Της Μαρίας Βασίλα,
Ας υποθέσουμε ότι μια από αυτές τις λιγοστές ηλιόλουστες μέρες στη γερμανική δύση και αφού έπειτα από την απόφαση της Ομοσπονδιακής Κυβέρνησης για το άνοιγμα των χώρων εστίασης οι πρώτοι πελάτες έχουν αρχίσει δειλά δειλά να κάνουν την εμφάνισή τους, πηγαίνεις σε μια καφετέρια. Κάθεσαι σε ένα από τα 1,5 μέτρου απόστασης τραπέζι, ο σερβιτόρος με την προστατευτική μάσκα του πλησιάζει και αντί καταλόγου σου ζητά ευγενικά να συμπληρώσεις ένα έγγραφο με τα προσωπικά σου δεδομένα. ΠΡΟΣΟΧΗ! Ο μέσος Γερμανός πολίτης, όντας πλήρως ενημερωμένος για την ισχύ του Γενικού Κανονισμού για την Προστασία των Προσωπικών Δεδομένων και τα απορρέοντα από αυτόν δικαιώματα των υποκειμένων της επεξεργασίας, εμφανίζεται επιφυλακτικός…
Η δυσπιστία του θα μεγαλώσει όταν συνειδητοποιήσει ότι το έγγραφο δεν περιέχει τις κατάλληλες διατυπώσεις που να τον πληροφορούν για τον τρόπο και τους λόγους συλλογής των προσωπικών του στοιχείων (ονοματεπωνύμου, τηλεφώνου επικοινωνίας και διεύθυνσης ηλεκτρονικού ταχυδρομείου), για πόσο χρονικό διάστημα και το πώς αυτά φυλάσσονται εντός της επιχείρησης. Δυστυχώς όμως, πολύ σύντομα θα συνειδητοποιήσεις ότι έχεις δύο επιλογές: ή θα συμπληρώσεις τη φόρμα ή θα πρέπει να εγκαταλείψεις την καφετέρια…
Η ως άνω περιγραφή σκιαγραφεί μάλλον με τρόπο απλοϊκό την εφαρμογή ενός εκ των πολλών μέτρων που έλαβε η Γερμανική Ομοσπονδιακή Κυβέρνηση στο πλαίσιο των προσπαθειών άμβλυνσης της κρίσης του κορωνοϊού και του περιορισμού των κρουσμάτων με ταυτόχρονη μέριμνα για την ανάκαμψη της οικονομίας και ιδιαίτερα του χώρου της γαστρονομίας, που μετά από περίπου 2 μήνες απραξίας έχει πληγεί σημαντικά.
Υπό αυτές τις συνθήκες, τα κανονιστικά διατάγματα που εκδόθηκαν (βάσει του άρθρου 80 παρ. 1 του Γερμανικού Συντάγματος και του άρθρου 32 παρ. 1 του Νόμου για την προστασία από τις λοιμώξεις) από τη συντριπτική πλειοψηφία των ομόσπονδων κρατιδίων και κατέστησαν υποχρεωτική τη συλλογή των προσωπικών πληροφοριών των πελατών των χώρων εστίασης βάζουν στο παιχνίδι της προστασίας των δεδομένων προσωπικού χαρακτήρα και της συμμόρφωσης με το GDPR τους ιδιοκτήτες των εν λόγω καταστημάτων. Οι τελευταίοι καλούνται τώρα όχι μόνο να αντεπεξέλθουν στο μεγάλο στοίχημα της βιωσιμότητας των επιχειρήσεών τους, αλλά πολύ περισσότερο να ανταποκριθούν σε ένα πολυεπίπεδο, περίπλοκο και συχνά αμφιλεγόμενο ρόλο, εκείνο του Υπευθύνου Επεξεργασίας Προσωπικών Δεδομένων. Ο ρόλος αυτός φέρνει μαζί του υποχρεώσεις που συχνά φαντάζουν δυσνόητες έως και πρακτικά μη εφαρμόσιμες για τους περισσότερους ιδιοκτήτες, όπως για παράδειγμα η συλλογή των απολύτως απαραίτητων από το νόμο προσωπικών στοιχείων, όπως επιβάλλει η αρχή του περιορισμού του σκοπού της επεξεργασίας και της ελαχιστοποίησης των δεδομένων (άρθρο 5 ΓΚΠΔΠΧ), η διατήρηση και προσεκτική φύλαξη των εγγράφων που περιλαμβάνουν τα προσωπικά δεδομένα των υποκειμένων της επεξεργασίας, η υποχρέωση του υπευθύνου επεξεργασίας για παροχή διαφανούς ενημέρωσης κτλ.
Προκειμένου οι «νέοι» υπεύθυνοι επεξεργασίας να φέρουν σε πέρας αυτή την απαιτητική και γεμάτη προσκόμματα αποστολή, καλούνται να αποκτήσουν γνώση των υποχρεώσεών τους, να προβούν σε σχετική ενημέρωση των εργαζομένων τους και να λάβουν τα απαραίτητα τεχνικά και οργανωτικά μέτρα για την προστασία από οποιαδήποτε παραβίαση των αρχών που επιβάλλονται από τον Κανονισμό. Και αν κάτι τέτοιο φαντάζει δύσκολο εγχείρημα, με την κατάλληλη προεργασία και οργάνωση οι θιγόμενοι μπορούν να βρουν τη χρυσή τομή ανάμεσα στη συμμόρφωση με τα μέτρα για την προστασία από των COVID-19 και το σεβασμό της ισχύος και εφαρμογής του GDPR. Πιο αναλυτικά, ένα λειτουργικό online σύστημα κρατήσεων του καταστήματος (το οποίο είναι ήδη διαθέσιμο σε ένα μεγάλο ποσοστό καταστημάτων στη Γερμανία) που θα έδινε τη δυνατότητα στον πελάτη κάνοντας μια κράτηση να συμπληρώσει, τηρουμένων των προβλέψεων του νόμου, τα προσωπικά του στοιχεία θα μπορούσε να θεωρηθεί σαφώς ασφαλέστερη εναλλακτική από τη χειρόγραφη συμπλήρωση.
Η λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων, όπως προαναφέρθηκε, θα μπορούσε να αποτελέσει «σανίδα σωτηρίας» για τη διαφύλαξη από παραβιάσεις που θα μπορούσαν να αποβούν μοιραίες για την επιχείρηση επιβάλλοντας δυσβάσταχτα πρόστιμα. Συγκεκριμένα, η διατήρηση των χειρόγραφων συμπληρωμένων αιτήσεων -έπειτα από προηγούμενη αρχειοθέτησή του- σε ένα μέρος που θα «κλειδώνεται» από τον υπεύθυνο επεξεργασίας και στο οποίο μόνο αυτός και οι εντολοδόχοι αυτού θα έχουν πρόσβαση, θα μπορούσε να αποτελέσει μια απροβλημάτιστη πρακτική και προ παντός οικονομική λύση, εφόσον ο υπεύθυνος επεξεργασίας δεν επιθυμεί να προβεί σε ηλεκτρονική καταχώριση των στοιχείων και στην ενδεχομένως προτεινόμενη ψευδωνυμοποίηση ή κρυπτογράφηση των προσωπικών δεδομένων, των οποίων η χρησιμότητα υπογραμμίζεται στις αιτιολογικές σκέψεις του GDPR.
Τέλος, αν επιλέξουμε να εξετάσουμε το ζήτημα ρεαλιστικά, επιβάλλεται να «αναγνωρίσουμε ελαφρυντικά» υπέρ των πρωτοεμφανιζόμενων Υπευθύνων Επεξεργασίας, τους οποίους ο COVID-19 και η ανάγκη αντιμετώπισής του έφερε προ των ευθυνών τους σχετικά με τη μέχρι πρότινος άγνωστη σε αυτούς υποχρέωση τήρησης του GDPR… Δυστυχώς όμως, με δεδομένο τον κίνδυνο επιβολής δυσβάσταχτων σε βάρος τους προστίμων είτε λόγω παραβίασης της συμμόρφωσης με τις προσταγές των κανονιστικών διαταγμάτων για τον κορωνοϊό είτε εξαιτίας παραβιάσεων του GDPR, η λήψη μέτρων προς αμφότερες κατευθύνσεις αποτελεί μονόδρομο.
Πηγές
- Tinnefeld, Marie-Theres/ Buchner, Benedikt/ Petri, Thomas/ Hof, Hans-Joachim,Einführung in das Datenschutzrecht, Datenschutz und Informationsfreiheit in europäischer Sicht, 7. Auflage, 2019.
- Traeger, Jürgen, Ein Jahr DSGVO – der Prozess der Harmonisierung und Anpassung ist längst nicht abgeschlossen, BB 2019.
- Simitis, Spiros/ Hornung, Gerrit/ Spiecker, Indra (Hrsg.), 2019.
- Voigt, Paul, Von dem Bussche Axel, EU-Datenschutz-Grundverordnung (DSGVO), Praktikerhandbuch, 2018.
- Rüpke, Giselher/ Von Lewinski, Kai/ Eckhardt, Jens, Datenschutzrecht, Grundlagen und europarechtliche Neugestaltung, 2018.
Απόφοιτη της Νομικής Σχολής του ΕΚΠΑ διαμένει στην πόλη της Κολωνίας της Γερμανίας. Έχοντας ολοκληρώσει τις μεταπτυχιακές της σπουδές στο Εμπορικό Δίκαιο με ειδίκευση στο ΙΤ - και Corporate Law στο Πανεπιστήμιο της Κολωνίας (Wirtschaftsrecht LL.M) εργάζεται στον χώρο του IT SAP Consulting με κύρια ενασχόληση το Δίκαιο των Προσωπικών Δεδομένων, το Compliance και το Δίκαιο Ανταγωνισμού.