Πραγματική ευκαιρία και όχι υποχρεωτικό βάρος



11 Δεκεμβρίου 2018 · Ώρα δημοσίευσης: 4:49 μμ · Τελευταία τροποποίηση: 4:49 μμ


Η ραγδαία τεχνολογική πρόοδος σε συνδυασμό με την επέκταση της παγκοσμιοποίησης δημιούργησε νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα στον 21ο αιώνα. Οι μεταβολές που προέκυψαν ως προς την έκταση και ένταση της επεξεργασίας δεδομένων απαιτούσαν ένα ισχυρότερο και πιο συνεκτικό πλαίσιο προστασίας στην Ευρωπαϊκή Ενωση, υποστηριζόμενο από αυστηρή εφαρμογή της νομοθεσίας, δεδομένης της ανάγκης να οικοδομηθεί η απαραίτητη εμπιστοσύνη που θα επιτρέψει στην ψηφιακή οικονομία να αναπτυχθεί στο σύνολο της εσωτερικής αγοράς.

Του Κωνσταντίνου Μενουδάκου*

Βασικοί επίσης λόγοι για την ψήφιση του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) ήταν οι πολίτες να αποκτήσουν τον έλεγχο των προσωπικών τους δεδομένων, να βελτιωθεί η προστασία και ασφάλεια των δεδομένων στην πράξη και να ενισχυθεί η ασφάλεια του δικαίου προστασίας δεδομένων στην Ενωση. Η εμβληματική Οδηγία 95/46/EK, η οποία ίσχυε για δύο δεκαετίες, δεν κατόρθωσε να αποτρέψει τον κατακερματισμό της εφαρμογής της προστασίας δεδομένων. Αντίθετα, ο νέος Κανονισμός έχει ομοιόμορφη εφαρμογή σε όλα τα κράτη-μέλη της Ενωσης. Πλέον μια ενιαία, πανευρωπαϊκή νομοθεσία για την προστασία των δεδομένων αντικατέστησε το «μωσαϊκό» των εθνικών νομοθεσιών.

Ο Κανονισμός, ο οποίος τέθηκε σε εφαρμογή στις 25 Μαΐου, καταρχάς ενισχύει τα υφιστάμενα ατομικά δικαιώματα (δικαιώματα ενημέρωσης, πρόσβασης και διαγραφής), ενώ παράλληλα κατοχυρώνει και νέα (δικαίωμα φορητότητας). Επιπλέον, η αρχή της λογοδοσίας καθορίζει τη δράση των «υπευθύνων επεξεργασίας», οι οποίοι φέρουν την ευθύνη και πρέπει να είναι σε θέση να αποδείξουν τη συμμόρφωσή τους με τον GDPR. Μια ακόμη βασική επιλογή του Κανονισμού αφορά στις προβλεπόμενες κυρώσεις, οι οποίες γίνονται σημαντικά πιο αυστηρές: τα διοικητικά πρόστιμα μπορεί να ανέλθουν στα 20 εκατ. ευρώ ή, σε περιπτώσεις επιχειρήσεων, έως το 4% του παγκόσμιου ετήσιου κύκλου εργασιών τους.

Αν και ουδείς εξαιρείται καταρχήν από τις διατάξεις του Κανονισμού, ορισμένες υποχρεώσεις επιβάλλονται σε ειδικές μόνο κατηγορίες πράξεων επεξεργασίας ή «υπευθύνων επεξεργασίας», όπως οι υποχρεώσεις που αφορούν στη διενέργεια εκτίμησης αντικτύπου για επεξεργασίες υψηλού κινδύνου, στην τήρηση αρχείου δραστηριοτήτων επεξεργασίας ή στον ορισμό «υπευθύνου προστασίας δεδομένων». Αποτελούν όμως διαδικασίες που ουσιαστικά «διασφαλίζουν» στον «υπεύθυνο επεξεργασίας» -επιχείρηση ή δημόσιο φορέα- τη δυνατότητα αποφυγής τυχόν παραβίασης.

Παρόλο που οι υποχρεώσεις των «υπευθύνων» αλλά και των «εκτελούντων την επεξεργασία» είναι απαιτητικές, ο Κανονισμός αποσκοπεί στη μείωση του γραφειοκρατικού βάρους. Με την κατάργηση των γνωστοποιήσεων και αιτήσεων για χορήγηση άδειας, δεν υφίσταται πια η υποχρέωση για τις επιχειρήσεις να ειδοποιούν διαφορετικές εθνικές Αρχές σχετικά με τα δεδομένα που επεξεργάζονται. Πλέον όταν κάποιος «υπεύθυνος επεξεργασίας» είναι εγκαταστημένος σε περισσότερα του ενός κράτη-μέλη και προβαίνει σε διασυνοριακή επεξεργασία δεδομένων εντός ΕΕ, είναι σκόπιμο να καθορίσει το κράτος-μέλος της κύριας εγκατάστασής του (στην ΕΕ) ώστε να μπορεί να απευθύνεται στην εποπτική Αρχή του κράτους αυτού. Αυτή είναι η λογική του «μηχανισμού μίας στάσης», σύμφωνα με τον οποίο προβλέπεται συνεργασία μεταξύ της «επικεφαλής εποπτικής Αρχής» και των «ενδιαφερομένων εθνικών Αρχών» ώστε να διασφαλίζεται ομοιογένεια στην αντιμετώπιση υποθέσεων διευρωπαϊκού ενδιαφέροντος. Ετσι εξορθολογίζεται η συνεργασία μεταξύ των εθνικών εποπτικών Αρχών για ζητήματα που έχουν επιπτώσεις σε ολόκληρη την Ενωση.

Με τον Κανονισμό ενισχύεται η αποστολή της Εποπτικής Αρχής Προστασίας Δεδομένων. Ασκείται όμως σε διαφορετικά νομικά και πραγματικά δεδομένα, λόγω του νέου πλαισίου συνεργασίας με ομόλογες Αρχές των χωρών της Ενωσης. Οι νέες διαδικασίες συνεργασίας, αμοιβαίας συνδρομής και κοινών ελέγχων και ο μηχανισμός συνεκτικότητας εισάγουν ουσιαστική διαφοροποίηση στη δράση των εποπτικών Αρχών. Σημαντικό ρόλο στη συνεκτική εφαρμογή του Γενικού Κανονισμού έχει πια το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, όπου εκπροσωπούνται όλες οι εθνικές εποπτικές Αρχές.

Υπάρχει η προσδοκία ότι ο Γενικός Κανονισμός θα αποτελέσει λυσιτελές θεσμικό πλαίσιο ώστε να ενισχυθούν τα ατομικά δικαιώματα και να περιοριστούν οι κίνδυνοι για τα προσωπικά δεδομένα που δημιουργούνται διαρκώς στη σύγχρονη ψηφιακή εποχή. Η αποτελεσματικότητα του ριζοσπαστικού αυτού πλέγματος κανόνων, ωστόσο, εξαρτάται από την ορθή εφαρμογή και την ουσιαστική αντιμετώπισή του από τους «υπευθύνους και εκτελούντες» την επεξεργασία δεδομένων ως πραγματικής ευκαιρίας και όχι απλώς ως υποχρεωτικού «βάρους».

* Πρόεδρος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και Επίτιμος Πρόεδρος ΣτΕ

Δημοσιεύθηκε στα ΙΔΕΟΓΡΑΜΜΑΤΑ στο φύλλο 78 της «Νέας Σελίδας» την Κυριακή 9 Δεκεμβρίου 2018