Ενόψει της Διεθνούς πολιτικής και οικονομική σημασίας του ΓΚΠΔ και της καθολικής εφαρμογής του σε δημόσιο και ιδιωτικό τομέα, μέχρι σήμερα καταβλήθηκαν σημαντικές προσπάθειες ενημέρωσης της κοινής γνώμης και εκπαίδευσης στελεχών από την Ευρωπαϊκή Επιτροπή, από τις εθνικές Εποπτικές Αρχές και από ιδιωτικούς εκπαιδευτικούς οργανισμούς. Σύμφωνα με έρευνα της Ευρωπαϊκής Επιτροπής15 που δημοσιεύθηκε το Μάιο 20219, ήτοι ένα χρόνο μετά τη θέση του ΓΚΠΔ σε ισχύ, εκτιμάται ότι, κατά μέσο όρο, 67% των Ευρωπαίων πολιτών γνώριζαν, σε γενικές γραμμές, την ύπαρξη του Κανονισμού και 20% εξ αυτών το ρόλο των δημόσιων αρχών που είναι επιφορτισμένες με την εφαρμογή του. Κατά την ίδια έρευνα, η Ελλάδα και η Ισπανία βρίσκονταν ακριβώς στον Ευρωπαϊκό μέσο όρο του 67%, έναντι ποσοστού 44% των πολιτών της Γαλλίας , 49% της Ιταλίας , 53% του Βελγίου και, 58% της Κύπρου, 79% της Γερμανίας και 90% της Σουηδίας. Όπως προκύπτει από τα στοιχεία των Εποπτικών Αρχών, από τον Μάιο του 2018 και εφεξής είχαν υποβληθεί σε αυτές, κατά το πρώτο έτος, συνολικά 144.376 καταγγελίες παραβιάσεων του Κανονισμού και συνολικά 89.2721 κοινοποιήσεις διαρροών προσωπικών δεδομένων16 . Τα ομολογουμένως εντυπωσιακά αυτά στοιχεία είναι ενδεικτικά της έκτασης των απειλών που εκδηλώθηκαν, κατά το επίμαχο χρονικό διάστημα, κατά της ιδιωτικής ζωής των Ευρωπαίων πολιτών.
Σε ότι αφορά την ενσωμάτωση των ρυθμίσεων του Κανονισμού από τις επιχειρήσεις, τα μέχρι πρόσφατα διαθέσιμα στοιχεία δεν ήταν, εντούτοις, εξίσου ενθαρρυντικά. Από έρευνα σκανδιναβικής εταιρίας χρηματοοικονομικών ερευνών σε δείγμα 9607 ευρωπαϊκών επιχειρήσεων που ολοκληρώθηκε το Μάρτιο 201817 προέκυψε ότι περίπου 27% των εταιριών, ήτοι περισσότερες από μία στις τέσσερις Ευρωπαϊκές επιχειρήσεις, αγνοούσαν μέχρι τότε παντελώς την ύπαρξη του GDPR. Εξ αυτών το μεγαλύτερο ποσοστό αγνοίας ύψους 69% καταγράφηκε στις ελληνικές επιχειρήσεις, έναντι ποσοστού 62% στη Σλοβενία, 51% στη Νορβηγία, 38% στη Γερμανία, 12% στην Αυστρία, 11% στην Πορτογαλία κ.λπ. Κατά τις ίδιες προβλέψεις, το μέσο κόστος της κανονιστικής συμμόρφωσης των μικρομεσαίων επιχειρήσεων εκτιμάται σε περίπου 8.000 ευρώ, των μεγάλων επιχειρήσεων σε 65.000 ευρώ, ενώ το συνολικό κόστος προσαρμογής στον ΓΚΠΔ για περίπου 26 εκατομμύρια ευρωπαϊκές επιχειρήσεις υπολογίζεται σε 198 δις ευρώ. Σύμφωνα με πρόσφατη έρευνα (Σεπτέμβριος 2019) του Ινστιτούτου Ερευνών Capgemini18 , μόνο το 28% των επιχειρήσεων παγκοσμίως έχουν συμμορφωθεί με τον Γενικό Κανονισμό. Η καθυστέρηση αυτή οφείλεται στην πολυπλοκότητα των κανονιστικών απαιτήσεων, στο υψηλό κόστος υλοποίησης και στην ύπαρξη σημαντικών εμποδίων στην αναγκαία τεχνολογική αναβάθμιση των πληροφοριακών υποδομών. Είναι πάντως αξιοσημείωτο ότι, από τις εταιρίες που απάντησαν ότι έχουν εναρμονιστεί πλήρως με τον GDPR, ποσοστό 81% αναφέρει ότι η συμμόρφωσή τους έχει θετικές επιπτώσεις στη φήμη και την εικόνα της επιχείρησης στην αγορά και στην κοινωνία.
Στην Ελλάδα, σημαντικό έλλειμμα πληροφόρησης για τα πρακτικά βήματα και τον τρόπο επίτευξης της συμμόρφωσης καταγράφηκε κυρίως σε ό,τι αφορά τις μικρομεσαίες επιχειρήσεις. Η διαπίστωση αυτή στηρίζεται σε έρευνα που πραγματοποιήθηκε το Μάιο 2018 σε δείγμα 1.004 επιχειρήσεων19 η Γενική Συνομοσπονδία Επαγγελματιών Βιοτεχνών Εμπόρων Ελλάδας (ΓΣΕΒΕΕ). Ανάλογα στοιχεία προέκυψαν από τις απαντήσεις σε ερωτηματολόγιο της εταιρίας ICAP που στάλθηκε σε δείγμα 210 ελληνικών επιχειρήσεων στις αρχές του έτους 201920. Μετά από αυτεπάγγελτους ελέγχους της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)21, τα αποτελέσματα των οποίων δημοσιοποιήθηκαν στις αρχές του 201922, παρατηρήθηκε σημαντική υστέρηση του δημοσίου τομέα, κυρίως στο επίπεδο τεκμηρίωσης και διαφάνειας κάθε τύπου διενεργούμενης επεξεργασίας. Σοβαρές ελλείψεις καταγράφηκαν αντίστοιχα και στον ιδιωτικό τομέα σε σχέση με τους όρους και τις πράξεις επεξεργασίας, τους αποδέκτες των δεδομένων και την χρήση αναγνωριστικών αρχείων (cookies) στις ιστοσελίδες των εταιριών. Αντίθετα, παρατηρήθηκε ικανοποιητικό βασικό επίπεδο ασφάλειας σε ποσοστό άνω του 80% των ελεγχθέντων υπευθύνων επεξεργασίας. Ομοίως, προέκυψε επαρκής βαθμός δημοσιοποίησης στην Αρχή των στοιχείων Υπευθύνων Προστασίας Δεδομένων (ΥΠΔ) που ορίστηκαν σε δημόσιο και ιδιωτικό τομέα. Εξαίρεση αποτελούν τα δημόσια νοσοκομεία εκ των οποίων μόνο δεκατρία (13) είχαν κοινοποιήσει στην Αρχή τον ορισμό ΥΠΔ μέχρι τον Ιούλιο 2019.
Τα παραπάνω δειγματοληπτικά στοιχεία επιβεβαιώνουν τη γενική τάση ότι ο δρόμος της κανονιστικής προσαρμογής τόσο του ιδιωτικού, αλλά κυρίως του δημόσιου τομέα στην Ελλάδα, προμηνύεται μακρύς και δύσβατος23. Συνεκτιμώντας τις πολλαπλές ρυθμιστικές προκλήσεις και τις αυξανόμενες τεχνολογικές απειλές στη σημερινή ψηφιακή οικονομία, κανένα δεν αμφιβάλλει πλέον ότι η συζήτηση περί ασφάλειας, προστασίας απορρήτου και προσωπικών δεδομένων δεν είναι θεωρητική. Αντίθετα, η ανάγκη ευαισθητοποίησης της κοινής γνώμης και των υπόχρεων συμμόρφωσης παραμένει επιτακτική, επίκαιρη και με μεγάλη πρακτική σημασία, Πράγματι, καθημερινά σχεδόν εκδηλώνονται σε παγκόσμιο επίπεδο κυβερνοεπιθέσεις σε κάθε κλάδο (δημόσια διοίκηση, εφορίες, υγεία, χρηματοπιστωτικός τομέας, βιομηχανία, μεταφορές, επικοινωνίες, τουρισμός). Οι εγκληματικές αυτές ενέργειες συχνά καταλήγουν σε «κλείδωμα αρχείων οργανισμών και εταιριών, οι οποίες συνοδεύονται με αίτημα παροχής λύτρων (ransomware) από τους εισβολείς, ώστε αυτοί να αποκαταστήσουν την πρόσβαση στα πληροφοριακά και επικοινωνιακά συστήματα των θυμάτων του. Προς αποφυγή εντοπισμού τους, οι εισβολείς αξιώνουν την καταβολή των σχετικών ποσών σε κρυπτονομίσματα. Στο σκοτεινό διαδίκτυο (dark web) προσφέρεται σήμερα η δυνατότητα αγοράς και χρήσης από κάθε επίδοξο χάκερ κακόβουλου λογισμικού (ransomware as a service/Raas). Τέτοια παράνομα προγράμματα διατίθενται εμπορικά από κυβερνοεγκληματίες, συνοδευόμενα μάλιστα από οδηγίες χρήσης για τον τρόπο που μπορούν να αυξήσουν τη βλάβη που προκαλούν.
Συνήθης τρόπος εκδήλωσης επιθέσεων είναι η, μέσω κτήσης ελέγχου δικτύων υπολογιστών τρίτων (botnets), δρομολόγηση μεγάλου όγκου πακέτων δεδομένων προς ιστοσελίδες-στόχους με αποτέλεσμα την κατάρρευσή τους. Εναλλακτικός τρόπος επίθεσης είναι η αποστολή «μολυσμένων» μηνυμάτων ηλεκτρονικού ταχυδρομείου, μέσω των οποίων οι χάκερς παρακινούν τους ανυποψίαστους αποδέκτες να ανοίξουν εν αγνοία τους μια κερκόπορτα, μέσω της οποίας οι τεχνολογικά προηγμένοι πετυχαίνουν να διεισδύσουν στα πληροφοριακά συστήματα οικείου φορέα24. Συναφείς εγκληματικές δραστηριότητες αποτελούν περιπτώσεις υποκλοπής ταυτότητας, παραβίασης στοιχείων πελατών εταιριών, λογαριασμών χρηστών στα μέσα κοινωνικής δικτύωσης, κωδικών τραπεζικών καρτών και μη εξουσιοδοτημένης πρόσβασης σε δίκτυα και υπηρεσίες.
Χαρακτηριστικά παραδείγματα εγκληματικών ενεργειών με τις επιπτώσεις τους για τα θύματα και τα συναφή πρόστιμα που επιβλήθηκαν από τις Εποπτικές Αρχές θα δούμε σε επόμενο άρθρο
Στο πλαίσιο αυτό, η συμμόρφωση με τον ΓΚΠΔ, εκτός από βέλτιστη επιχειρηματική πρακτική, βασισμένη σε σχέση σεβασμού της ιδιωτικότητας των διοικούμενων, των μελών, των εργαζομένων ή των πελατών σας, είναι σε θέση να ενισχύσει την ετοιμότητα του προσωπικού και τη συνολική ασφάλεια πληροφοριών του οργανισμού σας.