Πρακτικά ζητήματα εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR)

Γράφει ο κ. Νικόλας Κανελλόπουλος


Ο Γενικός Κανονισμός για την προστασία προσωπικών δεδομένων περιλαμβάνει 173 αιτιολογικές σκέψεις και 99 άρθρα.  Με δεδομένο όμως ότι εισάγει για πρώτη φορά ορισμένες νέες έννοιες, καθώς και ότι δεν έχει ακόμα ψηφιστεί εθνικός νόμος, ο οποίος θα όφειλε να εξειδικεύει ορισμένα νομικά ζητήματα του νέου νομικού πλαισίου, απαιτείται συχνά συνδυαστική ανάγνωση με σχετικές οδηγίες, αποφάσεις και απόψεις των εθνικών και ενωσιακών εποπτικών αρχών και συμβουλευτικών οργάνων, όπως λ.χ. της γνωστής ομάδας του άρθρου 29 και ήδη του  Ευρωπαϊκού Συμβούλιου Προστασίας Δεδομένων.

Για ορισμένα δε σύνθετα ζητήματα, τα οποία δεν έχουν ακόμα επαρκώς ρυθμιστεί, η κατεύθυνση αναμένεται να δοθεί από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και το ΣτΕ που θα κληθούν να ερμηνεύσουν σύνθετες έννοιες, να αποδομήσουν τεχνικά τον Κανονισμό, διαβάζοντας το σκεπτικό πίσω από αυτόν, θέτοντας το αναγκαίο μέτρο στην στάθμιση κινδύνων, δικαιωμάτων και υποχρεώσεων και   διαμορφώνοντας νομολογία  και εν τέλει καθαρή, ομαλή και ομοιογενή εφαρμογή του Κανονισμού.

Συχνά τίθενται ζητήματα εφαρμογής του Κανονισμού που αφορούν οριζόντια σε όλες τις επιχειρήσεις και οργανισμούς, ανεξάρτητα από τον κλάδο στον οποίο δραστηριοποιούνται. Ο Κανονισμός, αλλάζει σε μεγάλο βαθμό τις υποχρεώσεις των επιχειρήσεων και δημιουργεί συχνά αμφιβολίες στις επιχειρήσεις ως προς τον ενδεδειγμένο τρόπο επίτευξής τους.

Ειδικότερα, ο Κανονισμός εισάγει τον ορισμό του Υπεύθυνου Προστασίας Δεδομένων (DPO), ο οποίος είναι υποχρεωτικός σε συγκεκριμένες μόνο περιπτώσεις και αναφέρονται ρητά σ’ αυτόν.

Για τις υπόλοιπες περιπτώσεις, ο ορισμός DPO τίθεται στη διακριτική ευχέρεια της επιχείρησης, η οποία οφείλει να αξιολογήσει την ανάγκη ορισμού του με γνώμονα τις δραστηριότητες, το είδος  και τον όγκο των προσωπικών δεδομένων που συλλέγει και διαχειρίζεται εν γένει.

Καθώς η έννοια του «DPO expert» στην Ελλάδα είναι καινούρια, κρίσιμο είναι να απαντηθεί σε ποιο βαθμό η Αρχή θα αξιολογεί το βιογραφικό αυτού και την απαιτούμενη εμπειρία και κατάρτιση. Το ζήτημα αυτό έχει ιδιαίτερη σημασία, ενόψει του γεγονότος ότι η παραβίαση των υποχρεώσεων του Κανονισμού ως προς τον ορισμό και τη θέση του DPO συγκαταλέγεται στις παραβιάσεις που επισύρουν  διοικητικά πρόστιμα ύψους έως και 10.000.000 ευρώ ή 2% του παγκόσμιου κύκλου εργασιών.

Ένα περαιτέρω ειδικότερο ζήτημα το οποίο έχει ανακύψει, αφορά στις περιπτώσεις επεξεργασίας, οι οποίες με το προϊσχύσαν νομικό πλαίσιο απαιτούσαν άδεια της Αρχής. Πρόκειται για τις περιπτώσεις, κυρίως, τήρησης αρχείων και επεξεργασίας δεδομένων ειδικών κατηγοριών, όπως λ.χ. ιατρικά αρχεία.

Πλέον, με την έναρξη ισχύος του Κανονισμού, καταργείται η υποχρέωση των επιχειρήσεων να ζητούν την άδεια της Αρχής και αντ’ αυτής, οι επιχειρήσεις οφείλουν να διενεργούν εκτίμηση αντικτύπου ιδιωτικότητας, προκειμένου να τεκμηριωθεί η ασφάλεια της επεξεργασίας για τις ελευθερίες και τα δικαιώματα των φυσικών προσώπων. Τίθεται όμως το ερώτημα του τι γίνεται στις περιπτώσεις που έχει ήδη ληφθεί η άδεια της Αρχής για την επεξεργασία των δεδομένων αυτών και αυτή είναι ακόμα εν ισχύ κι αν οφείλουν οι επιχειρήσεις να διενεργήσουν DPIA και σε αυτές τις περιπτώσεις ή θεωρούνται ασφαλείς μέχρι την λήξη της άδειάς τους. Αντίστοιχα, στις περιπτώσεις κατά τις οποίες είχε πραγματοποιηθεί μόνο γνωστοποίηση προς την Αρχή και άρα δεν υπήρξε άδεια της Αρχής που να ορίζει ένα χρονικό διάστημα ισχύος αυτής, δημιουργείται το ερώτημα αν οφείλουν οι επιχειρήσεις να διεξάγουν εκτίμηση αντικτύπου.

Άλλο ζήτημα με ιδιαίτερη σημασία είναι η αυτοματοποιημένη επεξεργασία δεδομένων, όπως όπως είναι η ανάλυση των προτιμήσεων των πελατών μιας επιχείρησης μέσω της χρήσης εργαλείων data analytics και η κατάρτιση του προφίλ των πελατών-  φυσικών  προσώπων.

Η χρήση αυτοματοποιημένων μεθόδων επεξεργασίας δεδομένων είναι ιδιαίτερα διαδεδομένη στον τομέα της εμπορικής προώθησης (marketing), καθώς αποτελεί χρήσιμο εργαλείο για τις επιχειρήσεις στην ανάπτυξη και προώθηση των υπηρεσιών και των προϊόντων τους στην αγορά. Υπό το πρίσμα αυτό, η αξιολόγηση των στοιχείων εκείνων που υπαγάγουν τα πραγματικά περιστατικά στον Κανόνα δικαίου εμφανίζει ιδιαίτερο νομικό ενδιαφέρον. Ειδικότερα ζητήματα προσοχής αποτελούν το πότε θεωρείται μια απόφαση ότι λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας και σε ποιες περιπτώσεις θωρείται ότι η απόφαση αυτή παράγει έννομα αποτελέσματα που αφορούν το υποκείμενο.

Είναι εξίσου κρίσιμο ζήτημα στην πλήρωση του κριτηρίου αυτού, η αναζήτηση κάθε απόφασης που παράγει έννομα αποτελέσματα για το υποκείμενο και σε ποιες περιπτώσεις θωρείται ότι η απόφαση επηρεάζει το υποκείμενο σημαντικά με παρόμοιο τρόπο. Απάντηση θα πρέπει να δοθεί στο αν λογίζεται ως τέτοια απόφαση  και η «επωφελής» απόφαση για το υποκείμενο και αν είναι ικανή μια τέτοια παροχή προσωποποιημένων προσφορών να θεωρηθεί ότι επηρεάζει ένα πρόσωπο σημαντικά ή όχι και είναι αρκετή η απλή προηγούμενη ενημέρωση του υποκειμένου.

Επίσης, σημαντικό είναι το ζήτημα ρόλων και αρμοδιοτήτων που εμφανίζεται στη συνεργασία των επιχειρήσεων με εταιρίες που τους τροφοδοτούν, έναντι αμοιβής, με λίστες στοιχείων πιθανών συνεργατών ή κατηγοριών επαγγελματιών (αγορασμένες λίστες). Στις περιπτώσεις αυτές, δεν είναι πάντοτε σαφής η σχέση των μερών ως προς τα δεδομένα που μοιράζονται και δεν είναι εύκολη και η συμβατική αποτύπωσή της.

Χρειάζεται, πολλές φορές, η τεχνική ανάλυση της μεθόδου διαβίβασης των δεδομένων, του χώρου και τρόπου αποθήκευσής τους, της δυνατότητας εισαγωγής μεταβολών στη βάση του αρχείου, καθώς και των δικαιωμάτων πρόσβασης και επεξεργασίας των δεδομένων από κάθε μέρος. Ακόμα πιο σημαντικό ζήτημα, όμως, είναι πως θα διασφαλίζεται η νομιμότητα των δεδομένων που συμπεριλαμβάνονται στις λίστες αυτές. Καθώς προέρχονται από διαφορετικές πηγές, κρίσιμο είναι, το ποιος είναι υπόχρεος έναντι της Αρχής για την κατάλληλη ενημέρωση και λήψη συγκατάθεσης των υποκειμένων, καθώς και το πως θα διασφαλίζεται στα λοιπά μέρη (τα οποία θα λαμβάνουν τις λίστες αυτές) ότι υπάρχει η αναγκαία νόμιμη βάση.

Συνοψίζοντας, η ρύθμιση της επεξεργασίας και της προστασίας των προσωπικών δεδομένων ισοδυναμεί με επαναπλαισίωση της οικονομικής δραστηριότητας και λειτουργίας των επιχειρήσεων. Ο  Κανονισμός αποτελεί ένα νέο και αναγκαίο βήμα προόδου, τόσο προς την ενίσχυση του δικαίου προστασίας των προσωπικών δεδομένων όσο και ως προς την καλλιέργεια μιας κουλτούρας ‘’τάξης’’ στη λειτουργία των επιχειρήσεων και των φορέων για την προστασία της προσωπικότητας του ατόμου. Για την ερμηνεία και ομαλή εφαρμογή του, είναι απαραίτητη η οπτική γωνία τόσο της Αρχής, όσο και των διοικητικών δικαστηρίων, που μέσα από της αποφάσεις τους θα πρέπει  να καθοδηγήσουν και διαφωτίσουν καίρια ζητήματα, τα οποία είτε έχουν ήδη ανακύψει, είτε υπόκειται να ανακύψουν στο μέλλον.

 

Νικόλας Κανελλόπουλος,

Δικηγόρος, Διευθύνων Εταίρος της Δικηγορικής Εταιρείας “Νικόλας Κανελλόπουλος – Χαρά Ζέρβα & Συνεργάτες”, Υπεύθυνος Προστασίας Δεδομένων (DPO) του Επαγγελματικού Επιμελητηρίου Αθηνών.

Εκτελεστικός Διευθυντής του “Ινστιτούτου για την Προστασία της Ιδιωτικότητας, των Προσωπικών Δεδομένων και την Τεχνολογία” του Ευρωπαϊκού Οργανισμού Δημοσίου Δικαίου (European Public Law Organization-EPLO).