Ο κανονισμός γενικής προστασίας δεδομένων θα τεθεί σε ισχύ στις 25 Μαΐου, και σχεδόν κανείς δεν είναι έτοιμος - όχι μόνο οι εταιρείες, ούτε καν οι ρυθμιστικές αρχές. Ο κανονισμός έδωσε στις επιχειρήσεις δύο χρόνια περιθώριο για να συμμορφωθούν, ο οποίος θεωρητικά ήταν αρκετός χρόνος. Η πραγματικότητα όμως είναι διαφορετική.

«Πολύ λίγες εταιρείες θα είναι 100% συμμορφωμένες στις 25 Μαΐου» δηλώνει στο TheVerge ο Jason Straight, πληρεξούσιος και επικεφαλής της υπηρεσίας προστασίας προσωπικών δεδομένων της United Lex, μιας εταιρείας που δημιουργεί προγράμματα συμμόρφωσης με GDPR για τις επιχειρήσεις. «Οι εταιρείες και κυρίως οι αμερικανικές εταιρείες, έχουν επιδοθεί σε ένα αγώνα δρόμου τον τελευταίο μήνα για να προετοιμαστούν».

Το GDPR είναι ένα φιλόδοξο σύνολο κανόνων, που καλύπτει τις απαιτήσεις ενημέρωσης των ρυθμιστικών αρχών σχετικά με παραβιάσεις δεδομένων, απαιτώντας διαφάνεια και ενημέρωση (εντός 72 ωρών, όχι λιγότερο) για δεδομένα που συλλέγονται (και υποκλέπτονται) από χρήστες. Η απαίτηση του GDPR που όλοι θεωρούν υπερβολική είναι το αίτημα πρόσβασης στο ΄σύνολο των δεδομένων. Οι κάτοικοι της ΕΕ έχουν το δικαίωμα να ζητούν πρόσβαση στις προσωπικές πληροφορίες που συγκεντρώνουν οι εταιρείες και να ζητήσουν αναθεώρηση στον τρόπο που τα διαχειρίζονται.

Παράλληλα, μπορούν να ζητήσουν τη διαγραφή πληροφοριών που τους αφορούν, να διορθωθούν αν είναι λανθασμένες και ακόμη και να τους παραδοθούν σε φορητή μορφή. Αλλά αυτά τα δεδομένα μπορεί να διασκορπισμένα σε πολλά διαφορετικά σημεία και ποιoς ξέρει σε πόσες μορφές. Ένα μεγάλο μέρος της συμμόρφωσης με το GDPR απαιτεί τη δημιουργία των αναγκαίων εσωτερικών υποδομών, ώστε να ικανοποιηθούν οι παραπάνω απαιτήσεις.

Ένας πολύπλοκος νόμος
Ο Alison Cool, καθηγητής ανθρωπολογίας και επιστήμης των πληροφοριών στο Πανεπιστήμιο του Κολοράντο, γράφει στους The New York Times ότι ο νόμος είναι «εκπληκτικά πολύπλοκος» και πρακτικά ακατανόητος για τους ανθρώπους που προσπαθούν να συμμορφωθούν με αυτόν. Οι επιστήμονες και οι διαχειριστές δεδομένων που επικοινώνησε «αμφέβαλλαν ότι η απόλυτη συμμόρφωση με τον νόμο είναι εφικτή».

Η μη συμμόρφωση, ωστόσο, μπορεί να οδηγήσει σε αρκετά δυσάρεστες καταστάσεις: To GDPR επιτρέπει στις ρυθμιστικές αρχές την επιβολή προστίμων στις επιχειρήσεις μέχρι το 4% των παγκόσμιων εσόδων τους για παραβιάσεις του. Ένα πρόστιμο 4% για την Amazon, ωστόσο, μεταφράζεται σε 7 δισ. δολάρια, κοστίζοντας της πάνω από δύο χρόνια κέρδους.

Επειδή ένα μεγάλο τμήμα του GDPR είναι διφορούμενο, το πώς θα λειτουργήσει στην πράξη εξαρτάται από το τι κάνουν οι ρυθμιστικές αρχές με αυτό. Σίγουρα στο τέλος θα προκύψουν κανόνες, αλλά το ποιους θα ακολουθήσουν οι ρυθμιστικές αρχές παραμένει ακόμα άγνωστο.

Η γενική παραδοχή είναι ότι οι Ευρωπαίοι ρυθμιστές θα αντιμετωπίσουν με ηρεμία τη λήξη της προθεσμίας, δίνοντας στις επιχειρήσεις μια μικρή περίοδο χάριτος. Ωστόσο, οι ρυθμιστικές αρχές δεν μπορούν να ελέγξουν πλήρως τι πρόκειται να συμβεί στις 25 Μαΐου, επειδή ένας μέρος του GDPR εξαρτάται από τις προθέσεις των Ευρωπαίων πολιτών. Εάν ένας κάτοικος της ΕΕ υποβάλει αίτημα σε μια εταιρεία σχετικά με τον τρόπο που διαχειρίζεται τα προσωπικά του δεδομένα, η εταιρεία έχει 30 ημέρες για να απαντήσει σε αυτόν. Αν η εταιρεία δεν ανταποκριθεί μέσα σε αυτό το χρονικό διάστημα ικανοποιώντας το αίτημα που της έχει υποβληθεί, τότε ο πολίτης μπορεί να υποβάλει καταγγελία στον τοπικό ρυθμιστή.

Το GDPR απαιτεί από την ρυθμιστική αρχή να κάνει κάτι για την επιβολή του νόμου. Μπορεί αυτό το κάτι να μην είναι ένα πρόστιμο 4%, αλλά οι καταγγελίες δεν μπορούν να πεταχθούν στο καλάθι των αχρήστων. «Εάν υποβληθούν 10.000 καταγγελίες τον πρώτο μήνα, θα υπάρξει πρόβλημα» αναφέρει ο Straight. Δεκαπέντε από τις 24 ευρωπαϊκές ρυθμιστικές αρχές που ερωτήθηκαν από το Reuters νωρίτερα αυτό το μήνα δήλωσαν ότι δεν ήταν έτοιμες για την εφαρμογή του νόμου, καθώς δεν είχαν ακόμη τη χρηματοδότηση ή τις νόμιμες εξουσίες για να εκπληρώσουν τα καθήκοντά τους.

Το «πρόβλημα» της κοινοποίησης
Μια άλλη διάταξη του GDPR που ενδέχεται να «μπερδέψει» τις ρυθμιστικές αρχές είναι η απαίτηση κοινοποίησης παραβίασης των δεδομένων. Οι εταιρείες υποχρεούνται να ενημερώσουν τη σχετική αρχή προστασίας δεδομένων εντός 72 ωρών από το συμβάν παραβίασης, αλλά αυτό που πρέπει να κάνει ο ρυθμιστής αργότερα δεν είναι απολύτως ξεκάθαρο. Οι ρυθμιστικές αρχές ενδέχεται να μην είναι έτοιμες να ελέγξουν τα επίπεδα προστασίας δεδομένων που έχει ενεργοποιήσει μια εταιρεία ή να μην μπορούν να υπολογίσουν ακριβώς τι πρέπει να κάνουν για να προστατεύσουν τους κατοίκους της ΕΕ που επηρεάζονται από την παραβίαση. Αλλά, πρέπει να κάνουν κάτι. Μπορεί να έχουν κάποια ευελιξία για το πώς να ανταποκριθούν, αλλά το GDPR δεν θα τους επιτρέψει να μην κάνουν τίποτα.

Το GDPR υποτίθεται ότι ισχύει μόνο για τους κατοίκους της ΕΕ, αλλά επειδή τόσες πολλές πολυεθνικές επιχειρήσεις δραστηριοποιούνται στην Ευρώπη, ο αμερικανικός κλάδος της τεχνολογίας καταβάλλει προσπάθειες για συμμόρφωση με το GDPR. Παρόλο που το μεγάλο λανσάρισμα του GDPR θα γίνει «βεβιασμένα», ο κανονισμός σηματοδοτεί μια τεράστια αλλαγή στον τρόπο χειρισμού των δεδομένων σε όλο τον κόσμο. Οι Αμερικανοί εκτός Ευρώπης δεν μπορούν να κάνουν αιτήματα πρόσβασης σε προσωπικά δεδομένα και δεν μπορούν να ζητήσουν τη διαγραφή των δεδομένων τους. Ωστόσο, η συμμόρφωση με το GDPR θα έχει ούτως ή άλλως επιπτώσεις σε αυτά. Η απαίτηση γνωστοποίησης παραβίασης, ειδικότερα, είναι πιο αυστηρή από οτιδήποτε στις ΗΠΑ. Καθώς οι εταιρείες και οι ρυθμιστικές αρχές προσαρμόζονται στη ροή των πραγμάτων, υπάρχει η αισιοδοξία ότι η αυξημένη προστασία της ιδιωτικής ζωής μέσω του GDPR θα γίνει συνήθης. [ΠΗΓΗ:TheVerge]

Απροετοίμαστες οι ελληνικές ΜμΕ για την εφαρμογή του GDPR
Ενημερωτική εκδήλωση για την εφαρμογή του Νέου Κανονισμού GDPR και τα θέματα που προκύπτουν για τις μικρομεσαίες επιχειρήσεις και τους καταναλωτές, πραγματοποιήθηκε την Τετάρτη 23 Μαΐου 2018 στο αμφιθέατρο της ΓΣΕΒΕΕ. Την εκδήλωση άνοιξε ο Πρόεδρος της ΓΣΕΒΕΕ, Γ. Καβαθάς και στη συνέχεια ο Επιστημονικός Συνεργάτης του ΙΜΕ-ΓΣΕΒΕΕ Δημήτρης Μπίμπας και ο Γενικός Διευθυντής του ΣΕΚΕΕ Γιάννης Κωτσής Γιανναράκης παρουσίασαν τα συμπεράσματα της έρευνας σχετικά με την εφαρμογή του Νέου Κανονισμού στην Ελλάδα.

Συγκεκριμένα, η ΓΣΕΒΕΕ και το ΙΜΕ ΓΣΕΒΕΕ, σε συνεργασία με τον Σύνδεσμο Εταιρειών Κινητών Εφαρμογών Ελλάδος (ΣΕΚΕΕ) και με τη συνδρομή της εταιρείας KapaResearch διεξήγαγε έρευνα στις μικρές επιχειρήσεις σχετικά με την εφαρμογή του Νέου Κανονισμού, τα πορίσματα της οποίας είναι ενδεικτικά του φόβου και της σύγχυσης που έχει δημιουργηθεί από την έλλειψη ενημέρωσης και κατευθυντήριων γραμμών. Τα παραπάνω προσδιορίζουν με σαφήνεια την ανάγκη να διαμορφωθεί ένα φιλικό πλαίσιο προσαρμογής των μικρών επιχειρήσεων σε έναν Κανονισμό που επί της αρχής είναι ορθός και σκοπεύει στην ουσιαστική προστασία πολιτών και επιχειρήσεων.

Τα κυριότερα συμπεράσματα της έρευνας που διεξήχθη από 15 έως 21 Μαΐου, είναι ότι 1 στις 3 επιχειρήσεις δε γνωρίζει αν έχει υποχρέωση δήλωσης στην Αρχή προστασίας Προσωπικών δεδομένων σχετικά με τα αρχεία που τηρεί για τους πελάτες, ενώ το 43% των επιχειρήσεων δεν γνωρίζει τίποτα σχετικά με τον νέο Κανονισμό. Επιπρόσθετα, το 47% των επιχειρήσεων δε γνωρίζει ποιες είναι οι υποχρεώσεις της επιχείρησης σχετικά με την τήρηση του νέου κανονισμού, ενώ ένα μεγάλο ποσοστό αδυνατεί να προσδιορίσει επακριβώς την υποχρέωση που έχει για την απρόσκοπτη τήρηση των αρχείων.