Από τις  25 Μαΐου 2018 τίθεται σε ισχύ ο Κανονισμός 2016/679 για την προστασία των προσωπικών δεδομένων των πολιτών. Δημόσιοι φορείς και ιδιωτικές επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα (ταξιδιωτικά γραφεία, ασφαλιστικές εταιρίες, Τράπεζες, κλινικές, μέχρι καταστήματα με κάρτες μέλους, όπως καταστήματα ένδυσης και διατροφής) θα έρθουν αντιμέτωποι με τη πρόκληση της συμμόρφωσης προς τον Κανονισμό, που αυστηροποιεί το πλαίσιο νομιμότητας της επεξεργασίας προσωπικών δεδομένων.

Aυτές οι επιχειρήσεις, οι φορείς και οι οργανισμοί θα αναγκαστούν να προσαρμόσουν τις πολιτικές ασφαλείας τους και να είναι πλήρως συμμορφωμένοι στους ρητά αναφερόμενους και νόμιμους σκοπούς επεξεργασίας, όπως  αυτοί περιγράφονται στον Κανονισμό, διαφορετικά κινδυνεύουν να αντιμετωπίσουν την επιβολή ιδιαίτερα αυστηρών διοικητικών προστίμων μέχρι και 20.000.000 ευρώ ή μέχρι το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο από τα δύο κριτήρια οδηγεί σε υψηλότερο πρόστιμο.

Κατ’ εφαρμογή του άρθρο 83 του Κανονισμού, τα πρόστιμα αυτά θα επιβάλλονται σε επιχειρήσεις, οργανισμούς και δημόσιες αρχές που παραβιάζουν τον Κανονισμό με διοικητικές πράξεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και θα εισπράττονται από αυτήν κατά τις διατάξεις του Κώδικα Εισπράξεως Δημοσίων Εσόδων (ΚΕΔΕ).

Ειδικότερα:

1. Διοικητικά πρόστιμα έως 10.000.000€ ή, σε περίπτωση επιχειρήσεων, έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο από τα δύο κριτήρια οδηγεί σε υψηλότερο πρόστιμο:

α) Η παραβίαση των υποχρεώσεων του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία (άρθρα 8, 11, 25 έως 39 και 42 και 43 Κανονισμού 679/2016).

β) Η παραβίαση των υποχρεώσεων του φορέα πιστοποίησης των επιχειρήσεων (άρθρα 42 και 43 Κανονισμού 679/2016).

γ) Η παραβίαση των υποχρεώσεων του φορέα παρακολούθησης (άρθρο 41 Κανονισμού 679/2016).

2. Διοικητικά πρόστιμα έως 20.000.000€ ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο από τα δύο κριτήρια οδηγεί σε υψηλότερο πρόστιμο:

α) Η παραβίαση των βασικών αρχών για την επεξεργασία (άρθρα 5, 6, 7 και 9 Κανονισμού 679/2016)

β) Η παραβίαση των δικαιωμάτων των υποκειμένων των δεδομένων (άρθρα 12 έως 22 Κανονισμού 679/2016)

γ) Η παραβίαση των διατάξεων για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό (άρθρα 44 έως 49 Κανονισμού 679/2016)

δ) Η παραβίαση οποιωνδήποτε άλλων υποχρεώσεων προκύπτουν από δίκαιο του κράτους μέλους

ε) Η μη συμμόρφωση προς εντολή ή προς προσωρινό ή οριστικό περιορισμό της επεξεργασίας ή προς αναστολή της κυκλοφορίας δεδομένων που επιβάλλει η εποπτική αρχή δυνάμει του άρθρου 58 παράγραφος 2 ή μη παροχή πρόσβασης κατά παράβαση του άρθρου 58 παράγραφος 1 του Κανονισμού 679/2016.

Από τα παραπάνω προκύπτει σαφώς ότι μία σοβαρή παραβίαση των διατάξεων του Κανονισμού είναι και ο μη ορισμός Υπευθύνου Προστασίας Δεδομένων από μία επιχείρηση, έναν οργανισμό ή φορέα που φέρει υποχρέωση προς τούτο κατά το άρθρο 37 παρ. 1 του Κανονισμού.

Το ακριβές ύψος των προστίμων θα καθορίζεται από την Αρχή, με βάση τα κριτήρια που απαριθμούνται στην παρ. 2 του άρθρου 83 του Κανονισμού. Έτσι κατά τη λήψη της απόφασης επιβολής προστίμου η Αρχή θα λαμβάνει υπόψη τα ακόλουθα σημεία:

α) τη φύση, τη βαρύτητα και τη διάρκεια της παράβασης, καθώς και τη φύση, την έκταση ή το σκοπό της σχετικής επεξεργασίας, αλλά και τον αριθμό των υποκειμένων των δεδομένων που έθιξε η παράβαση και το βαθμό ζημίας που υπέστησαν

β) το δόλο ή την αμέλεια που προκάλεσε την παράβαση

γ) οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων

δ) το βαθμό ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν δυνάμει των άρθρων 25 και 32

ε) τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία

στ) το βαθμό συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της

ζ) τις κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση

η) τον τρόπο με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση

θ) σε περίπτωση που διατάχθηκε προηγουμένως η λήψη διορθωτικών μέτρων κατά την παρ. 2 του άρθρου 58 σχετικά με το ίδιο αντικείμενο, τη συμμόρφωση με τα εν λόγω μέτρα

ι) την τήρηση εγκεκριμένων κωδίκων δεοντολογίας σύμφωνα με το άρθρο 40 ή εγκεκριμένων μηχανισμών πιστοποίησης σύμφωνα με το άρθρο 42

ια) κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.

Οι παραπάνω διατάξεις υπογραμμίζουν την ανάγκη συμμόρφωσης επιχειρήσεων και οργανισμών με τον Κανονισμό 2016/679 και τη συμπληρωματική ελληνική νομοθεσία, σε όλα τα επίπεδα τόσο στο στάδιο συλλογής των δεδομένων των πολιτών όσο και κατά την επεξεργασία τους, αλλά και σε περιπτώσεις παραβίασής τους με οποιονδήποτε τρόπο.