Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR – General Data Protection Regulation) έχει μπει τα τελευταία δύο χρόνια στην καθημερινότητα των επιχειρήσεων. Στόχος του είναι η ομοιόμορφη και αποτελεσματική προστασία των προσωπικών δεδομένων των πολιτών σε ένα περιβάλλον διαρκούς τεχνολογικής εξέλιξης και ελεύθερης ροής της πληροφορίας.
Με την υιοθέτηση του Κανονισμού, σημειώνει ο ΣΕΒ, ενισχύθηκαν τα δικαιώματα των πολιτών και διευρύνθηκε η προστασία τους, αυξήθηκαν οι απαιτήσεις για τις επιχειρήσεις, αλλά και θεσπίστηκαν υψηλά πρόστιμα για τις περιπτώσεις μη συμμόρφωσης.
Οι επιχειρήσεις έχουν επωμιστεί το κύριο βάρος της συμμόρφωσης, καθώς όλες, σε κάποιο βαθμό, επεξεργάζονται και διαχειρίζονται δεδομένα προσωπικού χαρακτήρα (πελατών, προμηθευτών, εργαζομένων, επισκεπτών κ.λπ.). Στην πράξη, δεν υπάρχει επιχείρηση με δραστηριότητα στην ΕΕ, ανεξαρτήτως κλάδου και μεγέθους, που να μην δεσμεύεται από τους σχετικούς κανόνες.
Πέρα από την υποχρέωση συμμόρφωσης, η σωστή εφαρμογή των κανόνων του GDPR μπορεί να βοηθήσει στην ενίσχυση της ανταγωνιστικότητας και στην ενδυνάμωση των σχέσεων εμπιστοσύνης μεταξύ πολιτών και επιχειρήσεων. Χαρακτηριστικά αναφέρεται πως το 32% των καταναλωτών παγκοσμίως δίνει ουσιαστική σημασία στην προστασία των δεδομένων και για 9 στους 10 από αυτούς αποτελεί το πιο σημαντικό στοιχείο στις αγορές τους.
Παράλληλα, επιταχύνει τη διείσδυση ψηφιακών εργαλείων, ενώ ενισχύει τις προσπάθειες για τη διασφάλιση ισότιμων όρων ανταγωνισμού σε ευρωπαϊκό επίπεδο.
Ο ΣΕΒ υποστηρίζει ήδη από το 2018 τις επιχειρήσεις μέλη του, ώστε η μετάβασή τους στην GDPR εποχή να είναι ομαλή και επωφελής. Επιδιώξαμε όχι μόνο την καθοδήγηση με πρακτικές συμβουλές για τις απαιτήσεις του Κανονισμού, αλλά και την εμπέδωση μιας συνολικής αλλαγής νοοτροπίας συμμόρφωσης. Με σχετική εκδήλωση, Special Report και ειδική μελέτη ο GDPR παρουσιάστηκε όχι απλά σαν ένα κανονιστικό βάρος, αλλά ως μια ευκαιρία αλλαγής του επιχειρηματικού μοντέλου και εργαλείου μετάβασης στην ψηφιακή εποχή.
Η εθνική προσαρμογή στον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR)
Η Ελλάδα ήταν η προτελευταία χώρα που προσάρμοσε το εθνικό της δίκαιο στον GDPR. Ο Ν.4624/2019 προσδιορίζει τα εθνικά μέτρα προσαρμογής στους κανόνες του GDPR, και εκσυγχρονίζει το εθνικό πλαίσιο με την επιδίωξη να αποκαταστήσει τη ρυθμιστική αβεβαιότητα στις ελληνικές επιχειρήσεις. Προσδιορίζει μια γενική νομική βάση επεξεργασίας προσωπικών δεδομένων από τους δημόσιους φορείς, ορίζει την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) ως εθνική εποπτική αρχή για την εφαρμογή του GDPR, αποσαφηνίζει το πλαίσιο επεξεργασίας προσωπικών δεδομένων στις σχέσεις απασχόλησης, θεσπίζει όρια ηλικίας για την έγκυρη συγκατάθεση, εισάγει περιορισμούς στην άσκηση των δικαιωμάτων των πολιτών, ενώ ορίζει και ζητήματα όπως η διαπίστευση των φορέων πιστοποίησης συμμόρφωσης στον GDPR, η εκπροσώπηση υποκειμένων δεδομένων από συλλογικούς φορείς και οι ποινικές και διοικητικές κυρώσεις.
Ωστόσο, όπως τονίζει και σχετική γνωμοδότηση της ΑΠΔΠΧ (υπ’ αριθμ. 1/2020), ο εθνικός νόμος περιλαμβάνει διατάξεις αμφίβολης συμβατότητας προς τον GDPR ή διατάξεις που χρειάζονται ερμηνεία, και επιφυλάσσεται για την εφαρμογή τους. Χαρακτηριστικά αναφέρονται η ελλιπής εξειδίκευση της νόμιμης επεξεργασίας ειδικών κατηγοριών προσωπικών δεδομένων, των προσωπικών δεδομένων των εργαζόμενων, αλλά και η εισαγωγή ευρειών εξαιρέσεων στην ικανοποίηση δικαιωμάτων πολιτών.
Πρώτη αξιολόγηση του GDPR
Τον Ιούνιο του 2020 η Ευρωπαϊκή Επιτροπή δημοσίευσε την πρώτη έκθεση αξιολόγησης του GDPR. Η γενική εκτίμηση είναι ότι ο Κανονισμός εκπλήρωσε επιτυχώς τους δύο κύριους στόχους του, δηλαδή την ενίσχυση της προστασίας προσωπικών δεδομένων και τη διασφάλιση της ελεύθερης ροής τους εντός της ΕΕ. Από τον Μάιο 2018 έχουν υποβληθεί στις διάφορες εποπτικές αρχές των κρατών μελών της ΕΕ περισσότερες από 275.000 καταγγελίες για παραβιάσεις προσωπικών δεδομένων, ενώ εκτιμάται ότι το 69% των πολιτών της ΕΕ άνω των 16 ετών έχουν ακούσει για τον GDPR (Δ6). Σημαντική παρακαταθήκη για τη συνεκτική κατανόηση και εφαρμογή των νέων κανόνων αποτελεί και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) που εκδίδει κατευθυντήριες γραμμές για την παροχή διευκρινίσεων σε καίρια θέματα του GDPR (Δ7).
Όμως, όπως υπογραμμίζει και η Ευρωπαϊκή Επιτροπή, παραμένουν ζητούμενα η πλήρης εναρμόνιση των εθνικών νομοθεσιών στον GDPR, η αποτροπή εθνικών υπερβάσεων (gold plating) και η ενίσχυση του συστήματος επιτήρησης της εφαρμογής και επιβολής του GDPR με αναβαθμισμένη συνεργασία των εθνικών εποπτικών αρχών και επαρκή χρηματοδότησή τους. Άλλες προκλήσεις μετά από αυτή την πρώτη περίοδο εφαρμογής περιλαμβάνουν την υποστήριξη πολιτών και επιχειρήσεων στην εφαρμογή του GDPR από ΕΕ και εθνικές εποπτικές αρχές με την παροχή πρακτικών και εύκολα κατανοητών οδηγιών και εργαλείων, τη συνεχή επιτήρηση από την ΕΕ της εφαρμογής του GDPR σε νέες τεχνολογίες (όπως AI και Blockchain) και την επέκταση των συμφωνιών της ΕΕ με τρίτες χώρες.
Οι προκλήσεις που έρχονται σε ευρωπαϊκό επίπεδο
Η επόμενη σημαντική εξέλιξη στο πεδίο της προστασίας των προσωπικών δεδομένων και της ιδιωτικότητας στην Ευρώπη αναμένεται να είναι η υιοθέτηση ενός νέου Κανονισμού e-Privacy που θα αντικαταστήσει την Οδηγία 2002/58/ΕΚ για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες. Επίσης, επιδιώκεται η αξιοποίηση των διαρκώς αυξανόμενων δεδομένων ως πηγή καινοτομίας και μοχλός ανάπτυξης. Σε αυτή την κατεύθυνση, η ΕΕ υιοθέτησε στις αρχές του 2020 την Ευρωπαϊκή Στρατηγική για τα Δεδομένα, για τη δημιουργία μιας ενιαίας ευρωπαϊκής αγοράς δεδομένων με ομοιόμορφους κανόνες και κοινούς χώρους δεδομένων σε στρατηγικούς τομείς, όπως η μεταποίηση, η υγεία και η ενέργεια.
Προτάσεις του ΣΕΒ για την επόμενη μέρα του GDPR
Για την εθνική νομοθεσία
1. Αποσαφήνιση καίριων ζητημάτων εφαρμογής, όπως: σαφέστερο πλαίσιο επεξεργασίας προσωπικών δεδομένων στις εργασιακές σχέσεις, προστασίας των δεδομένων ανηλίκων, προϋποθέσεων επιβολής κυρώσεων.
2. Διευθέτηση των αποκλίσεων εντός τους πλαισίου του GDPR και εξειδίκευση των απαιτήσεων εφαρμογής τους (π.χ. ειδικές κατηγορίες προσωπικών δεδομένων).
3. Συνεκτίμηση των αξιολογήσεων της ΑΠΔΠΧ και της Ευρωπαϊκής Επιτροπής και διεξαγωγή δημοσίου διαλόγου με τη συμμετοχή των επιχειρήσεων.
Για την Εποπτική Αρχή
4. Εντατικοποίηση των συστάσεων και κατευθυντήριων γραμμών σε ζητήματα εφαρμογής των κανόνων προστασίας προσωπικών δεδομένων, και αξιοποίηση διεθνών καλών πρακτικών.
5. Εμπέδωση του πρωταρχικού ρόλου της ΑΠΔΠΧ έναντι της δημόσιας διοίκησης, πολιτών και επιχειρήσεων στην αξιολόγηση και εφαρμογή των κανόνων για τα προσωπικά δεδομένα.
6. Πλήρης ενεργοποίηση της εργαλειοθήκης του GDPR με εγκεκριμένους κώδικες δεοντολογίας και ολοκλήρωση των συμπληρωματικών απαιτήσεων διαπίστευσης φορέων πιστοποίησης συμμόρφωσης.
7. Επαρκής στελέχωση και χρηματοδότηση της ΑΠΔΠΧ.
Για το ευρωπαϊκό πλαίσιο
8. Παρακολούθηση ρυθμιστικών εξελίξεων και του έργου των εποπτικών αρχών στα κράτη-μέλη για την ενιαία ερμηνεία και εφαρμογή των κανόνων του GDPR.
9. Εναρμόνιση νεότερων ρυθμιστικών πρωτοβουλιών της ΕΕ για τη διαχείριση των δεδομένων στο πλαίσιο του GDPR.
10. Πρακτική καθοδήγηση για την ενιαία εφαρμογή του GDPR με έμφαση στην προσαρμογή τους στις απαιτήσεις των νέων τεχνολογιών και διαμόρφωση εργαλείων-προτύπων για την υποστήριξη της συμμόρφωσης τους.
Για τις επιχειρήσεις
11. Διαρκής ενημέρωση για τις υποχρεώσεις τους και αποτελεσματικοί μηχανισμοί διακυβέρνησης για την τήρηση των κανόνων συμμόρφωσης.
12. Επικαιροποίηση πολιτικών προστασίας των προσωπικών δεδομένων και σχετικών ενημερώσεων και διατήρηση λειτουργικών, και φιλικών προς τον χρήστη εργαλείων άσκησης δικαιωμάτων.
13. Επιλογή συνεργατών με διαπιστωμένες επαρκείς εγγυήσεις συμμόρφωσης και ακριβής χαρακτηρισμός των GDPR ρόλων σε κάθε σχέση συνεργασίας.
14. Επανεξέταση συμβατότητας των πολιτικών και εργαλείων συμμόρφωσης υπό το πρίσμα των ρυθμιστικών εξελίξεων ως προς την επεξεργασία προσωπικών δεδομένων των εργαζομένων.
15. Πλήρης προσαρμογή των ψηφιακών δραστηριοτήτων και εργαλείων (ιστοσελίδες, mobile εφαρμογές, κλπ.).
Για τους πολίτες / καταναλωτές
16. Μεγαλύτερη εξοικείωση με τα δικαιώματά τους και τους τρόπους αποτελεσματικής περιγραφής και άσκησης αιτημάτων τους.
17. Διεκδίκηση πληρέστερης ενημέρωσης για τις συνέπειες της επεξεργασίας των προσωπικών τους δεδομένων και τα δικαιώματά τους. Ενίσχυση εκπαιδευτικών δράσεων και προγραμμάτων ενημέρωσης εποπτικής Αρχής και δημόσιας διοίκησης με τη συμβολή των επιχειρήσεων.