Μετά από μία περίοδο κυρωτικού «λήθαργου» ως προς τη συμμόρφωση με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ-GDPR), το πρώτο πρόστιμο είναι πλέον γεγονός!

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σύμφωνα με την υπ’ ΑΡ. 26/2019 απόφασή της, η οποία κοινοποιήθηκε στις 30/07 επιβάλλει πρόστιμο ύψους 150.000 ευρώ στην Price Waterhouse Coopers Business Α.Ε.» (PWC BS), καθώς και διορθωτικά μέτρα τα οποία πρέπει να υλοποιηθούν εντός τριμήνου για παράνομη επεξεργασία των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της.

Στο δια ταύτα, η ΑΠΔΠΧ μετά από καταγγελία της Ένωσης Λογιστών Ελεγκτών Περιφέρειας Αττικής, διερεύνησε αυτεπάγγελτα τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της εταιρείας, σύμφωνα με την οποία οι εργαζόμενοι εξαναγκάσθηκαν στην παροχή συγκατάθεσης, προκειμένου να γίνει επεξεργασία δεδομένων προσωπικού χαρακτήρα. Πιο συγκεκριμένα η εταιρεία διένειμε στο προσωπικό της «Δήλωση Αποδοχής όρων Επεξεργασίας Προσωπικών Δεδομένων» καθώς και νέες ατομικές συµβάσεις, οι οποίες περιελάμβαναν εδάφια που αναφέρονται στην επεξεργασία προσωπικών δεδομένων, ζητώντας επιτακτικά να τις υπογράψουν.

Για την είδηση που από χθες κάνει τον κύκλο του διαδικτύου, θα χυθεί αρκετό νομικό -ή μη- μελάνι σχετικά με την εξαναγκασμένη συναίνεση των εργαζομένων προς αποδοχή των όρων σύμβασης. Τι και αν η εταιρεία υποστήριξε ότι καμία κύρωση δεν επιβλήθηκε σε όσους δεν την υπέγραψαν, η πλεονεκτική θέση του εργοδότη έναντι των εργαζομένων είναι σε κάθε περίπτωση δεδομένη.

Δε θα μπω σε περισσότερες νομικές λεπτομέρειες όμως θα κάνω μία παρατήρηση. Από την 25η Μαΐου 2018, ημέρα έναρξης ισχύος του ΓΚΠΔ, και για ένα εξάμηνο περίπου, ζήσαμε μία περίοδο «οργασμού συμμόρφωσης» των ελληνικών εταιριών με τη νομοθεσία για την προστασία των προσωπικών δεδομένων. Ωστόσο στην πορεία, παρατηρήθηκε μεγάλος εφησυχασμός. Ο λόγος; Ότι αφενός τα αντανακλαστικά των προστίμων δεν ήταν και τα γρηγορότερα, και αφετέρου τα νομικά πρόσωπα έχουν λάθος κίνητρα συμμόρφωσης.

Η λογική που ακολούθησε η αγορά ήταν – ας μου επιτραπεί- «προστιμοκεντρική». Οι περισσότερες εταιρείες προχώρησαν σε μία τυπική -για τα μάτια του κόσμου- συμμόρφωση, τα πρότυπα της οποίας, κάπου στην πορεία χάθηκαν όσο δεν επιβαλλόταν κάποια κύρωση. Στην πραγματικότητα όμως, το κίνητρό τους θα έπρεπε να είναι πιο «εσωτερικό» και να προκύπτει από την ανάγκη προστασίας των δικαιωμάτων τόσο των εργαζομένων τους, όσο και των πελατών τους.

Ο μόνος τρόπος μακροπρόθεσμα σταθερής και επαρκούς συμμόρφωσης με το νόμο, είναι η αλλαγή της εταιρικής κουλτούρας σε σχέση με την προστασία δεδομένων. Αλλά ακόμα κι αν αυτό το εσωτερικό κίνητρο δε γίνεται αντιληπτό, μία διαδικασία συμμόρφωσης που έγινε κάποια στιγμή- μια φορά- και δεν είναι συνεχής, δεν επαρκεί για να τις επιταγές του νόμου και την αποφυγή προστίμων.

Σημειωτέον ότι για τον υπολογισμό του εν λόγω προστίμου, η Αρχή έλαβε υπόψη τις διατάξεις του άρθρου 83 ΓΚΠ∆ στο µέτρο που εφαρμόζονται στη συγκεκριμένη περίπτωση, αναγνωρίζοντας παράλληλα ως ελαφρυντικό στοιχείο το γεγονός οτι η εταιρεία δεν αποκόμισε οικονομικό όφελος, ούτε προκάλεσε υλική ζημία στους εργαζόμενους. Φανταστείτε όμως τι έχει να γίνει σε ανάλογες περιπτώσεις που θα προκύψουν στο μέλλον και θα υπάρχει οικονομικό όφελος ή ζημία.

Τελικά, όσο λυπηρό κι αν ακούγεται, αν τα πρόστιμα, είναι αυτό που χρειάζεται για να συμμορφωθούν οι ελληνικές εταιρείες -αλλά και το δημόσιο- με την προστασία των προσωπικών δεδομένων, ας είναι! Η αρχή έγινε, και η συνέχεια αναμένεται ακόμα πιο τσουχτερή!