Από την Αναστασία-Ιωάννα Αναστασάκη, προπτυχιακή φοιτήτρια του τμήματος της Νομικής Σχολής ΕΚΠΑ
Στην εποχή όπου τα δεδομένα έχουν αναδειχθεί σε νέο “νόμισμα”, η παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) δεν αποτελεί απλώς τεχνικό ή διοικητικό σφάλμα, αλλά συνιστά ρήγμα στην ίδια τη σχέση εμπιστοσύνης ανάμεσα στον πολίτη και τον ψηφιακό κόσμο. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία φέρουν πλέον έναν ρόλο σχεδόν θεσμικό: οφείλουν να διαφυλάττουν το δικαίωμα στην ιδιωτικότητα ως σύγχρονη έκφανση της ανθρώπινης αξιοπρέπειας. Όταν όμως η προστασία αυτή καταρρέει, το δίκαιο ενεργοποιεί τον μηχανισμό του: αποζημίωση, διοικητικά πρόστιμα και, κυρίως, ηθική λογοδοσία. Η παραβίαση του GDPR, έτσι, δεν είναι μόνο νομικό γεγονός, αλλά αντικατοπτρίζει τον τρόπο με τον οποίο η κοινωνία αντιλαμβάνεται τη δύναμη και την ευθύνη της πληροφορίας.
Ο Κανονισμός 2016/679, γνωστός ως και Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), ψηφίστηκε στις 27 Απριλίου 2016 και τέθηκε σε εφαρμογή στις 15 Μαΐου 2018, αντικαθιστώντας την Οδηγία 95/46/ΕΚ. Σκοπός του είναι η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και η ελεύθερη κυκλοφορία των δεδομένων αυτών, όπως κατοχυρώνεται στο πρώτο άρθρο. Πρόκειται για έναν Κανονισμό με εξωεδαφική ισχύ, αφού καταλαμβάνει την επεξεργασία προσωπικών δεδομένων είτε από έναν υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία στην Ένωση, ανεξάρτητα από το αν αυτή πραγματοποιείται εντός της Ένωσης, αλλά και υποκειμένων εντός της Ένωσης από υπεύθυνο ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση σε δύο περιπτώσεις. Συγκεκριμένα, όταν η επεξεργασία αφορά α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση ή την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.
Το άρθρο 4 θέτει τους ορισμούς των κυριότερων εννοιών που αφορούν το ρυθμιστικό πεδίο της προστασίας προσωπικών δεδομένων, ιδίως των δεδομένων προσωπικού χαρακτήρα, της επεξεργασίας, του υπευθύνου και του εκτελούντα την επεξεργασία, της συγκατάθεσης και της παραβίασης δεδομένων προσωπικού χαρακτήρα. Ταυτόχρονα, το άρθρο 5 θέτει τις θεμελιώδεις αρχές ως προς την επεξεργασία προσωπικών δεδομένων, μερικές από τις οποίες είναι η νομιμότητα, αντικειμενικότητα και διαφάνεια, ο περιορισμός του σκοπού, η ελαχιστοποίηση δεδομένων, ο περιορισμός της περιόδου αποθήκευσης και η λογοδοσία. Για να είναι νόμιμη η επεξεργασία των προσωπικών δεδομένων, θα πρέπει να στηρίζεται σε κάποια από τις νομικές βάσεις του άρθρου 6. Οι συνηθέστερες νομικές βάσεις επεξεργασίας περιλαμβάνουν τη συγκατάθεση, η εκτέλεση σύμβασης, η εκπλήρωση νομικής υποχρέωσης, καθώς και η περίπτωση που υπηρετείται κάποιο έννομο συμφέρον του υπευθύνου επεξεργασίας ή τρίτου, εφόσον δεν υπερισχύουν τα δικαιώματα ή οι ελευθερίες του υποκειμένου.
Σε περίπτωση που ο εκτελών την επεξεργασία προβεί σε επεξεργασία, χωρίς να στηρίζεται σε κάποια από τις προηγούμενες βάσεις ή κατά παράβαση των αρχών και των υποχρεώσεων που θέτει ο Κανονισμός, θεωρείται ότι έχει προβεί σε μη νόμιμη επεξεργασία και μπορούν να επιβληθούν κυρώσεις. Συγκεκριμένα, βάσει του άρθρου 82, ο υπεύθυνος μπορεί να υποχρεωθεί να καταβάλλει αποζημίωση για κάθε ζημία, υλική ή ηθική, που προκαλείται στο υποκείμενο λόγω της παράνομης αποζημίωσης. Το Δικαστήριο της Ευρωπαϊκής Ένωσης έχει ερμηνεύσει ευρέως την έννοια της ζημίας, με την απώλεια του ελέγχου επί των δεδομένων, τη βλάβη της φήμης, την απώλεια της εμπιστευτικότητας των δεδομένων που προστατεύονται από επαγγελματικό απόρρητο ή οποιοδήποτε σημαντικό οικονομικό ή κοινωνικό μειονέκτημα για το ενδιαφερόμενο φυσικό πρόσωπο να περιλαμβάνονται στην έννοια αυτή. Το άρθρο αυτό καθιερώνει αντικειμενική ευθύνη, επιτρέποντας στο υποκείμενο των δεδομένων να στραφεί δικαστικά κατά του υπευθύνου επεξεργασίας, ενόψει του άρθρου 79, που επιτάσσει το υποκείμενο να μπορεί να ασκήσει μία αποτελεσματική και πραγματική δικαστική προσφυγή. Κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον παρόντα κανονισμό. Ο εκτελών την επεξεργασία ευθύνεται για τη ζημία που προκάλεσε η επεξεργασία μόνο εφόσον δεν ανταποκρίθηκε στις υποχρεώσεις του παρόντος κανονισμού που αφορούν ειδικότερα τους εκτελούντες την επεξεργασία ή υπερέβη ή ενήργησε αντίθετα προς τις νόμιμες εντολές του υπευθύνου επεξεργασίας. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να απαλλαχθεί από την ευθύνη, εάν αποδείξει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.
Ταυτόχρονα, βάσει του άρθρου 83, η εκάστοτε Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μπορεί να επιβάλλει διοικητικά πρόστιμα, τα οποία διαφοροποιούνται με βάση τη βαρύτητα της παράβασης, φτάνοντας τα 10 εκατομμύρια ευρώ ή το 2% του ετήσιου παγκόσμιου κύκλου εργασιών για παραβάσεις μικρότερης σοβαρότητας και έως 20 εκατομμύρια ευρώ ή 4% του κύκλου εργασιών για σοβαρές παραβιάσεις. Το ποσό που θα επιβληθεί κρίνεται από την Αρχή με βάση διάφορα κριτήρια, όπως η φύση, η βαρύτητα και η διάρκεια της παράβασης, ο δόλος ή η αμέλεια που προκάλεσε την παράβαση, οι ενέργειες στις οποίες πιθανόν προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων, ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν, τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, καθώς και οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση.
Ο Κανονισμός θέτει διάφορα μέτρα για την πρόληψη και τη διαχείριση των παραβιάσεων. Αρχικά, θεσπίζει την υποχρέωση των υπευθύνων επεξεργασίας να υιοθετούν τεχνικά και οργανωτικά μέτρα, όπως κρυπτογράφηση, ψευδωνυμοποίηση, ασφαλή αποθήκευση, περιορισμό πρόσβασης και τακτικούς ελέγχους ασφάλειας, ενώ εξίσου σημαντική είναι η εφαρμογή εσωτερικών πολιτικών ασφάλειας και η συνεχής εκπαίδευση του προσωπικού. Ταυτόχρονα, όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα.
Η παραβίαση των κανόνων του GDPR αγγίζει τον ίδιο τον πυρήνα της έννομης τάξης που στηρίζεται στην προστασία του προσώπου έναντι της αυθαιρεσίας της τεχνολογίας. Η λογοδοσία του υπεύθυνου ή του εκτελούντος την επεξεργασία υπερβαίνει τη νομική της διάσταση: είναι μια πράξη αποκατάστασης εμπιστοσύνης, μια υπενθύμιση ότι το δικαίωμα στην προστασία των προσωπικών δεδομένων δεν είναι πολυτέλεια, αλλά προϋπόθεση ελευθερίας σε μια κοινωνία που διαρκώς ψηφιοποιείται. Όπως κάθε νομικό σύστημα που δοκιμάζεται από την πρόοδο, έτσι και το ευρωπαϊκό δίκαιο καλείται να αποδείξει ότι μπορεί να επιβάλει όχι μόνο κυρώσεις, αλλά και αξίες.
Πηγή: Νομικός Παλμός
