Πρόστιμα μη συμμόρφωσης με  τον GDPR: Γιατί είναι τόσο υψηλά;

Tου Μάνου Τεχνίτη
δικηγόρου LL.M, LL.M.*


Όπως είναι γνωστό, στις 25 Μαΐου τίθεται σε ισχύ ο νέος γενικός Κανονισμός για την προστασία των δεδομένων. Όπως είναι επίσης γνωστό, τα διοικητικά πρόστιμα για τη μη συμμόρφωση είναι ιδιαιτέρως υψηλά αφού μπορεί να φθάνουν έως και τα 10 εκ. ευρώ ή το 2% του παγκόσμιου ετήσιου κύκλου εργασιών, ανάλογα ποιο είναι μεγαλύτερο.

Για κάποιον ο οποίος αντιλαμβάνεται μόνο τους αριθμούς, το πρόστιμο φαίνεται εξαιρετικά αυστηρό. Έχοντας όμως ασχοληθεί επιστημονικά με τον κλάδο της εταιρικής συμμόρφωσης καθώς και το δίκαιο της αυτορρύθμισης, σας παραθέτω τη λογική πίσω από αυτή την -εν πρώτοις υπερβολική- πρόβλεψη:

Η Ε.Ε. αντιλαμβανόμενη τις παρούσες ανάγκες αλλά και τις μελλοντικές προκλήσεις στον κλάδο της τεχνολογίας θέλησε να θέσει στέρεες βάσεις αναφορικά με την αποδοτική προστασία των προσωπικών δικαιωμάτων. Άλλωστε, τα προσωπικά δεδομένα θεωρούνται από πολλούς οικονομικούς μελετητές ως ο “άυλος χρυσός της εποχής”, ενώ “παραγωγός” αυτού είναι ο ίδιος ο χρήστης-καταναλωτής.

Συνεπώς, αυτό που η Ευρώπη επιτάσσει, είναι πράξεις συμμόρφωσης υπό την μορφή “οιονεί αυτορρύθμισης” (self-regulation), αφήνοντας στην κάθε επιχείρηση ένα ανοιχτό πεδίο ώστε να επιλέξει η ίδια τα μέσα με τα οποία θα λάβει χώρα αυτή η συμμόρφωση.

Η ουσιαστική, ωστόσο, εφαρμογή αυτών των νέων προστατευτικών ρυθμίσεων, από μια επιχείρηση έχει ως συνέπεια την αύξηση του λειτουργικού κόστους αλλά και της υλικοτεχνικής υποδομής της επιχείρησης (διάφορες νομικές ενέργειες, σχεδιασμός συμμόρφωσης, εγκατάσταση firewalls, αύξηση στο επίπεδο ασφάλειας των servers κλπ). Όπως είναι, λοιπόν λογικό, αυτό αλλάζει τις οικονομικές ισορροπίες σε όλες τις επιχειρήσεις που διαχειρίζονται προσωπικά δεδομένα.

Συνεπώς, στο σημείο αυτό η εταιρεία έχει δύο επιλογές: Είτε, να προσαρμοστεί καταβάλλοντας το κόστος, είτε να αναλάβει το ρίσκο της μη συμμόρφωσης. Όπως έχει αποδείξει η διεθνής βιβλιογραφία, η απόφαση αυτή στηρίζεται σε αυτό που στο χώρο των επιχειρήσεων ονομάζεται cost-benefit analysis.

Πράγματι, δεν είναι λίγες οι φορές που σε επίπεδο νομοθετικής κύρωσης συνέβαινε το εξής παράδοξο: η επιβολή κύρωσης να είναι περισσότερο κερδοφόρα από το κόστος για τη συμμόρφωση. Με λίγα λόγια,  συνέφερε την επιχείρηση να επομιστεί το πρόστιμο από το να μπει στα έξοδα και να συμμορφωθεί με το νόμο. 

Διαχρονικά, σε παγκόσμιο επίπεδο η απάντηση σε ένα έγκλημα ή μια παράβαση που τελείται από ένα νομικό πρόσωπο και δη μια οικονομική οντότητα δέον να έχει κυρίως αν όχι αποκλειστικά και μια οικονομική κύρωση. Εφαρμόζεται δηλαδή η “θεωρία του Sutherland”, σύμφωνα με την οποία η τιμωρία για μία εταιρεία λειτουργεί αποτρεπτικά όταν συνέχεται με οικονομικές απώλειες.

Η Ευρωπαϊκή Ένωση, λοιπόν, γνωρίζοντας την παρούσα προβληματική, και δεδομένης, της σαφούς της πολιτικής βούλησης να εφαρμοστούν τα μέτρα προστασίας για τα προσωπικά δεδομένα, επέβαλε πρόστιμα τέτοιου ύψους ώστε να είναι αδύνατη η μη συμμόρφωση με τον Κανονισμό. Άλλωστε σύμφωνα με την αιτιολογική σκέψη 151 στο Προοίμιο του Κανονισμού, ρητά αναφέρεται, ότι “τα πρόστιμα που επιβάλλονται θα πρέπει να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά”. 

Άλλες πτυχές του Κανονισμού που συντείνουν προς την κατεύθυνση αυτή είναι επίσης: α) Η αρχή της λογοδοσίας σύμφωνα με την οποία η εταιρεία φέρει η ίδια το βάρος να αποδείξει τη συμμόρφωση της με τον Κανονισμό β) η  ύπαρξη ανεξάρτητης εποπτικής αρχής η οποία μπορεί κατά την ευχέρειά της να επιβάλλει τα πρόστιμα αυτοτελώς και γ) το ίδιο το ρητό δικαίωμα του χρήστη - υποκειμένου των προσωπικών δεδομένων να αναζητά αστική αποζημίωση σε περιπτώσεις παραβίασης των δικαιωμάτων του.

* O Μάνος Τεχνίτης είναι δικηγόρος Ρόδου με ειδίκευση στο Εμπορικό Δίκαιο, το Ποινικό Δίκαιο και την Εγκληματολογία.