Του Γιώργου Γαλανόπουλου,
Δικηγόρου, Υπ. Διδάκτορα Νομικής Σχολής ΕΚΠΑ
Τι είδους δεδομένα συλλέγει μία επιχείρηση από τους πελάτες της και το προσωπικό της ή μία δημόσια υπηρεσία από τους πολίτες και τους υπαλλήλους της; Είναι τα απολύτως αναγκαία για τον επιδιωκόμενο σκοπό; Με ποιο τρόπο τους ενημερώνει για την επεξεργασία των δεδομένων αυτών; Πόσο χρόνο τηρεί τα δεδομένα και με ποια νομική βάση τα επεξεργάζεται; Σε ποιους άλλους αποδέκτες τα κοινοποιεί; Ποια μέτρα ασφάλειας των δεδομένων λαμβάνει; Και τέλος: πώς θα αποδείξει σε περίπτωση ελέγχου ή καταγγελίας όλα τα παραπάνω;
Τέσσερα χρόνια μετά την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων (25-5-2018), τα δομικά αυτά ερωτήματα παραμένουν λίγο – πολύ άγνωστα κυρίως για τις μικρομεσαίες επιχειρήσεις αλλά και αρκετούς δημόσιους φορείς. Από τη μία πλευρά, οι μικρομεσαίες επιχειρήσεις έχουν να αντιμετωπίσουν πλείστα όσα φορολογικά και κοινωνικοασφαλιστικά βάρη καθώς και σημαντικά λειτουργικά έξοδα τα οποία- κατά γενική ομολογία- δεν τους «επιτρέπουν» να ασχοληθούν δεόντως με το κανονιστικό πλαίσιο προστασίας των προσωπικών δεδομένων. Και τούτο διότι η διαδικασία συμμόρφωσης απαιτεί χρόνο και χρήμα. Από την άλλη πλευρά, ορισμένοι δημόσιοι φορείς (π.χ. Υπουργεία, αποκεντρωμένες υπηρεσίες, Ο.Τ.Α., νομικά πρόσωπα και επιχειρήσεις των Ο.Τ.Α. κ.λπ.), αμελούν να εφαρμόσουν τον GDPR διότι προφανώς έχουν προτεραιότητα τα έργα ή οι υπηρεσίες που «φαίνονται» άμεσα στους πολίτες. Ενδεχομένως δε, να θεωρούν ακόμη ότι οι διοικητικές κυρώσεις δεν τους «αγγίζουν» σε σημαντικό βαθμό, αφού στην πραγματικότητα τα χρήματα για την αποπληρωμή ενός προστίμου μεταφέρονται απλώς από τον έναν προϋπολογισμό στον άλλον.
Ας υπομνησθεί, πάντως, ότι o GDPR προβλέπει εν γένει πολύ υψηλά διοικητικά πρόστιμα. Για τις πιο «ελαφρές» παραβάσεις του GDPR επιβάλλεται πρόστιμο έως 10.000.000 ευρώ ή, σε περίπτωση επιχειρήσεων, έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο, ενώ για τις «βαρύτερες» παραβάσεις προβλέπεται πρόστιμο έως 20.000.000 ευρώ ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ομοίως, ανάλογα με το ποιο είναι υψηλότερο.
Η συμμόρφωση με τη νομοθεσία για τα προσωπικά δεδομένα αντιμετωπίστηκε, και αντιμετωπίζεται, εν πολλοίς, ακόμα και σήμερα στην Ελλάδα, ως ένα ζήτημα συγκυρίας ή γραφειοκρατίας. Ιδίως απ’ όσους έσπευσαν να «παραλάβουν» ένα σχέδιο ή φάκελο «συμμόρφωσης» και έκτοτε το υλικό αυτό είναι τοποθετημένο σε κάποιο ράφι της επιχείρησης ή της δημόσιας υπηρεσίας.
Εντούτοις, η εφαρμογή της νομοθεσίας για τα προσωπικά δεδομένα δεν πρέπει να λογίζεται ως μία διαδικασία στατική. Σήμερα, στην εποχή της τεχνητής νοημοσύνης, των big data, του internet of things, του blockchain, της εκτεταμένης χρήσης του cloud computing και της μαζικής διασύνδεσης των πληροφοριακών συστημάτων του δημοσίου τομέα, η προστασία των προσωπικών δεδομένων είναι πιο αναγκαία από ποτέ.
Εν έτει 2022, η συζήτηση μετατοπίζεται από τη γενική εφαρμογή του GDPR στις καίριες προκλήσεις που θέτουν οι νέες τεχνολογίες λήψης αυτοματοποιημένων αποφάσεων, συμπεριφορικής διαφήμισης, κατάρτισης προφίλ κ.ο.κ. Μπορούν άραγε οι επιχειρήσεις και οι δημόσιοι φορείς να συμβαδίσουν, στο μέτρο του δυνατού, με τις εξελίξεις αυτές χωρίς να θέσουν σε κίνδυνο τα δικαιώματα και τις ελευθερίες των πολιτών;