Καμία επιχείρηση δεν μπορεί να θεωρείται σοβαρή εάν δεν έχει, τουλάχιστον, κυκλώσει την 25η Μαΐου 2018, ημερομηνία-ορόσημο, που σηματοδοτεί την έναρξη της εφαρμογής του Νέου Γενικού Κανονισμού Προστασίας Δεδομένων (General Data Protection Regulation, GDPR), που ψηφίστηκε στις 27 Απριλίου 2016 και θα τεθεί σε υποχρεωτική εφαρμογή για όλα τα κράτη-μέλη της Ευρωπαϊκής Ένωσης.
Είναι αυτός που πολλοί περιμένουν πως θα αναμορφώσει το πλαίσιο λειτουργίας των επιχειρήσεων που δραστηριοποιούνται στο ψηφιακό -και όχι μόνο- περιβάλλον και θα τις κάνει να αναθεωρήσουν τις διαδικασίες σχετικά με την ασφάλεια έναντι των κυβερνοεπιθέσεων και της διαρροής προσωπικών δεδομένων.
Το αντικείμενο του γενικού κανονισμού, το ποιους αφορά, οι υποχρεώσεις που «γεννά», ακόμα και τα πρόστιμα που συνεπάγεται η μη συμμόρφωση με αυτόν, είναι όλα θέματα μεγάλης σημασίας, που θα έπρεπε να έχουν (ήδη) αναλυθεί και διασαφηνιστεί. Ωστόσο, αυτό ίσως αποδειχθεί αρκετά πιο δύσκολο στην πράξη, αφού πρόσφατη έρευνα της ICAP αποκαλύπτει την ανεπαρκή ενημέρωση των ελληνικών επιχειρήσεων αναφορικά με τη νέα νομοθεσία για την προστασία των προσωπικών δεδομένων που υιοθέτησε η Ευρωπαϊκή Ένωση.
To 80% των εταιρειών δεν έχει ολοκληρωμένο πλαίσιο
Η έρευνα της ICAP Management Consultants έγινε σε 210 επιχειρήσεις και τα ευρήματα που προέκυψαν είναι πολύ ενδιαφέροντα, αφού αποδεικνύουν πως υπάρχει ακόμα πολύς δρόμος που πρέπει να καλυφθεί. Και πώς θα μπορούσε να είναι διαφορετικά, όταν προκύπτει πως μόλις 1 στις 3 εταιρείες έχουν αναγνωρίσει και συνειδητοποιήσει τη σημασία προστασίας της ιδιωτικότητας των πελατών τους.
Παρά το γεγονός πως υπάρχει ένα καλό επίπεδο κατανόησης του κανονισμού στις εταιρείες που συμμετείχαν στην έρευνα και πως ένα 71,63% γνωρίζει τα δικαιώματα των ατόμων των οποίων τα δεδομένα διαχειρίζονται (ενημέρωση με σαφήνεια και διαφάνεια από τον υπεύθυνο επεξεργασίας, δυνατότητα πρόσβασης στα προσωπικά του δεδομένα, όταν αυτά υφίστανται επεξεργασία, αίτημα διαγραφής των προσωπικών του δεδομένων υπό προϋποθέσεις, δυνατότητα εναντίωσης στην επεξεργασία προσωπικών δεδομένων, εάν ο υπεύθυνος επεξεργασίας δεν καταδείξει επιτακτικούς λόγους για την επεξεργασία αυτή), οι ασάφειες και οι αμφιβολίες κάνουν το 80% να δηλώνει πως δεν έχουν ένα ολοκληρωμένο πλαίσιο και σχέδιο που θα διασφαλίσει τη συμμόρφωση με τον κανονισμό. Είναι χαρακτηριστικό πως σε ερώτηση της έρευνας κατά πόσο οι εταιρείες είναι ενήμερες για το επίπεδο συμμόρφωσής τους με τον GDPR, το 20% απαντά απόλυτα θετικά, το 57,7% «μερικώς ενήμερο», και το 22,6% απαντά «καθόλου».
Αναζητείται Υπεύθυνος Προστασίας Δεδομένων
Η αβεβαιότητα είναι διάχυτη στις επιχειρήσεις για το πώς πρέπει να χειριστούν το θέμα, κάτι που ισχύει και όσον αφορά το ρόλο του Υπεύθυνου Προστασίας Δεδομένων (DPO). Η ύπαρξή του, υπό ορισμένους όρους, είναι απαραίτητη για τη συμμόρφωση με τον Γενικό Κανονισμό και είναι ο αρμόδιος για την επίβλεψη της στρατηγικής και την εφαρμογή της, όσον αφορά την προστασία των δεδομένων. Η έρευνα έδειξε πως μόνο το 53% γνωρίζει πως πρέπει να ορίσει έναν υπεύθυνο Προστασίας Δεδομένων στο πλαίσιο του GDPR.
Η έρευνα παρουσιάζει θετικές προοπτικές, ωστόσο τα κενά καιροφυλακτούν παντού. Για παράδειγμα, το 75% των επιχειρήσεων είναι ενήμερο για το θέμα του GDPR, ένα 78% μάλιστα μπορεί να δώσει τον ορισμό τι σημαίνει «προσωπικά δεδομένα»: κάθε πληροφορία που αναφέρεται και περιγράφει ένα άτομο -όπως στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, επάγγελμα κ.λπ.), φυσικά χαρακτηριστικά, εκπαίδευση, εργασία, οικονομική κατάσταση, ενδιαφέροντα, δραστηριότητες, συνήθειες- ωστόσο το 63% των επιχειρήσεων δεν έχουν ξεκινήσει να εκπαιδεύουν το προσωπικό τους επάνω σε θέματα ασφάλειας των προσωπικών δεδομένων. Και ο χρόνος μετράει αντίστροφα…
Το 42% των επιχειρήσεων που συμμετείχαν στην έρευνα δεν είναι σίγουρες ποιες οι είναι οι υποχρεώσεις τους και γενικότερα πώς πρέπει να αντιδράσουν σ’ ένα συμβάν παραβίασης δεδομένων, δηλαδή να γνωστοποιήσουν την παραβίαση εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα με απευθείας ενημέρωση ή δημόσια ανακοίνωση.
Επίσης, η έρευνα έδειξε πως το 29,3% των εταιρειών μεταφέρει σε τρίτους δεδομένα που έχει συλλέξει, ένα νούμερο που θα μπορούσε να κάνει κάθε καταναλωτή να ανησυχήσει και με το δίκιο του. Ανάμεσα στα άλλα, ο κανονισμός λέει ρητά πως οι επιχειρήσεις πρέπει να μην υποβάλλουν τα δεδομένα σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό, να τα αποθηκεύουν για το μικρότερο δυνατό χρονικό διάστημα που απαιτείται και να τα μεταφέρουν σε χώρες εκτός Ε.Ε. μόνον υπό συγκεκριμένες προϋποθέσεις. Και μόνο να δει κανείς πόσο υψηλά είναι τα ποσοστά όσον αφορά επιχειρήσεις εμπορίου (82,3%), τουρισμού (80%) και βιομηχανίες (85%), αρκεί για να κατανοήσει πως το πρόβλημα είναι ιδιαίτερα σοβαρό.
Νέος κανονισμός - νέα προοπτική
Η έρευνα καταλήγει πως τo GDPR παραμένει μια «γκρίζα περιοχή» για τους Έλληνες επιχειρηματίες, ωστόσο υπάρχει κατανόηση γύρω από το θέμα, κάτι που είναι πολύ σημαντικό και κρύβει μέσα του την προοπτική. Οι Έλληνες επιχειρηματίες πρέπει να συνειδητοποιήσουν πως έχουν ήδη μπει σε μια άλλη εποχή, και μπορούν πολύ εύκολα, για παράδειγμα, να πέσουν θύματα μιας κυβερνοεπίθεσης. Ο αντίκτυπος από κάτι τέτοιο μπορεί να αποβεί καταστροφικός για τη φήμη της εταιρείας και να κλονίσει γερά την εμπιστοσύνη των πελατών απέναντί της. Η επένδυση σε αντίστοιχα μέτρα προστασίας πρέπει να γίνει άμεσα και η τήρηση του GDPR η κορυφαία προτεραιότητα των ελληνικών επιχειρήσεων.
Σίγουρα, αυτός ο νέος κανονισμός που έρχεται για να παρέχει σε όλους τους πολίτες και τις επιχειρήσεις της Ε.Ε. το ίδιο επίπεδο προστασίας στις ηλεκτρονικές τους επικοινωνίες, είναι μια ριζική αλλαγή, που θα βρει πολλούς απροετοίμαστους. Πρέπει ωστόσο να γίνουν όσο πιο γοργά γίνεται τα βήματα προσαρμογής, γιατί το θέμα είναι μείζον, ένα κοινωνικό ζήτημα που μπορεί να πάρει διαστάσεις απρόσμενες και δυσάρεστες. Η ψηφιακή εποχή έρχεται «πακέτο» με τη ψηφιακή ασφάλεια και αυτά τα δύο δεν γίνεται να μη συμβαδίσουν.
Πέτρος Αντωνάκης
