Γενικός Κανονισμός Προστασίας Δεδομένων: Άρχισαν τα όργανα…

Η 25η Μαΐου 2019 είναι η ημερομηνία των πρώτων γενεθλίων του νέου νομοθετήματος της Ευρωπαϊκής Ενωσης, του Γενικού Κανονισμού Προστασίας Δεδομένων, ο οποίος αντικατέστησε το «μωσαϊκό» των εθνικών νομοθεσιών που είχε διαμορφωθεί στο πλαίσιο της ενσωμάτωσης της Οδηγίας 95/46/Ε.Ε.

Ενας χρόνος δεν αρκεί, φυσικά, για να συναχθούν ολοκληρωμένα και ασφαλή συμπεράσματα από την εφαρμογή της νέας νομοθεσίας. Εχουμε όμως τα πρώτα δείγματα γραφής. Στην Ελλάδα, στην πρώτη μεγάλης κλίμακας έρευνα της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε 65 διαδικτυακούς ιστοτόπους με σκοπό τον έλεγχο της συμμόρφωσης με τον Γενικό Κανονισμό και τη νομοθεσία για τις ηλεκτρονικές επικοινωνίες, διαπιστώθηκαν μεν παραβάσεις, αλλά υπήρξαν και ενθαρρυντικά συμπεράσματα. Διαπιστώθηκε μη επαρκής συμμόρφωση με τη νομοθεσία για τα cookies, ελλιπής ενημέρωση για τις πράξεις επεξεργασίας και τους αποδέκτες των δεδομένων και υστέρηση, κυρίως του δημόσιου τομέα, ως προς τις υποχρεώσεις που σχετίζονται με τη διαφάνεια. Αντιθέτως, θετικά συμπεράσματα προέκυψαν ως προς την αναφορά στα δικαιώματα των υποκειμένων των δεδομένων, στον ορισμό Υπευθύνου Προστασίας Δεδομένων (DPO) στον ιδιωτικό τομέα και στο βασικό επίπεδο ασφαλείας. Σημειώνεται, επιπλέον, ότι από τις 25/5/2018 έως σήμερα έχουν υποβληθεί στην ελληνική Αρχή 930 καταγγελίες και 136 γνωστοποιήσεις περιστατικών παραβίασης δεδομένων.

Αναμφισβήτητα κέρδος από την ψήφιση, και κυρίως την έναρξη εφαρμογής, του Γενικού Κανονισμού είναι ότι αυξήθηκε η ευαισθητοποίηση για την προστασία των προσωπικών δεδομένων και δόθηκε η ευκαιρία στους οργανισμούς και τις επιχειρήσεις να αναδιοργανωθούν και να αρχίσουν να υιοθετούν καλές πρακτικές. Είναι χαρακτηριστικό ότι στο Ευρωβαρόμετρο του Μαρτίου 2019 καταγράφεται ότι το 67% στην Ελλάδα γνώριζε την ύπαρξη του Γενικού Κανονισμού, αν και κάποιο ποσοστό αυτού δεν είχε ειδικότερη γνώση. Το ποσοστό αυτό αποτελεί τον μέσον όρο στην Ε.Ε.

Η ελληνική αρχή, παρά την έλλειψη επαρκών πόρων και κυρίως προσωπικού, προετοιμάστηκε εντατικά για την εφαρμογή του Γενικού Κανονισμού και με τις αναγκαίες προσαρμογές στον τρόπο λειτουργίας της. Υπό το βάρος των ελλείψεων αυτών αναγκάστηκε να θέσει προτεραιότητες στις δραστηριότητές της. Ιδιαίτερη μέριμνα, ωστόσο, λαμβάνει για τον συνεχή εμπλουτισμό της ιστοσελίδας της με αναλυτικές οδηγίες και υποδείγματα με σκοπό την ενημέρωση και υποστήριξη υποκειμένων των δεδομένων και υπευθύνων επεξεργασίας. Ο τριπλός ρόλος της, ενημερωτικός, ρυθμιστικός, ελεγκτικός-κυρωτικός, διατηρείται, ασκείται, όμως, πλέον σε διαφορετικά νομικά και πραγματικά δεδομένα. Ουσιώδη αλλαγή στη δράση των εποπτικών αρχών επιφέρει η θέσπιση διαδικασιών συνεργασίας και συνεκτικότητας, στο πλαίσιο των οποίων προβλέπονται κοινές δράσεις και κοινοί έλεγχοι, αλλά και υποχρεώσεις της Αρχής, έναντι των ομολόγων της, με αυστηρές μάλιστα προθεσμίες.

Το σύνολο των αρμοδιοτήτων της Αρχής θα οριστικοποιηθεί με την έκδοση του εθνικού νόμου, μέσω του οποίου θα ρυθμιστούν ειδικότερα θέματα στον βαθμό που επιβάλλεται ή επιτρέπεται από τον Γενικό Κανονισμό. Υπάρχει πραγματικά ανάγκη να εκδοθεί σύντομα ο νόμος αυτός. Σε κάθε περίπτωση, όμως, με τον Γενικό Κανονισμό, που έχει ευθεία εφαρμογή, διευρύνονται οι αρμοδιότητες των εποπτικών αρχών, πολλές εκ των οποίων συνδέονται με νέες διαδικασίες, όπως οι κώδικες δεοντολογίας, η πιστοποίηση των υπευθύνων επεξεργασίας και των εκτελούντων επεξεργασία, η κατάρτιση μελέτης αντικτύπου, η τήρηση βιβλίου δραστηριοτήτων, η ανακοίνωση περιστατικών παραβίασης, ο ορισμός ΥΠΔ. Η τήρηση των διαδικασιών αυτών διευκολύνει τη συμμόρφωση με τους ουσιαστικούς κανόνες του Γενικού Κανονισμού, αρκεί να μην εξαντλείται σε φορμαλιστική εφαρμογή των σχετικών διατάξεων. Ο ορισμός λ.χ. DPO δεν επιτυγχάνει τον σκοπό της καθιέρωσης από τον Γενικό Κανονισμό αυτής της υποχρέωσης αν ο οριζόμενος δεν διαθέτει τα αναγκαία μέσα ή αν αντιμετωπίζεται ως συνήγορος ή εκπρόσωπος του υπευθύνου επεξεργασίας και όχι ως σύμβουλός του που ενεργεί με ανεξαρτησία και από την άποψη αυτή ως συνεργάτης της εποπτικής αρχής.

Πρέπει περαιτέρω να επισημανθεί η ουσιώδης μεταβολή που επήλθε στο δίκαιο προστασίας των προσωπικών δεδομένων με τη θέσπιση από τον Γενικό Κανονισμό της αρχής της λογοδοσίας. Οσοι διενεργούν πράξεις επεξεργασίας προσωπικών δεδομένων πρέπει να είναι σε θέση να αποδείξουν τη συμμόρφωσή τους προς τους κανόνες προστασίας των δεδομένων.

Ο Γενικός Κανονισμός θεσπίζει διαδικασίες με ιδιαιτερότητες, με τις οποίες δεν είναι εξοικειωμένος ο νομικός κόσμος. Με την πρακτική των εποπτικών αρχών και κυρίως με τις κατευθυντήριες γραμμές που θα εκδίδει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, στο πλαίσιο της αρμοδιότητάς του, και με τη νομολογία των δικαστηρίων οι σύνθετες πτυχές και οι δυσνόητες έννοιες του νομικού πλαισίου θα αποσαφηνίζονται.

Η αποτελεσματικότητα, πάντως, του Γενικού Κανονισμού εξαρτάται από την ορθή εφαρμογή και την ουσιαστική προσέγγισή του από τους «υπευθύνους» και «εκτελούντες» την επεξεργασία δεδομένων όχι ως υποχρεωτικού «βάρους» αλλά ως ευκαιρίας για αλλαγή κουλτούρας με σκοπό την ενίσχυση της εμπιστοσύνης των πολιτών/καταναλωτών ως προς την προστασία των προσωπικών δεδομένων και της ιδιωτικότητάς τους. Βρισκόμαστε ακόμη στην αρχή ενός μαραθωνίου και η συμμόρφωση είναι μια διαρκής υπόθεση, η οποία απαιτεί ένταση των προσπαθειών όλων, τόσο σε επίπεδο ενημέρωσης και εκπαίδευσης όσο και ανάπτυξης βέλτιστων πρακτικών.

* Ο κ. Kωνσταντίνος Μενουδάκος είναι πρόεδρος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Μετάβαση στο περιεχόμενο