Στο πλαίσιο της ταχείας ανάπτυξης της τεχνολογίας και της συνακόλουθης θεσμοθέτησης νομοθετημάτων περί της προστασίας των προσωπικών δεδομένων, εταιρείες και οργανισμοί υποχρεώνονται πλέον να συμμορφώνονται πλήρως στους κανονισμούς που επιβάλλονται από την Ε.Ε.  Ο Γενικός Κανονισμός για την Προστασία Προσωπικών Δεδομένων 679/2016 (ΓΚΠΔ) και η ελληνική νομοθεσία με τον ν. 4624/2019 καθορίζουν λεπτομερώς τις απαιτήσεις για τη συλλογή, την αποθήκευση και τη διαχείριση των προσωπικών δεδομένων από τις επιχειρήσεις. Η αυστηρή τήρηση των όσων προβλέπει ο ΓΚΠΔ αποτελεί υποχρέωση – και όχι επιλογή-  με σοβαρές και δυσβάσταχτες συνέπειες για εκείνους που τον εφαρμόζουν ελλιπώς έως καθόλου. 

Είναι γεγονός ότι σε καθημερινή βάση χιλιάδες πολίτες διοχετεύουν και παρέχουν αφειδώς είτε μέσω έντυπης μορφής είτε τηλεφωνικώς είτε μέσω διαδικτύου, δεδομένα από τα οποία προκύπτει άμεσα ή έμμεσα η ταυτοποίησή του προσώπου τους. Οι εταιρείες ως υπεύθυνοι επεξεργασίας τα ελάχιστα στοιχεία επικοινωνίας που συλλέγουν από τα υποκείμενα δεδομένων (πολίτες) είναι το όνομα, η διεύθυνση, ο αριθμός τηλεφώνου καθώς και διευθύνσεις emails, τα οποία κρίνονται απαραίτητα προκειμένου να πραγματοποιηθεί η προβλεπόμενη συναλλαγή (σύναψη σύμβασης). Τα τελευταία χρόνια κατά γενική ομολογία, τεράστιος όγκος προσωπικών στοιχείων των πολιτών διαπιστώθηκε ότι συγκεντρώνονται από εταιρείες κινητής τηλεφωνίας καθώς και από εφαρμογές εταιρειών που παρέχουν υπηρεσίες μετακίνησης με taxi/uber. Τι συμβαίνει όμως στην περίπτωση που τα προσωπικά δεδομένα δεν τυγχάνουν επεξεργασίας από τις εταιρείες με τον επιβαλλόμενο νόμιμο τρόπο κατά τον ΓΚΠΔ; Πόσο ακριβά μπορεί να κοστίσει στην οικονομία μιας επιχείρησης μια παράβαση;

Στην Ελλάδα, γνωστή υπόθεση που απασχόλησε την Αρχή Προστασίας Προσωπικών Δεδομένων για παράνομη επεξεργασία δεδομένων πλήθους υποκειμένων είναι εκείνη της εταιρείας Cosmote/OTE. Σύμφωνα με την υπ’ αρ. 4/2022 απόφαση (περισσότερα εδώ ) η Αρχή διαπίστωσε κατόπιν γνωστοποίησης περιστατικού παραβίασης προσωπικών δεδομένων εκ μέρους της εταιρείας,  τεράστια διαρροή κλήσεων συνδρομητών και μια σειρά παραβάσεων των άρθρων του ΓΚΠΔ όπως της αρχής της νομιμότητας, της αρχής διαφάνειας, της ασαφούς και ελλιπούς ενημέρωσης των συνδρομητών  και της έλλειψης μέτρων ασφαλείας (Αρ. 5 παρ.1, 13, 14). Για τις διαπιστωθείσες παραβάσεις η Αρχή επέβαλε το υπέρογκο πρόστιμο στην COSMOTE συνολικού ύψους 6.000.000 €, καθώς και κύρωση διακοπής της επεξεργασίας και καταστροφής δεδομένων, ενώ στον ΟΤΕ επέβαλε πρόστιμο ύψους 3.250.000 €. Στο εξωτερικό μια χαρακτηριστική υπόθεση παραβίασης δεδομένων αφορούσε την εταιρεία Uber Technologies, η οποία απασχόλησε έντονα τόσο την Ιταλική όσο και την Ολλανδική Αρχή. Αρχικά το 2022 η ιταλική Αρχή κατόπιν καταγγελιών και ελέγχου επέβαλε πρόστιμο 4.240.000 ευρώ στην Uber για παραβιάσεις που σχετίζονται με 1.500.000 υποκείμενα δεδομένων (οδηγούς και πελάτες) στην Ιταλία, συμπεριλαμβανομένης της έλλειψης διαφάνειας και συγκατάθεσης, καθώς και της μη ειδοποίησης της Αρχής για περιστατικό παραβίασης προσωπικών δεδομένων. Κατόπιν τούτου, το 2024 η  ολλανδική αρχή διαπίστωσε πως η ίδια εταιρεία διαβίβαζε προσωπικά δεδομένα ευρωπαίων οδηγών ταξί στις Ηνωμένες Πολιτείες, χωρίς να έχει λάβει τα κατάλληλα μέτρα για τη διασφάλιση των διαβιβάσεων αυτών επιβάλλοντας ένα πρόστιμο ρεκόρ ύψους 290.000.000 ευρώ (περισσότερα εδώ). Τα δεδομένα που είχε συλλέξει η Uber ως Υπευθύνου Επεξεργασίας αφορούσαν δεδομένα επικοινωνίας (όνομα, επώνυμο, αριθμός τηλεφώνου και e-mail), στοιχεία λογαριασμών, δεδομένα τοποθεσίας, φωτογραφίες, στοιχεία πληρωμών, ταυτότητες, διαπιστευτήρια πρόσβασης στην εφαρμογή, καθώς και ευαίσθητα δεδομένα των οδηγών από την Ευρώπη, τα οποία διατηρούσε σε servers στις Ηνωμένες Πολιτείες ακόμη και τα ποινικά ή ιατρικά δεδομένα των οδηγών.

Τα ανωτέρω επιβαλλόμενα πρόστιμα κρίνονται αυστηρά και εξαντλητικά για τις επιχειρήσεις. Δικαιολογούνται όμως με βάση τον αυστηρό χαρακτήρα που έχει επιδείξει ο ΓΚΠΔ. Το πλαίσιο των κυρώσεων που ορίζει ο ΓΚΠΔ στα άρθρα 82 και εξής για τις επιχειρήσεις και τους οργανισμούς, κρίνεται αμείλικτο. Ο Κανονισμός στόχευε να δημιουργήσει ένα συνεκτικό πλαίσιο προστίμων σε ολόκληρη την Ευρωπαϊκή Ένωση ως μέσο επιβολής της συμμόρφωσης με το δικαιϊκό πλαίσιο προστασίας δεδομένων. Ωστόσο, κάθε κράτος – μέλος έχει την ευχέρεια να προσαρμόζει τις κυρώσεις πάντα όμως σε μια σοβαρή κατεύθυνση. Αναφορικά με τις επιχειρήσεις, η επιβολή προστίμων τα τελευταία χρόνια είναι καθημερινή πρακτική και συνοδεύεται από ποσά τεραστίων διαστάσεων.  Αυτό συμβαίνει, διότι τα πρόστιμα με βάση τον ΓΚΠΔ υπολογίζονται πάνω σε μια αυστηρή βάση ανάλογα με τις παραβιάσεις. Η πρώτη κατηγορία δύναται να επισύρει μέγιστο πρόστιμο 10 εκατομμυρίων ευρώ ή 2% του ετήσιου κύκλου εργασιών της επιχείρησης, ανάλογα με το ποιο είναι υψηλότερο, ενώ η δεύτερη κατηγορία μέγιστο πρόστιμο 20 εκατομμυρίων ευρώ ή 4% του ετήσιου κύκλου εργασιών της επιχείρησης, ανάλογα με το ποιο είναι υψηλότερο. 

Τα ανωτέρω αποδεικνύουν πως πλέον η διαφύλαξη και η ορθή επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις επιχειρήσεις είναι μείζονος σημασίας και επιφυλάσσει σοβαρές συνέπειες στους παραβάτες. Οι Εποπτικές Αρχές επιβάλλουν πρόστιμα με ολοένα αυξητική τάση με στόχο να διασφαλίσουν ότι οι οργανισμοί/εταιρείες θα λαμβάνουν σοβαρά υπόψη τον ΓΚΠΔ και για να ενδυναμώσουν την ευαισθητοποίηση των εταιρειών (awareness) αναφορικά με την αξία προστασίας των προσωπικών δεδομένων. Η απειλή οικονομικών κυρώσεων (αναπόφευκτα) προτρέπει τις εταιρείες να εφαρμόζουν στο ακέραιο τον ΓΚΠΔ και να λαμβάνουν τα κατάλληλα μέτρα για την προστασία των δεδομένων προσωπικού χαρακτήρα των υποκειμένων που επεξεργάζονται. Με τη συμβολή ειδικών συμβούλων οι εταιρείες οφείλουν να θωρακίζονται αλλά και να συμμορφώνονται στις επιταγές του Κανονισμού. Επομένως, με βάση τις κατευθυντήριες οδηγίες της Ε.Ε, οι επιχειρήσεις και οι οργανισμοί κρίνεται αναγκαίο να αναπτύσσουν στρατηγικές, πλάνα και πλαίσια κανονιστικής συμμόρφωσης, ώστε να αποφεύγουν  τις δυσβάστακτες οικονομικές συνέπειες από κάθε είδους παράβαση του ΓΚΠΔ.