«Ενθαρρυντικά» χαρακτηρίζει ο πρόεδρος της Αρχής Δεδομένων Προσωπικού Χαρακτήρα (ΑΔΠΧ) Κων. Μενουδάκος τα έως τώρα στοιχεία από την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων, σε μήνυμά του με αφορμή τη συμπλήρωση, σήμερα, τριών ετών από την έναρξη εφαρμογής του Κανονισμού.
Όπως επισημαίνει ο κ. Μενουδάκος ο Κανονισμός «δεν αποτελεί μόνο ένα νέο ισχυρό νομοθετικό πλαίσιο αλλά διαμορφώνει και μια νέα κουλτούρα ευθύνης και συμμόρφωσης για τις επιχειρήσεις και τους οργανισμούς». Παράλληλα, στο μήνυμά του ο πρόεδρος της ανεξάρτητης Αρχής αναφέρεται στην πανδημία της Covid 19 και επισημαίνει πως ένα από τα πλέον σημαντικά ζητήματα που απασχολούν την ΕΕ είναι η θέσπιση του «ευρωπαϊκού ψηφιακού πιστοποιητικού COVID». Αναφορικά με το ζήτημα αυτό ο κ. Μενουδάκος χαρακτηρίζει «θετική εξέλιξη» στο ζήτημα του ευρωπαϊκού ψηφιακού πιστοποιητικού COVID, την «σχετική προσωρινή συμφωνία της 21/5 που επετεύχθη μεταξύ Ευρωπαϊκού Κοινοβουλίου και Συμβουλίου, όπου γίνεται ρητή αναφορά στις ασφαλιστικές δικλείδες για την προστασία των δεδομένων βάσει του Κανονισμού».
Ακόμη, ο πρόεδρος της ανεξάρτητης αρχής σε άλλο σημείο του μηνύματός του σημειώνει πως η πανδημία «δεν μπορεί να αποτελέσει αφορμή για την εγκαθίδρυση μιας οιονεί επιτήρησης εν ονόματι της δημόσιας υγείας και της δημόσιας ασφάλειας», ενώ υπενθυμίζει την υποχρέωση «των αρμόδιων οργάνων της Πολιτείας να συμπληρωθεί η συγκρότηση της Αρχής, η οποία το τελευταίο διάστημα, μάλιστα, λειτουργεί ακριβώς στο όριο της απαρτίας λόγω λήξης της θητείας ορισμένων μελών και παραίτησης κάποιων άλλων».
Αναλυτικά στο μήνυμά του ο κ. Μενουδάκος αναφέρει τα εξής:
«Σήμερα συμπληρώνονται τρία χρόνια από τις 25/5/2018, την ημερομηνία ορόσημο για την έναρξη εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων, η οποία σηματοδότησε θετικές εξελίξεις για το δικαίωμα στην προστασία των προσωπικών δεδομένων, παρά την ανάδυση πρόσθετων προκλήσεων. Η σημασία του Κανονισμού αναδεικνύεται και κατά την παρούσα περίοδο, στο πλαίσιο των δεδομένων που δημιουργήθηκαν λόγω της παγκόσμιας πανδημίας.
Ο Κανονισμός (ΕΕ) 2016/679 προσάρμοσε στα νέα δεδομένα της ψηφιακής εποχής και εκσυγχρόνισε τις αρχές που θεσπίστηκαν με την Οδηγία του 1995 για την προστασία των προσωπικών δεδομένων. Καθόρισε τα δικαιώματα των φυσικών προσώπων και τις υποχρεώσεις των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία. Καθόρισε, επίσης, νέα μέσα για την εξασφάλιση της συμμόρφωσης καθώς και κυρώσεις για όσους παραβιάζουν τους κανόνες.
Τα δείγματα γραφής από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, τις εθνικές αρχές προστασίας δεδομένων και τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων είναι έως τώρα ενθαρρυντικά. Σε γενικές γραμμές, η εναρμόνιση των υπευθύνων/εκτελούντων την επεξεργασία δεδομένων με τους νέους κανόνες φαίνεται ότι σταδιακά αυξάνεται και συγχρόνως οι πολίτες γνωρίζουν καλύτερα τα δικαιώματά τους. Επιπλέον, οι εθνικές εποπτικές αρχές επιβάλλουν τους κανόνες αξιοποιώντας και τις ενισχυμένες διορθωτικές εξουσίες τους. Χρειάζεται, βέβαια, περισσότερος χρόνος για να εξαχθούν οριστικά συμπεράσματα σχετικά με την προσαρμογή στις απαιτήσεις της νέας νομοθεσίας, δεδομένου ότι ο Κανονισμός δεν αποτελεί μόνο ένα νέο ισχυρό νομοθετικό πλαίσιο αλλά διαμορφώνει και μια νέα κουλτούρα ευθύνης και συμμόρφωσης για τις επιχειρήσεις και τους οργανισμούς. Σε κάθε περίπτωση, η εφαρμογή των νέων κανόνων είναι μια δυναμική διαδικασία, για την οποία απαιτούνται διαρκείς και συστηματικές προσπάθειες.
Τους τελευταίους 15 μήνες βιώνουμε πρωτόγνωρες συνθήκες όπου λόγω της παγκόσμιας πανδημίας η προστασία της δημόσιας υγείας αποτελεί δικαιολογημένα τη βασικότερη προτεραιότητα. Μέσα σε αυτή την πρωτοφανή κρίση προκύπτουν συνεχώς ζητήματα που άπτονται της προστασίας των προσωπικών δεδομένων και της ιδιωτικής ζωής. Από την πρώτη περίοδο επιβολής των περιοριστικών μέτρων καταπολέμησης του κορωνοϊού το ζήτημα της νομιμότητάς τους, από την άποψη της προστασίας των προσωπικών δεδομένων, έχει απασχολήσει το Ευρωπαϊκό Κοινοβούλιο και την Ευρωπαϊκή Επιτροπή, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και τις εθνικές εποπτικές αρχές προστασίας δεδομένων −αρκετές από τις οποίες, μεταξύ των οποίων και η ελληνική, εξέδωσαν σχετικές ανακοινώσεις ή κατευθυντήριες οδηγίες− και τέλος τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.
Είναι αξιοσημείωτο ότι οι ανεξάρτητες εποπτικές αρχές έχουν επιφορτιστεί με το δυσχερές έργο της προσπάθειας για εξισορρόπηση της προστασίας της ιδιωτικής ζωής και του δικαιώματος του πληροφοριακού αυτοκαθορισμού με την εξυπηρέτηση του γενικότερου κοινωνικού συμφέροντος. Πρόκειται για ιδιαίτερα δύσκολες σταθμίσεις καθώς εφαρμόζονται σε δεδομένες κάθε φορά πραγματικές συνθήκες στο πεδίο των αλληλοσυγκρουόμενων ατομικών και κοινωνικών δικαιωμάτων. Σταδιακά οι διάφοροι περιορισμοί λόγω πανδημίας αίρονται. Άλλωστε, η παράτασή τους πέρα από τον αναγκαίο χρόνο προκειμένου να αντιμετωπιστεί η απειλή για τη δημόσια υγεία θα συνιστούσε παραβίαση των δικαιωμάτων και ελευθεριών των φυσικών προσώπων. Αλλιώς ειπωμένο, η πανδημία δεν μπορεί να αποτελέσει αφορμή για την εγκαθίδρυση μιας οιονεί επιτήρησης εν ονόματι της δημόσιας υγείας και της δημόσιας ασφάλειας.
Ένα σημαντικό ζήτημα που απασχολεί την ΕΕ σε αυτή την κρίσιμη συγκυρία είναι η θέσπιση του «ευρωπαϊκού ψηφιακού πιστοποιητικού COVID», το οποίο θα διευκολύνει την ασφαλή και ελεύθερη κυκλοφορία κατά τη διάρκεια της πανδημίας. Θετική εξέλιξη αποτελεί η σχετική προσωρινή συμφωνία της 21/5 που επετεύχθη μεταξύ Ευρωπαϊκού Κοινοβουλίου και Συμβουλίου, όπου γίνεται ρητή αναφορά στις ασφαλιστικές δικλείδες για την προστασία των δεδομένων βάσει του Κανονισμού. Είχε προηγηθεί στις αρχές Απριλίου η γνωμοδότηση (4/2021) του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων επί της πρότασης Κανονισμού της Ευρωπαϊκής Επιτροπής στην οποία τονίζεται ότι η θέσπιση του ανωτέρω πιστοποιητικού πρέπει να είναι πλήρως ευθυγραμμισμένη με τη νομοθεσία για την προστασία των προσωπικών δεδομένων και σε καμία περίπτωση να μην αποτελεί, άμεση ή έμμεση, μορφή διάκρισης μεταξύ των πολιτών, ενώ παράλληλα θα πρέπει να γίνονται σεβαστές οι θεμελιώδεις αρχές της αναγκαιότητας, της αναλογικότητας και της αποτελεσματικότητας.
Η Αρχή Προστασίας Δεδομένων, παρά την ελλιπή στελέχωσή της, παραμένει προσηλωμένη στην επίτευξη της αποστολής που της έχει αναθέσει η Πολιτεία, καταβάλλοντας εντατικές προσπάθειες για τη μέγιστη δυνατή αποτελεσματικότητα του έργου της. Μεταξύ των πολλών και σύνθετων αρμοδιοτήτων της τα τελευταία 3 έτη εφαρμογής του Κανονισμού, η Αρχή εξέδωσε σημαντικές αποφάσεις επιβάλλοντας με κάποιες από αυτές πρόστιμα αλλά και απευθύνοντας συστάσεις, προειδοποιήσεις ή επιπλήξεις σε υπευθύνους επεξεργασίας δεδομένων. Συγχρόνως, ανέλαβε πρωτοβουλίες για την οργάνωση δράσεων ενημέρωσης – ευαισθητοποίησης των πολιτών για τα δικαιώματά τους και των φορέων για τις υποχρεώσεις τους, εγκαινιάζοντας επίσης τη νέα, πλήρως αναβαθμισμένη, διαδικτυακή της πύλη (www.dpa.gr) στις αρχές του 2021. Στο πλαίσιο των αρμοδιοτήτων της η Αρχή, προκειμένου να διευκολύνει τη συμμόρφωση των μικρομεσαίων επιχειρήσεων, υλοποιεί αυτή την περίοδο σχετικό έργο («byDesign») για την παροχή εξειδικευμένης καθοδήγησης με τη μορφή εργαλειοθήκης συμμόρφωσης.
Φαίνεται ότι πλέον οι μεγάλες επιχειρήσεις, σε αντίθεση με τις μικρομεσαίες και τους μεμονωμένους ελεύθερους επαγγελματίες, έχουν συμμορφωθεί σε μεγάλο βαθμό με τον Κανονισμό. Ωστόσο, διαπιστώνεται συχνά εσφαλμένη εφαρμογή των διατάξεων που αναφέρονται στον Υπεύθυνο Προστασίας Δεδομένων (DPO) καθώς και εσφαλμένη εφαρμογή και ερμηνεία των νομικών βάσεων. Επιπλέον, την Αρχή απασχολεί συχνά και η καθυστερημένη ή και η μη πλήρης ικανοποίηση των δικαιωμάτων των υποκειμένων των δεδομένων, ιδίως αυτό της πρόσβασης αλλά και της διαγραφής. Επίσης, η Αρχή έχει λάβει σειρά γνωστοποιήσεων παραβίασης δεδομένων, από την επεξεργασία των οποίων προκύπτει ότι ορθά ερμηνεύεται κατά κανόνα η έννοια του κινδύνου και με τη συνδρομή της αντιμετωπίζονται ικανοποιητικά οι συνέπειες από τα σχετικά περιστατικά.
Στη σημερινή εποχή των καινοφανών διακινδυνεύσεων για την ιδιωτικότητα, προκειμένου η Αρχή να ανταποκριθεί πληρέστερα στην αποστολή της τόσο στον ελεγκτικό όσο και στον ενημερωτικό και καθοδηγητικό τομέα δράσης της, απαιτείται να εξασφαλίζονται οι προϋποθέσεις και για την αποτελεσματική λειτουργία της. Και, βεβαίως, αποτελεί πρωταρχική ανάγκη και υποχρέωση των αρμόδιων οργάνων της Πολιτείας να συμπληρωθεί η συγκρότηση της Αρχής, η οποία το τελευταίο διάστημα, μάλιστα, λειτουργεί ακριβώς στο όριο της απαρτίας λόγω λήξης της θητείας ορισμένων μελών και παραίτησης κάποιων άλλων.
Η προσήλωση στη διασφάλιση των ανθρώπινων δικαιωμάτων εν μέσω τεχνολογικών προκλήσεων είναι ένας αγώνας διαρκείας που βρίσκεται στον πυρήνα των αξιών της ΕΕ και από το αποτέλεσμα αυτoύ θα κριθεί η ποιότητα των σύγχρονων δημοκρατιών στην αυγή της νέας «κανονικότητας».
Στοιχεία
Ακόμη, σύμφωνα με στοιχεία που παραθέτει ο πρόεδρος της ανεξάρτητης Αρχής για την εξέλιξη και τον αριθμό των περιστατικών που δέχθηκε από το 2018 έως σήμερα, προκύπτουν τα εξής:
-Από 25/5/2018 έως 24/5/2021 έχουν υποβληθεί στην Αρχή 2.932 προσφυγές-καταγγελίες. Από αυτές έχουν διεκπεραιωθεί οι 1.561 και 1.371 προσφυγές-καταγγελίες είναι υπό εξέταση.
-Τα περιστατικά παραβίασης που έχουν γνωστοποιηθεί από 25/5/2018 μέχρι 24/5/2021 στο πλαίσιο της υποχρέωσης του Γενικού Κανονισμού Προστασίας Δεδομένων είναι 418.
– Αντίστοιχα, οι γνωστοποιήσεις παραβίασης δεδομένων στο πλαίσιο της υποχρέωσης που απορρέει από τη νομοθεσία για τις ηλεκτρονικές επικοινωνίες (ν. 3471/2006) είναι 94.