Ο γενικός κανονισμός προστασίας προσωπικών δεδομένων (GDPR): Ένας χρόνος μετά

Γράφει η Χρύση Χρυσοχού
Δικηγόρος με εξειδίκευση στο Δίκαιο του Διαδικτύου και των προσωπικών δεδομένων,
Πιστοποιημένη επιθεωρήτρια  iso 27001

 

Στις 25 Μαΐου 2018, ο Γενικός Κανονισμός για την προστασία των  προσωπικών δεδομένων, γνωστός σε όλους ως GDPR, τέθηκε σε ισχύ. Σκοπός του νέου αυτού Κανονισμού ήταν να εκσυγχρονίσει το νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων στην Ευρωπαϊκή Ένωση, ακολουθώντας την τεχνολογική πρόοδο στη νέα αυτή ψηφιακή εποχή που διάγουμε.

Πριν τον Κανονισμό, τα κράτη-μέλη της Ευρωπαϊκής Ένωσης δεν είχαν κατορθώσει να υιοθετήσουν ένα ενιαίο νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων, με αποτέλεσμα να μην μπορεί να επιτευχθεί μια ορθή και ομοιόμορφη εφαρμογή των ως τότε ισχυόντωνκανόνων που υιοθετήθηκαν κατά την ενσωμάτωση της Οδηγίας 95/46/ΕΚ για την προστασία των προσωπικών δεδομένων.

Ο GDPR άλλαξε εντελώς το νομικό αλλά και τον επιχειρηματικό κόσμο, παίρνοντας μεγάλη δημοσιότητα, ειδικά λίγες μέρες πριν τεθεί σε ισχύ τον Μάϊο του 2018.

Σήμερα, το 67% των Ευρωπαίων πολιτών, σύμφωνα με το Ευρωβαρόμετρο , γνωρίζει ή έχει ακούσει για τον GDPR, ποσοστό που καταδεικνύει τη σημασία του Κανονισμού αυτού, τόσο για την δημιουργία μιας νέας κουλτούρας για την προστασία των προσωπικών μας δεδομένων, όσο και για την ενιαία εφαρμογή ενός νομικού πλαισίου για την προστασία των προσωπικών δεδομένων των πολιτών, ανεξάρτητα σε ποια χώρα βρίσκονται ή με ποια χώρα συναλλάσσονται.

Το πιο σημαντικό κατόρθωμα όμως του νέου Κανονισμού, είναι ότι έδωσε τον έλεγχο των προσωπικών δεδομένων πίσω στους φορείς τους, δηλαδή στους πολίτες. Οι πολίτες άρχισαν να συνειδητοποιούν ότι μπορούν να προστατέψουν τα προσωπικά τους δεδομένα από οποιαδήποτε χρήση γίνεται χωρίς τη γνώση ή τη συναίνεση τους.

Οι πολίτες κατάλαβαν ότι έχουν το δικαίωμα να αποκτήσουν πρόσβαση σε οποιεσδήποτε προσωπικές πληροφορίες τηρεί οποιοσδήποτε τρίτος γι’ αυτούς, να ζητήσουν τη διαγραφή, την διόρθωση ή τη μεταφορά τους, να εναντιωθούν σε οποιαδήποτε χρήση των δεδομένων τους, η οποία δεν είναι σύμφωνη με τον Κανονισμό και στην περίπτωση που τα δικαιώματα αυτά δεν ικανοποιηθούν, έχουν επιπλέον το δικαίωμα να υποβάλλουν καταγγελίες στην Αρχή Προστασίας Προσωπικών Δεδομένων.

Μάλιστα, σύμφωνα με το infographic  που εξέδωσε η Ευρωπαϊκή Επιτροπή,  με αφορμή τον ένα χρόνο που ο GDPRβρίσκεται σε ισχύ, σε όλες τις εθνικές αρχές προστασίας προσωπικών δεδομένων εντός της Ευρωπαϊκής Ένωσης, αυτόν τον ένα χρόνο που ο GDPRβρίσκεται σε ισχύ, υποβλήθηκαν περίπου 145.000 καταγγελίες από Ευρωπαίους πολίτες προκειμένου να προστατέψουν τα προσωπικά τους δεδομένα από παράνομες πρακτικές.

Aκόμα μία σημαντική επιτυχία του GDPR είναι ότι οδήγησε -ίσως υπό τον φόβο της επιβολής δυσβάστακτων προστίμων- μεγάλο τμήμα τόσο του ιδιωτικού (ιδιωτικές επιχειρήσεις, εταιρίες, ιδιώτες-επιχειρηματίες) όσο και του δημόσιου τομέα (κράτη-μέλη, ακόμα και την ίδια Ευρωπαϊκή Ένωση )στην υιοθέτηση νέων πρακτικών και πολιτικών, όταν χρησιμοποιούν και επεξεργάζονται προσωπικά δεδομένα πολιτών, με σεβασμό στα δικαιώματα τους, με διαφάνεια και αξιοπιστία.

Στο πλαίσιο αυτό, καθιερώθηκε και η αρχή της λογοδοσίας του υπεύθυνου επεξεργασίας, ότι δηλαδή πρέπει αυτός που επεξεργάζεται προσωπικά δεδομένα πολιτών, όχι μόνο να εφαρμόζει πρακτικές ορθής διαχείρισης τους, οι οποίες να είναι σύμφωνες με τον GDPR,  αλλά να μπορεί και να το αποδεικνύει ανά πάσα στιγμή, εάν και εφόσον του ζητηθεί.

Στην Ελλάδα, ένα χρόνο μετά, βρισκόμαστε εν αναμονή ψήφισης του εθνικού νόμου για τη λήψη νομοθετικών μέτρων με σκοπό την εφαρμογή του GDPR, όντας, μαζί με την Σλοβενία και την Πορτογαλία, οι μόνες ευρωπαϊκές χώρες που δεν έχουν ακόμα προσαρμόσει την εθνική τους νομοθεσία στις επιταγές του GDPR.

Παρόλα αυτά, η ελληνική αρχή για την προστασία των προσωπικών δεδομένων (ΑΠΔΠX, http://www.dpa.gr) έχει ξεκινήσει ήδη από τα τέλη του 2018, τη διενέργεια διοικητικών ελέγχων σε δημόσιους και ιδιωτικούς φορείς και επιχειρήσεις, είτε αυτεπαγγέλτως, είτε κατόπιν καταγγελίας. Η Αρχή έχει προχωρήσει σε συστάσεις και επανέλεγχο τόσο σε ηλεκτρονικά καταστήματα (e-shop), όσο και σε νοσοκομεία (δημόσια, ιδιωτικά) και κλινικές,  κατά τον οποίο (επανέλεγχο) εφόσον διαπιστώσει μη συμμόρφωση με τον GDPR, θα ακολουθήσουν τα προβλεπόμενα πρόστιμα.

Σε άλλα κράτη μέλη της Ευρωπαϊκής Ένωσης έχουν ήδη επιβληθεί βαριά πρόστιμα για παραβιάσεις προσωπικών δεδομένων, όπως για παράδειγμα, στην Πολωνία επιβλήθηκε πρόστιμο 220.000 Ευρώ σε εταιρία που παρείχε υπηρεσίες «μεσιτείας δεδομένων» (συλλογή και πώληση προσωπικών δεδομένων σε τρίτους) σε τρίτους, μη έχοντας ενημερώσει τους πολίτες για την πρακτική αυτή.

Στην Αυστρία, επιβλήθηκε πρόστιμα 5.280 Ευρώ σε ένα πρακτορείο στοιχημάτων για την εγκατάσταση παράνομου κλειστού κυκλώματος παρακολούθησης των πελατών του. Στη Γαλλία, πρόστιμο 50 εκατομμυρίων Ευρώ (!) επιβλήθηκε στην Google, καθότι παρέλειπε διαρκώς να ζητήσει τη συναίνεση των χρηστών για την προώθηση διαφημίσεων. Στην Γερμανία έχουν ήδη επιβληθεί πάνω από 60 πρόστιμα συνολικά, για μικρής και μεγάλης κλίμακας παραβιάσεις προσωπικών δεδομένων.

Τέλος, ο μεγαλύτερος κίνδυνος, σύμφωνα με τα στατιστικά στοιχεία που ήρθαν στο φως με αφορμή το ένα έτος που ο  GDPR βρίσκεται σε ισχύ, είναι ο τεράστιος αριθμός των παραβιάσεων προσωπικών δεδομένων που έχουν ήδη γνωστοποιηθεί σε όλες τις αρχές προστασίας προσωπικών δεδομένων πανευρωπαϊκά. Ο αριθμός των παραβιάσεων που έχουν γνωστοποιηθεί στις Αρχές ανέρχεται στις 90.000  (!).

Οι παραβιάσεις αυτές μπορεί να είναι αποτέλεσμα κάποιας κυβερνοεπίθεσης από χάκερς, ελλιπών μέτρων ασφάλειας των πληροφοριακών συστημάτων, τυχαία καταστροφή ή απώλεια δεδομένων, αποκάλυψη δεδομένων σε λάθος παραλήπτες, ή αποτέλεσμα άλλων παραγόντων συνήθως εξαιτίας κάποιου ανθρώπινου λάθους.

Δεν πρέπει να παραβλέπουμε το γεγονός, ότι ενδέχεται να υπάρχουν και άλλες παραβιάσεις προσωπικών δεδομένων από ιδιωτικούς ή και δημόσιους φορείς, οι οποίες αποσιωπώνται, ουδέποτε γνωστοποιούνται στην Αρχή και οι οποίες δύναται να έχουν σοβαρό αντίκτυπο στα δικαιώματα των πολιτών.

Εφόσον αργότερα διαπιστωθεί ότι υπήρξε παραβίαση προσωπικών δεδομένων και διαρροή τους σε τρίτα μέρη, η οποία με πρόθεση έχει αποσιωπηθεί, τα πρόστιμα θα είναι σαφώς μεγαλύτερα για τον υπεύθυνο επεξεργασίας, από ότι αν είχε γνωστοποιηθεί άμεσα το συμβάν στην αρμόδια Αρχή και είχε λάβει γνώση και ο φορέας του δικαιώματος για το συμβάν αυτό, ώστε να λάβει τα κατάλληλα μέτρα.

Πρόσφατα επιβλήθηκε στην εταιρία Uber πρόστιμο ύψους 1.1 εκατομμυρίων Ευρώ  από τις Αρχές του Ηνωμένου Βασιλείου και της Ολλανδίας για καθυστερημένη γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων (ένα χρόνο μετά το συμβάν) και για την παροχή ανεπαρκών πληροφοριών σχετικά με τις πολιτικές ασφάλειας που εφάρμοζε. Η παραβίαση αυτή επηρέασε τα προσωπικά δεδομένα περίπου 2.8 εκατομμυρίων πολιτών  σε Ηνωμένο Βασίλειο και Ολλανδία.

Ο GDPR δέχθηκε μεγάλη κριτική, ειδικά το Μάϊο του 2018, για το εάν θα αποτελέσει άλλο ένα νομοθέτημα που θα μείνει νόμος κενός και ανεφάρμοστος. Βλέπουμε όμως, ότι τόσο οι εθνικές αρχές όσο και οι Ευρωπαϊκοί φορείς για την προστασία των προσωπικών δεδομένων, κινούνται προς τη σωστή κατεύθυνση.

Ωστόσο, παρότι οι εθνικές Αρχές έχουν ήδη αρχίσει να κινούνται επιθετικά, όχι με σκοπό την κινδυνολογία και την τιμωρητική πολιτική, αλλά με στόχο την περιφρούρηση και προάσπιση του δικαιώματος των πολιτών στα προσωπικά τους δεδομένα, τόσο οι ιδιωτικές επιχειρήσεις όσο και ο δημόσιος φορέας φαίνονται να καθυστερούν την συμμόρφωση με τον Κανονισμό αυτό, θεωρώντας ως μόνο κίνδυνο, τον έλεγχο από την Αρχή προστασίας προσωπικών δεδομένων και όχι το απλό ανθρώπινο λάθος.

Όσο η καθημερινή πρακτική εφαρμογή του Κανονισμού εξελίσσεται και οι Αρχές χειρίζονται ολοένα και πιο περίπλοκες υποθέσεις και όσο η τεχνολογία αναπτύσσεται, κάνοντας την ορθή και ασφαλή διαχείριση μεγάλου όγκου δεδομένων δύσκολη υπόθεση, τόσο μεγαλύτερο κίνδυνο διατρέχει όποιος ακόμα αρνείται και αγνοεί τη συμμόρφωση με τον GDPR, παρά αυτός που ίσως έκανε ένα λάθος εφαρμόζοντας τον.


Σημειώσεις:
1.GDPR in numbers, European Commission https://ec.europa.eu/commission/sites/beta-political/files/infographic-gdpr_in_numbers_1.pdf
2.GDPR in numbers, European Commission https://ec.europa.eu/commission/sites/beta-political/files/infographic-gdpr_in_numbers_1.pdf
3.Ειδικά για την Ευρωπαϊκή Ένωση εφαρμόζεται ο Κανονισμός 1725/2018 και όχι o GDPR, ο οποίος έχει ενσωματώσει το μεγαλύτερο μέρος των αλλαγών που υιοθέτησε ο  GDPR.
4.EDPB, “1 year GDPR – taking stock”, https://edpb.europa.eu/news/news/2019/1-year-gdpr-taking-stock_en
5.Mathew J. Schwartz;Uber Fined $1.2 Million in EU for Breach Disclosure Delay
https://www.bankinfosecurity.com/uber-fined-12-million-by-eu-for-breach-disclosure-delay-a-11730.