Το περασμένο Σάββατο 25 Μαΐου 2019, συμπληρώθηκε ένας χρόνος από την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR). Και ενώ οι σχετικές πληροφορίες αναφέρουν πως οι εργασίες της νομοπαρασκευαστικής επιτροπής για την ενσωμάτωση και την εφαρμογή του στην ελληνική νομοθεσία έχουν ολοκληρωθεί, σήμερα ρίχνουμε μια ματιά στις 365 ημέρες που πέρασαν, στο τι έγινε αλλά και στο τι θα γίνει.
Το GDPR άλλαξε τους κανόνες για τις εταιρείες που συλλέγουν, αποθηκεύουν ή επεξεργάζονται πληροφορίες για τους κατοίκους της ΕΕ, απαιτώντας μεγαλύτερη διαφάνεια σχετικά με τα δεδομένα που έχουν αλλά και το πώς τα μοιράζονται. Ο νόμος χαιρετίζεται ως «παγκόσμιο πρότυπο» για την προστασία της ιδιωτικής ζωής στην ψηφιακή εποχή, όπου τα δεδομένα αποτελούν πολύτιμο εμπόρευμα. Άλλωστε, δεν είναι λίγες οι ενδιαφερόμενες πλευρές που ζητούν υιοθέτηση παρόμοιας νομοθεσίας και από άλλες χώρες, με την Microsoft και την Apple να έχουν ήδη αναφερθεί στην ανάγκη ύπαρξης μιας «αμερικανικής εκδοχής».
Ποια είναι όμως η στατιστική εικόνα που υπάρχει από τις 365 ημέρες εφαρμογής του; Σύμφωνα με τα σχετικά στοιχεία, από τη στιγμή που ενεργοποιήθηκε ο GDPR έχουν υπάρξει 144.376 αναφορές πολιτών γύρω από τα προσωπικά τους δεδομένα (καταγγελίες μπορούν να κατατεθούν από οποιονδήποτε θεωρεί πως θίγεται η ιδιωτικότητα του), με τις παραβιάσεις προσωπικών δεδομένων να φθάνουν ήδη τις 89.271 (οι εταιρείες καλούνται να αναφέρουν τα περιστατικά εντός 72 ωρών από τον εντοπισμό τους). Το νεοσυσταθέν Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων έχει καταγράψει περισσότερες από 400 διασυνοριακές υποθέσεις σε όλη την Ευρώπη.
Το 67% των Ευρωπαίων εμφανίζεται να έχει ακούσει για το GDPR, ενώ ένα 57% γνωρίζει πως υπάρχει Αρχή στην χώρα του, υπεύθυνη για την προστασία των προσωπικών του δεδομένων (άνοδο 20% από το 2015), με ένα 20% να γνωρίζει ποια ακριβώς είναι αυτή. Σημειώνεται πως 500.000 οργανισμοί εμφανίζονται να έχουν δηλώσει Υπεύθυνο Προστασίας Δεδομένων (DPO). Όσον αφορά στην ενσωμάτωση των κανονισμών στο εθνικό δίκαιο, 25 χώρες έχουν ολοκληρώσει τις διαδικασίες, με τρεις να υπολείπονται. Σε αυτές βρίσκονται τόσο η Ελλάδα (για την οποία, όπως προαναφέρθηκε, ολοκληρώθηκαν πριν από μερικές εβδομάδες οι εργασίες της νομοπαρασκευαστικής επιτροπής), όσο και οι Σλοβενία και Πορτογαλία (pdf].
Η ΕΕ θα πρέπει να εξετάσει το ενδεχόμενο απλούστευσης του GDPR [ITIF report]
Από τα στοιχεία της Ευρωπαϊκής Επιτροπής προκύπτει ότι οι καταγγελίες που έχουν υποβληθεί από την έναρξη εφαρμογής του GDPR αφορούν, κατά κύριο λόγο, υπηρεσίες telemarketing, προωθητικά e-mails και συστήματα παρακολούθησης (CCTV), με αρκετές υποθέσεις υψηλού επιπέδου να βρίσκονται σε στάδιο διερεύνησης αυτήν τη στιγμή. Κάποιες από αυτές χαρακτηρίζονται ως «σοβαρές» και θα μπορούσαν να καταλήξουν στην επιβολή μεγάλων προστίμων. Σημειώνεται πως, σύμφωνα με τον κανονισμό, στις εταιρείες μπορούν να επιβληθούν πρόστιμα έως και 20 εκατομμυρίων ευρώ, ή 4% του συνολικού ετήσιου παγκόσμιου εισοδήματός τους κατά το προηγούμενο οικονομικό έτος (όποιο είναι υψηλότερο).
Το μεγαλύτερο πρόστιμο, μέχρι σήμερα, ήταν εκείνο των 50 εκατομμυρίων ευρώ που επέβαλε η γαλλική ρυθμιστική Αρχή (CNIL) στη Google, «λόγω έλλειψης διαφάνειας, ανεπαρκούς πληροφόρησης και έλλειψης έγκυρης συναίνεσης όσον αφορά στην εξατομίκευση των διαφημίσεων». Την ίδια ώρα, η εταιρεία βρίσκεται υπό έρευνα και από τις ιρλανδικές Αρχές. Άλλα μεγάλα πρόστιμα έχουν επιβληθεί από τις πορτογαλικές Αρχές, με 400.000 ευρώ σε νοσοκομείο του οποίου το προσωπικό χρησιμοποιούσε ψευδείς λογαριασμούς για να αποκτήσει πρόσβαση στα δεδομένα των ασθενών, και από τις πολωνικές, με πρόστιμο 220.000 ευρώ σε εταιρεία που συνέλεγε προσωπικά δεδομένα από το internet για διαφημιστικούς λόγους. Άλλες υποθέσεις έλαβαν χώρα σε Αυστρία, Λιθουανία, Γερμανία και Δανία.
Σε κάθε περίπτωση, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει δώσει στη δημοσιότητα, από την περασμένη χρονιά, τις βασικές υποχρεώσεις για τους υπευθύνους επεξεργασίας. Σύμφωνα με αυτήν την αναφορά, ο Κανονισμός επιβάλλει μια σειρά νέων υποχρεώσεων στους υπεύθυνους επεξεργασίας, οι οποίες απορρέουν από τις βασικές αρχές και ιδίως την ενισχυμένη αρχή της διαφάνειας στον τρόπο συλλογής, επεξεργασίας και τήρησης δεδομένων και τη νέα αρχή της λογοδοσίας, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωσή του με όλες τις αρχές που διέπουν την επεξεργασία προσωπικών δεδομένων.
Τι θα πρέπει όμως να κάνει μια επιχείρηση; Σχετικός οδηγός που είχε εκδώσει [pdf] η Ευρωπαϊκή Επιτροπή, τόνιζε πως οι εταιρείες καλούνται να ελέγξουν τα προσωπικά δεδομένα που συλλέγουν, τους σκοπούς και την νομική βάση που συμβαίνει αυτό, να ενημερώσουν τους υπαλλήλους, τους πελάτες και κάθε εμπλεκόμενο για αυτή τη δραστηριότητα, να τηρούν τα προσωπικά δεδομένα μόνο για όσο χρειάζεται, να ασφαλίζουν τα προσωπικά δεδομένα που επεξεργάζονται, να κρατούν φάκελο με τις σχετικές δραστηριότητες, να βεβαιώνονται πως ο εκάστοτε υπεργολάβος τηρεί τους κανόνες και να ελέγξουν αν χρειάζεται να ορίσουν υπεύθυνο προστασίας δεδομένων ή να πραγματοποιήσουν εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων.
Όσον αφορά στην επόμενη ημέρα, είναι χαρακτηριστικό report [pdf] που δημοσίευσε η ITIF (Information Technology and Innovation Foundation), με αφορμή την επικείμενη Προεδρία της Φιλανδίας στο Ευρωπαϊκό Συμβούλιο και το πώς θα πρέπει να αντιμετωπιστεί η επόμενη ημέρα στο θέμα της ψηφιακής οικονομίας. Βάσει αυτού «εάν η ΕΕ βλέπει σοβαρά την οικοδόμηση μιας ενιαίας αγοράς βασισμένης σε υψηλά πρότυπα, θα πρέπει να εξετάσει το ενδεχόμενο απλούστευσης του GDPR, μειώνοντάς τον σε μια σειρά από εύκολα κατανοητούς κανόνες που εστιάζουν στην αποτροπή της πρόκλησης ζημιάς στους καταναλωτές, αντί να προσπαθεί να ελέγχει αυστηρά τον τρόπο με τον οποίο οι εταιρείες πραγματοποιούν τη διαχείριση και τη χρήση δεδομένων, εις βάρος της καινοτομίας. Γενικότερα, η Επιτροπή θα πρέπει να προβεί σε ενδελεχή ανασκόπηση της εφαρμογής του GDPR το 2020 για να αξιολογήσει που έχει δουλέψει καλά και που χρειάζεται βελτίωση».
Ρίχνοντας μια ματιά και στο πρόγραμμα εργασίας [pdf] του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ), το οποίο συστάθηκε με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ), βλέπουμε πως αυτό «έχει πλέον ως στόχο να εστιάσει περισσότερο σε συγκεκριμένα στοιχεία ή τεχνολογίες». Σε αυτά, εντοπίζεται, μεταξύ άλλων, η έκδοση κατευθυντήριων οδηγιών σχετικά με τους κώδικες δεοντολογίας και τους φορείς παρακολούθησης, τη διαγραφή, τα συνδεδεμένα οχήματα, τη βιντεοεπιτήρηση, τη στόχευση των χρηστών των μέσων κοινωνικής δικτύωσης, τα δεδομένα των παιδιών, τις έννοιες του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, την έννοια των έννομων συμφερόντων του υπευθύνου επεξεργασία, τις εξουσίες των αρχών προστασίας δεδομένων αλλά και σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων με έμφαση σε πρώτο στάδιο στα δικαιώματα πρόσβασης, διαγραφής, εναντίωσης, περιορισμού της επεξεργασίας, καθώς και στους περιορισμούς που εφαρμόζονται στα δικαιώματα αυτά.
Σε κοινή δήλωση με αφορμή την συμπλήρωση ενός έτους από την εφαρμογή του GDPR, οι Andrus Ansip, Αντιπρόεδρος για την Ψηφιακή Ενιαία Αγορά και Věra Jourová, Επίτροπος Δικαιοσύνης, Καταναλωτών και Ισότητας των Φύλων, υπογραμμίζουν πως «το GDPR έχει αλλάξει το τοπίο στην Ευρώπη και πέρα από αυτό. Αλλά η συμμόρφωση είναι μια δυναμική διαδικασία και δεν γίνεται εν μία νυκτί. Η βασική μας προτεραιότητα για τους προσεχείς μήνες είναι να εξασφαλίσουμε την ορθή και ισότιμη εφαρμογή στα κράτη μέλη».
Σχόλια