26 Μαΐου, 2018

Δέκα πράγματα που πρέπει να ξέρεις για το GDPR

Νίκος Μηλαπίδης

Στη σημερινή εποχή με τα σύγχρονα μέσα επικοινωνίας, οι επιχειρήσεις αλλά και οι δημόσιοι οργανισμοί συλλέγουν και αποθηκεύουν έναν μεγάλο αριθμό πληροφοριών που αφορά προσωπικά δεδομένα. Σε ένα κόσμο που η πληροφορία είναι πηγή δύναμης, και οι τεχνολογικές εξελίξεις ραγδαίες, οι ρυθμιστικές αρχές όφειλαν να ελέγξουν τον τρόπο με τον οποίο οι επιχειρήσεις και οι οργανισμοί συλλέγουν και αξιοποιούν αυτά τα δεδομένα, ώστε να αποφεύγεται κάθε κατάχρηση, καθώς και να αντιμετωπίσουν τα προβλήματα ασφάλειας και παραβίασης της ιδιωτικής ζωής.

Για τον λόγο αυτό το Ευρωπαϊκό Κοινοβούλιο ψήφισε τον Απρίλιο του 2016 τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων. Ο Κανονισμός αυτός συνιστά πλέον τον βασικό μοχλό της νομοθετικής δέσμης της Ευρωπαϊκής Επιτροπής για αποτελεσματική προστασία των προσωπικών δεδομένων όσων ζουν στην Ε.Ε. Αποτελεί σημαντικό βήμα στη διαμόρφωση ενός ισχυρότερου και πιο συνεκτικού νομικού πλαισίου, αφού ένας και μοναδικός νόμος γίνεται πια το κύριο μέσο που θα διέπει την επεξεργασία των προσωπικών δεδομένων σε όλη την επικράτεια της Ένωσης.

Μέσω 10 ερωτήσεων – απαντήσεων ακολουθεί μια συνοπτική περιγραφή του Κανονισμού κυρίως ως προς τις αλλαγές που επιφέρει, τις απαιτήσεις συμμόρφωσης, καθώς και τα νέα δικαιώματα του πολίτη.

1) Τι είναι ο GDPR;
Είναι ο νέος Κανονισμός της Ευρωπαϊκής Ένωσης για την Γενική Προστασία Δεδομένων, γνωστός με το ακρωνύμιο GDPR ( General Data Protection Regulation). Επιβάλλει ένα νέο ενιαίο νομοθετικό πλαίσιο, το οποίο ρυθμίζει τον τρόπο συλλογής, επεξεργασίας και ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα (απλών και ευαίσθητων), για την προστασία των φυσικών προσώπων που βρίσκονται στο έδαφος της. Ρυθμίζει επίσης θέματα διαβίβασης δεδομένων εκτός των ευρωπαϊκών συνόρων. Ο GDPR αποτελεί σημαντική νομική μεταρρύθμιση, έχει καθολική ισχύ, αυστηρές απαιτήσεις και προβλέπει υψηλά πρόστιμα για τους παραβάτες.

Οι δύο βασικοί στόχοι του νέου πλαισίου είναι να έχουν οι Ευρωπαίοι πολίτες μεγαλύτερο έλεγχο των προσωπικών τους δεδομένων και να απλουστευθεί το ρυθμιστικό περιβάλλον για τις επιχειρήσεις που προβαίνουν σε επεξεργασία των δεδομένων. Επίσης, ο Κανονισμός ενισχύει την ήδη υφιστάμενη συνεργασία μεταξύ των εθνικών αρχών προστασίας δεδομένων προβλέποντας, μεταξύ άλλων, αμοιβαία συνδρομή και κοινούς ελέγχους.

2) Ποιους αφορά και ποιους επηρεάζει ο GDPR;
Ο Κανονισμός αφορά κάθε επιχείρηση (ιδιωτική ή δημόσια), ελεύθερο επαγγελματία, οργανισμό, φορέα ή Δημόσια Αρχή, που με οιονδήποτε τρόπο διαχειρίζεται, συλλέγει, διατηρεί ή επεξεργάζεται, προσωπικά δεδομένα τα οποία αφορούν άτομα (εργαζομένους, συνεργάτες, πελάτες ή άλλα φυσικά πρόσωπα), που βρίσκονται στην Ευρώπη, ανεξαρτήτως της ιθαγένειας ή του τόπου μόνιμης διαμονής τους. Κατά συνέπεια επηρεάζει όλους τους φορείς οιασδήποτε επαγγελματικής ή εμπορικής δραστηριότητας, ασχέτως μεγέθους, είτε αυτοί συλλέγουν και επεξεργάζονται προσωπικά δεδομένα για δικό τους λογαριασμό, είτε για λογαριασμό τρίτων, στο πλαίσιο της δραστηριότητας τους.

Ο GDPR δεν αφορά αποκλειστικά συγκεκριμένους τύπους επιχειρήσεων ή οργανισμών. Αν ένας οργανισμός δημόσιος ή ιδιωτικός επεξεργάζεται σε μεγαλύτερο ή μικρότερο βαθμό προσωπικά δεδομένα, είτε είναι τράπεζα είτε είναι σχολείο ή Πανεπιστήμιο πρέπει να συμμορφωθεί προς τις απαιτήσεις του Κανονισμού. Ειδικά οι ιδιωτικές επιχειρήσεις αλλά και οι δημόσιοι/ κρατικοί οργανισμοί που προσφέρουν υπηρεσίες που βασίζονται σε επεξεργασία δεδομένων ή προβαίνουν εξ αντικειμένου σε επεξεργασία μεγάλης κλίμακας ή επεξεργάζονται συστηματικά ευαίσθητα δεδομένα, απαιτείται να λάβουν έγκαιρα και άμεσα μέτρα συμμόρφωσης «ευρέως φάσματος». Στις υπηρεσίες αυτές συγκαταλέγονται ενδεικτικά οι ακόλουθες:
Υπηρεσίες στον τομέα της Υγείας
Υπηρεσίες μισθοδοσίας,
Τραπεζικές, Χρηματοοικονομικές Υπηρεσίες, λογιστικά γραφεία, ορκωτοί λογιστές
Υπηρεσίες Ανθρώπινου Δυναμικού
Υπηρεσίες Μάρκετινγκ, διαφήμισης, μετρήσεων, δημοσκοπήσεων
Υπηρεσίες Φιλοξενίας και Μετακινήσεων (φορείς τουρισμού)
Υπηρεσίες Διαδικτυακών/Προσωποποιημένων Πωλήσεων, (e- services, e-commerce, e-shops)
Υπηρεσίες διαχείρισης ιστοσελίδας, καθώς και αποθήκευσης και διαχείρισης δεδομένων μεγάλου όγκου
Υπηρεσίες αποθήκευσης δεδομένων (cloud)
Παροχή Τηλεπικοινωνιακών Υπηρεσιών
Υπηρεσίες κοινωνικής δικτύωσης, φυσικής και ηλεκτρονικής
Υπηρεσίες εσωτερικής ή εξωτερικής ασφάλειας (πχ κάμερες)
Παροχή Υπηρεσιών Ενέργειας
Ηλεκτρονικές πλατφόρμες
Υπηρεσίες εκπαίδευσης (πχ Πανεπιστήμια / σχολεία, φροντιστήρια)
Ασφαλιστικές εταιρείες

Τι δεν καλύπτει ο Κανονισμός
Δεν υπάγεται σε αυτόν:
- η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποθανόντων προσώπων ή νομικών προσώπων και ιδίως επιχειρήσεων που συστάθηκαν ως νομικά πρόσωπα (δεν καλύπτει δηλαδή την επωνυμία, τον τύπο και τα στοιχεία επικοινωνίας του νομικού προσώπου). Αφορά όμως τα δεδομένα μιας Μονοπρόσωπης ή μιας ατομικής επιχείρησης που νομικά αντιμετωπίζεται ως φυσικό πρόσωπο.
- η επεξεργασία προσωπικών δεδομένων από φυσικά πρόσωπα αποκλειστικά στο πλαίσιο προσωπικής ή οικιακής δραστηριότητας.

3) Πότε γίνεται υποχρεωτική η εφαρμογή του;
Ο Κανονισμός είναι σε ισχύ. Έχει ήδη ψηφιστεί από το Ευρωκοινοβούλιο τον Απρίλιο του 2016 και δημοσιευτεί στην εφημερίδα της ΕΕ. Δεν απαιτείται επιπλέον έγκριση από τις εθνικές κυβερνήσεις. Η ημερομηνία υποχρεωτικής πλήρους εφαρμογής του GDPR καθορίστηκε στις 25 Μαΐου 2018, για να δοθεί μια διετής παράταση προσαρμογής και προετοιμασίας στις απαιτήσεις του.

4) Ο Κανονισμός αφορά μόνο την Ευρωπαϊκή Ένωση;
Ο GDPR της ΕΕ εφαρμόζεται σε επιχειρήσεις που είναι εγκατεστημένες εκτός ΕΕ εφόσον αυτές επεξεργάζονται δεδομένα προσώπων που βρίσκονται εντός ΕΕ, και προσφέρουν αγαθά ή υπηρεσίες σε άτομα στην Ένωση ή παρακολουθούν τη συμπεριφορά των ατόμων στην Ένωση (δηλ. δραστηριότητες σχετικές με τη δημιουργία προφίλ, παρακολούθηση των δραστηριοτήτων των ατόμων στο Διαδίκτυο κ.λπ.). Έχει επίσης εφαρμογή και στις περιπτώσεις που η επεξεργασία των δεδομένων διενεργείται εκτός ΕΕ.

5) Ποια δεδομένα θεωρούνται προσωπικού χαρακτήρα;
Στην έννοια των προσωπικών δεδομένων εμπίπτουν όσες πληροφορίες μπορούν να οδηγήσουν άμεσα ή έμμεσα στην ταυτοποίηση ενός ατόμου, όπως ενδεικτικά το ονοματεπώνυμο, η ηλικία, η διεύθυνση κατοικίας, το επάγγελμα, η οικογενειακή κατάσταση, ο αριθμός ταυτότητας, τα δεδομένα θέσης, GPS σε κινητό τηλέφωνο, τα φυσικά χαρακτηριστικά, τα ψηφιακά ίχνη, ή τα στοιχεία που αφορούν την σωματική, ψυχολογική, οικονομική ή κοινωνική κατάσταση του, τα στοιχεία ενός τραπεζικού λογαριασμού, η οικονομική συμπεριφορά, τα ενδιαφέροντα, οι δραστηριότητες, οι συνήθειες, η εκπαίδευση, η εργασία, η προϋπηρεσία, η εργασιακή συμπεριφορά, τα περιουσιακά στοιχεία κ.λπ.
Τα ευαίσθητα προσωπικά δεδομένα, ως ειδική υποκατηγορία, περιλαμβάνουν πληροφορίες που αναφέρονται στις θρησκευτικές, φιλοσοφικές, πολιτικές πεποιθήσεις ενός ατόμου, στη φυλετική ή εθνική του προέλευση, στην υγεία του, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην κοινωνική πρόνοια και στην ερωτική ζωή, καθώς και σε πληροφορίες για ποινικές διώξεις ή καταδίκες, κ.λπ. Για τις ποινικές καταδίκες και αδικήματα του ατόμου υπάρχει στον Κανονισμό ειδική μέριμνα.
Παραδείγματα δεδομένων που δεν θεωρούνται προσωπικού χαρακτήρα είναι ο αριθμός μητρώου εταιρείας, η εταιρική ηλεκτρονική διεύθυνση, και κάθε είδους ανώνυμα δεδομένα.

6) Ποιες υποχρεώσεις εισάγει ο Κανονισμός για τις επιχειρήσεις και τον δημόσιο τομέα;
Με τον Κανονισμό εισάγονται αυξημένες υποχρεώσεις και περιορισμοί για τις επιχειρήσεις και οργανισμούς που διατηρούν, διαχειρίζονται και επεξεργάζονται προσωπικά δεδομένα.
Ο Κανονισμός καθορίζει πιο αποτελεσματικές μεθόδους για διασφάλιση της συμμόρφωσης και προβλέπει ιδιαίτερα αυστηρές κυρώσεις για όσους παραβιάζουν τους κανόνες. Θεσπίζονται νέες υποχρεώσεις για τις επιχειρήσεις και τους Υπεύθυνους Επεξεργασίας όπως: υποχρέωση λογοδοσίας, ύπαρξη ξεκάθαρης συναίνεσης του υποκειμένου των δεδομένων για κάθε σκοπό επεξεργασίας, ορισμός Υπεύθυνου Προστασίας Δεδομένων (DPO), εφαρμογή τεχνικών μέτρων που να εξασφαλίζουν την ιδιωτικότητα, υποχρέωση τήρησης αρχείου δραστηριοτήτων επεξεργασίας, υποχρέωση εκπόνησης μελέτης αντικτύπου, υποχρέωση αναφοράς και γνωστοποίησης όλων των περιστατικών παραβίασης των προσωπικών δεδομένων, που ενέχουν υψηλό κίνδυνο, εντός 72 ωρών από την εκδήλωση του περιστατικού. Υπό προϋποθέσεις, μάλιστα, η ενημέρωση αυτή πρέπει να απευθύνεται και προς τα πρόσωπα των οποίων τα δεδομένα έχουν εκτεθεί σε κίνδυνο.

Αυστηρές είναι οι κυρώσεις που προβλέπονται σε περιπτώσεις παραβίασης των διατάξεων του Κανονισμού για την προστασία των δεδομένων. Συγκεκριμένα, προβλέπεται η δυνατότητα επιβολής διοικητικού προστίμου μέχρι και του ιλιγγιώδους ποσού των 20 εκατ. ευρώ ή ποσού έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του ομίλου κατά το προηγούμενο έτος (ανάλογα με το ποιο είναι υψηλότερο). Κατά τον προσδιορισμό του τελικού ποσού του διοικητικού προστίμου εξετάζονται διάφορα κριτήρια, όπως ενδεικτικά η φύση, η βαρύτητα και η διάρκεια της παράβασης, οι κατηγορίες των προσωπικών δεδομένων που επηρεάζει η παράβαση, η ύπαρξη δόλου ή αμέλειας κ.ά. Οι επιχειρήσεις που επεξεργάζονται δεδομένα για λογαριασμό τρίτων, ενδέχεται επίσης να φέρουν ευθύνη για παραβίαση του Κανονισμού σε περίπτωση μη συμμόρφωσης με τις υποχρεώσεις τους.

Η καταγραφή των προσωπικών δεδομένων που συλλέγει μία επιχείρηση, ο τρόπος που αυτά αποκτήθηκαν και οι δίαυλοι επικοινωνίας μέσω των οποίων διακινούνται, αποτελεί κρίσιμη διαδικασία και πολύ σημαντικό βήμα για την προετοιμασία μιας επιχείρησης στο πλαίσιο συμμόρφωσης με τον Κανονισμό.

Τα στελέχη της επιχείρησης είναι απαραίτητο να έχουν γνώση για τις υποχρεώσεις και τα όρια που τίθενται με τον Κανονισμό. Και αυτό γιατί από την εφαρμογή του νέου Κανονισμού δεν επηρεάζεται μόνο η διεύθυνση πληροφορικής μιας επιχείρησης αλλά και τμήματα όπου αδιαμφισβήτητα γίνεται χρήση και επεξεργασία προσωπικών δεδομένων, όπως ενδεικτικά το τμήμα μισθοδοσίας, η νομική υπηρεσία, το τμήμα ανθρώπινου δυναμικού κ.ά.
Για να ανταποκριθούν επαρκώς στην ανωτέρω υποχρέωση, οι επιχειρήσεις πρέπει να έχουν σχεδιάσει και υιοθετήσει αντίστοιχη πολιτική και να έχουν αναπτύξει μία σειρά από κατάλληλες εσωτερικές διαδικασίες.

7) Γιατί πρέπει η εφαρμογή του Κανονισμού να ενδιαφέρει κάθε πολίτη; Τι έχει να κερδίσει;
Επεξεργασία δεδομένων και δικαιώματα του πολίτη
Αν κάποιον πρέπει να ενδιαφέρει πρωτίστως ο Κανονισμός είναι ο πολίτης. Ο Κανονισμός του προσφέρει σημαντικά δικαιώματα. Τα δεδομένα που προστατεύονται χάριν στο Κανονισμό, είναι πληροφορίες που αφορούν τον ίδιο. Είναι όλα τα στοιχεία τα οποία περιγράφουν ποιος είναι και τι κάνει καθένας από μας.
Δύο σημαντικά δικαιώματα «νέας γενιάς» κατοχυρώνονται στον Γενικό Κανονισμό: το δικαίωμα στη λήθη και το δικαίωμα στη φορητότητα των δεδομένων. Κάθε πρόσωπο δικαιούται να ζητήσει τη διαγραφή των προσωπικών του δεδομένων από την ηλεκτρονική βάση της επιχείρησης, εφόσον δεν υφίσταται λόγος που να δικαιολογεί τη συνεχιζόμενη διατήρηση ή επεξεργασία τους. Εξαίρεση προβλέπεται σε περιπτώσεις, όπου ο ίδιος ο νόμος απαιτεί τη διατήρηση ή επεξεργασία των δεδομένων αυτών.

Επίσης, κάθε πρόσωπο έχει δικαίωμα πρόσβασης, ενημέρωσης ή και διόρθωσης των προσωπικών του δεδομένων, ενώ μπορεί υπό προϋποθέσεις να ζητήσει και τη μεταφορά τους σε άλλη υπηρεσία ή επιχείρηση μέσω αυτοματοποιημένης διαδικασίας. Σε κάθε περίπτωση, οι επιχειρήσεις πρέπει να έχουν λάβει τη ρητή συγκατάθεση ενός ατόμου για τη λήψη ή χρήση των προσωπικών του δεδομένων. Η λήψη της συγκατάθεσης πρέπει να γίνεται με κατανοητό προς το άτομο τρόπο και μέσω της χρήσης ευκρινών μέσων.
Οι χρήστες θα έχουν δικαίωμα να ζητήσουν δωρεάν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που διαθέτει ένας οργανισμός και να λάβουν αντίγραφο.
Ο χρήστης-καταναλωτής έχει επίσης το δικαίωμα αντίταξης στη λήψη online διαφημιστικού υλικού.
Πρακτικά παραδείγματα επεξεργασίας προσωπικών δεδομένων και αυτόματη κατάρτιση προφίλ και στόχευση του ατόμου για εμπορικούς σκοπούς

Ό,τι κάνουμε και ό, τι είμαστε, το διαδικτυακό μας προφίλ είναι γνωστό, πολλές εταιρείες το αγοράζουν και το εκμεταλλεύονται με κάθε τρόπο. Το πρόβλημα είναι ότι δεν είναι άμεσα αντιληπτό από μας πόσο συχνά μοιραζόμαστε εν αγνοία μας τα προσωπικά μας στοιχεία. Ας πούμε ότι:
Κάποιος κάνει μια έρευνα στο διαδίκτυο πχ αναζητώντας πληροφορίες για κάποιο ιατρικό ζήτημα και στην συνέχεια κατακλύζεται από διαφημιστικά μηνύματα από φαρμακευτικές εταιρείες και ιατρικά κέντρα που του προσφέρουν υπηρεσίες.

Σερφάρουμε αναζητώντας ξενοδοχεία ή αεροπορικά εισιτήρια. Ακολουθούν σωρηδόν διαφημίσεις στα μέσα κοινωνικής δικτύωσης και στους ιστοτόπους που επισκεπτόμαστε.
Προσωπικό δεδομένο είναι και τα ψώνια που κάνουμε πχ στο super market, σε ένα κατάστημα, τα είδη που αγοράσαμε, το ταξίδι που κάναμε πρόσφατα.

Με βάση τα παραπάνω δεδομένα μπορεί κάποιος να με διαχωρίσει, από τους άλλους ανθρώπους, ή να τα χρησιμοποιήσει προκειμένου να προσπαθήσει να με επηρεάσει ή να προωθήσει κάποιο προϊόν. Αν δεν το έχω δώσει αυτό το δικαίωμα εν γνώσει μου, δεν πρέπει να το κάνει. Είναι στέρηση ενός μέρους της ελευθερίας μου.

Τι αλλάζει σε σχέση με σήμερα και από τι μπορεί να προστατευτεί ένα πολίτης
Αν π.χ. κάποιος έχει αγοράσει μια συσκευή παρακολούθησης της φυσικής κατάστασής του και έχει εγγραφεί σε μια online εφαρμογή υγείας που παρακολουθεί τη δραστηριότητά του, μπορεί να ζητήσει από τον φορέα εκμετάλλευσης της εφαρμογής όλες τις πληροφορίες που έχουν υποβληθεί σε επεξεργασία για το άτομό του (όπως οι καρδιακοί παλμοί, οι επιδόσεις του κ.α.).
Εφόσον κάποιος έχει αγοράσει προϊόντα από μια επιχείρηση λιανικής πώλησης στο διαδίκτυο, μπορεί να ζητήσει από την εταιρεία να του δώσει όλα τα δεδομένα προσωπικού χαρακτήρα που αυτή διατηρεί, ακόμη και των ημερομηνιών και των ειδών των αγορών του.

Αν π.χ. αγόρασε εισιτήρια στο διαδίκτυο για μια μουσική συναυλία και στη συνέχεια βομβαρδίζεται με ηλεκτρονικές διαφημίσεις για εκδηλώσεις για τις οποίες δεν ενδιαφέρεται, μπορεί να ενημερώσει την εταιρεία ηλεκτρονικής έκδοσης εισιτηρίων ότι δεν θέλει να λαμβάνει πια online διαφημιστικό υλικό και αυτή πρέπει αμέσως να σταματήσει να στέλνει ηλεκτρονικά μηνύματα.
Ως πελάτης μιας υπηρεσίας, πχ κινητής τηλεφωνίας, μπορούμε να ζητήσουμε τα σέβεται τα προσωπικά μας δεδομένα, να μην κάνει κατάχρηση, να μην μας ενοχλεί χωρίς την ρητή μας συγκατάθεση, μας δίνει την δυνατότητα να αναιρέσουμε την συγκατάθεση με εύκολο τρόπο, αν αλλάξουμε γνώμη, να ζητήσουμε να μην μεταβιβάζει τα στοιχεία μας σε τρίτους εν αγνοία μας, να τα προστατεύει από κλοπή, αλλοίωση, hackers, κλπ. Έχουμε πλέον την δυνατότητα να ζητήσουμε να μας παραδώσει τις επαφές και τις φωτογραφίες μας, σε δομημένη και συμβατή μορφή, αν θελήσουμε να αλλάξουμε πάροχο, με απευθείας μεταφορά (server to server). Και όλα αυτά αξιόπιστα και ανέξοδα. Και αν ο πάροχος δεν τηρήσει στο ακέραιο τις υποχρεώσεις του θα του επιβληθεί υψηλό πρόστιμο!.

8) Τι προβλέπει ο Κανονισμός σχετικά με τα προσωπικά δεδομένα ανηλίκων;
Ο Κανονισμός περιέχει συγκεκριμένες απαιτήσεις σχετικά με την συγκατάθεση για την επεξεργασία των προσωπικών δεδομένων των παιδιών. Συγκεκριμένα προβλέπει απαίτηση γονικής συναίνεσης για την χρήση κοινωνικών δικτύων από όλους τους νέους ηλικίας κάτω των 16 ετών. Ωστόσο, τα κράτη- μέλη μπορούν να επιλέξουν να αποκλίνουν και να ορίσουν το όριο ηλικίας στα 13, 14, 15 χρόνια.
Στην Ελλάδα, το σχέδιο νόμου καθορίζει την ηλικία ψηφιακής συναίνεσης στα 15 έτη. Αυτό σημαίνει ότι για παιδιά κάτω των 15 ετών, η επεξεργασία προσωπικών δεδομένων είναι νόμιμη μόνο όταν υπάρχει συναίνεση γονέα ή κηδεμόνα. Ανεξάρτητα όμως από τις νομοθετικές ρυθμίσεις, θα πρέπει να υπάρξει ενημέρωση και εκπαίδευση των ανηλίκων σχετικά με την διαχείριση των προσωπικών δεδομένων.

9) Θα δει πρακτικές αλλαγές ο χρήστης στο Διαδίκτυο μετά τις 25 Μαΐου 2018;
Όχι αισθητές. Μια αλλαγή για όσους ζουν στην Ε.Ε. είναι ότι θα βλέπουν πια να τους «ακολουθούν» λιγότερες online διαφημίσεις μετά από κάποια ηλεκτρονική αγορά τους. Με τους νέους κανόνες, θα γίνει πιο δύσκολη η στοχευμένη ηλεκτρονική διαφήμιση που παίρνει «κατά πόδας» τον χρήστη από ιστοσελίδα σε ιστοσελίδα που επισκέπτεται, καθώς θα είναι πιο δύσκολο για τις εταιρείες να συλλέγουν και να πουλάνε πληροφορίες για τις διαδικτυακές συνήθειες των χρηστών, αφού πρώτα πάρουν την άδεια τους. Έτσι, η online διαφήμιση στην Ευρώπη θα τείνει να γίνει πιο γενική, όπως αυτή στην τηλεόραση, και όχι τόσο στοχευμένη όπως στις ΗΠΑ.

10) Πόσο αποτελεσματικός θα είναι ο νέος Κανονισμός στην πράξη;
Είναι πολύ νωρίς να εκτιμήσει κανείς, θα απαιτηθεί χρόνος. Πολλά θα εξαρτηθούν από το πόσο αυστηρά οι εθνικές εποπτικές αρχές θα εφαρμόσουν τους νέους κανόνες. Δυστυχώς, μια πρόσφατη έρευνα του Reuters μεταξύ των ρυθμιστικών αρχών των χωρών της Ε.Ε., κατέληξε στο συμπέρασμα ότι πολλοί από αυτούς τους ανεξάρτητους φορείς δεν είναι έτοιμοι ακόμη.

Οι 17 από τις 24 Αρχές που απάντησαν, δήλωσαν ότι είτε δεν έχουν την αναγκαία χρηματοδότηση, είτε επαρκές προσωπικό, είτε τις αναγκαίες εξουσίες για να εφαρμόσουν τους νέους κανόνες. Επιπλέον, σε αρκετές χώρες θα περάσουν μήνες, εωσότου οι κυβερνήσεις ενσωματώσουν το νέο ευρωπαϊκό κανονισμό στην εθνική νομοθεσία τους. Οι περισσότερες Αρχές θα ανταποκριθούν στα παράπονα των πολιτών, αλλά ελάχιστες θα δράσουν αυτόβουλα για να διασφαλίσουν ότι οι εταιρείες συμμορφώνονται με τους νέους κανόνες.

Κρίσιμο ρόλο στην Ελλάδα και κάθε άλλη χώρα θα παίξει πόσο αποφασιστικά οι χρήστες-πολίτες θα διεκδικήσουν τα δικαιώματά τους και θα αξιοποιήσουν το νέο θεσμικό πλαίσιο. Τελικά, θα φανεί πόσο πράγματι ενδιαφέρονται οι άνθρωποι για τα προσωπικά δεδομένα τους.

* Ο Νίκος Μηλαπίδης είναι διευθυντής της ΚΟ του Ποταμιού