Οι αλλαγές στον GDPR είναι προ των πυλών και θα επηρεάσουν βαθιά τη λογική των επιχειρήσεων απέναντι στην προστασία των προσωπικών δεδομένων, αλλά και την ίδια τη στάση της ΕΕ που προσπαθεί να βρει την ιδανική ισορροπία ανάμεσα στην υπερρύθμιση και την καινοτομία.

Με αγωνία αναμένει όλη η Ευρώπη της ανακοινώσεις της Κομισιόν σχετικά με την πρόταση Κανονισμού που θα καταθέσει, ώστε να τροποποιηθεί και να απλοποιηθεί ο Γενικός Κανονισμός Προστασίας Δεδομένων. Η ανακοίνωση είναι πιθανό να γίνει στις 21 Μαΐου, όμως ενδέχεται να καθυστερήσει κι άλλο, τοποθετούμενη μέσα στον Ιούνιο.

1

Ο περιβόητος GDPR, που τέθηκε σε ισχύ το 2018, αποτελεί ένα από τα σημαντικότερα νομοθετήματα των τελευταίων ετών, ωστόσο έχει κατηγορηθεί έντονα για επιβολή μεγάλου διοικητικού βάρους στις εταιρείες, μειώνοντας έτσι την ανταγωνιστικότητα των ευρωπαϊκών επιχειρήσεων.

Υπό τις έντονες πιέσεις για βελτίωσή της, λοιπόν, έχουν ήδη διαρρεύσει οι επικείμενες τροποποιήσεις, οι οποίες θα αλλάξουν το τοπίο της προστασίας δεδομένων, με τα ερωτήματα ως προς την επάρκεια της προστασίας των δικαιωμάτων των προσώπων να μη λείπουν, αποτυπώνοντας τη δυσκολία της ανεύρεσης της ιδανικής ισορροπίας.

Τα πρακτικά προβλήματα που αντιμετωπίζουν οι επιχειρήσεις με τον GDPR σήμερα

Αν και ο GDPR έχει καθιερωθεί ως πρότυπο για την προστασία των προσωπικών δεδομένων στην ΕΕ και διεθνώς, στην πράξη οι επιχειρήσεις – και κυρίως οι μικρότερες – συναντούν σημαντικές προκλήσεις στην εφαρμογή του. Τα προβλήματα δεν αφορούν τόσο τη νομική αναγκαιότητα της προστασίας των δεδομένων, όσο την πολυπλοκότητα, την ασάφεια και το κόστος συμμόρφωσης που συνοδεύουν τον Κανονισμό.

Υψηλό διοικητικό βάρος και έλλειψη εσωτερικών πόρων

Μια από τις σημαντικότερες δυσκολίες είναι η διοικητική επιβάρυνση που επιφέρει ο GDPR. Ακόμη και όταν μια επιχείρηση δεν επεξεργάζεται δεδομένα μεγάλης κλίμακας ή υψηλού κινδύνου, καλείται να τηρεί τεκμηριώσεις, να καταρτίζει πολιτικές, να ενημερώνει τα υποκείμενα των δεδομένων, να αναθεωρεί συμβάσεις με τρίτους και να είναι σε συνεχή εγρήγορση για αλλαγές στο κανονιστικό πλαίσιο.

Για παράδειγμα, μια startup που αναπτύσσει μια εφαρμογή διαχείρισης ραντεβού πελατών σε ιατρεία πρέπει να τεκμηριώνει τη βάση νομιμότητας κάθε επεξεργασίας, να συντάσσει πολιτικές απορρήτου, να διασφαλίζει ότι οι servers είναι εντός ΕΕ ή καλύπτονται από επαρκείς διασφαλίσεις, και ταυτόχρονα να απαντά σε αιτήματα διαγραφής ή φορητότητας των δεδομένων.

Ασάφειες στις βασικές έννοιες του Κανονισμού

Ο GDPR είναι σε μεγάλο βαθμό τεχνολογικά ουδέτερος, πράγμα που τον καθιστά διαχρονικό, αλλά και δυσνόητο σε αρκετά σημεία. Έννοιες όπως «νόμιμο συμφέρον», «υψηλός κίνδυνος», «συστηματική παρακολούθηση» ή «μεγάλη κλίμακα επεξεργασίας» παραμένουν αόριστες και χρήζουν ερμηνείας κατά περίπτωση.

Το αποτέλεσμα είναι ότι πολλές επιχειρήσεις βρίσκονται σε νομική αβεβαιότητα ως προς το αν υπάγονται σε συγκεκριμένες υποχρεώσεις. Πρέπει, για παράδειγμα, να ορίσουν Υπεύθυνο Προστασίας Δεδομένων (DPO); Χρειάζονται Μελέτη Εκτίμησης Αντικτύπου (DPIA); Επιτρέπεται να βασίζονται στο έννομο συμφέρον για εμπορικές επικοινωνίες;

Απουσία πρακτικών λύσεων

Παρότι υπάρχουν οδηγίες και κατευθυντήριες γραμμές από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB), οι περισσότερες δεν είναι προσαρμοσμένες στην καθημερινότητα των εταιρειών. Οι οδηγίες είναι συχνά γενικές, νομικά διατυπωμένες και χωρίς πρακτικά εργαλεία, όπως π.χ. πρότυπα συμβάσεων ή πολιτικών.

Δυσκολίες στην εκπαίδευση του προσωπικού

Ένα ακόμη πρακτικό πρόβλημα είναι η εκπαίδευση των εργαζομένων. Ο GDPR απαιτεί κάθε επιχείρηση να διασφαλίζει ότι το προσωπικό της έχει γνώση των βασικών αρχών προστασίας δεδομένων και εφαρμόζει σωστά τις διαδικασίες (π.χ. απάντηση σε αιτήματα υποκειμένων, διαχείριση παραβιάσεων, περιορισμός πρόσβασης σε ευαίσθητες πληροφορίες).

Στην πράξη, ωστόσο, πολλές επιχειρήσεις αδυνατούν να οργανώσουν επαρκή εκπαιδευτικά προγράμματα, είτε λόγω κόστους, είτε επειδή υποτιμούν τη σημασία της πρόληψης. Τα περισσότερα περιστατικά παραβίασης δεδομένων ξεκινούν από ανθρώπινα λάθη, όπως αποστολή email σε λάθος παραλήπτη ή διαρροή φακέλων με προσωπικά στοιχεία.

Τι αλλάζει στον GDPR: Οι προτεινόμενες τροποποιήσεις της Κομισιόν

Η λογική πίσω από την απλοποίηση του Κανονισμού είναι να ελαφρύνει το βάρος κυρίως από τις μικρές και μεσαίες επιχειρήσεις, διατηρώντας ακέραιη την ευθύνη των μεγάλων επιχειρήσεων. Άλλωστε, αυτά τα 7 χρόνια εφαρμογής του Κανονισμού έχουν δείξει ότι ναι μεν οι κανόνες είναι αυστηροί και οι κυρώσεις υψηλές (συχνά δυσθεώρητες), όμως η εφαρμογή πάσχει και συνήθως τα πρόστιμα δεν πληρώνονται καν.

Επέκταση της εξαίρεσης σε επιχειρήσεις με έως 500 εργαζομένους

Μία από τις βασικές αλλαγές αφορά την επέκταση της υφιστάμενης εξαίρεσης που προβλέπει το άρθρο 30 παρ. 5 του GDPR. Σήμερα, επιχειρήσεις με λιγότερους από 250 εργαζομένους απαλλάσσονται από την υποχρέωση τήρησης αρχείων επεξεργασίας, εκτός αν η επεξεργασία που διενεργούν ενδέχεται να προκαλέσει κινδύνους για τα υποκείμενα των δεδομένων.

Η Επιτροπή θα προτείνει η εξαίρεση αυτή να επεκταθεί και σε μια ευρύτερη κατηγορία εταιρειών: τις λεγόμενες “μικρομεσαίες επιχειρήσεις μεσαίας κεφαλαιοποίησης” (small mid-cap companies), δηλαδή εταιρείες με έως 500 εργαζομένους και συγκεκριμένο όριο κύκλου εργασιών, ο οποίος ακόμα δεν έχει διευκρινιστεί. Η ίδια εξαίρεση θα ισχύει και για μη κερδοσκοπικούς οργανισμούς με προσωπικό κάτω των 500 ατόμων.

Στην πράξη, αυτό σημαίνει ότι σημαντικά μεγαλύτερες επιχειρήσεις από αυτές που σήμερα εξαιρούνται θα απαλλαγούν από την υποχρέωση τήρησης αρχείων επεξεργασίας, εκτός εάν πληρούνται ορισμένα κριτήρια κινδύνου, όπως θα δούμε παρακάτω.

Αλλαγή στον ορισμό του “κινδύνου”: Η έννοια του “υψηλού κινδύνου”

Παράλληλα με την επέκταση του πεδίου εφαρμογής της εξαίρεσης, η Επιτροπή εισάγει μια λεπτή αλλά κρίσιμη διαφοροποίηση: Η εξαίρεση από την τήρηση αρχείων δεν θα ισχύει εφόσον η επεξεργασία είναι πιθανό να ενέχει “υψηλό κίνδυνο” για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Μέχρι σήμερα, το κριτήριο ήταν απλώς “κίνδυνος”, χωρίς να απαιτείται να είναι υψηλού επιπέδου.

Αυτή η διατύπωση περιορίζει την εφαρμογή της εξαίρεσης στις περιπτώσεις όπου οι επεξεργασίες δεν είναι σοβαρά επιβαρυντικές για τα δικαιώματα των πολιτών, μειώνοντας αρκετά το πεδίο άρσης της εξαίρεσης. Με λίγα λόγια, από εκεί που τώρα μια επιχείρηση 100 εργαζομένων υποχρεούται να τηρεί αρχεία επεξεργασίας, καθώς υπάρχει κίνδυνος για τα δικαιώματα των προσώπων, πλέον ενδεχομένως να μπορεί να υπάγεται στη δυνατότητα μη τήρησης, αν ο κίνδυνος αυτός δεν είναι υψηλός.

Ωστόσο, αυτή η τροποποίηση εισάγει άλλη μία ασαφή διάκριση: Πότε μια επεξεργασία θεωρείται «υψηλού κινδύνου» και ποιος το κρίνει; Αυτό αφήνει περιθώρια αβεβαιότητας για τις επιχειρήσεις και ίσως διαφοροποιημένες ερμηνείες από τις εποπτικές αρχές.

Νέα εξαίρεση για επεξεργασία λόγω εργατικού και κοινωνικού δικαίου

Αναμένεται, επίσης, η προσθήκη αιτιολογικής σκέψης, η οποία θα αποσαφηνίζει ότι δεν υφίσταται υποχρέωση τήρησης αρχείων όταν η επεξεργασία ειδικών κατηγοριών δεδομένων πραγματοποιείται για συμμόρφωση με υποχρεώσεις εργατικού, κοινωνικοασφαλιστικού ή κοινωνικοπρονοιακού δικαίου.

Η διάταξη αυτή είναι ιδιαίτερα χρήσιμη για επιχειρήσεις και οργανισμούς που διαχειρίζονται τέτοιου είδους δεδομένα στο πλαίσιο προσλήψεων, παροχής επιδομάτων, διαχείρισης αναρρωτικών αδειών κλπ.

Συμπερασματικά, οι αλλαγές που προτείνονται από την Επιτροπή κινούνται προς την κατεύθυνση της διοικητικής αποφόρτισης, ιδίως για τις μεσαίες επιχειρήσεις, χωρίς όμως να καταργούν πλήρως τα ρυθμιστικά εργαλεία προστασίας. Ωστόσο, η επιτυχία των τροποποιήσεων θα εξαρτηθεί σε μεγάλο βαθμό από τον σαφή καθορισμό του “υψηλού κινδύνου”, την εναρμόνιση της πρακτικής των εποπτικών αρχών και την κατανόηση των επιχειρήσεων για τις υποχρεώσεις που θα παραμείνουν στο ακέραιο.

Πάντως, παρά τις ανησυχίες που έχουν εκφραστεί, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS) εξέφρασαν προ ολίγων ημερών την καταρχήν υποστήριξή τους σε αυτές τις αλλαγές, στηρίζοντας τη διατήρηση της προσέγγισης βάσει κινδύνου, ωστόσο έδωσαν ιδιαίτερη έμφαση στην ανάγκη διαβούλευσης επί της πρότασης.

Μια ευρύτερη τάση απλοποίησης στη σκιά του Τραμπ και της Έκθεσης Ντράγκι

Η πολιτική απορρύθμισης που εγκαινιάστηκε κατά την προεδρία Τραμπ στις Ηνωμένες Πολιτείες φαίνεται να επηρεάζει έμμεσα και τον ευρωπαϊκό δημόσιο διάλογο. Το αφήγημα που θέλει την ελαστικότητα των κανόνων να ευνοεί την καινοτομία και τις επενδύσεις διαπερνά πλέον και τις Βρυξέλλες, με την Κομισιόν να εμφανίζεται έτοιμη να υιοθετήσει τη λογική των «omnibus πακέτων», δηλαδή μαζικών νομοθετικών παρεμβάσεων που καταργούν ή ελαφρύνουν ρυθμιστικά βάρη με σκοπό την ενίσχυση της ανταγωνιστικότητας.

Σε αυτό το πλαίσιο, ο GDPR βρίσκεται σήμερα σε σταυροδρόμι: από τη μία πλευρά, προτείνεται η απλοποίηση επιμέρους διατάξεων με στόχο τη διευκόλυνση των μικρομεσαίων επιχειρήσεων. Από την άλλη, όμως, υπάρχουν σοβαρές ενστάσεις ότι τέτοιες παρεμβάσεις ενέχουν τον κίνδυνο αποδυνάμωσης ενός θεμελιώδους δικαιικού μηχανισμού προστασίας των πολιτών της ΕΕ.

Η Έκθεση Ντράγκι, που παραδόθηκε στις αρχές του 2024, αποτέλεσε σημείο καμπής στη διαμόρφωση της νέας οικονομικής στρατηγικής της ΕΕ. Με κεντρικό αίτημα την επανεκκίνηση της ευρωπαϊκής ανταγωνιστικότητας, η έκθεση δίνει έμφαση στη δραστική μείωση της πολυπλοκότητας του ρυθμιστικού περιβάλλοντος και στην επιτάχυνση των διαδικασιών αδειοδότησης και συμμόρφωσης.

Αυτή η προσέγγιση έχει ήδη αρχίσει να επηρεάζει και άλλους κρίσιμους ψηφιακούς κανονισμούς, όπως την AI Act, τον Κανονισμό για τις Ψηφιακές Υπηρεσίες (DSA) και τον Κανονισμό για τις Ψηφιακές Αγορές (DMA). Οι αντιδράσεις που καταγράφονται από την πλευρά της αγοράς εστιάζουν στην υπερρύθμιση αυτών των πλαισίων και την ανάγκη να καταστούν αυτά πιο φιλικά προς την καινοτομία.

Ωστόσο, η πρόκληση για την ΕΕ είναι διπλή: Να κατορθώσει να μειώσει το διοικητικό βάρος χωρίς να απεμπολήσει τον ρυθμιστικό της ρόλο και ταυτόχρονα να διατηρήσει τη φήμη της ως παγκόσμια δύναμη στην προστασία θεμελιωδών δικαιωμάτων. Η συζήτηση για τον GDPR δεν είναι μεμονωμένη, αλλά εντάσσεται σε μια πολύ ευρύτερη συζήτηση για την ταυτότητα της Ευρώπης.