Δόθηκε στη δημοσιότητα το σχέδιο νόμου με το οποίο η κυβέρνηση επιχειρεί να ενσωματώσει στην εθνική νομοθεσία την οδηγία (Ε.Ε.) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Με τον νόμο καταργείται το προϊσχύον νομικό καθεστώς. Σύμφωνα με πληροφορίες της «Κ», πρόκειται για κείμενο το οποίο προωθήθηκε στη δημόσια διαβούλευση εσπευσμένα, στηριγμένο σε μεγάλο βαθμό σε σχέδιο του Μιχάλη Καλογήρου, υπουργού Δικαιοσύνης της προηγούμενης κυβέρνησης, προκειμένου να σταματήσει η χώρα μας να καταβάλλει το πρόστιμο των δυόμισι εκατομμυρίων ευρώ ετησίως για όσο χρόνο δεν εφαρμόζει την ευρωπαϊκή νομοθεσία. Στις αρχές Αυγούστου 2019 η Ευρωπαϊκή Επιτροπή κάλεσε το Δικαστήριο της Ε.Ε. να επιβάλει οικονομικές κυρώσεις στην Ελλάδα ύψους 5.287,5 ευρώ για κάθε ημέρα που δεν ενσωματώνεται το σχετικό δίκαιο της Ευρωπαϊκής Eνωσης από τις 7/5/2018. Ενδεικτικό της σπουδής της κυβέρνησης είναι πως η δημόσια διαβούλευση λήγει σε μία εβδομάδα, στις 20 Αυγούστου 2019.
Ο νόμος, που σε πολλά σημεία του είναι αντιγραφή του αντίστοιχου γερμανικού, παρουσιάζει, σύμφωνα με τις πρώτες παρατηρήσεις, αρκετά προβλήματα:
• H διατύπωση της επιβολής ανώτερων και κατώτερων ποινών δίνει το περιθώριο για διαφορετική ποινική μεταχείριση των φορέων του Δημοσίου σε σχέση με τους ιδιώτες (κάτι που ρητά ζητούσε το Δημόσιο). Γίνεται διάκριση σε υπευθύνους επεξεργασίας του ιδιωτικού και του δημοσίου τομέα, κάτι που δεν συμβαίνει στην ευρωπαϊκή νομοθεσία.
• Στον ορισμό των υπόχρεων εφαρμογής του ΓΚΠΔ δεν ορίζεται ξεκάθαρα εάν οι εταιρείες Α.Ε. του Δημοσίου, που δεν χρηματοδοτούνται από τον κρατικό προϋπολογισμό, πρέπει να εντάσσονται στον εν λόγω νόμο.
• Η συγκατάθεση του εργαζομένου στην επεξεργασία από τον εργοδότη είναι διατυπωμένη με τέτοια ευρύτητα, ώστε να είναι δυνατόν να αποκλεισθεί η επεξεργασία από τον εργοδότη ακόμα και αν συμφωνεί ο εργαζόμενος.
• Ο καθηγητής της Νομικής Σχολής του ΑΠΘ Γιάννης Ιγγλεζάκης θεωρεί σε ανάρτησή του στο Facebook «υπερβολική και εξαιρετικά προβληματική τη διάταξη για ποινική τιμωρία του υπευθύνου Προστασίας Δεδομένων (ΥΠΔ), η οποία είναι αντίθετη στον Κανονισμό που προβλέπει στο άρθρο 38 παρ. 3 ότι ο ΥΠΔ “Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του”. Η ύπαρξη αυτής της διάταξης θα λειτουργήσει», σημειώνει, «αποτρεπτικά για την ανάληψη καθηκόντων ΥΠΔ». Στο σχέδιο που δόθηκε στη δημοσιότητα προβλέπεται ότι:
1. Οποιος, χωρίς δικαίωμα: α) επεμβαίνει με οποιονδήποτε τρόπο σε σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα, και με την πράξη του αυτή λαμβάνει γνώση των δεδομένων αυτών, β) τα αντιγράφει, αφαιρεί, αλλοιώνει, βλάπτει, συλλέγει, καταχωρεί, οργανώνει, διαρθρώνει, αποθηκεύει, προσαρμόζει, μεταβάλλει, ανακτά, αναζητεί πληροφορίες, συσχετίζει, συνδυάζει, περιορίζει, διαγράφει, καταστρέφει, τιμωρείται με φυλάκιση μέχρι ενός (1) έτους, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
2. Οποιος χρησιμοποιεί, μεταδίδει, διαδίδει, κοινολογεί με διαβίβαση, διαθέτει, ανακοινώνει ή καθιστά προσιτά σε μη δικαιούμενα πρόσωπα δεδομένα προσωπικού χαρακτήρα, τα οποία απέκτησε σύμφωνα με την περίπτωση α΄ της παραγράφου 1 ή επιτρέπει σε μη δικαιούμενα πρόσωπα να λάβουν γνώση των δεδομένων αυτών, τιμωρείται με φυλάκιση, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.