GDPR: Άρχισαν τα «όργανα» (: πρόστιμα)
«Ἔστι Δίκης ὀφθαλμός, ὅς τὰ πάνθ' ὁρᾷ» έγραφε ο Μένανδρος στα Μονόστιχά του.
Η συγκεκριμένη φράση παραπέμπει στη «θεία δίκη» η οποία πάντοτε, αργά ή γρήγορα, «απονέμει δικαιοσύνη». Στην πραγματικότητα, όμως «θεία δίκη» (συχνά και ανθρώπινη) δεν υπάρχει ούτε και κάποια εξουσία ή αρχή διαθέτει «Δίκης ὀφθαλμόν, ὅς τὰ πάνθ' ὁρᾷ». Βεβαίως ούτε και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (στο εξής: «Αρχή») διαθέτει τέτοιου είδους «τὰ πάνθ' ὁρώντα» οφθαλμό.
Αντίθετα: Καλά γνωρίζουμε την ύπαρξη του ανθρώπινου οφθαλμού που παρακολουθεί τα συμβαίνοντα και, ενίοτε, αρμοδίως τα καταγγέλλει: βεβαίως και στην Αρχή. Όσον αφορά όμως ειδικότερα την τελευταία (την Αρχή) υποχρεούται να κάνει χρήση του ανθρώπινου οφθαλμού (του δικού της ή εκείνου των επωνύμως ή ανωνύμως καταγγελλόντων) στο πλαίσιο της εκπλήρωσης των κατά το νόμο καθηκόντων της.
Η απόφαση 26/2019 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Υπεβλήθη επώνυμη καταγγελία προς την Αρχή (πίσω από την οποία προφανώς βρίσκεται, κάποιος δυσαρεστημένος, για άσχετα μάλλον θέματα, υπάλληλος) σε βάρος της PriceWaterhouseCoopers ΑΕ. Το αντικείμενο της καταγγελίας αφορούσε παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένων της (στο εξής: «Δεδομένα»).
Η Αρχή εξέδωσε την 26/2019 απόφασή της, με την οποία επέβαλε σημαντικό πρόστιμο (150.000 ευρώ) και την άμεση συμμόρφωση της PWC. Από την απόφαση όμως αυτή εξάγονται και κάποια ιδιαίτερα σημαντικά, ευρύτερου ενδιαφέροντος, συμπεράσματα.
Ενδεικτικά:
(α) Η επιλογή της κατάλληλης νομικής βάσης για την επεξεργασία Δεδομένων είναι εξαιρετικά σημαντική. Η νομική βάση πρέπει να αντλείται, αποκλειστικά, από τη δεξαμενή της §1 του άρθρου 6 του σχετικού Κανονισμού και να γνωστοποιείται στο υποκείμενο πριν από την έναρξη της επεξεργασίας τους.
(β) Η επιλογή της (λήψης) συγκατάθεσης του υποκειμένου ως νομική βάση της επεξεργασίας Δεδομένων του δεν αποτελεί «πανάκεια».
(γ) Όταν εφαρμόζεται ορθά η νομική βάση της συγκατάθεσης, η μη χορήγηση ή η ανάκλησή της, ισοδυναμεί με απόλυτη απαγόρευση της επεξεργασίας τους.
(δ) Η επιβεβαίωση του εργαζόμενου (λ.χ. πως «όλα καλά τα κάνει» ο Υπεύθυνος) στη διαδικασία της επεξεργασίας των Δεδομένων του είναι απολύτως επιβαρυντική και προβληματική για τον Υπεύθυνο Επεξεργασίας-εργοδότη του.
Εν κατακλείδι
Η συντριπτική πλειονότητα των επιχειρήσεων της χώρας μας είτε δεν ασχολήθηκε καθόλου με το GDPR είτε ασχολήθηκε πλημμελώς.
Η Αρχή με τη συγκεκριμένη, 26/2019, απόφασή της μας δείχνει ότι η «περίοδος χάριτος» έληξε. Η περίπτωση η οποία την απασχόλησε είναι ενδεικτική του γεγονότος πως το μέγεθος ή/και η εξειδίκευση εκείνου που εκτελεί την επεξεργασία δε θα πρέπει να μας προϊδεάζει προς οποιαδήποτε κατεύθυνση.
Η λογική που διαπνέει τον Κανονισμό είναι εκείνη της αυτορρύθμισης. Η Αρχή ούτε εγκρίνει τη σχετική συμμόρφωση των επιχειρήσεων ούτε και πληροφορείται ενδεχόμενες αποκλίσεις. Εκτός κι αν διενεργήσει κάποιον έλεγχο αυτοβούλως ή δεχθεί καταγγελία.
Ο αρχικοί φόβοι μας, δυστυχώς, επιβεβαιώνονται: οι επιχειρήσεις στην πλειονότητά τους είναι ελλιπώς ή καθόλου προετοιμασμένες για τη συμμόρφωσή τους με τον Κανονισμό και εκτεθειμένες σε σοβαρές κυρώσεις.
Υπάρχει ακόμα χρόνος;
Φυσικά! Μέχρις ότου, όμως, ο «ὀφθαλμός, ὅς τὰ πάνθ' ὁρᾷ», εντοπίσει τα κακώς κείμενα και επιλέξει αρμοδίως να τα καταγγείλει: προφανώς όχι πάντα για την επίτευξη κάποιου υψηλού ιδεώδους (λ.χ. του δικαίου) αλλά, πιθανότατα, από ευτελή κίνητρα κινούμενος...
*Δημοσιεύθηκε στη "ΜτΚ" στις 11 Αυγούστου 2019
