Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 8/10/2019

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Με τις υπ’ αρ. 31/2019 και 34/2019 αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), που αναρτήθηκαν στην ιστοσελίδα της στις 7 Οκτωβρίου, καταγράφεται νέο πρόστιμο-ρεκόρ στη μετά GDPR εποχή. Με κάθε μία εξ αυτών επιβάλλεται πρόστιμο ύψους 200.000 ευρώ στην ίδια πολύ μεγάλη εταιρεία παροχής υπηρεσιών τηλεφωνίας για παραβάσεις του GDPR. Είτε μεμονωμένα (200.000 ευρώ έκαστο) είτε αθροιστικά (400.000 ευρώ) τα εν λόγω πρόστιμα ανεβάζουν σημαντικά τον πήχη για τα ελληνικά δεδομένα. Υπενθυμίζεται ότι το σχετικό ρεκόρ κατείχε μέχρι προ ολίγων ημερών η υπ’ αρ. 26/2019 απόφαση της ΑΠΔΠΧ για πρόστιμο ύψους 150.000 ευρώ. Το εν λόγω πρόστιμο είχε επιβληθεί σε μεγάλη εταιρεία παροχής επιχειρηματικών και λογιστικών υπηρεσιών κατόπιν καταγγελίας λογιστών.

Λίγα λόγια για εκάστη εκ των δύο νέων υποθέσεων. Η απόφαση υπ’ αρ. 31/2019 αφορά τα μητρώα αντιρρήσεων, τα οποία προβλέπονται στο άρθρο 11 παρ. 2 του Ν. 3471/2006 και τηρούνται υποχρεωτικά από τις εταιρείες παροχής υπηρεσιών τηλεφωνίας. Σε αυτά δικαιούνται να εγγράφονται συνδρομητές τους δωρεάν, ώστε να μη λαμβάνουν ανεπιθύμητες τηλεφωνικές κλήσεις, ιδίως για προώθηση προϊόντων και υπηρεσιών. Για την επίτευξη αυτού του στόχου, τα μητρώα αντιρρήσεων είναι δημόσια. Έτσι, κάθε ενδιαφερόμενος που επιθυμεί να προβεί σε προωθητικές κλήσεις δικαιούται να τα λάβει, ώστε να μην καλεί τους εγγεγραμμένους σε αυτά.

Στην εν λόγω υπόθεση η ΑΠΔΠΧ κινητοποιήθηκε κατόπιν καταγγελιών δύο συνδρομητών της εμπλεκόμενης εταιρείας τηλεφωνίας. Τα τηλέφωνα αυτών δεν περιλαμβάνονταν στα ειδικά μητρώα αντιρρήσεων (opt-out), τα οποία χορηγούσε η εταιρεία τηλεφωνίας σε διαφημιζόμενες εταιρείες, παρά το ότι αυτοί είχαν προβεί στη σχετική εγγραφή. Αυτό συνέβαινε εξαιτίας τεχνικού προβλήματος της εταιρείας τηλεφωνίας, ήτοι τη μη καλή αλληλεπίδραση μεταξύ δύο εφαρμογών. Έτσι, η μη ορθή τήρηση του μητρώου αντιρρήσεων είχε ως αποτέλεσμα συνδρομητές, όπως οι καταγγέλλοντες, να λαμβάνουν προωθητικές κλήσεις, παρά τη δήλωσή τους ότι δεν το επιθυμούσαν. Η παράλειψη αυτή έθιξε περισσότερους από 16.000 συνδρομητές για περισσότερο από 3 χρόνια.

Κατά την ΑΠΔΠΧ, εν προκειμένω παραβιάστηκε η αρχή της ακρίβειας των προσωπικών δεδομένων (άρθρο 5 παρ. 1 περ. δ΄ GDPR), καθώς τα προσωπικά δεδομένα που τηρούσε η εταιρεία τηλεφωνίας ήταν ανακριβή. Παραβιάστηκε επίσης και η υποχρέωση της προστασίας προσωπικών δεδομένων ήδη από τον σχεδιασμό των σχετικών συστημάτων τήρησής τους (άρθρο 25 GDPR), με αποτέλεσμα την ανακρίβεια των δεδομένων. Για τους λόγους αυτούς η ΑΠΔΠΧ αποφάσισε την επιβολή προστίμου ύψους 200.000 ευρώ, λαμβάνοντας υπόψη, μεταξύ άλλων, τα ετήσια έσοδα της εταιρείας τηλεφωνίας, που για το 2018 ήταν σε επίπεδο ομίλου περίπου 2,9 δις ευρώ.

Στην απόφαση υπ’ αρ. 34/2019, η ΑΠΔΠΧ κινητοποιήθηκε εκ νέου κατόπιν δύο καταγγελιών συνδρομητών της ίδιας εταιρείας τηλεφωνίας. Οι καταγγελίες αφορούσαν τη μη λειτουργία, λόγω τεχνικού σφάλματος, της δυνατότητας διαγραφής από τις λίστες παραληπτών διαφημιστικών emails της εταιρείας τηλεφωνίας, για όσους παραλήπτες ασκούσαν αυτό το δικαίωμα μέσω του συνδέσμου “unsubscribe”. Στην εταιρεία τηλεφωνίας είχε γνωστοποιηθεί το σχετικό πρόβλημα από συνδρομητή, χωρίς όμως αυτή να προβεί σε αντιμετώπισή του. Η δυσλειτουργία είχε εκδηλωθεί ήδη από το 2013, με αποτέλεσμα 8.000 περίπου συνδρομητές να επιχειρήσουν ανεπιτυχώς να διαγραφούν.

Κατά την ΑΠΔΠΧ, εν προκειμένω δεν μπορούσε να ικανοποιηθεί το δικαίωμα εναντίωσης του συνδρομή (άρθρο 21 GDPR), δεδομένου ότι η προσπάθεια του να διαγραφεί από τη λίστα παραληπτών διαφημιστικών emails δεν είχε κανένα αποτέλεσμα. Απουσίαζε επίσης και το κατάλληλο οργανωτικό μέτρο από την πλευρά της εταιρείας τηλεφωνίας (άρθρο 25 ΓΚΠΔ), ώστε να μπορέσει να διαπιστώσει τη δυσλειτουργία. Για τους λόγους αυτούς η ΑΠΔΠΧ αποφάσισε και σε αυτή την περίπτωση την επιβολή δεύτερου προστίμου ύψους 200.000 ευρώ, λαμβάνοντας υπόψη, μεταξύ άλλων, για μια ακόμη φορά τα ετήσια έσοδα της εταιρείας τηλεφωνίας σε επίπεδο ομίλου.

Τρεις σύντομες παρατηρήσεις για τις ως άνω δύο αποφάσεις. Παρατήρηση πρώτη: το δις εξαμαρτείν ουκ ανδρός σοφού. Δεν πάει πολύς καιρός από την επιβολή στην ίδια εταιρεία τηλεφωνίας προστίμου ύψους 150.000 ευρώ από την ΑΠΔΠΧ (απόφαση υπ’ αρ. 62/2018, 9-10-2018) για πραγματοποίηση εκατομμύριων μη νόμιμων ανεπιθύμητων τηλεφωνικών κλήσεων. Το εν λόγω πρόστιμο είχε επιβληθεί βέβαια υπό το προ του GDPR καθεστώς του Ν. 2472/1997 και αποτελούσε τότε το μεγαλύτερο δυνατό. Με τις νέες αποφάσεις σε αυτό έρχεται να προστεθεί νέο συνολικό πρόστιμο ύψους 400.000 ευρώ για νέες παραβάσεις. Παρατήρηση δεύτερη: η συμμόρφωση με τον GDPR δεν πρέπει να είναι μόνο νομικού, αλλά και τεχνικού χαρακτήρα. Και τα δύο τεχνικά προβλήματα που αντιμετώπισε η εταιρεία τηλεφωνίας, τα οποία οδήγησαν στα οικεία πρόστιμα, θα μπορούσαν να είχαν αποφευχθεί αν είχε δοθεί η δέουσα προσοχή σε τεχνικό επίπεδο. Παρατήρηση τρίτη: η συμμόρφωση με τον GDPR επιβάλλει έμφαση στη λεπτομέρεια και βλέμμα στραμμένο όχι μόνο στο μέλλον, αλλά και στο παρελθόν. Οι αστοχίες της εταιρείας τηλεφωνίας δεν οφείλονταν σε δόλο, όπως υπογράμμισε η ΑΠΔΠΧ στις σχετικές αποφάσεις της. Έρχονταν όμως από παλιά και κρύβονταν στη λεπτομέρεια, με αποτέλεσμα να αποδειχθεί μοιραία η μη επίδειξη της απαιτούμενης προσοχής.

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 2/09/2019

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Στις 29 Αυγούστου δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως ο Ν. 4624/2019 με τα εθνικά μέτρα εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού και ως GDPR. Πρόκειται για νομοθετικό κείμενο με ευρύτερο περιεχόμενο, καθώς με αυτό ενσωματώνεται επίσης στην ελληνική έννομη τάξη η ενωσιακή Οδηγία 2016/680 για την προστασία των προσωπικών δεδομένων κατά την επεξεργασία τους από διωκτικές αρχές, ιδίως τις αστυνομικές αρχές, γνωστή και ως LED.

Η πορεία προς την υιοθέτηση του Ν. 4624/2019 θυμίζει, δυστυχώς, σίριαλ τεσσάρων σεζόν. Σημείο εκκίνησης αποτέλεσε η υιοθέτηση του GDPR και της LED από τα ενωσιακά όργανα τον Απρίλιο του 2016. Ως προς τον GDPR, δεδομένου ότι αποτελεί ενωσιακό Κανονισμό, αυτός εξ ορισμού απολαμβάνει άμεσης εφαρμογής από τον Μάιο του 2018, χωρίς να απαιτείται η υιοθέτηση εθνικού νόμου. Κατ’ εξαίρεση πάντως, οι ρυθμίσεις του περιλαμβάνουν τη δυνατότητα του εθνικού νομοθέτη να λάβει και συμπληρωματικά μέτρα εφαρμογής.

Ως προς τη LED, αυτή απαιτεί για την ενσωμάτωσή της εθνικό νόμο, ο οποίος έπρεπε να υιοθετηθεί μέχρι τον Μάιο του 2018. Σε αυτό το πλαίσιο, ακολούθησε η ταχύτατη σύσταση ειδικής νομοπαρασκευαστικής επιτροπής από το Υπουργείο Δικαιοσύνης τον Ιούνιο του 2016 (σεζόν πρώτη). Η εν λόγω επιτροπή προχώρησε στην εκπόνηση σχεδίου νόμου, επιχειρώντας τη ζεύξη εθνικών μέτρων τόσο για τον GDPR όσο και για τη LED στο ίδιο νομοθετικό κείμενο, το οποίο τέθηκε σε δημόσια διαβούλευση τον Φεβρουάριο του 2018 (σεζόν δεύτερη και τρίτη).

Σε αντίθεση με άλλα νομοσχέδια όμως, η ολοκλήρωση της δημόσιας διαβούλευσης τον Μάρτιο του 2018 δεν οδήγησε σε σύντομη κατάθεση του νομοσχεδίου στη Βουλή προς ψήφιση. Αντίθετα, τόσο τον Νοέμβριο του 2018 όσο και τον Ιανουάριο του 2019 (σεζόν τέταρτη) μεταβλήθηκε εκ νέου η σύσταση της ειδικής νομοπαρακευαστικής επιτροπής και τέθηκαν νέες προθεσμίες για την περάτωση των εργασιών της.

Η ως άνω μεταβληθείσα ειδική νομοπαρασκευαστική επιτροπή εκπόνησε νέο νομοσχέδιο τον Φεβρουάριο του 2019, που ποτέ δεν υποβλήθηκε όμως σε δημόσια διαβούλευση. Ακολούθησε η διενέργεια των εθνικών εκλογών, χωρίς ακόμη να έχει υιοθετηθεί εθνικός νόμος, με την Ευρωπαϊκή Επιτροπή να παραπέμπει την Ελλάδα στο Δικαστήριο της Ε.Ε. τον Ιούλιο του 2019, με την απειλή επιβολής υπέρογκου προστίμου για μη έγκαιρη ενσωμάτωση της LED.

Τέλος, προ ολίγων ημερών τέθηκε εκ νέου σε δημόσια διαβούλευση το νομοσχέδιο για τα προσωπικά δεδομένα, το οποίο βασιζόταν στις εργασίες της ειδικής νομοπαρασκευαστικής επιτροπής με την μεταβληθείσα σύνθεση, όπως αυτό είχε εκπονηθεί τον Φεβρουάριο του 2019.

Η δημόσια διαβούλευση είχε μικρή διάρκεια και αμέσως μετά ακολούθησε η κατάθεση του νομοσχεδίου στη Βουλή, το οποίο ψηφίστηκε σε χρόνο ντετέ με τη διαδικασία του κατεπείγοντος. Τελικά, το ψηφισθέν νομοσχέδιο διαφέρει σημαντικά από αυτό που τέθηκε σε δημόσια διαβούλευση, καθώς λήφθηκε υπόψη σειρά ενστάσεων που προβλήθηκαν. Έτσι, μετά την πάροδο περισσότερων των τριών χρόνων από την υιοθέτηση του GDPR και της LED, καθώς και την πάροδο περισσότερου από ένα έτος από την έναρξη της εφαρμογής του πρώτου και τη λήξη της προθεσμίας ενσωμάτωσης της δεύτερης, βγήκε λευκός καπνός και η Ελλάδα απέκτησε επιτέλους εθνικό νόμο!

Η χώρα μας για μια ακόμη φορά βρέθηκε σχεδόν τελευταία και καταϊδρωμένη στο σχετικό στίβο, ως προς τη λήψη εθνικών μέτρων σε σύγκριση με τα άλλα κράτη μέλη, δεδομένου ότι αυτά στη συντριπτική πλειοψηφία τους έπραξαν το ίδιο αρκετά νωρίτερα.

Ως προς τα εθνικά μέτρα εφαρμογής του GDPR, ο Ν. 4624/2019 βασίζεται στον αντίστοιχο γερμανικό νόμο. Οι σχετικές ρυθμίσεις του εντοπίζονται στη συντριπτική πλειοψηφία τους στο Κεφάλαιο Α΄ – Γενικές Διατάξεις (άρθρα 1-8), στο Κεφάλαιο Β΄ – Eποπτική Αρχή (άρθρα 9-20) και στο Κεφάλαιο Γ΄ – Συμπληρωματικά Μέτρα Εφαρμογής του ΓΚΠΔ (άρθρα 21-42), με το Κεφάλαιο Δ΄ να αφορά τη LED (άρθρα 43-82). Ο παλαιότερος Ν. 2472/1997 για την προστασία των προσωπικών δεδομένων καταργείται, πλην ελαχίστων εξαιρέσεων, όπως των ορισμών που περιέχει στο άρθρο 2, ιδίως της προβλεπόμενης ρύθμισης για ανακοίνωση και δημοσιοποίηση προσωπικών δεδομένων σχετικά με ποινικές διώξεις ή καταδίκες.

Εκκινώντας από το Κεφάλαιο Α΄, αυτό, μεταξύ άλλων, επαναλαμβάνει το πεδίο εφαρμογής του GDPR, θέτει τον ορισμό δημόσιου και ιδιωτικού φορέα, σύμφωνα με τη νέα διάκριση που ακολουθείται σε πλήθος ρυθμίσεων του εθνικού νόμου, και αναπτύσσει ευρέως τις ρυθμίσεις του GDPR για τον Υπεύθυνο Προστασίας Δεδομένων.

Το Κεφάλαιο Β΄ ρυθμίζει εξαντλητικά τη σύσταση και λειτουργία της αρμόδιας εποπτικής αρχής για την εφαρμογή του GDPR, ήτοι της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Μεταξύ άλλων, προβλέπονται η αρμοδιότητά της, τα κωλύματα – ασυμβίβαστα των μελών της, τα καθήκοντα και οι εξουσίες της, οι υποχρεώσεις και τα δικαιώματά των μελών της, καθώς και ζητήματα της εν γένει λειτουργίας της.

Το Κεφάλαιο Γ΄ αποτελεί ίσως το ουσιαστικότερο μέρος του Ν. 4624/2019 από άποψη περιεχόμενου ως προς τα ειδικά μέτρα εφαρμογής του GDPR και αντιμετωπίζει σημαντικές μέχρι σήμερα γκρίζες ζώνες. Θέτει όμως συνάμα νέους προβληματισμούς για τη σχέση του Ν. 4624/2019 με τον GDPR, ιδίως το βαθμό που ο πρώτος λειτουργεί συμπληρωματικά ή/και ενδεχομένως τροποποιητικά, καθ’ υπέρβαση των εξουσιών του εθνικού νομοθέτη. Από τις ρυθμίσεις του ξεχωρίζουν κυρίως η πρόβλεψη για το έγκυρο της συγκατάθεσης του ανηλίκου σε συγκεκριμένες περιπτώσεις εφόσον έχει συμπληρώσει το 15ο έτος της ηλικίας του (ο GDPR προέβλεπε το 16ο έτος), η απαγόρευση επεξεργασίας γενετικών δεδομένων για σκοπούς ασφάλισης υγείας και ζωής, οι προϋποθέσεις επεξεργασίας προσωπικών δεδομένων για σκοπούς άλλους από αυτούς της συλλογής τους, οι ρυθμίσεις για τα ζητήματα επεξεργασίας προσωπικών δεδομένων εργαζομένων, ιδίως η πρόβλεψη για την εγκυρότητα της κατ’ εξαίρεση συγκατάθεσής τους, οι προβλέψεις για την επεξεργασία προσωπικών δεδομένων από ΜΜΕ, ιδίως η σειρά παρεκκλίσεων από τον GDPR που δημιουργεί ένα προνομιακό καθεστώς γι’ αυτά, η ρύθμιση για τη διαπίστευση φορέων που χορηγούν τις προβλεπόμενες από τον GDPR πιστοποιήσεις, η οποία πραγματοποιείται από το Εθνικό Σύστημα Διαπίστευσης, καθώς και οι προβλεπόμενες ποινικές κυρώσεις για παράνομη επεξεργασία προσωπικών δεδομένων, με την εν γένει άμβλυνση της οικείας ποινικής μεταχείρισης.

Συνολικά, ο Ν. 4624/2019 είναι ευπρόσδεκτος, δεδομένου ότι η απουσία λήψης των ειδικών μέτρων εφαρμογής του GDPR σε εθνικό επίπεδο ήταν πολύ σημαντική, εξέθετε τη χώρα σε επίπεδο Ευρωπαϊκής Ένωσης, δημιουργούσε ανασφάλεια δικαίου και αποτελούσε αντικίνητρο για την εκούσια συμμόρφωση φυσικών και νομικών προσώπων με τις ρυθμίσεις του GDPR.

Έχει όμως αδύναμα σημεία και έχει ήδη δεχθεί βέλη κριτικής για το κατά πόσο συνιστά από κοινού με τον GDPR ένα αρμονικό σύνολο, το οποίο διακρίνεται από συνοχή και διαύγεια ή όχι.

Σε κάθε περίπτωση, είναι βέβαιο πως η εφαρμογή του νέου νόμου θα οδηγήσει σε περαιτέρω ευαισθητοποίηση των υπεύθυνων και εκτελούντων την επεξεργασία προσωπικών δεδομένων, καθώς τα περιθώρια στενεύουν ως προς αυτούς που επιμένουν να αγνοούν τις οικείες υποχρεώσεις τους.

Ομοίως, η νέα νομοθεσία αναμένεται να περιορίσει έτι περαιτέρω τη διάθεση επιείκειας που διέκρινε την ΑΠΔΠΧ κατά την πρώτη περίοδο εφαρμογής του GDPR, καθώς ολοκληρώνεται πλέον το παζλ του εφαρμοστέου νομοθετικού πλαισίου και λιγοστεύουν δραματικά οι δικαιολογίες μη συμμόρφωσης.

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 2/08/2019

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Στις 30 Ιουλίου η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) ανάρτησε στην ιστοσελίδα της την υπ’ αρ. 26/2019 απόφασή της. Με αυτήν επιβάλλεται πρόστιμο-μαμούθ ύψους 150.000 ευρώ σε εταιρεία για παραβίαση του GDPR. Πρόκειται για την πρώτη απόφαση της ΑΠΔΠΧ με την οποία επιβάλλεται τόσο υψηλό πρόστιμο από την έναρξη εφαρμογής του νέου Κανονισμού τον Μάιο του 2018. Υπενθυμίζεται ότι τα 150.000 ευρώ αποτελούσαν το μέγιστο πρόστιμο που μπορούσε να επιβληθεί με το προηγούμενο καθεστώς προστασίας των προσωπικών δεδομένων, ήτοι τον Ν. 2472/1997. Στην επίμαχη απόφαση, το ως άνω ποσό φαίνεται ότι αποτελεί πλέον σημείο εκκίνησης της ΑΠΔΠΧ ως προς την επιβολή υψηλών προστίμων στη μετά GDPR εποχή. Τα τελευταία άλλωστε, σύμφωνα με τις νέες ρυθμίσεις, μπορούν να αγγίξουν εφεξής τα 20.000.0000 ευρώ ή το 4% του παγκόσμιου τζίρου της εμπλεκόμενης εταιρείας, ανάλογα με ποιο ποσό είναι μεγαλύτερο.

Κατά το ιστορικό της υπόθεσης, ένωση λογιστών υπέβαλε καταγγελία ενώπιον της ΑΠΔΠΧ για παράνομη επεξεργασία προσωπικών δεδομένων 485 εργαζομένων πολύ μεγάλης εταιρείας παροχής επιχειρηματικών και λογιστικών υπηρεσιών. Η εν λόγω εταιρεία είχε διανείμει στους εργαζομένους της παράρτημα για την ενημέρωσή τους ως προς την επεξεργασία των προσωπικών δεδομένων τους και τη λήψη της συγκατάθεσής τους.

Με αυτό, οι εργαζόμενοι κλήθηκαν επίσης να αναγνωρίσουν ότι τα παρεχόμενα προσωπικά δεδομένα τους συνδέονταν άμεσα με την εργασιακή σχέση τους, καθώς και ότι ήταν συναφή και πρόσφορα στο πλαίσιο αυτής.

Η ΑΠΔΠΧ, αφού εξέτασε την καταγγελία, κατέληξε ότι εν προκειμένω συνέτρεχε παραβίαση του GDPR. Κατά την κρίση της, η συγκατάθεση δεν αποτελούσε τη δέουσα νομική βάση επεξεργασίας για όλους τους επιδιωκόμενους σκοπούς και κακώς είχε επιδιωχθεί η λήψη της από τους εργαζόμενους. Το ίδιο ίσχυε και για τη νομική βάση της εκτέλεσης της σύμβασης που επικαλέστηκε στη συνέχεια η εργοδότρια εταιρεία, η οποία επίσης δεν κάλυπτε όλους τους επιδιωκόμενους σκοπούς επεξεργασίας. Αυτό είχε ως αποτέλεσμα τη μη σύννομη επεξεργασία των προσωπικών δεδομένων των εργαζομένων, καθώς λοιπές παραβάσεις, όπως τη μη ορθή ενημέρωση αυτών για τη δέουσα νομική βάση επεξεργασίας. Παράβαση αποτελούσε επίσης η μεταφορά του βάρους της απόδειξης της συμμόρφωσης με τον GDPR στους εργαζομένους, δεδομένου ότι αυτοί κλήθηκαν να αναγνωρίσουν τη σύνδεση, συνάφεια και προσφορότητα των προσωπικών δεδομένων υπό επεξεργασία από την εργοδότρια εταιρεία, όταν την εν λόγω υποχρέωση έφερε η τελευταία.

Η απόφαση 26/2019 αποτελεί «το πρώτο αίμα», κατά μία σίγουρα προσφιλή σε σινεφίλ έκφραση, η οποία στέλνει ένα ηχηρό μήνυμα ως προς την αναγκαιότητα συμμόρφωσης με τον GDPR. Το επιβαλλόμενο πρόστιμο φαντάζει πάντως υπερβολικό, δεδομένου ότι οι δέουσες νομικές βάσεις για την επεξεργασία των προσωπικών δεδομένων, ήτοι η εκτέλεση της σύμβασης, η εκπλήρωση έννομης υποχρέωσης και το υπέρτερο έννομο συμφέρον της εργοδότριας εταιρείας συνέτρεχαν για την επεξεργασία προσωπικών δεδομένων εργαζομένων. Στην ίδια κατεύθυνση ως προς το υπερβολικό του προστίμου συνηγορεί η σύντομη επισκόπηση αποφάσεων με μεγάλα πρόστιμα σε άλλα κράτη μέλη που εφαρμόζουν τον GDPR, με τις όποιες υψηλές κυρώσεις μέχρι σήμερα να έχουν επιβληθεί συνήθως σε κραυγαλέα περιστατικά διαρροής πολύ μεγάλου όγκου προσωπικών δεδομένων ή παράνομες προωθητικές ενέργειες σημαντικών διαστάσεων.

Από την άλλη μεριά, δεν μπορεί να αγνοηθεί ότι οι εν λόγω παραβάσεις ήταν κατά την Αρχή δείκτες ανεπίτρεπτων νομικών αμφιβολιών αναφορικά με την εφαρμογή του GDPR. Όπως σημειώνει η Αρχή χαρακτηριστικά στην επίμαχη απόφαση «οι παραβιάσεις δεν έλαβαν χώρα από δόλο, αλλά (…) υπήρξαν αποτέλεσμα ανεπαρκούς γνώσης και εφαρμογής των διατάξεων του ΓΚΠΔ».

Σε κάθε περίπτωση, η αναμενόμενη δικαστική εξέλιξη της υπόθεσης θα καταδείξει την τελική ορθότητα ή μη της κρίσης της ΑΠΔΠΧ.

Εν κατακλείδι, η απόφαση 26/2019 της ΑΠΔΠΧ θέτει ως δεδομένο ότι η πρακτική της γενικευμένης λήψης συγκατάθεσης, όταν δεν χρειάζεται, δημιουργεί σοβαρά προβλήματα, αντί να τα επιλύει. Η εφαρμογή του GDPR απαιτεί, πέραν πολλών άλλων, και νομική ακρίβεια.