Άρθρο του κ. Νικόλαου Κανελλόπουλου, που δημοσιεύτηκε στο Broker’s Time 57*
*Ο κ. Κανελλόπουλος είναι Δικηγόρος, Εκτελεστικός Διευθυντής του «Ινστιτούτου Προστασίας Ιδιωτικότητας, των Προσωπικών Δεδομένων και την Τεχνολογία» του Ευρωπαϊκού Οργανισμού Δημοσίου Δικαίου (European Public Law Organization-EPLO)
Ο Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (ΕΕ 2016/679, εφεξής GDPR), μετράει ήδη ένα χρόνο εφαρμογής. Μολονότι η Ελλάδα δεν έχει υιοθετήσει έως σήμερα σχετικό εθνικό νόμο, οι αρχές και οι κανόνες του GDPR εφαρμόζονται από τις 25 Μαΐου 2018. Στο διάστημα του ενός έτους, οι επιχειρήσεις έχουν προβεί (άλλες σε μικρότερο και άλλες σε μεγαλύτερο βαθμό) σε ενέργειες συμμόρφωσης του λειτουργικού τους μοντέλου, ενώ παράλληλα η εθνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει ήδη ξεκινήσει να δέχεται αιτήματα και καταγγελίες υποκειμένων και να προβαίνει σε σχετικούς ελέγχους συμμόρφωσης των επιχειρήσεων.
Σύμφωνα με πρόσφατα στατιστικά στοιχεία που δημοσίευσε η Ευρωπαϊκή Επιτροπή, στον ένα χρόνο εφαρμογής του GDPR έχουν υποβληθεί ενώπιον των εθνικών αρχών προστασίας προσωπικών δεδομένων των κρατών-μελών 95.180 καταγγελίες και έχουν ανακοινωθεί αντιστοίχως 41.502 περιστατικά παραβίασης δεδομένων.
Ιδιαίτερο ενδιαφέρον παρουσιάζουν τα ευρήματα των εθνικών αρχών σε επίπεδο συμμόρφωσης των επιχειρήσεων και οργανισμών. Μια ανασκόπηση των διοικητικών προστίμων που έχουν ήδη επιβληθεί για παραβιάσεις του GDPR σε ευρωπαϊκό επίπεδο, καταδεικνύει περιστατικά παραβίασης της αρχής της διαφάνειας και ενημέρωσης των υποκειμένων των δεδομένων λόγω πλημμελούς πληροφόρησής τους σχετικά με τους σκοπούς επεξεργασίας των προσωπικών τους δεδομένων, παραβίασης της αρχής της ελαχιστοποίησης των δεδομένων και καταχρηστικής συμπεριφοράς στη συγκέντρωση προσωπικών πληροφοριών αλλά και παραβίασης της υποχρέωσης λήψης των κατάλληλων οργανωτικών και τεχνικών μέτρων ασφαλείας των προσωπικών δεδομένων. Σημειώνεται, ότι οι οργανισμοί που βρέθηκαν στο μικροσκόπιο των αρμόδιων εθνικών Αρχών Προστασίας Προσωπικών Δεδομένων είναι τόσο δημόσιοι όσο και ιδιωτικοί φορείς, ενώ το ύψος των διοικητικών προστίμων που έχουν επιβληθεί έως σήμερα κυμαίνεται από μερικές χιλιάδες ευρώ έως και κάποια εκατομμύρια ανάλογα με τη διαπιστωθείσα παραβίαση.
Μια δεύτερη ανάγνωση του αριθμού των καταγγελιών και ανακοινώσεων για περιστατικά παραβίασης καταδεικνύει αφενός την καθυστέρηση των ιδιωτικών και δημόσιων φορέων ως προς την απαραίτητη αναδιάρθρωση και συμμόρφωσή τους με τις αρχές της σύννομης επεξεργασίας προσωπικών δεδομένων ή την πλημμελή «συμμόρφωσή τους», αφετέρου φανερώνει την «ετοιμότητα» των υποκειμένων των δεδομένων για την ενάσκηση των δικαιωμάτων τους και τη διεκδίκηση της προστασίας της ιδιωτικότητάς τους, συχνά δε ασκούμενη και καθ΄ υπερβολή. Κίνδυνος βεβαίως ελλοχεύει πίσω από τις γκρίζες γραμμές του Κανονισμού, εκεί όπου δεν υπάρχουν ακόμα σαφείς κατευθυντήριες οδηγίες, εκεί όπου η επιχείρηση καλείται να ερμηνεύσει και να εφαρμόσει κατά το δοκούν διαβάζοντας πίσω από τις διατάξεις του Κανονισμού, αναλαμβάνοντας έτσι το ρίσκο της ερμηνείας που θα δώσει η ίδια και ο ΥΠΔ της στον κανόνα δικαίου. Η επιχείρηση επαφίεται πλέον στην προσήκουσα στάθμιση του κινδύνου για τα δικαιώματα και τις ελευθερίες των συναλλασσομένων της, ώστε να λάβει τα πραγματικά αναγκαία τεχνικά και οργανωτικά μέτρα που δεν θα διασφαλίζουν τη διαφάνεια και την αναλογικότητα και δεν θα επιβαρύνουν δυσανάλογα το οικονομικό της ισοζύγιο, ούτε θα λειτουργούν ως τροχοπέδη σε νέες αναπτυξιακού χαρακτήρα δραστηριότητες που ενέχουν και επεξεργασία προσωπικών δεδομένων.
Η διαφύλαξη της ιδεατής αυτής ισορροπίας απαιτεί τη συμβουλευτική υποστήριξη από εξειδικευμένα στελέχη, Υπεύθυνους Προστασίας Δεδομένων, νομικούς και επιστήμονες πληροφορικής, που με κατάλληλη εμπειρογνωσία θα συντονίσουν και κατευθύνουν όλο το σχέδιο συμμόρφωσης των επιχειρήσεων για την ασφάλεια των συστημάτων τους και τη νόμιμη επεξεργασία των δεδομένων που συλλέγουν, χωρίς ακρότητες ή ελλείψεις.