Μαρία Παναγιώτου: Μετατόπιση ορίων εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων.

Μαρία Παναγιώτου: Μετατόπιση ορίων εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων.

Η συζήτηση γύρω από τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) έχει επανέλθει δυναμικά στο προσκήνιο καθώς η Ευρωπαϊκή Ένωση σχεδιάζει μέσω των προτάσεων της Ευρωπαϊκής Επιτροπής να αναδιαμορφώσει τον τρόπο με τον οποίο εφαρμόζεται στην πράξη.

Το επίσημο Commission Staff Working Document SWD(2025) 836, που συνοδεύει το λεγόμενο Digital Omnibus, αποτυπώνει με σαφήνεια μια νέα κατεύθυνση. Ο GDPR παραμένει θεμέλιο της ευρωπαϊκής έννομης τάξης, αλλά ορισμένα από τα λειτουργικά του όρια επαναπροσδιορίζονται, με στόχο τη μείωση της γραφειοκρατίας, του κόστους συμμόρφωσης και τη διευκόλυνση της ψηφιακής καινοτομίας.

Πότε εφαρμόζεται και πότε όχι ο GDPR:

Ο GDPR εφαρμόζεται αποκλειστικά όταν γίνεται επεξεργασία προσωπικών δεδομένων, δηλαδή πληροφοριών που αφορούν ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Αυτός ο πυρήνας δεν αμφισβητείται. Εκεί όπου η Ευρωπαϊκή Επιτροπή εντοπίζει πρόβλημα είναι στο ασαφές όριο μεταξύ προσωπικών και μη προσωπικών δεδομένων, ιδίως σε σχέση με την ανωνυμοποίηση.

Στο έγγραφο αναγνωρίζεται ρητά ότι η έλλειψη νομικής σαφήνειας γύρω από την ανωνυμοποίηση και την ψευδωνυμοποίηση οδηγεί σε υπερβολική εφαρμογή του GDPR, αυξημένο φόβο κυρώσεων και, τελικά, σε αναστολή χρήσης δεδομένων ακόμη και όταν αυτά θα μπορούσαν να θεωρηθούν μη προσωπικά.
Συνεπώς, η Επιτροπή προτείνει πιο σαφή κριτήρια και εργαλεία τεκμηρίωσης, ώστε οι υπεύθυνοι επεξεργασίας να μπορούν να αποδεικνύουν με μεγαλύτερη ασφάλεια ότι ορισμένα σύνολα δεδομένων δεν συνιστούν πλέον προσωπικά δεδομένα και, άρα, βρίσκονται εκτός πεδίου εφαρμογής του GDPR.

Δεν πρόκειται για αυτόματη εξαίρεση ούτε για χαλάρωση της ευθύνης του υπευθύνου επεξεργασίας. Πρόκειται, όμως, για ουσιαστική μετατόπιση του πραγματικού ορίου εφαρμογής του Κανονισμού.

Λιγότερη ενημέρωση, διαφορετική ισορροπία:

Ένα δεύτερο κομβικό σημείο αφορά τις υποχρεώσεις ενημέρωσης των πολιτών, όπως προβλέπονται στα άρθρα 13 και 14 του GDPR. Η Επιτροπή επισημαίνει ότι, σε πολλές περιπτώσεις, η υποχρέωση εκ των προτέρων ενημέρωσης έχει καταστεί υπερβολικά γραφειοκρατική, δαπανηρή για μικρές επιχειρήσεις και περιορισμένης πρακτικής αξίας για τον πολίτη.

Για χαμηλού κινδύνου επεξεργασίες, όπου υπάρχει στενή και προφανής σχέση μεταξύ πολίτη και υπευθύνου επεξεργασίας, προτείνεται η μείωση της υποχρέωσης αυτής. Η πληροφόρηση δεν καταργείται, αλλά μετατοπίζεται χρονικά, από την αυτόματη και προληπτική ενημέρωση, στην ενεργητική άσκηση του δικαιώματος πρόσβασης από τον ίδιο τον πολίτη εκ των υστέρων.

Η επιλογή αυτή μεταβάλλει την ισορροπία μεταξύ διαφάνειας και λειτουργικότητας και εγείρει εύλογα ερωτήματα για το κατά πόσο ο μέσος πολίτης θα ασκεί πράγματι τα δικαιώματά του χωρίς προληπτική ενημέρωση.

Το ζήτημα του οικονομικού κόστους και η εξέλιξη της τεχνητής νοημοσύνης (AI):

Η Ευρωπαϊκή Επιτροπή είναι απολύτως σαφής ως προς το κίνητρο των προτεινόμενων αλλαγών. Το κόστος συμμόρφωσης με το ισχύον ψηφιακό ρυθμιστικό πλαίσιο θεωρείται σημαντικά υψηλό και κοστοβόρο. Το έγγραφο κάνει λόγο για σημαντικές διοικητικές και οικονομικές επιβαρύνσεις για επιχειρήσεις και δημόσιες αρχές και εκτιμά ότι οι απλοποιήσεις μπορούν να οδηγήσουν σε εξοικονόμηση δισεκατομμυρίων ευρώ σε ευρωπαϊκό επίπεδο.

Παράλληλα, η ανάγκη ανάπτυξης της ευρωπαϊκής τεχνητής νοημοσύνης (AI) διατρέχει ολόκληρο το κείμενο, εξηγώντας ότι χωρίς ευρύτερη και νομικά ασφαλή χρήση δεδομένων, η ΕΕ θεωρεί ότι δεν μπορεί να ανταγωνιστεί διεθνώς στον τομέα της τεχνητής νοημοσύνης (AI).
Η ανωνυμοποίηση αναδεικνύεται σε βασικό εργαλείο εξισορρόπησης μεταξύ προστασίας της ιδιωτικότητας και τεχνολογικής ανάπτυξης.

Οι προτάσεις αυτές, μπορεί να μην συνιστούν κατάργηση του GDPR αλλά θα πρέπει να σκεφτούμε σοβαρά την υπονόμευση της προστασίας των προσωπικών μας δεδομένων, η οποία είναι πιο κοντά από ποτέ, με συνειδητή πολιτική επιλογή ανακατανομής του βάρους ευθύνης για τα προσωπικά δεδομένα των πολιτών, παρουσιάζοντας μόνο τη θετική πλευρά όπως αυτή της λιγότερης γραφειοκρατίας και της μεγαλύτερης ευελιξίας για την οικονομία.

Η μετατόπιση των ορίων εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) αφορά τον πυρήνα της σχέσης μεταξύ κράτους και πολίτη, και αυτή η σχέση οφείλει να συζητηθεί δημόσια πριν οι προτάσεις αυτές μετατραπούν σε δεσμευτικό δίκαιο.

Μαρία Παναγιώτου
Δικηγόρος παρ’ Αρείω Πάγω
law-panagiotou.gr