του Νικόλαου Παπαντωνόπουλου, Rhetor Law Firm*
Η σχέση των ελληνικών επιχειρήσεων, ειδικά των μικρομεσαίων, με τα δεδομένα προσωπικού χαρακτήρα και την προστασία τους μπορεί εύκολα να χαρακτηριστεί εμβρυακή. Η εξήγηση είναι απλή, καθώς η ελληνική Πολιτεία δεν ασχολήθηκε ουσιαστικά τα τελευταία χρόνια με το ζήτημα και την προώθησή του, η πλειονότητα δε των πολιτών αγνοεί σε μεγάλο βαθμό το θεσμικό πλαίσιο και τα δικαιώματα που βάσει αυτού απολαμβάνει. Σε επίπεδο Ευρωπαϊκής Ένωσης, αντιθέτως, τα δεδομένα προσωπικού χαρακτήρα απολαμβάνουν τα τελευταία χρόνια αυξανόμενη διαρκώς προσοχή από τα θεσμικά όργανα ενώ και οι κοινωνίες πολλών δυτικοευρωπαϊκών χωρών είναι σαφώς πιο ενημερωμένες και αφυπνισμένες.
Ένα πρώτο data big-bang(sic) έλαβε χώρα σε ευρωπαϊκό επίπεδο το 2014 με την απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης στην υπόθεση Costeja Gonzalez κατά Google Spain. Στην κρίση του ΔΕΕ για την υπόθεση διατυπώθηκε για πρώτη φορά το πολυσυζητημένο πλέον δικαίωμα «στη λήθη».
Πιστή στην προσήλωσή της για ενίσχυση της προστασίας των προσωπικών δεδομένων η Ευρωπαϊκή έννομη τάξη προχώρησε στο επόμενο βήμα το 2016 με την ψήφιση του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) ο οποίος τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη-μέλη στις 25.5.2018. Διευκρινίζω ότι ο Κανονισμός εφαρμόζεται χωρίς να είναι αναγκαία οποιαδήποτε πράξη της Βουλής ή άλλου οργάνου, έχει δε υπερνομοθετική ισχύ, κοινώς οι διατάξεις του δεν μπορούν να παρακαμφθούν με εγχώρια νομοθετήματα. Επίσης, έχει πρακτική εφαρμογή σε όλες τις επιχειρήσεις, εντός και εκτός Ευρωπαϊκής Ένωσης, εφόσον τα υπό επεξεργασία δεδομένα αφορούν σε ευρωπαίους πολίτες.
Αντικείμενο του νέου Κανονισμού είναι η διαμόρφωση ενός ενιαίου νομικού πλαισίου για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης, που θέτει μία σειρά περιορισμών και νέων υποχρεώσεων στις επιχειρήσεις σχετικά με:
1) την επεξεργασία των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους, από τη συλλογή έως και την καταστροφή τους,
2) τη δυνατότητα μεταφοράς τους σε άλλες χώρες εκτός ΕΕ,
3) την προστασία των δικαιωμάτων των φυσικών προσώπων,
4) την ασφάλεια (εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα) των προσωπικών δεδομένων και
5) τις ενέργειες γνωστοποίησης που οφείλει να κάνει η επιχείρηση σε περίπτωση παραβίασης.
Ο Κανονισμός αναγνωρίζει επίσης το δικαίωμα των υποκειμένων των δεδομένων να υποβάλλουν καταγγελία σε εποπτική αρχή καθώς και το δικαίωμά τους για δικαστική προσφυγή και αποζημίωση, συνεπώς οι επιχειρήσεις είναι εκτεθειμένες σε αγωγές από τρίτους των οποίων τα προσωπικά δεδομένα έχουν υποστεί παράνομη επεξεργασία. Η διάταξη του Κανονισμού πάντως που έχει προκαλέσει την μεγαλύτερη ανησυχία και συζήτηση γύρω από αυτή είναι το άρθρο 83 που αφορά στους γενικούς όρους επιβολής διοικητικών προστίμων, τα οποία σε περίπτωση μη συμμόρφωσης προς τις εντολές της αρμόδιας εποπτικής αρχής μπορούν να αγγίξουν τα 20.000.000 ευρώ ή το 4% του συνολικού παγκόσμιου κύκλου εργασιών της επιχείρησης, ανάλογα με το ποιό μέγεθος είναι υψηλότερο.
Ωστόσο, οφείλω να επισημάνω ότι ο Κανονισμός, αν και χρήζει διορθωτικών παρεμβάσεων, αποτελεί θετική εξέλιξη για την ευρωπαϊκή έννομη τάξη. Σαφώς τα πρόστιμα που προβλέπει αποτελούν δαμόκλεια σπάθη κρεμάμενη πάνω από το κεφάλι του κάθε επιχειρηματία. Γι’ αυτό τον λόγο κάθε σώφρων και συνεπής επιχειρηματίας πρέπει να απευθυνθεί σε εξειδικευμένους συμβούλους προκειμένου να θωρακίσει έγκαιρα και αποτελεσματικά την επιχείρησή του, η οποία αν μείνει ανοχύρωτη κινδυνεύει με ένα μόνο πρόστιμο να κλείσει οριστικά. Από την άλλη, ειδικά για τις επιχειρήσεις που παρέχουν αγαθά ή υπηρεσίες εντός της ΕΕ, οι συνθήκες απλοποιούνται αρκετά καθώς πλέον έχουν να αντιμετωπίσουν ένα συμπαγές νομοθετικό καθεστώς προστασίας προσωπικών δεδομένων, το δε κόστος που εξοικονομείται δεν είναι καθόλου αμελητέο και υπολογίζεται από την ΕΕ σε αρκετά δις ευρώ.
*Ο Νίκος Παπαντωνόπουλος είναι δικηγόρος, συνεργάτης της δικηγορικής εταιρίας Rhetor και Υποψήφιος Διδάκτωρ του Δημοκριτείου Πανεπιστημίου Θράκης στον τομέα της ποινικής προστασίας των δεδομένων προσωπικού χαρακτήρα.