GDPR ένα χρόνο αργότερα: ποια διδάγματα και ποιες προοπτικές;

Νομική Παρακολούθηση – Ιούνιος 2019.

Στις 25 Μαΐου 2018 τέθηκε σε ισχύ ο Γενικός Κανονισμός για την Προστασία Δεδομένων.

Αυτό το νέο κείμενο έχει επιφέρει πολυάριθμες αλλαγές στις επιχειρηματικές πρακτικές, είτε σε επίπεδο εσωτερικής οργάνωσης είτε σε επίπεδο επαφών με τους πελάτες τους.

Παρόλο που η προστασία των δεδομένων έχει κατοχυρωθεί στο νομικό πλαίσιο από το 1978 στη Γαλλία και από το 1995 σε ευρωπαϊκό επίπεδο, ο παρών κανονισμός έδωσε νέα ώθηση σε αυτό που αποτελεί τόσο ανθρώπινο δικαίωμα όσο και οικονομικό ζήτημα. Και οι οικονομικές κυρώσεις που προβλέπονται στο νέο κείμενο δεν είναι ξένες προς αυτό.

Ποια είναι η πρακτική κατάσταση όσον αφορά τη συμμόρφωση, τις ενέργειες της CNIL και των ευρωπαϊκών ομολόγων της;

Στη Γαλλία, υπήρξε δραματική αύξηση των καταγγελιών, των ειδοποιήσεων ασφαλείας και των αιτημάτων για πληροφορίες προς την CNIL. Στα τέλη Μαΐου, η εποπτική αρχή δημοσίευσε μια στατιστική έκθεση για αυτό το πρώτο έτος, η οποία ανέφερε περισσότερες από 11.900 καταγγελίες (+30 %) και 2.044 ειδοποιήσεις παραβίασης δεδομένων. Η CNIL συνεχίζει επίσης να διερευνά πολυάριθμες υποθέσεις, μερικές από τις οποίες βρίσκονται σε συνεργασία με τους Ευρωπαίους γείτονές της. Έτσι, συμμετέχει σε 800 διακρατικές διαδικασίες.

Ενώ υποστηρίζει τις εταιρείες στις προσπάθειές τους για συμμόρφωση, η CNIL έχει επίσης επιβάλει πολυάριθμες κυρώσεις. Ας ρίξουμε μια πιο προσεκτική ματιά σε μερικές από αυτές:

• Η πιο εντυπωσιακή κύρωση είναι αναμφίβολα αυτή που επιβλήθηκε στην Google, για το ποσό ρεκόρ των πενήντα εκατομμυρίων ευρώ.

• Δύο άλλες, πολύ πιο μετριοπαθείς, κυρώσεις αξίζουν ωστόσο ιδιαίτερου ενδιαφέροντος, επειδή υποβλήθηκαν ενώπιον του Συμβουλίου της Επικρατείας, το οποίο εξέτασε την αναλογικότητά τους.

• Σε μία από τις υποθέσεις με ημερομηνία 17 Απριλίου 2019, το Συμβούλιο της Επικρατείας επικύρωσε το πρόστιμο των 75.000 ευρώ: μετά από επίσημη ειδοποίηση και πολλά επανειλημμένα αιτήματα από την CNIL, η Adef (Ένωση για την Ανάπτυξη Κατοικιών) δεν είχε ακόμη διορθώσει ένα ελάττωμα ασφαλείας που επέτρεπε την ηλεκτρονική πρόσβαση στα έγγραφα των αιτούντων στέγαση. Ο χρόνος που χρειάστηκε η ένωση για την εφαρμογή των απαιτούμενων διορθωτικών μέτρων ήταν ένας από τους καθοριστικούς παράγοντες για το Συμβούλιο της Επικρατείας.

• Στη δεύτερη υπόθεση, με ημερομηνία επίσης 17 Απριλίου 2019, το Συμβούλιο της Επικρατείας μείωσε το ποσό του προστίμου που επέβαλε η CNIL στην Optical Center: η εταιρεία είχε στην πραγματικότητα διορθώσει ένα ελάττωμα ασφαλείας εντός δύο ημερών από την κοινοποίηση της CNIL που επέτρεπε την πρόσβαση σε τιμολόγια πελατών μέσω της ιστοσελίδας της. Το πρόστιμο μειώθηκε από 250.000 σε 200.000 ευρώ.

• Θα ολοκληρώσουμε αυτήν τη σύντομη καταγραφή με την πιο πρόσφατη κύρωση της 13ης Ιουνίου 2019, σημαντική αυτή τη φορά επειδή αφορά μια πολύ μικρή επιχείρηση: η εταιρεία Uniontrad είχε εγκαταστήσει ένα σύστημα βιντεοεπιτήρησης που έθετε τους υπαλλήλους της υπό συνεχή παρακολούθηση.

Στην προκειμένη περίπτωση, η CNIL είχε επίσης ειδοποιήσει την εταιρεία δύο φορές πριν της δώσει επίσημη εντολή να αλλάξει τις πρακτικές της, χωρίς να έχουν ληφθεί τα απαιτούμενα μέτρα μέχρι το τέλος της ταχθείσας προθεσμίας. Στις 18 Ιουνίου, η CNIL επέβαλε διοικητικό πρόστιμο ύψους 20.000 ευρώ, λαμβάνοντας υπόψη το μέγεθος και την οικονομική κατάσταση της εταιρείας.

Το συμπέρασμα που εξάγεται από αυτές τις διάφορες υποθέσεις είναι ότι τόσο οι πολυεθνικές όσο και οι μικρότερες επιχειρήσεις ή ενώσεις είναι πιθανό να υποστούν κυρώσεις. Επιπλέον, όλες οι αποφάσεις υπογραμμίζουν τη σημασία της ανταπόκρισης του υπεύθυνου επεξεργασίας δεδομένων όταν ανακαλύπτεται μια παράβαση, καθώς και τον αντίκτυπο που έχει αυτή η ανταπόκριση στο ύψος οποιασδήποτε πιθανής κύρωσης.

Τι γίνεται με τους Ευρωπαίους γείτονές μας;

Όλοι οι δείκτες δείχνουν αύξηση στις καταγγελίες και τις έρευνες από τις αρχές προστασίας δεδομένων, καθώς και στο ύψος των κυρώσεων.

Υπάρχουν λίγο πάνω από 280.000 υποθέσεις σε όλες τις αρχές προστασίας δεδομένων στον Ευρωπαϊκό Οικονομικό Χώρο, συμπεριλαμβανομένων περίπου 144.000 καταγγελιών και 89 παραβιάσεων ασφαλείας. Στα τέλη Μαΐου, 371 αρχές προστασίας δεδομένων βρίσκονταν υπό έρευνα.

Μια πρωτοβουλία για την καταγραφή των διαφόρων κυρώσεων σε ευρωπαϊκό επίπεδο, η οποία επικαιροποιήθηκε από μια γερμανική εταιρεία συμβούλων, παρέχει μια συνολική εικόνα των ενεργειών των εποπτικών αρχών: https://www.enforcementtracker.com.

Οι υψηλότερες ποινές, εκτός από αυτήν που θέσπισε η CNIL σχετικά με την Google, επιβλήθηκαν από την Πορτογαλία, η οποία επέβαλε πρόστιμο 400.000 ευρώ σε ένα νοσοκομείο για μη προστασία των δεδομένων ασθενών· από την CNIL, πάλι, πρόστιμο 400.000 ευρώ σε ένα μεσιτικό γραφείο· και από την Ισπανία σχετικά με μια εφαρμογή smartphone που χρησιμοποιεί κρυφά τα μικρόφωνα των τηλεφώνων ατόμων. Το ισπανικό επαγγελματικό πρωτάθλημα ποδοσφαίρου τιμωρήθηκε με πρόστιμο 250.000 ευρώ για αυτήν την παράβαση και έχει ασκήσει έφεση κατά της απόφασης.

Προς τον συντονισμό των δημόσιων αρχών πέραν του ΓΚΠΔ;

Μια αξιοσημείωτη νέα εξέλιξη αφορά τη συνεργασία των δημόσιων αρχών με στόχο την αύξηση της συνοχής και της αποτελεσματικότητάς τους. Αυτές οι πρωτοβουλίες αφορούν ιδιαίτερα τις αρχές προστασίας δεδομένων, τις αρμόδιες για θέματα ανταγωνισμού και τις αρμόδιες για την προστασία των καταναλωτών.

Οι συζητήσεις, που ξεκίνησαν το 2016 από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων στο πλαίσιο του έργου «ψηφιακό κέντρο συμψηφισμού», ενορχηστρώνονται τώρα από τον ακαδημαϊκό τομέα και υποστηρίζονται από ψήφισμα του Ευρωπαϊκού Κοινοβουλίου.

Το έργο φέρνει πλέον σε επαφή αρχές από την Ευρώπη, καθώς και από άλλες ηπείρους. Οι συνέργειες που αναπτύχθηκαν επικεντρώνονται στην προστασία των ατόμων στο πλαίσιο της ψηφιακής οικονομίας και των «μεγάλων δεδομένων». Η συνάντηση στις 5 Ιουνίου 2019 συγκέντρωσε 25 εποπτικές αρχές από την Ευρωπαϊκή Ένωση και αλλού. Συζητήθηκαν δύο σημαντικά ζητήματα, που αφορούν το Facebook και τη Microsoft. Οι αρχές επικεντρώνουν επίσης τις συζητήσεις τους στην ανάπτυξη υπηρεσιών με μη χρηματική αποζημίωση. Με άλλα λόγια, σε ποιο βαθμό μπορούμε να δεχτούμε άτομα να πληρώνουν με τα δεδομένα τους σε αντάλλαγμα για μια ψηφιακή υπηρεσία;

Αναμένονται συγκεκριμένες οδηγίες σχετικά με αυτό το ζήτημα το φθινόπωρο, μετά την επόμενη συνεδρίαση των εποπτικών αρχών. Αυτή θα μπορούσε να αποτελέσει σημαντική εξέλιξη ενόψει των προκλήσεων της ψηφιακής οικονομίας.

Και επίσης:

• Στη Γαλλία: Το CNIL θέτει σε λειτουργία μια νέα έκδοση του εργαλείου του, που στοχεύει να βοηθήσει τον υπεύθυνο επεξεργασίας δεδομένων στις αναλύσεις επιπτώσεων (AIPD).

• στην Ευρώπη Προς μια αυστηρότερη ερμηνεία των κανόνων ηλεκτρονικής αναζήτησης υποψηφίων; Αρκετές εποπτικές αρχές έχουν ανακοινώσει ότι επανεξετάζουν την ερμηνεία τους, όσον αφορά τη λήψη συγκατάθεσης από τα υποκείμενα των δεδομένων και τα cookies. Σε αυτές περιλαμβάνονται το Βέλγιο, η Γαλλία, το Ηνωμένο Βασίλειο και η Ολλανδία. Πρέπει να σημειωθεί ότι το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων είχε ήδη αποφανθεί ρητά, σε δελτίο τύπου του Μαΐου 2018, κατά της χρήσης «τοίχων cookies», τα οποία εξαρτούν την πρόσβαση σε έναν ιστότοπο από τη συγκατάθεση των επισκεπτών.

• στον κόσμο: Προκειμένου να αξιολογήσει την ανάγκη για έναν νόμο που να ρυθμίζει τους αλγόριθμους, η Επιτροπή Εμπορίου της Γερουσίας των ΗΠΑ εξέτασε, κατά τη διάρκεια ακρόασης στις 25 Ιουνίου, πώς εταιρείες όπως η Google, το YouTube και το Facebook χρησιμοποιούν την τεχνητή νοημοσύνη για να επηρεάσουν...