GDPR security data protection
Πηγή Εικόνας: Pete Linforth / Pixabay

Του Θοδωρή Καραουλάνη

Σήμερα, 25 Μαϊου, ο Γενικός Κανονισμός για την Προστασία Δεδομένων, γνωστός σε πολλούς ως GDPR, από τα αγγλικά αρχικά του (ΓΚΠΔ στα ελληνικά), συμπληρώνει πέντε χρόνια από την έναρξη εφαρμογής του.

Η εισαγωγή του αντιμετωπίστηκε από την αγορά με αρνητισμό και επιφύλαξη, λόγω των νέων υποχρεώσεων που επιφύλασσε για όλες τις επιχειρήσεις και οργανισμούς. Όμως γρήγορα η εικόνα άλλαξε: η γρήγορη προσαρμογή του κράτους αλλά και η ενσωμάτωση κανόνων από μεγάλες επιχειρήσεις, η επιβολή προστίμων από τις αρχές και η συνειδητοποίηση από τους πολίτες ότι πράγματι υπάρχει πλαίσιο προστασίας, άλλαξε την εικόνα. Τώρα πλέον φαίνεται ότι το κρίσιμο στοίχημα είναι η εφαρμογή από τις μικρές και πολύ μικρές επιχειρήσεις με κατάλληλο τρόπο ώστε να μην αποτελεί μεγάλο κόστος αλλά ουσιαστική προστασία των πελατών τους.

Από πλευράς Κομισιόν, για να τιμήσουν την περίσταση, η Věra Jourová, Αντιπρόεδρος για τις Αξίες και τη Διαφάνεια, και ο Didier  Reynders, Επίτροπος για τη Δικαιοσύνη, εξέδωσαν την ακόλουθη δήλωση:

«Πριν από πέντε χρόνια, το 2018, τέθηκε σε ισχύ ένα πρωτοποριακό νομοθέτημα: ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ). Αυτό το ιστορικής σημασίας νομοθέτημα έδωσε τη δυνατότητα στους πολίτες να αποκτήσουν πραγματικό έλεγχο επί των δεδομένων τους και δημιούργησε ισότιμους όρους ανταγωνισμού για τις επιχειρήσεις.

Ο ΓΚΠΔ συνέβαλε αποφασιστικά στη διαμόρφωση της ψηφιακής μετάβασης της ΕΕ. Όχι μόνο θεσπίσαμε παγκόσμια πρότυπα για την ασφαλή ρύθμιση των ροών δεδομένων, αλλά θέσαμε επίσης τα θεμέλια για μια ανθρωποκεντρική προσέγγιση της χρήσης της τεχνολογίας.

Ο ΓΚΠΔ ενίσχυσε και εναρμόνισε το θεμελιώδες δικαίωμα στην προστασία των δεδομένων για όλους τους πολίτες της ΕΕ. Τα φυσικά πρόσωπα έχουν πλέον το δικαίωμα να γνωρίζουν ποια δεδομένα τους χρησιμοποιούνται και για ποιον σκοπό. Μπορούν να ασκούν τα δικαιώματα πρόσβασης, διόρθωσης και διαγραφής των δεδομένων τους.»

 

Και στη δήλωσή τους οι αρμόδιοι  Ευρωπαίοι Επίτροποι συνεχίζουν, λέγοντας ότι:

«Στην καρδιά του GDPR βρίσκεται η εμπιστοσύνη. Εμπιστοσύνη στους πολίτες ότι τα προσωπικά τους δεδομένα είναι ασφαλή. Εμπιστοσύνη στις επιχειρήσεις στο ανταγωνιστικό πλεονέκτημα που παρέχει το ρυθμιστικό μας πλαίσιο. Κοιτάζοντας πίσω, δημιουργήσαμε με επιτυχία μια σύγχρονη κουλτούρα προστασίας δεδομένων στην Ευρώπη, η οποία υπήρξε πηγή έμπνευσης και σε άλλα μέρη του κόσμου. Υπάρχει ολοένα και μεγαλύτερη όρεξη από τους διεθνείς εταίρους μας, από την Αμερική μέχρι την Ασία ή την Αφρική, να αυξήσουν τα πρότυπα απορρήτου σε όλο τον κόσμο και, με αυτόν τον τρόπο, να διευκολύνουν επίσης την ελεύθερη και ασφαλή ροή δεδομένων. Αυτό είναι ένα winwin για τους πολίτες, το διεθνές εμπόριο και τη συνεργασία.

Η επιβολή του GDPR είναι ένα καθήκον που έχει ανατεθεί στις ανεξάρτητες εθνικές αρχές προστασίας δεδομένων και η ενδελεχής εφαρμογή του παραμένει κορυφαία προτεραιότητα για εμάς. Αυτός είναι ο λόγος για τον οποίο σύντομα θα προτείνουμε νέα νομοθεσία για την εναρμόνιση ορισμένων διαδικασιών συνεργασίας μεταξύ των αρχών προστασίας δεδομένων σε διασυνοριακές υποθέσεις — οι οποίες έχουν ξεπεράσει τις δύο χιλιάδες από το 2018. Είναι επίσης σημαντικό τα κράτη μέλη να παρέχουν τις εθνικές αρχές προστασίας δεδομένων με επαρκείς πόρους για το σημαντικό έργο τους. Από την έναρξη εφαρμογής του GDPRέχουν επιβληθεί πρόστιμα άνω των 2,5 δισεκατομμυρίων ευρώ από τις εθνικές αρχές προστασίας δεδομένων για παραβιάσεις του GDPR. 

Ο GDPR είναι θωρακισμένος για το μέλλον. Είναι το θεμέλιο του οπλοστασίου ψηφιακών νόμων της ΕΕ που διαμορφώνουν την οικονομία δεδομένων της ΕΕ, όπως ο νόμος για τα δεδομένα και ο νόμος για τη διακυβέρνηση δεδομένων. Το είδαμε κατά τη διάρκεια της πανδημίας COVID-19: ο Κανονισμός μας επέτρεψε και θα συνεχίσει να μας επιτρέπει να καθοδηγούμε την ασφαλή ανάπτυξη νέων τεχνολογιών. Ο GDPR είναι, και θα συνεχίσει να είναι, ένα σημαντικό εργαλείο για την ΕΕ προκειμένου να ανταποκριθεί στις σύγχρονες προκλήσεις και να θέσει ένα χρυσό πρότυπο προστασίας δεδομένων, τόσο στο εσωτερικό όσο και στο εξωτερικό».

Μενουδάκος: συστηματική προσπάθεια για την προστασία των προσωπικών δεδομένων όλων

Ο Πρόεδρος της Αρχής Προστασίας Δεδομένων (και πρώην ανώτατος δικαστής του ΣτΕ) Kωνσταντίνος Μενουδάκος, με αφορμή τα 5 χρόνια του GDPR, εξέδωσε την ακόλουθη δήλωση:

«Πέντε χρόνια μετά την έναρξη εφαρμογής του, στις 25/5/2018, ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) αποτελεί πλέον παγκόσμιο πρότυπο και συγχρόνως βρίσκεται στο επίκεντρο της νέας νομοθεσίας για την ενιαία ψηφιακή αγορά στην Ευρώπη.

Ειδικότερα, ο GDPR ενίσχυσε τα δικαιώματα των φυσικών προσώπων και επανακαθόρισε τις υποχρεώσεις των υπευθύνων επεξεργασίας, οι οποίες εν μέρει επεκτάθηκαν και στους εκτελούντες την επεξεργασία δεδομένων, δημιουργώντας έτσι ένα συνεκτικότερο νομοθετικό πλαίσιο.

Τα δείγματα γραφής από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB), στο οποίο συμμετέχει η ελληνική Αρχή, τον Ευρωπαίο Επόπτη Προστασίας δεδομένων (EDPS) και τις εθνικές αρχές προστασίας δεδομένων είναι έως τώρα ενθαρρυντικά. Σε γενικές γραμμές, η εναρμόνιση των υπευθύνων/εκτελούντων την επεξεργασία δεδομένων με τους νέους κανόνες φαίνεται ότι σταδιακά αυξάνεται και συγχρόνως οι πολίτες γνωρίζουν καλύτερα τα δικαιώματά τους.

Η Αρχή Προστασίας Δεδομένων ανταποκρίθηκε στον μέγιστο δυνατό βαθμό στις αρμοδιότητες και τα καθήκοντα που της ανατέθηκαν με τον ευρωπαϊκό Κανονισμό και τον εθνικό νόμο 4624/2019. Μεταξύ των πολλών δραστηριοτήτων της την τελευταία πενταετία, εξέτασε σημαντικά ζητήματα και εξέδωσε πλήθος αποφάσεων, γνωμοδοτήσεων και κατευθυντήριων γραμμών δίνοντας, παράλληλα, έμφαση και στην ενημέρωση-ευαισθητοποίηση των υποκειμένων των δεδομένων και των υπευθύνων και εκτελούντων την επεξεργασία δεδομένων.

Από την έναρξη της εφαρμογής του GDPR (25/5/2018) έχουν υποβληθεί στην Αρχή 5.508 καταγγελίες και 936 γνωστοποιήσεις παραβίασης δεδομένων. Κατά το ίδιο χρονικό διάστημα η Αρχή επέβαλε 92 πρόστιμα συνολικού ποσού 31.977.000 ευρώ, ύστερα από εξέταση καταγγελιών ή αυτεπάγγελτους ελέγχους. 

Αξιοσημείωτο είναι ότι το 2022 ολοκληρώθηκε με επιτυχία το συγχρηματοδοτούμενο από την Ευρωπαϊκή Επιτροπή έργο που υλοποίησε η Αρχή σε συνεργασία με το Πανεπιστήμιο Πειραιώς και την εταιρεία πληροφορικής ABOVO. Το έργο είχε ως στόχο τη διευκόλυνση της συμμόρφωσης των μικρομεσαίων επιχειρήσεων μέσω της παροχής εξειδικευμένης καθοδήγησης με τη μορφή εργαλειοθήκης συμμόρφωσης και την εξειδικευμένη ενημέρωση στην ανάπτυξη εφαρμογών και υπηρεσιών πληροφορικής σε θέματα προστασίας δεδομένων εκ σχεδιασμού και εξ ορισμού («byDesign»).

Επίσης, τoν Σεπτέμβριο 2022 εγκρίθηκε η πρόταση που υπέβαλε η Αρχή για τη χρηματοδότηση νέου έργου, με τον διακριτικό τίτλο «byDefault», με το οποίο προβλέπεται η δημιουργία ειδικής πλατφόρμας παροχής εξειδικευμένης ενημέρωσης προς υπευθύνους προστασίας δεδομένων (DPOs) και η δημιουργία εκπαιδευτικού υλικού σε θέματα προστασίας δεδομένων για μαθητές πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης. Και τα δύο έργα αποτελούν χαρακτηριστικά παραδείγματα των συστηματικών προσπαθειών που καταβάλλει η Αρχή και ως προς την ενημέρωση με σκοπό την ορθή εφαρμογή των κανόνων προστασίας των προσωπικών δεδομένων, παρά τα διαχρονικά προβλήματα που αντιμετωπίζει κυρίως λόγω της ελλιπούς στελέχωσής της.

Στη σημερινή ψηφιακή εποχή των μεγάλων προκλήσεων για την ιδιωτικότητα οι προσδοκίες της κοινωνίας και των πολιτών από την Αρχή Προστασίας Δεδομένων αυξάνονται. H Αρχή έχει χρέος να ξεπερνά κάθε είδους εμπόδια, ώστε να ανταποκρίνεται στις προσδοκίες τους. Για τον σκοπό αυτόν πρέπει και τα αρμόδια όργανα της Πολιτείας να εξασφαλίζουν ότι διαθέτει τα αναγκαία μέσα, σε εφαρμογή άλλωστε και των σχετικών προβλέψεων του Γενικού Κανονισμού. Τα υπόλοιπα είναι δική μας ευθύνη και χρέος.»

Ιστορικό

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων έχει τεθεί σε ισχύ από τις 25 Μαΐου 2018. Ο GDPR είναι ένα ενιαίο σύνολο κανόνων που στοχεύει στην προστασία των ατόμων σε σχέση με την επεξεργασία και την ελεύθερη κυκλοφορία των προσωπικών δεδομένων. Ενισχύει τις δικλείδες προστασίας δεδομένων, παρέχει πρόσθετα και ισχυρότερα δικαιώματα σε άτομα, αυξάνει τη διαφάνεια και διασφαλίζει ότι όσοι χειρίζονται προσωπικά δεδομένα είναι υπόλογοι. Σύμφωνα με τον GDPR, οι εθνικές αρχές προστασίας δεδομένων έχουν ισχυρότερες και εναρμονισμένες εξουσίες επιβολής. Δημιουργεί επίσης ίσους όρους ανταγωνισμού για όλες τις εταιρείες που δραστηριοποιούνται στην αγορά της ΕΕ, ανεξάρτητα από το πού είναι εγκατεστημένες. διασφαλίζει την ελεύθερη ροή δεδομένων εντός της ΕΕ· διευκολύνει τις ασφαλείς διεθνείς μεταφορές δεδομένων και έχει γίνει σημείο αναφοράς σε παγκόσμιο επίπεδο.

Οι εθνικές αρχές προστασίας δεδομένων είναι αρμόδιες για την επιβολή της εφαρμογής αυτών των κανόνων και συντονίζουν τις ενέργειές τους χάρη στους νέους μηχανισμούς συνεργασίας και συνέπειας στο πλαίσιο του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB). Το Συμβούλιο εκδίδει κατευθυντήριες γραμμές για βασικές πτυχές του GDPR για να υποστηρίξει τη συνεπή εφαρμογή του.Από την έναρξη εφαρμογής του GDPR, έχουν ληφθεί περισσότερες από 700 τελικές αποφάσεις one-stop-shop από τις αρχές προστασίας δεδομένων. Επιπλέον, το EDPB έχει εκδώσει σχεδόν 50 κατευθυντήριες γραμμές και συστάσεις, οι οποίες οικοδομούν ένα σταθερό ερμηνευτικό πλαίσιο του GDPR.

Στις 24 Ιουνίου 2020, η Επιτροπή δημοσίευσε μια πρώτη  έκθεση σχετικά με την εφαρμογή του GDPR . Η έκθεση διαπίστωσε ότι ο κανονισμός προσέφερε στους πολίτες ένα ισχυρό σύνολο εκτελεστών δικαιωμάτων και αποδείχθηκε ευέλικτο για να υποστηρίζει ψηφιακές λύσεις σε απρόβλεπτες περιστάσεις. Η επόμενη έκθεση για την εφαρμογή του GDPR αναμένεται το 2024.

Προβλέποντας αυτήν την έκθεση και ανταποκρινόμενη στο κάλεσμα του EDPB προς την Επιτροπή τον περασμένο Οκτώβριο, η Επιτροπή ανακοίνωσε στο πρόγραμμα εργασίας της για το 2023 ότι θα πρότεινε μια νομοθετική πρωτοβουλία για τη βελτίωση της συνεργασίας μεταξύ των αρχών προστασίας δεδομένων κατά την επιβολή του GDPR. Η πρόταση, η οποία θα παρουσιαστεί ακόμη φέτος, θα καθιερώσει μια πιο στοχευμένη εναρμόνιση των βασικών πτυχών των διοικητικών διαδικασιών που εφαρμόζονται σε διασυνοριακές υποθέσεις.

Στις 27 Απριλίου 2023, το EDPB παρουσίασε τον Οδηγό Προστασίας Δεδομένων EDPB για μικρές επιχειρήσεις. Ο Οδηγός στοχεύει στην ευαισθητοποίηση σχετικά με τον GDPR και στην παροχή πρακτικών πληροφοριών στις ΜΜΕ σχετικά με τη συμμόρφωση με τον GDPR σε προσβάσιμη και εύκολα κατανοητή μορφή. Ο Οδηγός περιέχει μια επισκόπηση εύχρηστου υλικού που αναπτύχθηκε από τις εθνικές αρχές προστασίας δεδομένων για τις ΜΜΕ, μεταξύ άλλων μέσω δράσεων που συγχρηματοδοτούνται από την Επιτροπή.

Για περισσότερες πληροφορίες