Πρώτη «GDPR-βόμβα» 150.000 ευρώ κατόπιν καταγγελίας λογιστών
Αιμίλιος ΚορωναίοςΔικηγόρος παρ’ Αρείω ΠάγωLL.M. (Aberdeen), MΔΕ (Αθήνα)Στις 30 Ιουλίου η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) ανάρτησε στην ιστοσελίδα της την υπ’ αρ. 26/2019 απόφασή της. Με αυτήν επιβάλλεται πρόστιμο-μαμούθ ύψους 150.000 ευρώ σε εταιρεία για παραβίαση του GDPR. Πρόκειται για την πρώτη απόφαση της ΑΠΔΠΧ με την οποία επιβάλλεται τόσο υψηλό πρόστιμο από την έναρξη εφαρμογής του νέου Κανονισμού τον Μάιο του 2018. Υπενθυμίζεται ότι τα 150.000 ευρώ αποτελούσαν το μέγιστο πρόστιμο που μπορούσε να επιβληθεί με το προηγούμενο καθεστώς προστασίας των προσωπικών δεδομένων, ήτοι τον Ν. 2472/1997. Στην επίμαχη απόφαση, το ως άνω ποσό φαίνεται ότι αποτελεί πλέον σημείο εκκίνησης της ΑΠΔΠΧ ως προς την επιβολή υψηλών προστίμων στη μετά GDPR εποχή. Τα τελευταία άλλωστε, σύμφωνα με τις νέες ρυθμίσεις, μπορούν να αγγίξουν εφεξής τα 20.000.0000 ευρώ ή το 4% του παγκόσμιου τζίρου της εμπλεκόμενης εταιρείας, ανάλογα με ποιο ποσό είναι μεγαλύτερο.Κατά το ιστορικό της υπόθεσης, ένωση λογιστών υπέβαλε καταγγελία ενώπιον της ΑΠΔΠΧ για παράνομη επεξεργασία προσωπικών δεδομένων 485 εργαζομένων πολύ μεγάλης εταιρείας παροχής επιχειρηματικών και λογιστικών υπηρεσιών. Η εν λόγω εταιρεία είχε διανείμει στους εργαζομένους της παράρτημα για την ενημέρωσή τους ως προς την επεξεργασία των προσωπικών δεδομένων τους και τη λήψη της συγκατάθεσής τους. Με αυτό, οι εργαζόμενοι κλήθηκαν επίσης να αναγνωρίσουν ότι τα παρεχόμενα προσωπικά δεδομένα τους συνδέονταν άμεσα με την εργασιακή σχέση τους, καθώς και ότι ήταν συναφή και πρόσφορα στο πλαίσιο αυτής. Η ΑΠΔΠΧ, αφού εξέτασε την καταγγελία, κατέληξε ότι εν προκειμένω συνέτρεχε παραβίαση του GDPR. Κατά την κρίση της, η συγκατάθεση δεν αποτελούσε τη δέουσα νομική βάση επεξεργασίας για όλους τους επιδιωκόμενους σκοπούς και κακώς είχε επιδιωχθεί η λήψη της από τους εργαζόμενους. Το ίδιο ίσχυε και για τη νομική βάση της εκτέλεσης της σύμβασης που επικαλέστηκε στη συνέχεια η εργοδότρια εταιρεία, η οποία επίσης δεν κάλυπτε όλους τους επιδιωκόμενους σκοπούς επεξεργασίας. Αυτό είχε ως αποτέλεσμα τη μη σύννομη επεξεργασία των προσωπικών δεδομένων των εργαζομένων, καθώς και σειρά λοιπών παραβάσεων, όπως τη μη ορθή ενημέρωση αυτών για τη δέουσα νομική βάση επεξεργασίας. Παράβαση αποτελούσε επίσης η μεταφορά του βάρους της απόδειξης της συμμόρφωσης με τον GDPR στους εργαζομένους, δεδομένου ότι αυτοί κλήθηκαν να αναγνωρίσουν τη σύνδεση, συνάφεια και προσφορότητα των προσωπικών δεδομένων υπό επεξεργασία από την εργοδότρια εταιρεία, όταν την εν λόγω υποχρέωση έφερε η τελευταία.Η απόφαση 26/2019 αποτελεί «το πρώτο αίμα», κατά μία σίγουρα προσφιλή σε σινεφίλ έκφραση, η οποία στέλνει ένα ηχηρό μήνυμα ως προς την αναγκαιότητα συμμόρφωσης με τον GDPR. Το επιβαλλόμενο πρόστιμο εκ πρώτης όψεως φαντάζει υπερβολικό, δεδομένου ότι οι δέουσες νομικές βάσεις για την επεξεργασία των προσωπικών δεδομένων, ήτοι η εκτέλεση της σύμβασης, η εκπλήρωση έννομης υποχρέωσης και το υπέρτερο έννομο συμφέρον της εργοδότριας εταιρείας συνέτρεχαν για την επεξεργασία προσωπικών δεδομένων εργαζομένων. Αυτό που συνέτρεχε επίσης, όμως, ήταν η εσφαλμένη νομική διάγνωση της εργοδότριας εταιρείας, ως προς την ορθή νομική βάση, με αποτέλεσμα να λαμβάνει χώρα και εσφαλμένη ενημέρωση των εργαζομένων. Στην ίδια κατεύθυνση ως προς το υπερβολικό του προστίμου συνηγορεί η σύντομη επισκόπηση αποφάσεων με μεγάλα πρόστιμα σε άλλα κράτη μέλη που εφαρμόζουν τον GDPR, με τις όποιες υψηλές κυρώσεις μέχρι σήμερα να έχουν επιβληθεί συνήθως σε κραυγαλέα περιστατικά διαρροής πολύ μεγάλου όγκου προσωπικών δεδομένων ή παράνομες προωθητικές ενέργειες σημαντικών διαστάσεων. Από την άλλη μεριά, δεν μπορεί να αγνοηθεί ότι οι εν λόγω παραβάσεις ήταν εξόφθαλμες και δείκτες σοβαρής άγνοιας βασικών ζητημάτων εφαρμογής του GDPR από εταιρεία που υποστήριζε μέσω των δραστηριοτήτων της ότι έχει σε βάθος γνώση των συναφών ζητημάτων. Όπως σημειώνει η Αρχή χαρακτηριστικά στην επίμαχη απόφαση «οι παραβιάσεις δεν έλαβαν χώρα από δόλο, αλλά (…) υπήρξαν αποτέλεσμα ανεπαρκούς γνώσης και εφαρμογής των διατάξεων του ΓΚΠΔ». Σε κάθε περίπτωση, η απόφαση 26/2019 της ΑΠΔΠΧ καθιστά σαφές ότι η πρακτική της γενικευμένης λήψης συγκατάθεσης, ακόμη και όταν δεν χρειάζεται, δημιουργεί σοβαρά προβλήματα, αντί να τα επιλύει. Η εφαρμογή του GDPR απαιτεί, πέραν πολλών άλλων, και νομική ακρίβεια.