Article: GDPR – First fine issued by the Greek Data Protection Authority

Article edited by Simeon Kretsis

The Data Protection Authority in Greece, by its decision, published on July 30, 2019, imposed a fine of EUR 150,000 to a company for failing to comply with the provisions of the General Data Protection Regulation (GDPR).

Below you may find the full article in Greek.

Άρθρο του Συμεών Κρέτση

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με απόφασή της η οποία δημοσιεύθηκε στις 30 Ιουλίου 2019, επέβαλε σε επιχείρηση πρόστιμο συνολικού ύψους 150.000 ευρώ για παράβαση των διατάξεων του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR).

Η συγκεκριμένη απόφαση αποτελεί την πρώτη στην Ελλάδα η οποία επιβάλει πρόστιμο με βάση το νέο κανονιστικό πλαίσιο επιβολής διοικητικών προστίμων του GDPR, που έχει τεθεί σε εφαρμογή ήδη από 25 Μαΐου 2018. Το ανώτατο όριο των διοικητικών προστίμων που μπορεί να επιβληθεί σε περιπτώσεις μη συμμόρφωσης με τις επιταγές του Κανονισμού μπορεί να ανέλθει στα 20 εκατομμύρια ευρώ ή, σε περίπτωση επιχειρήσεων, στο 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών.

Αξίζει να σημειωθεί ότι αυτή η απόφαση της Αρχής έρχεται να προστεθεί σε μία σειρά αποφάσεων ευρωπαϊκών διοικητικών Αρχών προστασίας προσωπικών δεδομένων, οι οποίες έχουν επιβάλει βαρύτατα πρόστιμα για παραβίαση των διατάξεων του Γενικού Κανονισμού και συνιστά σημαντικό βήμα προς την ομοιόμορφη εφαρμογή του νέου πλαισίου σε ευρωπαϊκό επίπεδο.

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην απόφασή της:

– υπογραμμίζει τη σημασία επιλογής της κατάλληλης νομικής βάσης για την επεξεργασία προσωπικών δεδομένων, κρίνοντας παράνομη την επεξεργασία, η οποία στηρίζεται σε ακατάλληλη νομική βάση.
– αναδεικνύει ως εξαιρετικής σημασίας την παροχή κατάλληλης και διαφανούς ενημέρωσης από τον υπεύθυνο επεξεργασίας προς τα φυσικά πρόσωπα, με περιεχόμενο που οφείλει να πληροί τις επιταγές του Κανονισμού επιτρέποντας την αποτελεσματική άσκηση των δικαιωμάτων τους.
– επισημαίνει ότι η αδυναμία του υπευθύνου επεξεργασίας να τηρήσει και να είναι σε θέση να αποδείξει, ως έχει ευθύνη, τη συμμόρφωσή του με τις αρχές επεξεργασίας που προβλέπονται από τον Γενικό Κανονισμό,συνιστά παράβαση της αρχής της λογοδοσίας.

Καθίσταται πλέον σαφές ότι η άτυπη περίοδος χάριτος που μεσολάβησε, ως μεταβατικό στάδιο για τη συμμόρφωση με τον GDPR, αποτελεί παρελθόν. Η ελληνική Αρχή αυστηροποιεί τη στάση της και δίνει μεγάλη σημασία στη λεπτομέρεια και στην ουσιαστική συμμόρφωση. Εντείνει τους διενεργούμενους ελέγχους, αξιοποιώντας όλα τα διαθέσιμα μέσα και εργαλεία όπως οι απομακρυσμένοι έλεγχοι, και επιβάλλει σημαντικά υψηλότερα πρόστιμα σε περίπτωση διαπίστωσης παραβιάσεων. 

Η κατανόηση σε βάθος του συνόλου των υποχρεώσεων και της ευθύνης, η πλήρης συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) και γενικά με το ισχύον νομοθετικό και κανονιστικό πλαίσιο, αλλά και η διαρκής επαγρύπνηση για τη διατήρηση υψηλού επιπέδου συμμόρφωσης, αποτελούν μονόδρομο πλέον για τις επιχειρήσεις, μικρές και μεγάλες, αλλά και τα φυσικά πρόσωπα που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα.

Το άρθρο δημοσιεύτηκε στο capital.gr