Της Μαγδαληνής Σκόνδρα, Δικηγόρου, Data Protection Officer .
GDPR . Τί είναι αυτό πάλι;
Μα είναι το πιο πολυφορεμένο ξενικό αρκτικόλεξο της χρονιάς. Έχει ακουστεί υπό διάφορες λανθασμένες αποδόσεις (GGPR, CGR, κλπ).
Τί είναι πραγματικά;
Είναι ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων αυτών» , αποδιδόμενος με το ελληνικό αρκτικόλεξο ΓΚΠΔ. Προβλέπει κανόνες για την προστασία των προσωπικών δεδομένων στην Ευρωπαϊκή Ένωση, αλλά με οικουμενική δύναμη ισχύος. Προβλέπει ταυτόχρονα, κάτι που προδίδει ο πλήρης τίτλος του, και την ελεύθερη κυκλοφορία των δεδομένων αυτών.
Γιατί ακούστηκε τόσο;
Μα φυσικά γιατί μέσα στα 99 άρθρα του υπάρχει και ένα (το υπ’ αρ. 83), που προβλέπει πρόστιμα 20.000.000€. Και κάθε δυσθεώρητο νούμερο εντυπωσιάζει πάντα. Ακούστηκε ακόμη, διότι η τρομολαγνεία που συστηματικά δημιουργήθηκε γύρω από αυτόν, από επιχειρήσεις κάθε είδους που προσπάθησαν να τον πουλήσουν, έπιασε τόπο. Σύμβουλοι επιχειρήσεων, σύμβουλοι πληροφορικής , απλοί ανειδίκευτοι μηχανογράφοι, λογιστές και διάφοροι άλλοι , άσχετοι με οτιδήποτε σχετικό με την προστασία προσωπικών δεδομένων, εμφανίστηκαν αίφνης ως «ειδήμονες» των υπηρεσιών συμμόρφωσης με τον GDPR.
Ανταποκρίνεται όμως στην πραγματικότητα όλος αυτός ο ντόρος , γύρω από τα 4 αυτά γραμματάκια; Ας προσπαθήσουμε να το δούμε αντικειμενικά.
Ο GDPR είναι το απαύγασμα της κορύφωσης της Ευρωπαϊκής νομοθεσίας στα ζητήματα ιδιωτικότητας (privacy), που ξεκίνησε δειλά ήδη από το 1948 , μετά την οικουμενική διακήρυξη των ανθρωπίνων δικαιωμάτων του ΟΗΕ. Ουσιαστικά, οι εντελώς νέες του προβλέψεις είναι ελάχιστες. Οι περισσότερες προϋπήρχαν ήδη στην Κοινοτική Οδηγία 95/46 που αντικατέστησε. Μια οδηγία που διήνυσε ζωή 23 ετών , χωρίς τα αποτελέσματα που αρχικά υποσχόταν. Και γιατί; γιατί δεν προέβλεπε τόσο υψηλά πρόστιμα, δεν είχε οικουμενικό πεδίο εφαρμογής και δεν είχε ενιαία εφαρμογή στα κράτη μέλη της Ευρωπαϊκής Ένωσης.
Και τί λέει με (πολύ) λίγα λόγια αυτός ο Κανονισμός;
Επαναλαμβάνει τις ήδη από την κοινοτική οδηγία του 1995 θεσπισμένες αρχές που πρέπει να ακολουθούν οι επιχειρήσεις και οι οργανισμοί όταν χειρίζονται πληροφορίες ανθρώπων: η επεξεργασία να είναι νόμιμη, δίκαια, διαφανής, το άτομο που αφορά να ενημερώνεται γι’ αυτήν, να του δίνονται δικαιώματα πρόσβασης, διαγραφής, διόρθωσης, εναντίωσης κ.α., να τηρούνται οι πληροφορίες εμπιστευτικές, να διαβιβάζονται μόνο σε όσους έχουν σχετικό δικαίωμα, να λαμβάνονται τεχνικά και οργανωτικά μέτρα ασφαλείας έναντι παραβιάσεων κλπ. Τίποτε από αυτά δεν είναι συνταρακτικά καινούριο συγκριτικά με ότι ήδη υπήρχε πριν. Υπάρχουν βέβαια σημαντικότατες αλλαγές, που δεν είναι πρόθεση του άρθρου αυτού να αναλύσει, καθώς αφορούν κυρίως νομικά ζητήματα, αλλά αυτό που πρέπει στα πλαίσια της παρουσίασης αυτής να λεχθεί σχετικά με τις αλλαγές αυτές, είναι ότι όλες στοχεύουν στην ενίσχυση των προβλέψεων προστασίας των προσωπικών δεδομένων κατά την επεξεργασία τους και στην ενίσχυση των δικαιωμάτων των ανθρώπων που είναι φορείς των δεδομένων.
Μα τα πρόστιμα; Δεν πρέπει να τα φοβόμαστε;
Μονολεκτικά όχι υπό τις εξής παρατηρήσεις:
1)τα ανώτατα όρια των 20.000.000€ (ή έως 4% του τζίρου αν αυτός είναι μεγαλύτερος από 20.000.000€), είναι προφανές ότι αφορούν επιχειρήσεις μεγαθήρια τύπου Google, Facebook κλπ , που διαχειρίζονται δισεκατομμύρια προσωπικά δεδομένα καθημερινά και κάθε παραβίαση σε αυτές , θα έχει συνέπειες σε εκατομμύρια ανθρώπων. Τα πρόστιμα, σύμφωνα με τις προβλέψεις του Κανονισμού, είναι ανάλογα της βαρύτητας της παράβασης, των συνεπειών που αυτή επιφέρει, του μεγέθους της επιχείρησης και συνακόλουθα του αριθμού των ανθρώπων που επηρεάζει κλπ.
2)το πρόστιμο δεν είναι μονόδρομος σε κάθε περίπτωση παραβίασης δεδομένων. Ο κανονισμός προβλέπει μια σειρά κυρώσεων. Αντί προστίμου μπορεί να επιβληθεί προειδοποίηση, επίπληξη, εντολή συμμόρφωσης, επιβολή περιορισμού ή απαγόρευσης , διαγραφή των δεδομένων κλπ.
3)Από τί θα εξαρτηθεί το είδος της κύρωσης; Από τη βαρύτητα της παράβασης ΚΑΙ από το επίπεδο συμμόρφωσης της επιχείρησης ή του οργανισμού που υπέπεσε σε αυτήν.
Το τελευταίο σημαίνει σε απλά ελληνικά, ότι εάν μια επιχείρηση έχει δείξει παντελή αδιαφορία -σνομπάρει -κατά το κοινώς λεγόμενο- τη νομοθεσία αυτήν και δεν έχει λάβει την παραμικρή μέριμνα για την υιοθέτηση της, ή έχει κάνει σχετικές ενέργειες μόνο φαινομενικά, πιθανότατα θα υποστεί το μέγιστο των κυρώσεων.
Αντιθέτως, επιχειρήσεις ή οργανισμοί που υπέπεσαν ακόμη και σε σημαντικές παραβάσεις , αλλά επέδειξαν σημαντική προσπάθεια συμμόρφωσης με τη νομοθεσία τόσο πριν , όσο και μετά την παράβαση, με την έγκαιρη γνωστοποίηση της και με τη λήψη σωστών μέτρων αντιμετώπισης της , βρέθηκαν αντιμέτωπες με απλές επιπλήξεις. Χαρακτηριστικό παράδειγμα είναι μια από τις πρώτες περιπτώσεις εφαρμογής του GDPR στην Ελλάδα, που αφορούσε περίπτωση στην οποία μια επιχείρηση έπεσε θύμα υποκλοπής μέσω hacking στοιχείων πιστωτικών καρτών πελατών της. Επειδή η επιχείρηση είχε ήδη ένα σημαντικό επίπεδο συμμόρφωσης με τη νομοθεσία, αλλά επιπλέον χειρίστηκε σωστά την παραβίαση, ανακοινώνοντας την αμέσως στην Αρχή και λαμβάνοντας σειρά μέτρων αντιμετώπισης, της επιβλήθηκε απλή επίπληξη. Μάλιστα, αν δεν είχε διαπιστωθεί ότι η επίθεση των χάκερς είχε αποτέλεσμα εξαιτίας του γεγονότος ότι η επιχείρηση χρησιμοποιούσε σχετικά παρωχημένο λογισμικό, πιθανόν να μην της είχε επιβληθεί ούτε καν και αυτή η κύρωση.
Και τί συμπεραίνουμε από όλα αυτά;
Ότι ο μπαμπούλας GDPR είναι ένα σημαντικό νομοθέτημα για τον καθένα μας ως άτομο, ικανός να μας προστατέψει από μεγαθήρια που εμπορεύονται καθημερινά τις πληροφορίες μας, πρέπει όμως να εφαρμοστεί από τον καθένα μας στη δουλειά του και να γίνει μέρος της νοοτροπίας μας. Διαφορετικά , η επιβολή του θα έχει αποτέλεσμα μόνο μέσω των προστίμων. Πρόστιμα που κανείς δεν πρέπει να φοβάται, αν προβεί σε ενέργειες νομικής, οργανωτικής και τεχνικής συμμόρφωσης του με αυτόν τον Κανονισμό , υιοθετώντας όμως ταυτόχρονα και τη φιλοσοφία του στην καθημερινότητα του. Γιατί τελικά ο GDPR ήρθε για να μείνει και όλα δείχνουν ότι θα εφαρμοστεί για τις επόμενες δεκαετίες , είτε έτσι είτε αλλιώς.