Από τις 25 Μαΐου [θα] εφαρμόζεται στην η Ευρωπαΐκή Ενωση ο Κανονισμός για την προστασία των προσωπικών δεδομένων των φυσικών προσώπων, γνωστός και ως GDPR. Ο Κανονισμός αυτός βελτιώνει τις προστασίες που προβλέπονταν κατά το προηγούμενο νομικό πλαίσιο και επεκτείνει την εφαρμογή τους λαμβάνοντας υπ΄όψιν τη νέα εποχή των μέσων κοινωνικής δικτύωσης και του διαδικτιακού μάρκετινγκ. Η εφαρμογή του Κανονισμού έχει και διεθνή διάσταση, καθώς καλύπτει και την περισυλλογή και χρήση των προσωπικών δεδομένων πολιτών της ΕΕ από επεξεργαστές που βρίσκονται εκτός της ΕΕ.
Δεν θα ήταν υπερβολή να πούμε ότι με την εφαρμογή του GDPR η ΕΕ πλέον διαθέτει το πιο ανεπτυγμένο σύστημα προστασίας προσωπικών δεδομένων στον κόσμο και ελάχιστες δικαιοδοσίες, ακόμα και στη Δύση, παρέχουν συγκρίσιμες προστασίες στους πολίτες τους. Oι ποινές που προβλέπονται μάλιστα για την παραβίαση της νομοθεσίας είναι πρωτοφανείς.
Εναπόκειται όμως σε ένα βαθμό και στον πολίτη της ΕΕ να αξιοποιήσει αυτό το κανονιστικό πλαίσιο, δηλαδή να γνωρίζει και να ελέγχει σε ποιους και για ποιο λόγο επιτρέπει την περισυλλογή και χρήση των δεδομένων του.
Μια από τις βασικές διατάξεις του GDPR είναι η συγκατάβαση του πολίτη η οποία απαιτείται πρωτού μια εταιρεία, ένας οργανισμός ή μια υπηρεσία αποθηκεύσει ή επεξεργαστεί με οποιοδήποτε τρόπο τα προσωπικά του δεδομένα. Εξαίρεση αποτελεί η περίπτωση θεμιτού δικαιώματος του επεξεργαστή στο πλαίσιο των δραστηριοτήτων του, για παράδειγμα, οταν μια εταιρία οφείλει να κατηγοριοποιήσει το πελατολόγιό της ή να επικοινωνεί με πελάτες για θέματα σχετικά με τις υπηρεσίες της. Η διάταξη αυτή αποτελεί πονοκέφαλο για πολλές διαδικτυακές, υγειονομικές και χρηματοπιστωτικές εταιρείες καθώς ο πολίτης μπορεί οποιαδήποτε στιγμή να αποσύρει την συγκατάβασή του. Η δυνατότητα απόσυρσης μάλιστα οφείλει να είναι το ίδιο ευκολη με τον τρόπο με τον οποίο δόθηκε η συγκατάβαση αρχικά. Ανά πάσα στιγμή ο πολίτης μπορεί επίσης να έχει πρόσβαση στη βάση δεδομένων που διαθέτει μια εταιρεία γι αυτόν ή αυτήν.
Μεγάλη σημασία για τον πολίτη έχει η διάταξη που απαιτεί από τις εταιρείες να επεξηγήσουν εξ’αρχής με απλό και κατανητό τρόπο τον σκοπό για τον οποίο θα χρησιμοποιήσουν ή θα επεξεργαστούν τα προσωπικά δεδομένα που συλλέγουν. Παράλληλα, δεν μπορούν να χρησιμοποιήσουν τα δεδομένα αυτά για άλλο σκοπό τον οποίο δεν αποκάλυψαν στο πρόσωπο εξαρχής. Η διάταξη αυτή στην Ευρώπη θα μπορούσε να αποτρέψει ένα σκάνδαλο παρόμοιο με αυτό της Cambridge Analytica η οποία χρησιμοποίησε προσωπικά δεδομένα χρηστών του Facebook για τις Αμερικανικές εκλογές.
Ο GDPR υπαγορεύει στις εταιρείες να διατηρήσουν τα δεδομένα μόνο για όσο χρόνο αυτό είναι αναγκαίο. Ο πολίτης μάλιστα μπορεί να ζητήσει να «ξεχαστεί», να ζητήσει δηλαδή την διαγραφή όλων των δεδομένων που διαθέτουν στο όνομά του, και αυτό το δικαίωμα αποτελεί κατά κάποιο τρόπο μια επέκταση του δικαιώματος άρσης του συγκατάβασής του στη συλλογή και επεξεργασία των δεδομένων του.
Εξίσου σημαντικό δικαίωμα του πολίτη, στη σύγχρονη εποχή της αυτοματοποίησης, είναι το δικαίωμα του να αρνηθεί την αυτοματοποιημένη ανάλυση των δεδομένων του για την λήψη μιας απόφασης αναφορικά με το άτομό του. Ένα τέτοιο δικαίωμα μπορεί να επιτρέψει σε έναν πολίτη για παράδειγμα να αρνηθεί την ηλεκτρονική ανάλυση απο μια τράπεζα για την έγκριση στεγαστικού ή άλλου δανείου, ή από τον εργοδότη για την αξιολόγησή του στην εργασία του χωρίς την ανθρώπινη παρέμβαση στη λήψη της απόφασης. Για τη χρήση αυτού του δικαιώματος αλλά και πολλών άλλων που αναφέρθηκαν παραπάνω, ο πολίτης δεν έχει παρά να αναφέρει ότι κάνει χρήση των δικαιωμάτων του που απορρέρουν από το Ευρωπαικό Δίκαιο για να γνωρίζει ο εν λόγω παραλήπτης ότι οφείλει να δώσει στο αίτημά του πολίτη την ανάλογη προσοχή.
Οι προστασίες που παρέχει ο GDPR είναι αναμφισβήτητα σύγχρονες και ολοκληρωμένες, ενώ ταυτόχρονα λαμβάνουν υπ’όψιν και τα θεμιτά δικαιώματα των εταιρείων για επεξεργασία των προσωπικών μας δεδομένων στο πλαίσιο των δραστηριοτήτων τους. Κανένα κανονιστικό πλαίσιο όμως δεν αποτελεί πανάκεια. Ο πολίτης έχει ταυτόχρονα ευθύνη να διαβάζει τις δηλώσεις προστασίας προσωπικών δεδομένων που του αποστέλουν οι εταιρείες και οργανισμοί, αλλά και να κάνει χρήση των δικαιωμάτων πρόσβασης ή και διαγραφής των προσωπικών του δεδομένων όταν θεωρεί ότι αυτό είναι αναγκαίο.
*Ο Γιώργος Κράτσας είναι δικηγόρος στο Λονδίνο, διδάκτωρας νομικής του University College London