Παρά τις προσδοκίες ότι η εφαρμογή του GDPR θα είχε θετικό αντίκτυπο στην αγορά, ακόμα και τώρα κάποιες επιχειρήσεις εξακολουθούν να μην συμμορφώνονται αδιαφορώντας για τις συνέπειες. Πρόσφατη έρευνα έδειξε ότι από τις 25 Μαΐου 2018 οι τοπικές ρυθμιστικές αρχές των ευρωπαϊκών κρατών έχουν επιβάλει πρόστιμα συνολικού ύψους 114 εκατομμυρίων Ευρώ.
Η έκθεση «DLA Piper GDPR Data Breach Survey 2020» διαπιστώνει επίσης ότι, από τότε που τέθηκε σε ισχύ ο GDPR, έχουν κοινοποιηθεί περισσότερες από 160.000 παραβιάσεις δεδομένων σε όλα τα 28 κράτη μέλη της ΕΕ συμπεριλαμβανομένης της Νορβηγίας, της Ισλανδίας και του Λιχτενστάιν. Ο ημερήσιος αριθμός κοινοποιήσεων παραβίασης αυξήθηκε κατά 12% σε 278 ημερησίως τις πρώτες μέρες του 2020, σε σύγκριση με 247 κατά τους πρώτους οκτώ μήνες από την έναρξη ισχύος του GDPR.
Η Γαλλία κατατάσσεται στην πρώτη θέση σε όλη την Ευρώπη σε ότι αφορά τα πρόστιμα που έχουν επιβάλει οι ρυθμιστικές αρχές χάρη στο πρόστιμο ύψους 51 εκ. Ευρώ που υπεβλήθη στην Google σχετικά με παραβιάσεις της αρχής της διαφάνειας και έλλειψη έγκυρης συναίνεσης.
Οι γερμανικές ρυθμιστικές αρχές έχουν επιβάλει πρόστιμα ύψους 24,5 εκ. Ευρώ, ενώ η Αυστρία βρίσκεται στην τρίτη θέση με € 18 εκ.
Οι Κάτω Χώρες, η Γερμανία και το Ηνωμένο Βασίλειο έχουν σημειώσει τον μεγαλύτερο αριθμό παραβιάσεων δεδομένων που κοινοποιούνται προς τις ρυθμιστικές αρχές, με 40.647, 37.636 και 22.181 αντίστοιχα από τις 25 Μαΐου 2018. Εντωμεταξύ οι Κάτω Χώρες παρουσίασαν τον υψηλότερο αριθμό παραβιάσεων ανά κάτοικο, στις 147,2 ανά 100.000 άτομα.
Από την άλλη, σε ορισμένες περιπτώσεις, τα στατιστικά είναι ιδιαίτερα χαμηλά. Η έκθεση υπογραμμίζει ότι η Ιταλία, η Ρουμανία και η Ελλάδα ανέφεραν τις λιγότερες παραβιάσεις ανά κάτοικο, με την Ιταλία – μια χώρα 62 εκατομμυρίων – να παρουσιάζει μόλις 1.886 περιπτώσεις.
Στην Ελλάδα, ο συνολικός αριθμός παραβιάσεων δεδομένων προσωπικού χαρακτήρα που κοινοποιήθηκαν την περίοδο από 25 Μαΐου 2018 έως 27 Ιανουαρίου 2020 ήταν 232 με το ύψος των προστίμων που επιβλήθηκαν να ανέρχεται σε 550.000 Ευρώ.
Θυμίζουμε ότι σύμφωνα με τις διατάξεις του Γενικού Κανονισμού για την Προστασία Δεδομένων, οι παραβιάσεις των προσωπικών δεδομένων οι οποίες είναι πιθανό να οδηγήσουν σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, πρέπει να κοινοποιούνται στην αρμόδια εποπτική αρχή προστασίας δεδομένων χωρίς αδικαιολόγητη καθυστέρηση και, όπου είναι εφικτό, όχι αργότερα από 72 ώρες από τη στιγμή που εντοπίζεται η παραβίαση. Επίσης, όταν μια παραβίαση προσωπικών δεδομένων ενδέχεται να οδηγήσει σε «υψηλό κίνδυνο» σε ότι αφορά τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, πρέπει επίσης να ενημερώνονται και αυτά χωρίς αδικαιολόγητη καθυστέρηση.
Οι επιχειρήσεις αντιμετωπίζουν αυστηρές κυρώσεις σε περίπτωση μη κοινοποίησης των παραβιάσεων των προσωπικών δεδομένων εντός των καθορισμένων προθεσμιών, συμπεριλαμβανομένων χρηματικών ποινών έως και 10 εκ. Ευρώ, ή 2% του συνολικού κύκλου εργασιών του προηγούμενου οικονομικού έτους (όποιο είναι υψηλότερο).
Σίγουρα, τα πρόστιμα δεν είναι οι μοναδικές επιπτώσεις για τις επιχειρήσεις που δεν πληρούν τις απαιτήσεις του GDPR. Οι εποπτικές αρχές απολαμβάνουν ένα ευρύ φάσμα εξουσιών για την επιβολή άλλων κυρώσεων, συμπεριλαμβανομένης σε ορισμένες χώρες της δυνατότητας δημοσίευσης των στοιχείων του παραβάτη. Υπάρχει επίσης αυξημένος κίνδυνος αξίωσης αποζημιώσεων. Οι εταιρείες χρηματοδότησης δικαστικών υποθέσεων διαθέτουν δισεκατομμύρια ευρώ στη διάθεσή τους και όπου το επιτρέπουν οι τοπικοί κανόνες πολιτικής δικονομίας, επιδεικνύουν όλο και μεγαλύτερη ενεργητικότητα επιδιώκοντας τη μαζική προσφυγή ατόμων στη βάση φερόμενων παραβιάσεων του GDPR.
Διαβάστε εδώ το αναλυτικό μας αφιέρωμα για τον GDPR.
Χρηματικές ποινές που έχουν επιβληθεί στο πλαίσιο της εφαρμογής του GDPR
25 Μαΐου 2018 – 17 Ιανουαρίου 2020
Έρχονται κι άλλα πρόστιμα
Πάντως, οι αναλυτές θεωρούν ότι τα πρόστιμα που έχουν επιβληθεί μέχρι στιγμής είναι αρκετά χαμηλά (ακόμα και στην περίπτωση της Google στη Γαλλία που προαναφέραμε) και ότι το επόμενο διάστημα ενδέχεται να επιβληθούν πολύ περισσότερα εκατομμύρια Ευρώ ιδιαίτερα σε αμερικανικούς κολοσσούς του Internet.
Ακόμα λοιπόν βρισκόμαστε στις πρώτα στάδια της εφαρμογής του GDPR και ο εποπτικές αρχές προσπαθούν να «βρουν το δρόμο τους», εντείνοντας όλο και περισσότερο τους ελέγχους.
Από την άλλη, οι περιπτώσεις παραβίασης των προσωπικών δεδομένων δεν βγαίνουν συχνά στη δημοσιότητα, εκτός κι αν πρόκειται για τρανταχτές υποθέσεις όπως η πρόσφατη υποκλοπή στοιχείων από 15.000 πελάτες ελληνικού on-line ταξιδιωτικού πρακτορείου, που οδήγησε τις τράπεζες σε αντικατάσταση ισάριθμων πιστωτικών και χρεωστικών καρτών. Δεν γνωρίζουμε κατά πόσον η εν λόγω εταιρεία γνωστοποίησε εγκαίρως στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα την παραβίαση ως όφειλε σύμφωνα με τον GDPR. Πάντως, όπως πληροφορούμαστε, οι τέσσερις συστημικές τράπεζες και οι τα δύο μεγάλα σχήματα πληρωμών, Visa και MasterCard έχουν ξεκινήσει έρευνα, προκειμένου να εντοπίσουν πώς έγινε η υποκλοπή και κατά πόσον η συγκεκριμένη επιχείρηση τηρούσε τους προβλεπόμενους κανόνες ασφάλειας που διέπουν τις οικονομικές συναλλαγές με κάρτες.