελέγχους υπό την µορφή Audit από κάποιους εγκεκριµένους φορείς πιστοποίησης όπως περιγράφονται στα Άρθρα 43 και 44 του κανονισµού.

Οι κυρώσεις που αναφέρονται στον κανονισµό σε περίπτωση µη συµµόρφωσης είναι έως και 20 εκατοµµύρια ευρώ ή 4% του παγκόσµιου τζίρου.!

   Οι ναυτιλιακές επιχειρήσεις τι θα πρέπει να κάνουν;

Ότι και όλες οι υπόλοιπες επιχειρήσεις από τους υπόλοιπους κλάδους, να συµµορφωθούν µε τον κανονισµό. Ο κλάδος της ναυτιλίας βρίσκεται πιο εκτεθειµένος απέναντι στον κανονισµό έναντι άλλων,  λόγω της ιδιαιτερότητας του αντικείµενου και των κανονισµών που τον διέπουν. Σε καθηµερινή βάση µία ναυτιλιακή πρέπει να επεξεργάζεται ένα µεγάλο όγκο προσωπικών δεδοµένων, όπου µεγάλο µέρος αυτών είναι και ευαίσθητα δεδοµένα, για τα οποία ο κανονισµός έχει ακόµα πιο αυστηρές απαιτήσεις.

Θα πρέπει λοιπόν να εφαρµόσουν το κατάλληλο πλάνο ώστε να αιτιολογήσουν νοµικά τους λόγους για τους οποίους κάνουν την επεξεργασία των δεδοµένων αυτών, καθώς και να λάβουν τα κατάλληλα οργανωτικά και τεχνικά µέτρα για να διασφαλίσουν τα δεδοµένα τα οποία κατέχουν.

   Όταν όλοι µιλάνε ότι τα δεδοµένα – big data - είναι πλέον ένας «φυσικός πόρος» πώς νοµίζετε ότι αυτός θα προστατευθεί και δε θα γίνει ένα νέο αντικείµενο «κερδοσκοπίας», όπως είδαµε στις περιπτώσεις της Cambridge Analytica;

Τα δεδοµένα δεν πρόκειται να γίνουν ένα νέο αντικείµενο κερδοσκοπίας... είναι ήδη. Αυτό που θα φέρει το GDPR είναι να διαφυλάξει τα δικαιώµατα των χρηστών στις διαδικτυακές υπηρεσίες και πλατφόρµες όπως είναι το Facebook από όπου η Cambridge Analyticα αντλούσε πληροφορίες και έκανε ένα “Profiling” στους χρήστες του για να χρησιµοποιηθούν τα δεδοµένα αυτά για στοχευµένες πολιτικές καµπάνιες κατά την προεκλογική περίοδο του 2016 στις ΗΠΑ. Από εδώ και πέρα, κατά την αποδοχή των όρων χρήσης θα πρέπει ο χρήστης να ζητήσει εκείνος να χρησιµοποιηθούν τα δεδοµένα του “Opt-in”  και όχι να θεωρείται ως “by-default” η συγκατάθεσή του και αν δεν θέλει να την άρει “Opt-out”.

   Πως µπορεί να γίνει διαχείριση κίνδυνων στη ναυτιλία ; Παρατηρείται άλλωστε τα τελευταία χρόνια και αύξηση των κινδύνων  κυβερνο-ασφάλειας.

Πράγµατι τα τελευταία χρόνια παρατηρείται µια αύξηση των κινδύνων κυβερνοασφάλειας στην ναυτιλία. Άλλωστε αυτό το επιβεβαιώνει και η πληθώρα “guidelines” τα οποία έχουν εκδοθεί προς τις ναυτιλιακές για τη διαχείριση των κυβερνο – απειλών (cyber threats).

Οι ναυτιλιακές αρχίζουν πλέον και αυτές να εισέρχονται στον κόσµο του ΙοΤ, µε  δικτυακά συνδεδεµένες συσκευές ελέγχου, παρακολούθησης του πλοίου από το γραφείο, εξελιγµένης επικοινωνίας και πλοήγησης. Είναι λογικό ότι προς τα εκεί θα µετασχηµατιστεί ο κλάδος µιας και παρέχει µία πληθώρα διευκολύνσεων  ιδίως στις εταιρίες που αναλαµβάνουν την διαχείριση των πλοίων. Όταν λοιπόν αλλάζει το περιβάλλον των ναυτιλιακών εταιριών, είναι φυσικό επακόλουθο να αλλάξουν και οι κίνδυνοι. Για την διαχείριση αυτών των κινδύνων υπάρχουν αρκετές ενέργειες αντιµετώπισης, όπως για παράδειγµα, ένα Risk Assessment για τα γραφεία και ένα Audit-on-board για τα πλοία, έτσι ώστε να ανιχνευθούν τυχόν κίνδυνοι και να βρεθεί ποια είναι η πιθανότητα να συµβεί κάτι και µε τι επιπτώσεις. Αντίστοιχα σε καθαρά δικτυακό επίπεδο η διεξαγωγή ενός Penetration Testing, θα χαρτογραφήσει όλα τα ευάλωτα σηµεία της δικτυακής υποδοµής, ενώ η εκπαίδευση (training) του προσωπικού έρχεται να καλύψει τον πιο αδύναµο κρίκο ενός πληροφοριακού συστήµατος, τον χρήστη του.

Τέλος η ανάπτυξη µίας σειράς διαδικασιών και ορθής χρήσης των IT και ΟΤ συστηµάτων αρχίζει πλέον να κρίνεται απαραίτητη όλο και περισσότερο µε τις απαιτήσεις της αγοράς όπως γίνεται µε το Tanker Management and Self Assessment 3 (TMSA3) και RightShip που εισάγουν πλέον το cyber security ως προϋπόθεση για τις ναυτιλιακές.

Το θετικό είναι ότι ήδη υπάρχουν όλα τα τεχνολογικά µέσα προκειµένου να επιτευχθούν αυτά αρκεί η εκάστοτε ναυτιλιακή εταιρία να επιλέξει τους κατάλληλους συνεργάτες όπως είναι η Aspida ώστε να προχωρήσει στο κατάλληλο και ανταποδοτικότερο σχέδιο υλοποίησης.