Ωστόσο, όπως τονίζει και σχετική γνωμοδότηση της ΑΠΔΠΧ (υπ’ αριθμ. 1/2020), ο εθνικός νόμος περιλαμβάνει διατάξεις αμφίβολης συμβατότητας προς τον GDPR ή διατάξεις που χρειάζονται ερμηνεία, και επιφυλάσσεται για την εφαρμογή τους. Χαρακτηριστικά αναφέρονται η ελλιπής εξειδίκευση της νόμιμης επεξεργασίας ειδικών κατηγοριών προσωπικών δεδομένων, των προσωπικών δεδομένων των εργαζόμενων, αλλά και η εισαγωγή ευρειών εξαιρέσεων στην ικανοποίηση δικαιωμάτων πολιτών.
Πρώτη αξιολόγηση του GDPR
Τον Ιούνιο του 2020 η Ευρωπαϊκή Επιτροπή δημοσίευσε την πρώτη έκθεση αξιολόγησης του GDPR. Η γενική εκτίμηση είναι ότι ο Κανονισμός εκπλήρωσε επιτυχώς τους δύο κύριους στόχους του, δηλαδή την ενίσχυση της προστασίας προσωπικών δεδομένων και τη διασφάλιση της ελεύθερης ροής τους εντός της ΕΕ. Από τον Μάιο 2018 έχουν υποβληθεί στις διάφορες εποπτικές αρχές των κρατών μελών της ΕΕ περισσότερες από 275.000 καταγγελίες για παραβιάσεις προσωπικών δεδομένων, ενώ εκτιμάται ότι το 69% των πολιτών της ΕΕ άνω των 16 ετών έχουν ακούσει για τον GDPR (Δ6). Σημαντική παρακαταθήκη για τη συνεκτική κατανόηση και εφαρμογή των νέων κανόνων αποτελεί και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) που εκδίδει κατευθυντήριες γραμμές για την παροχή διευκρινίσεων σε καίρια θέματα του GDPR (Δ7).
Όμως, όπως υπογραμμίζει και η Ευρωπαϊκή Επιτροπή, παραμένουν ζητούμενα η πλήρης εναρμόνιση των εθνικών νομοθεσιών στον GDPR, η αποτροπή εθνικών υπερβάσεων (gold plating) και η ενίσχυση του συστήματος επιτήρησης της εφαρμογής και επιβολής του GDPR με αναβαθμισμένη συνεργασία των εθνικών εποπτικών αρχών και επαρκή χρηματοδότησή τους. Άλλες προκλήσεις μετά από αυτή την πρώτη περίοδο εφαρμογής περιλαμβάνουν την υποστήριξη πολιτών και επιχειρήσεων στην εφαρμογή του GDPR από ΕΕ και εθνικές εποπτικές αρχές με την παροχή πρακτικών και εύκολα κατανοητών οδηγιών και εργαλείων, τη συνεχή επιτήρηση από την ΕΕ της εφαρμογής του GDPR σε νέες τεχνολογίες (όπως AI και Blockchain) και την επέκταση των συμφωνιών της ΕΕ με τρίτες χώρες.
Οι προκλήσεις που έρχονται σε ευρωπαϊκό επίπεδο
Η επόμενη σημαντική εξέλιξη στο πεδίο της προστασίας των προσωπικών δεδομένων και της ιδιωτικότητας στην Ευρώπη αναμένεται να είναι η υιοθέτηση ενός νέου Κανονισμού e-Privacy που θα αντικαταστήσει την Οδηγία 2002/58/ΕΚ για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες. Επίσης, επιδιώκεται η αξιοποίηση των διαρκώς αυξανόμενων δεδομένων ως πηγή καινοτομίας και μοχλός ανάπτυξης. Σε αυτή την κατεύθυνση, η ΕΕ υιοθέτησε στις αρχές του 2020 την Ευρωπαϊκή Στρατηγική για τα Δεδομένα, για τη δημιουργία μιας ενιαίας ευρωπαϊκής αγοράς δεδομένων με ομοιόμορφους κανόνες και κοινούς χώρους δεδομένων σε στρατηγικούς τομείς, όπως η μεταποίηση, η υγεία και η ενέργεια.
Προτάσεις του ΣΕΒ για την επόμενη μέρα του GDPR
Για την εθνική νομοθεσία
1. Αποσαφήνιση καίριων ζητημάτων εφαρμογής, όπως: σαφέστερο πλαίσιο επεξεργασίας προσωπικών δεδομένων στις εργασιακές σχέσεις, προστασίας των δεδομένων ανηλίκων, προϋποθέσεων επιβολής κυρώσεων.
2. Διευθέτηση των αποκλίσεων εντός τους πλαισίου του GDPR και εξειδίκευση των απαιτήσεων εφαρμογής τους (π.χ. ειδικές κατηγορίες προσωπικών δεδομένων).
3. Συνεκτίμηση των αξιολογήσεων της ΑΠΔΠΧ και της Ευρωπαϊκής Επιτροπής και διεξαγωγή δημοσίου διαλόγου με τη συμμετοχή των επιχειρήσεων.
Για την Εποπτική Αρχή
4. Εντατικοποίηση των συστάσεων και κατευθυντήριων γραμμών σε ζητήματα εφαρμογής των κανόνων προστασίας προσωπικών δεδομένων, και αξιοποίηση διεθνών καλών πρακτικών.
5. Εμπέδωση του πρωταρχικού ρόλου της ΑΠΔΠΧ έναντι της δημόσιας διοίκησης, πολιτών και επιχειρήσεων στην αξιολόγηση και εφαρμογή των κανόνων για τα προσωπικά δεδομένα.
6. Πλήρης ενεργοποίηση της εργαλειοθήκης του GDPR με εγκεκριμένους κώδικες δεοντολογίας και ολοκλήρωση των συμπληρωματικών απαιτήσεων διαπίστευσης φορέων πιστοποίησης συμμόρφωσης.
7. Επαρκής στελέχωση και χρηματοδότηση της ΑΠΔΠΧ.
Για το ευρωπαϊκό πλαίσιο
8. Παρακολούθηση ρυθμιστικών εξελίξεων και του έργου των εποπτικών αρχών στα κράτη-μέλη για την ενιαία ερμηνεία και εφαρμογή των κανόνων του GDPR.
9. Εναρμόνιση νεότερων ρυθμιστικών πρωτοβουλιών της ΕΕ για τη διαχείριση των δεδομένων στο πλαίσιο του GDPR.
10. Πρακτική καθοδήγηση για την ενιαία εφαρμογή του GDPR με έμφαση στην προσαρμογή τους στις απαιτήσεις των νέων τεχνολογιών και διαμόρφωση εργαλείων-προτύπων για την υποστήριξη της συμμόρφωσης τους.
Για τις επιχειρήσεις
11. Διαρκής ενημέρωση για τις υποχρεώσεις τους και αποτελεσματικοί μηχανισμοί διακυβέρνησης για την τήρηση των κανόνων συμμόρφωσης.
12. Επικαιροποίηση πολιτικών προστασίας των προσωπικών δεδομένων και σχετικών ενημερώσεων και διατήρηση λειτουργικών, και φιλικών προς τον χρήστη εργαλείων άσκησης δικαιωμάτων.
13. Επιλογή συνεργατών με διαπιστωμένες επαρκείς εγγυήσεις συμμόρφωσης και ακριβής χαρακτηρισμός των GDPR ρόλων σε κάθε σχέση συνεργασίας.
14. Επανεξέταση συμβατότητας των πολιτικών και εργαλείων συμμόρφωσης υπό το πρίσμα των ρυθμιστικών εξελίξεων ως προς την επεξεργασία προσωπικών δεδομένων των εργαζομένων.
15. Πλήρης προσαρμογή των ψηφιακών δραστηριοτήτων και εργαλείων (ιστοσελίδες, mobile εφαρμογές, κλπ.).
Για τους πολίτες / καταναλωτές
16. Μεγαλύτερη εξοικείωση με τα δικαιώματά τους και τους τρόπους αποτελεσματικής περιγραφής και άσκησης αιτημάτων τους.
17. Διεκδίκηση πληρέστερης ενημέρωσης για τις συνέπειες της επεξεργασίας των προσωπικών τους δεδομένων και τα δικαιώματά τους. Ενίσχυση εκπαιδευτικών δράσεων και προγραμμάτων ενημέρωσης εποπτικής Αρχής και δημόσιας διοίκησης με τη συμβολή των επιχειρήσεων.