Ο σύνθετος ρόλος της Αρχής Προστασίας Δεδομένων στα 5 χρόνια GDPR

Κωνσταντίνος Μενουδάκος
Πρόεδρος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Επίτιμος Πρόεδρος ΣτΕ

Άρθρο στο Μηνιαίο Ενημερωτικό Δελτίο ΣΕΒ – Ρυθμιστικό Περιβάλλον και Επιχειρήσεις –  29 Μαΐου 2023

Η έναρξη εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), στις 25 Μαΐου 2018 σηματοδότησε την ύπαρξη ενός ενιαίου συνόλου κανόνων για δημόσιους φορείς και επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα και δραστηριοποιούνται στην ΕΕ.

5 χρόνια μετά, ο GDPR συγκροτεί, πλέον, ένα θεσμικό πλαίσιο που αποτελεί παγκόσμιο πρότυπο και διασφαλίζει την ασφαλή ροή δεδομένων, προς όφελος των πολιτών και των επιχειρήσεων. Και επιπλέον βρίσκεται στο επίκεντρο της νέας νομοθεσίας για την ενιαία ψηφιακή αγορά.

Ειδικότερα, ο GDPR ενίσχυσε τα δικαιώματα των φυσικών προσώπων και επανακαθόρισε τις υποχρεώσεις των υπευθύνων επεξεργασίας, οι οποίες εν μέρει επεκτάθηκαν και στους εκτελούντες την επεξεργασία δεδομένων, δημιουργώντας ένα σαφέστερο και συνεκτικότερο νομοθετικό πλαίσιο.

Με τον Κανονισμό υιοθετήθηκε ένα νέο μοντέλο συμμόρφωσης και εποπτείας, στον πυρήνα του οποίου βρίσκεται η αρχή της λογοδοσίας. Με βάση αυτή την αρχή ο υπεύθυνος επεξεργασίας υποχρεούται να σχεδιάζει, εφαρμόζει και λαμβάνει τα αναγκαία μέτρα και πολιτικές, προκειμένου η επεξεργασία των δεδομένων να είναι σύμφωνη με τις σχετικές νομοθετικές προβλέψεις. Επίσης, πρέπει να αποδεικνύει ο ίδιος και ανά πάσα στιγμή τη συμμόρφωσή του. Συγχρόνως, ο Kανονισμός καθόρισε αυστηρότερες κυρώσεις για όσους παραβιάζουν τους κανόνες και δημιούργησε ισότιμους όρους ανταγωνισμού για όλες τις επιχειρήσεις που δραστηριοποιούνται στην ΕΕ, ανεξάρτητα από τον τόπο εγκατάστασής τους.

Η Αρχή ανταποκρίθηκε στον μέγιστο δυνατό βαθμό στις αρμοδιότητες και τα καθήκοντα που της ανατέθηκαν με τον ευρωπαϊκό Κανονισμό και τον εθνικό νόμο 4624/2019. Μεταξύ των πολλών δραστηριοτήτων της την τελευταία πενταετία, εξέτασε σημαντικά ζητήματα και εξέδωσε πλήθος αποφάσεων, γνωμοδοτήσεων και κατευθυντηρίων γραμμών δίνοντας, παράλληλα, έμφαση και στην ενημέρωση-ευαισθητοποίηση των υποκειμένων των δεδομένων και των υπευθύνων και εκτελούντων την επεξεργασία δεδομένων.

Σταθερά μεγάλος αριθμός καταγγελιών που υποβάλλονται στην Αρχή αφορά την προώθηση προϊόντων και υπηρεσιών. Ενδεικτικά, σε πρόσφατη απόφαση (5/2023) η Αρχή έκρινε ότι η διαβίβαση από τηλεπικοινωνιακό πάροχο σε διαφημιστική εταιρεία προσωπικών δεδομένων συνδρομητή και η συναφής επεξεργασία των δεδομένων του καταγγέλλοντος έγινε με σκοπό την προώθηση, κατά παράβαση της αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας.

Επιπλέον, η Αρχή λαμβάνει κάθε χρόνο μεγάλο αριθμό γνωστοποιήσεων παραβίασης προσωπικών δεδομένων και με τη συνδρομή της αντιμετωπίζονται ικανοποιητικά οι συνέπειες από τα σχετικά περιστατικά. Πρόσφατο παράδειγμα των συνεπειών από τη μη γνωστοποίηση είναι η επιβολή προστίμου σε τηλεπικοινωνιακό πάροχο για παραβίαση του δικαιώματος πρόσβασης και της υποχρέωσης γνωστοποίησης περιστατικού παραβίασης (απόφαση 7/2023).

Από την έναρξη της εφαρμογής του GDPR (25/5/2018) έχουν υποβληθεί στην Αρχή 5.508 καταγγελίες και 936 γνωστοποιήσεις παραβίασης δεδομένων. Κατά το ίδιο χρονικό διάστημα η Αρχή επέβαλε 92 πρόστιμα συνολικού ποσού 31.977.000 ευρώ, ύστερα από εξέταση καταγγελιών ή αυτεπάγγελτους ελέγχους.

Αξιοσημείωτο είναι, επίσης, ότι το 2022 η Αρχή προχώρησε σε αυτεπάγγελτη ελεγκτική δράση για τα cookies σε 30 ιστοσελίδες ενημερωτικού χαρακτήρα. Το αποτέλεσμα της δράσης ήταν η συμμόρφωση των υπευθύνων επεξεργασίας δεδομένων με τη σχετική νομοθεσία.

Η Αρχή είναι σταθερά προσανατολισμένη στην ενίσχυση της ενημέρωσης-ευαισθητοποίησης των υπευθύνων/εκτελούντων την επεξεργασία καθώς και τη διαμόρφωση κουλτούρας συμμόρφωσης με το νομοθετικό πλαίσιο, η οποία, μεταξύ άλλων, αναμένεται να οδηγήσει στην αύξηση του βαθμού εμπιστοσύνης των υποκειμένων των δεδομένων στις επιχειρήσεις για τον τρόπο που αυτές διαχειρίζονται τα δεδομένα τους.

Σε μια δημοκρατική κοινωνία οι ισχυροί κανόνες προστασίας των δεδομένων έχουν ουσιαστικό ρόλο για τη διασφάλιση του θεμελιώδους δικαιώματος στην προστασία των προσωπικών δεδομένων αποτελώντας, συγχρόνως, σημαντικό συστατικό στοιχείο μιας οικονομίας που βασίζεται ολοένα και περισσότερο στα δεδομένα και είναι προσανατολισμένη στις αναδυόμενες τεχνολογίες (τεχνητή νοημοσύνη, Web3).