Διαπιστώσεις για την συμμόρφωση προς τις απαιτήσεις του GDPR μέσα από την εμπειρία της Αρχής Προστασίας Δεδομένων
Γρηγόρης Τσόλιας
Δικηγόρος ΜΔ Ποινικών Επιστημών
Μέλος (αν.) της Αρχής Προστασίας Δεδομένων
Άρθρο στο Μηνιαίο Ενημερωτικό Δελτίο ΣΕΒ – Ρυθμιστικό Περιβάλλον και Επιχειρήσεις – 31 Μαρτίου 2021
Πλησιάζοντας στην συμπλήρωση τριών (3) ετών από την θέση σε εφαρμογή του υπ’ αρ. 679/2016 Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), καθίσταται πλέον δυνατή η καταγραφή, με σχετική ασφάλεια, μιας σειράς διαπιστώσεων μέσα από την εξέταση καταγγελιών και υποθέσεων που ήχθησαν ενώπιον της Αρχής. Για λόγους οικονομίας, οι διαπιστώσεις κωδικοποιούνται ως εξής:
- Όσο μεγαλύτερος ο οργανισμός, τόσο πιθανότερο να έχει ακολουθήσει μια διαδικασία συμμόρφωσης, χωρίς αυτό να σημαίνει πάντα ότι υπήρξε «επιτυχημένη» ή ακόμη και ότι εφαρμόστηκε και δεν «έμεινε στα χαρτιά».
- Αντίστοιχα, μικροί οργανισμοί ή μεμονωμένοι ελεύθεροι επαγγελματίες φαίνεται να μην έχουν συμμορφωθεί ή να αγνοούν τις σχετικές υποχρεώσεις ακόμη και σε περιπτώσεις όπου ενδεχομένως επεξεργάζονται δεδομένα ειδικών κατηγοριών υγείας ή ακόμη και τα σχετικά με ανηλίκους.
- Μεγάλοι οργανισμοί με μητρικές εταιρίες εγκατεστημένες κεντρικά σε άλλα κράτη μέλη της Ε.Ε. φαίνεται ότι ακολουθούν κοινό πρόγραμμα συμμόρφωσης, χωρίς όμως, σε αρκετές περιπτώσεις, να έχουν προβεί στις αναγκαίες προσαρμογές ανά κράτος μέλος ώστε εν τέλει οι πολιτικές και οι διαδικασίες τους να παρουσιάζουν ελλείψεις συμμόρφωσης.
- Άλλοι οργανισμοί θεωρούν ότι έχουν συμμορφωθεί ακολουθώντας προγράμματα συμμόρφωσης που εφαρμόζονται ιδίως στις Η.Π.Α. και στηρίζονται στο εκεί εφαρμοζόμενο νομικό πλαίσιο περί ιδιωτικότητας με αποτέλεσμα να διαπιστώνεται έλλειμμα συμμόρφωσης προς το δίκαιο της Ε.Ε.
- Καθρέπτης του οργανισμού και πολύ σημαντικό εργαλείο συμμόρφωσης και άρα λογοδοσίας του υπευθύνου επεξεργασίας (ΥΕ) συνιστά το αρχείο δραστηριοτήτων επεξεργασίας του άρθρου 30 ΓΚΠΔ.
- Διαπιστώνεται μια εσφαλμένη αντιμετώπιση του εργαλείου συμμόρφωσης και λογοδοσίας που παρέχει ο ΓΚΠΔ και ακούει στο όνομα Υπεύθυνος Προστασίας Δεδομένων («DPO»). Συγχέεται ο ρόλος και τα καθήκοντα μεταξύ του ΥΕ και του ΥΠΔ, με αποτέλεσμα να δημιουργείται η εσφαλμένη εντύπωση ότι ο ΥΠΔ εκπροσωπεί και υπερασπίζεται τον ΥΕ ενώπιον της Αρχής, είτε κατά το προδικαστικό στάδιο παροχής εξηγήσεων επί αποδιδόμενων παραβιάσεων του ΓΚΠΔ, είτε κατά την εμφάνιση και υπεράσπιση του κατά το στάδιο της ακρόασης ενώπιον της Αρχής.
- Σε αρκετές περιπτώσεις διαπιστώνεται η εσφαλμένη εφαρμογή και ερμηνεία των παρεχόμενων από τον ΓΚΠΔ νομικών βάσεων. Κατά την έναρξη εφαρμογής του ΓΚΠΔ υπήρξε μια καταχρηστική και ίσως εσφαλμένη χρήση της νομικής βάσης της συγκατάθεσης, ενώ εν συνεχεία και μετά από απόφαση της Αρχής στο πλαίσιο της οποίας προέβη σε ερμηνευτική προσέγγιση της, βελτιώθηκε η κατάσταση. Επίσης, οι επεξεργασίες που αφορούν τα προσωπικά δεδομένα των εργαζομένων απασχόλησαν την Αρχή σε πολλά επίπεδα (έλεγχος υπολογιστικών συστημάτων, CCTV, γεωεντοπισμός κ.λπ.) και η Αρχή είχε την ευκαιρία μέσα από αναλυτικές αποφάσεις της να δώσει κατευθυντήριες γραμμές.
- Την Αρχή απασχολεί σταθερά μέχρι σήμερα η καθυστερημένη ή και η μη εντελής ικανοποίηση της άσκησης των δικαιωμάτων των υποκειμένων, ιδίως της πρόσβασης αλλά και της διαγραφής. Χαρακτηριστικά διαπιστώνεται ότι όταν η Αρχή κατόπιν συναφούς καταγγελίας παρεμβαίνει ασκώντας τις ελεγκτικές της εξουσίες, σε αρκετές περιπτώσεις, τότε μόνο, ενεργοποιούνται οι ΥΕ και ανταποκρίνονται στα σχετικά αιτήματα.
- Με αφορμή καταγγελίες για την παραβίαση, ιδίως, του δικαιώματος πρόσβασης, διαπιστώνεται ότι αρκετοί ΥΕ δεν είναι επαρκώς εξοικειωμένοι και ενημερωμένοι ώστε αδυνατούν να προσδιορίσουν και να χαρακτηρίσουν ένα αίτημα πρόσβασης ως τέτοιο, με αποτέλεσμα την μη ικανοποίηση του και άρα την επέλευση της συναφούς παραβίασης του ΓΚΠΔ. Όπως όμως έχει νομολογηθεί από την Αρχή με αποφάσεις της, το δικαίωμα πρόσβασης δεν χρειάζεται να ασκηθεί πανηγυρικά. Αυτό πάντως σημαίνει ότι οι ΥΕ δεν είναι εξοικειωμένοι με την σχετική έννοια με αποτέλεσμα να μην αποτυπώνεται σωστά στην εσωτερική οργάνωση της συμμόρφωσης π.χ. σε πολιτική ή διαδικασία, ο τρόπος αντιμετώπισης του σχετικού δικαιώματος με περαιτέρω αποτέλεσμα να μην έχουν εκπαιδευτεί σχετικά οι εργαζόμενοι του οργανισμού. Αρκετές φορές η μη ικανοποίηση των δικαιωμάτων των υποκειμένων καθώς και η επίκληση σχετικής επιχειρηματολογίας ή ερμηνείας από τον ΥΕ προκειμένου να αποφύγει την ικανοποίηση του σχετικού δικαιώματος, οδηγεί τελικά την Αρχή στο να ζητήσει περισσότερα στοιχεία, περισσότερες εξηγήσεις και εν τέλει ο έλεγχος να διευρυνθεί και σε άλλους τομείς της συμμόρφωσης του οργανισμού με αποτέλεσμα να θέσει ο ίδιος εαυτόν σε κίνδυνο μεγαλύτερων και περισσότερων κυρώσεων.
- Η Αρχή έχει λάβει σειρά Γνωστοποιήσεων περιστατικών παραβιάσεως δεδομένων κατ’ αρ. 33 ΓΚΠΔ, αισθητά λιγότερες όμως από άλλα κράτη μέλη της Ε.Ε. Από την επεξεργασία τους προκύπτει ότι στην πλειονότητά τους πληρούνται οι προϋποθέσεις υποβολής τους, ότι ορθά ερμηνεύεται η έννοια του κινδύνου, ότι πρόκειται περί ενός ιδιαίτερα χρήσιμου εργαλείου καθώς σε αρχικό ήδη στάδιο αντιμετωπίζονται ικανοποιητικά οι συνέπειες από τα σχετικά περιστατικά, με τη συνδρομή της Αρχής, όπου απαιτείται.Τέλος, η Αρχή, εν όψει και των ανωτέρω διαπιστώσεων, στο πλαίσιο των αρμοδιοτήτων της για την διευκόλυνση της συμμόρφωσης των μικρομεσαίων επιχειρήσεων υλοποιεί σχετικό έργο (“byDesign”) για την παροχή εξειδικευμένης καθοδήγησης με τη μορφή εργαλειοθήκης συμμόρφωσης.
