Η συμμόρφωση με τον γενικό κανονισμό για τα προσωπικά δεδομένα (Ε.Ε.) 2016/679 (γνωστό ως GDPR) αποτέλεσε κατά την τελευταία διετία μία από τις σημαντικότερες προκλήσεις για τον επιχειρηματικό κόσμο. Μεγάλα ποσά δαπανήθηκαν και δαπανούνται καθημερινώς στην προσπάθεια επίτευξης συμμόρφωσης, είτε ως μέσο εξάλειψης του κινδύνου επιβολής σοβαρών κυρώσεων είτε ως αφορμή για εξορθολογισμό και βελτιστοποίηση των εσωτερικών λειτουργιών και διαδικασιών μιας επιχείρησης.
Ο GDPR, λόγω της νομικής φύσης του, έχει άμεση εφαρμογή στην ελληνική έννομη τάξη και δεν απαιτεί την έκδοση εθνικών κανονιστικών πράξεων. Εντούτοις, περιέχει αρκετές «ρήτρες ευελιξίας» και «ρήτρες ανοίγματος» αναγνωρίζοντας στην ουσία στα κράτη-μέλη την ευχέρεια να εξειδικεύσουν τους κανόνες του και να θεσπίσουν εθνικούς νόμους ανάλογα με τις ανάγκες και ιδιαιτερότητές τους. Υπό το πρίσμα αυτό, στις 26 Αυγούστου 2019 ψηφίστηκε από τη Βουλή, με τη διαδικασία του κατεπείγοντος, ο ν. 4624/2019, με τον οποίο εκτός των άλλων θεσπίζονται μέτρα εφαρμογής του GDPR. Πρόκειται για ένα νομοθέτημα ευρύτερης και ιδιαίτερης σημασίας, με πολυδιάστατο χαρακτήρα, που έτυχε οξείας κριτικής και αμφισβήτησης από τον νομικό κόσμο και την επιστημονική κοινότητα, τόσο ως προς τη νομιμότητα συγκεκριμένων διατάξεών του όσο και ως προς τη διαδικασία κατεπείγουσας ψήφισής του εν μέσω θέρους, χωρίς ικανό χρονικό διάστημα δημόσιας διαβούλευσης, παρά την έγερση σοβαρών επιφυλάξεων προς τούτο και την ύπαρξη θεμελιωδών νομικών ζητημάτων.
Ποιες είναι οι κυριότερες αλλαγές στις υποχρεώσεις των επιχειρήσεων;
Οι επιχειρήσεις, στο πλαίσιο συμμόρφωσής τους με τη νομοθεσία για την προστασία των προσωπικών δεδομένων, καλούνται εφεξής να λάβουν υπ’ όψιν τους και τον νέο νόμο και να προβούν ενδεχομένως σε περαιτέρω ενέργειες συμμόρφωσης. Οι αλλαγές αφορούν κυρίως τη διαδικασία παροχής πληροφόρησης αναφορικά με την επεξεργασία δεδομένων, τη λήψη δεδομένων από δημόσιους φορείς, τον περιορισμό των δικαιωμάτων των φυσικών προσώπων, ενώ περιλαμβάνονται ειδικότερες ρυθμίσεις που αφορούν επιμέρους κλάδους επιχειρήσεων (ΜΜΕ, ασφαλιστικές εταιρείες), καθώς σε επιχειρήσεις που εμπίπτουν στον ορισμό του δημόσιου φορέα (διάκριση προβληματική, που διατρέχει το σύνολο του νομοθετήματος). Ειδικότερα:
Προβλέπεται μια σειρά εξαιρέσεων από την υποχρέωση ενημέρωσης των φυσικών προσώπων για την επεξεργασία των δεδομένων τους από τις επιχειρήσεις, ενώ σε περίπτωση αδυναμίας παροχής πληροφόρησης λόγω κωλύματος, τίθεται προθεσμία δύο εβδομάδων για την εκπλήρωση της υποχρέωσης ενημέρωσης από τη στιγμή που το κώλυμα αίρεται. Συνεπώς, οι επιχειρήσεις οφείλουν να αναθεωρήσουν τη διαδικασία ενημέρωσης των φυσικών προσώπων και να προσθέσουν ακόμα μία παράμετρο στις υποχρεώσεις τους στο πλαίσιο της αρχής της λογοδοσίας.
Περιορίζονται σημαντικά τα δικαιώματα πρόσβασης, διαγραφής και εναντίωσης των φυσικών προσώπων. Η πληθώρα εξαιρέσεων τόσο για δημόσιους όσο και για ιδιωτικούς φορείς δίνει νομικό έρεισμα στις επιχειρήσεις που επιθυμούν να αποφύγουν ή αδυνατούν να υλοποιήσουν σχετικά αιτήματα.
Χαρακτηριστική –όσο και αμφιλεγόμενη– είναι η πλήρης εξαίρεση των ΜΜΕ από την υποχρέωση ικανοποίησης του συνόλου των δικαιωμάτων των υποκειμένων των δεδομένων.
Οι ασφαλιστικές εταιρείες που επιθυμούσαν να επεξεργάζονται βιομετρικά δεδομένα, βασιζόμενες σε μία από τις εξαιρέσεις της σχετικής απαγόρευσης βάσει του GDPR, θα πρέπει να εγκαταλείψουν την ιδέα. Η απαγόρευση επεξεργασίας βιομετρικών δεδομένων για σκοπούς ασφάλισης της υγείας και της ζωής είναι ρητή και δεν υπόκειται σε εξαιρέσεις.
Οι δημόσιοι φορείς, ακόμα και εκείνοι που έχουν ήδη συμμορφωθεί με τις διατάξεις του GDPR, θα πρέπει να αναθεωρήσουν το πλαίσιο λειτουργίας τους, καθώς εκτός από τις διατάξεις για τον υποχρεωτικό ορισμό υπευθύνου προστασίας δεδομένων, νέες διατάξεις διέπουν τον τρόπο με τον οποίο οφείλουν να επεξεργάζονται προσωπικά δεδομένα. Ενδεικτικά αναφέρεται η δυνατότητα επεξεργασίας δεδομένων για σκοπό διαφορετικό από αυτόν για τον οποίον έχουν συλλεγεί (καθ’ υπέρβασιν της αρχής του περιορισμού του σκοπού) και η διαδικασία διαβίβασης δεδομένων σε άλλους δημόσιους και ιδιωτικούς φορείς.
Είναι σαφές ότι ο νέος νόμος, από κοινού με τον GDPR και τους λοιπούς ενωσιακούς και εθνικούς κανόνες δικαίου, δημιουργεί ένα ιδιαίτερα σύνθετο πλέγμα υποχρεώσεων για τις επιχειρήσεις. Αναμένεται με ιδιαίτερο ενδιαφέρον η ερμηνεία και εφαρμογή τους από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και τα εθνικά δικαστήρια, ως παράγων ασφάλειας δικαίου τόσο για τις επιχειρήσεις όσο και για τα δικαιώματα και τις ελευθερίες των πολιτών.
* Ο κ. Απόστολος Βόρρας είναι επικεφαλής του τμήματος Data Protection & Privacy της δικηγορικής εταιρείας Κοϊμτζόγλου – Μπακάλης – Βενιέρης – Λεβέντης & Συνεργάτες (μέλος του Δικτύου Δικηγορικών Εταιρειών Deloitte Legal).