stavrakisofia@gmail.com
22310 67757

Single Blog Title

This is a single blog caption

ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ – ΝΟΜΟΘΕΤΙΚΗ ΡΥΘΜΙΣΗ – ΕΕ679/2016

Τον τελευταίο καιρό με αφορμή την ισχύ του με αριθμό 679/2016 νέου Γενικού Κανονισμού του Ευρωπαικού Κοινοβουλίου, που τέθηκε σε υποχρεωτική εφαρμογή την 25η Μαϊου 2018 γίνεται η αναφορά στον όρο «προσωπικά δεδομένα». Για πρώτη φορά σύμφωνα με το νόμο 2472/1997, όπως αυτός έχει τροποποιηθεί έως σήμερα, εισήχθη στην Ελλάδα ο παραπάνω όρος και ειδικότερα διατυπώνονται με σαφήνεια οι ακόλουθες έννοιες:

“Δεδομένα προσωπικού χαρακτήρα”, είναι η κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων. Δεν λογίζονται ως δεδομένα προσωπικού χαρακτήρα τα στατιστικής φύσεως συγκεντρωτικά στοιχεία, από τα οποία δεν μπορούν πλέον να προσδιορισθούν τα υποκείμενα των δεδομένων.

 “Ευαίσθητα δεδομένα”, είναι τα δεδομένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων. Ειδικά για τα σχετικά με ποινικές διώξεις ή καταδίκες δύναται να επιτραπεί η δημοσιοποίηση μόνον από την εισαγγελική αρχή για τα αδικήματα που αναφέρονται στο εδάφιο β’ της παραγράφου 2 του άρθρου 3 με διάταξη του αρμόδιου Εισαγγελέα Πρωτοδικών ή του Εισαγγελέα Εφετών, εάν η υπόθεση εκκρεμεί στο Εφετείο. Η δημοσιοποίηση αυτή αποσκοπεί στην προστασία του κοινωνικού συνόλου, των ανηλίκων, των ευάλωτων ή ανίσχυρων πληθυσμιακών ομάδων και προς ευχερέστερη πραγμάτωση της αξίωσης της Πολιτείας για τον κολασμό των παραπάνω αδικημάτων.

“Υποκείμενο των δεδομένων”, είναι το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα, και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιορισθεί αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός η περισσότερων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική. 

 “Επεξεργασία δεδομένων προσωπικού χαρακτήρα” (“επεξεργασία”), είναι κάθε εργασία ή σειρά εργασιών που πραγματοποιείται, από το Δημόσιο ή από νομικό πρόσωπο δημοσίου δικαίου ή ιδιωτικού δικαίου ή ένωση προσώπων ή φυσικό πρόσωπο με ή χωρίς τη βοήθεια αυτοματοποιημένων μεθόδων και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διατήρηση ή αποθήκευση, η τροποποίηση, η εξαγωγή, η χρήση, η διαβίβαση, η διάδοση ή κάθε άλλης μορφής διάθεση, η συσχέτιση ή ο συνδυασμός, η διασύνδεση, η δέσμευση (κλείδωμα), η διαγραφή, η καταστροφή.

“Αρχείο δεδομένων προσωπικού χαρακτήρα” (“αρχείο”), είναι κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα, τα οποία είναι προσιτά με γνώμονα συγκεκριμένα κριτήρια.

“Διασύνδεση”, είναι η μορφή επεξεργασίας που συνίσταται στην δυνατότητα συσχέτισης των δεδομένων ενός αρχείου με δεδομένα αρχείου ή αρχείων που τηρούνται από άλλον ή άλλους υπεύθυνους επεξεργασίας ή που τηρούνται από τον ίδιο υπεύθυνο επεξεργασίας για άλλο σκοπό.

“Υπεύθυνος επεξεργασίας”, είναι ο οποιοσδήποτε καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός. Όταν ο σκοπός και ο τρόπος της επεξεργασίας καθορίζονται με διατάξεις νόμου ή κανονιστικές διατάξεις εθνικού ή κοινοτικού δικαίου, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια βάσει των οποίων γίνεται η επιλογή του καθορίζονται αντίστοιχα από το εθνικό ή το κοινοτικό δίκαιο.

“Εκτελών την επεξεργασία”, είναι ο οποιοσδήποτε επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό υπεύθυνου επεξεργασίας, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός.

“Τρίτος”, είναι το κάθε φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία, ή οποιοσδήποτε άλλος οργανισμός, εκτός από το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας και τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, εφόσον ενεργούν υπό την άμεση εποπτεία ή για λογαριασμό του υπεύθυνου επεξεργασίας.

“Αποδέκτης”, είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή ή υπηρεσία, ή οποιοσδήποτε άλλος οργανισμός, στον οποίο ανακοινώνονται ή μεταδίδονται τα δεδομένα, ανεξαρτήτως αν πρόκειται για τρίτο ή όχι.

“Συγκατάθεση” του υποκειμένου των δεδομένων, είναι κάθε ελεύθερη, ρητή και ειδική δήλωση βουλήσεως, που εκφράζεται με τρόπο σαφή, και εν πλήρη επιγνώσει, και με την οποία, το υποκείμενο των δεδομένων, αφού προηγουμένως ενημερωθεί, δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν. Η ενημέρωση αυτή περιλαμβάνει πληροφόρηση τουλάχιστον για τον σκοπό της επεξεργασίας, τα δεδομένα ή τις κατηγορίες δεδομένων που αφορά η επεξεργασία, τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, καθώς και το όνομα, την επωνυμία και τη διεύθυνση του υπεύθυνου επεξεργασίας και του τυχόν εκπροσώπου του. Η συγκατάθεση μπορεί να ανακληθεί οποτεδήποτε, χωρίς αναδρομικό αποτέλεσμα.

 “Αρχή”, είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα που θεσπίζεται στο κεφάλαιο Δ΄ του παρόντος νόμου.

Τα δεδομένα προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας πρέπει:

α) Να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών αυτών.

β) Να είναι συναφή, πρόσφορα, και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας.

γ) Να είναι ακριβή και, εφόσον χρειάζεται, να υποβάλλονται σε ενημέρωση.

δ) Να διατηρούνται σε μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που απαιτείται, κατά την κρίση της Αρχής, για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους. Μετά την παρέλευση της περιόδου αυτής, η Αρχή μπορεί, με αιτιολογημένη απόφασή της, να επιτρέπει τη διατήρηση δεδομένων προσωπικού χαρακτήρα για ιστορικούς επιστημονικούς ή στατιστικούς σκοπούς, εφ΄ όσον κρίνει ότι δεν θίγονται σε κάθε συγκεκριμένη περίπτωση τα δικαιώματα των υποκειμένων τους ή και τρίτων.

Η τήρηση των παραπάνω διατάξεων  βαρύνει τον υπεύθυνο επεξεργασίας. Δεδομένα προσωπικού χαρακτήρα που έχουν συλλεχθεί ή υφίστανται επεξεργασία κατά παράβαση της προηγούμενης παραγράφου καταστρέφονται με ευθύνη του υπεύθυνου επεξεργασίας. Η Αρχή, εάν εξακριβώσει αυτεπαγγέλτως ή μετά από σχετική καταγγελία παράβαση των διατάξεων της προηγούμενης παραγράφου, επιβάλλει την διακοπή της συλλογής ή της επεξεργασίας και την καταστροφή των δεδομένων προσωπικού χαρακτήρα που έχουν ήδη συλλεγεί ή τύχει επεξεργασίας.

O νέος Γενικός Κανονισμός 679/2016  δεν παρεκκλίνει ουσιωδώς από τις γενικές αρχές του υφιστάμενου πλαισίου προστασίας των προσωπικών δεδομένων, αλλά επιχειρεί να δημιουργήσει ένα αυστηρότερο θεσμικό πλαίσιο επεξεργασίας των προσωπικών δεδομένων και κατ’ επέκταση προστασίας τους.  Χαρακτηρίζεται ιδίως από την ριζική αλλαγή του συστήματος ευθύνης για τήρηση της νομοθεσίας εισάγοντας την αρχή της Λογοδοσίας (Accountability Principle), σύμφωνα με τον οποίο οι εταιρείες που συλλέγουν και επεξεργάζονται προσωπικά δεδομένα οφείλουν να διαμορφώσουν τις διαδικασίες και τα τεχνικά και οργανωτικά συστήματα τους κατά τέτοιο τρόπο ώστε να είναι πλήρως συμμορφωμένες με όσα προβλέπει ο νέος Κανονισμός. Το βάρος απόδειξης μεταφέρεται από τις Αρχές Προστασίας Προσωπικών Δεδομένων στις εταιρείες, οι οποίες οφείλουν να αποδεικνύουν σε οποιαδήποτε περίπτωση ελέγχου ότι είναι πλήρως εναρμονισμένες με τις διατάξεις του Κανονισμού.  Περαιτέρω, ο Κανονισμός επιτάσσει την ύπαρξη ξεκάθαρης συναίνεσης του υποκειμένου των δεδομένων για κάθε σκοπό επεξεργασίας. Το γεγονός αυτό δημιουργεί την ανάγκη άμεσου εκσυγχρονισμού των μεθόδων και συστημάτων που εφαρμόζονται για την επεξεργασία των προσωπικών δεδομένων ούτως ώστε να τηρούνται οι αυστηρές προϋποθέσεις συγκατάθεσης και επεξεργασίας. Το πεδίο εφαρμογής του αφορά τα  δεδομένα προσωπικού χαρακτήρα κάθε εν ζωή φυσικού προσώπου, δηλαδή κάθε πληροφορία που αφορά ταυτοποιημένο φυσικό πρόσωπο ή κάθε πληροφορία που μπορεί άμεσα ή έμμεσα να ταυτοποιήσει ένα φυσικό πρόσωπο, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης ή σε στοιχεία που αφορούν τη σωματική, ψυχολογική, οικονομική ή κοινωνική κατάσταση του εν λόγω φυσικού προσώπου. Δεν αφορά λοιπόν τα δεδομένα των νομικών προσώπων (εταιρειών κ.λπ). Αφορά όμως τα δεδομένα μιας Μονοπρόσωπης εταιρίας ή μιας ατομικής επιχείρησης που νομικά αντιμετωπίζεται ως φυσικό πρόσωπο.

Η επεξεργασία των προσωπικών δεδομένων είναι η κάθε  πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
Η επεξεργασία είναι νόμιμη εφόσον συντρέχουν τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,
β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

O Νέος Κανονισμός εφαρμόζεται όταν ο υπεύθυνος ή ο εκτελών την επεξεργασία των δεδομένων προσωπικού χαρακτήρα έχει την εγκατάστασή του στην ΕΕ, ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης και  στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με:
α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή
β) την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.

Βασική καινοτομία είναι η  κατάργηση της γενικής υποχρέωσης γνωστοποίησης προς την εποπτική αρχή (δηλ. την εκάστοτε αρμόδια Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) της επεξεργασίας, η οποία βάρυνε τους υπευθύνους επεξεργασίας και μόνο. Την καταργούμενη αυτή υποχρέωση ο νέος ΓΚΠΔ αντικαθιστά με την υποχρέωση για τους υπευθύνους επεξεργασίας να τηρούν αρχεία των δραστηριοτήτων επεξεργασίας όλων των δεδομένων προσωπικού χαρακτήρα, για τις οποίες είναι υπεύθυνοι, καθώς και με την υποχρέωση για τους εκτελούντες την επεξεργασία να τηρούν αρχεία όλων των κατηγοριών δραστηριοτήτων επεξεργασίας, που διεξάγονται για λογαριασμό υπευθύνου επεξεργασίας (Βλ. άρθρο 30 του ΓΚΠΔ).

Εισάγεται η υποχρέωση του υπεύθυνου επεξεργασίας προς διενέργεια εκτίμησης αντικτύπου (Data protection impact assessment – DPIA) σχετικά με την προστασία δεδομένων σε συγκεκριμένες κατηγορίες επεξεργασιών. Ειδικότερα, ο υπεύθυνος επεξεργασίας υποχρεούται ρητά σε διενέργεια DPIA πριν από την κρίσιμη επεξεργασία κάθε φορά που ένα είδος επεξεργασίας, ιδίως με τη χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας αυτής, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. (Βλ. άρθρο 35 παρ. 1 ΓΚΠΔ).

Εισάγεται η υποχρέωση για κατηγορίες υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία, να ορίσουν Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer-DPO) στη βάση συγκεκριμένων ποιοτικών κριτηρίων, που περιλαμβάνουν τη διενέργεια συγκεκριμένων τύπων επεξεργασιών. Επίσης ορίζονται οι περιπτώσεις υποχρεωτικού ορισμού DPO και παρέχεται η ευχέρεια όπως ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ή ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων ή εκτελούντων επεξεργασία, ορίσουν DPO και πέραν των περιπτώσεων του υποχρεωτικού ορισμού τούτου.
Η ύπαρξη και λειτουργία του DPO είναι εξαιρετικά σημαντική για τις εταιρείες διότι ουσιαστικά αυτός θα είναι το πρόσωπο που θα κατευθύνει τον οργανισμό προς την ολοκλήρωση και τήρηση ενός ικανού προγράμματος συμμόρφωσης με τον ΓΚΠΔ, θα διαχειριστεί τυχόν καταγγελίες και παραβάσεις και θα εκπροσωπήσει την εταιρεία στην εποπτική αρχή για κάθε σχετικό ζήτημα. Για το λόγο αυτό ακόμα και όταν δεν είναι υποχρεωτικός ο διορισμός DPO, θα ήταν ιδιαίτερα συμφέρον για κάθε εταιρεία να έχει εθελοντικά ορίσει έναν DPO. Ο ΓΚΠΔ δεν προβλέπει ειδικά κριτήρια ή πιστοποιήσεις για την επιλογή του DPO, θεωρεί όμως ότι θα πρέπει να είναι πρόσωπο με μεγάλη εμπειρία στη νομοθεσία των προσωπικών δεδομένων και τη διαχείριση τυχόν σχετικών παραβάσεων.

Ενθαρρύνεται ιδιαιτέρως η σύνταξη κωδίκων δεοντολογίας από ενώσεις και άλλους φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία προκειμένου να προσδιορίσουν την εφαρμογή του ΓΚΠΔ (αρθ. 40 ΓΚΠΔ), καθώς και η θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων, με σκοπό την απόδειξη συμμόρφωσης προς το ΓΚΠΔ (αρθ. 42). Σημειώνεται βέβαια, ότι αμφότερες οι περιπτώσεις αυτές δεν λειτουργούν ως απαλλακτικοί λόγοι ευθύνης.

Με το νέο Κανονισμό εκτοξεύεται το ύψος των επαπειλούμενων διοικητικών προστίμων σε περίπτωση διαπίστωσης παράβασης των διατάξεων του Κανονισμού, εφόσον δεν λαμβάνονται άλλα μέτρα.

Έτσι, συγκεκριμένες παραβάσεις των υποχρεώσεων των υπευθύνων και εκτελούντων επεξεργασία επισύρουν πρόστιμα έως 10.000.000 € ή σε περίπτωση επιχειρήσεων έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (όποιο είναι υψηλότερο). Είναι, δε, χαρακτηριστικό ότι και αυτή η απουσία των κατάλληλων οργανωτικών μέτρων για συμμόρφωση με τον ΓΚΠΔ δύναται να επισύρει το εν λόγω πρόστιμο, χωρίς καν να υφίσταται περίπτωση παράβασης.

Τα βαρύτερα πρόστιμα επιφυλάσσονται για τις παραβάσεις σε βάρος των δικαιωμάτων των υποκειμένων των δεδομένων, των βασικών αρχών για την επεξεργασία, της διαβίβασης δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό και τη μη συμμόρφωση προς εντολή ή προς προσωρινό ή οριστικό περιορισμό της επεξεργασίας ή προς αναστολή της κυκλοφορίας δεδομένων που επιβάλλει η εποπτική αρχή ή μη παροχή πρόσβασης. Στις περιπτώσεις αυτές επιβάλλονται διοικητικά πρόστιμα έως 20.000.000 € ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

 

Leave a Reply