Ο Γενικός Κανονισμός Προστασίας Δεδομένων (General Data Protection Regulation – GDPR), αποτελεί μια θετική εξέλιξη για την ευρωπαϊκή έννομη τάξη. Αποτελεί μια αφετηρία για την προώθηση του θεσμικού πλαισίου αλλά και των δικαιωμάτων που ένα φυσικό πρόσωπο απολαμβάνει.

Είναι ευρέως γνωστό ότι η πολιτεία αλλά και οι απλοί πολίτες δεν ασχολούνταν μέχρι τώρα συστηματικά με αυτό το ζήτημα· στη πραγματικότητα, η πλειονότητα αγνοεί σε μεγάλο βαθμό το θεσμικό αυτό πλαίσιο ακόμη και σήμερα. Οι κυπριακές εταιρείες, συγκεκριμένα οι μικρομεσαίες, αντιμετωπίζουν την προστασία των προσωπικών δεδομένων σε εμβρυακό επίπεδο. Σε επίπεδο Ευρωπαϊκής Ένωσης αντιθέτως, τα δεδομένα προσωπικού χαρακτήρα απολαμβάνουν τα τελευταία χρόνια μια αυξανόμενη προσοχή από τα θεσμικά όργανα ενώ οι Ηνωμένες Πολιτείες Αμερικής αντιμετωπίζουν το ζήτημα με τη δέουσα σοβαρότητα και όπως του αρμόζει, μέσω πολλών και διάφορων νομοθετημάτων.

Φάρος για τον Κανονισμό αυτό αποτέλεσε η απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ) το 2014 στην υπόθεση Costeja Gonzalez v Google Spain. Ήταν η πρώτη φορά που συζητήθηκε από το ΔΕΕ το δικαίωμα στη λήθη και αυτό αποτέλεσε σταθμό στην προσήλωση της ευρωπαϊκής έννομης τάξης στα ζητήματα σχετικά με την προστασία των προσωπικών δεδομένων. Το επόμενο βήμα ήταν η ψήφιση του Κανονισμού το 2016, ο οποίος αντικαθιστά την υφιστάμενη Ευρωπαϊκή Οδηγία του 1995 για την προστασία δεδομένων.

Ο Κανονισμός αυτός τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη-μέλη της ΕΕ την 25η Μαΐου 2018. Ο συγκεκριμένος Κανονισμός εφαρμόζεται ανεξάρτητα της εθνικής νομοθεσίας (δηλαδή χωρίς να είναι αναγκαία οποιαδήποτε πράξη της Βουλής των Αντιπροσώπων) και οι διατάξεις του δεν μπορούν να παρακαμφθούν με εγχώρια νομοθετήματα. Επίσης, ο Κανονισμός εφαρμόζεται τόσο για επιχειρήσεις εντός ΕΕ, όσο και για εκτός, υπό την προϋπόθεση ότι επεξεργάζονται προσωπικά δεδομένα Ευρωπαίων πολίτων. Κύριος σκοπός του νέου Κανονισμού είναι η διαμόρφωση ενός ενιαίου νομικού πλαισίου για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης. Οι εθνικές εποπτικές αρχές προστασίας προσωπικών δεδομένων, οι οποίες διέπονται από ένα νέο πανευρωπαϊκό σώμα που θα εκδίδει δεσμευτικές γνωμοδοτήσεις, αποκτούν πλέον περισσότερους πόρους για να προβαίνουν στους ανάλογους ελέγχους αλλά και σε επιβολές προστίμων όπου χρειάζεται.

Ο Κανονισμός θέτει μια σειρά περιορισμών και νέων υποχρεώσεων στις επιχειρήσεις σχετικά με την επεξεργασία των προσωπικών δεδομένων κατά τη διάρκεια του κύκλου ζωής τους, από τη στιγμή της συλλογής αυτών των δεδομένων ως και την καταστροφή τους. Διασφαλίζει την προστασία των δικαιωμάτων των φυσικών προσώπων, την ασφάλεια, την εμπιστευτικότητα καθώς και τη διαθεσιμότητα των προσωπικών δεδομένων όπως και τις ενέργειες που κάνει η κάθε επιχείρηση για να γνωστοποιήσει κάθε περίπτωση παραβίασης. Στην ουσία, ο Κανονισμός καθιστά τις επιχειρήσεις υπόλογες για την προστασία των προσωπικών δεδομένων. Θα φέρουν το βάρος της απόδειξης όσον αφορά το εάν, το πώς και το πόσο καλά προστάτευσαν τα προσωπικά δεδομένα. Για εκείνες τις επιχειρήσεις που συγκεντρώνουν σημαντικό όγκο δεδομένων απαιτείται ακόμη και ο καθορισμός ενός στελέχους που θα είναι επιφορτισμένο με την ευθύνη της παρακολούθησης της τήρησης των κανόνων (Data Protection Officer).

Ο νέος Κανονισμός κατοχυρώνει το δικαίωμα των υποκειμένων των δεδομένων να υποβάλλουν καταγγελία σε εποπτική αρχή καθώς και το δικαίωμά τους για προσφυγή σε τοπικό δικαστήριο με δικαίωμα σε αποζημίωση. Επομένως, η κάθε επιχείρηση είναι εκτεθειμένη σε τυχόν αγωγές από τρίτους τους οποίους τα δεδομένα έχουν υποστεί παράνομη επεξεργασία. Το άρθρο 83 του εν λόγω Κανονισμού καθορίζει τους γενικούς όρους και τις προϋποθέσεις που εξετάζονται για επιβολή διοικητικών προστίμων σε περιπτώσεις μη συμμόρφωσης. Το εν λόγω άρθρο προκαλεί ανησυχία, καθώς τα πρόστιμα σε περίπτωση μη συμμόρφωσης είναι γιγαντιαία και ανέρχονται στα 20 εκ. ευρώ ή το 4% του συνολικού κύκλου εργασιών της επιχείρησης, ανάλογα με το ποιο είναι υψηλότερο. Αυτό που έχει μεγάλη σημασία για τον κάθε επιχειρηματία είναι το χρονικό περιθώριο, η στράτευση καθώς και τα μέτρα που θα λάβει ο ίδιος για να διασφαλίσει και να θωρακίσει έγκαιρα την επιχείρησή του. Το συνολικό οικονομικό κόστος που προβλέπεται για πλήρη συμμόρφωση δεν είναι καθόλου αμελητέο και υπολογίζεται από την ΕΕ σε αρκετά δις ευρώ. Παρόλ’ αυτά, ο Κανονισμός αποτελεί θετική εξέλιξη για τα προσωπικά δεδομένα στην ευρωπαϊκή έννομη τάξη, με την επιφύλαξη οποιωνδήποτε διορθωτικών παρεμβάσεων που ενδέχεται να προέλθουν μετά την εφαρμογή του. Ο Κανονισμός δίνει περισσότερη αξία και εξουσία στην ατομικότητα/ιδιωτικότητα, τοποθετώντας τον πελάτη στο επίκεντρο της προστασίας των δεδομένων. Το πόρισμα σχετικών ερευνών αναδεικνύει πως οι σημερινοί πελάτες/καταναλωτές αφενός δίνουν μεγάλη σημασία στην προστασία της ιδιωτικής τους ζωής (κάτι το οποίο τείνει να γίνει αντικείμενο σεβασμού για τις επιχειρήσεις) και αφετέρου, δείχνουν προτίμηση στις απλές και διαφανείς διαδικασίες για την προάσπιση των δικαιωμάτων τους. Το κλειδί για τις επιχειρήσεις, πέρα από την πρόκληση της συμμόρφωσης με τον Κανονισμό, θα είναι το να καταφέρουν να κερδίσουν την εμπιστοσύνη των πελατών και να αποκτήσουν ανταγωνιστικό πλεονέκτημα στη νέα εποχή.

Σε μια εποχή που η τεχνολογία εξελίσσεται αστραπιαία και τα δεδομένα πολλαπλασιάζονται, επεξεργάζονται και διακινούνται σε μεγάλη κλίμακα, το ενιαίο πλαίσιο προστασίας των προσωπικών δεδομένων γέμισε το κενό που υπήρχε στη νομοθεσία και έθεσε γερές βάσεις για διευρυμένη διαφάνεια και πιο εναρμονισμένους κανόνες. Η εναρμόνιση αυτή αναμένεται να έχει θετική επίδραση στις επιχειρήσεις και βάζει φρένο στις όποιες διαμάχες δημιουργούνταν μεταξύ των κρατών-μελών της ΕΕ λόγω διαφορετικών ερμηνειών της οδηγίας.

Ανδρέας Γρηγοριάδης, Principal, KPMG Limited