GDPR: Ανασκόπηση 2018 σε αριθμούς

13/01/2019 08:56

Προτού τεθεί σε ισχύ ο GDPR στις 25 Μαϊου 2018, επικρατούσε μεγάλη αβεβαιότητα σχετικά με τον τρόπο με τον οποίο η νέα νομοθεσία θα μπορέσει να επηρεάσει τις εργασιακές πρακτικές σε διάφορους επιχειρηματικούς κλάδους και στις περισσότερες βιομηχανίες  υπήρξε ευρεία ανησυχία ότι ο GDPR θα περιόριζε σε μεγάλο βαθμό ή θα έθετε τέλος στις πρακτικές ασφαλείας που εφαρμόζονταν για χρόνια. Η προοπτική επιβολής προστίμων ύψους μέχρι και 4% του παγκόσμιου κύκλου εργασιών ήταν ένα από τα μεγαλύτερα σημεία συζήτησης του GDPR.

Σήμερα, περίπου μισό χρόνο μετά την εφαρμογή του GDPR, τα στατιστικά στοιχεία από διάφορες Ευρωπαϊκές χώρες δείχνουν ότι η πραγματικότητα δεν αφορά ένα απλό σύνολο νόμων και γενικών αρχών, αλλά την εφαρμογή τους σε πραγματικά περιστατικά παραβίασης προσωπικών δεδομένων, καταγγελίες και πρόστιμα από τις αρμόδιες Αρχές.

Μέχρι στιγμής έχουμε δει μερικά μεμονωμένα περιστατικά. Χαρακηριστικό παράδειγμα αποτελεί περιστατικό πραβίασης που έλαβε χώρα τον Οκτώβριο σε νοσοκομείο της Πορτογαλίας και στο οποίο επεβλήθη πρόστιμο € 400.000 για δύο παραβιάσεις GDPR που σχετίζονται με μη εξουσιοδοτημένη πρόσβαση στα δεδομένα ασθενών. Εν τω μεταξύ, το Facebook ανακοίνωσε την ύπαρξη πιθανής παραβίασης στα δεδομένα 50 εκατομμυρίων χρηστών τον Σεπτέμβριο.

Στην Ελλάδα, η πρώτη απόφαση εφαρμογής του GDPR αφορά  την αποστολή μέσω της εφαρμογής Viber ενός προωθητικού μηνύματος επιχείρησης, που όπως και πολλές άλλες, προσπάθησε στις 24-5-2018, μια μέρα πριν τη θέση σε ισχύ του GDPR, να αποκτήσει την πολυπόθητη συγκατάθεση. Το μήνυμα ακολούθησε την τακτική της «υποβολής», με το γνωστό λεκτικό των ημερών εκείνων «ευχαριστούμε για τη συγκατάθεση σας», που όμως δεν είχε δοθεί ποτέ, κατά τους ισχυρισμούς του καταγγέλλοντος και τα όσα δέχθηκε η Αρχή στην απόφαση της.

Η Αρχή επέβαλλε επίπληξη στην καταγγελλόμενη επιχείρηση, συνεκτιμώντας την χαμηλή βαρύτητα της παράβασης και το γεγονός ότι δεν υπήρξε άλλο παράπονο εναντίον της.

Tα κατωτέρω διαγράμματα απεικονίζουν στατιστικές πληροφορίες που έχουν συλλεχθεί από Αρχές Προστασίας Δεδομένων Προσωπικού Χαρακτήρα από 8 Ευρωπαϊκές Χώρες: Τη Γαλλία, τη Γερμανία, την Ιρλανδία, την Ιταλία, την Πολωνία, τη Ρουμανία, τη Σουηδία και το Ηνωμένο Βασίλειο.

Αξίζει να σημειωθεί ωστόσο ότι τα δεδομένα από τις διάφορες χώρες δεν είναι απολύτως συγκρίσιμα. Ορισμένες Αρχές δημοσιεύουν τακτικά λεπτομερή στατιστικά στοιχεία (π.χ. Γαλλία, Ηνωμένο Βασίλειο) ή ανταποκρίνονται γρήγορα σε αιτήματα φυσικών προσώπων(π.χ. Πολωνία) ενώ κάποιες άλλες  κατέστησαν σαφές ότι οι τακτικές στατιστικές ενημερώσεις είναι υπερβολικά επαχθείς λόγω του φόρτου εργασίας που αντιμετωπίζουν.

Τα απεικονιζόμενα στατιστικά στοιχεία από τις Αρχές περιλαμβάνουν τέσσερις κατηγορίες:

  • Τον συνολικό αριθμό καταγγελιών
  • Τον συνολικό αριθμό κοινοποιήσεων παραβίασης προσωπικών δεδομένων
  • Τον αριθμό των κωδίκων δεοντολογίας (που υποβάλλονται και εγκρίνονται)

Παρόλο που τα εν λόγω στοιχεία δεν είναι απόλυτα ακριβή, για παράδειγμα οι στατιστικές από τη Γερμανία περιλαμβάνουν μόνο 5 από τα 16 γερμανικά κράτη ενώ τα στοιχεία της βρετανικής αρχής περιλαμβάνουν όχι μόνο καταγγελίες και κοινοποιήσεις παραβίασης που κατατέθηκαν στο πλαίσιο του GDPR αλλά και ενέργειες που ελήφθησαν μετά τις 25 Μαΐου 2018 βάσει του προηγούμενου νόμου περί προστασίας δεδομένων του 1998, μας παρέχουν μια σαφή εικόνα για τη λειτουργία του GDPR.

  • Συνολικός αριθμός καταγγελιών

Ο μεγαλύτερος αριθμός καταγγελιών σημειώνεται στο Ηνωμένο Βασίλειο γεγονός που αποδεικνύει ότι τα φυσικά πρόσωπα είναι γνώστες των δικαιωμάτων τους και έσπευσαν να λάβουν μόνοι τους μέτρα, ενώ το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ισχυρίζεται ότι έχουν κατατεθεί περισσότερες από 42.230 καταγγελίες σε ολόκληρη την Ευρώπη.

  • Συνολικός αριθμός κοινοποιήσεων περιστατικών παραβίασης προσωπικών δεδομένων

Ο συνολικός αριθμός κοινοποιήσεων παραβίασης δεδομένων (σχεδόν 13.000 συνολικά) υποδηλώνει ότι οι επιχειρήσεις και οι οργανισμοί αντιμετωπίζουν σοβαρά την υποχρέωση που επιβάλλει το άρθρο 33 του GDPR. Μάλιστα οι Αρχές των χωρών ανέφεραν απότομη αύξηση του αριθμού των κοινοποιήσεων παραβίασης δεδομένων σε σύγκριση με την ίδια περίοδο πέρυσι. Αυτό, βεβαίως, δεν σημαίνει ότι συμβαίνουν πλέον περισσότερες παραβιάσεις, αλλά ότι τώρα  κοινοποιούνται συχνότερα λόγω του φόβου επιβολής αυξημένου προστίμου. Η βρετανική αρχή κάνει αναφορά σε περιπτώσεις παραβίασης που αφορούν κυριώς αποκάλυψη προσωπικών δεδομένων (4.000 περιπτώσεις περίπου).

 

  • Αριθμός επιβληθέντων προστίμων

Ο αριθμός των προστίμων είναι σχετικά μικρός δεδομένου ότι ο νόμος τέθηκε σε ισχύ πριν από μερικούς μήνες και οι έρευνες είναι χρονοβόρες καθώς πρέπει να διεξαχθούν με ιδιαίτερη προσοχή.

Η Αρχή για την Προστασία των Δεδομένων και την Ελευθερία της Πληροφόρησης του Baden-Wuerttemberg (LfDI) έγινε η πρώτη γερμανική αρχή προστασίας δεδομένων που επέβαλε πρόστιμο στο πλαίσιο του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR). Το πρόστιμο ύψους € 20.000 επιβλήθηκε σε εταιρεία που λειτουργούσε μέσο κοινωνικής δικτύωσης (Knuddels.de) για παραβίαση της υποχρέωσής της να διασφαλίζει την ασφάλεια της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, σύμφωνα με το άρθρο 32 GDPR (ψευδωνυμοποίηση και κρυπτογράφηση δεδομένων προσωπικού χαρακτήρα).

Πολυάριθμα παραδείγματα επιβολής προστίμων συναντάμε στο Ηνωμένο Βασίλειο του  Heathrow Airport Limited, όπου επεβλήθη πρόστιμο £120,000 λόγω αποτυχίας λήψης κατάλληλων μέτρων που εγγυώνται την ασφάλεια των φορητών αποθηκευτικών μέσων και της εταιρείας Oaklands Assist (UK) Limited, όπου επεβλήθη πρόστιμο  £150,000 για κλήσεις μάρκετινγκ.

  • Αριθμός κωδίκων δεοντολογίας

Ελάχιστα είναι τα σχέδια κωδίκων δεοντολογίας που υποβλήθηκαν στις Αρχές Προστασίας Δεδομένων σύμφωνα με το άρθρο 40 του GDPR και κανένα από αυτά δεν έχει ακόμη εγκριθεί. Ωστόσο το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων βρίσκεται στη διαδικασία κατάρτισης κατευθυντήριων γραμμών για τους εν λόγω κώδικες. Η Ρουμανία, η Πολωνία και η Γερμανία είναι μέχρι στιγμής οι χώρες που έχουν υποβάλει στις Αρμόδιες Αρχές τα Σχέδια Κωδίκων Δεοντολογίας που έχουν καταρτίσει.

Από όλα αυτά συνάγεται ότι, λόγω της έλλειψης καθοδήγησης και διαθέσιμων πόρων από τις αρχές, η διαδικασία συμμόρφωσης με τον Κανονισμό παραμένει δύσκολη και χρονοβόρα.

Αν και είναι βέβαιο πως οι μεγάλοι πολυεθνικοί οργανισμοί, όπως το Facebook, θα συνεχίσουν να προσελκύουν τις καταγγελίες και τα πρόστιμα που επιβάλλει ο GDPR αλλά και η ασφάλεια των δεδομένων γενικά σε μεγαλύτερο βαθμό, οι μικρές επιχειρήσεις θα αρχίσουν να αισθάνονται τον αντίκτυπο του κανονισμού πιο έντονα το 2019. Και τούτο διότι ο δρόμος προς τη συμμόρφωση και τα μέτρα που επιβάλλονται άρχισαν να καταγράφονται τώρα για πρώτη φορά, ενώ, παράλληλα, το τεχνολογικό περιβάλλον συνεχίζει να εξελίσσεται με γρήγορους ρυθμούς, γεγονός που υποχρεώνει τις επιχειρήσεις να εξετάζουν και να προβαίνουν σε πιο “ώριμες” επιλογές, ενσωματώνοντας συνεχή έλεγχο και παρακολούθηση.

Μόνο ο χρόνος θα δείξει πώς οι Αρχές Προστασίας Δεδομένων Προσωπικού χαρακτήρα των κρατών θα χειριστούν τα ζητήματα του GDPR και αν θα δημιουργηθούν πανευρωπαϊκά πρότυπα σχετικά με τα ποσά των προστίμων.

Το μόνο βέβαιο είναι πως οι οργανισμοί και οι επιχειρήσεις που επενδύουν στην ωρίμαση των δυνατοτήτων προστασίας της ασφάλειας θα είναι πλέον σε πιο ευμενή θέση και θα παραμείνουν συμβατοί στις νέες και γοργά εξελισσόμενες απαιτήσεις του 2019.

 

Πηγή: https://privacyadvocate.gr

Back