76 / 100

SEO Score

Τα τελευταία χρόνια, η ευρωπαϊκή επιχειρηματική κοινότητα επαναλαμβάνει το ίδιο παράπονο: Η ευρωπαϊκή γραφειοκρατία επιβάλλει ολοένα περισσότερες υποχρεώσεις και περιπλοκότερη συμμόρφωση, η οποία σε ένα περιβάλλον διεθνούς ανταγωνισμού θεωρείται από πολλούς τροχοπέδη για την καινοτομία και την ανάπτυξη. Την ίδια στιγμή, όμως, η Ευρώπη έχει οικοδομήσει τη φήμη της ως παγκόσμιο σημείο αναφοράς στην προστασία της ιδιωτικότητας, με τον GDPR να αποτελεί το πιο επιδραστικό πλαίσιο διεθνώς.

Η εξίσωση, επομένως, δεν είναι απλή: Πώς μπορεί να γίνει απλοποίηση των υποχρεώσεων χωρίς αποδυνάμωση των δικαιωμάτων; Μέσα σε αυτή τη λεπτή ισορροπία γεννήθηκαν οι πρόσφατες πρωτοβουλίες της Επιτροπής με τα πακέτα Omnibus.

«Τα 7 και πλέον χρόνια από την πλήρη εφαρμογή του ΓΚΠΔ μας επιτρέπουν να στοχεύσουμε σε διορθώσεις που θα ελαφρύνουν τις επιχειρήσεις χωρίς να κάνουν εκπτώσεις στην ιδιωτικότητα των πολιτών, επηρεάζοντας τις ελευθερίες και τα δικαιώματα τους.» Ειρήνη Λοϊζίδου Νικολαΐδου, Τέως Επίτροπος Προστασίας Προσωπικών Δεδομένων της Κύπρου, Τέως Αντιπρόεδρος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ)

Το 2025 αποδείχθηκε χρονιά διπλής αναθεώρησης για το ευρωπαϊκό δίκαιο προστασίας δεδομένων, καθώς η Ευρωπαϊκή Επιτροπή κατέθεσε όχι μία αλλά δύο διακριτές νομοθετικές πρωτοβουλίες τύπου Omnibus που αγγίζουν άμεσα τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR).

Η πρώτη τον Μάιο του 2025 εντάχθηκε στη στρατηγική μείωσης του διοικητικού βάρους για μικρές και μεσαίες επιχειρήσεις, διευρύνοντας τις εξαιρέσεις συμμόρφωσης, ενώ η δεύτερη, η Digital Omnibus που δημοσιεύθηκε τον Νοέμβριο του 2025, αποτέλεσε μια ευρύτερη ψηφιακή δέσμη απλούστευσης και εκσυγχρονισμού του ευρωπαϊκού κεκτημένου.

Στόχος της Κομισιόν ήταν να επιτευχθούν οι ίδιοι στόχοι με χαμηλότερο κόστος συμμόρφωσης, όμως έχουν καταγραφεί αρκετές αντιδράσεις στη δημόσια συζήτηση από φορείς που μιλούν για αποδυνάμωση και απορρύθμιση των δικαιωμάτων.

Υπό το πρίσμα, λοιπόν, αυτών των αλλαγών που αναμένονται, το κρίσιμο ερώτημα είναι πώς αυτές μεταφράζονται στην καθημερινότητα της αγοράς. Με αφορμή την Ευρωπαϊκή Ημέρα Προστασίας Προσωπικών Δεδομένων σήμερα, 28 Ιανουαρίου, στο αφιέρωμα που ακολουθεί, δίνουμε τον λόγο σε έμπειρους νομικούς και εκπροσώπους επιχειρήσεων, φωτίζοντας το πώς οι ρυθμίσεις αυτές αναδιαμορφώνουν στην πράξη το πλαίσιο συμμόρφωσης.

«Οι προτεινόμενες αλλαγές στο πλαίσιο της πρότασης Κανονισμού “Digital Omnibus” σηματοδοτούν μια ουσιαστική μετατόπιση από τη λογική της απόλυτης προστασίας προς ένα μοντέλο πιο ορθολογικής συμμόρφωσης στο δίκαιο της προστασίας των προσωπικών δεδομένων. Η απάντηση στο ερώτημα αν αυτή η νέα στάθμιση είναι πράγματι βέλτιστη εξαρτάται σε μεγάλο βαθμό από τη σκοπιά που υιοθετεί κανείς: εκείνη της επιχειρηματικής ανταγωνιστικότητας ή εκείνη της ουσιαστικής προστασίας των δικαιωμάτων.» Εύη Μαθιού, Legal, Compliance and Quality Director, Novo Nordisk

Διεύρυνση της εξαίρεσης του άρθρου 30 από τους 250 στους 750 εργαζόμενους

Μία από τις πλέον πρακτικές παρεμβάσεις αφορά το άρθρο 30 του GDPR και την υποχρέωση τήρησης αρχείου δραστηριοτήτων επεξεργασίας (Record of Processing Activities – ROPA). Μέχρι σήμερα, η σχετική εξαίρεση κάλυπτε μόνο οργανισμούς με λιγότερους από 250 εργαζομένους, και μάλιστα υπό αυστηρές προϋποθέσεις, με αποτέλεσμα ακόμη και εταιρείες με περιορισμένο ή χαμηλού κινδύνου όγκο επεξεργασιών να επιβαρύνονται με σημαντικές γραφειοκρατικές υποχρεώσεις.

Η πρόταση Omnibus του Μάϊου 2025 διευρύνει αισθητά το πεδίο αυτής της απαλλαγής, αυξάνοντας το όριο στους 750 εργαζομένους και συνδέοντας την υποχρέωση τήρησης αρχείου κυρίως με την ύπαρξη «υψηλού κινδύνου» για τα δικαιώματα και τις ελευθερίες των υποκειμένων.

Ο GDPR αλλάζει: Η επόμενη μέρα για την προστασία της ιδιωτικότητας

«Η Επιτροπή, προτείνοντας την επέκταση του ορίου των ατόμων που απασχολούνται σε μία επιχείρηση, μειώνει αυτόματα τον διοικητικό φόρτο της πλειοψηφίας των μικρομεσαίων επιχειρήσεων των χωρών του Ευρωπαϊκού νότου, δημιουργεί θετικό πρόσημο στους οικονομικούς δείκτες των εν λόγω επιχειρήσεων και προάγει την κουλτούρα διαφάνειας και λογοδοσίας της ιδιωτικότητας, προτείνοντας καταλληλότερα εργαλεία συμμόρφωσης για αυτού του μεγέθους τις επιχειρήσεις» σημειώνει η Ειρήνη Λοϊζίδου Νικολαΐδου, Τέως Επίτροπος Προστασίας Προσωπικών Δεδομένων της Κύπρου, Τέως Αντιπρόεδρος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ).

Είναι, όμως, ο διοικητικός φόρτος το μόνο διακύβευμα εν προκειμένω;

«Προσωπικά διαφωνώ με την προσέγγιση της κατάργησης του DPO σε ορισμένες κατηγορίες επιχειρήσεων, καθώς ο DPO είναι καθοριστικός στην προαγωγή της προστασίας της ιδιωτικότητας και την εφαρμογή του προγράμματος προστασίας προσωπικών δεδομένων σε επιχειρήσεις οποιουδήποτε μεγέθους. Συνεπώς, δεν πρέπει να αντιμετωπίζεται ως κανονιστικό βάρος, αλλά ως πολύτιμος σύμμαχος της διοίκησης των εταιριών» αποτυπώνει την άλλη όψη του νομίσματος ο Γιάννης Γιαννακάκης, Of Counsel, Drakopoulos Law.

Νέος ορισμός των προσωπικών δεδομένων

Μια θεμελιώδης αλλαγή που προτάθηκε με τη Digital Omnibus αφορά τον ίδιο τον ορισμό των προσωπικών δεδομένων. Πλέον, δεδομένα που δεν μπορούν να οδηγήσουν σε ταυτοποίηση από τον ίδιο τον υπεύθυνο επεξεργασίας, επειδή δεν διαθέτει «εύλογα μέσα» για να αναγνωρίσει το άτομο, δεν θα θεωρούνται προσωπικά.

«Η ισχύουσα λογική του GDPR στηρίζεται σε ευρύ ορισμό προσωπικών δεδομένων, αυστηρές αρχές επεξεργασίας, ενισχυμένα δικαιώματα υποκειμένων, ειδική προστασία ευαίσθητων δεδομένων και lex specialis κανόνες ePrivacy για πρόσβαση σε τερματικό εξοπλισμό (cookies κ.λπ.). Το Omnibus προτείνει παρεμβάσεις που αλλάζουν τη γεωμετρία αυτών των θεμελίων.» Σπύρος Τάσσης, Partner, PotamitisVekris

Η λογική είναι να αποφορτιστούν επιχειρήσεις που χρησιμοποιούν ψευδωνυμοποιημένα ή τεχνικά datasets χωρίς καμία δυνατότητα σύνδεσης με συγκεκριμένα πρόσωπα. Για τις εταιρείες αυτό σημαίνει λιγότερες υποχρεώσεις και ευκολότερο καθεστώς συμμόρφωσης, τι σημαίνει όμως για τα υποκείμενα των δικαιωμάτων; Πώς μπορούμε να είμαστε σίγουροι ότι δεδομένα που χρησιμοποιούνται κάτω από τον μανδύα της ανωνυμοποίησης δεν μπορούν να συνδεθούν με συγκεκριμένο άτομο;

«Ο ορισμός των προσωπικών δεδομένων με υποκειμενική προσέγγιση (δηλ. αν ο συγκεκριμένος υπεύθυνος δεν μπορεί/δεν σκοπεύει να ταυτοποιήσει, τα δεδομένα παύουν να θεωρούνται προσωπικά) ανοίγει μεγάλη “τρύπα” για κλάδους που βασίζονται σε ψευδωνυμοποιημένα IDs (adtech, brokers κ.λπ.) και AI analytics. Αυτό συγκρούεται με τη μέχρι σήμερα νομολογία του ΔΕΕ και την ευρεία κατανόηση της, άμεσης ή έμμεσης, ταυτοποίησης.» επισημαίνει ο Σπύρος Τάσσης, Partner, PotamitisVekris, εφιστώντας την προσοχήστην «αύξηση αβεβαιότητας και το “litigation risk”, καθώς οι υποκειμενικές δοκιμές (π.χ. τι “μπορεί” ή “σκοπεύει” να ταυτοποιήσει ο υπεύθυνος) θα τροφοδοτήσουν ατελείωτες διαμάχες και άνιση εφαρμογή, αντί της επικαλούμενης απλοποίησης».

Η εν λόγω μεταρρύθμιση αφορά την «κωδικοποίηση της νομολογίας Single Resolution Board (Case T-557/20), σύμφωνα με την οποία δεδομένα δεν θεωρούνται προσωπικά εφόσον ο λήπτης δεν διαθέτει τα μέσα ταυτοποίησης» εξηγεί η Εύη Μαθιού, Legal, Compliance and Quality Director, Novo Nordisk, προσθέτοντας, όμως, παράλληλα ότι «ενέχει τον κίνδυνο δημιουργίας “τυφλών σημείων” στο κανονιστικό πλαίσιο, καθώς η προσέγγιση αυτή μπορεί να διευκολύνει την ανταλλαγή δεδομένων που είναι τυπικά ανώνυμα, αλλά στην πράξη παραμένουν δυνητικά ταυτοποιήσιμα.»

«Οι προτεινόμενες απλοποιήσεις του GDPR στο πλαίσιο του Digital Omnibus δεν επιτυγχάνουν μια ορθολογική στάθμιση μεταξύ μείωσης του κανονιστικού βάρους και προστασίας των προσωπικών δεδομένων. Αντί για ουσιαστική απλούστευση, εισάγουν ασαφή και υποκειμενικά κριτήρια, τα οποία τείνουν να αποδομούν τη νομική ασφάλεια και να αυξάνουν (αντί να μειώνουν) το κόστος συμμόρφωσης.» Στέργιος Κωνσταντίνου, Δικηγόρος – Επικεφαλής του Δικηγορικού Γραφείου «Στέργιος Κωνσταντίνου & Συνεργάτες – SGKLegal» Advanced LLM – IP & ICT LAW CIPP/E, CIPM, FIP.

Σε συνδυασμό, πάντως, με τα προβλήματα της διάταξης ως προς τη δυνατότητα ταυτοποίησης των μη προσωπικών δεδομένων, γεννιέται και ένα άλλο ζήτημα, αυτό της ασφάλειας δικαίου και της ισότητας στην αντιμετώπιση των δικαιωμάτων των υποκειμένων. «Η προτεινόμενη αναδιατύπωση του ορισμού των προσωπικών δεδομένων μετατοπίζει το κριτήριο σε επίπεδο συγκεκριμένου υπευθύνου επεξεργασίας και των μέσων που είναι εύλογο να χρησιμοποιήσει. Το ίδιο σύνολο δεδομένων μπορεί έτσι να θεωρείται προσωπικό για μία επιχείρηση αλλά όχι για μία άλλη. Η προσέγγιση αυτή διαρρηγνύει τη νομική προβλεψιμότητα σε συμβάσεις επεξεργασίας, διαβιβάσεις και από κοινού δραστηριότητες επεξεργασίας και δημιουργεί σοβαρούς κινδύνους ασυμβατότητας με τη νομολογία του ΔΕΕ και το άρθρο 8 ΧΘΔΕΕ.» παρατηρεί ο Στέργιος Κωνσταντίνου, Δικηγόρος – Επικεφαλής του Δικηγορικού Γραφείου «Στέργιος Κωνσταντίνου & Συνεργάτες – SGKLegal» Advanced LLM – IP & ICT LAW CIPP/E, CIPM, FIP.

Εξαιρέσεις για ειδικές κατηγορίες δεδομένων και AI

Μια ακόμη σημαντική παρέμβαση αφορά τις ειδικές κατηγορίες δεδομένων, δηλαδή τα πιο ευαίσθητα στοιχεία που ο GDPR παραδοσιακά προστατεύει αυστηρότερα.

Εδώ, η Επιτροπή πρότεινε δύο νέες εξαιρέσεις από το καθεστώς προστασίας. Η πρώτη αφορά τη χρήση βιομετρικών δεδομένων αποκλειστικά για επιβεβαίωση ταυτότητας, υπό την προϋπόθεση ότι η τεχνολογία βρίσκεται στον πλήρη έλεγχο του χρήστη, όπως συμβαίνει με το αποτύπωμα σε ένα κινητό τηλέφωνο. Έτσι, τα ευαίσθητα δεδομένα καλύπτονται μόνο όταν αποκαλύπτονται άμεσα, ενώ συμπεράσματα ή προφίλ που προκύπτουν έμμεσα από αναλύσεις ή αλγορίθμους ενδέχεται να μην θεωρούνται πλέον ειδικής κατηγορίας.

«H ΕΕ ωθείται σε αυτή τη πρωτοβουλία, αναγνωρίζοντας ότι τεχνολογικοί κολοσσοί εκτός Ευρώπης έχουν πλέον τη πρωτοκαθεδρία στην τεχνολογική ανάπτυξη, ενόσω οι ευρωπαϊκοί θεσμοί αναλώνονται στη θέσπιση κι επιβολή ενός ευρύτατου ρυθμιστικού πλαισίου, το οποίο, ωστόσο, παραμένει κατακερματισμένο, πολύπλοκο και δύσκολο στη παρακολούθηση κι εφαρμογή. Με το Digital Omnibus, λοιπόν, προτείνονται τεχνικές τροποποιήσεις, αποσκοπώντας στην ενοποίηση των κανόνων συμμόρφωσης, την άρση προβλημάτων που παρατηρήθηκαν από την εφαρμογή των κανόνων αυτών στην ΕΕ, αλλά παράλληλα και στην ανάπτυξη των δυνατοτήτων της τεχνητής νοημοσύνης ευρωπαϊκής προέλευσης.» Ιωσήφ Αβραμίδης, Διευθυντής, Κανονιστικής Συμμόρφωσης, Προστασίας Δεδομένων και Δεοντολογίας, Διεθνής Αερολιμένας Αθηνών Α.Ε. (ΔΑΑ)

Ο GDPR αλλάζει: Η επόμενη μέρα για την προστασία της ιδιωτικότητας

«Ο περιορισμός της έννοιας της επεξεργασίας δεδομένων “ειδικής κατηγορίας”, ώστε τα ευαίσθητα να καλύπτονται μόνο όταν αποκαλύπτονται άμεσα, αποκλείοντας συμπεράσματα/προφίλ (π.χ. τεκμαιρόμενη εγκυμοσύνη από μοτίβα), αντίκειται στη λογική του άρθρου 9 GDPR και στη Σύμβαση 108+ που υιοθετεί τη σημερινή διατύπωση («revealing»).» αναφέρει ο Σ. Τάσσης, δίνοντας έμφαση στην «υπονόμευση του άρθρου 8 του Χάρτη και στην ανατροπή της παγιωμένης νομολογίας του ΔΕΕ».

Η δεύτερη κατηγορία εξαιρέσεων σχετίζεται με την ανάπτυξη συστημάτων Τεχνητής Νοημοσύνης, επιτρέποντας την περιορισμένη και απολύτως αναγκαία επεξεργασία ευαίσθητων δεδομένων για τη λειτουργία ή εκπαίδευση μοντέλων.

«Η αναγνώριση του έννομου συμφέροντος ως νομικής βάσης για την εκπαίδευση μοντέλων AI μέσω του νέου προτεινόμενου άρθρου 88γ του GDPR επιχειρεί να αντιμετωπίσει πρακτικά αδιέξοδα» κατά την Ε. Μαθιού, αφού οι επιχειρήσεις βλέπουν σε αυτή τη ρύθμιση μια πολυαναμενόμενη νομιμοποίηση πρακτικών που ήδη χρησιμοποιούνται στα datasets.

Από την άλλη, σύμφωνα με τον Σ. Τάσση, «η εισαγωγή ειδικών νομικών βάσεων για εκπαίδευση και λειτουργία συστημάτων ΤΝ με προσωπικά και ευαίσθητα δεδομένα, με ασαφείς εγγυήσεις και πρακτικά ανεφάρμοστο δικαίωμα εναντίωσης (ιδίως όταν τα δεδομένα προέρχονται από web scraping στις ανοικτές ιστοσελίδες στο διαδίκτυο) δημιουργεί de facto ευνοϊκό καθεστώς για επεξεργασία μέσω ΤΝ σε σχέση με παραδοσιακές επεξεργασίες, αντιστρέφοντας την τεχνο-ουδετερότητα του GDPR και δημιουργώντας “τούνελ” υπέρ της ΤΝ με την προνομιακή μεταχείριση επεξεργασιών μέσω ΤΝ χωρίς λειτουργικά αντίβαρα».

Αντικατάσταση των cookie banners

Η πιο ηχηρή αλλαγή αφορά το τέλος της εποχής των κλασικών cookie banners. Η διάταξη της Οδηγίας ePrivacy που ρυθμίζει την εγκατάσταση και ανάγνωση cookies ενσωματώνεται απευθείας στον GDPR και αντικαθίσταται από ένα νέο μοντέλο που βασίζεται στη μηχανικώς αναγνώσιμη συγκατάθεση. Αυτό σημαίνει ότι οι προτιμήσεις του χρήστη ως προς την παρακολούθηση και την εξατομίκευση δεν θα δηλώνονται μέσω banner, αλλά θα μεταδίδονται αυτόματα από το ίδιο το λειτουργικό σύστημα, το browser ή ακόμη και agent-based συστήματα.

Για τον χρήστη αυτό σημαίνει μεγαλύτερο έλεγχο και λιγότερη «κόπωση» από τα ατελείωτα “Accept” και “Reject”. Τι συνέπειες έχει, όμως, για τις επιχειρήσεις;

«Η απλοποίηση των cookie banners, μέσω λύσεων τύπου «one-click» εξάμηνης διάρκειας, δια του νέου προτεινόμενου άρθρου 88α του GDPR επιχειρεί να αντιμετωπίσει την “κόπωση συγκατάθεσης”. Όμως, η ενσωμάτωση των κανόνων για τα cookies στον GDPR περιορίζει τις επικαλύψεις με την οδηγία ePrivacy (2002/58/EC) και εκθέτει τις επιχειρήσεις σε υψηλά πρόστιμα έως 4% του παγκόσμιου κύκλου εργασιών (άρθρο 83 GDPR), για παραβάσεις που μέχρι σήμερα αντιμετωπίζονταν ηπιότερα.» τονίζει η Ε. Μαθιού.

Παράλληλα, ο Σ. Κωνσταντίνου εφιστά την προσοχή στο ενδεχόμενο αντί να μειωθεί η κανονιστική πολυπλοκότητα, να αυξηθεί εν τέλει: «Το νέο διττό καθεστώς μεταξύ ΓΚΠΔ και ePrivacy για την πρόσβαση σε τερματικό εξοπλισμό δημιουργεί πρόσθετη πολυπλοκότητα και κατακερματισμό αρμοδιοτήτων, με το παράδοξο ενδεχόμενο μη προσωπικά δεδομένα να υπόκεινται σε αυστηρότερο καθεστώς από προσωπικά.»

Επιπλέον, η συσχέτιση της Οδηγίας ePrivacy με τον GDPR δημιουργεί ένα νέο καθεστώς με επιπτώσεις στην προστασία των δεδομένων και υπέρμετρη πρόσβαση κατά τον Σ. Τάσση: «Η μεταφορά/αναμόρφωση του πλαισίου ePrivacy με πολύ ευρύτερες εξαιρέσεις για πρόσβαση σε τερματικό εξοπλισμό (πέρα από συγκατάθεση), όπως π.χ. για “συγκεντρωτικές στατιστικές” ή “ασφάλεια”, και με δυνατότητα επίκλησης των βάσεων του άρθρου 6 GDPR, ενέχει τον κίνδυνο να θεωρηθεί επιτρεπτή η επεξεργασία του “remote search” συσκευών χρηστών με χαλαρά κριτήρια. Η Επιτροπή επικαλείται και μείωση «cookie banner fatigue», αλλά η ακριβής διατύπωση αφήνει περιθώριο για υπέρμετρη πρόσβαση».

Νέο μοντέλο αναφοράς παραβιάσεων

Η αλλαγή στον τρόπο κοινοποίησης παραβιάσεων δεδομένων σηματοδοτεί μια βαθιά μετατόπιση της φιλοσοφίας του GDPR. Αντί της καθολικής υποχρέωσης αναφοράς, η Omnibus απαιτεί πλέον ειδοποίηση μόνο όταν η παραβίαση ενέχει υψηλό κίνδυνο για τους πολίτες.

Η προθεσμία παρατείνεται από 72 σε 96 ώρες και η διαδικασία μεταφέρεται σε μια ενιαία ευρωπαϊκή πλατφόρμα της ENISA, ώστε οι επιχειρήσεις να κερδίσουν χρόνο, λιγότερη αβεβαιότητα και λιγότερο φόρτο τεκμηρίωσης με την ενιαία υποβολή όλων των αναφορών που προκύπτουν από διάφορους Κανονισμούς, όπως NIS2, DORA και CER.

«Η επέκταση της προθεσμίας γνωστοποίησης παραβιάσεων στις 96 ώρες μέσω της προτεινόμενης τροποποίησης του άρθρου 33 του GDPR και η δυνατότητα απόρριψης καταχρηστικών αιτημάτων πρόσβασης δια της προτεινόμενης τροποποίησης του άρθρου 12 του GDPR, προσφέρουν αναγκαίες ανάσες στις επιχειρήσεις, υπό την προϋπόθεση ότι δεν θα εργαλειοποιηθούν εις βάρος των δικαιωμάτων των υποκειμένων.» υπογραμμίζει σχετικά η Ε. Μαθιού.

Υποχρέωση ενημέρωσης και καταχρηστικά αιτήματα πρόσβασης

Μία από τις πιο πολυσυζητημένες προτάσεις αφορά την υποχρέωση ενημέρωσης των χρηστών, η οποία μέχρι σήμερα αποτελούσε θεμέλιο λίθο του GDPR. Η Digital Omnibus προβλέπει πλέον ότι η επιχείρηση δεν θα χρειάζεται να επαναλαμβάνει την πλήρη ενημέρωση κάθε φορά που επεξεργάζεται δεδομένα, εφόσον μπορεί να τεκμηριώσει ότι το υποκείμενο γνωρίζει ήδη τις σχετικές πληροφορίες.

Επιπλέον, οι οργανισμοί θα μπορούν να απορρίπτουν ή να επιβάλλουν εύλογο τέλος σε αιτήματα πρόσβασης που κρίνονται καταχρηστικά, ώστε να αποφεύγεται η εργαλειοποίηση του δικαιώματος και η υπέρμετρη επιβάρυνση, ιδίως για μικρομεσαίες επιχειρήσεις.

Η αλλαγή στοχεύει στη μείωση της διοικητικής επιβάρυνσης, ιδίως σε υπηρεσίες όπου η επαφή με τον χρήστη είναι συχνή και επαναλαμβανόμενη, γεννά όμως ουσιώδη ερωτήματα για την αποτελεσματική άσκηση των δικαιωμάτων που απορρέουν από τον GDPR.

Ο GDPR αλλάζει: Η επόμενη μέρα για την προστασία της ιδιωτικότητας

«Οι συζητήσεις που εξελίσσονται σε ευρωπαϊκό επίπεδο γύρω από τις προτεινόμενες απλοποιήσεις του GDPR στο πλαίσιο του Digital Omnibus έχουν ιδιαίτερη σημασία για επιχειρήσεις που δραστηριοποιούνται σε κρίσιμες υποδομές και έντονα ψηφιοποιημένες αγορές, όπως η προμήθεια ηλεκτρικής ενέργειας. Από τη σκοπιά ενός Διευθυντή Νομικών Υπηρεσιών και Κανονιστικής Συμμόρφωσης, το διακύβευμα δεν είναι εάν πρόκειται να αποδυναμωθεί η προστασία της ιδιωτικότητας, αλλά εάν το κανονιστικό οικοσύστημα μπορεί να γίνει πιο συνεκτικό και λειτουργικό χωρίς να θιγεί ο πυρήνας των δικαιωμάτων των πολιτών.» Παναγιώτης Αλεξανδράκης, Διευθυντής Νομικών Υπηρεσιών & Κανονιστικής Συμμόρφωσης ΗΡΩΝ

«Ο περιορισμός στην άσκηση δικαιωμάτων πρόσβασης/διόρθωσης/διαγραφής μόνο για σκοπούς προστασίας δεδομένων, που επιτρέπει σε υπευθύνους να απορρίπτουν αιτήματα εργαζομένων/δημοσιογράφων/ερευνητών ως καταχρηστικά, παρότι το ΔΕΕ έχει δεχθεί ότι τα δικαιώματα ασκούνται για οποιονδήποτε σκοπό (π.χ. για άσκηση αξιώσεων ακόμα και εναντίον του υπευθύνου επεξεργασίας) οδηγεί σε εξασθένηση δικαιωμάτων υποκειμένων στην πράξη: ο περιορισμός του σκοπού άσκησης δικαιωμάτων θα πλήξει δυσανάλογα εργαζομένους, δημοσιογράφους και ερευνητές, μειώνοντας τη διαφάνεια και την αποδεικτική πρόσβαση.» συνοψίζει ο Σ. Τάσσης.

Και βέβαια, πέρα από την προστασία των δεδομένων, επανέρχεται το ζήτημα του αν τελικά τέτοιου είδους ρυθμίσεις αποσυμφορίζουν τις επιχειρήσεις ή συνεπάγονται μια εξατομικευμένη προσέγγιση που τελικά αυξάνει το διοικητικό βάρος.

«Διατάξεις όπως η χαλάρωση του πλαισίου για την απόρριψη αιτημάτων πρόσβασης και η διεύρυνση ασαφών εξαιρέσεων από τις υποχρεώσεις ενημέρωσης μεταφέρουν το βάρος σε συνεχείς case-by-case αξιολογήσεις. Αυτό ενισχύει τον κίνδυνο καταγγελιών και νομικής έκθεσης σε επιβολή προστίμων για τους Υπευθύνους Επεξεργασίας, καθώς και απαιτεί περισσότερους, όχι λιγότερους, νομικούς και οργανωτικούς πόρους.» επισημαίνει ο Σ. Κωνσταντίνου

Θα επέλθει η επιθυμητή εξισορρόπηση;

Ευελιξία και αποδοτικότητα από τη μία, προστασία των δικαιωμάτων και ασφάλεια δικαίου από την άλλη. Θα μπορέσουν οι προτάσεις Omnibus της Κομισιόν να βρουν τη χρυσή τομή;

«Οι απλοποιήσεις που ανακοινώθηκαν για τον GDPR στοχεύουν κυρίως στη μείωση του κανονιστικού βάρους για τις επιχειρήσεις, ιδιαίτερα για τις μικρές και μεσαίες επιχειρήσεις, χωρίς να θίγεται η προστασία της ιδιωτικότητας των ατόμων.» Γιάννης Γιαννακάκης, Of Counsel, Drakopoulos Law

Ένα βασικό πρόβλημα είναι ότι από το 2018, οπόταν τέθηκε σε ισχύ ο GDPR, όχι μόνο δεν έχει τροποποιηθεί, ώστε να προσαρμοστεί στα νέα δεδομένα, αλλά παράλληλα εδώ και χρόνια συνυπάρχει με νεότερα νομοθετήματα που έχουν περιπλέξει το τοπίο. Συνεπώς, υπό αυτή την σκοπιά, τροποποιήσεις είναι επιτακτικό να γίνουν.

«Έως σήμερα δεν έχει τροποποιηθεί ο ίδιος ο ΓΚΠΔ. Οι σχετικές συζητήσεις επικεντρώνονται κυρίως στη σχέση του με νεότερα ρυθμιστικά κανονιστικά καθεστώτα, όπως το AI Act, το Data Act και το Digital Services Act, τα οποία επηρεάζουν άμεσα τον τρόπο με τον οποίο οι εταιρείες ενέργειας αξιοποιούν δεδομένα κατανάλωσης, δεδομένα έξυπνων μετρητών και ψηφιακών υπηρεσιών. Στην πράξη, οι επικαλύψεις και οι ασάφειες μεταξύ των εν λόγω κανονιστικών καθεστώτων αυξάνουν το κόστος συμμόρφωσης και δημιουργούν νομική αβεβαιότητα, ιδίως ως προς καινοτόμες εφαρμογές που βασίζονται στην ανάλυση δεδομένων.

Υπό αυτό το πρίσμα, οι προτεινόμενες «απλοποιήσεις» μπορούν να θεωρηθούν θετικές, εφόσον στοχεύουν στη μείωση της κανονιστικής πολυπλοκότητας και στην ενίσχυση της ασφάλειας δικαίου. Για μια εταιρεία προμήθειας ηλεκτρικής ενέργειας, η σαφήνεια των κανόνων είναι προϋπόθεση για την ανάπτυξη ψηφιακών υπηρεσιών, την πρόβλεψη ζήτησης και την ενσωμάτωση νέων τεχνολογιών με υπεύθυνο τρόπο, πάντα με επίκεντρο και απώτερο στόχο, τη διασφάλιση των συμφερόντων των πελάτων της» σκιαγραφεί την κατάσταση ο Παναγιώτης Αλεξανδράκης, Διευθυντής Νομικών Υπηρεσιών & Κανονιστικής Συμμόρφωσης ΗΡΩΝ, παραδεχόμενος ότι «η πρόκληση, μάλλον μεγάλη,για τον Ευρωπαίο νομοθέτη είναι να επιτύχει αυτή την εξισορρόπηση χωρίς να υπονομεύσει την ουσιαστική προστασία των προσωπικών δεδομένων».

Στην ίδια κατεύθυνση κινείται και η Ε. Μαθιού: «Η αγορά χρειάζεται την ευελιξία που υπόσχεται η Digital Omnibus. Η επιτυχία θα εξαρτηθεί από το αν η Ευρώπη καταφέρει να μειώσει τη γραφειοκρατία χωρίς να υποβαθμίσει το επίπεδο προστασίας των δικαιωμάτων».

«Η αξιολόγηση της αποτελεσματικότητας αυτών των απλοποιήσεων εξαρτάται από την εφαρμογή τους και την επιτήρηση της εφαρμογής τους από τις αρχές. Η προστασία της ιδιωτικότητας παραμένει βασικός στόχος και η βέλτιστη στάθμιση μεταξύ του κανονιστικού βάρους και της προστασίας της ιδιωτικότητας είναι ένα ζήτημα που δεν λύνεται με “fast track “ απλοποιήσεις. Για να αξιολογηθεί αν οι προτεινόμενες απλοποιήσεις βρίσκονται στη σωστή κατεύθυνση, θα πρέπει να ληφθούν υπόψη οι απόψεις των ενδιαφερόμενων μερών, συμπεριλαμβανομένων των επιχειρήσεων, των οργανώσεων προστασίας της ιδιωτικότητας και των ρυθμιστικών αρχών» ακολουθεί μια εξισορροπητική λογική ο Γ. Γιαννακάκης.

Ο GDPR αλλάζει: Η επόμενη μέρα για την προστασία της ιδιωτικότητας

Αντίστοιχα, και ο Ιωσήφ Αβραμίδης, Διευθυντής, Κανονιστικής Συμμόρφωσης, Προστασίας Δεδομένων και Δεοντολογίας, Διεθνής Αερολιμένας Αθηνών Α.Ε. (ΔΑΑ), είναι της άποψης ότι «οι προτάσεις κρίνονται καταρχήν θετικές, παρέχουν σε μεγάλο βαθμό την επιβαλλόμενη σαφήνεια κι ασφάλεια συμμόρφωσης, όπως πχ. με τη θέσπιση από το EDPB ενιαίων καταλόγων για τη κατάρτιση ή μη DPIA, υποδειγμάτων για την αναγγελία παραβιάσεων», όμως παράλληλα τονίζει ότι «σε άλλα σημεία παραμένει η χρήση αόριστων νομικών εννοιών».

«Παράλληλα, οι μεταβολές που τελικά θα υιοθετηθούν από το Ευρωπαϊκό Κοινοβούλιο ενδέχεται να επιφέρουν σημαντικά νέα κόστη στις υπόλογες οντότητες για τη λήψη εξειδικευμένων συμβουλευτικών υπηρεσιών και προμήθεια τεχνικών λύσεων για τη προσαρμογή στα νέα δεδομένα, όπως μεταβολή στη λειτουργία του μηχανισμού επιλογής cookies σε ιστοσελίδες, εφαρμογές κλπ., την εκπόνηση DPIA, την τήρηση Αρχείων Επεξεργασίας και σύνταξη Ενημερώσεων Επεξεργασίας Δεδομένων, όπως και των όρων ιδιωτικότητας/συμβάσεων επεξεργασίας ΔΠΧ(DPAs)» προσθέτει ο ίδιος.

Από την άλλη, δεν λείπουν και οι φωνές που τίθενται ξεκάθαρα κατά των προτάσεων της Επιτροπής, αποτυπώνοντας εμφατικά τη νομική αβεβαιότητα και τη μετατόπιση ισορροπιών που επιφέρουν.

«Οι προτάσεις δεν συνιστούν απλοποίηση, αλλά μετατόπιση της συμμόρφωσης από σαφείς κανόνες σε νομικά αβέβαια σχήματα. Η βιώσιμη εξισορρόπηση (εάν συμφωνούμε ότι όντως απαιτείται) χρειάζεται αντικειμενικά, τεχνικά ελέγξιμα κριτήρια, προβλέψιμες υποχρεώσεις και όχι ρυθμίσεις που μετατρέπουν τη συμμόρφωση σε ρυθμιστική ρουλέτα» υποστηρίζει ο Σ. Κωνσταντίνου.

«Παρά τη ρητορική περί απλοποίησης, οι προτάσεις του Digital Omnibus συνιστούν εκτεταμένη μετατόπιση ισορροπιών στον GDPR και το ePrivacy, με κεντρικό αποτέλεσμα την αποδυνάμωση δικαιωμάτων και εγγυήσεων και την ενίσχυση της χρήσης προσωπικών δεδομένων (συμπεριλαμβανομένων ευαίσθητων) για σκοπούς ΤΝ και εμπορικής παρακολούθησης. Το βάθος των αλλαγών, ο τρόπος διατύπωσης και η απουσία πλήρους ex ante τεκμηρίωσης δημιουργούν σοβαρές πιθανότητες νομικής αβεβαιότητας και σύγκρουσης με τον Χάρτη Θεμελιωδών Δικαιωμάτων και τη νομολογία, υπονομεύοντας τελικά και την ίδια την ανταγωνιστικότητα που υποτίθεται εξυπηρετούν» προσεγγίζει συναφώς το ζήτημα ο Σ. Τάσσης.

«Για την ώρα, η πολιτική διαδικασία και η κριτική από κοινωνία πολιτών και Ευρωκοινοβούλιο αφήνουν ανοιχτό το ενδεχόμενο σημαντικών αλλαγών ή περικοπών πριν την οριστικοποίηση. Μέχρι τότε, η προετοιμασία οργανισμών πρέπει να παραμείνει προσανατολισμένη στην υφιστάμενη, ισχυρή αρχιτεκτονική του GDPR και στην τεκμηριωμένη λογοδοσία» κλείνει ο ίδιος.

ΠΗΓΗ