Ένα χρόνο μετά, το μόνο που έχει μειωθεί είναι το άγχος της προθεσμίας, χωρίς να έχει γίνει κατανοητό ότι η 25η Μαΐου ήταν η αρχή εφαρμογής του Κανονισμού και όχι η λήξη του. Σήμερα, το ποσοστό των ελληνικών επιχειρήσεων που έχουν ολοκληρώσει ένα πρόγραμμα πλήρους συμμόρφωσης, δυστυχώς, δεν έχει βελτιωθεί σημαντικά. Το ίδιο συμβαίνει και με την ουσία του θέματος, δηλαδή την γενικότερη κατανόηση του τι συμβαίνει με τα προσωπικά δεδομένα, τα οποία στην καλύτερη περίπτωση ακόμη συνεχίζουν να συγχέονται εσφαλμένα με κάτι το “απόρρητο”.
Την κατάσταση αυτή δυστυχώς επέτεινε το γεγονός ότι η εν λόγω νομοθεσία δίνει γενικές κατευθύνσεις εφαρμογής, χωρίς ακόμη να υφίσταται κάποιου είδους γενικό πρότυπο συμμόρφωσης. Ειδικά στον τομέα της κυβερνοασφάλειας (Cyber Security), η κατάσταση παραμένει στα υφιστάμενα προ-GDPR μέτρα προστασίας, τα οποία δυστυχώς κατά κανόνα είναι ανεπαρκή, ιδιαίτερα σε ό,τι αφορά την προστασία από τις κυβερνοαπειλές, οι οποίες απειλούν το ίδιο τόσο τα προσωπικά όσο και τα πάντα κρίσιμα, εταιρικά δεδομένα. Το γεγονός είναι ότι από την 25 Μάιου 2018 όλες ανεξαιρέτως οι ελληνικές επιχειρήσεις έχουν υποχρέωση να λογοδοτήσουν στην περίπτωση παραβίασης του Κανονισμού, όπου ναι μεν τα δυσθεώρητα πρόστιμα των 20 εκ. δεν αφορούν την μέση ελληνική επιχείρηση, ωστόσο ακόμη και ένα πρόστιμο της τάξεως των 50 ή 200 χιλ. ευρώ είναι αναμφισβήτητα σημαντικό, χωρίς να υπολογίζουμε την βλάβη στην εταιρική φήμη.
ΚΑΙ ΜΕΤΑ ΤΟ GDPR;
Το ότι δεν υπήρξε συμμόρφωση την 25η Μαΐου 2018 δεν σημαίνει ότι είναι αργά για δράση σήμερα. Τουναντίον, δεδομένης της σωρευμένης εμπειρίας υλοποίησης, το πρόγραμμα συμμόρφωσης μπορεί να ολοκληρωθεί με μεγάλη οικονομική και λειτουργική αποτελεσματικότητα. Όσες δε επιχειρήσεις, έχουν ολοκληρώσει πρόγραμμα συμμόρφωσης με τον ένα ή άλλο τρόπο, οφείλουν να επικαιροποιούν τα αποτελέσματα και να ελέγχουν τακτικά το επίπεδο προστασίας των πληροφοριακών τους συστημάτων. Ο αιφνιδιασμός θα είναι επιζήμιος αν παρ’ όλη την επιμέλεια προετοιμασίας, τελικά το όλο σύστημα σταδιακά ατονήσει ή δεν έχει δομηθεί από την αρχή σωστά. Σε κάθε περίπτωση, θα πρέπει τουλάχιστον να ληφθούν υπ’ όψιν τα παρακάτω:
- Η λήψη μιας σειράς μέτρων προστασίας (Cyber Security Action Plan), ώστε να προστατεύεται η ακεραιότητα της ψηφιακής υποδομής των επιχειρήσεων και να ελαχιστοποιείται η ζημία από κάθε είδους κυβερνοεπίθεση
- Όλο ανεξαιρέτως το προσωπικό θα πρέπει να εκπαιδεύεται στην χρήση εργαλείων προστασίας των δεδομένων και να εφαρμόζει τις εταιρικές πολιτικές ασφαλείας
- Η τακτική νομική υποστήριξη καθώς και η υπό προϋποθέσεις ασφάλιση εναντίον κυβερνοεπίθεσης αποτελούν σημαντικό μέρος της συνολικής θωράκισης
Στέλιος Βογιατζής
Director, Consulting Services
Απρίλιος 2019
(To άρθρο δημοσιεύτηκε στην οικονομική εφημερίδα "ΗΜΕΡΗΣΙΑ" μαζί με το "ΕΘΝΟΣ της Κυριακής" στις 14.04.2019)