+30-210-3633004
·
[email protected]
Επικοινωνια

GDPR: Ενημέρωση και διευκρινήσεις ως προς την εφαρμογή του Γενικού Κανονισμού 2016/679.

Την 25η Μαΐου του έτους 2018, τέθηκε σε εφαρμογή ο υπ’ αριθμ. 2016/679 Κανονισμός με τίτλο «Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων». Το νέο αυτό ενωσιακό νομοθέτημα, το οποίο αντικατέστησε την Οδηγία 95/46/ΕΚ, διευρύνει τα δικαιώματα των υποκειμένων των προσωπικών δεδομένων και αυστηροποιεί τις υποχρεώσεις των υπευθύνων επεξεργασίας, που πλέον επεκτείνονται, εν μέρει, και στους εκτελούντες την επεξεργασία. Επιπλέον, καθορίζει νέες διαδικασίες και μέσα για την αποτελεσματικότερη δυνατή εφαρμογή και τον έλεγχο του σεβασμού των κανόνων προστασίας.

Σημειώνεται ότι ο εν λόγω Κανονισμός έχει άμεση ισχύ σε όλα τα κράτη – μέλη της Ευρωπαϊκής Ένωσης, αλλά αναμένεται και η έκδοση Νόμου, με τον οποίο θα εξειδικεύονται κάποιες ρυθμίσεις, στο μέτρο που παρέχεται η δυνατότητα αυτή από τον ίδιο το Γενικό Κανονισμό.

Εν αναμονή έκδοσης της σχετικής νομοθεσίας με σκοπό την πλήρη συμμόρφωση και εναρμόνιση με το Γενικό Κανονισμό, σας επισημαίνουμε τα κάτωθι:

  1. Ο παρών Κανονισμός δεν καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν νομικά πρόσωπα και ιδίως επιχειρήσεις συσταθείσες ως νομικά πρόσωπα, περιλαμβανομένων της επωνυμίας, του τύπου και των στοιχείων επικοινωνίας του νομικού προσώπου. Η προστασία που παρέχει ισχύει για τα φυσικά πρόσωπα που βρίσκονται στην Ευρωπαϊκή Ένωση και εφαρμόζεται τόσο στην επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα όσο και στη χειροκίνητη επεξεργασία, εάν τα δεδομένα προσωπικού χαρακτήρα περιέχονται ή προορίζονται να περιληφθούν σε σύστημα αρχειοθέτησης.
  2. H συγκατάθεση του Υποκειμένου ως προς την επεξεργασία των προσωπικών του δεδομένων θα πρέπει να παρέχεται με σαφή θετική ενέργεια η οποία να συνιστά ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει ένδειξη της συμφωνίας του υποκειμένου υπέρ της επεξεργασίας των δεδομένων που το αφορούν, για παράδειγμα με γραπτή δήλωση, μεταξύ άλλων με ηλεκτρονικά μέσα ή με προφορική δήλωση. Αυτό θα μπορούσε να περιλαμβάνει τη συμπλήρωση ενός τετραγωνιδίου κατά την επίσκεψη σε διαδικτυακή ιστοσελίδα, την επιλογή των επιθυμητών τεχνικών ρυθμίσεων για τις υπηρεσίες της κοινωνίας των πληροφοριών ή μια δήλωση ότι το υποκείμενο αποδέχεται την πρόταση επεξεργασίας των οικείων δεδομένων προσωπικού χαρακτήρα. Συνεπώς, η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια δεν θα πρέπει να εκλαμβάνονται ως συγκατάθεση.
  3. Σύμφωνα με το Γενικό Κανονισμό θα πρέπει να διασφαλίζεται ότι το διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα περιορίζεται στο ελάχιστο δυνατό, δίχως ωστόσο να ορίζεται κάποια προθεσμία διατήρησης του αρχείου με τα προσωπικά δεδομένα του Υποκειμένου. Στην αιτιολογική σκέψη του Κανονισμού αναφέρεται ότι προκειμένου να διασφαλιστεί πως τα δεδομένα προσωπικού χαρακτήρα δεν διατηρούνται περισσότερο από όσο είναι αναγκαίο, ο υπεύθυνος επεξεργασίας θα πρέπει να ορίζει προθεσμίες για τη διαγραφή τους ή για την περιοδική επανεξέτασή τους. Αναμένεται, όμως, και η έκδοση του σχετικού νόμου προς περαιτέρω διευκρίνιση του εν λόγω ζητήματος.
  4. Όσον αφορά την επεξεργασία των «ευαίσθητων προσωπικών δεδομένων», αυτή είναι δυνατή μόνο υπό τις περιοριστικά αναφερόμενες προϋποθέσεις που ορίζονται στο άρθρο 9 του Κανονισμού. Στο σημείο αυτό ανακύπτει ένα ζήτημα αναφορικά με το καθεστώς που ίσχυε δυνάμει του άρθρου 7 του Ν. 2472/1997, όπου απαιτούνταν άδεια της Αρχής για την επεξεργασία των «ευαίσθητων προσωπικών δεδομένων», και του παρόντος ενωσιακού νομοθετήματος. Ειδικότερα, ο νέος Κανονισμός κατήργησε την γενική υποχρέωση γνωστοποίησης της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στις εποπτικές αρχές. Παρέχεται η εξουσιοδότηση στα κράτη – μέλη, στο πλαίσιο των ειδικότερων εθνικών ρυθμίσεων που επιτρέπεται να εισαχθούν για την εφαρμογή του Γενικού Κανονισμού, να διατηρήσουν ή να θεσπίσουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, μόνο όσον αφορά την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία. Η ευχέρεια, όμως, αυτή, τόσο για τη θέσπιση νέων όσο και για τη διατήρηση υφιστάμενων όρων, πρέπει να ασκηθεί εντός του πλαισίου του εισαγόμενου με τον Γενικό Κανονισμό συστήματος, σύμφωνα με το οποίο δεν προβλέπεται αδειοδότηση για την παραπάνω επεξεργασία. Κατά ακολουθία των ανωτέρω και εφόσον δεν έχει ακόμη εκδοθεί ο εθνικός νόμος, ο οποίος θα μπορούσε να προβλέψει, μεταξύ άλλων, την έκδοση αδείας ως προϋπόθεση της επεξεργασίας των αναφερόμενων στο άρθρο 9 παρ. 4 του Γενικού Κανονισμού κατηγοριών δεδομένων, οι διατάξεις του άρθρου 7 του Ν. 2472/1997, δεν τυγχάνουν πλέον εφαρμογής από 25-05-2018, ως αντίθετες προς τον Κανονισμό. Ως εκ τούτου, η Αρχή δεν έχει πλέον αρμοδιότητα χορηγήσεως αδειών για την επεξεργασία και για την λειτουργία αρχείου με βάση το άρθρο 7 του Ν. 2472/1997.
  5. O Γενικός Κανονισμός για την Προστασία Δεδομένων εισάγει για πρώτη φορά αναλυτικές διατάξεις για το ρόλο, τις παρεχόμενες εγγυήσεις και τα καθήκοντα του Υπευθύνου Προστασίας των Δεδομένων, ο οποίος βρίσκεται πλέον στο επίκεντρο του νέου νομικού πλαισίου. Ειδικότερα, ορίζεται ότι υπό συγκεκριμένες προϋποθέσεις, ορισμένοι υπεύθυνοι αλλά και εκτελούντες την επεξεργασία υποχρεούνται πλέον να ορίζουν υπεύθυνο προστασίας δεδομένων.Ο Υπεύθυνος Προστασίας Δεδομένων διευκολύνει τη συμμόρφωση του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία με τις διατάξεις του Γενικού Κανονισμού και μεσολαβεί μεταξύ των ενδιαφερόμενων. Ο ρόλος του είναι συμβουλευτικός και δε φέρει προσωπική ευθύνη για τη μη συμμόρφωση με τον Κανονισμό. Υπεύθυνος να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία είναι σύννομη, καθίσταται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία.Ο ορισμός του Υπευθύνου Προστασίας Δεδομένων είναι υποχρεωτικός όταν α) η επεξεργασία διενεργείται από δημόσια αρχή ή δημόσιο φορέα, β) απαιτείται τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα και γ) διενεργείται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.Στο σημείο αυτό τονίζεται ότι η «επεξεργασία σε μεγάλη κλίμακα» παραμένει ασαφής και αόριστη έννοια στα πλαίσια του Γενικού Κανονισμού. Ενδεικτικά, για τον προσδιορισμό της μεγάλης κλίμακας επεξεργασίας πρέπει να λαμβάνονται υπόψη α) ο αριθμός των εμπλεκομένων υποκειμένων, ο όγκος και το εύρος των δεδομένων, η διάρκεια της επεξεργασίας και η γεωγραφική έκταση της επεξεργασίας. Αν μια επιχείρηση δεν υπάγεται στις περιπτώσεις υποχρεωτικού ορισμού Υπευθύνου Προστασίας Δεδομένων, δύναται να ορίσει τέτοιον, για τον οποίο θα ισχύουν οι ίδιες απαιτήσεις, ως εάν ο ορισμός να ήταν υποχρεωτικός. Ο Υπεύθυνος Προστασίας Δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία (εσωτερικός υπεύθυνος) ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών (εξωτερικός συνεργάτης). Συνιστάται να είναι εγκατεστημένος εντός Ευρωπαϊκής Ένωση, ανεξάρτητα από το εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι ή όχι εγκατεστημένοι στην Ευρωπαϊκή Ένωση. Δεσμεύεται από την τήρηση απορρήτου και εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του και όταν ασκεί πρόσθετα καθήκοντα θα πρέπει αυτά να μη συνεπάγονται σύγκρουση συμφερόντων, παραδείγματος χάρη δεν μπορεί να κατέχει θέση από την οποία μπορεί να καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας, όπως θέσεις ανώτερης διοίκησης. Ο Κανονισμός  δεν θέτει κάποια υποχρεωτική απαίτηση για πιστοποίηση του Υπεύθυνου Προστασίας Προσωπικών Δεδομένων, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση. Διορίζεται βάσει ιδίως της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων του.
  6. Με το νέο Κανονισμό προβλέπεται υποχρέωση για τον υπεύθυνο και τον εκτελούντα την επεξεργασία να ανακοινώνουν στην εποπτική αρχή στοιχεία επικοινωνίας που αφορούν τον ορισμό του υπευθύνου προστασίας δεδομένων. Στο πλαίσιο αυτό η Αρχή Προστασίας Προσωπικών Δεδομένων έχει αναρτήσει στην ιστοσελίδα της Ειδικό Έντυπο, το οποίο καλούνται να συμπληρώνουν οι υπεύθυνοι και εκτελούντες την επεξεργασία προκειμένου να ανακοινώσουν στην Αρχή τον ορισμό του Υπευθύνου Προστασίας σύμφωνα με την προαναφερθείσα υποχρέωσή τους. Το έντυπο αποστέλλεται ηλεκτρονικά στη διεύθυνση που υποδεικνύεται στην ως άνω ιστοσελίδα. Η υποχρέωση ανακοίνωσης ορισμού Υπευθύνου Προστασίας Προσωπικών Δεδομένων ικανοποιείται ΜΟΝΟ με την υποβολή του συγκεκριμένου εντύπου και οποιαδήποτε προηγούμενη της 25ης-05-2018 δήλωση στοιχείων υπευθύνου προστασίας δεδομένων υποβλήθηκε στην Αρχή, ΔΕΝ λαμβάνεται υπόψη.
  7. Σύμφωνα με το άρθρο 30 του Γενικού Κανονισμού κάθε υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία, καθώς και κατά περίπτωση οι εκπρόσωποί τους, οφείλουν να τηρούν ένα αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνοι. Το αρχείο αυτό δεν είναι σημαντικό μόνο γιατί αποτελεί υποχρέωση από το ως άνω άρθρο ως εργαλείο λογοδοσίας αλλά και γιατί είναι χρήσιμο για τη σωστή οργάνωση των διαδικασιών χειρισμού των τηρούμενων προσωπικών δεδομένων. Το αρχείο δραστηριοτήτων τηρείται εσωτερικά στην επιχείρηση και τίθεται στη διάθεση της εποπτικής αρχής κατόπιν σχετικού αιτήματος. Επισημαίνεται ότι επιχειρήσεις ή οργανισμοί που απασχολούν λιγότερα από διακόσια πενήντα άτομα, δεν υπόκεινται στην ως άνω υποχρέωση, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 και 10 του Κανονισμού.
  8. Ιδιαίτερης προσοχής χρήζουν τα cookies, τα οποία ο νέος Κανονισμός θεωρεί προσωπικά δεδομένα, όταν μέσω αυτών δύναται να ταυτοποιηθεί το φυσικό πρόσωπο – χρήστης της ιστοσελίδας. Συνεπεία αυτού, θα πρέπει, ο χρήστης της εκάστοτε ιστοσελίδας, να παράσχει τη ρητή συγκατάθεσή του ως προς τη χρήση των cookies, πριν τη συλλογή και επεξεργασία των δεδομένων του. Αυτό σημαίνει ότι θα πρέπει να αναθεωρηθεί η πολιτική απορρήτου και χρήσης των cookies κάθε ιστοσελίδας ώστε να είναι σύμφωνη με το νέο Κανονισμό και να παρέχεται η δυνατότητα στον χρήστη να συναινέσει ή να μη συναινέσει στην επεξεργασία των προσωπικών του δεδομένων μέσω των cookies. Επιπλέον, θα πρέπει να έχει τη δυνατότητα να ανακαλέσει οιαδήποτε στιγμή την τυχόν δοθείσα συγκατάθεσή του και να υποβάλλει αίτημα διαγραφής τω δεδομένων που τον αφορούν.
  9. Σημαντική καινοτομία του Γενικού Κανονισμού είναι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα μέσω της «ψευδωνυμοποίησης». Η επεξεργασία, δηλαδή, λαμβάνει χώρα κατά τρόπο ώστε τα δεδομένα προσωπικού χαρακτήρα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.

Στο πλαίσιο εφαρμογής του ως άνω Γενικού Κανονισμού εξεδόθη και η υπ’ αριθμ. 680/2016 Οδηγία του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016, δυνάμει της οποίας θεσπίζονται κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και δίδονται κατευθυντήριες γραμμές στα κράτη – μέλη ως προς τη λήψη των κατάλληλων μέτρων με απώτερο σκοπό την πλήρη συμμόρφωση και εναρμόνιση της εκάστοτε εθνικής νομοθεσίας των με τις διατάξεις του παρόντος Κανονισμού.

Σε κάθε περίπτωση ο Κανονισμός ενέχει τη δυνατότητα να εξασφαλίσει στα πρόσωπα πληρέστερη και ουσιαστικότερη ενημέρωση, η δε αποτελεσματικότητα των διατάξεών του αναμένεται να αξιολογηθεί κατά την εφαρμογή του, εν αναμονή μάλιστα της έκδοσης εθνικής νομοθεσίας προς διευκρίνιση των ειδικότερων διατάξεων που θα τύχουν εφαρμογής.