Στις 28 Ιανουαρίου 1981 υπογράφτηκε στο Στρασβούργο η Σύμβαση 108 για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων.

Κάθε χρόνο την ημέρα αυτή – από το 2007 όταν καθιερώθηκε από το Συμβούλιο Υπουργών της Ευρώπης – διοργανώνονται σε όλες τις ευρωπαϊκές χώρες εκδηλώσεις για να τονίσουν τη σημασία της. Φέτος, ο συμβολικός χαρακτήρας αυτής της ημέρας είναι περισσότερο επίκαιρος από ποτέ, καθώς σηματοδοτεί την πάροδο οκτώ μηνών μετά την έναρξη ισχύος του GDPR, δίνοντας την αφορμή στο NetFAX να διερευνήσει τι έχει γίνει έως τώρα, πώς έχει ανταποκριθεί η ελληνική και ευρωπαϊκή αγορά στην εφαρμογή του ευρωπαϊκού κανονισμού και τι εξελίξεις αναμένεται να έχουμε μέσα στο 2019.

Η προστασία των προσωπικών δεδομένων είναι ένα διαχρονικό θέμα για την Ευρωπαϊκή Ένωση, όπως καταδεικνύει ρύθμιση – άρθρο 8 – στο χάρτη θεμελιωδών ελευθεριών της ΕΕ (αυτό περιγράφεται στο κείμενο των συνθηκών της). Σε αυτό το άρθρο προβλέπεται ρητά ότι ο έλεγχος δεδομένων προσωπικού χαρακτήρα ανατίθεται στις ανεξάρτητες αρχές (σύμφωνα με τη κοινοτική οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου).

Σημειώνεται, δε, ότι υπήρχε, προ GDPR, σχετική ευρωπαϊκή νομοθεσία (νόμος 2472) από το 1997. «Αυτό, ωστόσο, που οδήγησε την Ευρωπαϊκή Επιτροπή στο σχεδιασμό και ψήφιση του GDPR ήταν ότι αν και είχαμε μια οδηγία, την 95/46/ΕΚ, η οποία εξασφάλιζε ένα υψηλό βαθμό προστασίας στην ΕΕ, δεν είχε πετύχει να αποφύγει τον κατακερματισμό προστασίας των δεδομένων, γιατί ακριβώς στο πλαίσιο ενσωμάτωσης της οδηγίας κάθε κράτος μέλος λειτουργούσε διαφορετικά» επισημαίνει στο NetFAX, ο Δημήτρης Ζωγραφόπουλος, νυν DPO στο Υπουργείο Υγείας, με πολυετή εμπειρία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και συμμετοχή στην ομάδα σχεδιασμού του GDPR.  «Όταν η ΕΕ δημιούργησε το προσχέδιο για το GDPR είχε θέσει ως στόχο να κατακυρώσει μια συνεκτική υψηλή προστασία των προσωπικών δεδομένων, ομοιόμορφη σε όλη την Ευρωπαϊκή Ένωση» συμπληρώνει.

Πρακτικά, όπως αναφέρει ο Δ. Ζωγραφόπουλος, δεν θα έχουμε ποτέ μια ομοιόμορφη προστασία σε όλη την ΕΕ. Καταρχάς, γιατί ο GDPR είναι ένας νόμος πλαίσιο που θέτει γενικές αρχές – οι οποίες θα πρέπει να ισχύουν άμεσα και αναγκαστικά – αλλά επιτρέπει σε πλήθος διατάξεων την έκδοση δευτερογενών πράξεων (είτε από την Ευρωπαϊκή Επιτροπή, είτε από το Συμβούλιο της Ευρωπαϊκής Ένωσης, είτε από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων που δημιουργήθηκε με το GDPR, είτε από τα κράτη μέλη). Άρα θα υπάρχουν κάποιες αποκλίσεις από κράτος σε κράτος και αυτό είναι δεδομένο. «Αυτές οι αποκλίσεις, ωστόσο, θα είναι λιγότερο σημαντικές, από αυτές που υπήρχαν πριν τη θέσπιση του κανονισμού».

Ψήφιση εκτελεστικού νόμου: Ένας χρόνος χαμένος…
Ο GDPR ισχύει μεν από τις 28 Μαΐου, 2018 αλλά απαιτείται η ενσωμάτωσή του στις εθνικές νομοθεσίες των κρατών μελών. Δυστυχώς, η Ελλάδα είναι ανάμεσα στις τρεις τελευταίες χώρες της ΕΕ που δεν έχει ακόμη ψηφίσει τον εκτελεστικό νόμο του GDPR. Η νομοπαρασκευαστική επιτροπή, υπό την προεδρία της Λίλιαν Μήτρου, είχε παραδώσει πριν από έναν χρόνο το σχετικό σχέδιο νόμου στον αρμόδιο Υπουργό. Μετά δε την ολοκλήρωση της διαβούλευσης, υπέβαλε αναδιαμορφωμένη μορφή του σχεδίου με βάση τις παρατηρήσεις που προέκυψαν από τη διαβούλευση.

Έκτοτε δεν υπήρξαν νεώτερα περί της τύχης του νομοσχεδίου μέχρι το τέλος του περασμένου Νοεμβρίου οπότε με πρωτοβουλία του νέου Υπουργού Δικαιοσύνης επανασυστάθηκε η νομοπαρασκευαστική επιτροπή με την προσθήκη και νέων μελών. Αρχές Ιανουαρίου η Λ. Μήτρου υπέβαλε την παραίτησή της και η νέα επιτροπή, υπό την προεδρία του Εφέτη κ. Φιλόπουλου (Δ.Ν.), έχει προθεσμία να παραδώσει νέο σχέδιο έως το τέλος Φεβρουαρίου 2019.

«Δυστυχώς, καταγράφουμε έναν πλήρη χρόνο χαμένο. Ας ελπίσουμε ότι το νομοθέτημα που θα εκπονηθεί θα προσφέρει ένα ικανοποιητικό και λειτουργικό πλαίσιο για την επεξεργασία και προστασία προσωπικών δεδομένων στον δημόσιο και ιδιωτικό τομέα» δηλώνει στο NetFAX η Λ. Μήτρου, η οποία αποδίδει αυτή την καθυστέρηση σε «διαφορές προσεγγίσεων σε ορισμένα θέματα», όπως, για παράδειγμα, «σε παρεμβάσεις από συμβούλους του Υπουργείου Δικαιοσύνης που πρότειναν την εξαίρεση του δημόσιου τομέα από τα πρόστιμα» (Yπάρχει ευχέρεια να το κάνει ένα κράτος, αλλά είναι προβληματικό σε σχέση με το γεγονός ότι ο νόμος 2472/97 προβλέπει πρόστιμα και για τον δημόσιο τομέα και αυτό θα προκαλούσε την αντίδραση του ιδιωτικού τομέα).

Όπως επισημαίνει η Λ. Μήτρου, «Ο Κανονισμός, παρά τη νομική φύση του, χρήζει συμπλήρωσης από το εθνικό δίκαιο σε αρκετά σημεία, ώστε να αναπτύξει την πλήρη κανονιστική εμβέλεια και δυναμική του. Η υιοθέτηση εθνικών ρυθμίσεων είναι αναγκαία και για τη διασφάλιση επαρκούς και συνεκτικής προστασίας σε πεδία, όπως η επεξεργασία και προστασία προσωπικών δεδομένων των εργαζομένων. Περαιτέρω η έλλειψη εθνικής νομοθεσίας προκαλεί ανασφάλεια δικαίου σε σχέση με την έκταση εφαρμογής του ν. 2472/97, του εθνικού νόμου για την προστασία δεδομένων, καθώς ναι μεν οι περισσότερες ρυθμίσεις του έχουν αντικατασταθεί από τις αντίστοιχες του Κανονισμού αλλά δεν έχει, βέβαια, καταργηθεί και κατά ένα μέρος του εξακολουθεί να ισχύει. Είναι προφανές ότι ιδιώτες, επιχειρήσεις αλλά και ο δημόσιος τομέας χρειάζονται σαφήνεια και ασφάλεια ως προς το σύνολο και το περιεχόμενο των κανόνων που πρέπει να εφαρμόσουν. Για να το πω πιο συγκεκριμένα, ελλείψει εθνικής νομοθεσίας καμία «συμμόρφωση» δεν νοείται ολοκληρωμένη».

Ο δικηγόρος Φίλιππος Μίτλεττον, τέως προϊστάμενος του τμήματος Ελεγκτών ΑΠΔΠΧ και μέλος για σύντομο διάστημα της νομοπαρασκευαστικής, δίνει στο ΝetFAX μια περαιτέρω πτυχή: «Ως γνωστόν ένας Κανονισμός είναι άμεσα εφαρμόσιμος στην έννομη τάξη των κρατών-μελών και δεν απαιτείται να ενσωματωθεί με νόμο. Η ιδιαιτερότητα του συγκεκριμένου Κανονισμού (GDPR) έγκειται στο ότι περιλαμβάνει έναν ικανό αριθμό διατάξεων που επιτρέπουν στον εθνικό νομοθέτη να υιοθετεί λιγότερο ή περισσότερο περιοριστικές ρυθμίσεις για ορισμένα ζητήματα (πχ την ηλικία συγκατάθεσης των παιδιών για τη συμμετοχή σε υπηρεσίες της κοινωνίας της πληροφορίας). Για τη ρύθμιση αυτών και μόνο των ζητημάτων είναι σημαντική η ψήφιση του σχετικού νόμου. Ο GDPR εφαρμόζεται κατά τα λοιπά κανονικά από τις 25-5-2018 και δεν υπάρχει καμία δικαιολογία για τους υπεύθυνους επεξεργασίας οι οποίοι οφείλουν να επεξεργάζονται τα προσωπικά δεδομένα σύμφωνα με τις αρχές του GDPR και να είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους βάσει της αρχής της λογοδοσίας. Αυτό το τονίζω ιδιαίτερα σε σχέση με το Δημόσιο οι υπηρεσίες του οποίου όφειλαν, για παράδειγμα, να ορίσουν DPO ήδη από τις 25-5-2018».

Όσον αφορά τις αρμοδιότητες της Αρχής Προστασίας Δεδομένων, αυτές ασκούνται κανονικά, χωρίς να απαιτείται ο εφαρμοστικός νόμος. Τούτο προκύπτει και από την αρχή της συνέχειας της διοικητικής δράσης. Η Αρχή Προστασίας Δεδομένων έχει συσταθεί νομίμως από το 1997 και ο GDPR, ο οποίος προβλέπει ρητά τις αρμοδιότητές της, ισχύει κανονικά. «Οι διατάξεις του αναμενόμενου νόμου θα αφορούν ειδικότερα ζητήματα συγκρότησης και λειτουργίας και όχι την ουσία των αρμοδιοτήτων της και της άσκησής τους. Εξάλλου η Αρχή έχει ήδη εκδώσει τις πρώτες αποφάσεις της με βάση τις διατάξεις του GDPR, αλλά και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) ασκεί κανονικά τις εργασίες του με τη συμμετοχή του συνόλου των εποπτικών αρχών των κρατών-μελών, χωρίς να θέτει ως προαπαιτούμενο την ψήφιση του σχετικού νόμου από αυτά» συμπληρώνει ο Φ. Μίτλεττον.

Πρόστιμα
O GDPR προβλέπει υψηλά πρόστιμα, κάτι που αποτελούσε εξαρχής επιλογή της ΕΕ, ώστε να δρουν αποτρεπτικά για τους επίδοξους παραβάτες και δη για μεγάλες πολυεθνικές (Facebook, Google κ.λπ.) Πρόστιμα, ωστόσο, υπήρχαν και πριν την εφαρμογή του GDPR. Κι εδώ έχει σημασία το πώς εφαρμόζεται ο νόμος. Ο 2472 επέτρεπε την επιβολή προστίμου κατά ανώτατο όριο 150.000 ευρώ για κάθε παραβίαση. Όταν διαπιστώνονταν πολλές παραβιάσεις, θεωρητικά, θα μπορούσαμε και με το παλιό καθεστώς να φθάσουμε άνετα σε πρόστιμα έως το ένα εκατ. ευρώ. Αλλά, η ΑΠΔΠΧ για να αποφύγει κριτικές και αιτήσεις ακυρώσεων επέβαλε 150.000 ευρώ κατά ανώτατο όριο κατά συγχώνευση και, κατά κάποιο τρόπο, λογόκρινε τον εαυτό της.

Οι αλλαγές που φέρνει ο νέος νόμος είναι ότι μπορεί να επιβάλει πολύ μεγαλύτερα πρόστιμα, αλλά με σταδιακή κλιμάκωση, αντιμετωπίζοντας εν γένει διαφορετικά μια πολυεθνική από μια μικρομεσαία επιχείρηση. «Ένα από τα κριτήρια που εφαρμόζαμε πάντα για την επιβολή προστίμων ήταν το μητρώο του υπευθύνου επεξεργασίας δεδομένων. Με το που ήρθε ο νέος κανονισμός δεν υπήρξε μια μορφή αμνηστίας, άρα κάποιος οργανισμός που παραβίαζε συστηματικά την προστασία δεδομένων προσωπικού χαρακτήρα πριν την εφαρμογή του GDPR, μετά την εφαρμογή του κανονισμού θα κρίνεται αυστηρότερα από κάποιο άλλο οργανισμό που έχει καθαρό μητρώο» αναφέρει ο Δ. Ζωγραφόπουλος. «Είναι λογικό, λοιπόν, να συνεχίσει να υπάρχει αυτή η εξατομίκευση στην επιβολή της κύρωσης» συμπληρώνει.

Αυτή αποτελεί τη μία πτυχή. Η άλλη έχει να κάνει με το πώς θα επιβάλλονται τα πρόστιμα ανάλογα με τα μέτρα που έχει εφαρμόσει μια εταιρεία για τη συμμόρφωσή της με τον κανονισμό. Ο Μιχάλης Μωραϊτης, CIO της Nissan – Νικ. Ι. Θεοχαράκης ΑΕ και μέλος ΔΣ του EuroCIO Forum απαντώντας σε ερώτηση του NetFAX αναφέρει επ’ αυτού: «Οι ελεγκτικές αρχές θεωρώ ότι θα είναι ελαστικές στο θέμα εφαρμογής των μέτρων. Όσες εταιρείες δεν έχουν κάνει τίποτα σίγουρα θα αντιμετωπιστούν πολύ αυστηρά, ενώ εκείνες οι εταιρείες που έχουν λάβει μια σειρά από μέτρα, ακόμα και αν δεν τα έχουν εφαρμόσει όλα, δεν θα έχουν πρόβλημα. Θα υπάρχει μεγάλη ανοχή από τις ελεγκτικές αρχές αν έχουν γίνει βήματα και μια εταιρεία δείξει πρόθεση συνεργασίας και λογική».

Μέτρα, γκρίζες ζώνες και δυσλειτουργίες
«Για κάποιον που έχει πραγματική γνώση του δικαίου προστασίας των δεδομένων, ο GDPR είναι δεν είναι τόσο αυστηρός όσο φαίνεται» τονίζει ο Δ. Ζωγραφόπουλος. «Μερικές φορές ακούγεται η άποψη ότι ο GDPR επιβάλει με αυστηρό τρόπο πράγματα, ενώ ουσιαστικά αυτό που πάσχει είναι η ανάγνωσή του ή η ερμηνεία που κάνουμε στις διατάξεις του» συμπληρώνει. Και τι σημαίνει αυτό; Όχι βέβαια να κάνει ο καθένας ότι θέλει, αλλά η ελαστικότητα στην ερμηνευτική προσέγγιση σημαίνει ουσιαστικά αναλογικότητα, ήτοι να βρεις ποιο είναι το πιο κατάλληλο και πρόσφορο μέτρο για κάθε περίσταση.

«Κάποιος ο οποίος διαβάζει τον κανονισμό και δεν έχει ουσιαστική γνώση, μπορεί να πει ότι το GDPR επιβάλει την κρυπτογράφηση. Ωστόσο, η κρυπτογράφηση είναι μια βέλτιστη πρακτική, και όχι μια λογική που επιβάλει ο κανονισμός οπωσδήποτε». Ένα ακόμα παράδειγμα: Ο νόμος δεν καθορίζει, για παράδειγμα, πιο λειτουργικό σύστημα πρέπει να χρησιμοποιεί μια εταιρεία, ωστόσο, απορρίπτει βάσει της ερμηνείας του, τη χρήση ενός λειτουργικού, όπως τα Windows XP, τα οποία έχουν σταματήσει να υποστηρίζονται εδώ και καιρό από την Microsoft κι είναι εξαιρετικά ευάλωτα σε επιθέσεις.

Πόσο ξεκάθαρος, ωστόσο, είναι ο ευρωπαϊκός κανονισμός; Υπάρχουν ασάφειες στη διατύπωσή του και πώς τις διαχειρίζεται κανείς αυτές; «Θεωρώ ότι δεν υπάρχουν γκρίζες ζώνες στο GDPR, αλλά αυτό που λέμε στο δίκαιο επιχείρηση νομικού χαρακτηρισμού. Κάτι είτε είναι νόμιμο είτε παράνομο, άρα παίρνεις θέση, η οποία πρέπει να είναι αιτιολογημένη με κάποια κριτήρια και οφείλει να είναι και σθεναρή» επισημαίνει ο Δ. Ζωγραφόπουλος και συνεχίζει: «Αν υπάρχει κάτι λάθος μπορεί να αλλάξει, όπως αλλάζει και η νομολογία των δικαστηρίων σε βάθος χρόνου, υιοθετώντας μια διαφορετική προσέγγιση. Στο πλαίσιο αυτό και ο GDPR αλλάζει». Σημασία, στην προκειμένη περίπτωση έχει η ερμηνευτική προσέγγιση: «Εξετάζοντας τους κανόνες που επιβάλει ο γενικός κανονισμός, ουσιαστικά επιλέγουμε εκείνη την ερμηνεία που είναι η πιο ‘αυστηρή’, αυτή που διασφαλίζει ουσιωδώς την προστασία του δικαιώματος σε κάθε συγκεκριμένη περίσταση. Δεν υπάρχει, λοιπόν, γκρίζα ζώνη, αλλά μια επιλογή ερμηνευτικής προσέγγισης διατάξεων. Και όταν έχεις μια νομοθεσία η οποία είναι προστατευτική είσαι υποχρεωμένος να σεβαστείς το χαρακτήρα της».

Αν μπει κανείς στη λογική της ασάφειας, αυτό σημαίνει πρακτικά ότι υπάρχουν περισσότερες ερμηνευτικές λογικές. Αυτό, ωστόσο, δεν είναι χαρακτηριστικό μόνο του GDPR, αλλά όλων εν γένει των νομικών κειμένων, τα οποία επιτρέπουν ή επιδέχονται πολλές φορές περισσότερες ερμηνείες. Πόσες φορές,άλλωστε, δεν έχουν βγει στα παράθυρα συνταγματολόγοι που προσπαθήσουν να εξηγήσουν τι λέει το σύνταγμα, ο κανονισμός της βουλής κ.λπ. «Η κατάλληλη ερμηνεία σημαίνει να δεις και ποια είναι η πλέον προστατευτική για τα υποκείμενα των δεδομένων» επισημαίνει ο Δ. Ζωγραφόπουλος.

Υπάρχουν, διατάξεις, που χρειάζεται να επανεξεταστούν; Σύμφωνα με τον Μ. Μωραϊτη, «στην Ευρωπαϊκή Ένωση προσπαθούν να διαχειριστούν διάφορες δυσλειτουργίες για τις οποίες δεν έχουν βρεθεί οι σωστές λύσεις. Ένα από τα θέματα που συζητήθηκε το τελευταίο διάστημα στις Βρυξέλες ήταν το θέμα της απαλοιφής των στοιχείων χρηστών από τα χιλιάδες backup που μπορεί να περιέχεται. Υπάρχουν τεχνικές που μπορείς να το κάνεις αυτό, αλλά είναι πανάκριβες…». Γι’ αυτό το σκοπό έχουν δημιουργηθεί ομάδες, οι οποίες κάνουν κρούσεις στην ΕΕ και ζητάνε την αναθεώρηση άρθρων που δεν είναι λειτουργικά. «Η Ευρώπη κατάλαβε ότι αυτοί που έγραψαν το νόμο υπερβάλανε σε κάποια σημεία. Και εμείς ως εθνικά σχήματα, αλλά και οι μεγάλες εταιρείες που έχουν έννομο συμφέρον, όπως και η αγορά από μόνη της θα διορθώσουν τις στρεβλώσεις…» συμπληρώνει.

Τι έχει γίνει έως τώρα και τι μέλλει γενέσθαι
Μέχρι το τέλος του 2018 ήταν μια περίοδος προσαρμογής. Πολλά ζητήματα δεν είχαν ακόμη ξεκαθαριστεί σε σχέση με την εφαρμογή του GDPR και τις υποχρεώσεις των υπεύθυνων επεξεργασίας (πότε, για παράδειγμα, απαιτείται DPIA και πότε όχι). Μεγάλος αριθμός επιχειρήσεων είχαν ήδη απευθυνθεί σε ειδικούς αναφορικά με τη συμμόρφωσή τους ήδη πολύ καιρό πριν τη θέση σε ισχύ του GDPR, σε πολλές περιπτώσεις όμως οι διαδικασίες αποδείχθηκαν πολύ περισσότερο χρονοβόρες απ’ ό,τι είχε αρχικά υπολογιστεί.

«Η προσωπική μου εντύπωση είναι ότι έχει γίνει σοβαρή δουλειά, υπάρχει πλέον συνείδηση του πράγματος, οι επιχειρήσεις δίνουν πολύ περισσότερη σημασία κατά την τρέχουσα λειτουργία τους σε θέματα προσωπικών δεδομένων, αλλά απομένουν πολλά να γίνουν ακόμη για να πούμε ότι έχουμε κατακτήσει αυτό που λέμε ‘κουλτούρα ιδιωτικότητας’. Αυτά ισχύουν βεβαίως για τον ιδιωτικό τομέα, γιατί, όσο είμαι σε θέση να γνωρίζω, ο δημόσιος τομέας, πλην ελαχίστων εξαιρέσεων, είναι πάρα πολύ πίσω. Ο ρόλος των DPO είναι εδώ καθοριστικός» σημειώνει ο Φ. Μίτλεττον.

Mια πτυχή της αγοράς από το Μάιο μέχρι σήμερα δίνει ο Γιάννης Παυλίδης, Presales & Technical Support Manager της ESET: «Από το Μάιο έως και Ιούλιο υπήρχε μεγάλη κινητικότητα, αλλά από το Αύγουστο σημαντική πτώση. Μόλις τον Οκτώβριο-Νοέμβριο ξεκίνησαν σιγά-σιγά πάλι τα GDPR projects (είτε τεχνολογικές λύσεις σχετικές με GDPR, είτε συμβουλές, είτε υπηρεσίες υλοποιήσεων, είτε trainings). Αυτό δεν αφορά τις μεγάλες επιχειρήσεις, οι οποίες συνεχίζουν τα projects τους, αλλά κυρίως τις μικρές εταιρείες, οι οποίες φαίνεται ότι έχουν στρέψει τώρα αλλού την εστίασή τους…Αυτό που περιμένουμε είναι να γίνει κάτι – όπως είναι η επικείμενη καμπάνια για το e-privacy για παράδειγμα – ώστε να αναθερμανθεί πάλι το ενδιαφέρον για τον ευρωπαϊκό κανονισμό…».

Σύμφωνα με τον Γιώργο Εμμανουήλ, Compliance Manager, GDPR Expert, μόνιμο μέλος στην ομάδα εργασίας του ΣΕΒ «Προστασία Προσωπικών Δεδομένων» και CDPO στην Β. ΚΑΥΚΑΣ ΑΕ «Η πλειοψηφία των Υ.Ε. (Υπευθύνων Επεξεργασίας) δεν υιοθετεί τις αρχές «Data protection by design and by default» στη συνολική σχεδίαση και δεν είναι λίγες οι φορές που απουσιάζει η οργανωσιακή δέσμευση της ανώτερης διοίκησης στην εφαρμογή και τη σημασία των αλλαγών (GDPR Awareness).

Αλλά, ακόμα και όταν ένας οργανισμός επιχειρεί να συμμορφωθεί με τις απαιτήσεις του GDPR, πολλές φορές γίνεται πρόχειρα και με ελλιπή καταγραφή/χαρτογράφηση των δεδομένων επεξεργασίας, λανθασμένη gap analysis, αποσπασματική ενημέρωση του προσωπικού του με αποτέλεσμα να οδηγείται σε μη ορθά συμπεράσματα και να παραμένει έκθετος παρά τις όποιες φιλότιμες προσπάθειες γίνονται. Άλλες φορές, «εντέχνως» οι χρήστες μπορούν να «καθοδηγούνται» στις όχι και πλέον φιλικές προς την ιδιωτικότητα επιλογές. Παρόλο αυτά, γίνονται σημαντικές προσπάθειες από την ΑΠΔΠΧ και άλλους οργανισμούς, οι οποίοι δίνουν χρήσιμες οδηγίες και εργαλεία συμμόρφωσης».

Την παγκόσμια διάσταση του ζητήματος προστασίας των δεδομένων θίγει από την άλλη, ο Γιώργος Μαλλικούρτης, Υποδιευθυντής στη Διεύθυνση Κυβερνοασφάλειας και Ασφαλείας Πληροφοριών της Alpha Bank και πρόεδρος (co-chair) στο ελληνικό παράρτημα του IAPP: «το 2018 ήταν το έτος που δόθηκε παγκοσμίως ιδιαίτερη σημασία στην αξία της ιδιωτικότητας και κατά συνέπεια της προστασίας των δεδομένων προσωπικού χαρακτήρα. Όχι μόνο λόγω της εφαρμογής του GDPR, αλλά και άλλων αντίστοιχων νόμων παγκοσμίως, όπως ο Consumer Privacy Law στην Καλιφόρνια και η αναθεώρηση μέσω σημαντικών προσθηκών του Personal Information Protection and Electronic Documents Act του Καναδά».

«Όσον αφορά τη συνολική εικόνα της αγοράς, όπως αυτή φαίνεται μέσω των Hellenic CIO και EuroCIO Forums που συμμετέχω, είναι ότι οι περισσότερες εταιρείες προσπαθούν να ισορροπήσουν μεταξύ των κανονιστικών αναγκών και της επιχειρησιακής τους ανάπτυξης» αναφέρει ο Ξενοφών Λιαπάκης, General Manager, Chief Digital Transformation & Information Officer του Ομίλου Interamerican και πρόεδρος του Hellenic CIO Forum.

«Μέχρι σήμερα, η Αρχή Προστασίας Προσωπικών Δεδομένων έχει λάβει λιγότερο από 100 γνωστοποιήσεις για περιστατικά παραβίασης προσωπικών δεδομένων, αριθμός μηδαμινός σε σχέση με τον όγκο των επιχειρήσεων που δραστηριοποιούνται στην Ελλάδα, ενώ έχει απευθύνει περίπου τέσσερις συστάσεις σε εταιρείες για τη μη νόμιμη επεξεργασία προσωπικών δεδομένων ή για περιστατικά παραβίασης. Αντιθέτως, σε συζητήσεις που έχουμε με συναδέλφους στο EUROCIO forum, πιο αυστηρά έχουν ανταποκριθεί οι αρχές Προστασίας Προσωπικών Δεδομένων χωρών της Ευρωπαϊκής Ένωσης, όπως της Γαλλίας, οι οποίες έχουν ήδη επιβάλει τα πρώτα μεγάλα πρόστιμα» συμπληρώνει.

Το 2019 προβλέπεται να διασαφηνιστούν πολλά ζητήματα σε σχέση με την ορθή εφαρμογή του GDPR τόσο σε εθνικό όσο και σε ενωσιακό επίπεδο. «Ήδη η Αρχή Προστασίας Δεδομένων έχει εκδώσει σχετικές κατευθυντήριες γραμμές για μια σειρά θεμάτων, με πιο πρόσφατη αυτή για τις δραστηριότητες που απαιτούν διενέργεια DPIA, την οποία αναμέναμε αγωνιωδώς. Απομένει να δούμε πλέον τον προγραμματισμό της Αρχής όσον αφορά τη διενέργεια ελέγχων και την άσκηση των κυρωτικών της αρμοδιοτήτων. Πλέον, θεωρώ ότι και μέσω της δραστηριότητας του EDPB θα αρχίσει σιγά-σιγά να ξεκαθαρίζει το τοπίο ώστε να μπορέσουμε να πάμε από την «αρχαϊκή» περίοδο του πανικού και της υπερβολής σε μια κατάσταση νηφάλιας και λειτουργικής εφαρμογής του νέου νομικού καθεστώτος προς όφελος τόσο των υποκειμένων των δεδομένων αλλά και των ίδιων των επιχειρήσεων, οι οποίες – θα ήθελα να τονίσω για άλλη μια φορά – ακόμη και αν δεν υπήρχε ο GDPR, θα έπρεπε να τον επινοήσουν» επισημαίνει ο Φ. Μίτλεττον.

Οκτώ μήνες μετά την εφαρμογή του νόμου, η ΕΕ φαίνεται ότι έχει συνειδητοποιήσει τι πρέπει να γίνει από εδώ και πέρα. Το σίγουρο είναι το GDPR έχει έρθει για να μείνει. Άλλωστε αποτελεί τον πρώτο πανευρωπαϊκό νόμο που υπερκαλύπτει όλες τις τοπικές νομοθεσίες, και αναμένεται να αποτελέσει πρότυπο για όλα τα άλλα που θα έρθουν, με τα θέματα προστασίας δεδομένων να γίνονται όλο και πιο επίκαιρα.