Ο GDPR (General Data Protection Regulation General Data Protection Regulation) «Γενικός Κανονισμός για την Προστασία Δεδομένων» [Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016], αφορά στην διαμόρφωση ενός ενιαίου νομοθετικού πλαισίου για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης.

Κάθε εταιρία, φορέας, οργανισμός, τόσο του Δημοσίου, όσο και του Ιδιωτικού τομέα, που χειρίζεται προσωπικά δεδομένα τα οποία αφορούν σε άτομα εντός της Ευρωπαϊκής Ένωσης, είναι υποχρεωμένη να συμμορφωθεί πλήρως με τον κανονισμό.

Πολλές εταιρίες πίστεψαν ότι με μία απλή επιστολή συγκατάθεσης προς τον πελάτη τους είχαν εκπληρώσει τις υποχρεώσεις τους ως προς τη συμμόρφωση με τον Κανονισμό και επαναπαύθηκαν. Σίγουρα μεγάλο μερίδιο ευθύνης σε αυτό έχει η έλλειψη επαρκούς και πλήρους ενημέρωσης προς τις επιχειρήσεις και η άγνοια για τους πραγματικούς κινδύνους και τη σημαντικότητα συμμόρφωσης που γιγαντώθηκε.

Πλέον ήρθε η στιγμή που οι επιχειρήσεις θα πρέπει να ενημερωθούν και κυρίως να δουν πολύ σοβαρά το θέμα της πραγματικής και πλήρους συμμόρφωσης με το Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων, καθώς επιβλήθηκαν οι πρώτες κυρώσεις:

  1. Σε καταγγελία πελάτη γυμναστηρίου που κατήγγειλε ότι έλαβε διαφημιστικά γραπτά μηνύματα στο κινητό του τηλέφωνο, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), ενεργώντας ως Εποπτική Αρχή, με την υπ’ αριθμ. 11/2019 επέβαλε κυρώσεις στο γυμναστήριο που αφορούν στο:
  2. Να στέλνει διαφημιστικά μηνύματα στους πελάτες του, μόνο εφόσον έχουν παράσχει συγκατάθεση.
  3. Να μεριμνήσει για την προηγούμενη κατάλληλη ενημέρωση κατά το στάδιο της συλλογής των προσωπικών δεδομένων για το σκοπό της επεξεργασίας και παροχή δυνατότητας αντίταξης τόσο κατά το στάδιο αυτό όσο και σε κάθε μήνυμα, με σαφή και ευδιάκριτο τρόπο.
  • Να μεριμνήσει ώστε να διακόπτει αμέσως την αποστολή διαφημιστικών μηνυμάτων σε όσους εκφράσουν αντίρρηση και να λειτουργεί απρόσκοπτα τυχόν διεύθυνση ηλεκτρονικού ταχυδρομείου, μέσω και της οποίας παρέχεται η δυνατότητα στα υποκείμενα των δεδομένων να αντιταχθούν.
  1. Με βάση καταγγελίες πολιτών, οι οποίοι ανέφεραν ότι κλήθηκαν με σκοπό την προώθηση ιατρικών υπηρεσιών, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), με την υπ’ αριθμ. 13/2019 έκρινε αφενός ότι ο αριθμός τηλεφώνου ενός φυσικού προσώπου αποτελεί προσωπικό δεδομένο, αφού μπορεί να λειτουργήσει ως στοιχείο έμμεσης αναγνώρισης του κατόχου του και αφετέρου ότι η ενημέρωση του φυσικού προσώπου κατά τη διάρκεια της κλήσης, ήταν εντελώς ανεπαρκής και μη σύμφωνη με τον GDPR δυσχεραίνοντας την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων, και επέβαλε πρόστιμο 5.000 ευρώ.

Να σημειωθεί ότι η εταιρία επικαλέστηκε την καθημερινή της λειτουργία όπου εφαρμόζει το ισχύον πλαίσιο της νομοθεσίας για τα προσωπικά δεδομένα, την πιστοποίησή της για ασφάλεια πληροφοριών σύμφωνα με το ISO 27001:2013, την ανάρτηση στην ιστοσελίδα Πολιτική Προστασίας και Πολιτική Cookies καθώς και το βιβλίο δραστηριοτήτων που τηρεί. Και εδώ τίθενται δύο άλλα πολύ σημαντικά ερωτήματα που αφορούν αφενός το κατά πόσο έχει γίνει σωστή και πλήρης Συμμόρφωση με τον Κανονισμό και αφετέρου το αν έχουν εκπαιδευτεί κατάλληλα οι υπεύθυνοι επεξεργασίας για τα δεδομένα του Κανονισμού και πως αυτά πρέπει να εφαρμόζονται.

  1. Έχει πραγματοποιηθεί καταγγελία, ότι σε συνέντευξη Τύπου του Προέδρου μεγάλου Δημόσιου Οργανισμού δημοσιοποιήθηκαν χωρίς τη συγκατάθεση ή συναίνεσή τους και χωρίς καμία προηγούμενη ενημέρωσή τους προσωπικά δεδομένα 29 ατόμων, τα οποία μάλιστα παρουσιάσθηκαν ελλιπώς και συνδυάστηκαν εσφαλμένως με αποτέλεσμα να δημοσιοποιούνται παράνομα στον Τύπο, στο διαδίκτυο και στα μέσα κοινωνικής δικτύωσης. Σύμφωνα με τις καταγγελίες κοινοποιήθηκαν τα στοιχεία που αφορούν, πέρα από το ονοματεπώνυμό τους, το ποσοστό συμμετοχής τους στο μετοχικό κεφάλαιο του οργανισμού, το τίμημα απόκτησης σε ευρώ και τη χρονολογία συμβολαίου απόκτησης.

Η AΠΔΠΧ με την υπ’ αριθμ. 12/2019 έχει καλέσει τον οργανισμό, μεταξύ άλλων, να απαντήσει:

  1. Αν τα δεδομένα των μετόχων που γνωστοποιήθηκαν ήταν ήδη δημοσιοποιημένα ή είχαν ήδη καταστεί ευρύτερα γνωστά.
  2. Αν τα δεδομένα αυτά προϋπήρχαν στο αρχείο του οργανισμού ή σε άλλο προσβάσιμο από τον οργανισμό αρχείο.
  • Αν ασκήθηκε από τους καταγγέλλοντες, ως υποκείμενα των δεδομένων κάποιο δικαίωμα (δικαίωμα πρόσβασης/αντίρρησης).

Οι ανωτέρω αποφάσεις είναι σχετικά ήπιες αλλά σίγουρα “προειδοποιητικές” σχετικά με το τι θα επακολουθήσει.

Μιχάλης Χατζηαντωνίου

Πιστοποιημένος Υπεύθυνος Προστασίας Δεδομένων (C.D.P.O.)

Διεύθυνση Επιχειρηματικής Ανάπτυξης PRESTIGE GROUP