Στο πλαίσιο της ενημερωτικής ημερίδας που διοργάνωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα τη Δευτέρα 28 Ιανουαρίου, με αφορμή τον εορτασμό της 13ης Ευρωπαϊκής Ημέρας Προστασίας Δεδομένων, η Γεωργία Παναγοπούλου, μηχανικός Η/Υ MSc και ειδική επιστήμων της Αρχής, παρουσίασε τα πρώτα συμπεράσματα καθώς και στατιστικά στοιχεία που προέκυψαν ως αποτέλεσμα πολύ πρόσφατης δράσης της Αρχής κατά την οποία ελέγχθηκε ο τρόπος ικανοποίησης συγκεκριμένων απαιτήσεων μέσω ενδεικτικών σημείων, αντιληπτών στον πολίτη κατά την πλοήγησή του στο διαδίκτυο και κατά τη χρήση των διαδικτυακών υπηρεσιών (δείτε εδώ την παρουσίαση).

Ειδικότερα, σε σύνολο 65 υπευθύνων επεξεργασίας δεδομένων, που δραστηριοποιούνται διαδικτυακά στους τομείς των χρηματοπιστωτικών υπηρεσιών, υπηρεσιών ασφάλισης, ηλεκτρονικού εμπορίου, υπηρεσιών εισιτηρίων και των υπηρεσιών δημοσίου τομέα ελέγχθηκε ο τρόπος ικανοποίησης συγκεκριμένων απαιτήσεων στους τομείς της διαφάνειας, της χρήσης cookies, της αποστολής διαφημιστικών ηλεκτρονικών μηνυμάτων και της ασφάλειας των διαδικτυακών τόπων μέσω ενδεικτικών σημείων ελέγχου, αντιληπτών στον πολίτη κατά την πλοήγησή του στο διαδίκτυο και τη χρήση διαδικτυακών υπηρεσιών.

1. Τα αρχικά συμπεράσματα που προέκυψαν ως αποτέλεσμα της δράσης αυτής αναδεικνύουν, σε γενικές γραμμές, την έλλειψη συμμόρφωσης με τη νομοθεσία για τα cookies και τις συναφείς τεχνολογίες, στο σύνολο σχεδόν των υπευθύνων επεξεργασίας.

2. Παρατηρήθηκε, επίσης, ελλιπής ενημέρωση για τις πράξεις επεξεργασίας και τους αποδέκτες των δεδομένων σε ποσοστό 40% περίπου των υπευθύνων.  Αισθητή είναι η υστέρηση του Δημοσίου στη συμμόρφωση, κυρίως στον τομέα της διαφάνειας στο σύνολο σχεδόν των φορέων που ελέγχθηκαν. 

3. Αντίθετα, σε υψηλό ποσοστό, άνω του 80% των υπευθύνων επεξεργασίας δεδομένων, παρατηρήθηκε ικανοποιητικό βασικό επίπεδο ασφάλειας. 

4. Επιπλέον, παρατηρήθηκε επαρκής βαθμός δημοσιοποίησης στοιχείων υπευθύνου προστασίας δεδομένων στον ιδιωτικό τομέα, σε ποσοστό άνω του 70% των υπευθύνων επεξεργασίας.

Όπως σημείωσε η κ. Παναγοπούλου, με βάση τα τελικά πορίσματα της πρώτης αυτής ευρείας κλίμακας δράσης για τον έλεγχο της συμμόρφωσης των υπευθύνων επεξεργασίας δεδομένων, μετά την έναρξη ισχύος του Κανονισμού, θα ασκηθούν οι προβλεπόμενες από τις οικείες διατάξεις αρμοδιότητες της Αρχής. 

Ο Πρόεδρος της Αρχής, Κωνσταντίνος Μενουδάκος επισήμανε ότι «πλέον η Ευρωπαϊκή Ένωση με το νέο κανονιστικό πλαίσιο επηρεάζει τα παγκόσμια πρότυπα προστασίας δεδομένων και έχει ισχυρότερα μέσα και την ισχύ να επιβάλλει τη συμμόρφωση». Επιπλέον, τόνισε ότι «η αποτελεσματικότητα του νέου και ριζοσπαστικού πλέγματος κανόνων της ΕΕ εξαρτάται από την ορθή εφαρμογή και την ουσιαστική προσέγγισή του, από τους υπεύθυνους και εκτελούντες την επεξεργασία δεδομένων, ως πραγματικής ευκαιρίας και όχι απλά ως υποχρεωτικού «βάρους»». Αναφέρθηκε σε πρόσφατες δράσεις της Αρχής, όπως την έκδοση καταλόγου με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια Εκτίμησης Αντικτύπου, την έκδοση των πρώτων αποφάσεων με βάση τις διατάξεις του Γενικού Κανονισμού καθώς και τον έλεγχο της Αρχής για τη συμμόρφωση 65 διαδικτυακών ιστοτόπων με τον Κανονισμό και το e-Privacy.

Ο Επικεφαλής της Αντιπροσωπείας της Ευρωπαϊκής Επιτροπής στην Ελλάδα, Γεώργιος Μαρκοπουλιώτης, σημείωσε μεταξύ άλλων: «Είναι σαφές πως οι νέοι ευρωπαϊκοί κανόνες για την προστασία των δεδομένων δεν θα έχουν κάποια ουσιαστική ισχύ εάν οι πολίτες δεν τους ξέρουν, εάν δεν γνωρίζουν τα δικαιώματά τους και πώς θα τα διεκδικήσουν. Για το λόγο αυτό η Αντιπροσωπεία «έτρεξε» πέρυσι μεταξύ Νοεμβρίου και Δεκεμβρίου μια καμπάνια σε μετρό, ηλεκτρικό και τραμ, η οποία στόχο είχε ακριβώς να ενημερώσει τους Αθηναίους και τους επισκέπτες της πόλης για τα νέα τους δικαιώματα».

Στο Α’ μέρος της ημερίδας, η Φαίη Καρβέλα δικηγόρος LL.M. Eur., ειδική επιστήμων της Αρχής, επικεντρώθηκε στη διάταξη του άρθρου 3 του ΓΚΠΔ για το εδαφικό πεδίο εφαρμογής αυτού, αναλύοντας τα κριτήρια υπαγωγής στο εδαφικό πεδίο εφαρμογής, όπως αυτά καθορίζονται στις παραγράφους 1 και 3 του άρθρου 3, με αναφορές στη νομολογία του ΔΕΕ, τα κείμενα του Eυρωπαϊκού Συμβουλίου Προστασίας Δεδομένων καθώς και πρακτικά παραδείγματα. Τέλος, αναφέρθηκε σε ζητήματα που μπορεί να προκύψουν από την εφαρμογή της διάταξης. 

Η Μαρία Αλικάκου, δικηγόρος Δ.Ν., ειδική επιστήμων της Αρχής, εστίασε στον εκσυγχρονισμό και την ενίσχυση των δικαιωμάτων επισημαίνοντας τις αλλαγές, εξειδικεύσεις, αλλά και καινοτομίες. Ανέφερε, μεταξύ άλλων, τα εξής: «Κάποιοι από τους βασικούς καινοτόμους άξονες της προστασίας είναι η αρχή της λογοδοσίας, τα ενισχυμένα δικαιώματα προσώπων, η εκτίμηση αντικτύπου, οι αυστηρές κυρώσεις. Όλα αυτά ενισχύουν την προστασία του ατόμου που πλέον λαμβάνει ενισχυμένο πακέτο δικαιωμάτων, τα περισσότερα από τα οποία προϋπήρχαν, καθώς είχαν αναγνωρισθεί στην πράξη, ιδίως, νομολογιακά, με ελάχιστες εξαιρέσεις, όπως είναι το δικαίωμα στη φορητότητα ή την ανθρώπινη παρέμβαση. Τώρα πλέον αυτά τα «εκσυγχρονισμένα» δικαιώματα αποτυπώνονται στο κείμενο του ΓΚΠΔ, ως άλλο εγχειρίδιο προς χρήση για το κάθε φυσικό πρόσωπο». 

Η Κάλλη Καρβέλη, δικηγόρος ΜSc, ειδική επιστήμων της Αρχής, στην παρουσίασή της τόνισε, μεταξύ άλλων, ότι «με την θέση σε ισχύ του ΓΚΠΔ, τίθενται αυστηρότερες προϋποθέσεις και περισσότερες απαιτήσεις στον υπεύθυνο επεξεργασίας, ώστε να είναι έγκυρη η συγκατάθεση του υποκειμένου των δεδομένων». Εξήγησε δε ότι οι κυριότερες από αυτές είναι: «α) η συγκατάθεση να παρέχεται με σαφή θετική ενέργεια σε κατανοητή και εύκολα προσβάσιμη μορφή, αφού έχει προηγηθεί πλήρης ενημέρωση του υποκειμένου των δεδομένων για τη σκοπούμενη επεξεργασία και για το δικαίωμα ανάκλησης της συγκατάθεσής του, β) η ανάκληση της συγκατάθεσης θα πρέπει να είναι εξίσου εύκολη με την παροχή της και γ) ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να μπορεί ανά πάσα στιγμή να αποδείξει ότι το υποκείμενο των δεδομένων έχει συγκατατεθεί για την επεξεργασία των προσωπικών του δεδομένων». 

Στο Β’ μέρος, η Έλενα Μαραγκού, δικηγόρος Δ.Ν., ειδική επιστήμων της Αρχής, εξήγησε τις προϋποθέσεις ορισμού ΥΠΔ, αναλύοντας τις περιπτώσεις και κριτήρια για τον υποχρεωτικό ορισμό καθώς και την περίπτωση του προαιρετικού ορισμού. Περαιτέρω, ανέλυσε την περίπτωση ορισμού ΥΠΔ από υπεύθυνο ή/και εκτελούντα την επεξεργασία, τη σχέση εργασίας που δύναται να έχει και τη δυνατότητα ορισμού κοινού ΥΠΔ σε ομίλους επιχειρήσεων ή/και δημόσιους φορείς. Περιέγραψε τα προσόντα διορισμού και τα καθήκοντα του ΥΠΔ, την υποχρέωση για δημοσίευση των στοιχείων επικοινωνίας του και την ανακοίνωση  του ορισμού του στην Αρχή, τη θέση που κατέχει στον φορέα στον οποίο απασχολείται, τις απαιτούμενες εγγυήσεις ανεξαρτησίας του καθώς και τον γενικότερο ρόλο και ευθύνη που του αναλογεί. 

Η Δρ Ευφροσύνη Σιουγλέ, πληροφορικός, ειδική επιστήμων της Αρχής, περιέγραψε, στη συνέχεια, την απαίτηση για τη διενέργεια εκτίμησης των επιπτώσεων των πράξεων επεξεργασίας στην προστασία των προσωπικών δεδομένων (ΕΑΠΔ) από τον υπεύθυνο επεξεργασίας καθώς και τον τρόπο ελέγχου της πληρότητας της σχετικής μελέτης. Σκιαγράφησε τη διαδικασία που ακολουθήθηκε για την κατάρτιση του προβλεπόμενου στο άρθρο 35 παρ. 4 του ΓΚΠΔ εθνικού καταλόγου με τις πράξεις επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια ΕΑΠΔ και την εφαρμογή του «μηχανισμού συνεκτικότητας». Επιπλέον, εξήγησε τον τρόπο ανάλυσης των σχεδίων εθνικών καταλόγων από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και τις κατηγορίες συστάσεων που αυτό απηύθυνε στις εθνικές αρχές με τις σχετικές γνώμες που εξέδωσε. Ανέλυσε, επίσης, τα κριτήρια διενέργειας ΕΑΠΔ του εθνικού καταλόγου και τις περιπτώσεις που αυτή κρίνεται υποχρεωτική καθώς και όλες τις κατηγορίες που περιλαμβάνονται στον εθνικό κατάλογο, δίνοντας σχετικά παραδείγματα περιπτώσεων πράξεων επεξεργασίας που εμπίπτουν σε κάθε κατηγορία.