Τον ερχόμενο Μάιο θα εφαρμοστεί ο νέος Κανονισμός (υπ’ αριθ. 2016/679) του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την Προστασία των Προσωπικών Δεδομένων, με ριζικές, σε ορισμένα σημεία, αλλαγές στα έως σήμερα ισχύοντα. Οι διατάξεις του νέου Κανονισμού έχουν πολυδιαφημιστεί ότι ενισχύουν την προστασία των πολιτών –υποκειμένων των προσωπικών δεδομένων– έναντι πράξεων επεξεργασίας των προσωπικών τους δεδομένων και ότι περιέχουν ευνοϊκές ρυθμίσεις και για τις ίδιες τις επιχειρήσεις που προβαίνουν σε τέτοια επεξεργασία, ιδίως όταν αυτές δραστηριοποιούνται σε περισσότερα του ενός κράτη-μέλη της Ε.Ε. Ως κορυφαία θετική εξέλιξη προβάλλεται ο στόχος της ενότητας του δικαίου σε όλη την Ε.Ε., αλλά και η στενότερη συνεργασία μεταξύ των ευρωπαϊκών εθνικών Αρχών Προστασίας Προσωπικών Δεδομένων που επιβάλλει ο Κανονισμός και στοχεύει κυρίως στην προώθηση της ομοιόμορφης εφαρμογής του δικαίου και στην ελαχιστοποίηση των διαφορών μεταξύ εθνικών διοικητικών πρακτικών, σημείο ως προς το οποίο το ισχύον καθεστώς παρουσίαζε ανεπάρκεια. Μάλιστα, ειδικά σε περιπτώσεις διασυνοριακών διαβιβάσεων προσωπικών δεδομένων, θα χρειάζεται συνεργασία με μία μόνον επικεφαλής εποπτική Αρχή, και όχι όπως γίνεται σήμερα, με μία για κάθε κράτος-μέλος προς ή από το οποίο θα γίνονται οι διαβιβάσεις.
Η ενθουσιώδης υποδοχή του νέου Κανονισμού παραβλέπει όμως τη σημαντική επιβάρυνση που θα υποστούν οι επιχειρήσεις με δραστηριότητες που απαιτούν σημαντική σε όγκο και συχνότητα επεξεργασία προσωπικών δεδομένων, όπως ιδίως οι επιχειρήσεις του χρηματοπιστωτικού τομέα που καθημερινά απευθύνονται σε και συναλλάσσονται με μεγάλο αριθμό πολιτών. Η διασφάλιση της συνεχούς συμμόρφωσης με τις νέες ρυθμίσεις σε συνδυασμό και με τις ολοένα αυξανόμενες υποχρεώσεις στον τομέα της εταιρικής διακυβέρνησης και εν γένει εσωτερικής λειτουργίας των επιχειρήσεων, αναμένεται να είναι μία διόλου αμελητέα επιβάρυνση. Χαρακτηριστικό παράδειγμα είναι η υποχρέωση που θα έχουν οι επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα με σημαντικό όγκο και συχνότητα, να ορίσουν (ή να αναθέσουν εξωτερικά) «Υπεύθυνο Προστασίας Δεδομένων», αλλά και να προβαίνουν σε «Εκτιμήσεις Αντικτύπου» σχετικά με την προστασία προσωπικών δεδομένων. Οι νέες υποχρεώσεις έρχονται να προστεθούν στην ήδη επιβαρυμένη με λεπτομερείς ρυθμιστικές απαιτήσεις εσωτερική οργάνωση, ιδίως των επιχειρήσεων του χρηματοπιστωτικού τομέα. Επίσης ο νέος Κανονισμός απαιτεί από τις επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα να υιοθετούν «μηχανισμούς κατά τον σχεδιασμό των μέσων και μεθόδων επεξεργασίας των δεδομένων», το λεγόμενο «privacy by default & by design», ώστε να διασφαλίζουν ότι μόνο τα ελάχιστα απαραίτητα δεδομένα θα τυγχάνουν επεξεργασίας, αλλά και ότι θα τηρούνται οι γενικές αρχές του Κανονισμού. Πρόκειται για προβλέψεις που προστίθενται στις ήδη υποχρεωτικές, με βάση άλλες διατάξεις, παραμέτρους που θα πρέπει να λαμβάνονται υπόψη ιδίως κατά τον σχεδιασμό νέων προϊόντων και υπηρεσιών ή κατά τον σχεδιασμό των μεθόδων εκτίμησης κινδύνου που συνεπάγεται η αποδοχή αίτησης του πελάτη προς παροχή υπηρεσιών.
Συμπερασματικά, ο νέος Κανονισμός στοχεύει μεν, όπως δηλώνεται γενικά, πρωτίστως σε μεγαλύτερη ασφάλεια του δικαίου, μείωση της γραφειοκρατίας και των συνακόλουθων δαπανών των επιχειρήσεων, πλην όμως ενέχει και «παγίδες» που κρύβουν οι νέες διατάξεις και που μπορούν να οδηγήσουν στο αντίθετο αποτέλεσμα: σε σημαντική δηλαδή διοικητική και οικονομική επιβάρυνση των επιχειρήσεων, και ιδίως των επιχειρήσεων του χρηματοπιστωτικού τομέα (όπως τράπεζες και ασφαλιστικές επιχειρήσεις), προκειμένου να διασφαλίσουν τη συμμόρφωσή τους και την αποφυγή των ιδιαίτερα υψηλών προστίμων που προβλέπει ο νέος Κανονισμός σε περίπτωση μη συμμόρφωσης.
Η χρήση των νέων μηχανισμών που προβλέπει ο Κανονισμός με τη μορφή «κωδίκων δεοντολογίας» και «μηχανισμών πιστοποίησης», ναι μεν σηματοδοτεί την κατ’ αρχήν συμμόρφωση της επιχείρησης με τις νέες διατάξεις, ασφαλώς όμως δεν θα πρέπει να αντιμετωπίζεται ως πανάκεια, αφού ρητά προβλέπεται ότι θα αποτελούν απλά ενδείξεις της συμμόρφωσης και όχι αυτόματη απαλλαγή από τις υποχρεώσεις και τις ευθύνες τους.
Η έλευση του νέου Κανονισμού θα πρέπει να αντιμετωπιστεί με ιδιαίτερη προσοχή από τους εμπλεκόμενους, η δε συμμόρφωση με τις νέες διατάξεις αναμένεται να απαιτεί συνεχή έλεγχο των εξελίξεων σε ευρωπαϊκό και εθνικό επίπεδο, και αντίστοιχη επικαιροποίηση των μέτρων που θα λάβουν αρχικά οι επιχειρήσεις.
* Η κ. Βικτωρία Α. Χατζάρα, LL.M. είναι συνεργάτις της Διεθνούς Νομικής Εταιρείας Rokas v.chatzara@rokas.com.