Ένας χρόνος GDPR.
Γράφει ο Νικόλας Κανελλόπουλος
Η 25η Μαΐου 2019 σηματοδοτεί τα πρώτα γενέθλια του Κανονισμού για την Προστασία των Προσωπικών Δεδομένων (ΕΕ 2016/679, εφεξής GDPR), η εφαρμογή του οποίου ανασυνέταξε ουσιωδώς το πλαίσιο επεξεργασίας δεδομένων προσωπικού χαρακτήρα, εντείνοντας τις υποχρεώσεις ιδιωτικών και δημοσίων φορέων και ενισχύοντας τα δικαιώματα των υποκειμένων των δεδομένων. Παράλληλα ενισχύθηκε και ο ρόλος των εθνικών Αρχών Προστασίας Δεδομένων Προσωπικού Χαρακτήρα των κρατών μελών της Ε.Ε. ως προς την διαφύλαξη των δικαιωμάτων αυτών, μέσα από τον έλεγχο της συμμόρφωσης των φορέων με τις επιταγές του GDPR.
Στο πλαίσιο αυτό, η σχετική μελέτη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για τον πρώτο χρόνο εφαρμογής του GDPR αναφέρει ότι έχουν συνολικά υποβληθεί πάνω από 144.000 καταγγελίες στις αρμόδιες εθνικές αρχές των κρατών του Ευρωπαϊκού Οικονομικού Χώρου, ενώ έχουν ανακοινωθεί περισσότερα από 89.000 περιστατικά παραβίασης προσωπικών δεδομένων. Ειδικότερα, ο αντίστοιχος αριθμός καταγγελιών για την Ελλάδα, σύμφωνα με πρόσφατη ανακοίνωση της Ελληνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για το διάστημα έως 15 Απριλίου, υπερβαίνει τις 800 ενώ οι ανακοινώσεις περιστατικών παραβίασης τις 120. Τα αναλυτικά στατιστικά μαρτυρούν την αλματώδη αύξηση μήνα προς μήνα των καταγγελιών και των ανακοινώσεων περιστατικών παραβίασης στις εθνικές αρχές προστασίας δεδομένων, ενώ προηγούμενη σχετική ανακοίνωση έκανε λόγο για περισσότερες από 250 περιπτώσεις διασυνοριακής συνεργασίας των εθνικών αρχών διαφόρων κρατών μελών για διερεύνηση περιστατικών παραβίασης του GDPR. Οι αριθμοί αυτοί καταδεικνύουν τη δραστηριοποίηση των υποκειμένων των δεδομένων όσον αφορά στην ενάσκηση των δικαιωμάτων τους και την προστασία της ιδιωτικότητάς τους.
Εξετάζοντας τα διοικητικά πρόστιμα που έχουν επιβάλλει εθνικές αρχές προστασίας προσωπικών δεδομένων κατά τον πρώτο αυτό χρόνο εφαρμογής του GDPR, παρατηρείται δυσχέρεια στη συμμόρφωση τόσο με την αρχή της ασφάλειας των δεδομένων, που επιτάσσει τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων, όσο και με τις αρχές της διαφάνειας και ενημέρωσης των υποκειμένων των δεδομένων αλλά και της αρχής της ελαχιστοποίησης των δεδομένων που ορίζει τη συλλογή μόνο των ελάχιστων απαραίτητων προσωπικών πληροφοριών για κάθε σκοπούμενη επεξεργασία. Ο έλεγχος των αρμόδιων εθνικών αρχών δεν έχει περιοριστεί μόνο σε ιδιωτικούς φορείς αλλά έχει επεκταθεί και σε δημόσιους, μικρού αλλά και μεγάλου βεληνεκούς, όπως η περίπτωση της Google, κατά της οποίας η Γαλλική Εθνική Επιτροπή Προστασίας Δεδομένων (CNIL) επέβαλε τον Ιανουάριο του 2019 διοικητικό πρόστιμο ύψους 50 εκατομμυρίων ευρώ για μη λήψη έγκυρης συγκατάθεσης των χρηστών στο πλαίσιο προβολής προσωποποιημένων διαφημίσεων.
Ιδιαίτερο ενδιαφέρον παρουσιάζει και η Περίπτωση της Εθνικής Επιτροπής Προστασίας Δεδομένων της Πορτογαλίας που τον Ιούλιο του 2018 επέβαλε διοικητικό πρόστιμο ύψους 400.000 ευρώ σε Δημόσιο Νοσηλευτικό Ίδρυμα της χώρας για τρεις παραβάσεις αναφορικά με την αρχή της ελαχιστοποίησης στην επεξεργασία προσωπικών δεδομένων, την παραβίαση της υποχρέωσης εμπιστευτικότητας και ακεραιότητας των δεδομένων (μη επιβολή κατάλληλων οργανωτικών και τεχνικών μέτρων για την πρόληψη πρόσβασης στα δεδομένα) και την μη τήρηση των μέτρων ασφάλειας των δεδομένων. Αξίζει να σημειωθεί ότι η Επιτροπή προέβη στον έλεγχο κατόπιν σχετικού δημοσιεύματος σε εφημερίδα και όχι μετά από σχετική καταγγελία. Χαμηλότερα πρόστιμα έχουν επίσης επιβληθεί και από τις αρμόδιες Αρχές της Γερμανίας και της Αυστρίας. Συγκεκριμένα, η Γερμανική Αρχή επέβαλε πρόστιμο 20.000 ευρώ σε εταιρεία διαχείρισης μέσων κοινωνικής δικτύωσης για παραβίαση των απαιτήσεων ασφάλειας των δεδομένων των χρηστών, ενώ η Αυστριακή αρχή επέβαλε πρόστιμο 5.000 ευρώ για τη μη σύννομη χρήση συστήματος βιντεοεπιτήρησης σε εμπορικό χώρο (διαχείρισης αθλητικών στοιχημάτων). Η πιο πρόσφατη περίπτωση επιβολής προστίμου για πλημμελή προστασία προσωπικών δεδομένων εκτός Ε.Ε. είναι αυτή της Νορβηγικής Αρχής Προστασίας Προσωπικών Δεδομένων που επέβαλε διοικητικό πρόστιμο 170.000 ευρώ σε τοπική δημοτική αρχή για την επισφαλή προστασία ηλεκτρονικής πλατφόρμας σχολείου και την πρόσβαση σε πληροφορίες σχετικά με μαθητές και προσωπικό και συνεπώς τη μη διαφύλαξη προσωπικών δεδομένων μαθητών, γονέων και προσωπικού.
Παρά την καθυστέρηση ψήφισης του σχετικού εκτελεστικού νόμου στην Ελλάδα και δεδομένης της άμεσης εφαρμογής του GDPR, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επεξεργάζεται ήδη καταγγελίες και έχει προχωρήσει στη σύσταση των απαραίτητων τμημάτων ελέγχου. Ωστόσο, ο αριθμός των καταγγελιών και των ανακοινώσεων για περιστατικά παραβίασης φανερώνει ότι οι Οργανισμοί και οι επιχειρήσεις δεν έχουν πλήρως κατανοήσει τις απαιτήσεις του GDPR και δεν έχουν πλήρως προβεί στις απαραίτητες ενέργειες συμμόρφωσης και αναδιοργάνωσης των λειτουργιών τους. Αυτό που πρέπει να καταστεί σαφές είναι ότι ο GDPR δεν αποτελεί μόνο υποχρέωση αλλά και ευκαιρία για τις επιχειρήσεις να βελτιώσουν τις πρακτικές τους, να οργανώσουν καλύτερα την παροχή των υπηρεσιών τους και να ενισχύσουν την εμπιστοσύνη του κοινού προς αυτές. Προς το σκοπό αυτό κρίνεται απαραίτητη η συνδρομή κατάλληλων νομικών και τεχνικών συμβούλων, οι οποίοι με την εμπειρογνωσία και την εξειδικευμένη κατάρτιση τους θα συνδράμουν αποφασιστικά στην αποσαφήνιση των απαιτήσεων του GDPR και στην αποτελεσματικότερη αντιμετώπιση των προκλήσεων του νέου κανονιστικού πλαισίου.
Νικόλας Κανελλόπουλος,
Δικηγόρος, Διευθύνων Εταίρος της Δικηγορικής Εταιρείας “Νικόλας Κανελλόπουλος – Χαρά Ζέρβα & Συνεργάτες”, Υπεύθυνος Προστασίας Δεδομένων (DPO) του Επαγγελματικού Επιμελητηρίου Αθηνών.
Εκτελεστικός Διευθυντής του “Ινστιτούτου για την Προστασία της Ιδιωτικότητας, των Προσωπικών Δεδομένων και την Τεχνολογία” του Ευρωπαϊκού Οργανισμού Δημοσίου Δικαίου (European Public Law Organization-EPLO).