Loading...
Διεθνές και Ευρωπαϊκό Δίκαιο

O νέος GDPR και οι επιπτώσεις του στην επιβολή προστίμων

Γράφει η Χριστίνα Μουτάφη

Ένα από τα φαινόμενα που έχει επηρεάσει σε σημαντικό βαθμό τη σύγχρονη ζωή του ανθρώπου είναι η ραγδαία εξέλιξη της τεχνολογίας και των μέσων επικοινωνίας. Η ταχέως μεταβαλλόμενη τεχνολογία καθιστά διαθέσιμες όλο και περισσότερες πληροφορίες και συνεπώς το απόρρητό τους είναι μία από τις σημαντικότερες έννοιες της σημερινής εποχής. Ωστόσο, το απόρρητο των προσωπικών δεδομένων είναι και ένα από τα πιο αόριστα στοιχεία που συνθέτουν μία ιδιαιτέρως σημαντική κατάσταση. Η προστασία τους είναι αυξημένης σημασίας, δεδομένου ότι πρόκειται για ένα θεμελιώδες δικαίωμα του ανθρώπου. Στην Ελλάδα, η σχετική νομοθεσία έχει εναρμονιστεί με το ευρωπαϊκό νομοθετικό πλαίσιο και συνεχίζει να υιοθετεί κανόνες και ρυθμιστικές διατάξεις που προστατεύουν τα προσωπικά δεδομένα. Αξίζει να εξεταστεί αναλυτικότερα ο πρόσφατος Κανονισμός 679/2016 (GDPR) που στηρίζεται στο αρ. 16 ΣΛΕΕ («Κάθε πρόσωπο έχει δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν»).

Συγκεκριμένα, ο νέος κανονισμός, με υποχρεωτική εφαρμογή από το Μάιο του 2018, υποχρεώνει όλες τις επιχειρήσεις που χειρίζονται προσωπικά δεδομένα Ευρωπαίων πολιτών να συμμορφώνονται πλήρως με τις απαιτήσεις του. Σκοπός του είναι η δημιουργία ενιαίου θεσμικού πλαισίου για την επεξεργασία των προσωπικών δεδομένων σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης, θεσπίζοντας κανόνες για την προστασία των φυσικών προσώπων και την κυκλοφορία των προσωπικών δεδομένων τους. Η εξωεδαφική εμβέλεια του GDPR είναι ένα από τα νέα χαρακτηριστικά που συμβάλλουν σημαντικά στο αυξημένο επίπεδο προστασίας των προσωπικών δεδομένων. Επιπλέον, ο General Data Protection Regulation της ΕΕ εφαρμόζεται σε οντότητες που είναι εγκατεστημένες εκτός ΕΕ, εάν προσφέρουν αγαθά ή υπηρεσίες σε άτομα στην Ένωση ή αν παρακολουθούν τη συμπεριφορά των ατόμων στην Ένωση (δηλ. δραστηριότητες σχετικές με τη δημιουργία προφίλ, παρακολούθηση των δραστηριοτήτων των ατόμων στο Διαδίκτυο κ.λπ.). Μία από τις συνέπειες της εξωεδαφικής προσέγγισης είναι ότι οι εταιρείες που δεν είναι εγκατεστημένες στην ΕΕ πρέπει να διορίσουν έναν εκπρόσωπο (Data Protection Officer). Επίσης, προβλέπει αυστηρά πρόστιμα έως 20 εκατομμύρια ευρώ ή το 4% του ετήσιου παγκόσμιου κύκλου εργασιών. Η λογική πίσω από τα τεράστια πρόστιμα που αφορούν στην νομοθεσία είναι αρκετά απλή: οι υψηλότερες κυρώσεις για τη μη συμμόρφωση θεωρείται ότι οδηγούν σε υψηλότερα επίπεδα συμμόρφωσης. Η ύπαρξη ιδιαίτερα υψηλών ποινών θα καταστήσει όλο και δυσκολότερη την απλή αποδοχή ενός ορισμένου επιπέδου κινδύνου από την πλευρά των επιχειρήσεων όταν χειρίζονται προσωπικά δεδομένα.

Χαρακτηριστικό παράδειγμα της θέσης σε ισχύ των αυστηρότερων προστίμων είναι ένα πρόστιμο ύψους 50 εκατ. ευρώ στην εταιρεία GOOGLE LLC από τη Γαλλική Εποπτική Αρχή (CNIL) στις 21 Ιανουαρίου 2019, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ – GDPR), λόγω έλλειψης διαφάνειας, ανεπαρκούς πληροφόρησης και έλλειψης έγκυρης συναίνεσης σχετικά με τις εξατομικευμένες διαφημίσεις. Αυτό είναι το μεγαλύτερο πρόστιμο που έχει επιβληθεί έως σήμερα με βάση τους νέους ευρωπαϊκούς κανονισμούς για την προστασία των προσωπικών δεδομένων (GDPR). Ένα άλλο παράδειγμα στη χώρα μας είναι η επιβολή προστίμου 10.000 ευρώ σε τράπεζα (Alpha Bank) για μη ικανοποίηση του δικαιώματος πρόσβασης σε καταγεγραμμένες συνομιλίες, σύμφωνα με την απόφαση 47/2018 περί της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Πρόθεση επιβολής υψηλού προστίμου υπήρξε και από την Εποπτική Αρχή της Αγγλίας (ICO) (183,39 εκατ. Λιρών Αγγλίας) στην British Airways, λόγω εκτροπής των επισκεπτών της ιστοσελίδας της προς ιστοσελίδα που σχετιζόταν με απάτες, μέσω της οποίας συλλέχθηκαν από τρίτους στοιχεία 500.000 πελατών της.

Συμπερασματικά, ο αντίκτυπος του GDPR ενδέχεται να είναι ελαφρώς διαφορετικός για τους οργανισμούς που λειτουργούν σε χώρες όπως η Γερμανία, η Γαλλία ή οι Κάτω Χώρες, όπου η νομοθεσία για την προστασία των δεδομένων είναι ιστορικά αυστηρή και, σε ορισμένες περιπτώσεις, ξεπερνούν ακόμη και την υπάρχουσα οδηγία. Η συμμόρφωση με το GDPR θα επιτευχθεί ευκολότερα από εταιρείες που δραστηριοποιούνται σε αυτές τις χώρες, καθώς οι αρχές εποπτείας εκεί, έχουν ήδη επιδείξει επιμέλεια για να προστατεύσουν τα δικαιώματα και τις ελευθερίες του ατόμου. Ωστόσο, για άλλες χώρες, όπως η Ελλάδα, όπου οι αρχές προστασίας δεδομένων “έμειναν αδρανείς” λόγω έλλειψης διοικητικών εξουσιών και σχεδόν αμελητέων προστίμων, οι οργανισμοί και οι εταιρείες αγνοούσαν τους κινδύνους για τα δικαιώματα και τις ελευθερίες των ατόμων, γνωρίζοντας ότι οι εποπτικές αρχές δεν διέθεταν τη δύναμη να επιβάλλουν κυρώσεις στους παραβάτες.

ΒΙΒΛΙΟΓΡΑΦΙΑ

Αλεξανδροπούλου – Αιγυπτιάδου Ευγενία, ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ, ΝΟΜΙΚΗ ΒΙΒΛΙΟΘΗΚΗ, 2016

Κοτσαλής Γ. Λεωνίδας, Προσωπικά Δεδομένα, Ανάλυση-Σχόλια-Εφαρμογή, ΝΟΜΙΚΗ ΒΙΒΛΙΟΘΗΚΗ, 2016.

Νουσκάλης Γ., ΠΟΙΝΙΚΗ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ, 2η έκδοση, Εκδόσεις Σάκκουλα, 2007.

ΣΚΑΙ, Πρώτο πρόστιμο για το GDPR στην Google: 50 εκατομμύρια ευρώ από την Γαλλία, 21 Ιανουαρίου, 2019. Διαθέσιμο σε: https://www.skai.gr/news/world/proto-prostimo-gia-to-gdpr-stin-google-50-ekatommyria-eyro-apo-tin-g.

Net Week Online team, Η Γαλλική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (CNIL) προειδοποιεί για το FaceApp, 25 Ιουλίου, 2019. Διαθέσιμο σε: http://www.netweek.gr/default.asp?pid=9&la=1&cID=2&arId=40560.