GDPR: Ένα νέο μοντέλο συμμόρφωσης στον σεβασμό και την προστασία των προσωπικών δεδομένων
Η ραγδαία τεχνολογική εξέλιξη, η παγκοσμιοποίηση, η πρόσβαση στο διαδίκτυο με την χρήση κινητών τερματικών συσκευών, τα κοινωνικά δίκτυα, οι υπηρεσίες υπολογιστικών νεφών, το διαδίκτυο των πραγμάτων (IoT) και εν γένει η χρήση του διαδικτύου στο πλαίσιο τόσο προσωπικών, όσο και επαγγελματικών δραστηριοτήτων και συμπεριφορών που οδηγούν στην δημιουργία δεξαμενών προσωπικών δεδομένων σε συνδυασμό με τη διασυνοριακή διαβίβαση και ανταλλαγή δεδομένων, κατέστησε το υφιστάμενο νομικό πλαίσιο (Οδηγία 95/46/ΕΚ – Ν. 2472/1997) για την προστασία των δεδομένων προσωπικού χαρακτήρα, ξεπερασμένο.
Επιπλέον, η αναγκαιότητα δημιουργίας της απαιτούμενης εμπιστοσύνης μεταξύ των πολιτών προκειμένου να διαθέτουν ανεπιφύλακτα τα προσωπικά δεδομένα τους στο πλαίσιο ανάπτυξης μιας ευρωπαϊκής πολιτικής ψηφιακής οικονομίας κατέστησε επιτακτική την ανάγκη συνεκτικής και ομοιόμορφης εφαρμογής νέων κανόνων προστασίας των προσωπικών δεδομένων στην Ε.Ε. προκειμένου να αρθούν οι νομικές ασάφειες, να επιτευχθεί ισοδύναμο επίπεδο προστασίας σε όλα τα κράτη μέλη, να εμπεδωθεί το αίσθημα ασφάλειας δικαίου και εν τέλει να αρθούν τα εμπόδια στην ελεύθερη κυκλοφορία των δεδομένων για την άσκηση οικονομικών δραστηριοτήτων στην Ε.Ε.
Επιπλέον, το υφιστάμενο νομικό πλαίσιο υπήρξε αναποτελεσματικό εξαιτίας του μοντέλου συμμόρφωσης που είχε επιλεγεί από τον νομοθέτη και συνδύαζε από τη μια χαρακτηριστικά πρόληψης ή προεκτίμησης μιας επικίνδυνης ή παράνομης επεξεργασίας (διαδικασία Γνωστοποίησης επεξεργασίας ή Αίτησης αδειοδότησης από τον υπεύθυνο επεξεργασίας προς την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα-ΑΠΔΠΧ) και από την άλλη, χαρακτηριστικά καταστολής ή έγκρισης της επεξεργασίας (αποδοχή της αίτησης αδειοδότησης ή επιβολή κύρωσης σε περίπτωση παράνομης επεξεργασίας από την ΑΠΔΠΧ). Έτσι, η ΑΠΔΠΧ κατέστη κεντρικό μέγεθος στο σύστημα συμμόρφωσης, κυρίως στις περιπτώσεις επεξεργασίας ευαίσθητων δεδομένων (π.χ. υγείας) όπου απαιτείτο η προηγούμενη άδεια της.
Το μοντέλο αυτό δημιούργησε, πανευρωπαϊκά, υπέρμετρα διοικητικά βάρη με μεγάλο «κόστος εποπτείας» για τον, ούτως ή άλλως δυσλειτουργικό κρατικό μηχανισμό, που οδηγούσε εν τέλει σε ελλιπή και καθυστερημένη προστασία των υποκειμένων των δεδομένων.
Με τον Γενικό Κανονισμό Προστασίας Δεδομένων αρ. 2016/679 το παλαιό σύστημα ανατρέπεται άρδην και υιοθετείται ένα μοντέλο «οιονεί αυτορρύθμισης» όπου η πρωτοβουλία εφαρμογής των κανόνων και συμμόρφωσης ανατίθεται από το νομοθέτη στους «βασικούς παίκτες»: από τη μια βρίσκεται ο υπεύθυνος ή και ο εκτελών την επεξεργασία (αυτοί που συλλέγουν και επεξεργάζονται τα δεδομένα), οι υποχρεώσεις των οποίων αυξάνονται και από την άλλη, βρίσκεται το υποκείμενο των δεδομένων (το φυσικό πρόσωπο το οποίο αφορούν τα δεδομένα), τα δικαιώματα του οποίου αυξάνονται και ενδυναμώνονται με τέτοιο τρόπο ώστε η από μέρους του υπευθύνου ή εκτελούντος την επεξεργασία πλήρωση των υποχρεώσεων που απορρέουν από αυτά να μην επιδέχεται ερμηνείας προς αποφυγή εκπλήρωσης τους.
Νέα ή επικαιροποιημένα δικαιώματα, όπως το δικαίωμα διαγραφής (λήθης) των προσωπικών δεδομένων του ατόμου από π.χ. το διαδίκτυο ή το δικαίωμα φορητότητάς (μεταφοράς π.χ. από μια επιχείρηση σε άλλη) των προσωπικών δεδομένων του ατόμου αποτελούν σημαντικά όπλα για την προστασία, αλλά και τον σεβασμό των δικαιωμάτων του ατόμου. Ας μην ξεχνάμε ότι τα προσωπικά δεδομένα θεωρούνται «περιουσιακό αγαθό» και επιτυχημένα χαρακτηρίζονται ως «ο νέος χρυσός»!
Με το νέο μοντέλο που εισάγεται από τον ΓΚΠΔ οι επιχειρήσεις οφείλουν να λαμβάνουν τα αναγκαία μέτρα συμμόρφωσης χωρίς να ενημερώνουν πλέον ή να ζητούν άδεια από την ΑΠΔΠΧ, κατ’ εφαρμογή της αρχής της λογοδοσίας, σύμφωνα με την οποία υποχρεούνται να αποδεικνύουν ανά πάσα στιγμή την συμμόρφωση αυτή με βάση (συνήθως) έγγραφη τεκμηρίωση. Προς υλοποίηση της συμμόρφωσης παρέχονται στις επιχειρήσεις από τον ΓΚΠΔ ρυθμιστικές μέθοδοι, εργαλεία και ρόλοι προς ενδυνάμωση της πρόληψης και αποτροπής της παραβίασης της νομοθεσίας (καλλιεργώντας παράλληλα μια κουλτούρα προστασίας των δεδομένων προσωπικού χαρακτήρα) όπως η τήρηση των αρχείων καταγραφής της δραστηριότητας των δεδομένων, η εφαρμογή μέτρων προστασίας δεδομένων ήδη από τον σχεδιασμό και εξ’ ορισμού (privacy by design, privacy by default), η προσέγγιση με βάση τον κίνδυνο (risk based approach), η διενέργεια μελέτης εκτίμησης αντικτύπου (DPIA), η προηγούμενη διαβούλευση με την εποπτική αρχή, ο ορισμός Υπευθύνου Προστασίας Δεδομένων (DPO), η ενθάρρυνση εκπόνησης κωδίκων δεοντολογίας, η παρότρυνση θέσπισης μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων.
Αντίστοιχα, ο συναφής διοικητικός εποπτικός έλεγχος διενεργείται κατά βάση κατασταλτικά, μετά την εξάντληση των ανωτέρω εργαλείων και μάλιστα ως ultimum refugium με την εν τέλει επιβολή βαρύτατων διοικητικών προστίμων που φτάνουν στα είκοσι εκατομμύρια (20.000.000,00) ευρώ ή το 4% του ετήσιου παγκόσμιου τζίρου.
Είναι βέβαια αλήθεια ότι η υποχρεωτική υιοθέτηση των προαναφερόμενων μεθόδων, εργαλείων και ρόλων από τις επιχειρήσεις συνεπάγεται επιχειρηματικό κόστος, άλλως «κόστος συμμόρφωσης» στον ΓΚΠΔ, το οποίο, ως «κόστος διοικητικής εποπτείας» αντίστοιχα «αφαιρείται» πλέον από την αρμόδια εποπτική αρχή.
Τα ανάλογα και αντίστοιχα εργαλεία, πρέπει όμως να δοθούν πανευρωπαϊκά και στις εθνικές ΑΠΔΠΧ προκειμένου να συμβάλλουν κατά το μέρος που τους αναλογεί στη συμμόρφωση και την εποπτεία αυτής. Έτσι, όπως επισημαίνει και η Ευρωπαϊκή Επιτροπή με την από 24-01-2018 Ανακοίνωση της «τα κράτη μέλη ενθαρρύνονται να τηρούν τη νομική υποχρέωσή τους να παρέχουν στην αρχής προστασίας δεδομένων της χώρας τους, τους ανθρώπινους, τεχνικούς και οικονομικούς πόρους, τις εγκαταστάσεις και τις υποδομές που απαιτούνται για την αποτελεσματική εκτέλεση των καθηκόντων και την άσκηση των εξουσιών τους».
Η 25η Μαϊου 2018, ημερομηνία θέσης του ΓΚΠΔ σε εφαρμογή φθανει αύριο, το ταξίδι στη συμμόρφωση και την προστασία των προσωπικών δεδομένων, ξεκινάει άμεσα!
Σχόλια