Προστασία Προσωπικών Δεδομένων: ο Νέος Κανονισμός (GDPR) & οι Δαίμονές του

 Είναι η «Δεδομενίαση» η νέα «ασθένεια» στον επιχειρηματικό κόσμο; Πόσο μακριά μπορεί να φτάσει το «Χέρι του Κανονισμού» σε πολλές περιπτώσεις διαχείρισης δεδομένων; Είναι κρίσιμα ερωτήματα που προκύπτουν από την εφαρμογή του GDRP.

 Του Χρήστου Δ. Τζαβάρα

Δικηγόρος και Νομικός Σύμβουλος στην «OTEGLOBE AE»

 Ξεκινώντας από τους ορισμούς/βασικές έννοιες, ο ορισμός των προσωπικών δεδομένων παραμένει ευρύς, δημιουργώντας νέους «δαίμονες καταδίωξης παραβατών» σε κάθε επιχειρηματική δράση και πεδίο, αφού πλέον μιλάμε για «κάθε πληροφορία που αφορά φυσικό πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, η σε έναν η περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα φυσικού προσώπου».

«Δεδομενίαση»… μια νέα «ασθένεια»;

Από το 2016 που εκδόθηκε ο Κανονισμός, πολλοί κάνουν λόγο για μια νέα «ασθένεια» που αποκαλείται κωμικά -αλλά πάντως ρεαλιστικά- «Δεδομενίαση». Διάφορες εταιρείες έχουν ήδη σπεύσει να προσθέσουν/προτείνουν μακροσκελή προσαρτήματα σε μεταξύ τους συμβάσεις, όπου περιέχεται πλήθος υποχρεώσεων, ενίοτε όχι ιδιαίτερα σχετικών με την επιχειρηματική τους δράση, ενώ κάποιες εταιρείες εντός Ευρωπαϊκής Ένωσης (ΕΕ) προτείνουν τέτοιες συμβάσεις προς εταιρείες που δεν εδρεύουν ούτε δραστηριοποιούνται στην ΕΕ και δεν υπέχουν (λ.χ.) υποχρέωση να έχουν ορίσει «Υπεύθυνο Επεξεργασίας» (Data Protection Officer – DPO) ή να εκπονούν τακτικώς μελέτες εκτίμησης αντίκτυπου επεξεργασίας δεδομένων κ.λπ. Πρακτικά, το πρόβλημα είναι ήδη μεγάλο, αφού πολλοί αποδέκτες τέτοιων «σχεδίων προσαρτημάτων» θεωρούν πως ούτε εμπίπτουν στην έννοια του επεξεργαστή, ούτε υπέχουν τέτοιες υποχρεώσεις εκ της δικής τους (εκτός ΕΕ) νομοθεσίας.

Κρίσιμα ερωτήματα!

Πόσο μακριά λοιπόν μπορεί να φτάσει το «Χέρι του Κανονισμού» σε αυτές τις περιπτώσεις, όπως και το δικαίωμα του υποκειμένου επεξεργασίας (εν προκειμένω του συνδρομητή της εταιρείας λιανικής) όταν κάποιες παράμετροι που αφορούν την ζητούμενη από τον ίδιο υπηρεσία (πχ τερματισμός φωνής από την Ελλάδα στην Μπουρκίνα Φάσο) μπορεί να είναι αγνώστου προέλευσης και ταυτότητος… Κατά ποίου (εάν απαιτηθεί) θα ασκήσει το υποκείμενο επεξεργασίας το «δικαίωμα στην λήθη» που προβλέπει για αυτόν ο Κανονισμός και κατά ποιο δίκαιο θα κριθεί το θέμα του χρόνου παραγραφής νομικών αξιώσεων; Πρέπει ο κάθε ενδιάμεσος πάροχος από την Ελλάδα μέχρι την Αφρικανική Ήπειρο (στο ανωτέρω παράδειγμα) να το διασφαλίζει κατά τον Κανονισμό, ακόμη και όταν ένας ενδιάμεσος πάροχος έχει παρουσία και δραστηριότητα μόνον εκτός ΕΕ;

Σίγουρα το παραπάνω θέμα είναι ένα μικρό δείγμα «εγγενών παθήσεων» αλλά πιστεύω αναδεικνύει την δυσκολία της διάκρισης μεταξύ αριθμού και «δεδομένου» (κατά τον Κανονισμό πάντα), της απλής διέλευσης/διακίνησης κατ’ αντίθεση προς την ευρύτερη έννοια της «επεξεργασίας» αλλά και της προστασίας του υποκειμένου «κατά πάντων», στην οποία προφανώς αποσκοπεί ο Κανονισμός. Απομένει οι Ανεξάρτητες Αρχές κάθε κράτους, αλλά και οι Ομάδες Εργασίας του Κανονισμού να έχουν καλή αντίληψη και αίσθηση και των συναλλαγών που υφίστανται και οι οποίες βέβαια δεν μπορούν να δυσχερανθούν υπέρμετρα, ούτε να φτάσουν στο σημείο όπου το υποκείμενο θα είναι μεν προστατευμένο, αλλά δεν θα μπορεί να απολαύσει σύγχρονες υπηρεσίες, ως συνέπεια της «Δεδομενίασης» εάν αυτή επικρατήσει χωρίς ορθή κρίση. Είναι αυτή η ορθή κρίση που προσδοκούμε να οδηγήσει στην ίαση της διαφαινόμενης αυτής «ασθένειας».