Η «ακτινογραφία» του GDPR: Τα δικαιώματα, οι υποχρεώσεις και τα προβλήματα προσαρμογής
Αλλαγές στο Δημόσιο, στον ιδιωτικό τομέα αλλά στο διαδίκτυο φέρνει ο νέος ευρωπαϊκός κανονισμός προστασίας προσωπικών δεδομένων, με τα κράτη-μέλη της Ένωσης να κάνουν… αγώνα δρόμου για να καταφέρουν να εναρμονιστούν με τη νέα πραγματικότητα που διαμορφώνεται.
Μετά από την κατάθεση 4.000 τροπολογιών και μια μακρά περίοδο διαπραγματεύσεων στους κόλπους της Ευρωπαϊκής Ένωσης, ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ ή GDPR) ψηφίστηκε από το ευρωκοινοβούλιο το 2016 και σήμερα τίθεται σε εφαρμογή.
Πρόκειται, ουσιαστικά, για μια μετεξέλιξη της Οδηγίας Προστασίας Δεδομένων του 1995, μια δέσμη αυστηρότερων μέτρων για τον έλεγχο ευαίσθητων πληροφοριών, τη διαφάνεια στη χρήση προσωπικών δεδομένων και την προστασία των πολιτών.
Και παρότι το διάστημα προσαρμογής ήταν αρκετά μεγάλο, οι δημόσιοι φορείς της Ευρώπης αλλά και οι επιχειρήσεις δεν έδειξαν τα απαραίτητα «αντανακλαστικά» για να ξεκινήσουν από νωρίς τις απαιτούμενες διαδικασίες για τον εναρμονισμό τους.
Ενδεικτικό αυτού είναι ότι την τελευταία εβδομάδα χρήστες τόσο στην Ελλάδα όσο και την υπόλοιπη Ευρώπη δέχονται καταιγισμό ηλεκτρονικών μηνυμάτων και ενημερώσεων από εταιρείες και κοινωνικά δίκτυα, που τους ζητούν την συγκατάθεσή τους για να συνεχίσουν να είναι «σε επαφή», όπως γράφουν χαρακτηριστικά.
Η διαδικασία αυτή όμως, είναι απλώς μια… σταγόνα στον ωκεανό μπροστά σε όλες τις αλλαγές που πρέπει να πραγματοποιηθούν σε δημόσιο και ιδιωτικό τομέα.
Η κ. Λίλιαν Μήτρου, καθηγήτρια του Πανεπιστημίου Αιγαίου, πρώην μέλος της Αρχής Προστασίας Προσωπικών Δεδομένων, εκπρόσωπος της Ελλάδας στις τεχνικές συζητήσεις για τον κανονισμό στις Βρυξέλλες (ομάδα DAPIX) αλλά και επικεφαλής της ελληνικής νομοπαρασκευαστικής επιτροπής που εκπόνησε το προσχέδιο νόμου για την πλαισίωση και εξειδίκευση του Κανονισμού, βοηθάει το CNN Greece να «αποκρυπτογραφήσει» τον ΓΚΠΔ, εξηγεί τις αλλαγές που φέρνει και μιλάει για την εξοικείωση των Ελλήνων με το πολυδιάστατο αλλά ουσιώδες αυτό ζήτημα.
Το πρώτο σημαντικό ερώτημα που γεννάται είναι το κατά πόσο η Ελλάδα εμφανίζεται έτοιμη να εφαρμόσει αυτόν τον ιδιαιτέρως αυστηρό κανονισμό.
«Νομίζω ότι υπάρχει σοβαρό πρόβλημα στον δημόσιο τομέα -και στον ιδιωτικό αλλά βασικά θεωρώ ότι υπάρχει έλλειμμα προσαρμογής στο δημόσιο. Φοβάμαι πως ο δημόσιος τομέας, όχι μόνο στη χώρα μας, βρίσκεται σε μια κατάσταση που δεν έχει αντιληφθεί ακόμη το εύρος των εργασιών που πρέπει να κάνει για να προσαρμοστεί» εξηγεί η κ. Μήτρου, και αναφερόμενη στην ελληνική πραγματικότητα τονίζει: «Υπάρχουν και κάποιοι ογκόλιθοι, υπάρχει το θέμα του ΕΟΠΥΥ, υπάρχουν πολύ μεγάλες βάσεις δεδομένων και πληροφοριακά συστήματα, τα οποία θα πάρει και πολύ χρόνο να προσαρμοστούν. Οι υπηρεσίες αυτές δεν έχουν, φοβάμαι, το δυναμικό για να κάνουν την προσαρμογή μόνοι τους, οπότε είναι πιθανό να χρειαστεί να προκηρύξουν διαγωνισμούς, κάτι που σημαίνει μεγάλη καθυστέρηση».
Εκτιμά δε, ότι μπορεί να δημιουργηθούν και προβλήματα επειδή η επεξεργασία δεδομένων στον δημόσιο τομέα συμπλέκεται με την αυτήν στον ιδιωτικό.
«Εάν, ας πούμε, το υπουργείο Εργασίας έχει συστήματα που απαιτούν από τους εργοδότες να καταχωρίζουν δεδομένα εργαζομένων και αυτό είναι κάτι που επιβάλλεται από τον νόμο, προφανώς ο καθένας θα προσαρμοστεί σε αυτό που επιβάλλεται εκ του νόμου. Κάτι το οποίο, όμως, μπορεί να μην είναι και τελείως σύμφωνο με τον Κανονισμό. Εκεί φοβάμαι ότι θα έχουμε προβλήματα» λέει η κ. Μήτρου, και συμπληρώνει: «Και ξαναλέω όχι μόνο εμείς, νομίζω ότι πολλές χώρες έχουν προβλήματα σε αυτόν τον τομέα. Και στον ιδιωτικό τομέα βεβαίως και κυρίως σε επίπεδο μικρομεσαίων επιχειρήσεων, που δεν υπάρχει ενημέρωση».
«Είναι κάτι πολύ σημαντικό…»
Ο ΓΚΠΔ αντικαθιστά μια οδηγία του 1995, η οποία είχε ενσωματωθεί στο ελληνικό δίκαιο με τον νόμο 2472 του 1997.
«Στην ουσία αυτός ο κανονισμός αυτός έρχεται να εδραιώσει τις νομοθετικές αλλαγές σε ένα δίκαιο που ήδη μετρά πίσω του περίπου 25 χρόνια σε ευρωπαϊκό επίπεδο, και σε συγκεκριμένες χώρες πολύ περισσότερο. Με αυτή την έννοια, δεν είναι κάτι εντελώς καινούργιο. Οπωσδήποτε, όμως, είναι κάτι πολύ σημαντικό. Πρώτον γιατί έχουμε ένα δίκαιο που θα εφαρμόζεται απαρέγκλιτα σε όλες τις χώρες της Ευρωπαϊκής Ένωσης, χωρίς διαφοροποιήσεις και αποκλίσεις. Επίσης, έχουμε ένα δίκαιο το οποίο έχει επιχειρήσει -και σε μεγάλο βαθμό το έχει καταφέρει- να αντιμετωπίσει ορισμένα θέματα που έχει θέσει η τεχνολογική εξέλιξη, κυρίως τα τελευταία 10 χρόνια» απαντά η κ. Μήτρου, επισημαίνοντας, παράλληλα, ότι ο Κανονισμός προβλέπει και κάποια καινούργια δικαιώματα και θεσμούς.
Η κ. Λίλιαν Μήτρου
Τα δικαιώματα των πολιτών
Ήδη με την προηγούμενη οδηγία, οι πολίτες είχαν το δικαίωμα της πρόσβασης στα προσωπικά τους δεδομένα αλλά και της διόρθωσης αυτών.
«Μπορούσε κάποιος να πάει σε οποιονδήποτε –κυριολεκτικά οποιονδήποτε- και να ζητήσει να μάθει εάν υπάρχουν δεδομένα που τον αφορούν και που τελούν αντικείμενο επεξεργασίας. Μπορούσε να μάθει ποια είναι η πηγή προέλευσής τους, ποιος είναι ο σκοπός της επεξεργασίας, ποια είναι αυτά τα δεδομένα, να ζητήσει κατά περίπτωση τη διόρθωση ή τη διαγραφή τους και να εναντιωθεί σε αυτήν την επεξεργασία. Ο νέος κανονισμός, όμως, βοηθάει πάρα πολύ στην ενίσχυση των δικαιωμάτων των πολιτών. Ενισχύει σε σημαντικό βαθμό τις απαιτήσεις που έχει ο νόμος σχετικά με την συγκατάθεση -δηλαδή τη δήλωση που ζητείται πολλές φορές από εμάς, με την οποία συμφωνούμε να αποτελέσουν τα δεδομένα μας αντικείμενο επεξεργασίας» αναφέρει η κ. Μήτρου.
Σε αυτό το σημείο ο κανονισμός έχει ορισμένες νέες υποχρεώσεις. Για παράδειγμα, η εκάστοτε εταιρεία ή ο οργανισμός που ζητά την συγκατάθεση ενός πολίτη έχει πλέον την υποχρέωση να αποδεικνύει ότι όντως την έλαβε, καθώς και το ότι είναι ελεύθερη και έγκυρη. Οφείλει, επίσης, να είναι σε θέση να αποδείξει το πότε την έλαβε.
Την ίδια ώρα, η διαδικασία ανάκλησης αυτής της συγκατάθεσης θα πρέπει να είναι εύκολη, Η συγκατάθεση θα πρέπει να μπορεί να ανακαλείται με τον ίδιο τρόπο με τον οποίο δόθηκε, χωρίς να χρειάζεται να καταφεύγει κανείς σε πολύπλοκες διαδικασίες.
«Αυτό, λοιπόν, είναι νομίζω μια πρώτη σημαντική αλλαγή. Μια δεύτερη αλλαγή είναι ότι ο κανονισμός ενισχύει σημαντικά την διαφάνεια και την ενημέρωση του προσώπου σε σχέση με το τι συμβαίνει με τα δεδομένα του. Στο κεφάλαιο που αφορά στα δικαιώματα των προσώπων έχει πολλές διασφαλίσεις για το πώς ένα πρόσωπο μπορεί να μάθει, να ζητήσει τη διόρθωση, τη διαγραφή ή την επικαιροποίηση στοιχείων. Την ίδια ώρα, θέτει προθεσμίες για το πότε πρέπει να δοθεί απάντηση σε ένα τέτοιο αίτημα» αναφέρει χαρακτηριστικά η κ. Μήτρου.
Θέλουμε να προστατευτούμε;
Ο καινούργιος ευρωπαϊκός κανονισμός αποτελεί ορόσημο για την προστασία των προσωπικών δεδομένων σε παγκόσμιο επίπεδο, διασφαλίζοντας την ιδιωτικότητα των Ευρωπαίων χρηστών περισσότερο από τους πολίτες οποιασδήποτε άλλης χώρας. Αρκεί, φυσικά, να το θέλουν και οι ίδιοι οι χρήστες.
«Θα πρέπει και ο καθένας μας να θέλει να προστατευτεί, διότι συχνά παρακολουθούμε το περίφημο παράδοξο της ιδιωτικότητας, που όλοι ανησυχούμε για την ιδιωτικότητά μας και πηγαίνουμε μετά και αυτό-εκτιθέμεθα στο διαδίκτυο» λέει η κ. Μήτρου, και συνεχίζει: «Σε αυτό το σημείο, όμως, ο κανονισμός έχει μια πολύ βασική αλλαγή και θα δούμε πώς αυτό θα επηρεάσει τα κοινωνικά δίκτυα. Μέχρι σήμερα, εξ ορισμού τα προφίλ στα κοινωνικά δίκτυα ήταν ανοιχτά και αυτό που λέμε καταλογογραφήσιμα από τις μηχανές αναζήτησης. Σε περίπτωση, λοιπόν, που πληκτρολογούσαμε το όνομα κάποιου, θα βρίσκαμε, ας πούμε το προφίλ στο Facebook, ανοιχτό και στη Google. Αυτό αλλάζει στις 25 Μαΐου και θα πρέπει όλα τα προφίλ να είναι εξ ορισμού κλειστά. O χρήστης θα πρέπει να κάνει κάτι για να το ανοίξει, όχι κάτι για να το κλείσει. Είναι μια πολύ βασική αλλαγή αυτή, είναι data protection by default».
Επαρκεί, όμως, o κανονισμός αυτός για να βάλει… τάξη στο διαδίκτυο;
«Ποτέ ένας νόμος δεν επαρκεί για να ρυθμίσεις το διαδίκτυο. Είναι αχανές, έχει πολλές πτυχές και είναι εξαιρετικά δύσκολο να αντιπαλέψεις και την κουλτούρα που χει επικρατήσει μεταξύ των χρηστών. Είναι κυρίως νοοτροπίας των ανθρώπων που χρησιμοποιούν το διαδίκτυο. Εάν η αντίληψη είναι ότι μοιράζομαι τα πάντα, τότε είναι πολύ δύσκολο να επιβάλεις περιορισμούς και ίσως να μην είναι και σκόπιμο, με την έννοια ότι κάποιος μπορεί να αισθάνεται ότι τον δεσμεύεις υπερβολικά. Εκεί, βεβαίως, υπάρχει πάντα ένα έλλειμμα ενημέρωσης. Δηλαδή πολλοί μπορεί να το κάνουμε και να αγνοούμε τι σημαίνει αυτή η διαδικτυακή έκθεση και ποιες οι συνέπειες αυτής» απαντά η κ. Μήτρου, εκτιμώντας παράλληλα ότι οι Έλληνες δεν είναι ιδιαίτερα εξοικειωμένοι με τα προσωπικά δεδομένα.
Με τον νέο αυτόν κανονισμό, όμως, αλλά και τα διάφορα σκάνδαλα υφαρπαγής προσωπικών δεδομένων, η συζήτηση γύρω από τα ζητήματα αυτά έχει ανοίξει το τελευταίο διάστημα, κάνοντας όσους ασχολούνται με την προστασία δεδομένων να αισιοδοξούν.