Ο Νέος Γενικός Κανονισμός της ΕΕ 2016/679 για την προστασία των προσωπικών δεδομένων/ GDPR. 2016/679.
Η σημαντική αύξηση των διασυνοριακών ροών δεδομένων προσωπικού χαρακτήρα, οι ραγδαίες τεχνολογικές εξελίξεις, η παγκοσμιοποίηση και το γεγονός, ότι τα ίδια τα φυσικά πρόσωπα δημοσιοποιούν ολοένα και ευκολότερα τα προσωπικά τους δεδομένα μέσα από τις ιστοσελίδες κοινωνικής δικτύωσης, δημιουργούν νέες προκλήσεις για την προστασία των προσωπικών δεδομένων. Οι εξελίξεις αυτές οδήγησαν μεταξύ άλλων σύμφωνα με τις αιτιολογικές σκέψεις του Γενικού Κανονισμού Προστασίας Δεδομένων /GPDR στην ανάγκη θέσπισης αυτού.
Ο GDPR υιοθετήθηκε προκειμένου να μην υπάρχουν διαφορές μεταξύ των κρατών μελών στους νόμους προστασίας των δεδομένων προσωπικού χαρακτήρα και για να αναμορφώσει τον τρόπο που οι οργανώσεις προσεγγίζουν τα προσωπικά δεδομένα. Ο Κανονισμός ενισχύει τα θεμελιώδη δικαιώματα των ευρωπαίων κατοίκων για τα προσωπικά τους δεδομένα και ελέγχει υπεύθυνους επεξεργασίας και εκτελούντες την επεξεργασία, όταν είναι υπεύθυνοι για την παραβίαση του GPDR.
Η παρούσα επισκόπηση αναφέρεται στις βασικές διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) με σκοπό να βοηθήσει τους οργανισμούς και εταιρείες να κατανοήσουν το νέο νομικό πλαίσιο που θα ισχύσει στην ΕΕ από το Μάιο 2018.
Ο Kανονισμός (GDPR 2016/679) θα είναι άμεσα εφαρμοστέος σε όλα τα κράτη μέλη της ΕΕ με ημερομηνία εφαρμογής του νόμου την 25 η Μαΐου 2018. Αντικαθιστά την Οδηγία 95/46 / ΕΚ που αφορούσε στην προστασία των δεδομένων, η οποία είχε υιοθετηθεί στην Ελλάδα με το νόμο 2472 / 1997.
Απαιτείται δε ιδιαίτερη προσοχή καθώς η μη συμμόρφωση στις διατάξεις του, επισύρει πολύ σοβαρά διοικητικά πρόστιμα από την αρμόδια Εποπτική Αρχή, τα οποία μπορούν να φθάσουν ανάλογα με τις διατάξεις που παραβιάζονται έως 20.000.000 Ευρώ ή σε περίπτωση επιχειρήσεων έως το 4% του συνολικού παγκοσμίου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους ανάλογα με το ποιο είναι υψηλότερο.
Ο Κανονισμός ισχύει για όλα τα υποκείμενα δεδομένων (πρόσωπα) εντός της ΕΕ, αλλά αφορά και οργανώσεις που βρίσκονται εκτός της ΕΕ, εφόσον παρακολουθούν ή επεξεργάζονται προσωπικά δεδομένα κατά τη διάρκεια των συναλλαγών τους.
Εν συντομία, ο Κανονισμός ορίζει ότι:
Προσωπικά δεδομένα είναι κάθε πληροφορία που αναφέρεται σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, άμεσα ή έμμεσα.
Επεξεργασία νοείται κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, η χρήση, κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλης μορφή διάθεσης , η συσχέτιση, ή ο συνδυασμός , ο περιορισμός, η διαγραφή ή η καταστροφή
Ο υπεύθυνος επεξεργασίας είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που μόνος ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας των προσωπικών δεδομένων.
Ο εκτελών την επεξεργασία είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας.
Σύμφωνα με τον Kανονισμό, τα προσωπικά δεδομένα πρέπει να
- υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),
- συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· («περιορισμός του σκοπού»),
- είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),
- είναι ακριβή και, όταν είναι αναγκαίο, να επικαιροποιούνται («ακρίβεια»),
- διατηρούνται μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα·
- υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, («ακεραιότητα και εμπιστευτικότητα»).
Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, την συνδικαλιστική δράση, καθώς και την επεξεργασία των γενετικών δεδομένων, βιομετρικών δεδομένων, τα δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή ενός φυσικού προσώπου ή του γενετήσιου προσανατολισμού του (ευαίσθητα), απαγορεύονται, και κάθε απόκλιση από τον κανόνα αυτό υπόκειται σε αυστηρές προϋποθέσεις βάσει του Κανονισμού.
Η νομιμότητα της επεξεργασίας στηρίζεται σε διάφορες νομικές βάσεις. Ετσι είναι σύννομη εφόσον είναι απαραίτητη
για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος (π.χ. για την σύναψη σύμβασης πώλησης) ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
ή για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας (πχ. Υποχρεώσεις που προκύπτουν από την εργατική νομοθεσία),
ή για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου (π.χ. σε περίπτωση διακινδύνευσης της υγείας του),
ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
ή είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί (δηλ στην περίπτωση αυτή γίνεται μια στάθμιση μεταξύ του έννομου συμφέροντος και της προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου).
Εφόσον δεν υπάρχουν οι ανωτέρω νομικές βάσεις, η νόμιμη επεξεργασία των προσωπικών δεδομένων στηρίζεται στην συγκατάθεση του υποκειμένου των προσωπικών δεδομένων. Η συγκατάθεση είναι κατά τους ορισμούς του κανονισμού κάθε ένδειξη βουλήσεως, ελεύθερη συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί με δήλωση ή σαφή θετική ενέργεια να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν. Θα πρέπει να σημειωθεί ότι το υποκείμενο έχει και το δικαίωμα της οποιαδήποτε στιγμή ανάκλησης της συγκατάθεσής του, η οποία θα πρέπει να γίνεται το ίδιο εύκολα, χωρίς όμως λόγω της ανάκλησης να θίγεται η νομιμότητα της επεξεργασίας που έχει διενεργηθεί προ της ανακλήσεως.
Ο GDPR αναφέρεται επίσης στα παιδιά. Ο γονικός έλεγχος απαιτείται για την επεξεργασία των προσωπικών δεδομένων παιδιών ηλικίας κάτω των 16 ετών για τις online υπηρεσίες. Η επεξεργασία χωρίς τη συγκατάθεση των γονέων δεν είναι σύννομη για παιδιά ηλικίας κάτω των 16.
Κατά το χρόνο που γίνεται η συλλογή των προσωπικών δεδομένων από τον υπεύθυνο επεξεργασίας, ο υπεύθυνος επεξεργασίας οφείλει, να παράσχει στο υποκείμενο των δεδομένων πληροφορίες που εξασφαλίζουν τη δίκαιη και διαφανή επεξεργασία όπως τους παραλήπτες δεδομένων κλπ.
Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας, επιβεβαίωση, ως προς το εάν ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, αποτελούν αντικείμενο επεξεργασίας και να διασφαλίσει την πρόσβαση του σε αυτά. Περαιτέρω το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει τη διόρθωση, τη διαγραφή (δικαίωμα στη λήθη), τον περιορισμό της επεξεργασίας των προσωπικών δεδομένων, να λαμβάνει τα προσωπικά δεδομένα που τον αφορούν (φορητότητα των δεδομένων), και το δικαίωμα εναντίωσης στην επεξεργασία των προσωπικών δεδομένων σύμφωνα με τους όρους και προϋποθέσεις που αναφέρονται στον ΓΚΠΔ για κάθε επιμέρους αναφερόμενο δικαίωμα.
Τέλος έχει το δικαίωμα να υποβάλλει καταγγελία στην εποπτική Αρχή.
Μπορεί να υπάρξουν κάποιοι περιορισμοί στα δικαιώματα και τις υποχρεώσεις που απορρέουν από το GDPR, όσον αφορά στην εθνική ασφάλεια, την άμυνα, την δημόσια ασφάλεια κ.λπ.
Σε περίπτωση που ο υπεύθυνος επεξεργασίας αναθέτει σε άλλον (εκτελούντα την επεξεργασία) την επεξεργασία των προσωπικών δεδομένων, ο εκτελών την επεξεργασία θα πρέπει να παρέχει επαρκείς διαβεβαιώσεις για την εφαρμογή των τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις προϋποθέσεις του Κανονισμού, ενώ η μεταξύ τους συνεργασία διέπεται από σύμβαση η οποία περιέχει τουλάχιστον τους αναγκαίους όρους που περιγράφονται στον Κανονισμό.
Με τον Κανονισμό προβλέπεται ο διορισμός υπευθύνου προστασίας προσωπικών δεδομένων, ο οποίος δεν προβλεπόταν σύμφωνα με το εθνικό μας δίκαιο μέχρι τώρα. Είναι υψίστης σημασίας να σημειωθεί ότι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:
α) η επεξεργασία πραγματοποιείται από δημόσια αρχή ή οργανισμό, εκτός από τα δικαστήρια που ενεργούν υπό την ιδιότητά τους ως δικαστικοί ·
β) οι κύριες δραστηριότητες του υπεύθυνου επεξεργασίας ή του εκτελούντα την επεξεργασίας συνίστανται στην επεξεργασία δεδομένων που απαιτεί τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα.
γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας και του εκτελούντα την επεξεργασία αποτελούνται από επεξεργασία σε μεγάλη κλίμακα των ειδικών κατηγοριών δεδομένων, (ευαίσθητα) καθώς και τα προσωπικά δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.
Προβλέπονται τέλος τόσο η θέση του υπευθύνου προστασίας μέσα στον οργανισμό, τα προσόντα του όσο και τα καθήκοντα και η ευθύνη του.
Ο υπεύθυνος επεξεργασίας έχει πλήθος υποχρεώσεων όχι μόνο έναντι των υποκειμένων αλλά και έναντι της Εποπτικής Αρχής προκειμένου να μπορεί οποιαδήποτε στιγμή να αποδείξει την νομιμότητα της επεξεργασίας των προσωπικών δεδομένων των υποκειμένων.
Έτσι υποχρεούται να διασφαλίζει εξ ορισμού εφαρμόζοντας τα κατάλληλα τεχνικά και οργανωτικά μέτρα, ότι υφίστανται επεξεργασία μόνο τα προσωπικά δεδομένα που είναι απαραίτητα για τον σκοπό της επεξεργασίας καθώς και να λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, ώστε να πληρούνται οι απαιτήσεις του Κανονισμού τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας, όσο και κατά τη στιγμή της επεξεργασίας. Αυτό σημαίνει, ότι σε περίπτωση που υπάρχει αναγκαιότητα εισαγωγής νέας τεχνολογίας στον οργανισμό ή στην επιχείρηση θα πρέπει γίνεται εκτίμηση επιπτώσεων που θα έχει αυτό για την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των προσώπων σύμφωνα με το αρ. 35 του Κανονισμού.
Επίσης ο υπεύθυνος επεξεργασίας θα πρέπει να τηρεί Αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος, το οποίο θα περιέχει τις πληροφορίες που αναφέρονται στον Κανονισμό. Παρά το γεγονός, ότι η υποχρέωση αυτή δεν αφορά Επιχειρήσεις ή Οργανισμούς που απασχολούν λιγότερα από 250 άτομα, εκτός και αν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου (εδώ ανήκουν περιπτώσεις μέτρων παρακολούθησης ή scoring), η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων (ευαίσθητα προσωπικά δεδομένα και δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα), για το συμφέρον κάθε επιχείρησης, συνίσταται η σύσταση του Αρχείου αυτού γιατί αποτελεί τη βάση για να τεκμηριωθεί η προστασία των προσωπικών δεδομένων καθώς και η απόδειξη αυτής ενώπιον της Εποπτικής Αρχής, όταν ζητηθεί. Η καταγραφή των δραστηριοτήτων επεξεργασίας, οδηγεί στη γνώση των διαδικασιών και στην αναζήτηση στοχευμένων μέτρων που απαιτούνται για την διασφάλιση της νόμιμης επεξεργασίας των προσωπικών δεδομένων.
Ο υπεύθυνος επεξεργασίας θα πρέπει να προσφεύγει στη διενέργεια εκτίμησης επιπτώσεων του αρ. 35 του Κανονισμού σε περίπτωση που επεξεργασία των προσωπικών δεδομένων ιδίως με χρήση νέων τεχνολογιών ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Στην περίπτωση αυτή ενδέχεται να πρέπει να ζητήσει και την γνώμη της εποπτικής αρχής.
Ο υπεύθυνος επεξεργασίας οφείλει να συνεργάζεται με την Eποπτική Aρχή.
Εξαιρετική σημασία τέλος έχει η διαβίβαση δεδομένων προσωπικού χαρακτήρα τα οποία έχουν υποστεί επεξεργασία ή πρόκειται να υποστούν επεξεργασία μετά τη διαβίβασή τους σε τρίτη χώρα ή σε διεθνή οργανισμό, για την οποία υπάρχουν ειδικές προβλέψεις στον Κανονισμό.