Όπως είχαν προαναγγείλλει οι εποπτικές αρχές προστασίας προσωπικών δεδομένων της Ευρωπαϊκής Ένωσης, από το καλοκαίρι του 2019, άρχισαν να αυξάνονται οι ρυθμοί επιβολής προστίμων για παραβιάσεις του ΓΚΠΔ.
Ενώ όλα έδειχναν ότι η εφαρμογή του Κανονισμού θα καθυστερήσει λόγω της πολυπλοκότητας των σχετικών ερευνών που αφορούν τα μέτρα συμμόρφωσης και τις παραβιάσεις προσωπικών δεδομένων, τους τελευταίους μήνες διαψεύθηκαν αυτές οι προσδοκίες.
To Ιούλιο του 2019, η ελληνική Αρχή Προστασίας Προσωπικών δεδομένων, επέβαλε πρόστιμο ύψους 150.000 ευρώ στην PwC για παραβιάσεις GDPR σε σχέση με την μη εξουσιοδοτημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα. Η ΑΠΔΠΧ έκρινε ότι η επιλογή της PwC να επεξεργάζεται τα προσωπικά δεδομένα των εργαζομένων με τη νομική βάση της συγκατάθεσης ήταν ανακριβής, δεδομένου ότι, σύμφωνα με τον GDPR, η συγκατάθεση πρέπει να παρέχεται ελεύθερα γεγονός που συμβαίνει σπάνια στο πλαίσιο της απασχόλησης. Η Αρχή Προστασίας Προσωπικών Δεδομένων διαπίστωσε ότι όχι μόνο η επιλογή της συγκατάθεσης ήταν ακατάλληλη ως νομική βάση επεξεργασίας, αλλά και ότι η PwC επεξεργάζονταν τα δεδομένα σε διαφορετική νομική βάση που δεν ήταν γνωστή στους υπαλλήλους της. Σημαντικό συμπέρασμα που προέκυψε από την απόφαση της ΑΠΔΠΧ, είναι πως η νομική βάση της συγκατάθεσης δεν μπορεί να ευδοκιμήσει ως ορθή επιλογή νομιμότητας της επεξεργασίας, καθώς οι υπάλληλοι είναι απίθανο να μπορούν να ασκήσουν ελεύθερη βούληση, λόγω της ανισορροπίας εξουσίας στην εργασιακή σχέση. Επιπλέον, προέκυψε ότι όλα τα στάδια της επεξεργασίας δεδομένων πρέπει να είναι διαφανή για το υποκείμενο των δεδομένων. Συνεπώς, οι εργοδότες πρέπει να καταβάλουν κάθε δυνατή προσπάθεια για να διασφαλίσουν ότι οι νομικοί λόγοι για την επεξεργασία δεδομένων καθίστανται σαφείς στους εργαζομένους.
Στις 20 Αυγούστου 2019, η Σουηδία εξέδωσε το πρώτο πρόστιμο GDPR της χώρας ύψους περίπου 19.000 ευρώ (skr 200,000) σε ένα τοπικό γυμνάσιο για τη χρήση της τεχνολογίας αναγνώρισης προσώπου. Η σουηδική Αρχή έκρινε ότι η τεχνολογία που χρησιμοποιήθηκε για την παρακολούθηση της παρουσίας των μαθητών ήταν υπερβολικά παρεμβατική στη σφαίρα της ιδιωτικότητας τους, ενώ η «συγκατάθεση» που έδιναν οι μαθητές για αυτήν την επεξεργασία δεν συνιστούσε νόμιμη συγκατάθεση του GDPR εφόσον δεν αποτελούσε ελεύθερη επιλογή. Επιπλέον, το σχολείο δεν είχε πραγματοποιήσει την απαραίτητη από τον Κανονισμό έκθεση εκτίμησης αντικτύπου για την προστασία των δεδομένων.
Tο Ηνωμένο Βασίλειο, τον Ιούλιο του 2019, επέβαλε το μεγαλύτερο πρόστιμο στο πλαίσιο του GDPR μέχρι σήμερα στη British Airways (BA), μετά από έρευνα για ένα περιστατικό στον κυβερνοχώρο. Πιο συγκεκριμένα, οι χρήστες της ιστοσελίδας της ΒΑ μεταφέρονταν σε μια άλλη μη αξιόπιστη ιστοσελίδα από την οποία συλλέγονταν τα στοιχεία τους. Λόγω της σοβαρότητας της παραβίασης, η οποία έπληξε περίπου 500.000 πελάτες BA, η ICO ανακοίνωσε ότι στην εταιρεία θα επιβληθεί πρόστιμο ύψους 183,39 εκατομμυρίων λιρών (περίπου 204 εκατομμύρια ευρώ) – 1,5% του παγκόσμιου ετήσιου κύκλου εργασιών της – για αποτυχία εφαρμογής μέτρων ασφαλείας στο πλαίσιο της GDPR. Αν και αυτό εξακολουθεί να είναι σημαντικά μικρότερο από το πρόστιμο που θα μπορούσε να ειπβάλλει ο GDPR σε επιχειρήσεις (4% του ετήσιου κύκλου εργασιών παγκοσμίως) και παρ’ολο που οι ακριβείς λεπτομέρειες της παραβίασης της BA δεν έχουν ακόμη δημοσιευθεί, η απόφαση του ICO αποκαλύπτει ότι η ασφάλεια στον κυβερνοχώρο θα αντιμετωπίζεται αυστηρά και με μεγάλη προσοχή. Ως εκ τούτου, οι εταιρείες θα πρέπει να είναι σε συνεχή ετοιμότητα όσον αφορά την προστασία των δεδομένων, καθώς μια απροσδόκητη κακόβουλη εισβολή στον κυβερνοχώρο μπορεί να έχει σοβαρές οικονομικές συνέπειες. Προς επίρρωση αυτού του ισχυρισμού, η ICO δήλωσε την επόμενη ημέρα, ότι θα επιβάλλει πρόστιμο στην εταιρεία Marriott International £ 99 εκατομμύρια (περίπου 110,4 εκατομμύρια ευρώ) για παρόμοιες παραβιάσεις του Κανονισμού. Συγκεκριμένα για αυτήν την υπόθεση, μια έρευνα του ICO αποκάλυψε ότι τα προσωπικά δεδομένα 30 εκατομμυρίων επισκεπτών της Marriott International – συμπεριλαμβανομένων των ονομάτων τους, των ταχυδρομικών και ηλεκτρονικών διευθύνσεων, των αριθμών τηλεφώνου, των αριθμών διαβατηρίων, των ημερομηνιών γέννησης, των φύλων και των κρυπτογραφημένων αριθμών καρτών πληρωμής – διακυβεύονταν. Το μήνυμα του ICO, λοιπόν, είναι σαφές: οι εταιρείες πρέπει να διασφαλίσουν ότι η ασφάλεια των πληροφοριακών τους συστημάτων είναι ισχυρή, και ότι επανεξετάζεται και ενημερώνεται σε τακτική βάση, εάν θέλουν να αποφύγουν σημαντικές κυρώσεις.
Ανεξάρτητα από το Brexit, η κατανόηση των παραμέτρων στις οποίες στηρίχθηκε ο ICO για τον υπολογισμό αυτών των προστίμων είναι καθοριστικής σημασίας καθώς φαίνεται ότι ανοίγει το δρόμο για τις αρχές άλλων χωρών να προχωρήσουν στην επιβολή προστίμων σε επιχειρήσεις για παραβιάσεις GDPR. Οι πρόσφατες αυτές αποφάσεις θα λειτουργήσουν ως δικαστικό προηγούμενο για τις εποπτικές αρχές των χωρών σε παρόμοιες περιπτώσεις. Ως εκ τούτου, οι εταιρείες με ένα απλό και ατελές σχέδιο συμμόρφωσης δεν πρέπει να αρκούνται στο γεγονός ότι δεν τους έχει επιβληθεί κύρωση μέχρι στιγμής. Από τα τελευταία πρόστιμα συμπεραίνουμε ότι οι εταιρείες θα πρέπει να επανεξετάζουν τακτικά τις διαδικασίες προστασίας των δεδομένων τους και να διασφαλίζουν ότι διαθέτουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας για την ελαχιστοποίηση των κινδύνων.