Πρόσφατα, την 25η Μαΐου 2018, τέθηκε σε εφαρμογή ο κανονισμός προστασίας δεδομένων GDPR. Οι περισσότεροι από εμάς το αντιληφθήκαμε από τα δεκάδες ηλεκτρονικά μηνύματα που λάβαμε από την 21η έως την 26η του ίδιου μήνα. Τα μηνύματα ζητούσαν (συνήθως με λανθασμένο τρόπο) τη συναίνεσή μας για να συνεχίσουν να μας στέλνουν newsletters και διαφημίσεις.
Αλήθεια, πώς ανταποκριθήκαμε οι περισσότεροι; Απλά δεν απαντήσαμε στα mail αυτά. Τι σημαίνει όμως για τις επιχειρήσεις η εφαρμογή του GDPR; Ποιες εταιρείες αφορά; Πόσο έτοιμες είναι οι ελληνικές επιχειρήσεις για την ορθή εφαρμογή του; Σχεδόν δύο μήνες μετά την 25η Μαΐου 2018, οι απαντήσεις στα ερωτήματα είναι απογοητευτικές.
Ξεκινώντας από το δεύτερο ερώτημα, από το ποιες επιχειρήσεις αφορά, τονίζεται ότι ο GDPR αφορά σχεδόν όλες τις εταιρείες, ακόμα και τις πιο μικρές, ήτοι αφορά περίπου 247.000 επιχειρήσεις στη χώρα μας. Οι εταιρείες με προσωπικό άνω των 50 ατόμων ανέρχονται σε 4.119. Από αυτές, σύμφωνα με τις εκτιμήσεις συμβούλων της αγοράς, περίπου 300 είχαν ξεκινήσει έως την 25η Μαΐου την προσπάθεια συμμόρφωσης με κάποιον εξωτερικό σύμβουλο, που γνωρίζει τις ιδιαιτερότητες του κανονισμού και κυρίως τις ευκαιρίες που δημιουργεί η ορθή εφαρμογή του για την ίδια την εταιρεία. Αρα, απαντώντας στο τρίτο ερώτημα, μόνον το 7% των σχετικά μεγάλων επιχειρήσεων έχει κάποιον βαθμό ετοιμότητας/προσαρμογής στον κανονισμό GDPR.
Στο πρώτο ερώτημα, οι ανησυχίες των περισσότερων εταιρειών σχετικά με τον GDPR είναι οι εξής:
1. Μπορούν να συνεχίσουν την άμεση επικοινωνία με τους πελάτες τους; Αφορά κυρίως τις επιχειρήσεις B2C. (Business to Customer).
2. Πώς θα διαχειρίζονται πλέον τα στοιχεία του προσωπικού τους; Αφορά ειδικά εταιρείες με μεγάλο αριθμό εργαζομένων (584 ελληνικές επιχειρήσεις απασχολούν άνω των 250 ατόμων).
3. Είναι προτιμότερο να αναθέσουν τα καθήκοντα του υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer – DPO) σε στέλεχος της εταιρείας ή σε εξωτερικό σύμβουλο;
Οι μεγάλες εταιρείες τεσσάρων κλάδων (ασφαλιστικός, υγείας, χρηματοοικονομικός, τηλεπικοινωνιών) έχουν ξεκινήσει τις προσπάθειες συμμόρφωσης. Ορισμένες έχουν ήδη ολοκληρώσει το έργο GDPR, ήτοι τη χαρτογράφηση (data flow mapping), την ανάλυση ελλείψεων (gap analysis) και το σχέδιο συμμόρφωσης (compliance plan), δηλαδή την καταγραφή των αναγκαίων ενεργειών ώστε να συμμορφωθούν με τον κανονισμό. Υπάρχουν εταιρείες των ανωτέρω κλάδων οι οποίες ξεκίνησαν το project προσαρμογής στον GDPR τον Απρίλιο του 2016, ταυτόχρονα με την ψήφιση του κανονισμού, και σήμερα έχουν υλοποιήσει και το μεγαλύτερο μέρος της συμμόρφωσης. Επιπλέον, έχουν ορίσει και την ενδοεταιρική ομάδα ή τον έμπειρο εξωτερικό σύμβουλο, που υποστηρίζει τον DPO.
Ο δημόσιος τομέας όμως, καθώς και σημαντικοί κλάδοι της ιδιωτικής οικονομίας (π.χ. τουρισμός και μέσα μαζικής επικοινωνίας – ΜΜΕ), είναι ακόμα στην αρχή. Ελάχιστοι δημόσιοι οργανισμοί και εταιρείες τουρισμού και ΜΜΕ έχουν ξεκινήσει να χαρτογραφούν τις ροές δεδομένων τους, δηλαδή έκαναν το απολύτως αναγκαίο πρώτο βήμα προσαρμογής στις ανάγκες του κανονισμού.
Ποιες είναι οι εμπειρίες των εταιρειών που ήδη υλοποιούν τα projects προσαρμογής στον GDPR; Θετικότατες. Διαπίστωσαν ότι συχνά διατηρούσαν περισσότερα δεδομένα από όσα χρειάζονταν και ότι τα στοιχεία αυτά δεν αξιοποιούνταν μεταξύ των εταιρικών τμημάτων. Επίσης συχνά υπήρχε κίνδυνος διαρροής/καταστροφής των πολύτιμων στοιχείων τους από κακόβουλους χρήστες (hackers). Ολοκληρώνοντας το έργο του GDPR, πολλές εταιρείες (π.χ. στον διαφημιστικό κλάδο) διαπίστωσαν ότι αποτελεί πολύτιμο εργαλείο μάρκετινγκ να είναι οι ίδιες GDPR compliant και να μπορούν να διαβεβαιώσουν τους πελάτες τους για αυτό. Οχι μόνον δεν είχαν απώλεια μεριδίου αγοράς, αλλά παρουσίασαν και αύξηση. Εξίσου σημαντικό είναι ότι μείωσαν το κόστος διαχείρισης και ανταλλαγής στοιχείων μεταξύ τμημάτων της επιχείρησης. Οπως ανέφεραν πολλά στελέχη εταιρειών στους συμβούλους GDPR, «έπρεπε να έρθει ο GDPR για να κάνουμε αυτές τις σωστές, απλές και εφαρμόσιμες ενέργειες; Μας έκανε καλύτερους ο GDPR». Είναι αυτό που λέει ο τίτλος του άρθρου: ο GDPR δεν είναι ένα στενό κοστούμι, αποτελεί ορθή επιχειρηματική πρακτική! Πέραν δε αυτού, οι προαναφερθέντες κλάδοι, και ορισμένοι ακόμη, δεν θα μπορούν να λειτουργήσουν στο άμεσο μέλλον χωρίς να συμμορφώνονται στον GDPR.
* Ο κ. Λευτέρης Αναστασάκης είναι αντιπρόεδρος της εταιρείας συμβούλων PRIORITY.