Think Tanks

Αφιέρωμα GDPR: Τι συμβαίνει με τα πρόστιμα; Έρχονται και στην Ελλάδα;

GDPR


Πρόσφατα επιβλήθηκε πρόστιμο στην Google από την Εποπτική Αρχή της Γαλλίας (την περίφημη «CNIL») ύψους  50.000.000€! Για παραβίαση των αρχών της «διαφάνειας», για «μη επαρκή πληροφόρηση» και για «μη έγκυρη συγκατάθεση». Σε κάθε περίπτωση, ανεβάζει τον πήχυ των προστίμων πολύ ψηλά και αφήνει στη διακριτική ευχέρεια και τη «φαντασία» της Αρχής Προστασίας Προσωπικών Δεδομένων την επιλογή και την δυνατότητα να παίξει σκληρό παιχνίδι και να συγκεντρώσει χρήματα για το Ελληνικό δημόσιο.

Μέσα στο πλαίσιο αυτό, επειδή όλες οι επιχειρήσεις, λίγο ή πολύ, διαχειρίζονται προσωπικά δεδομένα (και μόνο αν σκεφτούμε τα δεδομένα των εργαζομένων τους, έχουμε ένα πεδίο εφαρμογής του GDPR), θα πρέπει όλοι να κάνουμε μία εκτίμηση επιπτώσεων στην καθημερινότητά μας, για να προστατεύσουμε την επιχείρησή μας.

Για το σκοπό αυτό, ο GDPR έχει επιστρατεύσει μία κλίμακα προστίμων, που φτάνουν μέχρι τα 20.000.000€ ή το ισόποσο με  4% του ετήσιου παγκόσμιου τζίρου (όποιο είναι μεγαλύτερο). Καταλαβαίνουμε λοιπόν αμέσως, ότι οι παραβάσεις της Google ήταν αρκετά σημαντικές, ώστε  να επισύρουν το μεγαλύτερο δυνατό, τα «ταβάνι» των προστίμων!

Tο Facebook αντιμετωπίζει αυτή στιγμή πιθανότητα προστίμου μέχρι και 1,63 δισ. δολαρίων, από την Ιρλανδική Εποπτική Αρχή, για τo περιστατικό στο οποίο οι λογαριασμοί 50 εκατ. χρηστών εκτέθηκαν εξαιτίας επίθεσης χάκερ, σύμφωνα με τη Wall Street Journal.

Στην Πορτογαλία επιβλήθηκε πρόστιμο σε νοσοκομείο, λόγω παραβίασης των  θεμελιωδών αρχών της επεξεργασίας, όπως η αρχή της «ελαχιστοποίησης της επεξεργασίας» και των γενικών αρχών της επεξεργασίας. 

Το πρόστιμο ηταν 150.000€.

Η Marriot, πάλι, αντιμετωπίζει δυσθεώρητο πρόστιμο, σίγουρα μεγαλύτερο από 20.000.000€ και σίγουρα επάνω στο όριο του 4% του ετήσιου παγκόσμιου τζίρου της, καθώς παραβιάσθηκε η ασφάλεια προσωπικών δεδομένων περισσότερων από 500 εκατομμυρίων ανθρώπων, μεταξύ των οποίων και εκείνων που είχαν οφειλές προς τη Mariott και πάρα πολλών οικονομικών μεγιστάνων. 

Ανάμεσα στα δεδομένα που «χάκαραν» επιτήδειοι, λόγω ελλιπούς ασφάλειας των συστημάτων του οργανισμού, υπήρχαν και δεδομένα υγείας των ανθρώπων, αναπηρίες, εθνικότητες, στοιχεία ανηλίκων, αλλά και διευθύνσεις, τηλέφωνα, καταναλωτικές συνήθειες, προτιμήσεις, γεωγραφικά δεδομένα και δεδομένα θέσης  κλπ.  

Όλα αυτά θα είχαν αποφευχθεί, αν η επιχείρηση είχε φροντίσει να λάβει τεχνικά και οργανωτικά μέτρα για την προστασία των  προσωπικών δεδομένων, όπως προβλέπει ο Κανονισμός. 

Επίσης, ήδη εκκρεμούν καταγγελίες κατά της AMAZON, NETFLIX, SPOTIFY, YOUTUBE και APPLE για πλημμελή λειτουργία, όσον αφορά το «δικαίωμα πρόσβασης» των φυσικών προσώπων στα προσωπικά δεδομένα τους στις βάσεις των εταιρειών αυτών.

Πρόσφατα η Ελληνική Εποπτική Αρχή επέβαλε πρόστιμο που ανέρχεται σε 150.000 ευρώ σε εταιρείες κινητής και σταθερής τηλεφωνίας, γιατί  διαπιστώθηκε ότι προβαίνουν σε μη νόμιμες κλήσεις προς τους πελάτες τους για την προώθηση προϊόντων. 

Η αλήθεια είναι όμως ότι η Ελληνική Εποπτική Αρχή δεν έχει «πάρει φόρα» ακόμα, αν και εκκρεμούν αυτή τη στιγμή εκατοντάδες καταγγελίες. 

Οι λόγοι είναι, πρωτίστως η αναμονή για κάποιον εφαρμοστικό νόμο (βρίσκεται σε φάση δημιουργίας), ο οποίος θα συμπληρώνει όσα ο Κανονισμός επιτρέπει να συμπληρωθούν από τις εθνικές νομοθεσίες των κρατών – μελών και η έλλειψη προσωπικού (αναμένονται προσλήψεις), έτσι ώστε να γίνονται όχι μόνο εξ αιτίας των καταγγελιών, αλλά και δειγματοληπτικοί αυτεπάγγελτοι έλεγχοι.

Παρ’ όλα αυτά, έχουν ήδη ξεκινήσει οι πρώτες «προειδοποιητικές»  αποφάσεις για συστάσεις που, στην ουσία έχουν χαρακτήρα «δεύτερης ευκαιρίας». 

Την επόμενη φορά θα επιβληθεί πρόστιμο σύμφωνα με τον GDPR. 

Το κείμενο είναι της Αγγελικής Μητροπούλου. Δικηγόρος (CIPP/E) Λεωφόρος Δημοκρατίας 4-6, Νέο Ψυχικό – Αττική  Τηλ.+302106747361 εσωτ.210, Κιν. +306945691002.  www.gagdpr.com.  Η GAG-DPR είναι μια εταιρεία έμπειρων συμβούλων (Νομικών, Οικονομολόγων, Συμβούλων επιχειρήσεων κ.α) που στοχεύει στην παροχή λύσεων κορυφαίας ποιότητας σε επιχειρήσεις & φορείς του Δημοσίου, παρέχοντας υπηρεσίες συμμόρφωσης με την ευρωπαϊκή νομοθεσία για την προστασία προσωπικών δεδομένων και την ασφάλεια στον κυβερνοχώρο.

GDPR