BENEFIT Risk Management

Στις 27 Απριλίου 2016 ψηφίστηκε νέος Ευρωπαϊκός Κανονισμός 2016/679 General Data Protection Regulation (GDPR) και τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης στις 25 Μαΐου 2018, χωρίς την ανάγκη ψήφισης τοπικής εθνικής νομοθεσίας και καταργώντας υφιστάμενους κανονισμούς και νομοθεσίες. Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων της Ε.Ε. αποτελεί τη μεγαλύτερη αλλαγή στη νομοθεσία περί προστασίας των δεδομένων τα τελευταία σχεδόν 20 χρόνια.

  Οδηγίες από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Με βάση το  άρθρο 6 του ν. 2472/1997  για την εγκατάσταση συστήματος βιντεοεπιτήρησης απαιτείται η υποβολή γνωστοποίησης στην  Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα .

Γνώμη 2/2017 της Ομάδας Εργασίας του άρθρου 29 για την προστασία δεδομένων Μία νέα γνωμοδότηση αναφορικά με την επεξεργασία δεδομένων στο χώρο εργασίας εξέδωσε η  Ομάδα Εργασίας του άρθρου 29 για την προστασία δεδομένων (WP29)*. Η γνώμη (opinion) 2/2017 συμπληρώνει τις προηγούμενες σχετικές δημοσιεύσεις της Ομάδας, και συγκεκριμένα τη γνώμη 8/2001 σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης (WP48), και το έγγραφο εργασίας του 2002 σχετικά με την παρακολούθηση των ηλεκτρονικών επικοινωνιών στο χώρο εργασίας.

Οδηγία 1/2011 : Στην οδηγία αυτή ρυθμίζεται το ζήτημα των συστημάτων βιντεοεπιτήρησης για το σκοπό της προστασίας προσώπων και αγαθών, καθώς και για το σκοπό της παροχής υπηρεσιών υγείας. Στην εν λόγω οδηγία προσδιορίζονται πλήρως οι προϋποθέσεις νομιμότητας λειτουργίας ενός συστήματος βιντεοεπιτήρησης για τους ανωτέρω σκοπούς.

Όποιος (φυσικό ή νομικό πρόσωπο) προτίθεται να εγκαταστήσει σύστημα βιντεοεπιτήρησης για το σκοπό της προστασίας προσώπων και αγαθών σε χώρο που διαχειρίζεται, καθίσταται υπεύθυνος της εν λόγω επεξεργασίας και οφείλει να μεριμνήσει αφενός για τη νόμιμη λειτουργία αυτού, αφετέρου για την εκπλήρωση των υποχρεώσεών του προς την Αρχή.

1. Θέλω να εγκαταστήσω σύστημα βιντεοεπιτήρησης. Είμαι υποχρεωμένος να υποβάλω γνωστοποίηση στην Αρχή; Ναι, βάσει του άρθρου 6 του ν. 2472/1997 (εκτός αν το σύστημα λαμβάνει ή/και καταγράφει εικόνα από αποκλειστικά ιδιωτικό σας χώρο, μη επαγγελματικό – π.χ. εντός του σπιτιού σας – οπότε δεν χρειάζεται να υποβάλετε γνωστοποίηση). Η μη γνωστοποίηση δύναται να επιφέρει τόσο διοικητικές όσο και ποινικές κυρώσεις, όπως προβλέπεται στα άρθρα 20 και 22 του ν. 2472/1997. Οφείλετε επίσης να γνωστοποιείτε στην Αρχή κάθε μεταβολή στο σύστημά σας (π.χ. προσθήκη/αφαίρεση/επανατοποθέτηση καμερών).

Δεν αναμένεται να υπάρξουν «κανόνια» που θα δημιουργήσουν σοβαρά προβλήματα στην εγχώρια αγορά στο εγγύς μέλλον. Αυτό τόνισε μιλώντας στο Underwriter.gr o Βασίλης Χρηστίδης, Regional Director Mediterranean, Middle East & Africa, του παγκόσμιου ηγέτη ασφαλιστικών πιστώσεων Euler Hermes.

Όλες οι σύγχρονες Επιχειρήσεις θεωρούνται από τις πιο ευάλωτες σε απειλές Δεδομένων, γιατί επεξεργάζονται καθημερινά πολύ μεγάλο όγκο Προσωπικών Δεδομένων, καθώς και συναλλαγών με κάρτες πληρωμών. Λαμβάνουν επίσης αυτές τις πληροφορίες από πολλές πηγές:  συστήματα παραγγελιών / κρατήσεων τρίτων, συστήματα σημείων πώλησης, τη δική τους ιστοσελίδα, ηλεκτρονικά μηνύματα και φαξ, τηλεφωνικές συνομιλίες και επιτόπιες επισκέψεις (τα λεγόμενα walk ins). Παράλληλα, όλα αυτά τα Δεδομένα αποθηκεύονται σε πολλαπλές τοποθεσίες, συστήματα, αρχεία και μέσα, συνεπώς πρέπει να διατίθεται ένα πολύ ισχυρό Σύστημα Ασφαλείας. δείτε το άρθρο  - GDPR - ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ τι είναι

Ο Γενικός Κανονισμός της Ευρωπαϊκής Ένωσης για την Προστασία Δεδομένων, που θα ισχύσει σε όλα τα κράτη - μέλη από τον Μάϊο του 2018 και πρέπει να εφαρμοσθεί από όλες τις Εταιρείες και Οργανισμούς, χωρίς να απαιτείται η αντίστοιχη εθνική νομοθεσία. Προβλέπει πρόστιμα σε περιπτώσεις περιστατικών απώλειας προσωπικών Δεδομένων τα οποία μπορούν να φθάσουν έως 4% του τζίρου του Ομίλου ή έως 20εκ.€, όποιο από τα δύο είναι μεγαλύτερο, ανάλογα με την σπουδαιότητα της παραβίασης. Οι παραβιάσεις ηλεκτρονικών συστημάτων και η διαρροή εμπιστευτικών πληροφοριών αποτελούν καθημερινό φαινόμενο

πηγή

Τα τελευταία χρόνια έχουμε δει μια έκρηξη στην ποσότητα των δεδομένων που συλλέγονται, υποβάλλονται σε επεξεργασία και αποθηκεύονται από οργανισμούς όλων των τύπων και μεγεθών. Οι εταιρείες τόσο μεγάλες και μικρές είναι ανάγκη να κατανοήσουν ποια δεδομένα διαθέτουν και να αξιολογήσουν τον κίνδυνο των εν λόγω δεδομένων. Κανείς δεν πρέπει να υποτιμά το πόσο πολύτιμα μπορεί να είναι είιναι αυτά τα δεδομένα σε επιτιθέμενους. Ενώ οι τιμές στη μαύρη αγορά μπορεί να διαφέρουν ανάλογα με την ποιότητα, το είδος και την διάρκεια δυνατότητας χρήσης των δεδομένων.

 Ζούμε σε μια εποχή πρωτοφανών κυβερνοεπιθέσεων, όπου οι κακόβουλες εκστρατείες, τόσο σε προσωπικό επίπεδο χρήστη υπολογιστών όσο και σε κυβερνητικούς στόχους, πραγματοποιούνται από φορητούς υπολογιστές και από ασύρματα δίκτυα. Ακόμα κι αν δεν είστε τεχνικά καταρτισμένοι, ημέρα με την ημέρα η ζωή μας εξακολουθεί είναι, ίσως αρκετά, γεμάτη με ιστορίες hacking, είτε τις αναγνωρίσετε ως τέτοιες, είτε όχι.

Η ύπαρξη ενός Information Security Officer είναι καθοριστικός παράγοντας στη δημιουργία πολιτικών και διαδικασιών ασφάλειας, όπως και ενός πλάνου αντιμετώπισης αυτών των περιστατικών, αλλά και στην αξιολόγηση της προς ασφάλιση εταιρείας. Οι ασφαλιστές αναζητούν εταιρείες οι οποίες κατανοούν τον κίνδυνο, κάνουν σωστή διαχείρισή του και έχουν τις κατάλληλες πολιτικές και διαδικασίες. Η διαχείριση της

Η ασφάλιση των οικονομικών συνεπειών μια εταιρείας σε περίπτωση παραβίασης συστημάτων και απώλειας δεδομένων δεν είναι μια συνηθισμένη κάλυψη. Η μη γνώση των κινδύνων, οι υπηρεσίες που παρέχονται και η διαχείριση τέτοιων συμβάντων απαιτεί εξειδικευμένους ασφαλιστικούς διαμεσολαβητές. Η σωστή αξιολόγηση των κινδύνων, η κατανόηση των ιδιαιτεροτήτων κάθε

Η ασφαλιστική αγορά για την αποτελεσματική διαχείριση των οικονομικών συνεπειών των περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων προσφέρει την κάλυψη των εξόδων διαχείρισης της κρίσης που προκαλεί ένα τέτοιο περιστατικό, όπως:

Το κόστος των προϊόντων αυτών εξαρτάται από διάφορους παράγοντες, όπως: α) η δραστηριότητα της εταιρείας, β) το μέγεθος των εσόδων, γ) ο όγκος και ο τύπος των δεδομένων, δ) η εξάπλωση της εταιρείας διεθνώς, ε) η προηγούμενη εμπειρία σε περιπτώσεις data breach, στ)o ανταγωνισμός και κατά πόσο ή όχι οι ασφαλιστές θεωρούν ότι ο ασφαλισμένος κίνδυνος είναι καλός ή κακός...

Η Benefit σε συνεργασία με τις μεγαλύτερες & αναγνωρισμένες εταιρείες, στην αντιμετώπιση διαδικτυακών κινδύνων, όπως η Cromar Insurance Brokers , εξουσιοδοτημένος ανταποκριτής των Lloyds (Lloyds Coverholder), και η AIG , προσφέρει στην ελληνική αγορά μια συνολική λύση αποτελεσματικής διαχείρισης των κινδύνων παραβίασης συστημάτων και απώλειας δεδομένων. Επιπλέον, επιτρέπει στις επιχειρήσεις να διαχειριστούν την αυξανόμενη ευθύνη τους λόγω της διαχείρισης μεγάλου όγκου προσωπικών δεδομένων των πελατών τους, καθώς και να μετριάσουν τον κίνδυνο να θιγεί η εταιρική φήμη από μια πιθανή παραβίαση συστημάτων και απώλεια των δεδομένων αυτών.

Οι επιθέσεις στον κυβερνοχώρο συνεχίζουν να αυξάνονται, με τους διαδικτυακούς κλέφτες να επιδιώκουν την απόκτηση  προσωπικών δεδομένων που μπορούν να πωληθούν στη μαύρη αγορά. Σύμφωνα με την έκθεση “Symantec Internet Security Threat” για το 2015, το προηγούμενο έτος σημειώθηκε αύξηση κατά 23% στις παραβιάσεις δεδομένων.

Η κατοχύρωση της προστασίας της ιδιωτικής ζωής των καταναλωτών αποτελεί ανταγωνιστικό πλεονέκτημα . Καθώς η GDPR τίθεται σε ισχύ, οι οργανισμοί σε όλο τον κόσμο θα έχουν την ευκαιρία να εκμεταλλευτούν αυτό το πλεονέκτημα. Ποιοι είμαστε και τι προσφέρουμε;

Το μέγεθος της ασφαλιστικής αγοράς που αναπτύσσεται είναι πολύ μεγάλο, όπως αποδεικνύεται από την ανάπτυξη που παρουσιάζει η αγορά του cyber Insurance στην Αμερική. Η ανάπτυξη της αγοράς των ΗΠΑ είναι ένα ενδιαφέρον παράδειγμα του τι οδηγεί τη ζήτηση. Το πρώτο βήμα ήταν

Παραβιάσεις ηλεκτρονικών συστημάτων και διαρροές εμπιστευτικών πληροφοριών συμβαίνουν καθημερινά και   σε   πολύ μεγάλη κλίμακα.   Οι εταιρείες πρέπει να είναι προετοιμασμένες για την αντιμετώπιση συμβάντων παραβίασης δεδομένων ( κανονισμός GDPR ). 

Μέχρι σήμερα, η χρηματοοικονομική επίπτωση στις ευ ρωπαϊκές εταιρείες ήταν λιγότερο σοβαρή, διότι   δεν   ισχύει επί   του παρόντος η νέα πανευρωπαϊκή νομοθεσία για την προστασία   των δεδομένων (GDPR) .  

Παραβίαση συστημάτων μπορεί να συμβεί από μη εξουσιοδοτημένη πρόσβαση σε εταιρικά συστήματα, η οποία συνοδεύεται από απώλεια δεδομένων πελατών (που περιλαμβάνουν οικονομικά στοιχεία, στοιχεία πιστωτικών καρτών ή τραπεζικού λογαριασμού, δεδομένα υγείας)   ή εταιρικών δεδομένων, όπως εμπορικά μυστικά ή ζητήματα πνευματικής ιδιοκτησίας.

VII . Ο ρόλος του Data Protection Officer, ως εξειδικευμένου, λειτουργικά ανεξάρτητου, στελέχους δεν περιορίζεται μόνο στην υποχρεωτική , κατά το Νέο Κανονισμό, παρουσία του σε μία εταιρία με την έννοια της τυπικής πλήρωσης μιας θέσης εργασίας (tick box) όπως αντίστοιχα ο Ιατρός Εργασίας ή ο Τεχνικός Ασφαλείας .   Ο Data Protection Officer αναλαμβάνει  ουσιαστικά να  

Είναι όμως έτοιμη η αγορά να αποδεχθεί τον θεσμικό ρόλο του  Data Protection Officer όπως αυτός προδιαγράφεται στον Κανονισμό ?

II. Η διευκρίνση της έννοια επεξεργασίας σε μεγάλη κλίμακα (Large Scale Processing) όμως παραμένει ασαφής και μάλλον αόριστη καθώς τόσο το κείμενο του Κανονισμού όσο και οι Οδηγίες της Επιτροπής Α29 , δεν παραθέτουν  αριθμητικά όρια για τον ορισμό της μεγάλης κλίμακας αλλά γενικά παραδείγματα όπως ασφαλιστικη εταιρία ή τράπεζα που επεξεργάζονται προσωπικά δεδομένων πελάτους, τους, ή την επεξεργασία σε πραγματικό χρόνο των γεο- τοπογραφικών δεδομένων  (Geo _ Location Data) πελατών μια διεθνούς εταιρίας fast food  για στατιστικούς σκοπούς.

Στις 16 Απριλίου 2016  ψηφίσθηκε από το Ευρωπαικό Κοινοβούλιο ο Γενικός Κανονισμός Προσωπικών Δεδομένων , νομοθέτημα άμεσης εφαρμογής σε όλα τα κράτη μέλη της Ευρωπαικής Ενωσης, το οποίο θα τεθεί σε ισχύ μετά την παρέλευση της μεταβατικής περιόδου για την προσαρμογή των κρατών δηλαδή στις 25 Μαίου 2018. Το νομοθέτημα αυτό αλλάζει ριζικά το τοπίο στον χώρο της Προστασίας των Προσωπικών Δεδομένων επιβάλλοντας πρόσθετες υποχρεώσεις σε Υπεύθυνους Επεξεργασίας και Εκτελούντες την Επεξεργασία προσωπικών δεδομένων ανάμεσα στις οποίες είναι ο υποχρεωτικός διορισμός Data Protection Officer. (Σ.Σ. Θα διατηρήσω τον αγγλικό όρο καθώς αποδίδει πληρέστερα την ουσία του συγκεκριμένου όρου).

Ο νέος Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων ( GDPR ) τίθεται σε εφαρμογή από 25.05.2018 απαιτεί από τα ξενοδοχεία να:

Οι τουριστικές Επιχειρήσεις θεωρούνται από τις πιο ευάλωτες σε απειλές Δεδομένων, γιατί επεξεργάζονται καθημερινά πολύ μεγάλο όγκο Προσωπικών Δεδομένων, καθώς και συναλλαγών με κάρτες πληρωμών. Λαμβάνουν επίσης αυτές τις πληροφορίες από πολλές πηγές: 

Ο Γενικός Κανονισμός της Ευρωπαϊκής Ένωσης για την Προστασία Δεδομένων, που θα ισχύσει σε όλα τα κράτη - μέλη από τον Μάϊο του 2018 και πρέπει να εφαρμοσθεί από όλες τις Εταιρείες και Οργανισμούς, χωρίς να απαιτείται η αντίστοιχη εθνική νομοθεσία. Προβλέπει πρόστιμα σε περιπτώσεις περιστατικών απώλειας προσωπικών Δεδομένων τα οποία μπορούν να φθάσουν έως 4% του τζίρου του Ομίλου ή έως 20εκ.€, όποιο από τα δύο είναι μεγαλύτερο, ανάλογα με την σπουδαιότητα της παραβίασης.

Αφορά την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) Χρησιμοποιώντας τα παρακάτω link θα   μπορέσετε να διαβάσετε τμηματικά   την   GDPR

Της Ελευθερίας Κούρταλη Οι παγκόσμιες μετοχές θα αυξηθούν ακόμα περισσότερο κατά τη διάρκεια του επόμενου έτους καθώς η αισιοδοξία για την παγκόσμια οικονομία μεγαλώνει, αλλά μια μερίδα των στρατηγικών αναλυτών εκτιμά επίσης ότι η τρέχουσα οκταετής bull market θα λήξει το 2018. Οι παγκόσμιες μετοχές κινούνται σε επίπεδα ρεκόρ και αυτό έχει οδηγήσει σε "τεντωμένες" τιμές μετοχών, με τις αποτιμήσεις για την πλειοψηφία των χρηματιστηριακών δεικτών να διαπραγματεύονται πάνω από τους πενταετείς μέσους όρους. Ωστόσο, σύμφωνα με τους αναλυτές, τα εταιρικά κέρδη δεν έχουν ακόμη "τρέξει" για να δικαιολογήσουν την αύξηση.

Στις 14 Απριλίου 2016, το Ευρωπαϊκό Κοινοβούλιο ενέκρινε τo Γενικό Κανονισμό για τα Προσωπικά δεδομένα. Ο κανονισμός αναμένεται να τεθεί σε ισχύ την άνοιξη του 2016 και θα αρχίσει να εφαρμόζεται την άνοιξη του 2018. Ο κανονισμός περιγράφει τα δικαιώματα του υποκειμένου των δεδομένων, δηλαδή του ατόμου του οποίου τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία. Αυτά τα ενισχυμένα δικαιώματα παρέχουν στα άτομα μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων, μεταξύ άλλων μέσω:

  Για την αντιμετώπιση των χρηματοικονομικών επιπτώσεων, αποτελεσματικό εργαλείο διαχείρισης των περιστατικών παραβίασης αποτελεί η ασφάλιση  Cyber Insurance , δίνοντας εκτός από τις χρηματικές αποζημιώσεις και πρόσβαση σε ομάδες ειδικών οι οποίες έχουν αντιμετωπίσει πλήθος περιστατικών. Ενώ η ασφάλιση δεν μπορεί να αποτρέψει ένα περιστατικό παραβίασης, όπως αυτή της Sony που συνέβη πρόσφατα, μπορεί να βοηθήσει ελαχιστοποιώντας την οικονομική καταστροφή και τη βλάβη της φήμης που μπορεί να συντελεστεί σε σύντομο χρονικό διάστημα.

Ο λόγος για αυτή την ανησυχία είναι ότι υπάρχουν πολλές επιχειρηματικές άμεσες και έμμεσες ζημιές που σχετίζονται με το έγκλημα στον κυβερνοχώρο και την απώλεια δεδομένων. Άμεσες ζημιές οι οποίες περιλαμβάνουν επαγγελματικές αμοιβές εξειδικευμένων συμβούλων διαχείρισης περιστατικών παραβάσης συστημάτων, πρόστιμα και έξοδα όπως: