Τα διοικητικά πρόστιμα στον Γενικό Κανονισμό για την Προστασία Δεδομένων
- Τα διοικητικά πρόστιμα στον GDPR
- Τι προβλέπει το άρθρο 83 του GDPR
- Τι προβλέπει το άρθρο 69 του ελληνικού σχεδίου νόμου
- Aρχές και κριτήρια αξιολόγησης για την επιβολή προστίμων - Οι κατευθυντήριες γραμμές της WP 29
- Το περιεχόμενο των διοικητικών κυρώσεων - Η αρχή ne bis in idem
- Πρακτικές προεκτάσεις - Περιστατικά
- Πηγές
Τα διοικητικά πρόστιμα στον GDPR
Επιμέλεια: Δήμητρα Παναγίδη, Ασκ. Δικηγόρος - Μαρία Κακαβά, Φοιτήτρια Νομικής Σχολής Αθηνών
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων 2016/679 της Ευρωπαϊκής Ένωσης (General Data Protection Regulation – G.D.P.R.), ο οποίος ψηφίστηκε στις 27 Απριλίου 2016 και τίθεται σε εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης από τις 25 Μαΐου 2018, τροποποιεί ριζικά το υφιστάμενο νομικό πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα, αυξάνοντας τις υποχρεώσεις των υπεύθυνων και εκτελούντων την επεξεργασία και προβλέποντας διοικητικά πρόστιμα - κυρώσεις, τα οποία δύνανται να ανέλθουν στα 20 εκατομμύρια ευρώ ή, σε περίπτωση επιχειρήσεων, στο 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους.
Με μια απλή ανάγνωση της ανωτέρω εισαγωγής, γίνεται αντιληπτό ότι ο G.D.P.R. αυστηροποιεί, κατ’ ένταση και κατ’έκταση, το νομοθετικό πλαίσιο προστασίας των προσωπικών δεδομένων εντός της Ευρωπαϊκής Ένωσης, με άμεση απόρροια υπεύθυνοι αλλά και εκτελούντες την επεξεργασία να αναζητούν τρόπους πλήρους συμμόρωσης στα νέα δεδομένα, προκειμένου να αποφύγουν οιαδήποτε διοικητική κύρωση - πρόστιμο δύναται αφενός να πλήξει τη δραστηριότητά τους αφετέρου να τους «εξαντλήσει» οικονομικά.
Συνεπώς, στόχος της παρούσας ανάλυσης είναι η ακριβέστερη απόδοση και κατανόηση από τον αναγνώστη τόσο της αιτίας εισαγωγής των εν λόγω κυρώσεων - προστίμων και των συνεπειών τους επί των υπευθύνων/εκτελούντων την επεξεργασίας όσο και της προσπάθειας αποφυγής τους από κάθε πρόσωπο, το οποίο έχει αναλάβει την επεξεργασία των εν λόγω προσωπικών δεδομένων και των συναφών κινδύνων με τα οποία τα τελευταία σχετίζονται.
Τι προβλέπει το άρθρο 83 του GDPR
Το άρθρο 83 του G.D.P.R., με το τίτλο «Γενικοί όροι επιβολής διοικητικών προστίμων», ορίζει στην παράγραφο 4 ότι:
«Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 10 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:
α) οι υποχρεώσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία σύμφωνα με τα άρθρα 8, 11, 25 έως 39 και 42 και 43,
β) οι υποχρεώσεις του φορέα πιστοποίησης σύμφωνα με τα άρθρα 42 και 43,
γ) οι υποχρεώσεις του φορέα παρακολούθησης σύμφωνα με το άρθρο 41 παράγραφος 4.»
Επιπλέον, στην παράγραφο 5 προβλέπει ότι:
«Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 20 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:
α) οι βασικές αρχές για την επεξεργασία, περιλαμβανομένων των όρων που ισχύουν για την έγκριση, σύμφωνα με τα άρθρα 5, 6, 7 και 9,
β) τα δικαιώματα των υποκειμένων των δεδομένων σύμφωνα με τα άρθρα 12 έως 22,
γ) η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό σύμφωνα με τα άρθρα 44 έως 49,
δ) οποιεσδήποτε υποχρεώσεις σύμφωνα με το δίκαιο του κράτους μέλους οι οποίες θεσπίζονται δυνάμει του κεφαλαίου IX,
ε) μη συμμόρφωση προς εντολή ή προς προσωρινό ή οριστικό περιορισμό της επεξεργασίας ή προς αναστολή της κυκλοφορίας δεδομένων που επιβάλλει η εποπτική αρχή δυνάμει του άρθρου 58 παράγραφος 2 ή μη παροχή πρόσβασης κατά παράβαση του άρθρου 58 παράγραφος 1.»
Ακόμη, στο εν λόγω άρθρο ο G.D.P.R. ορίζει, ότι τα διοικητικά πρόστιμα θα πρέπει να επιβάλλονται για κάθε παράβαση του G.D.P.R. επιπρόσθετα ή αντί των κατάλληλων μέτρων που προβλέπει το άρθρο 58 παράγραφος 2. Μάλιστα, σε περίπτωση παράβασης μικρής σημασίας, ή αν το πρόστιμο που ενδέχεται να επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση σε φυσικό πρόσωπο, θα μπορεί να επιβληθεί επίπληξη αντί προστίμου (βλ. αιτιολογική σκέψη 148 GDPR). Επιπρόσθετα, αφενός κάθε εποπτική αρχή (στην Ελλάδα η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα - ΑΠΔΠΧ) μεριμνά ώστε η επιβολή διοικητικών προστίμων να είναι για κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική, αφετέρου προκειμένου να επιβληθεί οιαδήποτε διοικητική κύρωση – πρόστιμο και να καθοριστεί το ύψος της λαμβάνεται υπόψη πληθώρα δεδομένων ήτοι (άρθρο 83 παρ. 2 GDPR):
1. η φύση, η βαρύτητα και η διάρκεια της παράβασης,
2. ο δόλος ή η αμέλεια που προκάλεσε την παράβαση,
3. οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων,
4. ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία,
5. τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία,
6. ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της,
7. οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση (π.χ ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, τα γνωστά σε εμάς μέχρι τώρα ως «ευαίσθητα δεδομένα», ήτοι φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα κ.λπ.),
8. ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση,
9. σε περίπτωση που διατάχθηκε προηγουμένως η λήψη συγκεκριμένων μέτρων κατά του εμπλεκόμενου υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα,
10. η τήρηση εγκεκριμένων κωδίκων δεοντολογίας ή εγκεκριμένων μηχανισμών πιστοποίησης και
11. κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.
Συμπληρωματικά, σε περίπτωση που τα διοικητικά πρόστιμα επιβάλλονται σε πρόσωπα που δεν είναι επιχειρήσεις, η εποπτική αρχή θα πρέπει να λαμβάνει υπόψη το γενικό επίπεδο εισοδημάτων στο κράτος μέλος, καθώς και την οικονομική κατάσταση του προσώπου, όταν εξετάζει το ενδεδειγμένο ποσό του προστίμου (βλ αιτιολογική σκέψη 150 GDPR).
Επίσης, τονίζεται από τον G.D.P.R. ότι η μη συμμόρφωση προς εντολή της εποπτικής αρχής κατά το άρθρο 58 παράγραφος 2 επισύρει διοικητικά πρόστιμα έως 20 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.
Ωστόσο, ο G.D.P.R. αφενός επιτρέπει στα κράτη μέλη, μέσω της διακριτικής τους ευχέρειας να καθορίζουν τους κανόνες για το εάν και σε ποιο βαθμό διοικητικά πρόστιμα δύνανται να επιβάλλονται σε δημόσιες αρχές και φορείς που έχουν συσταθεί στα εν λόγω κράτη μέλη αφετέρου επιβάλλει στις αρμόδιες εποπτικές αρχές να ασκούν τις εξουσίες τους βάσει των δέουσων δικονομικών εγγυήσεων, σύμφωνα με το δίκαιο της Ένωσης και το δίκαιο του εκάστοτε κράτους μέλους, συμπεριλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας.
Τέλος, αξίζει να αναφερθεί ότι το άρθρο 83 του G.D.P.R. αναφέρει ΔΥΟ ΦΟΡΕΣ ότι τα πρόστιμα που επιβάλλονται πρέπει να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά. Συνεπώς, κατόπιν, γραμματικής (ήτοι σύμφωνα με τη λεκτική διατύπωση του νόμου) αλλά και τελολογικής ερμηνείας (ήτοι σύμφωνα με βάση τον σκοπό του νόμου) της συγκεκριμένης πρόβλεψης, συνάγεται η βαρύτητα την οποία δίνει ο G.D.P.R. στην ορθή κατ’ ένταση και κατ΄έκταση επιβολή διοικητικών κυρώσεων – προστίμων από την ΑΠΔΠΧ (εντός του ελληνικού πλαισίου) καθώς και ο στόχος της εν λόγω επιβολής.
Τι προβλέπει το άρθρο 69 του ελληνικού σχεδίου νόμου
Από τις 20.2.2018 τέθηκε σε δημόσια διαβούλευση το ελληνικό σχέδιο νόμου υπό τον τίτλο:
«Θέσπιση νομοθετικών μέτρων για την εφαρμογή του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) και ενσωμάτωση στην εθνική έννομη τάξη της Οδηγίας 2016/680/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου και συμπληρωματικές διατάξεις».
Η δημόσια ηλεκτρονική διαβούλευση, βάσει των απόψεων και των παρατηρήσεων που θα αναρτηθούν επί του ανωτέρω σχεδίου νόμου, ολοκληρώθηκε στις 5 Μαρτίου 2018.
Ειδικότερα, το άρθρο 69 του ελληνικού σχεδίου νόμου, το οποίο έχει στόχο την εναρμόνιση του ελληνικού δικαίου με τον G.D.P.R και φέρει τον τίτλο «Διοικητικά πρόστιμα και Γενικοί όροι επιβολής προστίμων» ορίζει συνοπτικά ότι:
Aρχές και κριτήρια αξιολόγησης για την επιβολή προστίμων - Οι κατευθυντήριες γραμμές της WP 29
Η ομάδα εργασίας συστάθηκε βάσει του άρθρου 29 της οδηγίας 95/46/ΕΚ. Είναι ανεξάρτητο ευρωπαϊκό συμβουλευτικό όργανο για την προστασία των προσωπικών δεδομένων. Στις 3 Οκτωβρίου 2017 εξέδωσε τις «Κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του Κανονισμού 2016/679».
Σύμφωνα με τις οδηγίες της ομάδας εργασίας, οι εποπτικές αρχές κατά την επιβολή των διοικητικών προστίμων θα πρέπει να τηρούν τις παρακάτω αρχές:
Στην συνέχεια, όσον αφορά τα κριτήρια αξιολόγησης του άρθρου 83 παρ. 2 του G.D.P.R.:
1. Η φύση, η βαρύτητα και η διάρκεια της παράβασης: με την θέσπιση δύο διαφορετικών μέγιστων ποσών όσον αφορά τα διοικητικά πρόστιμα (10/20 εκατ. Ευρώ), ο Kανονισμός ήδη υποδεικνύει ότι η παράβαση ορισμένων διατάξεών του μπορεί να είναι πιο σοβαρή από την παράβαση άλλων. Ωστόσο, η αρμόδια εποπτική αρχή μπορεί να αποφασίσει ότι μια συγκεκριμένη περίπτωση μπορεί να αντιμετωπιστεί καλύτερα με την επιβολή κάποιου άλλου διοικητικού μέτρου αντί προστίμου π.χ. στην περίπτωση παράβασης ελάσσονος σημασίας κατά την παράγραφο 148 της αιτιολογικής έκθεσης. Επιπρόσθετα, πρέπει να σημειωθεί ότι οι παραβάσεις που από την φύση τους μπορεί να εμπίπτουν στην κατηγορία έως 10.000.000 ευρώ ή σε περίπτωση επιχειρήσεων έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών (αρ.83 παρ. 4), μπορεί τελικά να εμπίπτουν σε υψηλότερη κατηγορία (20.000.000 ευρώ) σε ορισμένες περιπτώσεις. Αυτό θα ήταν πιθανό να συμβεί σε περίπτωση που οι εν λόγω παραβάσεις έχουν αντιμετωπιστεί κατά το παρελθόν με εντολή της εποπτικής αρχής (αρ. 58 παρ.2) προς την οποία ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δε συμμορφώθηκε (αρ. 83 παρ. 6). Η φύση της παράβασης, δηλαδή η έκταση ή ο σκοπός της σχετικής επεξεργασίας, καθώς και ο αριθμός των υποκειμένων των δεδομένων που έθιξε η παράβαση και ο βαθμός ζημίας που υπέστησαν, δείχνουν την βαρύτητα της παράβασης. Εάν τελεστούν πολλές διαφορετικές παραβάσεις σωρευτικά τότε η εποπτική αρχή θα μπορεί να επιβάλει διοικητικά πρόστιμα εντός του ορίου της βαρύτερης παράβασης. Η επιβολή προστίμου δεν εξαρτάται από την ικανότητα της εποπτικής αρχής να διαπιστώνει την ύπαρξη αιτιώδους συνάφειας μεταξύ της παράβασης και της υλική ζημίας.
2. Ο δόλος, η αμέλεια: οι παραβάσεις που τελούνται με πρόθεση (δόλο) είναι γενικά πιο σοβαρές από αυτές που τελούνται με χωρίς πρόθεση (αμέλεια) και συνεπώς πιο πιθανό να τιμωρηθούν με διοικητικό πρόστιμο.
3. Ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων: τα στοιχεία αυτά είναι συνήθως κατάλληλα για την προσαρμογή του ποσού ου προστίμου, όμως ανάλογα με τις ιδιαίτερες περιστάσεις της υπόθεσης μπορεί να καθορίσουν εάν θα επιβληθεί διοικητικό πρόστιμο ή κάποιο άλλο διορθωτικό μέτρο, καθώς λειτουργούν ως αξιολόγηση του βαθμού ευθύνης του υπευθύνου επεξεργασίας μετά την τέλεση της παράβασης. Παραδείγματα τέτοιων ενεργειών είναι: η επικοινωνία με άλλους υπεύθυνους επεξεργασίας / εκτελούντες την επεξεργασία που μπορεί να συμμετείχαν σε επέκταση της επεξεργασίας π.χ. σε περίπτωση διαβίβασης δεδομένων σε τρίτα μέρη εκ παραδρομής προς μετρίαση των συνεπειών αλλά και η έγκαιρη λήψη μέτρων από τον υπεύθυνο επεξεργασίας / εκτελούντα την επεξεργασία προκειμένου να αποφευχθεί η συνέχιση ή η επέκταση της παράβασης.
4. Ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία: για τον υπολογισμό του θα ληφθεί υπόψη εάν εφαρμόστηκαν τα τεχνικά και οργανωτικά μέτρα των άρθρων 25 και 32 του κανονισμού που αποσκοπούν στην ασφάλεια των δεδομένων, π.χ. ψευνωδυμοποίηση, κρυπτογράφησή τους, σε όλα τα επίπεδα της οργάνωσης της επεξεργασίας, έτσι ώστε να μην καθίστανται προσβάσιμα σε αόριστο αριθμό προσώπων.
5. Τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία: θα πρέπει να λαμβάνεται υπόψη ότι οποιαδήποτε παράβαση του κανονισμού, αν και διαφορετική από την παράβαση που εξετάζεται στη συγκεκριμένη περίπτωση από την εποπτική αρχή μπορεί να είναι σχετική για την αξιολόγηση, καθώς μπορεί να δείχνει γενικότερη ανεπάρκεια γνώσης ή περιφρόνηση προς τους κανόνες προστασίας προσωπικών δεδομένων.
6. Ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της: λαμβάνεται υπόψη τόσο για το να θα επιβληθεί διοικητικό πρόστιμο όσο και για τον προσδιορισμό του ύψους του. Βέβαια δεν θα ληφθεί υπόψη ως ελαφρυντικό η συνεργασία που ήδη απαιτείται εκ του νόμου.
7. Οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση: η εποπτική αρχή θα λάβει υπόψη της, μεταξύ άλλων, εάν η παράβαση αφορά την επεξεργασία ειδικών κατηγοριών δεδομένων (αρ. 9 και 10 ) ή αν τα δεδομένα είναι άμεσα/ έμμεσα ταυτοποιήσιμα ή αν η διάδοσή τους θα προκαλέσει μεγάλη ζημία στο υποκείμενο ή αν είναι κρυπτογραφημένα.
8. Ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση: ο υπεύθυνος επεξεργασίας έχει υποχρέωση σύμφωνα με τον Kανονισμό να ενημερώνει την εποπτική αρχή σχετικά με κάθε παράβαση δεδομένων προσωπικού χαρακτήρα. Ωστόσο, όταν ο υπεύθυνος απλώς εκπληρώνει αυτή την υποχρέωση η συμμόρφωσή του αυτή δεν θα είναι ελαφρυντικό στοιχείο, πρέπει να φανεί διάθεση διόρθωσης της κατάστασης κι όχι απλώς τυπική συμμόρφωση με τον νόμο. Ομοίως, εάν ο υπεύθυνος ή ο εκτελών την επεξεργασία ενήργησε αμελώς χωρίς να ενημερώσει για όλες τις λεπτομέρειες της παράβασης λόγω ανεπαρκούς αξιολόγησης της έκτασής της μπορεί να θεωρηθεί απ’ την εποπτική αρχή ότι πρέπει να επιβληθεί βαρύτερη κύρωση απ’ ότι συνηθίζεται και φυσικά σε καμία περίπτωση δεν θα μπορέσει να θεωρηθεί ότι η παράβαση είναι μικρής σημασίας.
9. Σε περίπτωση που διατάχθηκε προηγουμένως η λήψη συγκεκριμένων μέτρων κατά του εμπλεκόμενου υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα: αυτό το κριτήριο αξιολόγησης αποσκοπεί μόνο στο να υπενθυμίζει στις εποπτικές αρχές να λαμβάνουν υπόψη τα μέτρα που οι ίδιες είχαν επιβάλει προηγουμένως στον ίδιο υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία σε σχέση με το ίδιο αντικείμενο.
10. Η τήρηση εγκεκριμένων κωδίκων δεοντολογίας ή εγκεκριμένων μηχανισμών πιστοποίησης από τους υπευθύνους επεξεργασίας κατά τα άρθρα 40 και 42 του κανονισμού: ενδέχεται να υποδεικνύει συμμόρφωση με τον Kανονισμό και αντίστοιχα η πλημμελής ή και ανύπαρκτη τήρησή τους δείχνει το πόσο αναγκαία είναι η παρέμβαση της εποπτικής αρχής. Σε περίπτωση τήρησης εγκεκριμένων κωδίκων δεοντολογίας από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, η εποπτική αρχή μπορεί να αποφασίσει ακόμη και πως η κοινότητα την οποία αφορά ο κώδικας λαμβάνει η ίδια κατάλληλα και επαρκή μέτρα κατά του μέλους της και να μην χρειαστεί να επιβάλει κανένα πρόστιμο, ωστόσο δεν είναι υποχρεωμένη.
11. Κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση: πληροφορίες σχετικά με οφέλη που αποκτήθηκαν εξαιτίας παράβασης μπορεί να είναι ιδιαίτερα σημαντικές για τις εποπτικές αρχές, καθώς το οικονομικό όφελος που αποκτήθηκε εξαιτίας της παράβασης δεν μπορεί να αντισταθμιστεί μέσω μέτρων που δεν περιλαμβάνουν χρηματικό στοιχείο. Ως εκ τούτου, το γεγονός ότι ο υπεύθυνος επεξεργασίας αποκόμισε κάποιο όφελος εξαιτίας της παράβασης του κανονισμού μπορεί να αποτελεί ισχυρή ένδειξη ότι πρέπει να επιβληθεί πρόστιμο.
Το περιεχόμενο των διοικητικών κυρώσεων - Η αρχή ne bis in idem
Σύμφωνα με τα ανωτέρω, το νομοθετικό πλαίσιο για την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαική Ένωση έχει τροποποιηθεί ριζικώς και εκτενώς βάσει των βασικών πυλώνων για νέους συνεκτικούς κανόνες δικαίου, απλουστευμένες διαδικασίες, συντονισμένες ενέργειες, ενεργή συμμετοχή των πλήρως ενημερωμένων υποκειμένων και εξουσίες ικανές να επιβάλουν τη συμμόρφωση στα νέα δεδομένα προστασίας, ιδίως με τη θέσπιση αυστηρών διοικητικών κυρώσεων.
Στο πλαίσιο αυτό, είναι σαφές ότι, αφενός οι εποπτικές αρχές πρέπει να διασφαλίζουν την αμεροληψία τους στην αποτελεσματική, αναλογική και αποτρεπτική επιβολή διοικητικών κυρώσεων, σύμφωνα με τις διατυπώσεις και το πνεύμα του Κανονισμού, αφετέρου οι υπεύθυνοι και οι εκτελούντες την επεξεργασία δεδομένων έχουν αυξημένες υποχρεώσεις για την αποτελεσματική προστασία των προσωπικών δεδομένων, οι οποίες και διασφαλίζονται μέσω της γνώσης των πιθανών συνεπειών σε περίπτωση μη τήρησής τους. Πράγματι, τα διοικητικά πρόστιμα αποτελούν κεντρικό στοιχείο του νέου καθεστώτος επιβολής του Κανονισμού και ισχυρό εργαλείο στα χέρια των εποπτικών αρχών, συμπληρωματικώς με τα άλλα μέτρα που προβλέπονται στο άρθρο 58 του GDPR.
Ωστόσο, η επιβολή και διοικητικών κυρώσεων (όπως και ποινικών κυρώσεων) για παραβάσεις εθνικών κανόνων δεν θα πρέπει να οδηγεί σε παραβίαση της αρχής ne bis in idem, όπως έχει νομολογιακώς ερμηνευτεί. Συνεπώς, σωρευτικώς επιπρόσθετη ποινή για το ίδιο αδίκημα δεν μπορεί να επιβάλει η εποπτική αρχή αν έχει επιβάλλει ποινή δικαστήριο ή άλλη αρχή. Βέβαια, η αθώωση / απαλλαγή από μία αρχή ή δικαστήριο δεν αποστερεί τη δυνατότητα της εποπτικής αρχής να επιληφθεί της υπόθεσης (βλ. αιτιολογική σκέψη 150 GDPR).
Πρακτικές προεκτάσεις - Περιστατικά
Α. Περιστατικό Data breach (Μη εφαρμογή κατάλληλων μέτρων για την ταυτοποίηση του συνδρομητή)
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) εξέδωσε την υπ’ αριθμόν 140/2017 απόφασή της επιβάλλοντας διοικητικό πρόστιμο ύψους 2.000 ευρώ σε εταιρεία κινητής τηλεφωνίας για παραβίαση των διατάξεων σχετικά με το απόρρητο και την ασφάλεια της επεξεργασίας προσωπικών δεδομένων.
Ωστόσο, παρόλο που, εκ πρώτης όψεως, η επιβολή της εν λόγω διοικητικής κύρωσης είχε ως νομική βάση το άρθρο 10 Ν. 2472/1997, αποτελεί ένα σημαντικό εργαλείο, προκειμένου να αντιληφθούμε τη σημασία των κυρώσεων αυτών αφενός κατασταλτικά για τον παραβιάζοντα τους κανόνες δικαίου προστασίας των προσωπικών δεδομένων αφετέρου προληπτικά για όσους δεν επιθυμούν να δεχτούν και οι ίδιοι τις δυσμενείς επιπτώσεις της μη συμμόρφωσής τους. Σε κάθε περίπτωση, ο νομικός συλλογισμός της ανωτέρω απόφασης μας παρέχει ενδείξεις για τους συλλογισμούς που θα ακολουθήσει η ίδια η ΑΠΔΠΧ σε μελλοντικά περιστατικά παραβίασης των επιταγών του Κανονισμού, προκειμένου να επιβάλει τις διοικητικές κυρώσεις, που θεωρεί πρόσφορες ανά περίπτωση.
Ειδικότερα:
Πραγματικά περιστατικά (Ιστορικό):
Σύμφωνα με την υπ’ αριθμόν 140/2017 απόφαση της ΑΠΔΠΧ, η εταιρεία (Vodafone) δεν εφάρμοσε κατάλληλα οργανωτικά µέτρα, καθώς δεν τηρήθηκαν τα κατάλληλα μέτρα ασφάλειας, σε περίπτωση ταυτοποίησης συνδροµητή, µε άμεση απόρροια να πραγματοποιηθεί περιστατικό παραβίασης προσωπικών δεδοµένων.
Ειδικότερα, με την καταγγελία που υποβλήθηκε στην ΑΠΔΠΧ, τρίτο πρόσωπο, το οποίο είχε το ίδιο όνοµα και επώνυµο αλλά διαφορετικό πατρώνυµο με τον καταγγέλοντα, επισκέφτηκε ένα κατάστηµα του υπευθύνου επεξεργασίας και αγόρασε κάρτα sim µε τον τηλεφωνικό αριθµό του καταγγέλλοντος, την οποία και χρησιµοποίησε για περίπου δέκα ηµέρες, εντός των οποίων ελάµβανε τις κλήσεις που προορίζονταν για τον καταγγέλλοντα από συγγενικά του πρόσωπα.
Ωστόσο, κατόπιν προσέλευσης του καταγγέλλοντος σε κατάστηµα της εταιρείας Vodafone, του επισημάνθηκε ότι αφενός ζητήθηκε από τους αρμόδιους υπαλλήλους η επίδειξη του αστυνομικού δελτίου ταυτότητας (Α.Δ.Τ.), προκειμένου να εξακριβωθεί η ταυτοποίηση του τρίτου αφετέρου ότι το αστυνομικό δελτίο ταυτότητας του καταγγέλοντος, που τηρούνταν στο σύστημα της εταιρείας, είχε αλλάξει από το 2014, χωρίς ο καταγγέλλων να προβεί σε οιαδήποτε ενημέρωση προς τον υπεύθυνο επεξεργασίας για την αλλαγή αυτή. Βέβαια, σε κάθε περίπτωση η εταιρεία επέστρεψε τον τηλεφωνικό αριθμό στον καταγγέλοντα, αναγνωρίζοντας έτσι το σφάλµα των υπαλλήλων της.
Ο νομικός συλλογισμός της Αρχής:
Λαμβάνοντας υπόψη όλα τα σχετικά στοιχεία, η ΑΠΔΠΧ έκρινε ότι υπήρξε πράγµατι λάθος στη διαδικασία της ταυτοποίησης, διότι κατά το επίµαχο δεκαήµερο ο τρίτος στον οποίο χορηγήθηκε, λόγω πληµµελούς ταυτοποίησης, η κάρτα SIM και ο τηλεφωνικός αριθµός που ανήκε στον καταγγέλλοντα απαντούσε σε κλήσεις που έκαναν φιλικά ή συγγενικά πρόσωπα στον καταγγέλλοντα και µάλιστα τους έλεγε ότι ο αριθµός του ανήκει και κακώς ισχυρίζεται ο καταγγέλλων ότι είναι δικός του. Αυτό καταδεικνύει ότι τον αριθµό προηγουµένως τον είχε ο καταγγέλλων και από λάθος ταυτοποίηση δόθηκε στον τρίτο.
Άλλωστε όταν υπέπεσε στην αντίληψη του καταγγέλλοντος η παραχώρηση του αριθµού του σε τρίτο πρόσωπο και διαµαρτυρήθηκε στην εν λόγω εταιρεία – υπεύθυνο επεξεργασίας, οι αρμόδιοι υπάλληλοι έσπευσαν και του έδωσαν τον αριθµό που του ανήκε, αναγνωρίζοντας έτσι το σφάλµα τους.
Μάλιστα, όσον αφορά το επιχείρημα του υπευθύνου επεξεργασίας ότι δεν είχε επικαιροποιηθεί το αστυνομικό δελτίο ταυτότητας του καταγγέλλοντος στα συστήµατά του από υπαιτιότητα του τελευταίου, δεν αίρεται η υπαιτιότητα της εταιρείας για τη µη ορθή ταυτοποίηση του τρίτου ατόµου στο οποίο χορηγήθηκε κατά την αλλαγή της κάρτας ο τηλεφωνικός αριθµός του καταγγέλλοντος, ενόψει του ότι το εν λόγω δελτίο ταυτότητας που έφερε ο τρίτος οπωσδήποτε δεν είχε τον αυτό αριθµό, αλλά και ούτε τα λοιπά στοιχεία, τα οποία δεν ελεγχθήκαν, όπως το πατρώνυµο του ατόµου που τους επέδειξε το Α.∆.Τ., το οποίο διέφερε µε τα στοιχεία που είχαν καταχωρηµένα στο σύστηµα. Ενόψει του ότι πραγµατοποιήθηκε η παράδοση της κάρτας στο τρίτο πρόσωπο η ταυτοποίηση που διενεργήθηκε από τον υπεύθυνο επεξεργασίας κρίνεται ως πληµµελής και ελλιπής.
Διοικητικές κυρώσεις:
Με βάση τα στοιχεία αυτά, η ΑΠΔΠΧ στην εταιρεία «Vodafone-Πάναφον»:
- Επέβαλε Διοικητικό πρόστιµο ύψους δύο χιλιάδων (2.000) ευρώ για παραβίαση του άρθρου 10 του ν. 2472/1997, αφού δεν εφαρµόστηκαν τα κατάλληλα οργανωτικά µέτρα ασφάλειας για την ταυτοποίηση του συνδροµητή, µε αποτέλεσµα να πραγματοποιηθεί το εν λόγω περιστατικό παραβίασης προσωπικών δεδοµένω και
- Απηύθυνε σύσταση για την προσαρµογή της διαδικασίας ταυτοποίησης των συνδροµητών, όταν επισκέπτονται µε φυσική παρουσία καταστήµατα του υπευθύνου επεξεργασίας, και τον αυστηρό έλεγχο τήρησής τους.
Β. Περιστατικό unsolicited automated communication – calls (Μη ζητηθείσα αυτόματη επικοινωνία - Γραφείο Επιτρόπου Ηνωμένου Βασιλείου/ICO)
Χρήσιμη προς κατανόηση είναι και η συγκριτική επισκόπηση των επιταγών του Ελληνικού Δικαίου με άλλα Δίκαια, όπως, ενδεικτικά αναφέρεται το Αγγλικό, καθώς ο Κανονισμός, όπως είναι γνωστό, θα ισχύει σε όλα τα Κράτη Μέλη της Ευρωπαϊκής Ένωσης.
Προσφάτως, τo Γραφείο Επιτρόπου Ηνωμένου Βασιλείου απασχόλησε η πραγματοποίηση μη ζητηθείσας αυτόματης επικοινωνίας – κλήσεων μέσω αυτόματων μέσων επικοινωνίας από εταιρεία στην οποία και επιβλήθηκε πρόστιμο ύψους £ 350.000.
Πραγματικά περιστατικά (Ιστορικό):
Η Εταιρεία Miss-sold Products UK Ltd πραγματοποίησε τις αυτοματοποιημένες κλήσεις μάρκετινγκ μεταξύ 16 Νοεμβρίου 2015 και 7 Μαρτίου 2016, οι οποίες περιείχαν καταγεγραμμένα μηνύματα, αλλά η εταιρεία δεν είχε λάβει τη συγκατάθεση των δικαιούχων για την πραγματοποίηση των εν λόγω κλήσεων μάρκετινγκ.
Μάλιστα, ο σχετικός Αγγλικός νόμος παραβιάστηκε, περαιτέρω, καθώς αφενός η ανωτέρω εταιρεία παρέλειψε να προσδιορίσει τον αποστολέα, ο οποίος πραγματοποιούσε τις κλήσεις (και στον οποίον θα μπορούσαν τα άτομα να ζητήσουν το τερματισμό την εν λόγω επικοινωνίας), αφετέρου χρησιμοποίησε τηλεφωνικούς αριθμούς χρέωσης του ατόμου, όταν το τελευταίο θα πραγματοποιούσε κλήση του εν λόγω αριθμού.
Το Γραφείο Επιτρόπου Ηνωμένου Βασιλείου έλαβε 146 καταγγελίες από το κοινό, καθώς πολλοί άνθρωποι έλαβαν πολλαπλές κλήσεις, άλλοι δεν μπόρεσαν να δηλώσουν την έλλειψη συναίνεσης για τη λήψη των κλήσεων και άλλοι ανησύχησαν, καθώς οι πραγματοποιηθείσες κλήσεις αργά τη νύχτα μπορεί να προέρχονταν από μέλη της οικογένειας ή από εκείνους στους οποίους παρείχαν οιαδήποτε φροντίδα.
Ο νομικός συλλογισμός του Γραφείου Επιτρόπου Ηνωμένου Βασιλείου/ICO:
Λαμβάνοντας υπόψη όλα τα σχετικά στοιχεία, το Γραφείο Επιτρόπου Ηνωμένου Βασιλείου – ICO έκρινε ότι αυτή η εταιρεία αγνοούσε κατάφωρα τους νόμους σχετικά με το τηλεφωνικό μάρκετινγκ, κάνοντας ένα τεράστιο όγκο ενοχλητικών κλήσεων σε σύντομο χρονικό διάστημα και χωρίς καμία προφανή προσπάθεια να εξασφαλίσει ότι είχε λάβει τη συγκατάθεση των ανθρώπων που παρενοχλούσε.
Περαιτέρω, το Γραφείο Επιτρόπου Ηνωμένου Βασιλείου/ICO τόνισε ότι ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης είναι ένας νέος νόμος ο οποίος θα εφαρμοστεί στο Ηνωμένο Βασίλειο από τις 25 Μαΐου 2018. Η κυβέρνηση επιβεβαίωσε ότι η απόφαση του Ηνωμένου Βασιλείου να εγκαταλείψει την ΕΕ δεν θα επηρεάσει την έναρξη του GDPR, καθώς ήδη εισάγει μέτρα σχετικά με αυτές και ευρύτερες μεταρρυθμίσεις προστασίας δεδομένων σε σχετικό νομοσχέδιο για την προστασία των δεδομένων. Παράλληλα, οι κανονισμοί ιδιωτικού απορρήτου και ηλεκτρονικών επικοινωνιών (The Privacy and Electronic Communications Regulations - PECR) βρίσκονται δίπλα στον νόμο περί προστασίας δεδομένων, καθώς παρέχουν στους ανθρώπους συγκεκριμένα δικαιώματα ιδιωτικού απορρήτου σε σχέση με τις ηλεκτρονικές επικοινωνίες (κλήσεις μάρκετινγκ, μηνύματα ηλεκτρονικού ταχυδρομείου, κείμενα και φαξ, cookies και παρόμοιες τεχνολογίες, απόρρητο των πελατών όσον αφορά τα δεδομένα κίνησης και θέσης και τις καταχωρήσεις καταλόγων κ.λπ.)
Διοικητικές κυρώσεις:
Με βάση τα στοιχεία αυτά, τo Γραφείο Επιτρόπου Ηνωμένου Βασιλείου, επέβαλε στην Εταιρεία Miss-sold Products UK Ltd πρόστιμο ύψους £ 350.000 λόγω της πραγματοποίησης μη ζητηθείσας αυτόματης επικοινωνίας – κλήσεων μέσω αυτόματων μέσων επικοινωνίας.
Αξίζει να σημειωθεί ότι μία νέα εποχή ξεκινάει για την προστασία των προσωπικών μας δεδομένων και είναι δικαίωμα αλλά και πρωταρχική μας υποχρέωση να ενημερωνόμαστε, καθημερινώς, για την ένταση και την έκταση των διοικητικών κυρώσεων, όπως αυτές θα αρχίζουν να επιβάλονται, για να επιτύχουν τη συμμόρφωση όλων μας σε αυτό το πλήρες και σαφές Ευρωπαϊκό νομοθέτημα, με την ονομασία GDPR.
Προοίμιο Γενικού Κανονισμού για την Προστασία Δεδομένων
Τα διοικητικά πρόστιμα με βάση τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR)
Πρόστιμο σε εταιρεία κινητής τηλεφωνίας για περιστατικό παραβίασης προσωπικών δεδομένων (ΑΠΔΠΧ)
Υπόθεση αυτοματοποιημένων κλήσεων - Information Commissioner's Office