Άρθρο του Νικόλα Κανελλόπουλου με τίτλο «GDPR» ένας χρόνος μετά . (www.dikastiko.gr, 31 Μαϊου 2019)

Ο Κανονισμός “GDPR” ήρθε σε συνέχεια της Οδηγίας 46/95 (ΕΚ) προκειμένου να αντιμετωπίσει, ουσιαστικά, την αλματώδη εξέλιξη της τεχνολογίας και επικοινωνίας που αποτελεί πλέον αναπόσπαστο κομμάτι, όχι μόνο της προσωπικής, αλλά και της επαγγελματικής μας ζωής.

Στόχος του Κανονισμού είναι, αφενός να δώσει τον έλεγχο πίσω στα υποκείμενα των δεδομένων, τα οποία μπορούν ανά πάσα στιγμή να γνωρίζουν ποιος και τί γνωρίζει για αυτούς σύμφωνα με την αρχή της διαφάνειας, αφετέρου δε να θέσει ένα όριο στο τί μπορεί να κάνει ένας οργανισμός με τις πληροφορίες που συλλέγει και επεξεργάζεται.

Α. ΤΟ ΝΟΜΟΘΕΤΙΚΟ ΠΛΑΙΣΙΟ

Η ολοκληρωμένη προστασία προσωπικών δεδομένων μπορεί να επιτευχθεί μόνο με τη συνδυαστική ανάγνωση και εφαρμογή του Κανονισμού με άλλα ενωσιακά κείμενα με τα οποία συνδέεται στενά και αλληλοεπιδρά, και ιδίως:

  • Με την Οδηγία ePrivacy, (εν αναμονή υιοθέτησης του σχετικού Κανονισμού) που ρυθμίζει θέματα σχετικά με τις ηλεκτρονικές και προωθητικές επικοινωνίες – “soft-opt-in”.
  • Με την Οδηγία NIS (η οποία ενσωματώθηκε στην ελληνική έννομη τάξη με το Ν.4577/2018) που αφορά σε ζητήματα κυβερνοασφάλειας, ενώ προβλέπει μέτρα για την επίτευξη υψηλού επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών στους λεγόμενους Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών και Παρόχους Ψηφιακών Υπηρεσιών (όπως, ενέργεια, μεταφορές, τράπεζες, υγεία, ψηφιακή υποδομή κ.α.).
  • Ο Κανονισμός 1807/2018 (EE) για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα, ο οποίος συμπληρώνει τον GDPR σε θέματα διαβίβασης και αποθήκευσης δεδομένων εντός ΕΕ, κυρίως με τη χρήση νέων τεχνολογιών (cloud).

Β. ΕΤΗΣΙΑ ΑΠΟΤΙΜΗΣΗ

Η μέχρι σήμερα αποτίμηση του πρώτου χρόνου εφαρμογής του Κανονισμού, σύμφωνα με τη σχετική μελέτη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, αναδεικνύει ότι ο Κανονισμός δεν παραμένει κενό γράμμα του ευρωπαίου νομοθέτη. Τόσο οι πολίτες, όσο και οι επιχειρήσεις δείχνουν μια καταρχήν ευαισθητοποίηση, καθώς έχουν συνολικά υποβληθεί πάνω από 144.000 καταγγελίες στις αρμόδιες εθνικές αρχές, ενώ έχουν ανακοινωθεί περισσότερα από 89.000 περιστατικά παραβίασης προσωπικών δεδομένων.  Ειδικότερα, ο αντίστοιχος αριθμός καταγγελιών για την Ελλάδα, σύμφωνα με τα πιο πρόσφατα στοιχεία της ΑΠΔΠΧ στον έναν χρόνο ισχύος του Κανονισμού, ανέρχεται σε 930 καταγγελίες και 136 γνωστοποιήσεις παραβίασης δεδομένων.

Το Ευρωβαρόμετρο του Μαρτίου 2019 δείχνει εξοικείωση σε μεγάλο βαθμό του ελληνικού κοινού με τις απαιτήσεις του Κανονισμού (ποσοστό 67%). Τα αναλυτικά στατιστικά μαρτυρούν την αλματώδη αύξηση των καταγγελιών μήνα προς μήνα και των ανακοινώσεων περιστατικών παραβίασης στις εθνικές αρχές προστασίας δεδομένων, ενώ προηγούμενη σχετική ανακοίνωση έκανε λόγο για περισσότερες από 250 περιπτώσεις διασυνοριακής συνεργασίας των εθνικών αρχών διαφόρων κρατών μελών για διερεύνηση περιστατικών παραβίασης του GDPR. Οι αριθμοί αυτοί, καταδεικνύουν τη δραστηριοποίηση των υποκειμένων των δεδομένων όσον αφορά στην ενάσκηση των δικαιωμάτων τους και την προστασία της ιδιωτικότητάς τους.

Γ. ΔΙΑΔΙΚΑΣΙΑ ΣΥΜΜΟΡΦΩΣΗΣ

Τα επαπειλούμενα πρόστιμα σε συνδυασμό με την αποδεδειγμένη ευαισθητοποίηση των πολιτών ανησυχούν ιδιαιτέρως τις επιχειρήσεις που δεν έχουν ακόμα συμμορφωθεί. Ωστόσο, είναι σαφές ότι η αντιμετώπιση και συμμόρφωση στις απαιτήσεις του Κανονισμού δεν μπορεί να είναι ενιαία. Το επίπεδο συμμόρφωσης εξαρτάται από πολλούς παράγοντες όπως ο κλάδος δραστηριότητας της, το μέγεθος της επιχείρησης,  οι οικονομικές δυνατότητες αυτής αλλά και η εν γένει εξοικείωση της επιχείρησης με διαδικασίες ελέγχου και πιστοποιήσεις (λ.χ. ISO).

 Όλες οι επιχειρήσεις οφείλουν να συμμορφωθούν. Σταθμίζοντας δε τα ανωτέρω κριτήρια, ορισμένες από αυτές αρκεί να προχωρήσουν σε ορισμένες ad hoc διορθώσεις και βελτιώσεις του τρόπου που επεξεργάζονται προσωπικά δεδομένα, ενώ οι μεγαλύτερες ή όσες προβαίνουν σε επεξεργασία μεγάλης κλίμακας χρειάζεται να προβούν σε ριζικές, δομικές τροποποιήσεις στη λειτουργία τους, προκειμένου να επιτύχουν συμμόρφωση με τις επιταγές του Κανονισμού.

Οι επιχειρήσεις που ορίζουν Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ) αποκτούν μια ουσιαστική διασφάλιση, απέναντί σε πιθανούς κινδύνους και πρόστιμα.  Ο ρόλος του, είναι να δρα ως αντίβαρο και να ορίζει το προσήκον μέτρο μεταξύ της σκοπούμενης επεξεργασίας και της προστασίας προσωπικών δεδομένων, διασφαλίζοντας την συνέχεια των επιχειρησιακών αναγκών αλλά και τη μείωση του αντίκτυπου αυτών για την ιδιωτικότητα και την προστασία των προσωπικών δεδομένων των φυσικών προσώπων.

*Δικηγόρος, Εκτελεστικός Διευθυντής του “Ινστιτούτου για την Προστασία
της Ιδιωτικότητας, των Προσωπικών Δεδομένων και την Τεχνολογία”
του Ευρωπαϊκού Οργανισμού Δημοσίου Δικαίου (European Public Law Organization-EPLO).