Συνέντευξη στην Ελένη Τσιάβο
Ο πρόεδρος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και πρώην πρόεδρος του Συμβουλίου της Επικρατείας, κύριος Κωνσταντίνος Μενουδάκος δέκα μήνες σχεδόν μετά την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων , μιλά στο ereportaz για όλες τις εξελίξεις.
Ο κανονισμός 2016/679 αποτελεί τον βασικό μοχλό της δέσμης της νομοθεσίας της Ευρωπαϊκής Ένωσης και το 2018 αδιαμφισβήτητα αποτέλεσε μια χρονιά- ορόσημο για τους πολίτες και την ασπίδα της ιδιωτικότητας τους.
Όπως αποκαλύπτει ο πρόεδρος, κατά το προηγούμενο χρονικό διάστημα διεξήχθη μια ουσιαστική έρευνα για να διαπιστωθεί η τήρηση βασικών υποχρεώσεων από 65 μεγάλες επιχειρήσεις και δημόσιους φορείς.
Απαντά λοιπόν στη συνέντευξη μας για το επίπεδο συμμόρφωσης των επιχειρήσεων στην ελληνική αγορά και όχι μόνο.
Μεταξύ άλλων, η συζήτηση μας επικεντρώθηκε και στον ρόλο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αλλά και το πως μπορεί ο πολίτης να διεκδικήσει μέσω καταγγελίας τα δικαιώματα του.
Ένα άλλο ζήτημα που απασχολεί και αποτελεί “αγκάθι” είναι το πρόβλημα της υποστελέχωσης της Αρχής που για σειρά ετών σύμφωνα με τον κ. Μενουδάκο, λειτουργεί με μεγάλες ελλείψεις σε ανθρώπινο δυναμικό και με ανεπαρκείς οικονομικούς πόρους.
Ακολουθεί ολόκληρη η συνέντευξη:
Κύριε Πρόεδρε, όλοι γνωρίζουμε ότι η προστασία των προσωπικών δεδομένων δεν είναι μία νέα πραγματικότητα, αλλά αντίθετα, ως νομοθεσία προϋπήρχε του Γενικού Κανονισμού Προστασίας Δεδομένων. Πείτε μας, ποια είναι τα νέα χαρακτηριστικά που εισάγει ο Κανονισμός στην προστασία της ιδιωτικής ζωής, σε σύγκριση με το προγενέστερο καθεστώς του Ν. 2472/1997; Πώς θα επωφεληθούν οι Ευρωπαίοι πολίτες από τον Κανονισμό αναφορικά με την προστασία της ιδιωτικότητάς τους και ποια τα «όπλα» που τους χορηγούνται;
Ο Γενικός Κανονισμός αποτελεί ένα μεγάλο βήμα στην εξέλιξη της νομικής προστασίας των προσωπικών δεδομένων, χωρίς, ωστόσο, να εισάγει εντελώς νέες αντιλήψεις. Ουσιαστικά επαναπροσδιορίζει και αναπτύσσει περαιτέρω βασικές αρχές, γνωστές από την Οδηγία 95/46/ΕΚ, οι οποίες έχουν τύχει επεξεργασίας από τις εποπτικές αρχές και τα δικαστήρια. Είναι, πάντως, αξιοσημείωτο ότι η εμβληματική αυτή Οδηγία, η οποία ενσωματώθηκε στην ελληνική έννομη τάξη από το Ν. 2472/1997, δεν κατάφερε να αποτρέψει τον κατακερματισμό της εφαρμογής της προστασίας δεδομένων. Αντίθετα, ο νέος Κανονισμός έχει ομοιόμορφη εφαρμογή σε όλα τα κράτη μέλη της Ένωσης.
Ειδικότερα, με τον Κανονισμό καταρχάς ενισχύονται τα υφιστάμενα δικαιώματα του ατόμου-υποκειμένου των δεδομένων (δικαιώματα ενημέρωσης, πρόσβασης και διαγραφής), ενώ παράλληλα κατοχυρώνονται και νέα (δικαίωμα φορητότητας). Περαιτέρω, ο Γενικός Κανονισμός επιβεβαιώνει τις θεμελιώδεις αρχές της προστασίας προσωπικών δεδομένων προσθέτοντας αυτή της λογοδοσίας. Η εισαγωγή της αρχής της λογοδοσίας μετατοπίζει το «βάρος» της απόδειξης, όσον αφορά τη νομιμότητα της επεξεργασίας και τη συμμόρφωση με τον Κανονισμό, από τις αρχές προστασίας δεδομένων στους ίδιους τους υπευθύνους επεξεργασίας ή τους εκτελούντες επεξεργασία. Οι εκφάνσεις της λογοδοσίας, όπως η ενίσχυση της διαφάνειας, η διενέργεια εκτίμησης αντικτύπου για επεξεργασίες υψηλού κινδύνου ώστε να εξετάζονται προληπτικά οι συνέπειες των πράξεων αυτών και να αναζητούνται τα κατάλληλα μέτρα για την αντιμετώπιση των κινδύνων, η προστασία δεδομένων εκ σχεδιασμού και εξ ορισμού ώστε να εφαρμόζονται αποτελεσματικά κατάλληλα μέτρα προστασίας δεδομένων ήδη κατά την ανάπτυξη και την αρχική διαμόρφωση, καθώς και για τη λειτουργία των συστημάτων επεξεργασίας, η εισαγωγή ενός εσωτερικού Υπευθύνου Προστασίας Δεδομένων (DPO) συνιστούν ορισμένες από τις καινοτομίες του Κανονισμού, οι οποίες καταδεικνύουν την αυστηροποίηση των υποχρεώσεων των υπευθύνων επεξεργασίας δεδομένων. Σε αυτό το πλαίσιο, ο Κανονισμός καθιέρωσε, επίσης, υποχρέωση γνωστοποίησης στην εποπτική αρχή το αργότερο εντός 72 ωρών, εκτός αν η παραβίαση των δεδομένων δεν ενδέχεται να θέσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες του φυσικού προσώπου.
Μία ακόμη βασική επιλογή του Γενικού Κανονισμού, αφορά τις προβλεπόμενες κυρώσεις, που έγιναν ιδιαίτερα αυστηρές και έχουν αρχίσει, μάλιστα, να εφαρμόζονται με επιφυλακτικά έστω βήματα. Χαρακτηριστικά αναφέρω το πρόσφατο πρόστιμο (50 εκ.) της αντίστοιχης Γαλλικής Αρχής στη Google, για έλλειψη διαφάνειας, με βάση τον Κανονισμό. Καθίσταται σαφές λοιπόν ότι η Ευρωπαϊκή Ένωση έχει πλέον ισχυρότερα μέσα για να επιβάλει την τήρηση των κανόνων προστασίας των προσωπικών δεδομένων και της ιδιωτικότητας, πέραν δε αυτού, με το νέο κανονιστικό πλαίσιο επηρεάζει τα παγκόσμια πρότυπα προστασίας δεδομένων.
Ο ρόλος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ποιος είναι;
Αποστολή της Αρχής είναι η προστασία των πολιτών από την παράνομη επεξεργασία των προσωπικών δεδομένων τους και της ιδιωτικής τους ζωής, σύμφωνα με τις διατάξεις της ευρωπαϊκής και της εθνικής νομοθεσίας. Από τις 25 Μαΐου 2018 η Αρχή ασκεί τις αρμοδιότητές της με βάση και τις διατάξεις του Γενικού Κανονισμού. Αναμένεται φυσικά -ελπίζω σύντομα- και η έκδοση εκτελεστικού νόμου, με τον οποίο θα εξειδικεύονται κάποιες ρυθμίσεις του Κανονισμού, στο μέτρο που παρέχεται η δυνατότητα αυτή από τον ίδιο τον Γενικό Κανονισμό. Και του νόμου αυτού η εφαρμογή θα εμπίπτει στις αρμοδιότητες της Αρχής.
Σε γενικές γραμμές, ο τριπλός ρόλος της Αρχής, ενημερωτικός, ρυθμιστικός, ελεγκτικός – κυρωτικός, διατηρείται, ασκείται, όμως, σε διαφορετικά νομικά και πραγματικά δεδομένα. Ουσιώδης διαφοροποίηση επήλθε λόγω του εισαγόμενου πλαισίου συνεργασίας και σύμπραξης με ομόλογες αρχές των χωρών της Ευρωπαϊκής Ένωσης. Θεσπίστηκαν διαδικασίες συνεργασίας και συνεκτικότητας, οι οποίες εισάγουν ουσιαστική διαφοροποίηση στη δράση των εποπτικών αρχών. Στο πλαίσιο της συνεργασίας αυτής, προβλέπονται κοινές δράσεις και κοινοί έλεγχοι, αλλά και υποχρεώσεις της Αρχής έναντι των ομολόγων της με αυστηρές μάλιστα προθεσμίες.
Με το Γενικό Κανονισμό Προστασίας Δεδομένων να είναι σε εφαρμογή σχεδόν 10 μήνες, πώς κρίνετε το μέχρι στιγμής επίπεδο συμμόρφωσης των επιχειρήσεων στην ελληνική αγορά;
Ασφαλείς εκτιμήσεις για την εναρμόνιση-συμμόρφωση των εταιρειών με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ) δεν μπορούν να γίνουν ακόμη. Η Αρχή, ωστόσο, παρουσίασε πρόσφατα τα πρώτα συμπεράσματα καθώς και στατιστικά στοιχεία που προέκυψαν ως αποτέλεσμα αυτεπάγγελτης δράσης της, κατά την οποία ελέγχθηκε ο τρόπος συμμόρφωσης βασικών ιστοσελίδων σε συγκεκριμένες απαιτήσεις της νομοθεσίας. Σε σύνολο 65 υπευθύνων επεξεργασίας δεδομένων, που δραστηριοποιούνται διαδικτυακά στους τομείς των χρηματοπιστωτικών υπηρεσιών, υπηρεσιών ασφάλισης, ηλεκτρονικού εμπορίου, υπηρεσιών εισιτηρίων και των υπηρεσιών δημοσίου τομέα, ελέγχθηκε ο τρόπος ικανοποίησης συγκεκριμένων απαιτήσεων στους τομείς της διαφάνειας, της χρήσης cookies, της αποστολής διαφημιστικών ηλεκτρονικών μηνυμάτων και της ασφάλειας των διαδικτυακών τόπων μέσω ενδεικτικών σημείων ελέγχου, αντιληπτών στον πολίτη κατά την πλοήγησή του στο διαδίκτυο και τη χρήση διαδικτυακών υπηρεσιών.
Aπό τον εν λόγω έλεγχο στους προαναφερθέντες 65 υπεύθυνους επεξεργασίας δεδομένων α) προέκυψε ελλιπής ενημέρωση για τις πράξεις επεξεργασίας και τους αποδέκτες των δεδομένων σε ποσοστό 40% περίπου των υπευθύνων β) αντίθετα, σε υψηλό ποσοστό, άνω του 80% των υπευθύνων επεξεργασίας δεδομένων, παρατηρήθηκε ικανοποιητικό βασικό επίπεδο ασφάλειας. Επιπλέον, γ) παρατηρήθηκε επαρκής βαθμός δημοσιοποίησης στοιχείων υπευθύνου προστασίας δεδομένων στον ιδιωτικό τομέα, σε ποσοστό άνω του 70% επί των ανωτέρω υπευθύνων επεξεργασίας.
Συμπερασματικά, σε γενικές γραμμές, παρατηρείται έλλειψη συμμόρφωσης με τη νομοθεσία για τις ηλεκτρονικές επικοινωνίες σχετικά με τα cookies και τις συναφείς τεχνολογίες, στο σύνολο σχεδόν των υπευθύνων επεξεργασίας. Επισημαίνω ότι με βάση τα τελικά πορίσματα της πρώτης αυτής ευρείας κλίμακας δράσης για τον έλεγχο της συμμόρφωσης των υπευθύνων επεξεργασίας δεδομένων, μετά την έναρξη ισχύος του Κανονισμού, θα ασκηθούν οι προβλεπόμενες από τις οικείες διατάξεις αρμοδιότητες της Αρχής.
Από πού προέρχονται οι περισσότερες καταγγελίες παραβίασης προσωπικών δεδομένων; Τι είδους παραβιάσεις αφορούν;
Από τις 25/5 έχουν υποβληθεί στην Αρχή 690 καταγγελίες. Οι περισσότερες αφορούν αζήτητες ηλεκτρονικές επικοινωνίες για σκοπούς προώθησης προϊόντων και υπηρεσιών (μηνύματα ηλεκτρονικού ταχυδρομείου/sms, τηλεφωνικές κλήσεις), λειτουργία συστημάτων βιντεοεπιτήρησης και παραβιάσεις δικαιωμάτων των υποκειμένων των δεδομένων που αφορούν τον χρηματοπιστωτικό τομέα, την ιδιωτική οικονομία και τις εργασιακές σχέσεις.
Ποια διαδικασία πρέπει να ακολουθηθεί ώστε να γίνει καταγγελία;
Πριν αναφερθώ στη διαδικασία θα ήθελα να σημειώσω ότι η Αρχή εξετάζει συγκεκριμένα είδη καταγγελιών, οι οποίες εμπίπτουν στην αρμοδιότητά της: Πρώτον, εξετάζει καταγγελίες σχετικά με παραβίαση των προβλεπόμενων στα άρθρα 15 έως 22 Γενικού Κανονισμού δικαιωμάτων του υποκειμένου των δεδομένων. Δεύτερον, εξετάζει καταγγελίες σχετικά με παράνομη επεξεργασία προσωπικών δεδομένων κατά παράβαση των διατάξεων για την προστασία των δεδομένων προσωπικού χαρακτήρα (ΓΚΠΔ, Ν. 3471/2006 για την προστασία δεδομένων προσωπικού χαρακτήρα στις ηλεκτρονικές επικοινωνίες). Επισημαίνω ότι το υποκείμενο των δεδομένων μπορεί να ασκήσει προσφυγή στην εποπτική αρχή μόνον αν έχει προηγουμένως απευθυνθεί και ασκήσει τα δικαιώματά του προς τον υπεύθυνο επεξεργασίας και δεν έχει λάβει απάντηση ή η απάντηση που έλαβε δεν είναι ικανοποιητική. Επίσης, στις περιπτώσεις παράβασης των διατάξεων για την πραγματοποίηση τηλεφωνικών κλήσεων με σκοπό την προώθηση προϊόντων ή υπηρεσιών, και παράβασης των διατάξεων για την αποστολή ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου, όπως e-mail και sms, ο θιγόμενος συνδρομητής ή χρήστης έχει δικαίωμα υποβολής καταγγελίας στην Αρχή.
Οι καταγγελίες γίνονται υποχρεωτικά με τη συμπλήρωση και υποβολή (φυσική ή ηλεκτρονική) αντίστοιχων για την κάθε περίπτωση εντύπων, τα οποία είναι διαθέσιμα στην ιστοσελίδα της Αρχής (www.dpa.gr => Τα δικαιώματά μου => Υποβολή καταγγελίας).
Απ’ όσο είμαστε σε θέση να γνωρίζουμε, ως Αρχή αντιμετωπίζετε το πρόβλημα της υποστελέχωσης και για το λόγο αυτό προκηρύχθηκαν ορισμένες θέσεις ελεγκτών. Έχει ολοκληρωθεί η σχετική διαδικασία; Πότε θα είναι έτοιμη η Αρχή να προβαίνει σε τακτικούς ελέγχους;
Πράγματι, τα διαχρονικά προβλήματα υποστελέχωσης που αντιμετωπίζει η Αρχή παραμένουν. Για σειρά ετών, η Αρχή λειτουργεί με μεγάλες ελλείψεις σε ανθρώπινο δυναμικό και με ανεπαρκείς οικονομικούς πόρους. Χάρις στην ένταση, όμως, των προσπαθειών του προσωπικού της, η Αρχή βελτίωσε περαιτέρω την αποτελεσματικότητά της, παραμένοντας αφοσιωμένη στην αποστολή την οποία της έχει αναθέσει η Πολιτεία. Είμαι συγκρατημένα αισιόδοξος πάντως για το 2019, αφού προχωράει η διαδικασία για την πρόσληψη 13 ειδικών επιστημόνων, οι οποίοι θα βοηθήσουν σημαντικά στο να ανταποκριθεί ακόμη καλύτερα η Αρχή στις σύνθετες προκλήσεις και απαιτήσεις που απορρέουν από τη νέα ευρωπαϊκή νομοθεσία. Ανεξαρτήτως αυτού, η Αρχή δεν έχει εγκαταλείψει τον ελεγκτικό της ρόλο. Ήδη, ανέφερα μία πρώτη έρευνα για να διαπιστωθεί η τήρηση βασικών υποχρεώσεων από 65 μεγάλες επιχειρήσεις και δημόσιους φορείς. Θα ακολουθήσουν και άλλες σχετικές δράσεις, τις οποίες δεν θεωρώ σκόπιμο να ανακοινώσω εκ των προτέρων.