Abstract : | Η παρούσα διπλωματική εργασία εκπονήθηκε στα πλαίσια του Προγράμματος Μεταπτυχιακών Σπουδών στην Ανάπτυξη & Ασφάλεια Πληροφοριακών Συστημάτων του Οικονομικού Πανεπιστημίου Αθηνών. Ο κύριος σκοπός της εργασίας είναι η σε βάθος διερεύνηση του βαθμού συμμόρφωσης των ελληνικών επιχειρήσεων με το Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ), ο οποίος έχει τεθεί σε ισχύ από το 2018 και εφαρμόζεται σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης (ΕΕ). Ο ΓΚΠΔ θέτει αυστηρές απαιτήσεις για τον τρόπο με τον οποίο οι επιχειρήσεις χειρίζονται τα προσωπικά δεδομένα, με στόχο να δώσει στα άτομα μεγαλύτερο έλεγχο των δεδομένων τους και να διασφαλίσει την ασφαλή και νόμιμη επεξεργασία τους. Από την εφαρμογή του, η συμμόρφωση με τον ΓΚΠΔ έχει αποτελέσει σημαντική προτεραιότητα για τις επιχειρήσεις που δραστηριοποιούνται στην Ευρώπη. Ωστόσο, τα στατιστικά στοιχεία σχετικά με τα ποσοστά συμμόρφωσης ποικίλλουν ανάλογα με τον κλάδο, τη χώρα και το μέγεθος του οργανισμού. Προκειμένου να υπάρχει συνολική εικόνα της εφαρμογής τόσο σε τοπικό όσο και σε Ευρωπαϊκό επίπεδο, έγινε συνδυασμός βιβλιογραφικής μελέτης και ποιοτικής έρευνας με συμμετοχή ατόμων που έχουν ενεργή εμπλοκή στην Προστασία Προσωπικών Δεδομένων (Υπεύθυνοι Προστασίας Δεδομένων σε ελληνικές επιχειρήσεις) και συμμετείχαν σε έργα διακυβέρνησης και συμμόρφωσης με το ΓΚΠΔ (ως εξωτερικοί συνεργάτες/σύμβουλοι σε μεγάλες συμβουλευτικές εταιρίες). Η καινοτομία της εργασίας έγκειται στο γεγονός ότι δεν έχει γίνει πρόσφατα παρόμοια εκτεταμένη μελέτη για τις ελληνικές επιχειρήσεις, στη διεξαγωγή σημαντικών συμπερασμάτων και στην παρουσίαση μελλοντικών προεκτάσεων. Η εργασία αποτελείται από έξι συνολικά κεφάλαια. Στο πρώτο κεφάλαιο γίνεται μία εισαγωγή στο ερευνητικό θέμα και παρουσιάζεται ο στόχος της μελέτης και οι βασικές ερευνητικές ερωτήσεις. Στο δεύτερο κεφάλαιο αναλύεται το θεωρητικό πλαίσιο, με περιγραφή του Κανονισμού, του εδαφικού πεδίου εφαρμογής του, αλλά και του αντίστοιχου ελληνικού νόμου που θεσμοθετήθηκε το 2019. Αποσαφηνίζεται επίσης ο Κανονισμός και διευκρινίζονται οι υποχρεώσεις των επιχειρήσεων, ενώ συζητώνται και ζητήματα που προκύπτουν λόγω της ανάγκης συμμόρφωσης. Το τρίτο κεφάλαιο πραγματεύεται την εφαρμογή του Κανονισμού στην Ευρωπαϊκή Ένωση, μελετώντας το τρόπο που επιβλήθηκε στις υπόλοιπες χώρες ο Κανονισμός, τη συμμόρφωση των επιχειρήσεων συγκριτικά με το μέγεθός τους αλλά και σημαντικά στατιστικά και έρευνες σχετικά με παραβιάσεις δεδομένων και πρόστιμα εντός Ένωσης. Το τέταρτο κεφάλαιο αποτελεί εξειδίκευση του τρίτου κεφαλαίου σε τοπικό επίπεδο, με αντίστοιχη μελέτη των ελληνικών διαθέσιμων στατιστικών στοιχείων , των μέτρων εφαρμογής του Κανονισμού και σημαντικές πράξεις της Αρχής Προστασίας Δεδομένων. Στο πέμπτο κεφάλαιο παρουσιάζεται η έρευνα που διεξήχθη, το δείγμα, η μεθοδολογία που ακολουθήθηκε και τα ευρήματα της συγκεκριμένης μελέτης. Η ανάλυση στηρίζεται σε ποιοτική έρευνα που βασίστηκε σε δομημένο ερωτηματολόγιο πέντε ερωτήσεων προκειμένου να συλλεχθούν πρωτογενή δεδομένα. Το μέγεθος του δείγματος ήταν μικρό, ωστόσο έγινε εκτενής ανάλυση δεδομένων με την επαγωγική μέθοδο (inductive method) και ακολουθήθηκε η θεματική ανάλυση ως προσέγγιση της συγκεκριμένης μεθόδου. Η εργασία ολοκληρώνεται με το έκτο κεφάλαιο στο οποίο εξάγονται σημαντικά συμπεράσματα και παρουσιάζονται μελλοντικές ερευνητικές προεκτάσεις. Στο τέλος της εργασίας βρίσκονται επίσης οι βιβλιογραφικές αναφορές και τα παραρτήματα. The present thesis has been conducted within the framework of the MSc in Information Systems Development & Security of the Athens University of Economics and Business. The main purpose of the thesis is the in-depth investigation of the degree of compliance of Greek businesses with the General Data Protection Regulation (GDPR), which has been in force since 2018 and is applicable in all Member States of the European Union (EU). The GDPR sets strict requirements for how businesses handle personal data, with the aim of giving data subjects greater control over their data and ensuring that it is processed securely and lawfully. Since its implementation, compliance with the GDPR has become an important priority for businesses operating in Europe. However, statistics on compliance rate vary by industry, country, and organization size. In order to provide a comprehensive picture of implementation both locally and at a European level, a combination of literature review and qualitative research was used with participants actively involved in Data Protection (Data Protection Officers in Greek companies) as well as in GDPR Governance and Compliance projects (as external partners/consultants in large consulting companies). The innovation of the study lies in the fact that no similar extensive study has been conducted or presented recently for Greek businesses, as well as in drawing important conclusions and in presenting future implications. The paper consists of six chapters. The first chapter introduces the research topic and presents the objective of the study and the main research questions. The second chapter analyses the theoretical background, describing the Regulation, its territorial scope, and the corresponding Greek law enacted in 2019. The Regulation is also clarified, along with businesses’ obligations, while issues arising from the need for compliance are discussed. The third chapter deals with the implementation of the Regulation in the European Union, studying the way the Regulation has been imposed in other countries, the compliance of businesses compared to their size, and important statistics and research on data breaches and fines within the EU. The fourth chapter is a specialization of the third chapter at a local level, with a corresponding study of the Greek available statistics, the measures of implementation of the Regulation, and important acts of the Data Protection Authority. Chapter five presents the research conducted, the sample, the methodology followed, and the findings of this study. The analysis is based on qualitative research based on a structured five-question questionnaire in order to collect primary data. The sample size was small; however, extensive data analysis was conducted using the inductive method and thematic analysis was followed as an approach to this method. The paper concludes with chapter six in which important conclusions are drawn and future research implications are presented. References and appendices are also included at the end of the paper.
|
---|