ΆρθραGDPR: Άρχισαν τα «όργανα» (:πρόστιμα)

11 Αυγούστου, 2019by Stavros Koumentakis

Ι. Προοίμιο

«Ἔστι Δίκης ὀφθαλμός, ὅς τὰ πάνθ’ ὁρᾷ» έγραφε ο Μένανδρος στα Μονόστιχα του.

Η συγκεκριμένη φράση παραπέμπει, λιγότερο ή περισσότερο, σ’ αυτό που έχουμε συνηθίσει να αναφέρουμε ως «θεία δίκη» η οποία πάντοτε, αργά ή γρήγορα, «απονέμει δικαιοσύνη». Καθώς, στην πραγματικότητα, «θεία δίκη» (συχνά και ανθρώπινη) δεν υπάρχει ούτε και κάποια εξουσία ή αρχή διαθέτει «Δίκης ὀφθαλμόν, ὅς τὰ πάνθ’ ὁρᾷ». Βεβαίως ούτε και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (στο εξής: «Αρχή») διαθέτει τέτοιου είδους «τὰ πάνθ’ ὁρώντα» οφθαλμό.

Αντίθετα: Καλά γνωρίζουμε την ύπαρξη του ανθρώπινου οφθαλμού που (συχνά άγρυπνα) παρακολουθεί τα συμβαίνοντα και, ενίοτε, αρμοδίως τα καταγγέλλει: και στην Αρχή (άλλη, μεγάλη, συζήτηση η ηθική διάσταση της καταγγελίας και η ηθική του καταγγέλλοντος). Όσον αφορά όμως ειδικότερα την τελευταία (την Αρχή) υποχρεούται να κάνει χρήση του ανθρώπινου οφθαλμού (του δικού της ή εκείνου των επωνύμως ή ανωνύμως καταγγελλόντων) στο πλαίσιο της εκπλήρωσης των κατά το νόμο καθηκόντων της. Ιδίως εκείνο του θεματοφύλακα του Γενικού Κανονισμού Προστασίας Δεδομένων (στο εξής: «Κανονισμός») και επιβάλλοντος τις προβλεπόμενες κυρώσεις σε περίπτωση αποκλίσεων από όσα εκείνος επιτάσσει.

 

ΙΙ. Όλα ξεκίνησαν όταν…

Η Ένωση Λογιστών Ελεγκτών Περιφέρειας Αττικής (και, αυτονοήτως, πίσω από αυτήν, κάποιος δυσαρεστημένος, για άσχετα μάλλον θέματα, υπάλληλος) υπέβαλε τον Δεκέμβριο του 2017 καταγγελία σε βάρος της PriceWaterhouseCoopers ΑΕ (στη συνέχεια: «PWC». Η συγκεκριμένη καταγγελία απευθυνόταν στην Αρχή καθώς και (προφανώς για άσκηση μεγαλύτερης πίεσης) στο Υπουργείο Εργασίας και στο ΣΕΠΕ.

Το αντικείμενο της καταγγελίας αφορούσε παράνομη επεξεργασία προσωπικών δεδομένων των εργαζομένων (στη συνέχεια: «Δεδομένα») της PWC. Κατά την καταγγελία, η παράνομη επεξεργασία προσωπικών δεδομένων αφορούσε την «∆ήλωση Αποδοχής όρων Επεξεργασίας Προσωπικών ∆εδομένων» καθώς και τις νέες ατομικές συμβάσεις, οι οποίες περιελάμβαναν εδάφια που αναφέρονταν στην παροχή της συναίνεσης των εργαζομένων στην επεξεργασία προσωπικών δεδομένων τους και την περαιτέρω, ποικιλότροπη, παρακολούθησή τους στον χώρο εργασίας (κατά παράβαση του ν. 2472/1997). Τα δύο κείμενα (σύμβαση εργασίας και δήλωση) αξίωνε η PWC, δεδομένης της πλεονεκτικής της θέσης ως εργοδότριας-πάντα κατά την καταγγελία- να υπογράψουν, εξαναγκαζόμενοι, οι εργαζόμενοι της.

 

ΙΙΙ. Οι, κατά τον Κανονισμό, προϋποθέσεις για τη σύννομη επεξεργασία προσωπικών δεδομένων

Ο Κανονισμός άρχισε να εφαρμόζεται, με καθολική ισχύ, στις 25.5.2018. Διάταξη με ιδιαίτερο ενδιαφέρον στη συγκεκριμένη περίπτωση είναι αυτή του άρθρου 6 παρ. 1, η οποία προβλέπει:

« 1. Η επεξεργασία  είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α)  το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των προσωπικών δεδομένων του για έναν ή περισσότερους συγκεκριμένους σκοπούς,

β)  η επεξεργασία  είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,

γ)  η επεξεργασία προσωπικών δεδομένων είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,

δ)  η επεξεργασία  είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,

ε)  η επεξεργασία  είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,

στ) η επεξεργασία  είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους».

 

IV. Η διαδικασία που ακολουθήθηκε από την Αρχή για την έκδοση της υπ΄ αριθμόν 26/2019 απόφασής της για την επεξεργασία προσωπικών δεδομένων

Η Αρχή, ασχολούμενη για πρώτη φορά με θέμα που σχετιζόταν με την εφαρμογή του Κανονισμού, δαπάνησε σημαντικό χρόνο στη διερεύνησή του όλου θέματος, υποβάλλοντας σωρεία ερωτημάτων και αιτημάτων. H Αρχή όμως, για την αποφυγή παρανοήσεων και δημιουργία νομολογιακού δεδομένου, αισθάνεται την ανάγκη να επισημάνει στην απόφασή της: πως «εξαιτίας του ότι διανύεται το πρώτο χρονικό διάστημα εφαρμογής του ΓΚΠ∆, υποβάλλει ερωτήματα και αιτήματα στο πλαίσιο άσκησης των συναφών ερευνητικών – ελεγκτικών εξουσιών της, ώστε να διευκολύνει την από μέρους των υπευθύνων επεξεργασίας προσωπικών δεδομένων τεκμηρίωση της λογοδοσίας. Ο υπεύθυνος για την επεξεργασία προσωπικών δεδομένων οφείλει στο πλαίσιο των ελέγχων – ερευνών της Αρχής να παρουσιάζει από μόνος του και χωρίς σχετικά ερωτήματα και αιτήσεις της Αρχής τα μέτρα και πολιτικές που υιοθέτησε στο πλαίσιο της εσωτερικής οργάνωσης της συμμόρφωσης του, καθώς αυτός τελεί σε γνώση τους, αφού σχεδίασε και υλοποίησε τη σχετική οργάνωση» (§ 8).

Τι σημαίνει αυτό;

Σε κάποιον επόμενο, πάντως όχι μακρινό, χρόνο η Αρχή θα αξιώνει από τον Υπεύθυνο Επεξεργασίας προσωπικών δεδομένων την «τεκμηρίωση της λογοδοσίας» του, χωρίς η ίδια να αισθάνεται πως πρέπει να λειτουργεί με τη μαιευτική μέθοδο. Αν εκείνος τα καταφέρει έχει καλώς. Κι αν όμως όχι, πάλι έχει καλώς…

 

V. Οι παραδοχές της εκδοθείσας (με αριθμό 26/2019) απόφασης της Αρχής για την επεξεργασία προσωπικών δεδομένων

Στη συγκεκριμένη απόφαση γίνεται μια σειρά ιδιαίτερα σημαντικών παραδοχών. Επιχειρείται η καταγραφή των, κατά την άποψη του γράφοντος, ευρύτερου ενδιαφέροντος:

i. Η επιλογή της νομικής βάσης για την επεξεργασία προσωπικών δεδομένων

(α) Κατά την Αρχή (§ 6):

«Η συλλογή και επεξεργασία προσωπικών δεδομένων δεν θα πρέπει να λαμβάνει χώρα μυστικά ή με απόκρυψή της από το υποκείμενο των δεδομένων, καθώς και με απόκρυψη όλων των αναγκαίων πληροφοριών (εκτός εάν προβλέπεται από τη νομοθεσία τηρουμένων των προϋποθέσεων του άρθρου 8 ΕΣ∆Α). Η αναγνώριση και επιλογή της κατάλληλης νομικής βάσης εκ των προβλεπομένων στο άρθρο 6 παρ. 1 ΓΚΠ∆ είναι στενά συνδεδεμένη με την αρχή της θεμιτής ή δίκαιης επεξεργασίας καθώς και με την αρχή του περιορισμού του σκοπού, ο δε υπεύθυνος επεξεργασίας προσωπικών δεδομένων οφείλει όχι μόνο να επιλέξει την κατάλληλη νομική βάση προ της έναρξης της επεξεργασίας, αλλά και να ενημερώσει κατ’ αρ. 13 παρ. 1 εδ. γ’ και 14 παρ. 1 εδ. γ’ ΓΚΠ∆ για την χρήση της το υποκείμενο των δεδομένων, καθώς η επιλογή της κάθε νομικής βάσης ασκεί έννομη επιρροή στην εφαρμογή των δικαιωμάτων των υποκειμένων.

Έτσι, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται για τα δικαιώματά του, για τον νόμιμο και εύλογα αναμενόμενο από το ίδιο, αληθινό τρόπο και σκοπό επεξεργασίας, ο οποίος δεν πρέπει να αντίκειται στις ομοίως εύλογες και θεμιτές προσδοκίες προστασίας της ιδιωτικότητάς του, ούτε να οδηγεί εν αγνοία του στην πρόκληση κινδύνων για τα θεμελιώδη δικαιώματα και τις ελευθερίες του, ειδικότερα για το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα.

Στο πλαίσιο της αρχής της θεμιτής ή δίκαιης επεξεργασίας με διαφανή τρόπο είναι ιδιαίτερα σημαντικό ο υπεύθυνος επεξεργασίας να επιλέξει την κατάλληλη νομική βάση, ώστε να μην δημιουργηθεί στο υποκείμενο των δεδομένων η εσφαλμένη εντύπωση ότι παρέχει τη συγκατάθεσή του σύμφωνα με το άρθρο 6 παρ. 1 εδ. α’ ΓΚΠ∆, όταν στην πραγματικότητα η επεξεργασία βασίζεται στην εκτέλεση σύμβασης».

Συμπέρασμα:

Η επιλογή της κατάλληλης νομικής βάσης για την επεξεργασία δεδομένων προσωπικού χαρακτήρα (στο εξής: Δεδομένα) είναι εξαιρετικά σημαντική. Θα πρέπει να αντλείται από τη δεξαμενή της §1 του άρθρου 6 του Κανονισμού και να γνωστοποιείται στο υποκείμενο πριν από την έναρξη της επεξεργασίας τους

ii. Η επίκληση της ταυτόχρονης εφαρμογής περισσοτέρων νομικών βάσεων για την επεξεργασία προσωπικών δεδομένων

(α) Κατά την Αρχή (§ 12):

 «Έτσι, ενώ για την επεξεργασία δεδομένων προσωπικού χαρακτήρα του εργαζομένου που σχετίζονται άμεσα με την εργασιακή του απασχόληση θα εφαρμοσθεί η νομική βάση του άρθρου 6 παρ. 1 εδ. β’ ΓΚΠ∆ ή για την εκπλήρωση των υποχρεώσεων του εργοδότη σε σχέση με την κοινωνική ασφάλιση του εργαζομένου ή των συναφών φορολογικών υποχρεώσεων θα εφαρμοσθεί η νομική βάση του άρθρου 6 παρ. 1 εδ. γ’ ΓΚΠ∆ ή για την προστασία της περιουσίας και της εύρυθμης λειτουργίας της επιχείρησης θα εφαρμοσθεί η νομική βάση του άρθρου 6 παρ. 1 εδ. στ’ ΓΚΠ∆, εν τούτοις, η νομική βάση της συγκατάθεσης κατ’ άρθρο 6 παρ. 1 εδ. α’ ΓΚΠ∆ θα εφαρμοσθεί στις περιπτώσεις που δεν απομένει καμία άλλη νομική βάση εφαρμογής, όπως π.χ. στην περίπτωση κατά την οποία ο εργοδότης ζητά την συγκατάθεση των εργαζομένων προκειμένου να πάρουν μέρος στην μαγνητοσκόπηση στιγμών από τον εργασιακό τους βίο … ή π.χ. για την φωτογράφιση των εργαζομένων προκειμένου να αναρτηθεί η φωτογραφία τους στο εταιρικό ενδοδίκτυο (intranet) μαζί με τα υπόλοιπα στοιχεία επικοινωνίας τους…».

(β) Συμπέρασμα

Η επιλογή της συγκατάθεσης του υποκειμένου ως νομική βάση της επεξεργασίας των Δεδομένων του δεν μπορεί να αποτελεί πανάκεια: θα εφαρμοστεί, αποκλειστικά, στις περιπτώσεις εκείνες που δεν απομένει άλλη νομική βάση εφαρμογής.

iii. Σχετικά με την ορθή εφαρμογή της νομικής βάσης της συγκατάθεσης-γενικά

(α) Κατά την Αρχή

(§ 14): Όταν εφαρμόζεται ορθά η νομική βάση της συγκατάθεσης, υπό την έννοια ότι ουδεμία άλλη νομική βάση τυγχάνει εφαρμογής, η μη χορήγηση ή η ανάκλησή της ισοδυναμεί με απόλυτη απαγόρευση επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

(§ 21): «Πέραν όσων προαναφέρθηκαν, θα πρέπει να επισημανθεί συμπληρωματικά ότι, σε περίπτωση κατά την οποία ο υπεύθυνος επεξεργασίας έχει αμφιβολίες για τη νομιμότητα της επεξεργασίας, οφείλει σύμφωνα με τις διατάξεις του ΓΚΠ∆ και ιδίως με βάση τις αρχές του άρθρου 5 παρ. 1 ΓΚΠ∆ και την υποχρέωση λογοδοσίας κατά την παράγραφο 2 του ίδιου άρθρου, να άρει αυτές προ της επεξεργασίας ή να απέχει από την επεξεργασία μέχρι την άρση των αμφιβολιών».

(§ 24): «Με δεδομένο δε ότι η εταιρία επέλεξε τη νομική βάση της συγκατάθεσης, όφειλε σύμφωνα με τα προεκτεθέντα (βλ. παρ.14) να έχει προηγουμένως εξετάσει και αποκλείσει την εφαρμογή των λοιπών νομικών βάσεων, τεκμηριώνοντας και τους σχετικούς λόγους της επιλογής αυτής, ώστε η Αρχή να έχει τη δυνατότητα ελέγχου της ορθότητας της επιλογής αυτής. Επομένως, η εταιρία, κατά τούτο, παραβίασε την αρχή της λογοδοσίας».

(β) Συμπέρασμα

Όταν εφαρμόζεται ορθά η νομική βάση της συγκατάθεσης για την επεξεργασία Δεδομένων, η μη χορήγηση ή ανάκλησή της συγκατάθεσης, ισοδυναμεί με απόλυτη απαγόρευση της επεξεργασίας τους. Σε περίπτωση αμφιβολιών ο υπεύθυνος επεξεργασίας υποχρεούται να μην προβεί σε οποιαδήποτε επεξεργασία μέχρι την άρση τους και την (προηγούμενη) τεκμηρίωση της επιλογής του.

iv. Σχετικά με την ορθή εφαρμογή της νομικής βάσης της συγκατάθεσης-στο πλαίσιο ελέγχου των ηλεκτρονικών επικοινωνιών των εργαζομένων

(α) Κατά την Αρχή

(§ 16): «Η συγκατάθεση δεν συνιστά την κατάλληλη νομική βάση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα των εργαζομένων στο πλαίσιο ελέγχου των ηλεκτρονικών επικοινωνιών αυτών, αλλά η κατ’ αρ. 6 παρ. 1 εδ. στ’ ΓΚΠ∆ νομική βάση, όπως προεκτέθηκε… Αντίστοιχα, στην περίπτωση αυτή, προβληματική θα ήταν η επιλογή της νομικής βάσης της εκτέλεσης της εργασιακής σύμβασης κατ’ αρ. 6 παρ. 1 εδ. β’ ΓΚΠ∆ καθώς αφενός ενδέχεται (αναλόγως της φύσης της απασχόλησης) η συναφής επεξεργασία να υπερβαίνει το αναγκαίο για την εκτέλεση της (σύμβασης εργασίας) μέτρο…, αφετέρου, βάσιμα υποστηρίζεται… ότι ο έλεγχος των υπαλλήλων για σκοπούς ασφάλειας ή διαχείρισης, η εγκατάσταση και λειτουργία συστημάτων καταγγελίας παρατυπιών και η προστασία της φυσικής ασφάλειας καθώς και των ΤΠ και δικτύων θεωρούνται κατά βάση… έννομο συμφέρον του υπευθύνου επεξεργασίας, εφόσον αυτό είναι «αποδεκτό βάσει του νόμου»…»

(§ 23): «Η Αρχή έχει αναλυτικά αναφερθεί στις προϋποθέσεις, διαδικασίες και εγγυήσεις ελέγχου των μέσων επικοινωνίας και ηλεκτρονικού εξοπλισμού των εργαζομένων από τον εργοδότη με την υπ’ αρ. 34/2018 απόφασή της, στο πλαίσιο της οποίας έκρινε ότι ανάμεσα στις προϋποθέσεις σύννομης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα περιλαμβάνεται και η κατάρτιση και εφαρμογή εσωτερικού κανονισμού για την ορθή χρήση και λειτουργία του εξοπλισμού και του δικτύου πληροφορικής και επικοινωνιών, παραθέτοντας μάλιστα ελάχιστο περιεχόμενο αυτού (πολιτικές κ.λπ)».

(β) Συμπέρασμα

Το θέμα των προϋποθέσεων, διαδικασιών και εγγυήσεων ελέγχου των μέσων επικοινωνίας και ηλεκτρονικού εξοπλισμού των εργαζομένων είναι ένα εξαιρετικά ευρύ και σημαντικό θέμα που εξέρχεται των ορίων του παρόντος. Αυτό που μπορεί να επισημανθεί στην προκειμένη περίπτωση είναι πως, κατά βάση, πρέπει να διενεργείται στο πλαίσιο του άρθρου 6 παρ. 1στ του Κανονισμού: όταν δηλ. η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος-με τους εκεί διαλαμβανόμενους βέβαια σημαντικούς περιορισμούς.

v. Σχετικά με τη μεταφορά του βάρους της λογοδοσίας στους εργαζόμενους

(α) Κατά την Αρχή (§ 24):

«Επιπλέον, όπως αναφέρθηκε στην υπ’ αρ. 18 ii σκέψη της παρούσας η εταιρία μετέφερε και βάρυνε τους εργαζόμενους με την υποχρέωση λογοδοσίας, με την οποία η ίδια ήταν επιφορτισμένη σε εκείνη την περίπτωση, κατά παράβαση του άρθρου 5 παρ. 2 ΓΚΠ∆. Ειδικότερα, η εταιρία ζήτησε από τους εργαζόμενους να υπογράψουν στο Παράρτημα Ι ότι «αναγνωρίζουν»:

Πρώτον…

Δεύτερον…

Με τον τρόπο αυτό, η εταιρία μετέθεσε το βάρος λογοδοσίας ως προς την εφαρμογή της αρχής της ελαχιστοποίησης των δεδομένων στα υποκείμενα, ενώ όφειλε η ίδια στο πλαίσιο της εσωτερικής οργάνωσης και συμμόρφωσης να αξιολογήσει από μόνη της ποια δεδομένα προσωπικού χαρακτήρα είναι συναφή και πρόσφορα προς τον επιδιωκόμενο νόμιμο σκοπό επεξεργασίας, δοθέντος και του ότι η εταιρία ζητά από τους εργαζόμενους τα στοιχεία (δεδομένα) που της είναι αναγκαία για την επίτευξη των σκοπών της. Σε αντίθετη περίπτωση, οι εργαζόμενοι θα προσκόμιζαν όποια στοιχεία (δεδομένα) επιθυμούσαν οι ίδιοι ή ακόμη και κανένα στοιχείο (δεδομένο).

Εν όψει των ανωτέρω και συνδυαστικά προς τη δήλωση της εταιρίας στο μετ’ ακρόαση υπόμνημά της προς την Αρχή σύμφωνα με την οποία: «[…] αντιμέτωποι με το (ακόμη) νέο και εξειδικευμένο δίκαιο της προστασίας δεδομένων προσωπικού χαρακτήρα, υιοθετήσαμε συντηρητική προσέγγιση και, αποβλέποντας στη μέγιστη δυνατή διασφάλισή μας, αλλά και προκειμένου να μην διακινδυνεύσουμε ούτε καν να θεωρηθεί ότι ενδεχομένως να παραβιάζουμε δικαίωμα μισθωτού μας, ζητήσαμε και τη συναίνεση του προσωπικού μας»…, προκύπτει ότι η εταιρία θεώρησε εσφαλμένα ότι με την υπογραφή από τα υποκείμενα των δεδομένων των προβλέψεων που περιλαμβάνονται στο Παράρτημα Ι «απαλλάσσεται κάθε ευθύνης», την στιγμή κατά την οποία μάλιστα, οι εργαζόμενοι δεν έχουν συνήθως, όπως προαναφέρθηκε, τις ειδικές γνώσεις προκειμένου να προβούν σε έλεγχο νομιμότητας τήρησης των αρχών του άρθρου 5 παρ. 1 ΓΚΠ∆, με τον οποίο βαρύνεται κατ’ αρ. 5 παρ. 2 ΓΚΠ∆ ο υπεύθυνος επεξεργασίας. Επομένως, η εταιρία και στην περίπτωση αυτή, παραβίασε την αρχή της λογοδοσίας.

Τέλος, η εταιρία με την επιλογή ακατάλληλων νομικών βάσεων επεξεργασίας κατ’ αρ. 6 παρ. 1 ΓΚ∆Π (αρχικά της συγκατάθεσης και εν συνεχεία της εκτέλεσης σύμβασης για το σύνολο των σκοπών επεξεργασίας) παραβίασε την εκ του άρθρου 5 παρ. 2 υποχρέωσή της να τηρήσει και να αποδείξει την συμμόρφωσή της με την παράγραφο 1 του ίδιου άρθρου (αρχή της λογοδοσίας)».

(β) Συμπέρασμα:

Η υποχρέωση λογοδοσίας είναι μια σημαντική υποχρέωση του Υπευθύνου Επεξεργασίας με την οποία αποκλειστικά ο ίδιος βαρύνεται, κατά τον Κανονισμό. Η μεταφορά της συγκεκριμένης υποχρέωσης και του σχετικού βάρους στον εργαζόμενο (πως, λ.χ., «όλα καλά τα κάνει» ο Υπεύθυνος) είναι όχι μόνον ατελέσφορη αλλά και απολύτως επιβαρυντική και προβληματική για τον Υπεύθυνο Επεξεργασίας

 

VI. Το διατακτικό της με αριθμό 26/2019 απόφασης της Αρχής

Με τη συγκεκριμένη απόφασή της η Αρχή επέβαλε στην PWC: (α) την εντός τριμήνου ευθυγράμμισή της με τις διατάξεις του Κανονισμού και (β) «…αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο» ύψους 150.000€».

 

VII. Εν κατακλείδι

Η συντριπτική πλειονότητα των επιχειρήσεων της χώρας μας: είτε δεν ασχολήθηκε καθόλου με το GDPR μέχρι (ή/και μετά) την έναρξη ισχύος του Κανονισμού (25.5.2018) λόγω άγνοιας, αδιαφορίας ή προσδοκίας «κάποιας παράτασης»  είτε ασχολήθηκε πλημμελώς (από επιλογή, στη λογική «κάτι να κάνουμε-το ελάχιστο/το φθηνότερο» ή από κακή επιλογή συμβούλων).

Η Αρχή με τη συγκεκριμένη, 26/2019, απόφασή της μας δείχνει ότι η «περίοδος χάριτος» έληξε κι επίσης πως «κάθε κατεργάρης στον πάγκο του». Η περίπτωση η οποία την απασχόλησε είναι ενδεικτική του γεγονότος πως το μέγεθος ή/και η εξειδίκευση εκείνου που εκτελεί την επεξεργασία δε θα πρέπει να μας προϊδεάζει προς οποιαδήποτε κατεύθυνση. Μεταξύ άλλων: ούτε για την εφαρμογή (ορθή ή μη) του Κανονισμού ούτε για την ευνοϊκή αντιμετώπισή του από την Αρχή.

Η λογική που διαπνέει τον Κανονισμό είναι εκείνη της αυτορρύθμισης. Η Αρχή ούτε εγκρίνει τη σχετική συμμόρφωση των επιχειρήσεων ούτε και πληροφορείται ενδεχόμενες αποκλίσεις. Εκτός κι αν…

Εκτός κι αν διενεργήσει κάποιον έλεγχο αυτοβούλως, όπως εξάλλου δικαιούται, είτε δεχθεί καταγγελία.

Ο αρχικοί φόβοι μας, πριν ακόμα από την ημερομηνία έναρξης εφαρμογής του Κανονισμού, δυστυχώς επιβεβαιώνονται: οι επιχειρήσεις στην πλειονότητά τους (α), είναι ελλιπώς ή καθόλου προετοιμασμένες για τη συμμόρφωσή τους με τον Κανονισμό και (β) είναι εκτεθειμένες σε σοβαρές κυρώσεις

Υπάρχει ακόμα χρόνος;

Φυσικά! Μέχρις ότου, όμως, ο «ὀφθαλμός, ὅς τὰ πάνθ’ ὁρᾷ», εντοπίσει τα κακώς κείμενα και επιλέξει αρμοδίως να τα καταγγείλει: προφανώς όχι για την επίτευξη κάποιου υψηλού ιδεώδους (λ.χ. του δικαίου) αλλά, πιθανότατα, από ευτελή κίνητρα κινούμενος…

stavros-koumentakis

Σταύρος Κουμεντάκης
Senior Partner

Υ.Γ. Συνοπτική έκδοση αυτού του άρθρου δημοσιεύτηκε στην Εφημερίδα ΜΑΚΕΔΟΝΙΑ, στις 11 Αυγούστου 2019.

Stavros Koumentakis

Ι. Προοίμιο

«Ἔστι Δίκης ὀφθαλμός, ὅς τὰ πάνθ’ ὁρᾷ» έγραφε ο Μένανδρος στα Μονόστιχα του.

Η συγκεκριμένη φράση παραπέμπει, λιγότερο ή περισσότερο, σ’ αυτό που έχουμε συνηθίσει να αναφέρουμε ως «θεία δίκη» η οποία πάντοτε, αργά ή γρήγορα, «απονέμει δικαιοσύνη». Καθώς, στην πραγματικότητα, «θεία δίκη» (συχνά και ανθρώπινη) δεν υπάρχει ούτε και κάποια εξουσία ή αρχή διαθέτει «Δίκης ὀφθαλμόν, ὅς τὰ πάνθ’ ὁρᾷ». Βεβαίως ούτε και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (στο εξής: «Αρχή») διαθέτει τέτοιου είδους «τὰ πάνθ’ ὁρώντα» οφθαλμό.

Αντίθετα: Καλά γνωρίζουμε την ύπαρξη του ανθρώπινου οφθαλμού που (συχνά άγρυπνα) παρακολουθεί τα συμβαίνοντα και, ενίοτε, αρμοδίως τα καταγγέλλει: και στην Αρχή (άλλη, μεγάλη, συζήτηση η ηθική διάσταση της καταγγελίας και η ηθική του καταγγέλλοντος). Όσον αφορά όμως ειδικότερα την τελευταία (την Αρχή) υποχρεούται να κάνει χρήση του ανθρώπινου οφθαλμού (του δικού της ή εκείνου των επωνύμως ή ανωνύμως καταγγελλόντων) στο πλαίσιο της εκπλήρωσης των κατά το νόμο καθηκόντων της. Ιδίως εκείνο του θεματοφύλακα του Γενικού Κανονισμού Προστασίας Δεδομένων (στο εξής: «Κανονισμός») και επιβάλλοντος τις προβλεπόμενες κυρώσεις σε περίπτωση αποκλίσεων από όσα εκείνος επιτάσσει.

 

ΙΙ. Όλα ξεκίνησαν όταν…

Η Ένωση Λογιστών Ελεγκτών Περιφέρειας Αττικής (και, αυτονοήτως, πίσω από αυτήν, κάποιος δυσαρεστημένος, για άσχετα μάλλον θέματα, υπάλληλος) υπέβαλε τον Δεκέμβριο του 2017 καταγγελία σε βάρος της PriceWaterhouseCoopers ΑΕ (στη συνέχεια: «PWC». Η συγκεκριμένη καταγγελία απευθυνόταν στην Αρχή καθώς και (προφανώς για άσκηση μεγαλύτερης πίεσης) στο Υπουργείο Εργασίας και στο ΣΕΠΕ.

Το αντικείμενο της καταγγελίας αφορούσε παράνομη επεξεργασία των δεδομένων προσωπικού χαρακτήρα των εργαζομένων (στη συνέχεια: «Δεδομένα») της PWC. Κατά την καταγγελία, η παράνομη επεξεργασία αφορούσε την «∆ήλωση Αποδοχής όρων Επεξεργασίας Προσωπικών ∆εδομένων» καθώς και τις νέες ατομικές συμβάσεις, οι οποίες περιελάμβαναν εδάφια που αναφέρονταν στην παροχή της συναίνεσης των εργαζομένων στην επεξεργασία προσωπικών τους δεδομένων και την περαιτέρω, ποικιλότροπη, παρακολούθησή τους στον χώρο εργασίας (κατά παράβαση του ν. 2472/1997). Τα δύο κείμενα (σύμβαση εργασίας και δήλωση) αξίωνε η PWC, δεδομένης της πλεονεκτικής της θέσης ως εργοδότριας-πάντα κατά την καταγγελία- να υπογράψουν, εξαναγκαζόμενοι, οι εργαζόμενοι της.

 

ΙΙΙ. Οι, κατά τον Κανονισμό, προϋποθέσεις για τη σύννομη επεξεργασία των προσωπικών δεδομένων

Ο Κανονισμός άρχισε να εφαρμόζεται, με καθολική ισχύ, στις 25.5.2018. Διάταξη με ιδιαίτερο ενδιαφέρον στη συγκεκριμένη περίπτωση είναι αυτή του άρθρου 6 παρ. 1, η οποία προβλέπει:

« 1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

α)  το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,

β)  η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,

γ)  η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,

δ)  η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,

ε)  η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,

στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους».

 

IV. Η διαδικασία που ακολουθήθηκε από την Αρχή για την έκδοση της υπ΄ αριθμόν 26/2019 απόφασής της.

Η Αρχή, ασχολούμενη για πρώτη φορά με θέμα που σχετιζόταν με την εφαρμογή του Κανονισμού, δαπάνησε σημαντικό χρόνο στη διερεύνησή του όλου θέματος, υποβάλλοντας σωρεία ερωτημάτων και αιτημάτων. H Αρχή όμως, για την αποφυγή παρανοήσεων και δημιουργία νομολογιακού δεδομένου, αισθάνεται την ανάγκη να επισημάνει στην απόφασή της: πως «εξαιτίας του ότι διανύεται το πρώτο χρονικό διάστημα εφαρμογής του ΓΚΠ∆, υποβάλλει ερωτήματα και αιτήματα στο πλαίσιο άσκησης των συναφών ερευνητικών – ελεγκτικών εξουσιών της, ώστε να διευκολύνει την από μέρους των υπευθύνων επεξεργασίας τεκμηρίωση της λογοδοσίας. Ο υπεύθυνος επεξεργασίας οφείλει στο πλαίσιο των ελέγχων – ερευνών της Αρχής να παρουσιάζει από μόνος του και χωρίς σχετικά ερωτήματα και αιτήσεις της Αρχής τα μέτρα και πολιτικές που υιοθέτησε στο πλαίσιο της εσωτερικής οργάνωσης της συμμόρφωσης του, καθώς αυτός τελεί σε γνώση τους, αφού σχεδίασε και υλοποίησε τη σχετική οργάνωση» (§ 8).

Τι σημαίνει αυτό;

Σε κάποιον επόμενο, πάντως όχι μακρινό, χρόνο η Αρχή θα αξιώνει από τον Υπεύθυνο Επεξεργασίας την «τεκμηρίωση της λογοδοσίας» του, χωρίς η ίδια να αισθάνεται πως πρέπει να λειτουργεί με τη μαιευτική μέθοδο. Αν εκείνος τα καταφέρει έχει καλώς. Κι αν όμως όχι, πάλι έχει καλώς…

 

V. Η παραδοχές της εκδοθείσας (με αριθμό 26/2019) απόφασης της Αρχής

Στη συγκεκριμένη απόφαση γίνεται μια σειρά ιδιαίτερα σημαντικών παραδοχών. Επιχειρείται η καταγραφή των, κατά την άποψη του γράφοντος, ευρύτερου ενδιαφέροντος:

i. Η επιλογή της νομικής βάσης για την επεξεργασία των Δεδομένων

(α) Κατά την Αρχή (§ 6):

«Η συλλογή και επεξεργασία των δεδομένων προσωπικού χαρακτήρα δεν θα πρέπει να λαμβάνει χώρα μυστικά ή με απόκρυψή της από το υποκείμενο των δεδομένων, καθώς και με απόκρυψη όλων των αναγκαίων πληροφοριών (εκτός εάν προβλέπεται από τη νομοθεσία τηρουμένων των προϋποθέσεων του άρθρου 8 ΕΣ∆Α). Η αναγνώριση και επιλογή της κατάλληλης νομικής βάσης εκ των προβλεπομένων στο άρθρο 6 παρ. 1 ΓΚΠ∆ είναι στενά συνδεδεμένη με την αρχή της θεμιτής ή δίκαιης επεξεργασίας καθώς και με την αρχή του περιορισμού του σκοπού, ο δε υπεύθυνος επεξεργασίας οφείλει όχι μόνο να επιλέξει την κατάλληλη νομική βάση προ της έναρξης της επεξεργασίας, αλλά και να ενημερώσει κατ’ αρ. 13 παρ. 1 εδ. γ’ και 14 παρ. 1 εδ. γ’ ΓΚΠ∆ για την χρήση της το υποκείμενο των δεδομένων, καθώς η επιλογή της κάθε νομικής βάσης ασκεί έννομη επιρροή στην εφαρμογή των δικαιωμάτων των υποκειμένων.

Έτσι, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται για τα δικαιώματά του, για τον νόμιμο και εύλογα αναμενόμενο από το ίδιο, αληθινό τρόπο και σκοπό επεξεργασίας, ο οποίος δεν πρέπει να αντίκειται στις ομοίως εύλογες και θεμιτές προσδοκίες προστασίας της ιδιωτικότητάς του, ούτε να οδηγεί εν αγνοία του στην πρόκληση κινδύνων για τα θεμελιώδη δικαιώματα και τις ελευθερίες του, ειδικότερα για το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα.

Στο πλαίσιο της αρχής της θεμιτής ή δίκαιης επεξεργασίας με διαφανή τρόπο είναι ιδιαίτερα σημαντικό ο υπεύθυνος επεξεργασίας να επιλέξει την κατάλληλη νομική βάση, ώστε να μην δημιουργηθεί στο υποκείμενο των δεδομένων η εσφαλμένη εντύπωση ότι παρέχει τη συγκατάθεσή του σύμφωνα με το άρθρο 6 παρ. 1 εδ. α’ ΓΚΠ∆, όταν στην πραγματικότητα η επεξεργασία βασίζεται στην εκτέλεση σύμβασης».

Συμπέρασμα:

Η επιλογή της κατάλληλης νομικής βάσης για την επεξεργασία δεδομένων προσωπικού χαρακτήρα (στο εξής: Δεδομένα) είναι εξαιρετικά σημαντική. Θα πρέπει να αντλείται από τη δεξαμενή της §1 του άρθρου 6 του Κανονισμού και να γνωστοποιείται στο υποκείμενο πριν από την έναρξη της επεξεργασίας τους

ii. Η επίκληση της ταυτόχρονης εφαρμογής περισσοτέρων νομικών βάσεων για την επεξεργασία Δεδομένων

(α) Κατά την Αρχή (§ 12):

 «Έτσι, ενώ για την επεξεργασία δεδομένων προσωπικού χαρακτήρα του εργαζομένου που σχετίζονται άμεσα με την εργασιακή του απασχόληση θα εφαρμοσθεί η νομική βάση του άρθρου 6 παρ. 1 εδ. β’ ΓΚΠ∆ ή για την εκπλήρωση των υποχρεώσεων του εργοδότη σε σχέση με την κοινωνική ασφάλιση του εργαζομένου ή των συναφών φορολογικών υποχρεώσεων θα εφαρμοσθεί η νομική βάση του άρθρου 6 παρ. 1 εδ. γ’ ΓΚΠ∆ ή για την προστασία της περιουσίας και της εύρυθμης λειτουργίας της επιχείρησης θα εφαρμοσθεί η νομική βάση του άρθρου 6 παρ. 1 εδ. στ’ ΓΚΠ∆, εν τούτοις, η νομική βάση της συγκατάθεσης κατ’ άρθρο 6 παρ. 1 εδ. α’ ΓΚΠ∆ θα εφαρμοσθεί στις περιπτώσεις που δεν απομένει καμία άλλη νομική βάση εφαρμογής, όπως π.χ. στην περίπτωση κατά την οποία ο εργοδότης ζητά την συγκατάθεση των εργαζομένων προκειμένου να πάρουν μέρος στην μαγνητοσκόπηση στιγμών από τον εργασιακό τους βίο … ή π.χ. για την φωτογράφιση των εργαζομένων προκειμένου να αναρτηθεί η φωτογραφία τους στο εταιρικό ενδοδίκτυο (intranet) μαζί με τα υπόλοιπα στοιχεία επικοινωνίας τους…».

(β) Συμπέρασμα

Η επιλογή της συγκατάθεσης του υποκειμένου ως νομική βάση της επεξεργασίας των Δεδομένων του δεν μπορεί να αποτελεί πανάκεια: θα εφαρμοστεί, αποκλειστικά, στις περιπτώσεις εκείνες που δεν απομένει άλλη νομική βάση εφαρμογής.

iii. Σχετικά με την ορθή εφαρμογή της νομικής βάσης της συγκατάθεσης-γενικά

(α) Κατά την Αρχή

(§ 14): Όταν εφαρμόζεται ορθά η νομική βάση της συγκατάθεσης, υπό την έννοια ότι ουδεμία άλλη νομική βάση τυγχάνει εφαρμογής, η μη χορήγηση ή η ανάκλησή της ισοδυναμεί με απόλυτη απαγόρευση επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

(§ 21): «Πέραν όσων προαναφέρθηκαν, θα πρέπει να επισημανθεί συμπληρωματικά ότι, σε περίπτωση κατά την οποία ο υπεύθυνος επεξεργασίας έχει αμφιβολίες για τη νομιμότητα της επεξεργασίας, οφείλει σύμφωνα με τις διατάξεις του ΓΚΠ∆ και ιδίως με βάση τις αρχές του άρθρου 5 παρ. 1 ΓΚΠ∆ και την υποχρέωση λογοδοσίας κατά την παράγραφο 2 του ίδιου άρθρου, να άρει αυτές προ της επεξεργασίας ή να απέχει από την επεξεργασία μέχρι την άρση των αμφιβολιών».

(§ 24): «Με δεδομένο δε ότι η εταιρία επέλεξε τη νομική βάση της συγκατάθεσης, όφειλε σύμφωνα με τα προεκτεθέντα (βλ. παρ.14) να έχει προηγουμένως εξετάσει και αποκλείσει την εφαρμογή των λοιπών νομικών βάσεων, τεκμηριώνοντας και τους σχετικούς λόγους της επιλογής αυτής, ώστε η Αρχή να έχει τη δυνατότητα ελέγχου της ορθότητας της επιλογής αυτής. Επομένως, η εταιρία, κατά τούτο, παραβίασε την αρχή της λογοδοσίας».

(β) Συμπέρασμα

Όταν εφαρμόζεται ορθά η νομική βάση της συγκατάθεσης για την επεξεργασία Δεδομένων, η μη χορήγηση ή ανάκλησή της συγκατάθεσης, ισοδυναμεί με απόλυτη απαγόρευση της επεξεργασίας τους. Σε περίπτωση αμφιβολιών ο υπεύθυνος επεξεργασίας υποχρεούται να μην προβεί σε οποιαδήποτε επεξεργασία μέχρι την άρση τους και την (προηγούμενη) τεκμηρίωση της επιλογής του.

iv. Σχετικά με την ορθή εφαρμογή της νομικής βάσης της συγκατάθεσης-στο πλαίσιο ελέγχου των ηλεκτρονικών επικοινωνιών των εργαζομένων

(α) Κατά την Αρχή

(§ 16): «Η συγκατάθεση δεν συνιστά την κατάλληλη νομική βάση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα των εργαζομένων στο πλαίσιο ελέγχου των ηλεκτρονικών επικοινωνιών αυτών, αλλά η κατ’ αρ. 6 παρ. 1 εδ. στ’ ΓΚΠ∆ νομική βάση, όπως προεκτέθηκε… Αντίστοιχα, στην περίπτωση αυτή, προβληματική θα ήταν η επιλογή της νομικής βάσης της εκτέλεσης της εργασιακής σύμβασης κατ’ αρ. 6 παρ. 1 εδ. β’ ΓΚΠ∆ καθώς αφενός ενδέχεται (αναλόγως της φύσης της απασχόλησης) η συναφής επεξεργασία να υπερβαίνει το αναγκαίο για την εκτέλεση της (σύμβασης εργασίας) μέτρο…, αφετέρου, βάσιμα υποστηρίζεται… ότι ο έλεγχος των υπαλλήλων για σκοπούς ασφάλειας ή διαχείρισης, η εγκατάσταση και λειτουργία συστημάτων καταγγελίας παρατυπιών και η προστασία της φυσικής ασφάλειας καθώς και των ΤΠ και δικτύων θεωρούνται κατά βάση… έννομο συμφέρον του υπευθύνου επεξεργασίας, εφόσον αυτό είναι «αποδεκτό βάσει του νόμου»…»

(§ 23): «Η Αρχή έχει αναλυτικά αναφερθεί στις προϋποθέσεις, διαδικασίες και εγγυήσεις ελέγχου των μέσων επικοινωνίας και ηλεκτρονικού εξοπλισμού των εργαζομένων από τον εργοδότη με την υπ’ αρ. 34/2018 απόφασή της, στο πλαίσιο της οποίας έκρινε ότι ανάμεσα στις προϋποθέσεις σύννομης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα περιλαμβάνεται και η κατάρτιση και εφαρμογή εσωτερικού κανονισμού για την ορθή χρήση και λειτουργία του εξοπλισμού και του δικτύου πληροφορικής και επικοινωνιών, παραθέτοντας μάλιστα ελάχιστο περιεχόμενο αυτού (πολιτικές κ.λπ)».

(β) Συμπέρασμα

Το θέμα των προϋποθέσεων, διαδικασιών και εγγυήσεων ελέγχου των μέσων επικοινωνίας και ηλεκτρονικού εξοπλισμού των εργαζομένων είναι ένα εξαιρετικά ευρύ και σημαντικό θέμα που εξέρχεται των ορίων του παρόντος. Αυτό που μπορεί να επισημανθεί στην προκειμένη περίπτωση είναι πως, κατά βάση, πρέπει να διενεργείται στο πλαίσιο του άρθρου 6 παρ. 1στ του Κανονισμού: όταν δηλ. η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος-με τους εκεί διαλαμβανόμενους βέβαια σημαντικούς περιορισμούς.

v. Σχετικά με τη μεταφορά του βάρους της λογοδοσίας στους εργαζόμενους

(α) Κατά την Αρχή (§ 24):

«Επιπλέον, όπως αναφέρθηκε στην υπ’ αρ. 18 ii σκέψη της παρούσας η εταιρία μετέφερε και βάρυνε τους εργαζόμενους με την υποχρέωση λογοδοσίας, με την οποία η ίδια ήταν επιφορτισμένη σε εκείνη την περίπτωση, κατά παράβαση του άρθρου 5 παρ. 2 ΓΚΠ∆. Ειδικότερα, η εταιρία ζήτησε από τους εργαζόμενους να υπογράψουν στο Παράρτημα Ι ότι «αναγνωρίζουν»:

Πρώτον…

Δεύτερον…

Με τον τρόπο αυτό, η εταιρία μετέθεσε το βάρος λογοδοσίας ως προς την εφαρμογή της αρχής της ελαχιστοποίησης των δεδομένων στα υποκείμενα, ενώ όφειλε η ίδια στο πλαίσιο της εσωτερικής οργάνωσης και συμμόρφωσης να αξιολογήσει από μόνη της ποια δεδομένα προσωπικού χαρακτήρα είναι συναφή και πρόσφορα προς τον επιδιωκόμενο νόμιμο σκοπό επεξεργασίας, δοθέντος και του ότι η εταιρία ζητά από τους εργαζόμενους τα στοιχεία (δεδομένα) που της είναι αναγκαία για την επίτευξη των σκοπών της. Σε αντίθετη περίπτωση, οι εργαζόμενοι θα προσκόμιζαν όποια στοιχεία (δεδομένα) επιθυμούσαν οι ίδιοι ή ακόμη και κανένα στοιχείο (δεδομένο).

Εν όψει των ανωτέρω και συνδυαστικά προς τη δήλωση της εταιρίας στο μετ’ ακρόαση υπόμνημά της προς την Αρχή σύμφωνα με την οποία: «[…] αντιμέτωποι με το (ακόμη) νέο και εξειδικευμένο δίκαιο της προστασίας δεδομένων προσωπικού χαρακτήρα, υιοθετήσαμε συντηρητική προσέγγιση και, αποβλέποντας στη μέγιστη δυνατή διασφάλισή μας, αλλά και προκειμένου να μην διακινδυνεύσουμε ούτε καν να θεωρηθεί ότι ενδεχομένως να παραβιάζουμε δικαίωμα μισθωτού μας, ζητήσαμε και τη συναίνεση του προσωπικού μας»…, προκύπτει ότι η εταιρία θεώρησε εσφαλμένα ότι με την υπογραφή από τα υποκείμενα των δεδομένων των προβλέψεων που περιλαμβάνονται στο Παράρτημα Ι «απαλλάσσεται κάθε ευθύνης», την στιγμή κατά την οποία μάλιστα, οι εργαζόμενοι δεν έχουν συνήθως, όπως προαναφέρθηκε, τις ειδικές γνώσεις προκειμένου να προβούν σε έλεγχο νομιμότητας τήρησης των αρχών του άρθρου 5 παρ. 1 ΓΚΠ∆, με τον οποίο βαρύνεται κατ’ αρ. 5 παρ. 2 ΓΚΠ∆ ο υπεύθυνος επεξεργασίας. Επομένως, η εταιρία και στην περίπτωση αυτή, παραβίασε την αρχή της λογοδοσίας.

Τέλος, η εταιρία με την επιλογή ακατάλληλων νομικών βάσεων επεξεργασίας κατ’ αρ. 6 παρ. 1 ΓΚ∆Π (αρχικά της συγκατάθεσης και εν συνεχεία της εκτέλεσης σύμβασης για το σύνολο των σκοπών επεξεργασίας) παραβίασε την εκ του άρθρου 5 παρ. 2 υποχρέωσή της να τηρήσει και να αποδείξει την συμμόρφωσή της με την παράγραφο 1 του ίδιου άρθρου (αρχή της λογοδοσίας)».

(β) Συμπέρασμα:

Η υποχρέωση λογοδοσίας είναι μια σημαντική υποχρέωση του Υπευθύνου Επεξεργασίας με την οποία αποκλειστικά ο ίδιος βαρύνεται, κατά τον Κανονισμό. Η μεταφορά της συγκεκριμένης υποχρέωσης και του σχετικού βάρους στον εργαζόμενο (πως, λ.χ., «όλα καλά τα κάνει» ο Υπεύθυνος) είναι όχι μόνον ατελέσφορη αλλά και απολύτως επιβαρυντική και προβληματική για τον Υπεύθυνο Επεξεργασίας

 

VI. Το διατακτικό της με αριθμό 26/2019 απόφασης της Αρχής

Με τη συγκεκριμένη απόφασή της η Αρχή επέβαλε στην PWC: (α) την εντός τριμήνου ευθυγράμμισή της με τις διατάξεις του Κανονισμού και (β) «…αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο» ύψους 150.000€».

 

VII. Εν κατακλείδι

Η συντριπτική πλειονότητα των επιχειρήσεων της χώρας μας: είτε δεν ασχολήθηκε καθόλου με το GDPR μέχρι (ή/και μετά) την έναρξη ισχύος του Κανονισμού (25.5.2018) λόγω άγνοιας, αδιαφορίας ή προσδοκίας «κάποιας παράτασης»  είτε ασχολήθηκε πλημμελώς (από επιλογή, στη λογική «κάτι να κάνουμε-το ελάχιστο/το φθηνότερο» ή από κακή επιλογή συμβούλων).

Η Αρχή με τη συγκεκριμένη, 26/2019, απόφασή της μας δείχνει ότι η «περίοδος χάριτος» έληξε κι επίσης πως «κάθε κατεργάρης στον πάγκο του». Η περίπτωση η οποία την απασχόλησε είναι ενδεικτική του γεγονότος πως το μέγεθος ή/και η εξειδίκευση εκείνου που εκτελεί την επεξεργασία δε θα πρέπει να μας προϊδεάζει προς οποιαδήποτε κατεύθυνση. Μεταξύ άλλων: ούτε για την εφαρμογή (ορθή ή μη) του Κανονισμού ούτε για την ευνοϊκή αντιμετώπισή του από την Αρχή.

Η λογική που διαπνέει τον Κανονισμό είναι εκείνη της αυτορρύθμισης. Η Αρχή ούτε εγκρίνει τη σχετική συμμόρφωση των επιχειρήσεων ούτε και πληροφορείται ενδεχόμενες αποκλίσεις. Εκτός κι αν…

Εκτός κι αν διενεργήσει κάποιον έλεγχο αυτοβούλως, όπως εξάλλου δικαιούται, είτε δεχθεί καταγγελία.

Ο αρχικοί φόβοι μας, πριν ακόμα από την ημερομηνία έναρξης εφαρμογής του Κανονισμού, δυστυχώς επιβεβαιώνονται: οι επιχειρήσεις στην πλειονότητά τους (α), είναι ελλιπώς ή καθόλου προετοιμασμένες για τη συμμόρφωσή τους με τον Κανονισμό και (β) είναι εκτεθειμένες σε σοβαρές κυρώσεις

Υπάρχει ακόμα χρόνος;

Φυσικά! Μέχρις ότου, όμως, ο «ὀφθαλμός, ὅς τὰ πάνθ’ ὁρᾷ», εντοπίσει τα κακώς κείμενα και επιλέξει αρμοδίως να τα καταγγείλει: προφανώς όχι για την επίτευξη κάποιου υψηλού ιδεώδους (λ.χ. του δικαίου) αλλά, πιθανότατα, από ευτελή κίνητρα κινούμενος…

stavros-koumentakis

Σταύρος Κουμεντάκης
Senior Partner

Υ.Γ. Συνοπτική έκδοση αυτού του άρθρου δημοσιεύτηκε στην Εφημερίδα ΜΑΚΕΔΟΝΙΑ, στις 11 Αυγούστου 2019.

Koumentakis Law

https://koumentakislaw.gr/wp-content/uploads/2020/01/Koumentakis-and-Associates-NewLogo2020-White-Text-Final.png
Λεωφ. Νίκης & Μοργκεντάου 1, 54622 Θεσσαλονίκη
(+30) 2310 27 80 84

Follow us:

Επικοινωνία

Copyright © Koumentakis Law 2023

Created by Infinity Web