Έρευνες - Μελέτες

Πρόστιμα άνω του €1 δισ. έχουν επιβληθεί για παραβιάσεις του GDPR

gdpr

Πρόστιμα άνω του €1 δισ. έχουν επιβληθεί για παραβιάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR (General Data Protection Regulation), από την εφαρμογή του τον Μάιο του 2018, μέχρι τα τέλη του 2021. Μόνο το 2021 επιβλήθηκαν ποινές για 412 περιπτώσεις παραβίασης της νομοθεσίας περί προσωπικών δεδομένων, την οποία ενεργοποίησε η Ευρώπη, προκειμένου να δώσει στους πολίτες μεγαλύτερο έλεγχο των δεδομένων και της ιδιωτικής τους ζωής. 

Η Ελλάδα μεταξύ των χωρών, που έχουν επιβάλει τις περισσότερες ποινές για παραβίαση της νομοθεσίας περί προσωπικών δεδομένωνΣύμφωνα με τα στοιχεία που παρουσίασε η ομάδα Atlas VPN, η Ελλάδα βρίσκεται μεταξύ των ευρωπαϊκών χωρών, που έχουν επιβάλει τα περισσότερα πρόστιμα για παραβιάσεις του του GDPR. Ειδικότερα, η χώρα μας με 27 πρόστιμα κατατάσσεται στην 8η θέση μεταξύ των 10 ευρωπαϊκών χωρών, που έχουν επιβάλει τα περισσότερα πρόστιμα για καταστρατήγηση της σχετικής νομοθεσίας. 

Οι συνολικές ποινές που έχει επιβάλει η Ελλάδα, από το 2018 μέχρι τα τέλη του 2021, φθάνουν το €1 εκατ.

Από τα στατιστικά της βάσης δεδομένων “GDPR Enforcement Tracker. CMS-International Law Firm” προκύπτει ότι το 2018, όταν η Ε.Ε. εφάρμοσε τον νόμο GDPR, επιβλήθηκαν συνολικά πρόστιμα ύψους €436.000 σε επιχειρήσεις για παραβίαση του. Την επόμενη χρονιά, το 2019, το σύνολο των προστίμων αυξήθηκε σημαντικά στα €72 εκατ. 

Το 2020 τα συνολικά επιβληθέντα πρόστιμα έφτασαν τα €171 εκατ., ενώ πέρσι το ύψος των προστίμων εκτοξεύθηκε στο €1 δισ., σημειώνοντας αύξηση κατά 521% σε σχέση με έναν χρόνο νωρίτερα.

Το υψηλότερο πρόστιμο
Από τα ίδια στοιχεία προκύπτει ότι εντός του 2021 επιβλήθηκε το μεγαλύτερο πρόστιμο από την εφαρμογή του σχετικού νόμου μέχρι σήμερα. Ενώ τα δύο πρώτα τρίμηνα του 2021, καταλογίστηκαν κυρώσεις €50 εκατ., η Ε.Ε. επέβαλε τα σημαντικότερα πρόστιμα το 3ο τρίμηνο του έτους. 

Ειδικότερα, τον Ιούλιο, στην Amazon Europe Core S.à.r.l επιβλήθηκε υψηλότερο πρόστιμο στην ιστορία του GDPR, ύψους €746 εκατ. ευρώ. Αργότερα, τον Σεπτέμβριο, η Ε.Ε. επέβαλε πρόστιμο €225 εκατ. στην WhatsApp Ireland Ltd, τη δεύτερη μεγαλύτερη ποινή, που έχει επιβληθεί στο πλαίσιο του Γενικού Κανονισμού.

Την τριετία της εφαρμογής του GDPR οι βαρύτερες “καμπάνες” για παραβίαση του GDPR επιβλήθηκαν σε εταιρείες, όπως η Amazon, το WhatsApp και η Google.

Πρωτιά για την Ισπανία
Η Ισπανία έχει συσσωρεύσει την τριετία 2018-2021 τον μεγαλύτερο αριθμό παραβιάσεων του GDPR, επιβάλλοντας 351 πρόστιμα και συνολικές κυρώσεις ύψους €36,7 εκατ. Η μέση ποινή κυμαίνεται σε περίπου €105.000.

Η Ιταλία βρίσκεται δεύτερη στη λίστα με 101 πρόστιμα, τα οποία απαιτούσαν από τις επιχειρήσεις να πληρώσουν σχεδόν €90 εκατ. Το μέσο πρόστιμο στην Ιταλία είναι περίπου €887.000, το οποίο ξεχωρίζει ως ένα από τα μεγαλύτερα σε σύγκριση με άλλες χώρες. 

Η Ρουμανία κατατάσσεται τρίτη στη λίστα, καθώς έχει επιβάλει συνολικά 68 κυρώσεις, που επισείουν πρόστιμα €721.000, με τον μέσο όρο ανά περίπτωση να υπολείπεται των €11.000.

Η Ουγγαρία και η Νορβηγία ακολουθούν την τέταρτη και πέμπτη θέση στη λίστα με 45 και 40 κυρώσεις από το 2018 αντίστοιχα, με την πρώτη να επιβάλλει ποινές €828.000 και τη δεύτερη σχεδόν €9 εκατ. 

Θυμίζουμε ότι ο GDPR καθιστά υπεύθυνες τις επιχειρήσεις, όταν κάνουν κατάχρηση των δεδομένων των πολιτών ή ακολουθούν μια μη ξεκάθαρη στρατηγική στην πολιτική απορρήτου τους.

Οι ελληνικές κινήσεις
Στην Ελλάδα και στην αρμόδια Αρχή Προστασίας Δεδομένων έχουν υποβληθεί μέσα σε μία τριετία (Μάιος 2018-Μάιος 2021) 2.932 προσφυγές-καταγγελίες σχετικές με τον GDPR. Από αυτές έχουν διεκπεραιωθεί οι 1.561, ενώ 1.371 προσφυγές-καταγγελίες είναι υπό εξέταση (στοιχεία Μαίου 2021).


Όπως ανέφερε σε μήνυμά του ο Πρόεδρος της Αρχής, κ. Κωνσταντίνος Μενουδάκος, με αφορμή τα τρία χρόνια εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων, τα περιστατικά παραβίασης που έχουν γνωστοποιηθεί από 25/5/2018 μέχρι 24/5/2021 στην Αρχή φθάνουν τα 418.


Αντίστοιχα, οι γνωστοποιήσεις παραβίασης δεδομένων στο πλαίσιο της υποχρέωσης που απορρέει από τη νομοθεσία για τις ηλεκτρονικές επικοινωνίες (ν. 3471/2006) ανέρχονται σε 94.


Η Αρχή Προστασίας Δεδομένων έχει λάβει μέχρι σήμερα μέτρα για τη συμμόρφωση με τον GDPR τόσο όσον αφορά την τηλεργασία όσο και την εξ αποστάσεως εκπαίδευση. Αναφορικά με την τηλεργασία, έχει εκδώσει κατευθυντήριες γραμμές ειδικά για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, που γίνεται κατά την παροχή εργασίας εξ αποστάσεως, ανεξαρτήτως μορφής και είδους απασχόλησης, τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα.


Οι κατευθυντήριες γραμμές εξειδικεύουν τις υποχρεώσεις των δημοσίων αρχών και των ιδιωτικών φορέων, ως υπευθύνων επεξεργασίας, σε συμμόρφωση προς το θεσμικό πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα.


Σε ό,τι αφορά την τηλεκπαίδευση, η Αρχή Προστασίας Δεδομένων έχει επίσης παρέμβει, ζητώντας από το υπουργείο Παιδείας να μεριμνήσει σχετικά με ελλείψεις, που διαπίστωσε στη συμμόρφωσή της εξ αποστάσεως εκπαίδευσης με τις επιταγές του GDPR. «Στο πλαίσιο των αρμοδιοτήτων της, η Αρχή κάλεσε το Υπουργείο να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του Κανονισμού ως προς τέσσερα σημεία, με συγκεκριμένο τρόπο και εντός προθεσμίας δύο μηνών για τα τρία σημεία και τεσσάρων μηνών για το τέταρτο» αναφέρει σε ανακοίνωσή της η Αρχή.


Πολύ πρόσφατα, στις 14/1/2022, και πριν από τη λήξη της πρώτης προθεσμίας, το Υπουργείο ενημέρωσε με υπόμνημά του την Αρχή για τις σχετικές ενέργειές. Από το υπόμνημα προκύπτει ότι αντιμετωπίζονται οι ελλείψεις για τις οποίες είχε δοθεί προθεσμία δύο μηνών ενώ βρίσκεται σε πορεία υλοποίησης η ικανοποίηση της τέταρτης επισήμανσης.


«Όπως έχει ήδη επισημανθεί στη Γνωμοδότηση 4/2020 της Αρχής, η σύγχρονη εξ αποστάσεως εκπαίδευση, είναι συµβατή µε τη βασική αποστολή του Κράτους, όπως αυτή απορρέει από τις διατάξεις του άρθρου 16 του Συντάγματος, αποτελεί δε πρόσφορο μέτρο για τη διατήρηση της σχέσης εκπαιδευτικού-µαθητή εν µέσω υγειονομικής κρίσης» αναφέρει σε σχετική ανακοίνωση η Αρχή Προστασίας Δεδομένων.