Από τον Μάιο του 2018 που τέθηκε σε εφαρμογή ο Κανονισμός Προστασίας Προσωπικών Δεδομένων μέχρι και τον Ιανουάριο του 2020 κοινοποιήθηκαν στις αρχές προστασίας προσωπικών δεδομένων στην Ευρώπη συνολικά 160.921 παραβιάσεις και επιβλήθηκαν πρόστιμα 114 εκατ. ευρώ.
Σύμφωνα με την έρευνα Data Breach Survey της DLA Piper κάθε μέρα στις χώρες του ΕΟΧ* οι Αρχές που είναι επιφορτισμένες με την προστασία των πληροφοριών προσωπικού χαρακτήρα δέχονται 247 κοινοποιήσεις υποθέσεων με παραβιάσεις δεδομένων.
Οι Κάτω Χώρες, η Γερμανία και το Ηνωμένο Βασίλειο είχαν την αρνητική πρωτιά στις παραβιάσεις δεδομένων τους τελευταίους 20 μήνες με 40.647, 37.636 και 22.181 επιθέσεις να καταγράφονται αντίστοιχα.
Οι ίδιες χώρες είχαν επίσης αυξημένο αριθμό παραβιάσεων σε σχέση με τον προηγούμενο χρόνο. Στον αντίποδα πολύ λίγες παραβιάσεις καταγράφονται στη Λετονία (173), την Κύπρο (94) και το Λίχτενσταϊν (30).
Η Ελλάδα είναι στην 22η θέση της λίστας με τις περισσότερες παραβιάσεις, με την Αρχή να δηλώνει συνολικά 232 περιστατικά, εκ των οποίων τα 162 έγιναν τον τελευταίο χρόνο.
Όταν τα αποτελέσματα σταθμίζονται για να ληφθεί υπόψη ο πληθυσμός των χωρών, οι Κάτω Χώρες διατηρούν και πάλι την πρώτη θέση έχοντας το μεγαλύτερο αριθμό σε παραβιάσεις που κοινοποιήθηκαν ανά 100.000 κατοίκους.
Εν συνεχεία στη δεύτερη και την τρίτη θέση βρίσκουμε την Ιρλανδία και τη Δανία, ενώ το Ηνωμένο Βασίλειο, η Γερμανία και η Γαλλία κατέχουν τη 13η, 11η και 23η θέση αντίστοιχα για ολόκληρη την περίοδο των 20 μηνών.
Τελευταίες στην κατάταξη και άρα με τα λιγότερα περιστατικά που φτάνουν στις Αρχές –στην κλίμακα των 100.000 κατοίκων– είναι η Ιταλία, η Ρουμανία και η Ελλάδα.
698.000 ευρώ τα πρόστιμα της ΑΠΔΠΧ
Στην τελευταία έκθεση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα που αφορά το 2018 και δημοσιεύτηκε στα τέλη του 2019 αναφέρεται ότι σε 25 αποφάσεις της Αρχής επιβάλλονται κυρώσεις σε υπευθύνους επεξεργασίας, σε 12 περιπτώσεις έγιναν προειδοποιήσεις – συστάσεις για συμμόρφωση μετά από καταγγελία και ακρόαση – και σε 13 περιπτώσεις επιβλήθηκε πρόστιμο από 1.000 έως 150.000 ευρώ.
Συνολικά, η αρμόδια αρχή το 2018 «έριξε» πρόστιμα που έφτασαν τις 689.000 ευρώ λόγω παραβίασης των διατάξεων που αναφέρονται: στη μη έγκαιρη υποβολή γνωστοποίησης περιστατικού παραβίασης προσωπικών δεδομένων, τις προϋποθέσεις επεξεργασίας προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών, την υποχρέωση γνωστοποίησης και λήψης άδειας επεξεργασίας ευαίσθητων δεδομένων, την ενημέρωση και το δικαίωμα πρόσβασης και αντίρρησης των υποκειμένων, τη νομιμότητα επεξεργασίας από Δημόσια Αρχή, αλλά και διατάξεων σχετικά με τη χρήση συστημάτων βιντεοεπιτήρησης για την προστασία προσώπων και αγαθών (οδηγία 1122/2000, όπως αντικαταστάθηκε από την οδηγία 1/2011).
Γενικά οι περισσότερες καταγγελίες που γίνονται τόσο στην ελληνική όσο και στις ευρωπαϊκές Αρχές αφορούν τηλεπωλήσεις, προωθητικά emails και παρακολούθηση ατόμων από κάμερες. Στην Ελλάδα μέσα στο 2019 η Αρχή προχώρησε αυτεπάγγελτα στον έλεγχο ιστοσελίδων 65 εταιρειών για να δει κατά πόσο οι διαδικασίες που τηρούνται είναι και αυτές που προβλέπονται.
Διαπίστωσε λοιπόν ότι ενώ υπάρχει ικανοποιητική αναφορά στα δικαιώματα των υποκειμένων, ικανοποιητικό επίπεδο ασφαλείας και υψηλό ποσοστό σε υπευθύνους επεξεργασίας ωστόσο υπάρχουν προβλήματα στα εξής σημεία:
- έλλειψη συμμόρφωσης με τη νομοθεσία για τα cookies και τις συναφείς τεχνολογίες, στο σύνολο σχεδόν των υπευθύνων επεξεργασίας,
- ύπαρξη ελλιπούς ενημέρωσης για τις πράξεις επεξεργασίας στοιχείων και τους αποδέκτες σε ποσοστό 40% των υπευθύνων και
- μεγάλη υστέρηση του Δημοσίου στη διαφάνεια.
Φειδωλά τα πρώτα πρόστιμα στην Ευρώπη
Στα 114 εκατομμύρια ευρώ ανέρχονται τα πρόστιμα που έχουν επιβληθεί σε οργανισμούς από τον Μάιο του 2018. Όπως επισημαίνεται στην έρευνα Data Breach Survey με δεδομένο ότι ο GDPR ορίζει ότι τα πρόστιμα μπορούν να φτάσουν και στο 4% του ετήσιου κύκλου εργασιών, θα έλεγε κανείς ότι τα ποσά που επιβλήθηκαν από τις Αρχές ήταν «φειδωλά». Και αυτό που επισημαίνουν οι συντάκτες της έρευνας είναι ότι η λογική λέει πως από εδώ και πέρα θα δούμε πιο μεγάλα ποσά.
Μέσα στο 2019 η είδηση ότι το Γραφείο του Επιτρόπου Πληροφόρησης του Ηνωμένου Βασιλείου σχεδίαζε να ρίξει πρόστιμα 213 εκατ. ευρώ σε αεροπορικές εταιρείες και 115 εκατ. ευρώ σε εταιρείες του τουριστικού κλάδου έγινε πρωτοσέλιδο σε πολλά έντυπα.
Βασική αιτία για τα εν λόγω πρόστιμα τα οποία δεν έχουν ακόμα οριστικοποιηθεί ήταν ότι είχαν αποτύχει να δημιουργήσουν ασφαλή συστήματα για τους πελάτες τους. Ο ICO (Επίτροπος Πληροφόρησης) του Ηνωμένου Βασιλείου μέχρι τον Ιανουάριο του 2020 επέβαλε μόνο ένα πρόστιμο το οποίο θα μπορούσε να χαρακτηριστεί και μικρό, καθώς ανήλθε σε £275.000. Συνολικά είχαν φτάσει στο γραφείο του 22.181 ειδοποιήσεις παραβίασης προσωπικών δεδομένων.
Βαρύς ο «πέλεκυς» σε Γαλλία, Γερμανία και Αυστρία
Συνολικά το μεγαλύτερο ποσό προστίμων έχουν η Γαλλία, η Γερμανία και η Αυστρία, με ποσά ύψους €51 εκατ., €24,5 εκατ. και €18 εκατ. αντίστοιχα. Ωστόσο τα πρόστιμα δεν είναι η μόνη κύρωση για τους οργανισμούς καθώς υπάρχουν πολλά εργαλεία που οι εθνικές αρχές μπορούν να αξιοποιήσουν όπως η δημοσίευση του ονόματος της εταιρείας στην οποία υπάρχει παραβίαση δεδομένων ή και η ενδεχόμενη ομαδική προσφυγή ζημιωθέντων στη δικαιοσύνη με την αξίωση αποζημίωσης.
Πάντως το μεγαλύτερο πρόστιμο που καταβλήθηκε μέχρι σήμερα φτάνει τα 50 εκατ. και είναι από την γαλλική αρχή προστασίας δεδομένων, CNIL. Η CNIL, τον Γενάρη του 2019 έριξε το εν λόγω πρόστιμο λόγω της έλλειψης διαφάνειας στην ενημέρωση των χρηστών για τα προσωπικά δεδομένα αλλά και το ότι η μηχανή αναζήτησης δεν τηρούσε όσα ορίζονται από τον Κανονισμό Προστασίας Προσωπικών Δεδομένων για τη λήψη της συγκατάθεσης.
Το ζήτημα πήρε μεγάλες διαστάσεις όταν μη κυβερνητικές οργανώσεις κινήθηκαν μαζικά καταγγέλλοντας ότι η Google δεν είναι σύννομη όσον αφορά τα δεδομένα που συλλέγει και επεξεργάζεται για να εξατομικεύσει τη διαδικτυακή εμπειρία των πελατών της.
Θυμίζουμε ότι σχετική κίνηση είχε κάνει και η ΕΚΠΟΙΖΩ τo 2018 στην Ελλάδα, καταγγέλλοντας τη μέθοδο με την οποία η Google παρακολουθεί την τοποθεσία των χρηστών της.
Στις 8 Ιανουαρίου του 2020, 560 οργανώσεις ζήτησαν από την Google να μην επιτρέπεται να εκμεταλλεύονται οι κατασκευαστές τηλεφώνων android καταναλωτές που δεν έχουν την οικονομική δυνατότητα να στραφούν σε iPhone. Και αυτό γιατί υπάρχουν τηλέφωνα με προεγκατεστημένες εφαρμογές που δεν διαγράφονται και δίνουν πρόσβαση στο μικρόφωνο, την τοποθεσία, την κάμερα χωρίς να ζητήσουν την άδεια του χρήστη. 
*Ενιαίος Οικονομικός Χώρος (ΕΟΧ)
