Ο Γενικός Κανονισμός Προστασίας Δεδομένων ήρθε για να μείνει, χωρίς όμως να επηρεάσει απαραίτητα κάθε διαδικασία που αφορά επεξεργασία προσωπικών δεδομένων. Άρθρο της Έλενας Π. Πουλή, Δικηγόρος στο euro2day.gr
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ - GDPR) ισχύει ήδη από την 25η Μαΐου 2018 και ήρθε για να αλλάξει την καθημερινή λειτουργία των επιχειρήσεων, ανεξαρτήτως μεγέθους. Οι απαιτήσεις συμμόρφωσης που εισάγει ο Κανονισμός αποτελούν μια πρόκληση για τις επιχειρήσεις, οι οποίες καλούνται να προστατεύσουν τα δεδομένα προσωπικού χαρακτήρα, τα οποία διαχειρίζονται, όποια κατηγορία υποκειμένων και αν αφορούν (πελάτες, προμηθευτές, εργαζόμενους κ.λπ.).
Πέρα από πρόκληση, η εφαρμογή του Κανονισμού αποτελεί και μεγάλη ευκαιρία για τον επιχειρηματικό κόσμο. Ευκαιρία για τις εταιρίες να συστηματοποιήσουν τις διαδικασίες που ακολουθούν και να προστατευτούν από ενδεχόμενη διαρροή δεδομένων, τα οποία εξάλλου αποτελούν το σημαντικότερο περιουσιακό τους στοιχείο, καθώς έτσι διασφαλίζουν και το επιχειρηματικό τους απόρρητο.
Με μια πρώτη ματιά, ο ΓΚΠΔ θα μπορούσε να εκληφθεί ως «εμπόδιο» σε άλλες διαδικασίες που ακολουθούν καθημερινά οι επιχειρήσεις, όπως για παράδειγμα η συλλογή στοιχείων για την πιστοποίηση και την επαλήθευση της ταυτότητας του πελάτη ή του πραγματικού δικαιούχου εταιρίας, για σκοπούς πρόληψης της νομιμοποίησης εσόδων από εγκληματική δραστηριότητα (το γνωστό «ξέπλυμα χρήματος»). Ειδικότερα, στο πλαίσιο των διαδικασιών δέουσας επιμέλειας, συγκεκριμένες κατηγορίες επαγγελματιών που ορίζει ο νόμος για την καταπολέμηση της νομιμοποίησης εσόδων από εγκληματική δραστηριότητα (υπόχρεα πρόσωπα) συλλέγουν δικαιολογητικά για την ταυτοποίηση του πελάτη τους, μεταξύ των οποίων στοιχεία ταυτότητας και οικονομικά δεδομένα.
Τα στοιχεία αυτά σε καμία περίπτωση δεν συλλέγονται παράνομα και δεν αντιβαίνουν στις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων. Με μια πρώτη προσέγγιση, ο ίδιος ο Κανονισμός προβλέπει ως νόμιμη βάση επεξεργασίας τη συμμόρφωση με έννομη υποχρέωση του υπεύθυνου επεξεργασίας.
Επιπλέον, ο Κανονισμός θεωρεί νόμιμη την επεξεργασία όταν αυτή γίνεται για το δημόσιο συμφέρον. Και οι δύο αυτές νομιμοποιητικές βάσεις μπορούν να χρησιμοποιηθούν για να δικαιολογηθεί η επεξεργασία που γίνεται κατά τη διενέργεια των διαδικασιών δέουσας επιμέλειας από τα υπόχρεα πρόσωπα.
Προς άρση τυχόν αμφιβολιών, στις διατάξεις της 4ης Οδηγίας για την καταπολέμηση της νομιμοποίησης εσόδων από εγκληματική δραστηριότητα, που αναμένεται να ενσωματωθεί άμεσα στην ελληνική νομοθεσία, με καθυστέρηση είναι η αλήθεια, περιέχεται ειδική διάταξη για την επεξεργασία προσωπικών δεδομένων για σκοπούς πρόληψης και καταστολής του «ξεπλύματος».
Συγκεκριμένα, η Οδηγία και ο εφαρμοστικός αυτής νόμος προβλέπουν ότι τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από τα υπόχρεα πρόσωπα μόνο με σκοπό την πρόληψη της νομιμοποίησης εσόδων και ότι απαγορεύεται ρητά η επεξεργασία τους για άλλους σκοπούς (π.χ. εμπορικούς ή προωθητικούς). Επιπλέον, στο ίδιο άρθρο τονίζεται ότι η επεξεργασία των προσωπικών δεδομένων θεωρείται ζήτημα δημοσίου συμφέροντος.
Σε γενικές γραμμές, τα υπόχρεα πρόσωπα οφείλουν να παρέχουν στους πελάτες τους ενημέρωση αναφορικά με την υποχρέωσή τους για την τήρηση των διαδικασιών δέουσας επιμέλειας, αλλά και γνωστοποίηση των δικαιωμάτων τους βάσει του ΓΚΠΔ.
Αξίζει ωστόσο να σημειωθεί ότι, λόγω της ιδιαιτερότητας της φύσης της συλλογής δεδομένων για σκοπούς ξεπλύματος, θεσπίζεται ρητά ο περιορισμός του δικαιώματος πρόσβασης του υποκειμένου των δεδομένων στα δεδομένα που το αφορούν, εφαρμοζόμενης της αρχής της αναλογικότητας, ώστε να μην παρεμποδίζεται η διενέργεια ερευνών, για να εξασφαλισθεί ότι δεν διακυβεύονται η πρόληψη, η διερεύνηση και ο εντοπισμός της νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες και της χρηματοδότησης της τρομοκρατίας. Αξίζει, επίσης, να σημειωθεί ότι αντίστοιχες διατάξεις για την προστασία προσωπικών δεδομένων περιέχονται και σε άλλα νομοθετήματα, όπως στις νομοθετικές ρυθμίσεις για την αυτόματη ανταλλαγή πληροφοριών.
Εν κατακλείδι, γίνεται αντιληπτό πως ο ΓΚΠΔ ήρθε για να μείνει, χωρίς όμως να επηρεάσει απαραίτητα κάθε διαδικασία που αφορά επεξεργασία προσωπικών δεδομένων. Το δικαίωμα στην ιδιωτικότητα -όπως κάθε δικαίωμα άλλωστε- οφείλει να σταθμίζεται ad hoc κατά την άσκησή του με την εξυπηρέτηση του δημοσίου συμφέροντος στη βάση της αρχής της αναλογικότητας. Ως εκ τούτου και προς άρση αμφισβητήσεων, ειδικότερες διατάξεις έχουν ήδη αρχίσει να ενσωματώνονται στην ευρωπαϊκή και την εθνική νομοθεσία, με σκοπό την εύρεση μιας «χρυσής τομής».