Στις 25 Μαΐου 2018 τίθεται σε ισχύ ο νέος γενικός κανονισμός προστασίας προσωπικών δεδομένων. Όσοι ασχολούνται με τις επιχειρήσεις ή με την τεχνολογία σίγουρα θα έχουν παρατηρήσει την αυξανόμενη χρήση της συντομογραφίας GDPR (General Data Protection Regulation) στην καθημερινή τριβή τους με το αντικείμενο τους. Είναι σαφές ότι οι περισσότερες επιχειρήσεις, και όχι μόνο, θα αναγκαστούν να εξετάσουν προσεκτικά το πλαίσιο λειτουργίας τους, ώστε κατά τη θέση σε εφαρμογή του νέου κανονιστικού πλαισίου να μην αντιμετωπίζουν ρίσκο μη συμμόρφωσης.

Σημειώνεται ότι Νομοθεσία για την προστασία των προσωπικών δεδομένων , σε Ευρωπαϊκό επίπεδο, υπήρχε ήδη (ιδίως η οδηγία 95/46) αλλά η εισαγωγή του νέου θεσμικού πλαισίου έρχεται να δώσει απάντηση σε σημαντικά ερωτήματα που ανέκυψαν στην πορεία εφαρμογής της υφιστάμενης νομοθεσίας και το κυριότερο να υπογραμμίσει εμφατικά την τάση που παρατηρείται παγκοσμίως και άφορα στο αυξημένο ενδιαφέρον των πολιτών για τα προσωπικά τους δεδομένα που με τον ένα ή τον άλλο τρόπο γνωστοποιούνται σε τρίτους, την προστασία και τη διαχείριση τους.

Στις παρακάτω γραμμές επιχειρείται να παρουσιασθούν σε αδρές γραμμές οι βασικές καινοτομίες του GDPR.

1. Συνέπειες μη συμμόρφωσης : σε αυστηρά επιχειρηματικό επίπεδο, η κρισιμότερη αλλαγή που επιφέρει το νέο θεσμικό πλαίσιο είναι η αυστηροποίηση των συνεπειών μη συμμόρφωσης με αυτό. Ανάλογα με το είδος του παραπτώματος, τη βαρύτητα αυτού, αλλά και την εν γένει συμπεριφορά του παραβάτη, σε αυτόν μπορεί να καταλογισθεί πρόστιμο έως 4% του παγκόσμιου τζίρου του ή έως 20 εκατομμύρια ευρώ. Μάλιστα το ανώτατο κατώφλι ορίζεται το μεγαλύτερο εκ δύο πιθανών μεθόδων υπολογισμού.

2. Συναίνεση:  H συναίνεση είναι η συνηθέστερη νομική βάση επεξεργασίας προσωπικών δεδομένων τρίτων. Ο κανονισμός GDPR αυστηροποιεί τις προϋποθέσεις κάτω από τις οποίες η λήψη της συναίνεσης θεωρείται έγκυρη. Ως συνέπεια, κάποιες μέθοδοι λήψης αυτής που έως τώρα θεωρούνταν νόμιμες ή πως άνηκαν σε γκρίζες ζώνες (πχ προσημειωμένο κουτάκι αποδοχής της Πολιτική Απορρήτου) δε θα αρκούν για να δικαιολογήσουν τη νομιμότητα της επεξεργασίας δεδομένων. 

3. Ευθύνη των Processors: Η βασική διάκριση ανάμεσα σε αυτούς που προβαίνουν σε επεξεργασία προσωπικών δεδομένων είναι μεταξύ Controllers (υπευθύνων επεξεργασίας) και Processors (εκτελούντες την επεξεργασία). Η διαφορά τους είναι ότι οι πρώτοι καθορίζουν τους σκοπούς  και τον τρόπο επεξεργασίας των δεδομένων, ενώ οι δεύτεροι λειτουργούν υπό τις οδηγίες τους. H διαφορά είναι συχνά λεπτή, ενώ ακόμα και μια πολύ απλή λειτουργία μπορεί να καταστήσει μια εταιρεία processor (πχ φιλοξενία προσωπικών δεδομένων στους servers της). Εντούτοις οι processors έως τώρα ευθύνονταν μόνο έναντι των controllers για τις πράξεις και τις παραλείψεις τους. Πλέον όμως θα ευθύνονται ευθέως και έναντι οποιουδήποτε , όταν επεξεργάζονται τα δεδομένα τους, στις περιπτώσεις που δεν τηρούν την υφιστάμενη νομοθεσία ή εάν λειτούργησαν αντίθετα με τις οδηγίες των controllers.

4. Δικαίωμα στη φορητότητα των δεδομένων: Δίπλα στα υφιστάμενα δικαιώματα των υποκειμένων των δεδομένων (δικαίωμα ενημέρωσης, πρόσβασης, αντίρρησης, προσωρινής προστασίας) ο GDPR ιδρύει νέα δικαιώματα. Εκ των σημαντικότερων είναι το δικαίωμα στη φορητότητα των δεδομένων, το δικαίωμα δηλαδή του υποκειμένου δεδομένων να ζητήσει από υπεύθυνο επεξεργασίας να διαβιβάσει στον ίδιο ή σε άλλο υπεύθυνο επεξεργασίας αρχείο με όλα τα προσωπικά δεδομένα που τηρεί. Μάλιστα το αρχείο αυτό πρέπει να είναι έτσι δομημένο ώστε να μπορεί να αναγνωσθεί από τα συνήθη μηχανήματα και την τεχνολογία που χρησιμοποιούνται για αυτού του είδους τα δεδομένα. 

5.  Δικαίωμα στη διαγραφή: Το έτερο σημαντικό δικαίωμα που εγκαθιδρύει ο GDPR για τα υποκείμενα των προσωπικών δεδομένων είναι το δικαίωμα τους στη διαγραφή, ή το “δικαίωμα στη λήθη” όπως το έχει διαμορφώσει η νομολογία των δικαστηρίων. Το δικαίωμα αυτό σημαίνει πως το υποκείμενο των δεδομένων μπορεί να ζητήσει τη διαγραφή τους αν όσοι επεξεργάζονται τα προσωπικά δεδομένα  τα διατηρούν για μεγαλύτερο χρονικό διάστημα από ότι απαιτείται για να πραγματοποιηθούν οι σκοποί για τους οποίους ελήφθησαν, ή αν έχουν εκλείψει οι νομιμοποιητικές βάσεις  (πχ συναίνεση) δυνάμει των οποίων αυτά συνελέγησαν. Όταν δε αυτά έχουν δημοσιοποιηθεί, ο υπεύθυνος επεξεργασίας οφείλει να τα διαγράψει και άνευ σχετικής αιτήσεως του υποκειμένου των δεδομένων. Ως εκ τούτου οι επιχειρήσεις οφείλουν να ελέγξουν τις ντουλάπες τους για “σκελετούς” προσωπικών δεδομένων που συνελέγησαν πριν από πολλά χρόνια και τα οποία μπορούν εκ του μηδενός να τους δημιουργήσουν ρίσκο μη συμμόρφωσης. 

6. Υποχρεωτικός ορισμός DPO: Η δυνατότητα ορισμού εκπροσώπου του υπευθύνου επεξεργασίας, γνωστού κατά τη διεθνή ορολογία ως DPO (data protection officer) προϋπηρχε και μάλιστα σε κάποιες χώρες (πχ Γερμανία) ήταν υποχρέωση των επιχειρήσεων. Πλέον ο ορισμός αυτός καθίσταται  για πολλές επιχειρήσεις υποχρεωτικός. Ο DPO οφείλει να έχει ειδικές γνώσεις στο αντικείμενο των προσωπικών δεδομένων, ενώ λειτουργεί εν είδει εσωτερικής αρχής προστασίας προσωπικών δεδομένων για την εταιρεία που τα διαχειρίζεται, συμβουλεύοντας την ως προς τα ζητήματα συμμόρφωσης της με το ισχύον νομικό πλαίσιο και επιβλέποντας σημαντικές λειτουργίες της και ενέργειες της, ιδίως σε περίπτωση παραβίασης προσωπικών δεδομένων. Μπορεί να είναι υπάλληλος της εταιρείας ή τρίτος που συνδέεται μαζί της με σύμβαση άλλου είδους (πχ δικηγόρος, ελεύθερος επαγγελματίας κλπ)

7. Privacy by Design- DPIA: H έννοια του privacy by design, του σχεδιασμού δηλαδή μιας υπηρεσίας ή επιχειρηματικού μοντέλου έτσι ώστε η βέλτιστη εφαρμογή του θεσμικού πλαισίου για την προστασία των προσωπικών δεδομένων να λαμβάνεται υπόψιν προληπτικά, ήδη από τη φάση αυτή και όχι εκ των υστέρων, αποτελεί μια φράση κλειδί τα τελευταία χρόνια. Πλέον καθίσταται υποχρέωση των επιχειρήσεων και δημιουργεί αστική ευθύνη τους σε περίπτωση που αποδειχθεί πως δεν λειτούργησαν κατά τον τρόπο αυτό. Συναφής με τα παραπάνω είναι η υποχρέωση για διεξαγωγή εκτίμησης αντίκτυπού σχετικά με την προστασία προσωπικών δεδομένων, αλλιώς DPIA (Data Protection Impact Assessment), ιδίως σε περιπτώσεις μεγάλης κλίμακας επεξεργασίας, παρακολούθησης δημοσίως προσβάσιμου χώρου (CCTV) ή profiling. 

8. Γνωστοποίηση παραβίασης προσωπικών δεδομένων:  Η παραβίαση δεδομένων (data breach), ιδίως αν αυτά είναι προσωπικά αποτελούν εφιάλτη για κάθε επιχείρηση, που δυστυχώς αποτελεί όλο και συχνότερα στις μέρες μας ρεαλιστική πιθανότητα. Οι επιχειρήσεις πλέον θα κριθούν όχι μόνο για την επάρκεια των μέτρων που έλαβαν ώστε να αποτρέψουν την πιθανότητα μιας τέτοιας παραβίασης αλλά και τις ενέργειες τους αφού αυτή έλαβε χώρα. Ανάμεσα σε άλλα, όταν αυτές είναι υπεύθυνοι επεξεργασίας (data controllers), υπέχουν υποχρέωση γνωστοποίησης της παραβίασης στην αρμόδια ανεξάρτητη αρχή, βάσει συγκεκριμένου πρωτοκόλλου, εντός 72 ωρών το αργότερο, ενώ στις περισσότερες των περιπτώσεων πρέπει να ανακοινωθεί και αμελητί και στα υποκείμενα των δεδομένων. Όταν η επιχείρηση είναι εκτελούσα την επεξεργασία (data processor) η σχετική υποχρέωση αμελητί γνωστοποίησης ισχύει έναντι του υπευθύνου επεξεργασίας.

9. Ψευδωνυμοποίηση: Για πρώτη φορά η Ευρωπαϊκή Νομοθεσία Προσωπικών Δεδομένων αναφέρεται ευθέως στην ψευδωνυμοποίηση ως μέθοδο προστασίας των προσωπικών δεδομένων. Μάλιστα η μέθοδος αυτή ενθαρρύνεται και αποτελεί από τους παράγοντες που θα ληφθούν υπόψιν σε σειρά ζητημάτων όπως η χρήση των δεδομένων για άλλο σκοπό, το privacy by design, η ευθύνη υπευθύνου επεξεργασίας σε περίπτωση παραβίασης κλπ. Ωστόσο πρέπει να τονιστεί πως η ψευδωνυμοποίηση των δεδομένων δεν ταυτίζεται με την ανωνυμοποίηση, η οποία καθιστά τα δεδομένα μη προσωπικά, ενώ προφανώς κάποιοι μέθοδοι ψευδωνυμοποίησης δεδομένων θεωρούνται ισχυρότεροι από άλλους. Ως εκ τούτου δεν αρκεί μόνο να ψευδωνυμοποιηθούν τα δεδομένα, αλλά αυτό να γίνει με τρόπο ώστε δύσκολα θα μπορεί να γίνει αποκωδικοποίηση της μεθόδου ψευδωνυμοποίησης από τρίτους.

10. One stop shop: Μεγάλο πρόβλημα στην εφαρμογή της υφιστάμενης ευρωπαϊκής νομοθεσίας αποτελούσε το γεγονός πως οι επιχειρήσεις που δραστηριοποιούνταν σε πολλές χώρες της ΕΕ όφειλαν να προσαρμοστούν στις απαιτήσεις κάθε τοπικής νομοθεσίας και να συνεργαστούν με τις αντίστοιχες ανεξάρτητες αρχές προστασίας προσωπικών δεδομένων. Η δύσκαμπτη αυτή πρακτική επιχειρείται να παρακαμφθεί με το νέο θεσμικό πλαίσιο, καθώς για κάθε επιχείρηση που δραστηριοποιείται στην ΕΕ ορίζεται μια ανεξάρτητη αρχή ως προεξάρχουσα (lead authority) η οποία φέρει και το κύριο βάρος του ελέγχου και της συνεργασίας για την εν λόγω επιχείρηση. Η ανεξάρτητη αυτή αρχή, είναι η αρχή της χώρας στην οποία η επιχείρηση έχει την κύρια εγκατάσταση της. Αξίζει να σημειωθεί ωστόσο πως η παραπάνω πρόβλεψη δεν ισχύει για επιχειρήσεις  είναι εγκατεστημένες σε τρίτες χώρες και οι οποίες παρέχουν τις υπηρεσίες τους σε χώρες της ΕΕ, και οι οποίες θα είναι πάλι αντιμέτωπες με το φάσμα της πολυνομίας και της πολλαπλής διάδρασης με διάφορες εθνικές ανεξάρτητες αρχές.

Συνοψίζοντας, μπορεί να ειπωθεί πως το νέο νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων που εγκαθιδρύει ο GDPR δημιουργεί σημαντικές υποχρέωσεις για τις περισσότερες επιχειρήσεις και πρώτα από όλα την ανάγκη για ενδοσκόπηση και αυτοέλεγχο. Η αλήθεια είναι πως και με το υφιστάμενο καθεστώς, οι υποχρεώσεις για τις επιχειρήσεις δεν ήταν λίγες, αλλά συχνά δεν λαμβανόντουσαν σοβαρά υπόψιν. Σε ένα περιβάλλον όμως διαρκούς αύξησης της ευαισθητοποίησης της κοινής γνώμης γύρω από ζητήματα προσωπικών δεδομένων, η ανάγκη προσαρμογής στις απαιτήσεις του GDPR, δημιουργεί και ένα κίνητρο προληπτικού ελέγχου της λειτουργίας μιας επιχείρησης ώστε να αποφευχθούν σοβαρές δυσάρεστες επιπτώσεις ως συνέπεια αμέλειας, άγνοιας ή υποβάθμισης των σχετικών κινδύνων.

Του Ευάγγελου Καμαράκη

Δικηγόρου LLM, MBA

Κάτοχου της πιστοποίησης CIPP/E στο Ευρωπαϊκό δίκαιο προστασίας προσωπικών δεδομένων και μέλος της IAPP (International Association of Privacy Professionals) 

Τηλ 2155102394

email : info@kamarakis.com

Διεύθυνση: Σόλωνος 86 και Ασκληπιού, Αθήνα