Με αιχμές κατά των κυβερνήσεων, για αμφισβήτηση και πιέσεις που δέχονται οι Ανεξάρτητες Αρχές, ο Πρόεδρος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και επίτιμος Πρόεδρος του Συμβουλίου Επικρατείας Κωνσταντίνος Μενουδάκος, είπε με το δικό του τρόπο το «αντίο», στην τελευταία συνέντευξη Τύπου, που έδωσε σήμερα, καθώς αφυπηρετεί μετά από επταετή θητεία στην Αρχή.
Αναγνωρίζοντας μια «πικρή αλήθεια» ότι, «στην Ελλάδα η ενίσχυση των ανεξάρτητων αρχών και η μέριμνα για την αποτελεσματική λειτουργία τους δεν αποτελεί προτεραιότητα των κυβερνήσεων. Όπως συνηθίζει να λέει ο καθηγητής Σπύρος Βλαχόπουλος που είναι μέλος της Αρχής μας, τα κόμματα αγαπούν τις ανεξάρτητες αρχές όταν είναι στην αντιπολίτευση και τις αμφισβητούν όταν είναι στην κυβέρνηση».
Kαι συμπλήρωσε: «Κάποιες φορές μάλιστα, προσθέτω εγώ, η αμφισβήτηση εκφράζεται με δηλώσεις οι οποίες δίνουν την εντύπωση πιέσεων ή απειλών που υπονομεύουν το κύρος και την αξιοπιστία τους. Φαίνεται ότι στην Ελλάδα δεν έχει εμπεδωθεί στη συνείδηση του πολιτικού συστήματος ότι στην ώριμη δημοκρατία αντίβαρα της εξουσίας δεν είναι μόνο τα δικαστήρια, αλλά και οι ανεξάρτητες αρχές, τουλάχιστον οι συνταγματικά προβλεπόμενες, στο πλαίσιο αρμοδιότητας καθεμίας».
O κ. Μενουδάκος μίλησε μεταξύ άλλων και για υποστελέχωση της Αρχής, όπως και για πρόβλημα στέγασης της, λέγοντας:
«H στελέχωση της Αρχής υπολείπεται σημαντικά αυτής ομόλογων εποπτικών αρχών άλλων κρατών μελών. Εν κατακλείδι, η Αρχή παραμένει σοβαρά υποστελεχωμένη ενώ υπάρχει μεγάλη ανάγκη για αύξηση. Και θα πρόσθετα ότι τόσο το Δημόσιο αλλά και ο Ιδιωτικός Τομέας θα ωφελούνταν από τη μεγαλύτερη συμβολή της Αρχής».
Στη συνέχεια ωστόσο προσπαθώντας να λειάνει την εικόνα, συμπλήρωσε:
«Για να μη δημιουργηθούν όμως εσφαλμένες εντυπώσεις ως προς την Αρχή Προστασίας Δεδομένων, θεωρώ αναγκαίο να διευκρινίσω ότι στο χρονικό διάστημα της θητείας μου η Αρχή επιτέλεσε το έργο της χωρίς επηρεασμούς από παρεμβάσεις οποιουδήποτε, ακόμη και σε υποθέσεις με ευρύτερο ενδιαφέρον που υπήρξαν αντικείμενο κομματικής αντιπαράθεσης. Όπως φάνηκε και στη διαφάνεια που προβλήθηκε προηγουμένως, έχουν επιβληθεί πρόστιμα και υποχρεώσεις και σε φορείς του Δημόσιου τομέα, ακόμη και σε Υπουργεία, καθώς και σε πολιτικό κόμμα».
O κ. Μενουδάκος ανέφερε ότι, «έως σήμερα έχουν επιβληθεί από όλες τις Αρχές Προστασίας Δεδομένων στην ΕΕ πρόστιμα συνολικού ποσού πάνω από 6,2 δισεκατομμύρια ευρώ», ενώ τόνισε ότι, «η Αρχή Προστασίας Δεδομένων έχει επιβάλει από το 2018 πρόστιμα σχεδόν 37 εκατομμύρια ευρώ». [εμφανίζονται ανά έτος στη ΔΙΑΦΑΝΕΙΑ 2].
Επίσης ανέφερε ότι, από το 2018 έχουν υποβληθεί στην Αρχή 9.069 καταγγελίες [ΔΙΑΦΑΝΕΙΑ 3] και έχουν διεκπεραιωθεί 6.916. [ΔΙΑΦΑΝΕΙΑ 4].
Είπε μάλιστα ότι, «το ύψος των προστίμων που επιβλήθηκαν δεν προβάλλεται ως στοιχείο θετικής αποτίμησης του έργου της Αρχής, αλλά ως ένδειξη ότι μετά από 7 χρόνια εξακολουθούν να διαπιστώνονται σημαντικές παραβάσεις των κανόνων. Ως ένα γενικό συμπέρασμα που προέκυψε από την έναρξη εφαρμογής του Κανονισμού είναι ότι η συμμόρφωση προς τους κανόνες του και, κυρίως, η υιοθέτηση του πνεύματος που διέπει τις αρχές προστασίας δεδομένων είναι μια συνεχής άσκηση για οργανισμούς και επιχειρήσεις. Πάντως, o ευρωπαϊκός Κανονισμός, που δεν αποτελεί μόνο ένα νέο νομοθετικό πλαίσιο αλλά εισάγει και μια νέα κουλτούρα ευθύνης και συμμόρφωσης, έχει επιφέρει αποτελέσματα».
Σε άλλο σημείο της ομιλίας του ο κ. Μενουδάκος αναφέρθηκε στη γνωμοδότηση της Αρχής 1/2025 για την αναγραφή του Προσωπικού Αριθμού στο Δελτίο Ταυτότητας, λέγοντας:
«Θα ήθελα, σε αυτό το σημείο, να τονίσω ότι η Αρχή δεν είναι ανασχετικός παράγοντας για την πρόοδο, όπως υποστηρίζεται κατά καιρούς αδικαιολόγητα και από κάποιους σχεδόν εμμονικά.
Σε ένα κράτος δικαίου κάθε επεξεργασία προσωπικών δεδομένων πρέπει να γίνεται για συγκεκριμένο σκοπό που προβλέπεται σε νόμο. Δεν αποτελεί αυτή η παραδοχή μόνο την άποψη της Αρχής ή την άποψη των ομόλογων εποπτικών αρχών, αλλά και τη σταθερή νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης και του Ευρωπαϊκού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων. Αυτό που γενικά απαιτείται είναι νηφάλιες σταθμίσεις και κατάλληλες διασφαλίσεις βάσει κινδύνου».
Συνολικά είπε:
«Καλημέρα σας κυρίες και κύριοι.
Σας καλωσορίζω στη συνέντευξη Τύπου που πραγματοποιείται με αφορμή την πρoχθεσινή συμπλήρωση 7 χρόνων από την έναρξη εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης (πιο γνωστού ως GDPR) στις 25 Μαΐου 2018.
Λίγο πριν από την αποχώρησή μου από την Αρχή Προστασίας Δεδομένων, θεώρησα χρήσιμη μία συνοπτική και οπωσδήποτε μη πλήρη παρουσίαση της πορείας εφαρμογής του ΓΚΠΔ στην Ελλάδα και της άσκησης των σχετικών αρμοδιοτήτων της Αρχής κατά την επταετία αυτή, η οποία συμπίπτει με τη δική μου θητεία στην Αρχή, όπως και η προηγούμενη διετία (2016 – 2018) που αποτελούσε περίοδο προετοιμασίας για την επικείμενη τότε έναρξη εφαρμογής του ΓΚΠΔ, ο οποίος είχε ψηφιστεί τον Μάϊο του 2016.
Δεν πρόκειται για απολογισμό προσωπικού έργου, διότι όσα θα αναφέρω αφορούν συλλογική εργασία του Αναπληρωτή Προέδρου της Αρχής κυρίου Γεωργίου Μπατζαλέξη και των μελών με τα οποία συνεργαστήκαμε όλα αυτά τα χρόνια αποδοτικά, σε ένα άνετο, φιλικό και γι’ αυτό δημιουργικό περιβάλλον, καθώς και του προσωπικού της Αρχής, το οποίο αποτελείται από υψηλής ποιότητας δημόσιους λειτουργούς. Αισθάνομαι την ανάγκη να τους ευχαριστήσω όλους και δημόσια για τη συνεργασία, από την οποία έμαθα πολλά.
Να εξηγήσω την αναφορά μου σε επικείμενη αποχώρησή μου από την Αρχή. Υπέβαλα παραίτηση στις 26 Μαρτίου για λόγους αμιγώς προσωπικούς που δεν έχουν οποιαδήποτε σχέση με ζητήματα σχετικά με τη λειτουργία της Αρχής και την εκτέλεση του έργου της. Σύμφωνα με το νόμο, με την πάροδο τριμήνου από την υποβολή της παραίτησης τεκμαίρεται η αποδοχή της αν στο μεταξύ δεν
έχει γίνει ρητώς η αποδοχή ή δεν έχει οριστεί νέος Πρόεδρος.
Με την ευκαιρία της σημερινής εκδήλωσης και ενόψει της αποχώρησής μου από τη θέση του Προέδρου, θα ήθελα να ευχαριστήσω τους προκατόχους μου, τον Κωνσταντίνο Δαφέρμο, τον Δημήτρη Γουργουράκη, τον Χρίστο Γεραρή και τον Πέτρο Χριστόφορο για το έργο τους που ήταν πολύτιμη παρακαταθήκη για τη συνέχεια της πορείας της Αρχής.
Επιτρέψτε μου μία πολύ σύντομη ιστορική αναδρομή, πριν αναφερθώ στα θέματα που έχουν σχέση με την εφαρμογή του ΓΚΠΔ και απαντήσω σε τυχόν ερωτήσεις σας.
Η Αρχή ιδρύθηκε με τον νόμο 2472/1997. Ο νόμος αυτός ενσωμάτωνε στο ελληνικό δίκαιο την εμβληματική ευρωπαϊκή Οδηγία 95/46/ΕΚ. Αξιοσημείωτο είναι ότι η Ελλάδα υπήρξε από τις πρώτες χώρες που μετέφεραν την κοινοτική Οδηγία στο εθνικό δίκαιο. Στη μακρά διαδρομή της από το 1997 ως ανεξάρτητης αρχής κατοχυρωμένης με συγκεκριμένες ρητές διατάξεις της Οδηγίας όπως και από το ελληνικό Σύνταγμα μετά την αναθεώρηση του 2001 [άρθρο 9Α], σταθερές επιδιώξεις της είναι η δημιουργία ικανών εγγυήσεων για την προστασία των προσωπικών δεδομένων και της ιδιωτικής ζωής, πάντα όμως έχοντας επίγνωση των προκλήσεων από την ανταλλαγή δεδομένων στο πλαίσιο της παγκοσμιοποίησης και την ανάπτυξη της ψηφιακής οικονομίας.
Αυτό άλλωστε είναι το πνεύμα και αποτελεί το σκοπό της Οδηγίας και τώρα του ΓΚΠΔ, ο οποίος ψηφίστηκε στις 27 Απριλίου του 2016, με έναρξη εφαρμογής στις 25 Μαΐου 2018. Με τον ΓΚΠΔ, όπως και με την Οδηγία 2016/680 για την προστασία των προσωπικών δεδομένων στους τομείς της ποινικής δικαιοσύνης και της αστυνομικής συνεργασίας ολοκληρώθηκε η μεταρρύθμιση των κανόνων προστασίας προσωπικών δεδομένων και δρομολογήθηκε η μετάβαση σε μια νέα εποχή.
Η Αρχή, παρά τις διαχρονικές δυσκολίες που αντιμετώπιζε, λόγω της έλλειψης επαρκών πόρων, ήταν ενεργά παρούσα στην αναδιαμόρφωση αυτή του νομικού πλαισίου της προστασίας δεδομένων – ιδιαίτερα μέσω της συμμετοχής της στην Ομάδα Εργασίας του Άρθρου 29 η οποία είχε συσταθεί με την οδηγία 95/46/ΕΚ και αποτελεί τον προκάτοχο του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.
Βασικοί άξονες της στρατηγικής της Αρχής στη μεταβατική περίοδο (2016 – 2018) ήταν η έγκαιρη προσαρμογή της στα νέα δεδομένα, η ενημέρωση [υποκειμένων δεδομένων και υπευθύνων επεξεργασίας] και η ενίσχυση του προληπτικού έργου της. Ειδικότερα, η Αρχή λειτούργησε έχοντας επίγνωση ότι βρισκόταν στο τέλος μιας εποχής και στο ξεκίνημα μιας νέας.
Έτσι ανέπτυξε τη δράση της γύρω από δύο άξονες: τη διεκπεραίωση των εκκρεμών υποθέσεων και παράλληλα την επιτάχυνση της προετοιμασίας της για την εφαρμογή του Γενικού Κανονισμού, με τον οποίο ισχυροποιήθηκε το πλέγμα προστασίας, αλλά υπήρξαν και ριζικές μεταβολές σε θέματα διαδικασίας, οι οποίες κατέστησαν αναγκαία την τροποποίηση ή προσαρμογή της εσωτερικής οργάνωσης και λειτουργίας της Αρχής στα νέα δεδομένα (π.χ: εισαγωγή νέων διαδικασιών χειρισμού καταγγελιών, περιστατικών παραβίασης δεδομένων, ανακοίνωσης υπευθύνου προστασίας δεδομένων κ.ά.).
Οι αλλαγές αυτές ήταν αναγκαίες όχι μόνο για την αποτελεσματική άσκηση των διαφοροποιημένων, σε σημαντικό βαθμό, αρμοδιοτήτων της, αλλά και για τη συνεργασία της με τις εποπτικές αρχές των άλλων χωρών της Ένωσης και με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.
Παράλληλα, η Αρχή ανταποκρίθηκε στις μόνιμες ευρωπαϊκές υποχρεώσεις της και ήταν σταθερά παρούσα στις ομάδες εργασίας και επιτροπές που λειτουργούσαν με βάση την ευρωπαϊκή νομοθεσία προστασίας των προσωπικών δεδομένων, όπως βεβαίως και στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.
Επιπλέον, ανέλαβε, στο πλαίσιο της επικοινωνιακής πολιτικής της, πολλές πρωτοβουλίες γενικότερης ενημέρωσης τόσο των υποκειμένων των δεδομένων όσο και υπευθύνων/εκτελούντων επεξεργασίας δεδομένων σχετικά με τις ρυθμίσεις του Γενικού Κανονισμού.
Από τις 25/5/2018 η Αρχή έχει ως κύρια αρμοδιότητα την εποπτεία της εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Όσον αφορά, ειδικότερα, την προστασία των προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών, η Αρχή εφαρμόζει τον νόμο 3471/2006 [ενσωματώνει στο εθνικό δίκαιο την ευρωπαϊκή οδηγία 58/2002].
Με τον Γενικό Κανονισμό διευρύνθηκε η αποστολή της Αρχής. Διατηρήθηκε ο τριπλός ρόλος και στόχος της, ενημερωτικός, ρυθμιστικός, ελεγκτικός-κυρωτικός. Ασκούνταν, όμως, πλέον σε διαφορετικά νομικά και πραγματικά δεδομένα. Ουσιώδης μεταβολή υπήρξε λόγω του νέου πλαισίου συνεργασίας και σύμπραξης με ομόλογες αρχές των χωρών της ΕΕ.
Η Αρχή, στη μετά τον GDPR εποχή, έχει πλέον διαφοροποιημένες αρμοδιότητες, π.χ. δεν εξετάζει πια ερωτήματα υπευθύνων επεξεργασίας, ούτε υπάρχει η υποχρέωση υποβολής γνωστοποιήσεων αρχείων, ούτε προβλέπεται η χορήγηση σχετικών αδειών από πλευράς της ̇ από την άλλη, όμως, έχει σταθερή και στενή συνεργασία με ομόλογες εποπτικές αρχές για υποθέσεις διασυνοριακού χαρακτήρα και στο πλαίσιο λειτουργίας του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, υπάρχει επίσης υποχρέωση προηγούμενης διαβούλευσης με την Αρχή για επεξεργασίες υψηλού εναπομείναντος κινδύνου μετά τη διενέργεια εκτίμησης αντικτύπου στην προστασία δεδομένων κ.ά.
Η Αρχή επίσης:
- παρακολουθεί και επιβάλλει την εφαρμογή του Κανονισμού και του σχετικού εφαρμοστικού ν. 4624/2019, καθώς και άλλων ρυθμίσεων,
- προωθεί την ευαισθητοποίηση του κοινού και των υπευθύνων και εκτελούντων επεξεργασία σχετικά με τις υποχρεώσεις τους,
- παρέχει γνώμη για κάθε ρύθμιση που πρόκειται να περιληφθεί σε νόμο ή σε κανονιστική πράξη,
- εκδίδει οδηγίες και απευθύνει συστάσεις για κάθε θέμα που αφορά την επεξεργασία δεδομένων,
- εξετάζει τις καταγγελίες για παράβαση διατάξεων του Γενικού Κανονισμού,
- διενεργεί έρευνες ή ελέγχους σχετικά με την εφαρμογή της νομοθεσίας περί προστασίας προσωπικών δεομένων.
Με την ψήφιση πλέον του εθνικού νόμου (ν. 4624/2019) [καθυστερημένα] στα τέλη Αυγούστου του 2019 καταργήθηκε ο ν. 2472/1997.
Αξιοσημείωτο είναι ότι, ο προηγούμενος εθνικός νόμος (ν. 2472/1997) δεν εξαιρούσε την εθνική ασφάλεια από τις αρμοδιότητες της Αρχής, όπως είχε δυνατότητα με βάση τη σχετική Οδηγία, όμως ο ν. 4624/2019 (άρθρο 10)1 το κάνει.
Υπάρχει εδώ διαφοροποίηση στην προσέγγιση του νομοθέτη και φαίνεται έτσι να μειώνεται η προστασία που παρέχεται από το νέο θεσμικό πλαίσιο.
Με τη γνωμοδότηση 1/2020 της Αρχής είχαμε επισημάνει ότι κάποιες διατάξεις του ν. 4624/201 δεν ήταν συμβατές με τον Γενικό Κανονισμό, [δεν υπήρξε όμως ανταπόκριση από το αρμόδιο
Υπουργείο].
Κάποιες αλλαγές σε θέματα που είχε επισημάνει η Αρχή βέβαια έγιναν με τον νόμo 5002/20222, αλλά αυτές προήλθαν μετά από προειδοποιητική επιστολή της ΕΕ η οποία εκδόθηκε κατόπιν εξέτασης καταγγελίας για την ύπαρξη προβλημάτων όσον αφορά τη συμμόρφωση των διατάξεων του ν. 4624/2019 με την Οδηγία (ΕΕ) 2016/680. Θα ήταν τότε ευκαιρία να γίνουν όλες οi αλλαγές που είχε επισημάνει η Αρχή από το 2020.
Σε γενικές γραμμές, ως προς τη χρησιμότητά του, θα έλεγα ότι ο Κανονισμός διεύρυνε τα δικαιώματα των υποκειμένων των δεδομένων, δηλαδή των φυσικών προσώπων, και κατ’ επέκταση τις υποχρεώσεις των υπευθύνων επεξεργασίας. Ενίσχυσε, επίσης, τη συνεργασία των εθνικών Αρχών
1. «Η Αρχή δεν είναι αρμόδια να ελέγχει πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα που διενεργούνται από τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων, καθώς και πράξεις επεξεργασίας διαβαθμισμένων δεδομένων προσωπικού χαρακτήρα που διενεργούνται για τις δραστηριότητες που αφορούν την εθνική ασφάλεια.».
2. «Διαδικασία άρσης του απορρήτου των επικοινωνιών, κυβερνοασφάλεια και προστασία προσωπικών δεδομένων πολιτών».
3. Η Αρχή με την υπ’ αρ. 1/2020 Γνωμοδότησή της επί των διατάξεων του ν. 4624/2019 είχε δεχθεί αναφορικά με την οδηγία ότι σε αρκετές περιπτώσεις δεν είχε ενσωματωθεί καθόλου σειρά διατάξεων της, ότι σε άλλες περιπτώσεις είχε μεταφερθεί αυτούσιο το κείμενο της οδηγίας χωρίς προσαρμογή στην εθνική νομοθεσία καθώς και ότι σε κάποιες περιπτώσεις η ενσωμάτωση υπήρξε εσφαλμένη, επισημαίνοντας επιμέρους συγκεκριμένες ελλείψεις ή πλημμέλειες.
4. Προστασίας Δεδομένων. Καθόρισε μεθόδους για να διασφαλιστεί η συμμόρφωση, καθώς και κυρώσεις για όσους παραβιάζουν τους κανόνες. Και στις δύο εκθέσεις αξιολόγησης του Γενικού Κανονισμού από την Ευρωπαϊκή Επιτροπή (2020 και 2024) επισημαίνεται ότι το αυστηρό πλαίσιο για την επιβολή προστίμων [έως 20 εκατομμύρια ευρώ ή 4% του ετήσιου παγκόσμιου τζίρου μιας εταιρείας] και η αύξηση της ενημέρωσης βοήθησαν στο να ενταθούν οι προσπάθειες συμμόρφωσης.
Θα προσέθετα ότι αυξήθηκε η ευαισθητοποίηση για την προστασία των προσωπικών δεδομένων και πολλοί οργανισμοί και επιχειρήσεις είδαν το γεγονός αυτό ως «ευκαιρία» να αναδιοργανωθούν και να υιοθετήσουν καλές πρακτικές στις δραστηριότητες επεξεργασίας δεδομένων.
Συμπερασματικά, είναι σημαντικό να τηρούνται οι κανόνες του Γενικού Κανονισμού, αλλά φαίνεται ότι υπάρχουν ακόμη ελλείψεις τόσο στον ιδιωτικό όσο και στο δημόσιο τομέα. Από την άλλη πλευρά παρατηρούμε ότι πολλές φορές γίνεται όμως καταχρηστική επίκληση του ΓΚΠΔ σε περιπτώσεις που δεν εμπίπτουν στη νομοθεσία για την προστασία των προσωπικών
δεδομένων.
Η Αρχή ανταποκρίθηκε στον μέγιστο δυνατό βαθμό στις αρμοδιότητες και τα καθήκοντα που της ανατέθηκαν με τον ευρωπαϊκό Κανονισμό και τον εθνικό νόμο.
Μεταξύ των πολλών δραστηριοτήτων της, εξέτασε σημαντικά ζητήματα και εξέδωσε πλήθος αποφάσεων, γνωμοδοτήσεων και κατευθυντήριων γραμμών δίνοντας, παράλληλα, έμφαση και στην ενημέρωση – ευαισθητοποίηση των υποκειμένων των δεδομένων και των υπευθύνων και εκτελούντων την επεξεργασία δεδομένων.
Κάποια χρήσιμα στατιστικά:
- Έως σήμερα έχουν επιβληθεί από όλες τις Αρχές Προστασίας Δεδομένων στην ΕΕ πρόστιμα συνολικού ποσού πάνω από 6,2 δισεκατομμύρια ευρώ.
- Η Αρχή Προστασίας Δεδομένων έχει επιβάλει από το 2018 πρόστιμα σχεδόν 37 εκατομμύρια ευρώ. [εμφανίζονται ανά έτος στη ΔΙΑΦΑΝΕΙΑ 2]
- Από το 2018 έχουν υποβληθεί στην Αρχή 9.069 καταγγελίες [ΔΙΑΦΑΝΕΙΑ 3] και έχουν διεκπεραιωθεί 6.916. [ΔΙΑΦΑΝΕΙΑ 4]
Το ύψος των προστίμων που επιβλήθηκαν δεν προβάλλεται ως στοιχείο θετικής αποτίμησης του έργου της Αρχής, αλλά ως ένδειξη ότι μετά από 7 χρόνια εξακολουθούν να διαπιστώνονται σημαντικές παραβάσεις των κανόνων.
Ως ένα γενικό συμπέρασμα που προέκυψε από την έναρξη εφαρμογής του Κανονισμού είναι ότι η συμμόρφωση προς τους κανόνες του και, κυρίως, η υιοθέτηση του πνεύματος που διέπει τις αρχές προστασίας δεδομένων είναι μια συνεχής άσκηση για οργανισμούς και επιχειρήσεις. Πάντως, o ευρωπαϊκός Κανονισμός, που δεν αποτελεί μόνο ένα νέο νομοθετικό πλαίσιο αλλά εισάγει και μια νέα κουλτούρα ευθύνης και συμμόρφωσης, έχει επιφέρει αποτελέσματα.
Οι πρώτες 4 αποφάσεις με βάση πλέον τις διατάξεις του Γενικού Κανονισμού εκδόθηκαν τον Νοέμβριο του 2018 (αποφάσεις υπ’ αρ. 66 – 69/2018). Το πρώτο πρόστιμο βάσει GDPR επιβλήθηκε το 2019 με την Απόφαση υπ’ αρ. 26 (Παραβίαση αρχών επεξεργασίας δεδομένων προσωπικού χαρακτήρα εργαζομένων από εργοδότρια εταιρία και επιβολή διοικητικού χρηματικού προστίμου ύψους 150.000 ευρώ). https://www.enforcementtracker.com/?insights
Στις διαφάνειες 5 και 6 μπορείτε να δείτε ορισμένες σημαντικές αποφάσεις με τις οποίες επιβλήθηκαν και μεγάλα πρόστιμα, τόσο σε υπ. επεξεργασίας δεδομένων του ιδιωτικού όσο και του δημόσιου τομέα.
Ένα σύντομο σχόλιο για την πολιτική επικοινωνία, η οποία είναι θεμιτή και απαραίτητη δραστηριότητα για τη λειτουργία των πολιτικών κομμάτων και υποψηφίων και της Δημοκρατίας.
Επιτρέπεται, ωστόσο, υπό προϋποθέσεις που προσδιορίζονται από την Αρχή με βάση τον Γενικό Κανονισμό. Η πρόβλεψη των προϋποθέσεων αυτών έχει ως στόχο τη διατήρηση της ισορροπίας ανάμεσα στο έννομο συμφέρον των πολιτικών κομμάτων και στο δικαίωμα στην προστασία των προσωπικών δεδομένων.
Υπενθυμίζω ότι η Αρχή επανεξέτασε το 2023 [σε συνέχεια της έκδοσης των αποφάσεων του ΣτΕ (απόφαση 1343-5/2022)], τα ζητήματα νομιμότητας που ανέκυψαν σε σχέση με την πολιτική επικοινωνία επικαιροποιώντας τις κατευθυντήριες οδηγίες που είχε εκδώσει το έτος 2019 για τη σύννομη επεξεργασία προσωπικών δεδομένων με σκοπό την πολιτική επικοινωνία.
5. Επίσης, η Αρχή αποστέλλει απόψεις επί προδικαστικών ερωτημάτων-υποθέσεων ενώπιον του Δικαστηρίου της Ε. Ένωσης σε υποθέσεις που έχουν ως αντικείμενο την ερμηνεία της νομοθεσίας για την προστασία των προσωπικών δεδομένων. Σε κάθε υπόθεση προδικαστικού ερωτήματος, ακόμη και αν η Ελλάδα δεν είναι διάδικος, καλούμαστε να εκφράσουμε την άποψή μας για τη σκοπιμότητα να ασκήσει η Ελλάδα παρέμβαση και ανάλογα με την περίπτωση και το ενδιαφέρον που έχει η Ελλάδα για το θέμα εκφράζουμε ουσιαστικές απόψεις.
Μεταξύ των σημαντικών αρμοδιοτήτων της Αρχής περιλαμβάνεται και η αποστολή απόψεων προς τα αρμόδια Υπουργεία καθώς και η παροχή γνώμης για κάθε ρύθμιση που πρόκειται να περιληφθεί σε νόμο ή σε κανονιστική πράξη, η οποία αφορά επεξεργασία δεδομένων.
Στα αιτήματα αυτά (για παροχή γνώμης), η Αρχή ανταποκρίνεται κατά κανόνα, παρά το ότι τα αιτήματα υποβάλλονται πολλές φορές βραχυπρόθεσμα. Σε 26 δε περιπτώσεις οι απαντήσεις της εξέλαβαν τον τύπο της γνωμοδότησης Ολομέλειας, αναφέρω κάποιες ενδεικτικά σε τίτλους:
1. Γνωμοδότηση 3/2020 για σχέδιο Προεδρικού Διατάγματος σχετικά με τη χρήση συστημάτων επιτήρησης με τη λήψη ή καταγραφή ήχου ή εικόνας σε δημόσιους χώρους.
2. Γνωμοδότηση 4/2024 για το σύστημα επιτήρησης για την αποτροπή και καταστολή αξιόποινων πράξεων και τη διαχείριση της κυκλοφορίας για τις ανάγκες της Γ.Α.Δ.Α..
3. Γνωμοδότηση 1/2024 επί του προβλεπόμενου στο άρθρο 107 παρ. 6 του ν. 4727/2020 Προεδρικού Διατάγματος που αφορά τον Προσωπικό Αριθμό.
4. Γνωμοδότηση 1/2025 για την αναγραφή του Προσωπικού Αριθμού στο Δελτίο Ταυτότητας.
Θα ήθελα, σε αυτό το σημείο, να τονίσω ότι η Αρχή δεν είναι ανασχετικός παράγοντας για την πρόοδο, όπως υποστηρίζεται κατά καιρούς αδικαιολόγητα και από κάποιους σχεδόν εμμονικά.
Σε ένα κράτος δικαίου κάθε επεξεργασία προσωπικών δεδομένων πρέπει να γίνεται για συγκεκριμένο σκοπό που προβλέπεται σε νόμο. Δεν αποτελεί αυτή η παραδοχή μόνο την άποψη της Αρχής ή την άποψη των ομόλογων εποπτικών αρχών, αλλά και τη σταθερή νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης και του Ευρωπαϊκού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων. Αυτό που γενικά απαιτείται είναι νηφάλιες σταθμίσεις και κατάλληλες διασφαλίσεις βάσει κινδύνου.
Με την Απόφαση 9/2023 η Αρχή αποφάσισε την έκδοση των Κατευθυντήριων Γραμμών 1/2023 για την επεξεργασία προσωπικών δεδομένων με σκοπό την επικοινωνία πολιτικού χαρακτήρα.
Κατά την περίοδο της πανδημίας, κατά την οποία ανέκυψε ανάγκη να επιβληθούν μέτρα περιοριστικά της ιδιωτικότητας και των προσωπικών δεδομένων, αποδείχθηκε, με βάση τις
αποφάσεις της Αρχής αλλά και των δικαστηρίων, ότι σε έκτακτες συνθήκες, όταν χρειάζεται να λαμβάνονται μέτρα, ο GDPR δεν αποτελεί εμπόδιο για την έκδοσή τους.
Οι φορείς χρειάζεται να σχεδιάζουν έγκαιρα και επίσης έγκαιρα να συμβουλεύονται την Αρχή για θέματα που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Οι φορείς έχουν τους δικούς τους Υπευθύνους προστασίας δεδομένων, έχουν τη δυνατότητα να διαβουλευτούν με την Αρχή όταν σχεδιάζουν τα μέτρα τους.
Εάν ρωτήσετε λοιπόν κάποιο υπουργείο που έκανε διαβούλευση με την Αρχή για θέματα κατά πόσον βρέθηκε ή όχι τελικά λύση για κάποια θέματα θα σας απαντήσουν σαφώς το πρώτο.
Η Αρχή δεν κάνει πολιτική, αλλά βοηθάει ώστε οι πολιτικές να είναι συμβατές με το θεσμικό πλαίσιο.
Με την ευκαιρία, θα ήθελα να αναφέρω εδώ ότι σχεδιάζουμε την έκδοση εγχειριδίου καλής νομοθέτησης (συμβατής δηλαδή με την προστασία των προσωπικών δεδομένων).
Η Αρχή καταβάλλει συστηματικές προσπάθειες για την ενημέρωση – ευαισθητοποίηση σχετικά με την προστασία των προσωπικών δεδομένων και την παροχή κατάλληλων εργαλείων για τη διευκόλυνση της τήρησης των κανόνων προστασίας.
Τον Ιανουάριο του 2021, στο πλαίσιο της διαδικασίας του ψηφιακού μετασχηματισμού των υποδομών της, τέθηκε σε παραγωγική λειτουργία
το νέο portal της Αρχής με ειδικό περιεχόμενο για υπεύθυνους επεξεργασίας και υποκείμενα δεδομένων και το ίδιο χρονικό διάστημα ολοκληρώθηκε η αναβάθμιση του Ολοκληρωμένου Πληροφοριακού Συστήματος με νέες ηλεκτρονικές υπηρεσίες καθώς και το νέο Microsite για παιδιά.
Το 2024 έγινε η πιο πρόσφατη επέκταση του ολοκληρωμένου πληροφοριακού συστήματος της Αρχής με υποσυστήματα και εφαρμογές σχετικά με τη διαχείριση περιστατικών παραβίασης δεδομένων, την υποβοήθηση των υποκειμένων των δεδομένων στην άσκηση των δικαιωμάτων τους, καθώς και κατά την υποβολή καταγγελίας και με τη διαχείριση ελέγχων.
Στο πλαίσιο της συνεχούς υποστήριξης των υποκειμένων δεδομένων, υπευθύνων επεξεργασίας αλλά και των επαγγελματιών της προστασίας δεδομένων, η Αρχή εγκαινίασε πρόσφατα (Μάρτιος 2025) τον ενιαίο χώρο των νέων ψηφιακών της εργαλείων, τα οποία είναι πλέον διαθέσιμα στην ιστοσελίδα της (https://www.dpa.gr/online-toolkits). Τα ψηφιακά αυτά εργαλεία αποσκοπούν στην ενίσχυση της ενημέρωσης, καθοδήγησης και διευκόλυνσης όλων των ενδιαφερομένων:
- Ψηφιακοί Βοηθοί για την Υποβολή Καταγγελίας, για την Άσκηση Δικαιωμάτων, για την Αξιολόγηση Περιστατικού Παραβίασης.
- Ο βραβευμένος από τη Global Privacy Assembly (2023) Ψηφιακός Βοηθός Συμμόρφωσης ΜμΕ και η Βασική Καθοδήγηση και Επεξήγηση Θεμάτων Προστασίας Δεδομένων, στο πλαίσιο του έργου byDesign.
- ColLab Χώρος DPO & Επαγγελματιών Προστασίας Δεδομένων [Ηλεκτρονική πλατφόρμα συνεργασίας και ανταλλαγής απόψεων των επαγγελματιών του χώρου της προστασίας
δεδομένων, υπό την εποπτεία της Αρχής] στο πλαίσιο του έργου byDefault (2022 – 2024).
Aξιοσημείωτο επίσης, στο πλαίσιο του ίδιου έργου, είναι το εκπαιδευτικό πρόγραμμα που αναπτύχθηκε και το οποίο απευθύνεται σε μαθητές της πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης, εξασφαλίζοντας παράλληλα αντίστοιχη εκπαίδευση και υποστήριξη στους εκπαιδευτικούς.
Το εν λόγω πρόγραμμα βασίζεται σε εκπαιδευτικό παιχνίδι («ΤΖΙΜΑΝΙΟUS») επαυξημένης πραγματικότητας.
Για το εν λόγω εκπαιδευτικό υλικό προτείναμε, με το Πανεπιστήμιο Πειραιώς, στον Υπουργό Παιδείας, Θρησκευμάτων και Αθλητισμού, σε συνάντηση στις 10 Δεκεμβρίου 2024, την αξιοποίησή του στην πρωτοβάθμια και δευτεροβάθμια εκπαίδευση.
Ο Υπουργός ανταποκρίθηκε απολύτως υιοθετώντας τις εν λόγω προτάσεις, με σκοπό την ένταξή τους, ήδη από το τρέχον εκπαιδευτικό έτος, είτε στο πλαίσιο του μαθήματος της πληροφορικής είτε άλλου σχετιζόμενου μαθήματος, στα σχολεία, ενώ από το επόμενο εκπαιδευτικό έτος θα αξιοποιηθεί μια εκτενέστερη έκδοση του υλικού.
Η επέκταση της Ψηφιακής Υποδομής της Αρχής συμπληρώθηκε το 2024 με την αναβάθμιση του εργαστηρίου ελέγχων. Επιπλέον, πρόσφατα ολοκληρώθηκαν τα δύο παραδοτέα έργου της Αρχής σχετικά με την ανάπτυξη Προγραμμάτων Σπουδών για την Τεχνητή Νοημοσύνη και τα Προσωπικά Δεδομένα (διευκρινίζω ότι η Αρχή τα είχε προτείνει και το Ευρωπαϊκό Συμβούλιο Προστασίας
Δεδομένων ανέλαβε τη χρηματοδότηση για αυτά, με την υλοποίηση να γίνεται από ειδικούς εξωτερικούς εμπειρογνώμονες).
Η Αρχή σχεδιάζει την αξιοποίηση των παραδοτέων μέσα στο 2025.
Επιδιώκοντας τη διεύρυνση της συνεργασίας με την ερευνητική κοινότητα, η Αρχή θα πραγματοποιήσει, την Τετάρτη 1 Οκτωβρίου 2025, επιστημονική ημερίδα (webinar) με τίτλο «1η Ημέρα Διαλόγου με την Ερευνητική Κοινότητα». Ευελπιστούμε να καθιερωθεί ως ετήσια δράση που φέρνει πιο κοντά την Αρχή και την Ακαδημαϊκή Κοινότητα.
Δεδομένων των σταθερά περιορισμένων οικονομικών πόρων και με σκοπό την ενημέρωση- ευαισθητοποίηση και συγχρόνως την υποστήριξη των υπευθύνων επεξεργασίας και των υποκειμένων δεδομένων η Αρχή αξιοποιεί, κάθε χρηματοδοτική δυνατότητα όπως αυτές που παρέχονται από την Ευρωπαϊκή Επιτροπή μέσω σχετικών προγραμμάτων, είτε απευθείας, είτε μέσω
εθνικών δράσεων.
Η Αρχή ασχολείται με δύο ακόμη έργα που χρηματοδοτούνται από την Ευρωπαϊκή Επιτροπή.
Συγκεκριμένα:
Έργο byRisk (ξεκίνησε την 1η Δεκεμβρίου 2024). Με το έργο αυτό, επιδιώκεται αφενός μεν η διευκόλυνση των μικρομεσαίων επιχειρήσεων στην ορθή ανίχνευση και αποτίμηση κινδύνων για τα θεμελιώδη δικαιώματα και ελευθερίες οι οποίοι απορρέουν από την επεξεργασία προσωπικών δεδομένων, αφετέρου, η παροχή κατάλληλης πληροφόρησης στο ευρύ κοινό – επιχειρήσεις, πολίτες
– αναφορικά με τους κινδύνους αυτούς και την αναγνώρισή τους.
Έργο XTRUST-6G (2025): Στο εν λόγω έργο, του οποίου συντονιστής είναι το Εθνικό Κέντρο Έρευνας και Τεχνολογικής Ανάπτυξης, μετέχουν, πέραν της Αρχής, άλλα 18 μέλη από την Ευρώπη. Το έργο στοχεύει στη δημιουργία ενός ισχυρού πλαισίου ασφαλείας για τα οικοσυστήματα 6G, αξιοποιώντας σύγχρονες τεχνολογίες οι οποίες θα αναπτυχθούν με γνώμονα εξ αρχής την προστασία προσωπικών δεδομένων.
Το έργο ξεκίνησε την 1/1/2025. Περαιτέρω, η Αρχή, αναγνωρίζοντας την αξία της συνεργασίας με άλλους φορείς για αποτελεσματικότερη ανταπόκριση στην αποστολή της, προχώρησε τα τελευταία χρόνια στη σύναψη Μνημονίων Συνεργασίας με το Εθνικό Σύστημα Διαπίστευσης, με την Επιτροπή Ανταγωνισμού, το Οικονομικό Πανεπιστήμιο Αθηνών, τη Νομική Σχολή ΕΚΠΑ, την Ιατρική Σχολή του ΕΚΠΑ, το Πάντειο και την Εθνική Αρχή Διαφάνειας. Σταθερά επιδιώκουμε τη σύναψη και άλλων Μνημονίων όπου κρίνεται σκόπιμο για τη διευκόλυνση της συνεργασίας της Αρχής.
TO MΕΛΛΟΝ
Ο Γενικός Κανονισμός Προστασίας Δεδομένων αποτελεί πλέον παγκόσμιο πρότυπο και συγχρόνως βρίσκεται στο επίκεντρο της νέας νομοθεσίας για την ενιαία ψηφιακή αγορά στην Ευρώπη.
Μία σειρά νομοθετημάτων της Ευρωπαϊκής Ένωσης, εντασσόμενα στην ψηφιακή της στρατηγική και τη στρατηγική για τα δεδομένα, άρχισαν να εφαρμόζονται ή επίκειται η εφαρμογή τους, νομοθετήματα που σε μεγαλύτερο ή μικρότερο βαθμό αλληλεπιδρούν με τον Γενικό Κανονισμό και γενικότερα ενέχουν ζητήματα προσωπικών δεδομένων.
Αναφέρομαι ιδίως στον Κανονισμό για τις Ψηφιακές Υπηρεσίες (Digital Services Act, DSA), ο οποίος τέθηκε σε πλήρη εφαρμογή, σε όλες τις χώρες της Ένωσης, στις 17 Φεβρουαρίου. Σημειώνω ότι κατά τον εθνικό εφαρμοστικό νόμο 5099/2024, η Αρχή Προστασίας Δεδομένων αποτελεί μία από τις εθνικές αρμόδιες αρχές με εξουσία επίβλεψης των παρόχων ενδιαμέσων υπηρεσιών ως προς την τήρηση συγκεκριμένων διατάξεων της DSA.
Επιπλέον, ο Κανονισμός για Ψηφιακές Αγορές (Digital Markets Act Regulation (EU) 2022/1925) Κανονισμός (ΕΕ) 2022/1925 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Σεπτεμβρίου 2022) εφαρμόζεται από τον Μάιο 2023. Είναι ένα από τα πρώτα ρυθμιστικά εργαλεία για την ολοκληρωμένη ρύθμιση της ισχύος του gatekeeper/πυλωρού των μεγαλύτερων ψηφιακών εταιρειών.
Σε ισχύ επίσης τέθηκε από τον Ιανουάριο του 2024 ο Κανονισμός για τα Δεδομένα (Data Act), που τίθεται σε εφαρμογή από τις 12 Σεπτεμβρίου 2025 και έχει στόχο την εξάλειψη των φραγμών αναφορικά με ανταλλαγή δεδομένων που παράγονται μέσω της χρήσης συνδεδεμένων προϊόντων ή συναφών υπηρεσιών.
Σε εφαρμογή από τις 24 Σεπτεμβρίου 2023 είναι και ο Κανονισμός για τη Διακυβέρνηση Δεδομένων [Κανονισμός (ΕΕ) 2022/868] Data Governance Act (DGA). Στόχος η ενίσχυση της εμπιστοσύνης στην εθελοντική ανταλλαγή δεδομένων δημόσιων φορέων προς όφελος α) των επιχειρήσεων και β) των πολιτών.
Σημειώνω ότι η ευρωπαϊκή στρατηγική για τα δεδομένα προβλέπει τη δημιουργία ειδικών ανά πεδίο κοινών ευρωπαϊκών χώρων δεδομένων. Τον Απρίλιο του 2024, το Ευρωπαϊκό Κοινοβούλιο ενέκρινε πρόταση για τη δημιουργία ενός Ευρωπαϊκού Χώρου Δεδομένων Υγείας (σε ισχύ από τον Μάρτιο 2025, με έναρξη εφαρμογής τον Μάρτιο 2027), ο οποίος στοχεύει στη βελτίωση της χρήσης των δεδομένων υγείας για την έρευνα, την καινοτομία και την χάραξη πολιτικής.
Τέλος, σημαντικό ορόσημο αποτέλεσε, ο Κανονισμός για την Τεχνητή Νοημοσύνη (ΑΙ Αct) που τέθηκε σε ισχύ στις αρχές Αυγούστου και πρόκειται να τεθεί σε εφαρμογή τον Αύγουστο του 2026.
Στο πλαίσιο της εφαρμογής του σε εθνικό επίπεδο το Νοέμβριο η Αρχή συμπεριελήφθη από το Υπουργείο Ψηφιακής Διακυβέρνησης στον κατάλογο των εθνικών αρχών και φορέων που επιβάλλουν ή εποπτεύουν την τήρηση των ενωσιακών υποχρεώσεων για την προστασία των θεμελιωδών δικαιωμάτων των πολιτών, μεταξύ των οποίων και το δικαίωμα στη μεταχείριση χωρίς
διακρίσεις, όταν χρησιμοποιούν συστήματα ΤΝ υψηλού κινδύνου.
Κανονισμός (ΕΕ) 2022/2065.
Κανονισμός (ΕΕ) 2023/2854.
Κανονισμός (ΕΕ) 2024/1689.
Συμπέρασμα: Στη σύγχρονη παγκοσμιοποιημένη οικονομία δεδομένων υπάρχει, λόγω της αλληλεπίδρασης του Γενικού Κανονισμού με όλα τα παραπάνω νομοθετήματα ανάγκη συνεργασίας με τις αρμόδιες κατά περίπτωση Αρχές τόσο σε εθνικό όσο και σε ενωσιακό επίπεδο.
Στις αρχές Μαΐου σημειώθηκε εξέλιξη για στοχευμένη χαλάρωση κάποιων ρυθμίσεων του Γενικού Κανονισμού με βάση σχετική πρόταση της Ευρωπαϊκής Επιτροπής: Πρόκειται για ειδικότερες ρυθμίσεις που δεν ανατρέπουν τη βάση και το πνεύμα του προστατευτικού καθεστώτος που έχει εισαχθεί με τον ΓΚΠΔ.
Στις 21 Μαΐου το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων έλαβε αίτημα για κοινή γνώμη EDPB-EDPS [με deadline τις 16/7] σχετικά με την πρόταση τροποποίησης του ΓΚΠΔ και «όσον αφορά την επέκταση ορισμένων μετριαστικών μέτρων που είναι διαθέσιμα για τις μικρομεσαίες επιχειρήσεις (SMEs) στις μικρές επιχειρήσεις μεσαίας κεφαλαιοποίησης (Small Mid-Caps) και
περαιτέρω μέτρα απλοποίησης».
Σύμφωνα με την πρόταση, δημιουργείται μία νέα κατηγορία εταιρειών, οι μικρές επιχειρήσεις μεσαίας κεφαλαιοποίησης (Small Mid-Caps), δηλαδή οι εταιρείες με λιγότερους από 750 εργαζομένους· και είτε με κύκλο εργασιών έως 150 εκατ. ευρώ είτε με συνολικό ενεργητικό έως 129 εκατ. Ευρώ, και επεκτείνεται σε αυτές η απαλλαγή από την τήρηση αρχείου δραστηριοτήτων που προβλέπεται στο άρθρο 30 παρ. 5 του ΓΚΠΔ για τις μικρομεσαίες επιχειρήσεις, αλλά μόνο σε σχέση με δραστηριότητες χωρίς υψηλό κίνδυνο.
Ειδική αναφορά στις ανάγκες της νέας αυτής κατηγορίας εταιρειών γίνεται σε δύο ακόμη διατάξεις (άρθρο 40 παρ. 1 και άρθρο 42 παρ. 1), σε σχέση με κώδικες δεοντολογίας και πιστοποίηση αντίστοιχα.
Κλείνοντας, θα ήθελα να αναφερθώ συνοπτικά στα σοβαρά προβλήματα που αντιμετωπίζει η Αρχή, ορισμένα από τα οποία επιμένουν από την ίδρυσή της. Σε αυτά περιλαμβάνονται η επιτακτική ανάγκη ενίσχυσης του ανθρώπινου δυναμικού και των πόρων της Αρχής, η σχετιζόμενη με την ανάγκη αυτή εξαίρεση της Αρχής από τις χρονοβόρες διαδικασίες ΑΣΕΠ και η θεσμική ενίσχυση της Αρχής με τροποποίηση διατάξεων του ν. 4624/2019, για την οποία έχει υποβληθεί από καιρό σχετική πρόταση στο Υπουργείο Δικαιοσύνης με σχέδια σχετικών διατάξεων.
Τα δύο τελευταία χρόνια αντιμετωπίζει επιπλέον το σοβαρότατο πρόβλημα της στέγασης.
Ως προς το προσωπικό, δυστυχώς ουδέποτε εναρμονίστηκε η στελέχωση της Αρχής με το ευρύ σύνολο αρμοδιοτήτων της που απορρέει από την ευρωπαϊκή και εθνική νομοθεσία και τον όγκο εργασιών που αυτές συνεπάγονται.
Η αρνητική επίπτωση της υποστελέχωσης, σε συνδυασμό με τον χαμηλό προϋπολογισμό της Αρχής, είναι μεγαλύτερη στην ανάπτυξη του προληπτικού έργου, όπως συστηματική πραγματοποίηση ελέγχων αλλά και την ενημέρωση-ευαισθητοποίηση υποκειμένων των δεδομένων, υπευθύνων και εκτελούντων την επεξεργασία.
Όπως καταλαβαίνετε, η Αρχή όφειλε να ανταποκριθεί στις υποχρεώσεις της εξαιρετικά αποδυναμωμένη από άποψη προσωπικού και υποδομών. Χάρις όμως στην ένταση των προσπαθειών του προσωπικού της, τόσο του επιστημονικού όσο και του διοικητικού καθώς και της αξιοποίησης χρηματοδότησης από προγράμματα της ΕΕ, η Αρχή βελτίωσε περαιτέρω την αποτελεσματικότητά της και τις υποδομές της.
Η τρέχουσα ενεργός δύναμη του προσωπικού της Γραμματείας της Αρχής ανέρχεται σε περίπου 50,9 από τις 91 προβλεπόμενες πλέον οργανικές θέσεις στον νέο Οργανισμό της Αρχής. Η στελέχωση της Αρχής υπολείπεται σημαντικά αυτής ομόλογων εποπτικών αρχών άλλων κρατών μελών.
Εν κατακλείδι, η Αρχή παραμένει σοβαρά υποστελεχωμένη ενώ υπάρχει μεγάλη ανάγκη για αύξηση. Και θα πρόσθετα ότι τόσο το Δημόσιο αλλά και ο Ιδιωτικός Τομέας θα ωφελούνταν από τη μεγαλύτερη συμβολή της Αρχής.
Επίλογος
Από τη δεκαετία του 1970 εμφανίστηκαν στη νομοθεσία ευρωπαϊκών χωρών ειδικές ρυθμίσεις για την προστασία των προσωπικών δεδομένων. Στην Ευρωπαϊκή Ένωση θεσπίστηκε ειδικό νομοθετικό πλαίσιο αρχικά με την Οδηγία 95/46 και ακολούθως με τον Γενικό Κανονισμό.
Και στα δύο αυτά ενωσιακά νομοθετήματα λαμβάνεται πρόνοια για τη διασφάλιση της ανεξαρτησίας των εθνικών εποπτικών Αρχών και τον εξοπλισμό τους με τα αναγκαία μέσα για την αποτελεσματική λειτουργία τους που αποτελεί και παράγοντα σχετιζόμενο με την ανεξαρτησία τους.
Η μέριμνα αυτή αποτυπώνεται ανάγλυφα στις διατάξεις του άρθρου 52 του Κανονισμού, σύμφωνα με τις οποίες απαιτείται να εξασφαλίζονται οι προϋποθέσεις ανεξαρτησίας των μελών της αρμόδιας εποπτικής
Αρχής κάθε χώρας και να διασφαλίζεται από το Κράτος ότι η εποπτική Αρχή αφενός επιλέγει δικούς της υπαλλήλους οι οποίοι διοικούνται αποκλειστικά από την ίδια και αφετέρου διαθέτει τους απαραίτητους ανθρώπινους, τεχνικούς και οικονομικούς πόρους και τις αναγκαίες εγκαταστάσεις και υποδομές για την αποτελεσματική εκτέλεση των καθηκόντων της, υπόκειται δε σε οικονομικό
έλεγχο κατά τρόπο που δεν επηρεάζει την ανεξαρτησία της.
Δύο είναι τα ζητούμενα προκειμένου οι ανεξάρτητες Αρχές, και ειδικότερα η Αρχή Προστασίας Δεδομένων για την οποία μιλάω σε αυτή τη συνάντηση, να επιτελέσουν το ρόλο που τους έχει ανατεθεί. Κατοχύρωση της ανεξαρτησίας της Αρχής και εξασφάλιση των αναγκαίων μέσων για την αποτελεσματική λειτουργία της.
Κατά την αναθεώρηση του 2001 ο συνταγματικός νομοθέτης κατοχύρωσε θεσμικά την ανάδειξη των μελών από κοινοβουλευτικό όργανο, τη Διάσκεψη των Προέδρων, με την ιδιαίτερα αυξημένη πλειοψηφία των 4/5 ώστε οι οριζόμενοι να τυγχάνουν ευρύτερης αποδοχής.
Μάλιστα η συνταγματική διάταξη προέβλεπε ρητά ότι πρέπει κατά πρώτον να επιδιώκεται ομοφωνία. Η εφαρμογή της διάταξης αυτής είχε ως αποτέλεσμα να επιλεγούν πρόσωπα με γενικότερη αποδοχή και να μη γεννηθούν σοβαρές αμφισβητήσεις παρά το γεγονός ότι η ελληνική κοινωνία είναι, μάλλον δικαίως, καχύποπτη σε επιλογές προσώπων που γίνονται από πολιτικά όργανα. Το πολιτικό σύστημα δεν άντεξε για πολύ τις συναινετικές διαδικασίες και για μεγάλα χρονικά διαστήματα και για πολλές ανεξάρτητες αρχές, δεν ήταν δυνατόν να συγκεντρωθεί αυτή η πλειοψηφία.
Έτσι στην αναθεώρηση του 2019 η πλειοψηφία μειώθηκε στα 3/5. Είναι κατά τη γνώμη μου μία μεταβολή επί τα χείρω, η οποία αποτελεί ομολογία αποτυχίας του πολιτικού συστήματος να εφαρμόσει μία διάταξη η οποία είχε θεωρηθεί εξαιρετικά θετική και η οποία συνέβαλε στο κύρος των ανεξάρτητων αρχών.
Πρέπει να σημειώσω ότι η διαφορά μεταξύ 4/5 και 3/5 δεν είναι μόνο ποσοτική αλλά και ποιοτική διότι για τον σχηματισμό της πλειοψηφίας των 4/5 αφενός ήταν σχεδόν πάντα αναγκαία η συμφωνία του πλειοψηφούντος στη Βουλή κόμματος με την αξιωματική αντιπολίτευση και αφετέρου διότι θα ήταν δύσκολο να επιτευχθεί η αυξημένη αυτή πλειοψηφία με αυξομείωση της
σύνθεσης της Διάσκεψης των Προέδρων.
Ως προς το προσωπικό οι αριθμοί έχουν ως εξής: 39 (2016), 35 (2017), 33 (2018), 33 (2019), 46 (2020), 43 (2021), 45 (2022), 45 (2023), 45 (2024), 46 (2025).
Πρέπει όμως να πω ότι, αντίθετα προς την άποψη που έχει επικρατήσει, δεν θεωρώ ότι το όργανο επιλογής των μελών των ανεξάρτητων αρχών αποτελεί τη βασική προϋπόθεση της ανεξαρτησίας κατά τη λειτουργία τους.
Είναι ενδεικτικό το γεγονός ο ΓΚΠΔ, οποίος δίνει ιδιαίτερη σημασία στην ανεξαρτησία των εποπτικών αρχών προστασίας δεδομένων και περιέχει συγκεκριμένες διατάξεις για τη διασφάλιση της ανεξαρτησίας κατά τη λειτουργία τους, όπως το άρθρο 52 που ανέφερα ήδη, ως προς τον ορισμό των μελών προβλέπει ότι μπορούν να ορίζονται από το κοινοβούλιο, ή από την κυβέρνηση, ή από τον αρχηγό του κράτους ή από ανεξάρτητο φορέα, σε κάθε περίπτωση όμως με διαφανή διαδικασία.
Στον εθνικό νομοθέτη παρέχεται η ευχέρεια να καθορίσει το αρμόδιο όργανο για τον ορισμό των μελών της ανεξάρτητης Αρχής και με βάση την ευχέρεια αυτή στις χώρες της Ευρωπαϊκής Ένωσης έχουν χρησιμοποιηθεί και οι τέσσερις προβλεπόμενοι τρόποι.
Σημαντικό στοιχείο κατά τη γνώμη μου είναι η διαφάνεια της διαδικασίας, η επιλογή προσώπων κύρους και γενικότερης αποδοχής οποιοδήποτε και αν είναι το επιλέγον όργανο και βεβαίως ο
τρόπος που ασκούν τα καθήκοντά τους τα επιλεγόμενα πρόσωπα.
Η αλήθεια είναι ότι στην Ελλάδα η ενίσχυση των ανεξάρτητων αρχών και η μέριμνα για την αποτελεσματική λειτουργία τους δεν αποτελεί προτεραιότητα των κυβερνήσεων. Όπως συνηθίζει να λέει ο καθηγητής Σπύρος Βλαχόπουλος που είναι μέλος της Αρχής μας, τα κόμματα αγαπούν τις ανεξάρτητες αρχές όταν είναι στην αντιπολίτευση και τις αμφισβητούν όταν είναι στην κυβέρνηση.
Κάποιες φορές μάλιστα, προσθέτω εγώ, η αμφισβήτηση εκφράζεται με δηλώσεις οι οποίες δίνουν την εντύπωση πιέσεων ή απειλών που υπονομεύουν το κύρος και την αξιοπιστία τους.
Φαίνεται ότι στην Ελλάδα δεν έχει εμπεδωθεί στη συνείδηση του πολιτικού συστήματος ότι στην ώριμη δημοκρατία αντίβαρα της εξουσίας δεν είναι μόνο τα δικαστήρια, αλλά και οι ανεξάρτητες αρχές, τουλάχιστον οι συνταγματικά προβλεπόμενες, στο πλαίσιο αρμοδιότητας καθεμίας.
Για να μη δημιουργηθούν όμως εσφαλμένες εντυπώσεις ως προς την Αρχή Προστασίας Δεδομένων, θεωρώ αναγκαίο να διευκρινίσω ότι στο χρονικό διάστημα της θητείας μου η Αρχή επιτέλεσε το έργο της χωρίς επηρεασμούς από παρεμβάσεις οποιουδήποτε, ακόμη και σε υποθέσεις με ευρύτερο ενδιαφέρον που υπήρξαν αντικείμενο κομματικής αντιπαράθεσης.
Όπως φάνηκε και στη διαφάνεια που προβλήθηκε προηγουμένως, έχουν επιβληθεί πρόστιμα και υποχρεώσεις και σε φορείς του Δημόσιου τομέα, ακόμη και σε Υπουργεία, καθώς και σε πολιτικό κόμμα.
Είναι μεγάλες οι προσδοκίες της κοινωνίας και των πολιτών από την Αρχή Προστασίας Δεδομένων και αυτή έχει χρέος να ανταποκριθεί στις προσδοκίες τους. Για τον σκοπό αυτόν επαναλαμβάνω ότι τα αρμόδια όργανα της Πολιτείας πρέπει να αναλάβουν τις αναγκαίες πρωτοβουλίες που ανήκουν στην αρμοδιότητά τους για να της δώσουν τα αναγκαία μέσα.
Σας ευχαριστώ.
