Γράφει η Ιωάννα Τσακαλάκου
Ο Γενικός Κανονισμός για την προστασία δεδομένων, γνωστός ως GDPR (General Data Protection Regulation), αποτελεί το νομικό πλαίσιο της Ευρωπαϊκής Ένωσης που ρυθμίζει την επεξεργασία των προσωπικών δεδομένων των φυσικών προσώπων. Ο εν λόγω εγκρίθηκε το 2016 ως Κανονισμός (ΕΕ) 2016/679 και τέθηκε σε εφαρμογή στις 26 Μαΐου 2018, αντικαθιστώντας την Οδηγία 95/46/ΕΚ. Σκοπός του είναι να ενισχύσει τα δικαιώματα των πολιτών στον τομέα της ιδιωτικότητας και της προστασίας δεδομένων καθώς και να εναρμονίσει τις εθνικές νομοθεσίες των κρατών-μελών της ΕΕ. Συνάμα, στην εποχή της ψηφιακής πληροφορίας όπου οι προσωπικές πληροφορίες συλλέγονται, αποθηκεύονται και επεξεργάζονται σε μαζική κλίμακα, ο GDPR προσφέρει ένα σημαντικό θεσμικό αντίβαρο για τη διασφάλιση της ιδιωτικότητας των πολιτών.
Βασικές αρχές του GDPR
Ο GDPR θεμελιώνεται σε επτά βασικές αρχές που ορίζουν τις συνθήκες υπό τις οποίες πρέπει να συλλέγονται και να επεξεργάζονται τα προσωπικά δεδομένα. Αυτές περιλαμβάνουν τη νομιμότητα, τη δικαιοσύνη και τη διαφάνεια της επεξεργασίας, δηλαδή την υποχρέωση των υπεύθυνων επεξεργασίας να συλλέγουν δεδομένα με τρόπο που είναι κατανοητός, προβλέψιμος και σύμφωνος με το νόμο. Επιπλέον, η αρχή του περιορισμού του σκοπού επιβάλλει τη χρήση των δεδομένων αποκλειστικά για καθορισμένους και νόμιμους σκοπούς, ενώ η αρχή της ελαχιστοποίησης των δεδομένων υπαγορεύει τη συλλογή μόνο των απολύτως αναγκαίων πληροφοριών. Συνάμα, η ακρίβεια των δεδομένων πρέπει να διασφαλίζεται με τακτική επικαιροποίηση τους. Τα δεδομένα δεν πρέπει να διατηρούνται για μεγαλύτερο διάστημα από αυτό που απαιτεί ο σκοπός της επεξεργασίας και η ακεραιότητα και εμπιστευτικότητα των δεδομένων πρέπει να προστατεύονται με κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας.
Δικαιώματα του πολίτη υπό το GDPR
Ο εν λόγω κανονισμός κατοχυρώνει σημαντικά δικαιώματα υπέρ του πολίτη ως υποκειμένου των δεδομένων. Κεντρική θέση κατέχει το δικαίωμα στην ενημέρωση και την πρόσβαση, το οποίο επιτρέπει στους πολίτες να γνωρίζουν εάν τα δεδομένα του επεξεργάζονται, από ποιον, για ποιο σκοπό και για ποιο χρονικό διάστημα. Παράλληλα, παρέχεται το δικαίωμα διόρθωσης ανακριβών ή ελλιπών πληροφοριών, διασφαλίζοντας την ακρίβεια των δεδομένων που τους αφορούν.
Σημαντική είναι η πρόβλεψη για το δικαίωμα στη διαγραφή σύμφωνα με το οποίο οι πολίτες μπορούν να ζητήσουν τη διαγραφή των δεδομένων τους υπό συγκεκριμένες προϋποθέσεις, όπως όταν τα δεδομένα δεν είναι πλέον απαραίτητα ή όταν η συγκατάθεσή τους έχει ανακληθεί. Επιπλέον, το δικαίωμα περιορισμού της επεξεργασίας επιτρέπει στους πολίτες να εμποδίσουν προσωρινά την περαιτέρω χρήση των δεδομένων τους, ενώ το δικαίωμα στη φορητότητα καθιστά δυνατή τη μεταφορά των προσωπικών δεδομένων σε άλλο υπεύθυνο επεξεργασίας με δομημένο και διαλειτουργικό τρόπο. Ως εκ τούτου, οι πολίτες έχουν το δικαίωμα να αντιταχθούν στην επεξεργασία των δεδομένων τους, ιδίως όταν αυτή σχετίζεται με σκοπούς εμπορικής προώθησης ή προφίλ χρηστών.
Υποχρεώσεις οργανισμών και επιπτώσεις μη συμμόρφωσης
Ο GDPR δεν παρέχει μόνο δικαιώματα στους πολίτες αλλά επιβάλλει και αυστηρές υποχρεώσεις στους οργανισμούς που διαχειρίζονται τα προσωπικά δεδομένα. Συνάμα, οι οργανισμοί οφείλουν να επεξεργάζονται τα δεδομένα με πλήρη διαφάνεια, να υιοθετούν κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας, να διασφαλίζουν την ελαχιστοποίηση της συλλογής δεδομένων και να διατηρούν τεκμηριωμένα αρχεία επεξεργασίας. Σε περιπτώσεις όπου η επεξεργασία γίνεται σε μεγάλη κλίμακα ή περιλαμβάνει ευαίσθητα δεδομένα, είναι υποχρεωτική η ανάθεση σε έναν Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer).
Σε περίπτωση παραβίασης δεδομένων, οι οργανισμοί υποχρεούνται να ενημερώνουν άμεσα την αρμόδια εποπτική αρχή, και σε σοβαρές περιπτώσεις, τα ίδια τα υποκείμενα των δεδομένων. Η μη συμμόρφωση με τις διατάξεις του GDPR ενδέχεται να επιφέρει βαρύτατες κυρώσεις. Τα διοικητικά πρόστιμα μπορεί να φτάσουν έως και τα 20 εκατομμύρια ευρώ ή έως το 4% του παγκόσμιου ετήσιου κύκλου εργασιών του οργανισμού γεγονός που καταδεικνύει την αποφασιστικότητα της Ευρωπαϊκής Ένωσης για την εφαρμογή αυστηρών μέτρων προστασίας δεδομένων.
Ο ρόλος των ανεξάρτητων αρχών και της εκπαίδευσης των πολιτών
Η εφαρμογή και εποπτεία του κανονισμού σε εθνικό επίπεδο ανατίθεται στις ανεξάρτητες εποπτικές αρχές. Στην Ελλάδα, αρμόδιος φορές είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία είναι επιφορτισμένη με την παρακολούθηση της συμμόρφωσης των δημόσιων και ιδιωτικών φορέων, την παροχή οδηγιών, τη διαχείριση καταγγελιών πολιτών και την επιβολή κυρώσεων όπου χρειάζεται.
Η ουσιαστική προστασία των προσωπικών δεδομένων δεν εξαρτάται μόνο από τη νομοθετική ρύθμιση αλλά και από την ενεργή συμμετοχή των πολιτών. Έτσι, η ευαισθητοποίηση και η εκπαίδευση σε θέματα ψηφιακής ιδιωτικότητας είναι κρίσιμη για να μπορεί κάθε άτομο να διαχειρίζεται συνειδητά τα δικαιώματα του και να αναγνωρίζει τους κινδύνους ή τις παραβιάσεις. Ως εκ τούτου, ο ψηφιακός εγγραμματισμός πρέπει να συμπεριλαμβάνει πλέον ζητήματα προστασίας δεδομένων, τόσο στο εκπαιδευτικό σύστημα όσο και στις πολιτικές δια βίου μάθησης.
Εν κατακλείδι, ο Γενικός Κανονισμός για Προστασία Δεδομένων αποτελεί έναν από τους σημαντικότερους νομικούς μηχανισμούς προστασίας της ιδιωτικότητας στην ψηφιακή εποχή καθώς προσφέρει στον πολίτη εργαλεία για τον έλεγχο των προσωπικών του πληροφοριών και θέτει αυστηρές υποχρεώσεις στους οργανισμούς που τις επεξεργάζονται. Ωστόσο, η αποτελεσματική εφαρμογή του GDPR απαιτεί τη συνεργασία όλων των εμπλεκόμενων: πολιτείας, θεσμών και των ίδιων των πολιτών. Μόνο μέσα από την ενεργό συμμετοχή, την επαγρύπνηση και τη διαρκή ενημέρωση, μπορεί να διασφαλιστεί ότι τα προσωπικά δεδομένα προστατεύονται ως αναπόσπαστο στοιχείο των θεμελιωδών δικαιωμάτων του ανθρώπου.
Πηγές
Ευρωπαϊκή Ένωση. (2016). Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 σχετικά με την προστασία φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. (2024). Οδηγίες εφαρμογής του GDPR.
Voigt, P., & von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR): A Practical Guide. Springer.
Kuner, C. (2020). Transborder Data Flows and Data Privacy Law. Oxford University Press.