Μαθήματα από τα γενέθλια της οδηγίας GDPR

Ένα χρόνο μετά την θέση σε ισχύ του ΕΚ 679/2016, τα πεπραγμένα και οι εξελίξεις του GDPR, τόσο στον ευρωπαϊκό χάρτη όσο και στη χώρα μας, δεν ακολουθούν κοινή πορεία.

Ξεκινώντας με τις χώρες μέλη της ΕΕ, οι αρμόδιες εποπτικές αρχές δείχνει να κινούνται με αργά, αλλά σταθερά βήματα προς την επίτευξη και ταυτόχρονα την εξακρίβωση της συμμόρφωσης των εμπλεκόμενών φορέων με τις διατάξεις του Κανονισμού που αποσκοπεί στη διασφάλιση της ιδιωτικότητας. Μοναδική εξαίρεση, αποτελεί η εποπτεύουσα αρχή του Ηνωμένου Βασιλείου, η οποία προχωρά με αλματώδεις ρυθμούς, επιλέγοντας τους ελεγχόμενους φορείς κάθετα και οριζόντια και αξιολογώντας τους με ταχύτητα και εμπεριστατωμένη κρίση.

Εξετάζοντας τους θεσμικούς φορείς, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPΒ), μετά από την αποδοχή γνωματεύσεων της εργασιακής ομάδας του άρθρου 29, πέρασε μια περίοδο «σκεπτικισμού», αλλά σύντομα ξαναβρήκε τον βηματισμό του και επαναδραστηριοποιήθηκε.

Αντίστοιχα, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS), παρείχε κατά το χρόνο αυτό κάποιες οδηγίες  προς τα αρμόδια όργανα της Ένωσης  σε κρίσιμα για την ιδιωτικότητα θέματα, όπως ενδεικτικά η Ψηφιακή Ηθική, τα δικαιώματα και οι υποχρεώσεις εργοδοτών και εργαζομένων στην ΕΕ και η δικαστική συνεργασία μεταξύ ΕΕ και ΗΠΑ για τη διασυνοριακή πρόσβαση σε ηλεκτρονικά αποδεικτικά στοιχεία.

Φαίνεται, ωστόσο από ανεπίσημα στατιστικά στοιχεία, ότι μεγάλος αριθμός δημόσιων και ιδιωτικών οργανισμών δεν έχει ακόμα συμμορφωθεί με τις κοινοτικές επιταγές, ενώ στον αντίποδα, Ευρωπαίοι πολίτες έχουν υποβάλλει από τις 25/05/2019 μέχρι τις 31/03/2019 περίπου 200.000 αιτήματα, έχουν γίνει περισσότερες από 94.000 καταγγελίες στις Αρχές, και έχουν επιβληθεί πρόστιμα περίπου 56 εκατ. ευρώ.

Στη χώρα μας, οι εξελίξεις και δράσεις είναι ακόμα πιο περιορισμένες. Ο εφαρμοστικός νόμος του Κανονισμού, μετά τη θέση ενός σχεδίου νόμου σε διαβούλευση τον Φεβρουάριο του 2018 και την για αγνώστους λόγους οριστική απόσυρσή του τον Μάιο του 2018, δεν έχει ακόμα ψηφιστεί και αναμένουμε να δούμε πότε η πολιτεία θα προχωρήσει με το θέμα αυτό.

Εικάζεται ότι βασική τροχοπέδη για την ψήφιση του εφαρμοστικού νόμου είναι η αδυναμία του Ελληνικού Δημοσίου να συμμορφωθεί με τους κανόνες του GDPR. Αποτέλεσμα αυτού, αλλά και της έλλειψης πόρων και στελέχωσης για την εκπλήρωση της αποστολής της Ελληνικής Αρχής Προστασίας Προσωπικών Δεδομένων, είναι και η περιορισμένη υποστήριξη του επιχειρηματικού κόσμου λόγω έκδοσης πολύ μικρού αριθμού γνωμοδοτήσεων και αποφάσεων μετά τη θέση σε ισχύ του Κανονισμού. 

Προκειμένου όμως να προστατευτούν επαρκώς τα δικαιώματα των φυσικών προσώπων, χωρίς αυτό να οδηγήσει σε «δυσλειτουργίες» των επιχειρήσεων, χρειάζεται η δημιουργία ατομικής και εταιρικής κουλτούρας, ενώ η συνδρομή των δημόσιων φορέων σε εθνικό και ευρωπαϊκό επίπεδο θα πρέπει να είναι άμεση και αποτελεσματική. Αυτό ας γίνει ο στόχος όλων.

* Η Ελένη – Λιάνα Κοσμάτου, είναι Δικηγόρος / Γενική Διευθύντρια, Κ. Παπακωστόπουλος & Συνεργάτες Δικηγορική εταιρεία (CPA Law), ανεξάρτητο μέλος του νομικού και φορολογικού δικτύου της KPMG.