GDPR σφηνάκι: Βαριά καμπάνα για «νεκροταφείο» προσωπικών δεδομένων

Πρώτη δημοσίευση: www.ethemis.gr
Ημερομηνία πρώτης δημοσίευσης: 12/12/2019

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Πρόσφατη απόφαση της 30ης Οκτωβρίου 2019 της Επιτρόπου Προστασίας Προσωπικών Δεδομένων του Βερολίνου αποκαλύπτει με ενάργεια την επικινδυνότητα της αποδοχής του δόγματος «κρατώ τα πάντα για πάντα» υπό τον GDPR. Πρόκειται για πρακτική που ακολουθούν, τουλάχιστον εν μέρει, ακόμη και σήμερα στην Ελλάδα φυσικά και νομικά πρόσωπα, διστάζοντας να υιοθετήσουν και να εφαρμόσουν εύλογες προθεσμίες διαγραφής των προσωπικών δεδομένων σε όλο το φάσμα των δραστηριοτήτων τους. Γυρνώντας πάλι στη Γερμανία, η επίμαχη υπόθεση αφορούσε εταιρεία του χώρου του real estate. Όπως διαπίστωσε η αρμόδια εποπτική αρχή κατά τη διάρκεια επιτόπιου ελέγχου, η εν λόγω εταιρεία χρησιμοποιούσε σύστημα αρχειοθέτησης προσωπικών δεδομένων ενοικιαστών, το οποίο δεν παρείχε τη δυνατότητα διαγραφής δεδομένων που δεν ήταν πλέον απαραίτητα. Η δε καταχώρηση σε αυτό λάμβανε χώρα χωρίς να εξετάζεται αν η αποθήκευση των προσωπικών δεδομένων ήταν επιτρεπτή ή αναγκαία. Αποτέλεσμα τούτων ήταν το σύστημα αρχειοθέτησης να περιλαμβάνει προσωπικά δεδομένα ενοικιαστών προ πολλών ετών, τα οποία δεν ήταν πλέον απαραίτητα για τον σκοπό της αρχικής συλλογής τους, όπως έγγραφα μισθοδοσίας, τραπεζικά έγγραφα, φορολογικά στοιχεία κ.α. Παρά μάλιστα το ότι ο πρώτος επιτόπιος έλεγχος είχε λάβει χώρα τον Ιούνιο του 2017, η εν λόγω εταιρεία δεν είχε λάβει ακόμη τα δέοντα μέτρα κατά τον δεύτερο επιτόπιο έλεγχο τον Μάρτιο του 2019. Υπό αυτές τις συνθήκες, η Επίτροπος Προστασίας Προσωπικών Δεδομένων του Βερολίνου αποφάσισε την επιβολή προστίμου ύψους 14,5 εκατομμυρίων ευρώ για παραβάσεις του άρθρου 25 παρ. 1 ΓΚΠΔ (προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού) και του άρθρου 5 ΓΚΠΔ (αρχές επεξεργασίας).