Ο κ. Βασίλης Σωτηρόπουλος μέλος του Δικηγορικού Συλλόγου Αθηνών, ειδικεύεται σε θέματα διαδικτύου, προστασίας προσωπικών δεδομένων και ελευθερίας της έκφρασης.
Σε συνέντευξη που παραχώρησε στη «δ» αναφέρεται στις σημαντικές μεταβολές στο θεσμικό πλαίσιο της προστασίας προσωπικών δεδομένων και όλα όσα θα πρέπει να γνωρίζει κανείς προκειμένου να προετοιμαστεί κατάλληλα για την εφαρμογή του GDPR.
• Κύριε Σωτηρόπουλε, θα κρίνατε ως επιτυχημένη την μέχρι τώρα εφαρμογή του Γενικού Κανονισμού για τα Προσωπικά Δεδομένα; Ποια είναι η εικόνα (σχεδόν) δύο χρόνια μετά;
Θα είμαι κάπως απόλυτος και θα σας πω ότι η εφαρμογή δεν είναι επιτυχημένη. Διότι δύο χρόνια μετά, ένα ελάχιστο ποσοστό του δημόσιου και του ιδιωτικού τομέα έχουν συμμορφωθεί. Δεν μπορούμε να μιλήσουμε βέβαια ακόμη με αριθμούς, ωστόσο θεωρώ ότι η επιβολή προστίμων δεκάδων ή και εκατοντάδων χιλιάδων ευρώ, αναγκαστικά θα οδηγήσει στην συμμόρφωση.
• Η Ολομέλεια της Βουλής με τη διαδικασία του κατεπείγοντος ψήφισε στις 26/08/2019 το νέο νόμο για την προστασία δεδομένων προσωπικού χαρακτήρα, όπως διαμορφώθηκε, ύστερα από τις αλλαγές που έγιναν στο στάδιο της διαβούλευσης. Τι αλλάζει πλέον;
Οι σημαντικές αλλαγές αφορούν αρχικά την Αστυνομία και τις διωκτικές αρχές, όπως το Λιμενικό και η Εισαγγελία, οι οποίες οφείλουν πλέον ρητώς να εφαρμόσουν όλες τις διατάξεις προστασίας προσωπικών δεδομένων, προσαρμοσμένες βέβαια στις δικές τους συνθήκες. Η εκτίμησή μου είναι ότι η Οδηγία δεν έχει ενσωματωθεί ορθά στο εθνικό δίκαιο και θα έχουμε σύντομα σχετική διαδικασία συμμόρφωσης από την Ε.Ε. Ήσσονος σημασίας αλλαγές αφορούν την επεξεργασία δεδομένων στον εργασιακό τομέα, καθώς και στα μέσα ενημέρωσης. Στην πρώτη περίπτωση επιτρέπεται με κάποιες προϋποθέσεις η επεξεργασία δεδομένων στην βάση της συγκατάθεσης του εργαζομένου, κάτι το οποίο δεν ήταν ιδιαίτερα ευδιάκριτο από τον ίδιο τον Γενικό Κανονισμό. Στην δεύτερη περίπτωση υπάρχει σημαντική χαλάρωση της αυστηρότητας όσον αφορά την χρήση δεδομένων από τα μέσα ενημέρωσης.
• Σε ποιες περιπτώσεις καθίσταται υποχρεωτική η θέση του Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer);
Υπάρχουν δύο κατηγορίες οργανισμών που η λειτουργία ενός Υπεύθυνου Προστασίας Δεδομένων είναι υποχρεωτική. Η πρώτη κατηγορία αφορά τους δημόσιους φορείς: σε κάθε δημόσιο φορέα πρέπει να υπηρετεί Υπεύθυνος Προστασίας Δεδομένων. Η δεύτερη κατηγορία αφορά τους ιδιωτικούς φορείς που επεξεργάζονται σε μεγάλη κλίμακα (δηλαδή όχι απλά σε τοπικό επίπεδο, αλλά σε επίπεδο περιφέρειας και πάνω) ευαίσθητα δεδομένα, δηλαδή πληροφορίες υγείας, φυλετικής – εθνικής καταγωγής, πεποιθήσεων πολιτικών ή θρησκευτικών και φιλοσοφικών, συμμετοχής σε συνδικαλιστική οργάνωση και σχετικών με την σεξουαλική ζωή και τον προσανατολισμό του ατόμου. Σε αυτή την δεύτερη κατηγορία ανήκουν και οι επιχειρήσεις και οι μη κερδοσκοπικοί ιδιωτικοί φορείς που ως βασική δραστηριότητά τους περιλαμβάνεται και η συστηματική παρακολούθηση προσώπων. Έτσι, ο Υπεύθυνος Προστασίας Δεδομένων είναι υποχρεωτικός σε δομές τουρισμού, ιατρικών υπηρεσιών, εκπαίδευσης, καθώς και διαδικτυακών συναλλαγών που επεξεργάζονται δεδομένα σε επίπεδο που υπερβαίνει το τοπικό.
• Έχουν επιβληθεί πρόστιμα από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα; Ποιες οι συχνότερες παραβάσεις;
Τα σημαντικά πρόστιμα (της τάξης των 150.000 ευρώ) που έχουν επιβληθεί από την Αρχή αφορούν κατά κύριο λόγο την μη συμμόρφωση με διατάξεις που αφορούν την επεξεργασία των δεδομένων των εργαζομένων από μεγάλες επιχειρήσεις. Αφορούν δηλαδή την εργοδοσία στον ιδιωτικό τομέα που δεν έχει ακόμη συμμορφωθεί με τις διατάξεις του Γενικού Κανονισμού, αλλά και του Ν.4624/2019.
• Ο Δημόσιος τομέας έχει ανταποκριθεί στις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων; Πως μπορεί να προετοιμαστεί ένας φορέας του δημοσίου τομέα για την εφαρμογή του GDPR;
Υπάρχουν ακόμη και τώρα σημαντικά κενά, αλλά υπάρχουν προκηρύξεις δημόσιων φορέων που ζητούν ειδικούς επιστήμονες για να αναλάβουν την συμμόρφωσή τους. Η ασφαλέστερη λύση είναι η ανάθεση της συμμόρφωσης σε εξειδικευμένο δικηγορικό γραφείο. Το γραφείο μου έχει αναλάβει σημαντικούς φορείς του δημόσιου τομέα ήδη πριν την θέση σε εφαρμογή του Γενικού Κανονισμού, κυρίως στον χώρο της τοπικής αυτοδιοίκησης.
• Πώς μπορούν τα ξενοδοχεία να αναβαθμίσουν τις μεθόδους προστασίας των προσωπικών δεδομένων που διαχειρίζονται;
Τα ξενοδοχεία οφείλουν αρχικά να έχουν ανά πάσα στιγμή διαθέσιμο το “Αρχείο δραστηριοτήτων επεξεργασίας” που επιβάλλει το άρθρο 30 του Γενικού Κανονισμού Προστασίας Δεδομένων. Έπειτα, εφόσον λειτουργούν συστήματα κλειστών κυκλωμάτων τηλεόρασης (CCTV), θα πρέπει να έχει εκπονηθεί για την νόμιμη λειτουργία τους η “Εκτίμηση Αντίκτυπου” που ορίζει το άρθρο 35 του Γενικού Κανονισμού. Αυτό σημαίνει ότι δεν αρκεί η τυχόν παλαιότερη γνωστοποίηση της λειτουργίας του CCTV στην Αρχή, αφού η σχετική διάταξη και διαδικασία έχει καταργηθεί νομοθετικά. Έπειτα, τα ξενοδοχεία οφείλουν να έχουν διαθέτουν μια εσωτερική Πολιτική Προστασίας Προσωπικών Δεδομένων, ώστε να είναι σε θέση ανά πάσα στιγμή να εκπληρώσουν τις υποχρεώσεις γνωστοποίησης περιστατικών παραβίασης στην Εποπτική Αρχή. Τέλος, τα ξενοδοχεία με διεθνή πελατεία, οφείλουν σίγουρα να έχουν ορίσει έναν Υπεύθυνο Προστασίας Δεδομένων και να έχουν ενημερώσει κατάλληλα τους πελάτες τους για τα στοιχεία επικοινωνίας μαζί του. Από εκεί και πέρα, υπάρχουν και άλλες επιμέρους υποχρεώσεις διαφάνειας, όπως το γνωστό έντυπο ενημέρωσης που δίνουν στους πελάτες τους να υπογράψουν, το οποίο δεν είναι πάντοτε επικαιροποιημένο σωστά κατά τα σχετικά άρθρα του Γενικού Κανονισμού. Τέλος, υπάρχει και το ζήτημα της εκπαίδευσης του ανθρώπινου δυναμικού, ώστε η επεξεργασία δεδομένων στην οποία προβαίνει να είναι σε αρμονία με τις ισχύουσες διατάξεις. Η συμμόρφωση είναι μια διαδικασία που απαιτεί αφιέρωση σημαντικών πόρων ώστε μια ξενοδοχειακή επιχείρηση να θωρακίσει την λειτουργία της.
• Τι συμβαίνει με τα μέσα κοινωνικής δικτύωσης; Εκθέτουμε εμείς οι ίδιοι -ηθελημένα ή άθελα- τα προσωπικά μας δεδομένα ή τα προσωπικά δεδομένα τρίτων;
Κεντρικός στόχος του ευρωπαίου νομοθέτη του Γενικού Κανονισμού Προστασίας Δεδομένων ήταν ακριβώς η εφαρμογή κανόνων στα μέσα κοινωνικής δικτύωσης. Αλλά και πριν από την θέση σε εφαρμογή του Κανονισμού ίσχυε ότι δεν επιτρέπεται η ανάρτηση φωτογραφιών χωρίς την συγκατάθεση του εικονιζόμενου. Εξαίρεση εισάγεται με το άρθρο 28 του Ν.4624/2019 όταν πρόκειται για θέμα γενικού ενδιαφέροντος!