GDPR: ΠΡΟΒΛΗΜΑΤΙΣΜΟΙ

Gdpr free stock photos - StockFreeImages

Ο Κανονισμός GDPR θέτει μικρές και μεγάλες επιχειρήσεις προ των ευθυνών τους, καλώντας τες να υιοθετήσουν στάση υπευθυνότητας καθώς και διαφανείς μεθόδους αναφορικά με την διαχείριση των προσωπικών πληροφοριών των πελατών τους. Είναι, ωστόσο, ο Κανονισμός η ιδανική απάντηση στο έως τώρα χαώδες σκηνικό κατάχρησης και οικονομικής εκμετάλλευσης των προσωπικών μας δεδομένων;

Αρχικά, ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων επιφέρει μία σειρά από υποχρεώσεις για τις επιχειρήσεις, οι οποίες καλούνται να αναθεωρήσουν τις έως τώρα πολιτικές τους και να υιοθετήσουν σε σύντομο χρονικό διάστημα μία σειρά από μέτρα με στόχο να αναβαθμίσουν τα συστήματα κυβερνο-ασφάλειας τους(cybersecurity), ώστε να είναι συμβατές με το γράμμα του νόμου (ν.4624/2019). 

Παρά το γεγονός ότι το GDPR επιφέρει ένα καθεστώς εναρμόνισης των πολλές φορές αντικρουόμενων πολιτικών διαχείρισης προσωπικών δεδομένων ανά Ευρωπαϊκά κράτη, δεν μπορεί να εφαρμοστεί σε παγκόσμιο επίπεδο. Για παράδειγμα, το FB ακολουθεί διαφορετικές προς τις Ευρωπαϊκές χώρες, πολιτικές διαχείρισης προσωπικών δεδομένων στην Αυστραλία/Ασία/Αφρική ενώ οι Ηνωμένες Πολιτείες φαίνονται να χαρακτηρίζονται από λιγότερη αυστηρότητα στις πολιτικές που ακολουθούν αναφορικά με το χειρισμό των προσωπικών δεδομένων. Όσο αφορά βέβαια τα αμερικανικά δεδομένα υπάρχει, το CCPA 2018, που βαδίζει στα πρότυπα του GDPR για την προστασία των προσωπικών δεδομένων και εφαρμόζεται στην Καλιφόρνια, το τελευταίο θα αναλυθεί εκτενέστερα σε νέα μου ανάρτηση.

Ας επιστρέψουμε, ωστόσο, στην ευρωπαϊκή πραγματικότητα του GDPR, που μοιάζει να δοκιμάζει τις νέες επιχειρήσεις μικρής οικονομικής εμβέλειας, οι οποίες σε πολλές περιπτώσεις δεν μπορούν να τηρήσουν όλες τις προϋποθέσεις του Κανονισμού λ.χ. να προσλαβουν εξειδικευμένο προσωπικό, να έχουν αναβαθισμένα τεχνολογικά συστήματα ασφαλείας, κλπ. Με άλλα λόγια, το GDPR δεν μεταφράζεται μόνο ως νέοι κανόνες για τα προσωπικά δεδομένα των πολιτών αλλά και ως νέα λειτουργικά έξοδα και οικονομικές απώλειες για πάσης φύσεως επιχειρήσεις. Δεδομένο είναι ότι τα έξοδα αυτά είναι κάθε φορά ανάλογα του οικονομικού μεγέθους και της επιχειρηματικής δραστηριότητας της κάθε επιχείρησης. Ωστόσο, οι οικονομικές απώλειες χάριν ενδυνάμωσης της ασφαλούς χρήσης και διαχείρισης των προσωπικών δεδομένων μπορεί να θεωρηθεί ως μικρό τίμημα για τις επιχειρήσεις, δίνοντας εκ πρώτης όψεως την εντύπωση να επαληθεύεται η ρήση μεσαιωνικής προέλευσης, “ο σκοπός αγιάζει τα μέσα”.

Μέχρι τώρα έχουν επιβληθεί σχετικά χαμηλά πρόστιμα για τις μη συμβατές επιχειρήσεις και μάλιστα για μικρό ποσοστό παραβιάσεων σε σχέση με τις έως τώρα καταγγελθείσες. Τα περισσότερα πρόστιμα κυμαίνονται στα €20,000 και λιγότερο, χωρίς να λείπουν και οι εξαιρέσεις! Βέβαια, ο Κανονισμός μετρά λίγα χρόνια εφαρμογής και θα ήταν πρόωρο και ανακριβές να κριθεί πλήρως σε αυτό το στάδιο η αποτελεσματικότητα του.

Αξίζει να σημειωθεί ότι στις 21 Ιανουαρίου του 2019 επεβλήθη στην Google πρόστιμο ρεκόρ €50.000.000…τα μηδενικά να ρέουν παρακαλώ! Η Google άσκησε έφεση, η οποία απερρίφθη από το Γαλλικό Ανώτατο Δικαστήριο στα τέλη του Ιουνίου του 2020. Το τελευταίο ισχυρίστηκε ότι νόμιμα και εύλογα επεβλήθη το εν λόγω πρόστιμο, μίας και η Google δεν παρείχε ακριβή και πλήρη ενημέρωση στους χρήστες της, αναφορικά με το χρονικό διάστημα διατήρησης, τους σκοπούς και τις διάφορες διαδικασίας επεξεργασίας των δεδομένων τους. Αξίζει να σημειωθεί πως εταιρίες όπως η Google μέχρι σήμερα δείχνουν πως δεν έχουν συμμορφωθεί πλήρως στις απαιτήσεις του GDPR ενώ πρόβλημα αποτελεί όπως αναφέρει η Monique Goyens, διευθύντρια του Ευρωπαϊκού Οργανισμού Καταναλωτών, η καθυστέρηση στους έλεγχους προστασίας προσωπικών δεδομένων η οποία θέτει σε κίνδυνο την εμπιστοσύνη των πολιτών στις αρχές αλλά και μειώνει την αξιοπιστία του GDPR.

Επίσης, δεν έχει γίνει απολύτως κατανοητό έως και αυτή την φάση πώς θα επιτευχθεί πλήρης διαφάνεια ως προς την χρήση των προσωπικών δεδομένων κάθε φορά που μία επιχείρηση συμβάλλεται με τρίτα μέρη.

Εκτός αυτού, επίμαχο θέμα αποτελεί η προϋπόθεση ενημέρωσης εντός 72 ωρών σε περίπτωση παραβίασης των προσωπικών δεδομένων των χρηστών. Συγκεκριμένα, υπάρχει προβληματισμός αναφορικά με το πότε ξεκινά η προθεσμία των 72 ωρών: Aπό τότε που η εταιρία αντιλαμβάνεται και ερευνά ένα περιστατικό που θα μπορούσε ή όχι να συνιστά παραβίαση προσωπικών δεδομένων ή από τότε που έχει επιτελέσει την σχετική έρευνα της και έχει αποδώσει τον χαρακτηρισμό της “παραβίασης”;

Νομίζετε ότι αυτά είναι μακρινές θεωρίες; Και όμως! Για τους χρήστες του Facebook δεν είναι, μίας και η εν λόγω διαδικτυακή πλατφόρμα έκανε πάνω από δύο μήνες για να αναφέρει παραβίαση προσωπικών δεδομένων, κατά το οποίο προσωπικές φωτογραφίες άνω των 6.8 εκατομμύριων χρηστών έγιναν προσβάσιμες, εννοείται χωρίς την έγκριση των τελευταίων, σε πάνω από 1.500 εφαρμογές που είχαν εγκατασταθεί από 876 διαφορετικούς προγραμματιστές. Το FB ισχυρίστηκε ότι όλο αυτό το διάστημα πραγματοποιούσε σχετική έρευνα του περιστατικού και έκανε εκτίμηση της έκτασης του πριν του αποδώσει τον χαρακτηρισμό της παραβίασης.

Ωστόσο, το GDPR (Art.33) δίνει προθεσμία σε μία εταιρία από την στιγμή που ενημερωθεί για την παραβίαση, εντός 72 ωρών, να πραγματοποιήσει έρευνα, να ενημερώσει τα υπεύθυνα όργανα και τους ενδιαφερόμενους χρήστες και να συγκεκριμενοποιήσει ποία δεδομένα έχουν “προσβληθεί” και ποία θα είναι τα μέτρα αντιμετώπισης αυτής της παραβίασης. Αυτή η προθεσμία μπορεί να θεωρηθεί αρκετά σύντομη, εδικά αν ληφθεί υπόψιν ότι μπορεί να πάρει εβδομάδες πριν μία επιχείρηση αντιληφθεί την παραβίαση, η οποία παραβίαση μπορεί να αφορά εκατομμύρια χρήστες, καθώς και ευρεία γκάμα δεδομένων και  με πολλές περιπτώσεις την ύπαρξη δυσκολίας στην εξιχνίαση της προέλεσης της παραβιάσεως. Για αυτό το λόγο, είναι απαραίτητο να έχουν ληφθεί εκ των προτέρων όλα τα απαραίτητα μέτρα προστασίας και να έχουν τεθεί εν ενεργεία όλοι οι μηχανισμοί ασφαλούς διαχείρησης των δεδομένων των χρηστών.

Ακόμα, το GDPR επιδρά στην καινοτομία και στη διαθεσιμότητα δωρεάν υπηρεσιών. Για παράδειγμα, αρκετές αμερικάνικες ιστοσελίδες αρνούνται την είσοδο σε Ευρωπαίους πολίτες και αρκετές εφαρμογές δεν διατίθενται πλέον δωρεάν. Βεβαία, να σημειώσουμε ότι σύνηθες φαινόμενο, ειδικά προ του Κανονισμού, ήταν πολλές υπηρεσίες και εφαρμογές που διατίθονταν δωρεάν να χρησιμοποιούν τα προσωπικά μας δεδομένα μέχρι και της ακριβούς τοποθεσίας μας μέσω GPS, ακόμα και όταν εμείς διαγράφαμε τις εν λόγω εφαρμογές, π.χ. περίπτωση παραβίασης προσωπικών δεδομένων μέσω εφαρμογής παιχνιδιού Angry Birds. Περιττό να σας αναφέρω ότι σε πολλές περιπτώσεις τα δεδομένα αυτά γίνονταν αντικείμενο αγοραπωλησίας μεταξύ των εταιριών που λάμβαναν τα δεδομένα προς τρίτες, άγνωστες στους χρήστες, εταιρίες.

Εν συντομία, όλες οι επιχειρήσεις καλούνται να γνωρίζουν πλήρως το ισχύον νομοθετικό καθεστώς επί των προσωπικών δεδομένων, να είναι σε θέση να κάνουν ασφαλή διαχείριση και επεξεργασία των τελευταίων, να μπορούν να αξιολογήσουν ποίες δράσεις θα μπορούσαν να δημιουργήσουν ρίσκα περί της ασφάλειας τυχόν ευαίσθητων δεδομένων, καθώς και να αναβαθμίσουν ή να εγκαταστήσουν συστημάτα ασφαλείας και σε περίπτωση διαχείρισης μεγάλου αριθμού δεδομένων ή λόγω της φύσεως των δεδομένων να προσλάβουν ειδικό προσωπικό, π.χ. DPO. Το τελευταίο αφορά κατά κύριο λόγο τις εταιρίες που απασχολούν προσωπικό άνω των 250 ατόμων ή όταν διαχειρίζονται πάνω από 5.000 αρχεία δεδομένων. 

Τέλος, το GDPR δεν είναι ο παράδεισος των προσωπικών δεδομένων αλλά σίγουρα είναι σε θέση να προσφέρει ικανοποιητικές λύσεις σε καίρια και συνήθη προβλήματα κατάχρησης και οικονομικής εκμετάλλευσης των προσωπικών δεδομένων των χρηστών. Δεν πρέπει να ξεχνάμε ότι όπως οι πολίτες έχουν, τουλάχιστον κατά το γράμμα του νόμου, αναμφισβήτα δικαίωματα και ελευθερίες εντός της κοινωνίας που ζουν και εδράζονται, έτσι και στην ψηφιακή κοινωνία στην οποία τα δεδομένα μας, συνιστούν το μέσο παρουσίας μας και συμμετοχής μας σε αυτήν, χρειάζεται αυτά να εκπέμπουν την ίδια ισχύ και να χαίρουν του ανάλογου σεβασμού από τις διαδικτυακές υπηρεσίες. Ο σεβασμός των προσωπικών μας δεδομένων αρύεται από το σεβασμό της ανθρώπινης αξίας και αξιοπρέπειας, η οποία συχνά μοιάζει έννοια ακατάληπτη στη γλώσσα του χρήματος και των μεγάλων συμφερόντων.

Μαριάντζελα Φραγγή, Δικηγόρος- LL.M Εμπορικού και Εταιρικού Δικαίου

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *