Κων. Μενουδάκος: Η λογική της προστασίας προσωπικών δεδομένων αλλάζει

Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (ΓΚΠΔ ή GDPR) ψηφίστηκε από το ευρωκοινοβούλιο τον Απρίλιο του 2016, υποχρεώνοντας κολοσσούς τεχνολογίας, δημόσιες υπηρεσίες αλλά και επιχειρήσεις να αντιμετωπίζουν με μεγαλύτερο σεβασμό τα προσωπικά δεδομένα των πολιτών και να υιοθετήσουν πιο διαφανείς πρακτικές.

Με τη βοήθεια του κ. Κωνσταντίνου Μενουδάκου, προέδρου της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και επίτιμου προέδρου του Συμβουλίου της Επικρατείας (ΣτΕ), το CNN Greece επιχειρεί να «χαρτογραφήσει» τις σημαντικότερες αλλαγές που φέρνει ο πολυσυζητημένος νέος κανονισμός και να διερευνήσει σε ποιον βαθμό είναι έτοιμη η Ελλάδα για την εφαρμογή του.

Οι σημαντικότερες αλλαγές

Παρότι ο ΓΚΠΔ έχει «χτιστεί» πάνω σε παλαιότερους κανονισμούς της Ευρωπαϊκής Ένωσης - όπως την «Ασπίδα Προστασίας της Iδιωτικής ζωής Ε.Ε. – ΗΠΑ» (Privacy Shield) και την οδηγία 95/46 του Ευρωπαϊκού Κοινοβουλίου για την Προστασία των Φυσικών Προσώπων έναντι της Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα- εμπεριέχει και νέα στοιχεία ενώ παράλληλα αναθεωρούνται και κάποια που προϋπήρχαν.

«Αλλάζει η λογική, αλλάζει ο τρόπος προσέγγισης της προστασίας των προσωπικών δεδομένων» λέει στο CNN Greece o κ. Μενουδάκος.

Και ποιες είναι ορισμένες από τις σημαντικότερες αλλαγές του ΓΚΠΔ;

«Πρώτον υπάρχει η αρχή της λογοδοσίας. Θεωρώ ότι είναι η βασικότερη αλλαγή διότι τροποποιεί την όλη λογική και αλλάζει εμμέσως τα δικαιώματα των υποκειμένων. Αλλάζει, όμως, και την ευθύνη των υπευθύνων επεξεργασίας. Οι υπεύθυνοι επεξεργασίας είναι εκείνοι που πρέπει να αποδεικνύουν ότι δεν έχουν κάνει λάθος και ότι έχουν λάβει όλα τα μέτρα ασφαλείας για τη μη διαρροή των προσωπικών δεδομένων» εξηγεί ο κ. Μενουδάκος, και συμπληρώνει: «Είναι ένα είδος αντικειμενικής ευθύνης, φέρουν αυτοί το βάρος της αποδείξεως. Το δεύτερο είναι ότι προβλέπεται ο υπεύθυνος προστασίας (σ.σ. Data Protection Officer ή DPO). Πρόκειται για ένα πρόσωπο που σε κάθε φορέα ή οργανισμό επιβλέπει, παρακολουθεί και συμβουλεύει τον συγκεκριμένο οργανισμό και τα πρόσωπα που χειρίζονται προσωπικά δεδομένα για την ορθή τήρηση του κανονισμού».

Σύμφωνα με τον κανονισμό, το πρόσωπο αυτό λειτουργεί ανεξάρτητα. Ακόμη και σε περίπτωση που εμφανίζεται ως υπάλληλος επιχείρησης ή οργανισμού δίνει λόγο μόνο σε ανώτερο επίπεδο.

«Η υποχρέωση ορισμού υπευθύνου προστασίας είναι μόνο για το Δημόσιο, με την ευρύτερη έννοια, και τις επιχειρήσεις που κάνουν μεγάλης κλίμακας επεξεργασία. Για τις μικρομεσαίες επιχειρήσεις δεν είναι υποχρεωτικό, παρότι μπορεί να οριστεί» αναφέρει ο κ. Μενουδάκος.

Ένα άλλο «εργαλείο» που φέρνει ο νέος κανονισμός είναι η πρόβλεψη της μελέτης αντικτύπου. «Δηλαδή όταν έχουμε επεξεργασία που γίνεται και συνεπάγεται κάποιους κινδύνους για την ιδιωτικότητα και τα προσωπικά δεδομένα, πρέπει να προηγηθεί η μελέτη αυτή» λέει ο κ. Μενουδάκος, και συνεχίζει: «Προβλέπεται και το αρχείο δραστηριοτήτων, για μεγάλες επιχειρήσεις ή εταιρείες που κάνουν επεξεργασία μεγάλης κλίμακας, η οποία δημιουργεί κινδύνους. Την ίδια ώρα, υπάρχει η υποχρέωση να γνωστοποιούνται στην Αρχή οι περιπτώσεις παραβάσεως της προστασίας των προσωπικών δεδομένων, εκεί όπου υπάρχει σοβαρός κίνδυνος διαρροής προσωπικών δεδομένων».

Ιδιαίτερα σημαντική θεωρείται και η διεύρυνση του πεδίου εφαρμογής του κανονισμού. Σε αντίθεση με τον ευρωπαϊκό κανονισμό που ίσχυε μέχρι σήμερα αλλά και την αντίστοιχη ελληνική νομοθεσία, ένας Έλληνας πολίτης που θεωρεί πως παραβιάζονται τα προσωπικά του δεδομένα μπορεί πλέον να απευθύνεται στην ελληνική Αρχή, ακόμη και αν η επεξεργασία πραγματοποιείται σε μια τρίτη χώρα.

Το δικαίωμα της φορητότητας

Ένα από τα νέα δικαιώματα που προβλέπει ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων είναι και το δικαίωμα της φορητότητας.

Τι είναι αυτό; «Όταν έχω δώσει, για παράδειγμα, τα προσωπικά μου δεδομένα σε κάποιον πάροχο κινητής τηλεφωνίας, έχω το δικαίωμα, παρά τις αντιρρήσεις του συγκεκριμένου παρόχου, να πάρω αυτά τα προσωπικά δεδομένα και να τα μεταφέρω σε κάποιον άλλο πάροχο» απαντά ο κ. Μενουδάκος, εξηγώντας παράλληλα ότι ο πρώτος πάροχος δεν έχει δικαίωμα να κρατήσει στο αρχείο του τα προσωπικά αυτά στοιχεία.

Την ίδια ώρα, προβλέπεται και το «δικαίωμα στη λήθη». Με απλά λόγια, αυτό σημαίνει ότι ένας πολίτης μπορεί μετά από κάποιο χρονικό διάστημα να ζητήσει από τον υπεύθυνο επεξεργασίας δεδομένων τη διαγραφή προσωπικών στοιχείων που τον αφορούν, εάν φυσικά συντρέχουν κάποιες προϋποθέσεις.

«Αυτό μπορώ να το κάνω είτε επειδή αυτά τα δεδομένα έχουν αποδειχτεί αναληθή, όπως για παράδειγμα να υπάρχει μια ποινική κατηγορία που τελικώς κατέληξε σε αθωωτική απόφαση, είτε γιατί έχει παρέλθει μεγάλος χρόνος και δεν υπάρχει δημόσιο συμφέρον να διατηρείται η δημοσιοποίηση αυτού του δεδομένου».

«Εδώ πρέπει να γίνει η εξής διάκριση: Αλλιώς αντιμετωπίζει κάποιος το ζήτημα για τα δημόσια πρόσωπα, όπως είναι οι ενεργοί πολιτικοί, αλλιώς τα ημιδημόσια πρόσωπα, όπως οι δικαστές, και αλλιώς για τον κοινό πολίτη» αναφέρει ο κ. Μενουδάκος.

Καθυστερήσεις στην εναρμόνιση με τον κανονισμό

Παρότι εταιρείες και δημόσιος τομέας ανά την Ευρώπη είχαν αρκετό χρόνο να προχωρήσουν στις απαιτούμενες αλλαγές, η αλήθεια είναι πως μέχρι στιγμής κάτι τέτοιο δεν έχει επιτευχθεί πλήρως.

Αυτό δεν αποτελεί μόνο… ελληνικό φαινόμενο αλλά παρατηρείται και στις περισσότερες άλλες χώρες της Ευρωπαϊκής Ένωσης.

Κάποιες μεγάλες επιχειρήσεις, όπως το Facebook αλλά και ορισμένες τράπεζες, ισχυρίζονται πως είναι καθ’ όλα έτοιμες. Η αλήθεια, όμως, είναι πως αποτελούν τη μειοψηφία.

Έρευνα που εκπονήθηκε πριν από έναν χρόνο από την αμερικανική εταιρεία ασφάλειας διαδικτύου TrustArc έδειξε ότι το 61% των επιχειρήσεων δεν είχε ξεκινήσει καν τη διαδικασία εναρμόνισης με τον κανονισμό. Αντίστοιχη μελέτη του Ινστιτούτου Ponemon, που δημοσιοποιήθηκε τον Απρίλιο του 2018, έδειξε ότι μόλις το 10% των επιχειρήσεων πίστευε πως θα έχει ολοκληρώσει τις απαιτούμενες αλλαγές πριν από την 25η Μαΐου. Το 42% των ερωτηθέντων θεωρούσε ότι θα κατάφερνε να εναρμονιστεί μέχρι τη σημερινή καταληκτική ημερομηνία, το 40% απάντησε «μετά την 25η Μαΐου» ενώ ένα 8% δήλωσε πως δεν ήταν σε θέση να γνωρίζει.

Αντίστοιχη φαίνεται ότι είναι και η εικόνα που διαμορφώνεται στη χώρα μας.

«Η Ελλάδα γενικότερα, δεν θα έλεγα πως είναι έτοιμη για την εφαρμογή του κανονισμού στο σύνολο, δηλαδή και στον δημόσιο και στον ιδιωτικό τομέα. Θεωρώ, και πρόκειται για μια γενική εικόνα καθώς δεν έχω στη διάθεσή μου πιο συγκεκριμένα στοιχεία, ότι στον ιδιωτικό τομέα οι μεγάλες επιχειρήσεις είναι πιο έτοιμες. Οι τράπεζες, ας πούμε, νομίζω πως ξέρουν τα προβλήματα και προετοιμάζονται. Άλλες μεγάλες επιχειρήσεις επίσης προετοιμάζονται ή μπορεί και να είναι και έτοιμες. Οι μικρομεσαίες επιχειρήσεις δεν νομίζω ότι είναι έτοιμες Επισημαίνω ότι όλες οι υποχρεώσεις του νέου κανονισμού δεν αφορούν ομοιόμορφα όλους. Μερικές από τις νέες υποχρεώσεις δεν ισχύουν για τις μικρομεσαίες επιχειρήσεις.. Έχω επίσης την εντύπωση ότι και από το Δημόσιο, γενικά, λίγες είναι οι υπηρεσίες, τα υπουργεία και οι οργανισμοί που θα μπορούσαν να πουν ότι, αν δεν είναι έτοιμα, είναι στο στάδιο της ολοκλήρωσης της ετοιμασίας τους» λέει στο CNN Greece o κ. Μενουδάκος.

Η προετοιμασία και το «αγκάθι» της υποστελέχωσης

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα παρακολούθησε στενά την πορεία της επεξεργασίας του νέου ευρωπαϊκού κανονισμού και εξέθεσε τις απόψεις της κατά τη διάρκεια των ζυμώσεων που έλαβαν χώρα σε Ελλάδα και Ευρώπη.

«Η Αρχή είναι έτοιμη με την έννοια ότι ξέρει τον κανονισμό. Πρέπει, όμως, να προσαρμοστεί και η ίδια σε αυτόν. Για παράδειγμα υπάρχουν κάποιες διαδικασίες εδώ στην Αρχή, οι οποίες πρέπει τώρα να αναθεωρηθούν. Υπάρχουν κάποια έντυπα για καταγγελίες –τεσσάρων ειδών έντυπα- που πρέπει να αναπροσαρμοστούν για να εναρμονιστούν με τον κανονισμό» αναφέρει ο κ. Μενουδάκος.

Ιδιαίτερα κομβικός είναι ο ρόλος της Αρχής και στα ζητήματα ενημέρωσης φορέων, οργανώσεων και συλλόγων στα θέματα του νέου κανονισμού.

«Αυτά όλα τα κάνουμε με δυσκολία γιατί το προσωπικό της Αρχής είναι το λιγότερο που είχε ποτέ. Ουδέποτε είχε το πλήρες προσωπικό που χρειαζόταν. Τώρα, ενώ θα έπρεπε να έχει αυξηθεί πολύ –δηλαδή τουλάχιστον να διπλασιαστεί- είμαστε σε περίοδο που μειώνεται και επιπλέον έχουμε και λίγους πόρους» λέει ο πρόεδρος της Αρχής.

«Έχουν κινηθεί διαδικασίες να εγκριθούν κάποιοι διορισμοί καινούργιου προσωπικού όλων των κατηγοριών» αναφέρει ο κ. Μενουδάκος, λέγοντας παράλληλα ότι σε περίπτωση που η Αρχή ενισχυθεί τους επόμενους μήνες, τότε η κατάσταση θα βελτιωθεί.

Παρά τις ελλείψεις που αντιμετωπίζει, η Αρχή προσπαθεί να ανταποκριθεί στα αιτήματα φορέων για ενημέρωση με τον καλύτερο δυνατό τρόπο. «Εκτός του ότι ενημερώνουμε την ιστοσελίδα μας, έχουμε οργανώσει και πάρα πολλές ημερίδες ενώ μετέχουμε και σε άλλες που οργανώνουν διάφοροι φορείς» εξηγεί ο κ. Μενουδάκος και σημειώνει ότι «η Αρχή προσπαθεί παράλληλα να αναδιοργανωθεί η ίδια έτσι ώστε να διευκολύνουμε και τους πολίτες στην άσκηση των δικαιωμάτων τους»..

Οι παραβιάσεις προσωπικών δεδομένων στην Ελλάδα

Στην Ελλάδα, οι περισσότερες καταγγελίες στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αφορούν στις ηλεκτρονικές επικοινωνίες και ειδικότερα, το λεγόμενο spam.

«Σε ένα σύνολο 921 καταγγελιών το 2017, οι 242 ήταν στην κατηγορία του spam ή της αζήτητης επικοινωνίας. Μια άλλη κατηγορία είναι ότι έχει σχέση με τον ιδιωτικό τομέα της οικονομίας, πλην των τραπεζών. Η τρίτη κατηγορία είναι ό,τι έχει σχέση με τις τράπεζες και τον Τειρεσία, δηλαδή η διαβίβαση δεδομένων χωρίς ενημέρωση των ενδιαφερομένων» αναφέρει ο κ. Μενουδάκος.

Είναι επαρκής ο κανονισμός;

Ο νέος ευρωπαϊκός κανονισμός είναι ιδιαιτέρως αυστηρός και προβλέπει τσουχτερά… πρόστιμα στους παραβάτες. Το ερώτημα, όμως, που γεννάται είναι εάν τελικώς είναι επαρκής για να προστατεύσει τα προσωπικά δεδομένα των Ευρωπαίων πολιτών από τους «αετονύχηδες» και αν θα φέρει τα επιθυμητά αποτελέσματα.

«Εάν τα επιθυμητά αποτελέσματα είναι να μην υπάρχει κίνδυνος ή να αποτρέπονται οι κίνδυνοι διαρροών και παραβιάσεων γενικά, νομίζω ότι κάτι τέτοιο κανένα νομοθέτημα δεν μπορεί να το επιτύχει. Και αυτό, γιατί η τεχνολογία κινείται πολύ πιο γρήγορα από τον νόμο. Ο νόμος κυνηγάει την τεχνολογία και αυτό προσπαθεί να κάνει τώρα και ο κανονισμός» απαντά ο κ. Μενουδάκος, και ολοκληρώνει λέγοντας: «Θα βελτιώσει σίγουρα τα πράγματα, γιατί θεσπίζει μια εργαλειοθήκη, κάποιες νέες υποχρεώσεις που έχουν και αποτρεπτικό και διορθωτικό σκοπό και αυξάνει τα δικαιώματα των υποκειμένων, επιτρέποντάς τους να παρακολουθούν τι γίνεται με τα προσωπικά τους δεδομένα. Οπωσδήποτε, λοιπόν, βελτιώνει την κατάσταση αλλά στην πράξη θα φανεί πόσο αποτελεσματικός είναι».