GDPR: Συχνές ερωτήσεις για τον Γενικό Κανονισμό Προστασίας Δεδομένων

Τι είναι ο Γενικός Κανονισμός για την Προστασία Δεδομένων;

Ο Κανονισμός 2016/679 της Ευρωπαϊκής Ένωσης, ευρύτερα γνωστός ως Γενικός Κανονισμός για την Προστασία Δεδομένων - ΓΚΠΔ (και στα αγγλικά General Data Protection Regulation - GDPR), ψηφίστηκε στις 27 Απριλίου 2016 και τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης στις 25 Μαΐου 2018.

Πρόκειται για ένα νέο, ενιαίο και άμεσα εφαρμόσιμο νομικό πλαίσιο, το οποίο ρυθμίζει την επεξεργασία δεδομένων προσωπικού χαρακτήρα ατόμων που βρίσκονται στην Ευρωπαϊκή Ένωση, από άλλα άτομα, εταιρείες ή οργανισμούς.

Ο Κανονισμός δεν αφορά στην επεξεργασία δεδομένων προσωπικού χαρακτήρα προσώπων που δεν βρίσκονται στη ζωή ή νομικών προσώπων, όπως, για παράδειγμα, εταιρειών.

Επίσης, ο GDPR δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας και, ως εκ τούτου, χωρίς σύνδεση με κάποια επαγγελματική ή εμπορική δραστηριότητα.

Μόλις τεθεί σε εφαρμογή τον Μάιο του 2018, ο GDPR καταργεί την Οδηγία 95/46/ΕΚ, η οποία είχε ενσωματωθεί από τα κράτη μέλη της ΕΕ, και συγκεκριμένα στην Ελλάδα με τον Νόμο 2472/1997.

Σύμφωνα με το σχέδιο νόμου για τον ελληνικό Νόμο για την Προστασία Δεδομένων, ο Νόμος 2472/1997 επίσης θα καταργηθεί στο σύνολό του.

Με τον νέο Κανονισμό ενισχύονται τα δικαιώματα των υποκειμένων των δεδομένων, αυξάνονται, ποσοτικά και ποιοτικά, οι υποχρεώσεις των υπεύθυνων και εκτελούντων την επεξεργασία και γενικώς ενισχύεται σημαντικά η προστασία των προσωπικών δεδομένων των πολιτών της ΕΕ.

Τα προβλεπόμενα πρόστιμα (μπορεί να φτάσουν τα 20 εκατομμύρια ευρώ ή το 4% του παγκόσμιου τζίρου) σε συνδυασμό με τις αυξημένες υποχρεώσεις συμμόρφωσης που οφείλουν να επιδεικνύουν οι επιχειρήσεις, αποτελούν τεράστια πρόκληση για την αγορά και τη Δημόσια Διοίκηση στην Ελλάδα αλλά και σε ολόκληρη την Ευρωπαϊκή Ένωση.

Μία από τις προκλήσεις που θέτει ο Κανονισμός είναι η κατανόηση του νομικού πλαισίου για την προστασία των δεδομένων από τους πολίτες, χωρίς δυσνόητους και σύνθετους ορισμούς. Αυτόν ακριβώς το στόχο θα επιχειρήσουμε να υποστηρίξουμε στο Lawspot.gr/GDPR, μέσα από μία σειρά ερωτήσεων και απαντήσεων.

Για την πληρέστερη κατανόηση όσων γράφονται εντός της ιστοσελίδας, έχει δημιουργηθεί ένα γλωσσάρι, στο οποίο μπορείτε να αναζητάτε την ερμηνεία των όρων που σχετίζονται με την προστασία προσωπικών δεδομένων.

Τι σημαίνει "Κανονισμός";

Μία από τις κυριότερες πηγές παρανοήσεων σε σχέση με το νέο νομοθετικό πλαίσιο αποτελεί το γεγονός ότι πρόκειται για Κανονισμό της Ευρωπαϊκής Ένωσης. Τι σημαίνει όμως αυτό; Με απλά λόγια, οι Κανονισμοί είναι δεσμευτικές νομοθετικές πράξεις που εκδίδονται όχι σε εθνικό επίπεδο, αλλά σε επίπεδο Ευρωπαϊκής Ένωσης, με συνέπεια η εφαρμογή τους να είναι υποχρεωτική σε όλες τις χώρες της ΕΕ.

Οι Κανονισμοί διαφέρουν από τις Οδηγίες της Ευρωπαϊκής Ένωσης (όπως π.χ. η Οδηγία 95/46/ΕΚ που αποτέλεσε τη βάση για τον Νόμο 2472/1997), καθώς οι τελευταίες ορίζουν έναν στόχο τον οποίο πρέπει μεν να επιτύχουν όλες οι χώρες της ΕΕ, ωστόσο, εναπόκειται σε κάθε χώρα να θεσπίσει τους δικούς της νόμους για την επίτευξή του

Περαιτέρω πληροφορίες για τις διαφορές Οδηγίας - Κανονισμού και γενικότερα σε σχέση με τις νομοθετικές πράξεις της Ευρωπαϊκής Ένωσης είναι διαθέσιμες εδώ.

Ωστόσο, όπως συχνά επισημαίνεται, παρά τον αντικειμενικό στόχο της ενιαίας ρύθμισης και της εξάλειψης των αποκλίσεων μεταξύ των νομοθεσιών των κρατών-μελών, ο GDPR μοιάζει σε αρκετές περιπτώσεις µε Οδηγία.

Και αυτό γιατί περιλαμβάνει δεκάδες «ρήτρες ευελιξίας» μέσω των οποίων επιτρέπεται ή και επιβάλλεται στον εθνικό νομοθέτη να ρυθμίσει επιμέρους ζητήματα.

Για παράδειγμα, ο GDPR αφήνει περιθώριο στα κράτη-μέλη να ορίσουν την ηλικία στην οποία ένας ανήλικος μπορεί να παρέχει νόμιμα τη συγκατάθεσή του για την επεξεργασίας των δεδομένων του, ανάμεσα στα 13 και τα 16 έτη. Ο Έλληνας νομοθέτης έχει επιλέξει, σε επίπεδο σχεδίο νόμου, την ηλικία των 15 ετών.

Το σχέδιο για το νέο ελληνικό Νόμο περί προστασίας προσωπικών δεδομένων μπορείτε να βρείτε εδώ.

Γιατί Κανονισμός και όχι Οδηγία;

Αν και η επιλογή του Κανονισμού από την Ευρωπαϊκή Ένωση δεν έμεινε χωρίς αρνητική κριτική, οι λόγοι για τους οποίους η ΕΕ αποφάσισε να ρυθμίσει το ζήτημα της προστασίας των Προσωπικών Δεδομένων με Κανονισμό και όχι με Οδηγία, είναι εύκολα αντιληπτοί. Ενόψει των ταχύτατων τεχνολογικών εξελίξεων και της ραγδαίας αύξησης των (προσωπικών) δεδομένων, τα οποία είναι πλέον εύκολα διαθέσιμα μέσω του διαδικτύου, της διαρκούς διαβίβασης δεδομένων μεταξύ εταιρειών του ίδιου ομίλου επιχειρήσεων - ή και διαφορετικών - εντός και εκτός των κρατών της Ένωσης, καθώς και της ανάγκης διαμοιρασμού πληροφοριών μεταξύ δημόσιων υπηρεσιών, η ΕΕ βρέθηκε μπροστά σε μια από τις μεγαλύτερες προκλήσεις της σύχρονης εποχής.

Παρά την τεράστια οικονομική και κοινωνική σημασία του διαμοιρασμού πληροφοριών και των εμφανών πλεονεκτημάτων για την σύγχρονη κοινωνία, ελλοχεύουν πάντοτε κίνδυνοι λόγω της πιθανής αλόγιστης εμπορευματοποίησης των πληροφοριών και των δεδομένων των φυσικών προσώπων.

Κρίθηκε, λοιπόν, επιτακτική η ανάγκη ύπαρξης μίας νέας, ενιαίας και (όσο το δυνατόν πιο) λεπτομερούς προσέγγισης, με κανόνες που θα ρυθμίζουν την προστασία των δεδομένων (μέσα, σκοπό/αποτέλεσμα, κύρωση) με τέτοιο τρόπο που δεν θα επιτρέπει την εκμετάλλευση προσωπικών δεδομένων για σκοπούς αθέμιτους εντός των ορίων της Ένωσης, ενώ παράλληλα θα υποχρεώνει όλα τα κράτη-μέλη να επιβάλλουν κανόνες με κοινά μέσα ελεγχόμενης, αν όχι εγγυημένης, αποτελεσματικότητας.

Τι σημαίνει "προσωπικά δεδομένα";

Σύμφωνα με τις βασικές κατευθυντήριες γραμμές που έχει εκδώσει η ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, προσωπικά δεδομένα είναι κάθε πληροφορία που αναφέρεται σε και περιγράφει ένα άτομο, όπως:

  • στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, διεύθυνση κατοικίας, επάγγελμα, οικογενειακή κατάσταση κ.λπ.),
  • φυσικά χαρακτηριστικά, εκπαίδευση, εργασία (προϋπηρεσία, εργασιακή συμπεριφορά κ.λπ),
  • οικονομική κατάσταση (έσοδα, περιουσιακά στοιχεία, οικονομική συμπεριφορά),
  • ενδιαφέροντα, δραστηριότητες, συνήθειες.

Το άτομο (φυσικό πρόσωπο) στο οποίο αναφέρονται τα δεδομένα ονομάζεται υποκείμενο των δεδομένων.

Σύμφωνα με τον ορισμό που δίνεται από τον ίδιο τον Κανονισμό στο άρθρο 4 του GDPR, δεδομένα προσωπικού χαρακτήρα είναι κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»).

Ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας.

Χαρακτηριστικά παραδείγματα αναγνωριστικών στοιχείων ταυτότητας, τα οποία αναφέρονται στον Κανονισμό, είναι το όνομα, ο αριθμός ταυτότητας, τα δεδομένα θέσης (ακόμα και η διεύθυνση κατοικίας/εργασίας), καθώς και τα επιγραμμικά αναγνωριστικά ταυτότητας, όπως η διεύθυνση IP. Ακόμα αναφέρονται και σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.

Πληροφορίες οι οποίες, συλλεγόμενες σε σύνολο, μπορούν να οδηγήσουν στην ταυτοποίηση ενός προσώπου, αποτελούν και αυτές προσωπικά δεδομένα. Προσωπικά δεδομένα που έχουν αποταυτοποιηθεί, κρυπτογραφηθεί ή ψευδωνυμοποιηθεί, αλλά μπορούν να χρησιμοποιηθούν για να ταυτοποιήσουν ένα πρόσωπο, εξακολουθούν να θεωρούνται προσωπικά δεδομένα που εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού.

Προσωπικά δεδομένα, ωστόσο, τα οποία έχουν καταστεί ανώνυμα με τέτοιο τρόπο, ώστε το υποκείμενο να μην μπορεί πλέον να ταυτοποιηθεί, δεν θεωρούνται προσωπικά δεδομένα. Για να έχουν πραγματικά ανωνυμοποιηθεί τα δεδομένα κάποιου προσώπου θα πρέπει η ανωνυμοποίηση να είναι μη αναστρέψιμη. Ωστόσο, θα πρέπει να επισημανθεί ότι η ανωνυμοποίηση, λόγω των σύγχρονων τεχνολογικών δυνατοτήτων, επιτυγχάνεται δύσκολα στην πράξη, με αποτέλεσμα σε περιπτώσεις αμφιβολίας να πρέπει να θεωρούνται δεδομένα υπό ψευδωνυμοποίηση και άρα προσωπικά δεδομένα που εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού.

Τι είναι τα προσωπικά δεδομένα “ειδικών κατηγοριών”;

Τα προσωπικά δεδομένα ειδικών κατηγοριών, τα οποία αναφέρονται στα άρθρα 9 και 10 του GDPR, αποτελούν στην πράξη τα ευαίσθητα προσωπικά δεδομένα του Ελληνικού νόμου 2472/97, τα οποία αναφέρονται στη φυλετική ή εθνική προέλευση του ατόμου, στα πολιτικά του φρονήματα, στις θρησκευτικές ή φιλοσοφικές του πεποιθήσεις, στη συμμετοχή του σε συνδικαλιστική οργάνωση, στην υγεία του, στην κοινωνική του πρόνοια, στην ερωτική του ζωή, στις ποινικές διώξεις και καταδίκες του, καθώς και στη συμμετοχή του σε συναφείς με τα ανωτέρω ενώσεις προσώπων. Τα ευαίσθητα δεδομένα προστατεύονται από τον Νόμο με αυστηρότερες ρυθμίσεις από ότι τα απλά προσωπικά δεδομένα.

Τι σημαίνει "επεξεργασία δεδομένων";

Η έννοια της επεξεργασίας προσωπικών δεδομένων αποτελεί κομβικής σημασίας έννοια γενικώς στο νομικό πλαίσιο προστασίας δεδομένων, αλλά και συγκεκριμένα στον GDPR.

Επεξεργασία δεδομένων συνιστά κάθε εργασία που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα, όπως: συλλογή, καταχώριση, οργάνωση, διατήρηση ή αποθήκευση, τροποποίηση, εξαγωγή, χρήση, διαβίβαση, διάδοση, συσχέτιση ή συνδυασμός, διασύνδεση, δέσμευση, διαγραφή, καταστροφή.

Η επεξεργασία σύμφωνα και με τον GDPR καλύπτει ένα μεγάλο φάσμα δραστηριοτήτων πάνω σε προσωπικά δεδομένα, που περιλαμβάνει τόσο χειροκίνητες μεθόδους όσο και αυτοματοποιημένα μέσα.

Σύμφωνα με τον ορισμό που δίδεται από τον Κανονισμό στο άρθρο 4 (2): «επεξεργασία» συνιστά κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.

Ο Κανονισμός (ΓΚΠΔ) χαρακτηρίζεται ως "τεχνολογικά ουδέτερος", κάτι που σημαίνει πως εφαρμόζεται ανεξάρτητα από την τεχνολογία που χρησιμοποιείται για την επεξεργασία προσωπικών δεδομένων, αλλά και του τρόπου αποθήκευσης (π.χ. ηλεκτρονική ή έντυπη μορφή, κ.ο.κ.). Παράλληλα, ο Κανονισμός καλύπτει τις περιπτώσεις επεξεργασίας προσωπικών δεδομένων τόσο με ολικά ή μερικά αυτοματοποιημένες μεθόδους, όσο και μη-αυτοματοποιημένες μεθόδους, με την προϋπόθεση ότι τα δεδομένα οργανώνονται βάσει προκαθορισμένων κριτηρίων (π.χ. αλφαβητική σειρά).

Παραδείγματα επεξεργασίας αποτελούν: η διαχείριση μισθοδοσίας προσωπικού, η πρόσβαση σε βάση δεδομένων επαφών, που περιλαμβάνει προσωπικά δεδομένα, η αποστολή προωθητικών e-mail, η ανάρτηση φωτογραφιών προσώπων σε ιστότοπο/ιστοσελίδα, η αποθήκευση διεύθυνσης IP ή MAC και η καταγραφή με βίντεο (CCTV).

Δύο είναι οι κύριοι ρόλοι που μπορεί να έχει ένα πρόσωπο κατά την επεξεργασία δεδομένων:

Υπεύθυνος Επεξεργασίας

Σύμφωνα με το άρθρο 4 (7) του ΓΚΠΔ - GDPR, «υπεύθυνος επεξεργασίας» είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.

Εκτελών την επεξεργασία

Σύμφωνα με το άρθρο 4 (8) του ΓΚΠΔ - GDPR «εκτελών την επεξεργασία» είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.

Η διάκριση μεταξύ των δύο ρόλων έχει κομβική σημασία στο νομικό πλαίσιο προστασίας δεδομένων, καθώς συνεπάγεται διαφορετικές, ποιοτικά αλλά και ποσοτικά, ευθύνες σε σχέση με τα δεδομένα και απέναντι στα υποκείμενα των δεδομένων.

Ως προς την ίδια την επεξεργασία των δεδομένων, αυτό που απαιτείται προκειμένου αυτή να θεωρείται θεμιτή, αποτελεί η συμμόρφωση με την αρχή της νομιμότητας επεξεργασίας.

Ειδικότερα, υπάρχουν έξι νομικές βάσεις πάνω στις οποίες μπορεί να θεμελιωθεί η νομιμότητα της επεξεργασίας, όπως αυτές καταγράφονται στο νέο Κανονισμό, ήτοι:

Συγκατάθεση: το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς.

Εκτέλεση σύμβασης: η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης.

Έννομη Υποχρέωση του Υπεύθυνου Επεξεργασίας: η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας.

Διαφύλαξη Ζωτικού Συμφέροντος του Υποκειμένου: η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.

Εκπλήρωση Καθήκοντος: η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.

Έννομο Συμφέρον για σκοπούς του Υπεύθυνου Επεξεργασίας: η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

Σε ποιους εφαρμόζεται (ουσιαστικά) ο Γενικός Κανονισμός;

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων θεσπίζει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και κανόνες που αφορούν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα.

Από τη στιγμή που η σύγχρονη κοινωνία και οικονομία βασίζεται ολοένα και περισσότερο σε δεδομένα, γίνεται εύκολα κατανοητό ότι ο Γενικός Κανονισμός για την Προστασία Δεδομένων αφορά άμεσα ή έμμεσα, λιγότερο ή περισσότερο, το σύνολο των πολιτών, των επιχειρήσεων αλλά και των φορέων/υπηρεσιών του Δημοσίου.

Ο GDPR εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

Η επεξεργασία αυτή μπορεί να γίνεται από ιδιώτη, εταιρεία, ιδιωτικό οργανισμό ή δημόσιες αρχές και φορείς του Δημοσίου τομέα.

Ο GDPR δεν εφαρμόζεται στην επεξεργασία δεδομένων θανόντων ή νομικών οντοτήτων. Επίσης οι διατάξεις του δεν βρίσκουν εφαρμογή σε δεδομένα τα οποία επεξεργάζεται ιδιώτης για καθαρά προσωπική χρήση ή για πράξεις που εκτελούνται για οικιακή χρήση, δεδομένου πάντα ότι δεν συνδέονται με κάποια επαγγελματική ή εμπορική δραστηριότητα.

Ο GDPR δεν εφαρμόζεται επίσης στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:

  1. στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης,
  2. από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του κεφαλαίου 2 του τίτλου V της Συνθήκης για την ΕΕ (σχετικά με την κοινή εξωτερική πολιτική και πολιτική ασφάλειας και άμυνας),
  3. από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης

Σε ποιους εφαρμόζεται (εδαφικά) ο Γενικός Κανονισμός;

Η Ευρωπαϊκή Ένωση έχει δεχθεί κριτική σχετικά με την εδαφική ισχύ του GDPR, με απλά λόγια σχετικά με το ποιοι θα κληθούν να συμμορφωθούν με τις διατάξεις του.

Ο GDPR έχει ως σαφή στόχο την όσο το δυνατόν πιο ευρεία εφαρμογή του, προκειμένου να προστατεύσει με τον πιο αποτελεσματικό τρόπο τους πολίτες της Ευρωπαϊκής Ένωσης.

Για το λόγο αυτό, οι διατάξεις του Κανονισμού καταλαμβάνουν κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων της εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το εάν η ίδια η επεξεργασία πραγματοποιείται εντός Ένωσης.

Ο GDPR εφαρμόζεται επίσης και σε επεξεργασία που πραγματοποιείται από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με:

  1. την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή
  2. την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.

Τέλος, αν στον τόπο όπου πραγματοποιείται η επεξεργασία εφαρμόζεται το δίκαιο της Ένωσης, εφαρμογή βρίσκει και ο Κανονισμός.

Ποιες είναι (συνοπτικά) οι βασικές αλλαγές στο πεδίο των προσωπικών δεδομένων με τον GDPR;

Ο νέος Κανονισμός εισάγει πληθώρα ρυθμίσεων που αφορούν αφενός στα δικαιώματα που έχουν τα υποκείμενα των δεδομένων και αφετέρου στις υποχρεώσεις των υπεύθυνων επεξεργασίας.

Μερικές από τις νέες υποχρεώσεις, που αφορούν τους Υπεύθυνους Επεξεργασίας και θορυβούν τις επιχειρήσεις, που επεξεργάζονται δεδομένα είναι οι εξής: υποχρέωση λογοδοσίας, ορισμός Υπεύθυνου Προστασίας Δεδομένων (DPO), εφαρμογή τεχνικών μέτρων, που να εξασφαλίζουν την ιδιωτικότητα τόσο κατά τον σχεδιασμό όσο και εξ ορισμού, υποχρέωση τήρησης αρχείου δραστηριοτήτων επεξεργασίας, υποχρέωση εκπόνησης μελέτης αντικτύπου (Data Privacy Impact Assessment), υποχρέωση γνωστοποίησης των παραβιάσεων εντός 72 ωρών από την πληροφόρηση και εθελοντική πιστοποίηση στη θέση της υποχρέωσης γνωστοποίησης που ίσχυε μέχρι τώρα.

Μάλιστα, υπό το φως του Κανονισμού πραγματοποιείται μία νέα θεώρηση και ανάλυση των μεθόδων ανωνυμοποίησής και ψευδωνυμοποίησης των δεδομένων προσωπικού χαρακτήρα.

Ιδιαίτερη θεώρηση των δεδομένων δημιουργεί και η εισαγωγή ρυθμίσεων, οι οποίες θέτουν νέες βάσεις για την αντιμετώπιση της επεξεργασίας, όπως λόγου χάρη η χρησιμοποίηση της έννοιας του κινδύνου ως μέτρου για την επιλογή των βέλτιστων πρακτικών και των μέτρων ασφαλείας.

Ταυτόχρονα η απειλή κατά πολύ υψηλότερων προστίμων σε περίπτωση παραβίασης (10.000.000€ ή 2% του παγκόσμιου ετήσιου κύκλου εργασιών της εταιρείας – ανάλογα με το ποιο είναι υψηλότερο /20.000.000€ ή 4% του ετήσιου παγκόσμιου κύκλου εργασιών σε περίπτωση μη συμμόρφωσης προς εντολές της Εποπτικής Αρχής) υπογραμμίζουν την επιτακτική ανάγκη συμμόρφωσης στις επιταγές του Κανονισμού και την ανάγκη προστασίας των δεδομένων προσωπικού χαρακτήρα των πολιτών.

Ποιες είναι οι βασικές αρχές για την επεξεργασία Προσωπικών Δεδομένων;

Τα δεδομένα αποτελούν κινητήριο δύναμη της σύγχρονης οικονομίας. Μια δραστηριότητα περιστρεφόμενη γύρω από τον διαμοιρασμό και την επεξεργασία δεδομένων -και δη προσωπικών- που πριν μερικά χρόνια θα φάνταζε άσκοπη ή ασήμαντη (βλέπε ελεύθερη και με οριακή δήλωση συγκατάθεσης διανομή τηλεφωνικών καταλόγων), έχει αποκτήσει σήμερα τεράστια οικονομική αξία.

Για τον λόγο αυτό απαιτούνται και ιδιαίτερες ρυθμιστικές ενέργειες στο πλαίσιο της εκμετάλλευσης των προσωπικών δεδομένων.

Ποια είναι η λογική της επεξεργασίας των προσωπικών δεδομένων από τους υπεύθυνους και ποια είναι η θέση του υποκειμένου στην δραστηριότητα αυτή;

Παρακάτω επιχειρείται μια σύντομη ανάλυση των βασικών αρχών που διέπουν την επεξεργασία με βάση τις γραμμές που έχουν χαραχθεί νομοθετικά μέχρι σήμερα, αλλά και εν προκειμένω από τον GDPR.

Νομιμότητα, αντικειμενικότητα και διαφάνεια: τα δεδομένα προσωπικού χαρακτήρα οφείλουν να υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων.

Σκοπός: Τα δεδομένα πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και να εξασφαλίζεται ότι δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς.

Ελαχιστοποίηση: πρέπει τα δεδομένα να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία

Ακρίβεια: τα δεδομένα πρέπει να είναι ακριβή και, όταν είναι αναγκαίο, να επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας

Περιορισμός στον σκοπό της επεξεργασίας: τα δεδομένα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς.

Περιορισμός της περιόδου αποθήκευσης: διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα·

Λογοδοσία: «Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει την συμμόρφωση...». Συνοδεύεται από πληθώρα ρυθμιστικών διατάξεων, ικανών να εξασφαλίσουν την αποτελεσματική προστασία και ασφάλεια των δεδομένων, που διαχειρίζονται οι υπεύθυνοι, εντός του πλαισίου της πλέον ισχύουσας αρχής της αυτορρύθμισης. Μερικές από αυτές είναι η υποχρέωση εκπόνησης μελέτης αντικτύπου, η γνωστοποίηση των παραβιάσεων προσωπικών δεδομένων, που έχουν λάβει χώρα τόσο στην εποπτική αρχή όσο και στο υποκείμενο των δεδομένων, ο σχεδιασμός με γνώμονα την ιδιωτικότητα τόσο κατά τον σχεδιασμό όσο και εξ ορισμού (Privacy by Design/Privacy by Default) κ.λπ.

Ακεραιότητα και Εμπιστευτικότητα: τα δεδομένα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων.

Για την επαρκή και αποτελεσματική εφαρμογή των παραπάνω βασικών αρχών που διέπουν την επεξεργασία έχουν συσταθεί και αντίστοιχα δικαιώματα για τα υποκείμενα των προσωπικών δεδομένων, ώστε να είναι δυνατός ο έλεγχος των υπεύθυνων και εκτελούντων την επεξεργασία. Ενδεικτικά αναφέρονται τα δικαιώματα ενημέρωσης, πρόσβασης, εναντίωσης, αντίρρησης, διαγραφής, επικαιροποίησης, περιορισμού σε συγκεκριμένες χρήσεις κ.λπ. Δείτε αναλυτικά σε επόμενο ερώτημα.

Ποιες υποχρεώσεις έχουν όσοι επεξεργάζονται προσωπικά δεδομένα;

Με τον GDPR ενισχύονται σημαντικά τα δικαιώματα των υποκειμένων σχετικά με τα προσωπικά τους δεδομένα. Αντίστοιχα αυξάνονται και οι υποχρεώσεις των υπευθύνων επεξεργασίας, οι οποίοι επιφορτίζονται με την λεγόμενη αρχή της λογοδοσίας (άρθρο 5). Η αρχή αυτή αναλύεται σε πολλές επιμέρους ενέργειες που πρέπει να πραγματοποιεί ο υπεύθυνος ο οποίος «φέρει την ευθύνη και (πρέπει να) είναι σε θέση να αποδείξει τη συμμόρφωση» του με τις λοιπές γενικές αρχές που προβλέπει ο Κανονισμός.

Η αρχή της λογοδοσίας αποτελεί ομπρέλα υπό την οποία τίθενται όλες οι πράξεις επεξεργασίας και τονίζει τόσο την υποχρέωση συμμόρφωσης όσο και απόδειξης της συμμόρφωσής του αυτής.

  • Για παράδειγμα στο άρθρο 7 παρ. 1 ορίζεται ότι όταν η επεξεργασία βασίζεται στην συγκατάθεση, ο υπεύθυνος πρέπει να μπορεί να αποδείξει ότι η συγκατάθεση έλαβε χώρα.
  • Στο άρθρο 12 παρ. 1 υπογραμμίζεται η υποχρέωση του υπευθύνου επεξεργασίας να παρέχει στα υποκείμενα γραπτώς ή με άλλα μέσα (ακόμα και ηλεκτρονικά) τις πληροφορίες που αφορούν επεξεργασία των δεδομένων τους, και δη εντός ενός μήνα (παρ 3).
  • Το άρθρο 15 κάνει λόγο για υποχρέωση παροχής αντιγράφου των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, άπαξ το υποκείμενο ασκήσει το δικαίωμα πρόσβασης προς τον υπεύθυνο.
  • Στο άρθρο 24 όπου γίνεται λόγος για την ευθύνη του υπεύθυνου επεξεργασίας αναφέρεται ρητά η υποχρέωση του υπεύθυνου να αποδεικνύει ότι η επεξεργασία γίνεται σύμφωνα με τον Κανονισμό, παρέχοντας τα κατάλληλα τεχνικά και οργανωτικά μέτρα. Προβλέπεται επίσης η δυνατότητα επιλογής πολιτικών προστασίας ικανών να εφαρμοστούν, καθώς και η τήρηση εγκεκριμένου κώδικα δεοντολογίας ή μηχανισμού πιστοποίησης ως αποδεικτικά της συμμόρφωσης, οι οποίες προστίθενται στην λίστα των υποχρεώσεων του υπεύθυνου επεξεργασίας.

Privacy by Design/Privacy by Default: Ο υπεύθυνος επεξεργασίας, προκειμένου να συμμορφώνεται με τις επιταγές του Κανονισμού και να αποδεικνύει την συμμόρφωση του, λαμβάνει κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως:

  • ψευδωνυμοποίηση,
  • μέτρα σχεδιασμένα για την εφαρμογή των αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων και
  • μέτρα σχεδιασμένα, ώστε να προάγουν την διαφάνεια, όσον αφορά τις λειτουργίες και τις επεξεργασίες δεδομένων, προκειμένου να μπορεί το υποκείμενο των δεδομένων να παρακολουθεί την επεξεργασία και να είναι σε θέση ο υπεύθυνος επεξεργασίας να δημιουργεί και να βελτιώνει τα χαρακτηριστικά ασφαλείας

H αρχή της λογοδοσίας επεκτείνεται και στον εκτελούντα την επεξεργασία (Άρθρο 28). Ο εκτελών την επεξεργασία, ο οποίος επιλέγεται από τον υπεύθυνο, οφείλει να παρέχει επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων οργανωτικών και τεχνικών μέτρων. Η επεξεργασία διενεργείται μόνο κατόπιν σύμβασης γραπτής και δεσμευτικής για τον εκτελούντα, ο οποίος επεξεργάζεται τα δεδομένα μόνο σύμφωνα με τις καταγεγραμμένες εντολές του υπευθύνου. Επίσης, οφείλει να παρέχει στον υπεύθυνο επεξεργασίας πληροφορίες ως απόδειξη της συμμόρφωσης προς τις υποχρεώσεις του. Ο υπεύθυνος, δηλαδή, επιφορτίζεται με την υποχρέωση προσεκτικής επιλογής του υπευθύνου και φέρει ευθύνη σε περίπτωση που αυτός δεν επιτελεί τα καθήκοντά του από τη μεταξύ τους σύμβαση σύμφωνα με τον Κανονισμό.

Τήρηση αρχείων δραστηριοτήτων επεξεργασίας για επιχειρήσεις (άρθρο 30)

Ο υπεύθυνος και εκτελών την επεξεργασία πρέπει να τηρούν εγγράφως ή ηλεκτρονικά αρχείο δραστηριοτήτων επεξεργασιών τους το οποίο και να μπορούν να θέτουν στην διάθεση της Εποπτικής Αρχής κατόπιν αιτήματος της.

Η τήρηση αρχείου καταγραφής των δραστηριοτήτων επεξεργασιών είναι υποχρεωτική στις ακόλουθες περιπτώσεις:

  • Όταν η επιχείρηση ή ο οργανισμός απασχολεί άνω των 250 ατόμων.
  • Όταν η επεξεργασία δημιουργεί κινδύνους για τα δεδομένα
  • Όταν η επεξεργασία δεν είναι περιστασιακή
  • Όταν η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων των άρθρων 9 και 10 ΓΚΠΔ («ευαίσθητα δεδομένα», ήτοι βιομετρικά, γενετικά δεδομένα, δεδομένα που αφορούν ποινικές καταδίκες, αδικήματα και μέτρα ασφαλείας)

Γνωστοποίηση Παραβίασης δεδομένων προσωπικού χαρακτήρα (άρθρο 33)

Εντός 72 ωρών από την στιγμή της απόκτησης γνώσης του γεγονότος της παραβίασης, ο υπεύθυνος οφείλει να την γνωστοποιήσει στην αρμόδια Εποπτική Αρχή. Αυτό δεν είναι υποχρεωτικό όταν δεν ενδέχεται να προκληθεί κίνδυνος από την παραβίαση. Την απουσία κινδύνου οφείλει να αποδείξει ο υπεύθυνος. Επίσης, οφείλει να δικαιολογήσει την παραβίαση βάσει πραγματικών περιστατικών και να αναφερθεί στις συνέπειες και τα ληφθέντα διορθωτικά μέτρα, δίνοντας την δυνατότητα στην Εποπτική Αρχή να επαληθεύσει την συμμόρφωση.

Privacy Impact Assessment (Εκτίμηση Αντικτύπου σχετικά με την προστασία των δεδομένων) (άρθρο 35)

O υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους. Η εκπόνηση της μελέτης αυτής απαιτείται ιδίως σε περιπτώσεις:

  1. συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ η οποία οδηγεί σε λήψη αποφάσεων,
  2. μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων που αναφέρονται στα άρθρα 9 και 10 και
  3. συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.

Η εκπόνηση της μελέτης δεν είναι υποχρεωτική για τους υπευθύνους που δεν ανήκουν στις κατηγορίες που αναφέρονται στο άρθρο 35.

Ορισμός DPO (Υπεύθυνος Προστασίας Δεδομένων) (άρθρο 39)

Οι επιχειρήσεις και οι οργανισμοί ορισμένης κλίμακας και δραστηριότητας οφείλουν να ορίζουν έναν υπεύθυνο προστασίας δεδομένων (DPO) στα καθήκοντα του οποίου περιλαμβάνεται και η παρακολούθηση η συμμόρφωσης με τον Κανονισμό και τις πολιτικές προστασίας προσωπικών δεδομένων του υπευθύνου ή εκτελούντος την επεξεργασία. Επίσης, αναλαμβάνει την ανάθεση αρμοδιοτήτων και την ευαισθητοποίηση και κατάρτιση των υπαλλήλων, που διαχειρίζονται και επεξεργάζονται προσωπικά δεδομένα ενώ, παράλληλα, προβαίνει και στους απαραίτητους ελέγχους.

Ποια είναι τα δικαιώματα των υποκειμένων των δεδομένων;

Η ουσιαστική ενίσχυση των δικαιωμάτων των υποκειμένων των δεδομένων αποτέλεσε έναν από τους βασικούς άξονες του GDPR.

Ως εκ τούτου, δεν προκαλεί έκπληξη το γεγονός ότι στον πυρήνα του νέου Κανονισμού ανήκει μεταξύ άλλων και η απλοποίηση των διαδικασιών ενημέρωσης και άσκησης των δικαιωμάτων των υποκειμένων. Για τον λόγο αυτό επαναλαμβάνεται σε πολλά σημεία η υποχρέωση του υπεύθυνου επεξεργασίας να ενημερώνει κατά τρόπο εύληπτο, δηλαδή σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή (άρθρο 12) το υποκείμενο για την επεξεργασία που υφίστανται τα προσωπικά του δεδομένα.

Αντίστοιχα ενισχύεται και η θέση του παιδιού στην κοινωνία της Πληροφορίας, καθώς ο Κανονισμός ρητά απαιτεί ήδη από τις αιτιολογικές σκέψεις την προσαρμογή της επεξεργασίας και της ενημέρωσης σχετικά με αυτήν στις ανάγκες των πιο ευάλωτων ομάδων, όπως τα παιδιά. Ιδίως δε στο άρθρο 8 αναλύονται οι προϋποθέσεις για την λήψη συγκατάθεσης από ανήλικο κάτω των 16 ετών.

Στο Κεφάλαιο ΙΙΙ του Κανονισμού γίνεται αναλυτική παρουσίαση των δικαιωμάτων των υποκειμένων. Μέσω αυτών καθίσταται δυνατή η αποτελεσματική προστασία των προσωπικών δεδομένων, καθώς η πρόβλεψη αυτών με τον ΓΚΠΔ (GDPR) τα καθιστά αγώγιμα και υποχρεώνει τον υπεύθυνο επεξεργασίας σε ικανοποίηση τους. Τα βασικά δικαιώματα των πολιτών σχετικά με τα προσωπικά τους δεδομένα είναι:

Δικαίωμα ενημέρωσης (Άρθρα 12επ): όπως υποδεικνύει και ο τίτλος του άρθρου, ο Κανονισμός επιτάσσει διαφανή ενημέρωση. Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα μέτρα, ώστε να παρέχει στο υποκείμενο κάθε πληροφορία και κάθε ανακοίνωση σχετικά με την επεξεργασία σε συνοπτική, διαφανή καθώς και κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας απλή και σαφή διατύπωση, ιδίως όταν η πληροφορία απευθύνεται σε παιδιά. Οφείλει να διευκολύνει την άσκηση των δικαιωμάτων για τα υποκείμενα και να παρέχει στο υποκείμενο πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματός στηριζόμενο στα άρθρα 15 έως 22, χωρίς καθυστέρηση και μάλιστα εντός ενός μήνα από την παραλαβή του αιτήματος. Σημειωτέον ότι ο Κανονισμός διακρίνει το δικαίωμα ενημέρωσης αναφορικά με το αν η συλλογή των δεδομένων πραγματοποιείται από το ίδιο το υποκείμενο (άρθρο 13) ή από τρίτο πρόσωπο (άρθρο 14).

Δικαίωμα πρόσβασης (άρθρο 15): το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα που το αφορούν υφίστανται επεξεργασία και έχει πρόσβαση σε πλήθος πληροφοριών όπως αυτές σκιαγραφούνται από το άρθρο 15.

Δικαίωμα Διόρθωσης (άρθρο 16): Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Έχοντας υπόψη τους σκοπούς της επεξεργασίας, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης.

Δικαίωμα Διαγραφής – Δικαίωμα στην Λήθη (άρθρο 17 – Right to be forgotten): Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα, που το αφορούν, αν τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα ή αν το υποκείμενο ανακαλέσει τη συγκατάθεσή του ή αν δεν υπάρχει άλλη νομική βάση για την επεξεργασία ή αντιτίθεται στην επεξεργασία και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι ή αν τα δεδομένα υποβλήθηκαν σε επεξεργασία παράνομα ή για να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή αν έχουν συλλεχθεί ότνα το υποκείμενο ήταν παιδί.

Δικαίωμα περιορισμού της επεξεργασίας (άρθρο 18): το υποκείμενο των δεδομένων μπορεί να ζητήσει από τον υπεύθυνο τον περιορισμό της επεξεργασίας όταν α) η ακρίβεια των δεδομένων αμφισβητείται ή β) είναι παράνομη ή γ) ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επεξεργασίας, αλλά τα δεδομένα αυτά απαιτούνται από το υποκείμενο των δεδομένων για την θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων ή δ) το υποκείμενο των δεδομένων έχει αντιρρήσεις για την επεξεργασία, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπεύθυνου επεξεργασίας υπερισχύουν έναντι όλων των λόγων του υποκειμένου των δεδομένων.

Δικαίωμα στην Φορητότητα των Δεδομένων (άρθρο 20): Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας, χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας, στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα.

Δικαίωμα Εναντίωσης (άρθρο 21): Το υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν (επεξεργασία από δημόσιες αρχές ή από ιδιώτες), περιλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων. Εάν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, το υποκείμενο των δεδομένων δικαιούται να αντιταχθεί ανά πάσα στιγμή στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για την εν λόγω εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ, εάν σχετίζεται με αυτήν την απευθείας εμπορική προώθηση.

Δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ (άρθρο 22): Το δικαίωμα αυτό βασίζεται στο γεγονός ότι η ανθρώπινη παρέμβαση καταπολεμά το έλλειμμα εμπιστοσύνης της εκάστοτε αυτοματοποιημένης επεξεργασίας.

Με τα νέα αυτά δικαιώματα εμπλουτίζεται η προστασία του πολίτη σχετικά με τα δεδομένα προσωπικού χαρακτήρα του, τα οποία διαχειρίζονται φορείς στους οποίους έχει ήδη δώσει το δικαίωμα να τα επεξεργάζονται ή τα έχουν λάβει κατά τρόπο μη θεμιτό.

Ποιος είναι αρμόδιος για την εποπτεία σχετικά με τη συμμόρφωση προς τον GDPR;

Η Εποπτική Αρχή του κάθε Υπεύθυνου ή Εκτελούντος την Επεξεργασία προσδιορίζεται με βάση την χώρα δραστηριότητας αυτών. Συνεπώς, σε κάθε χώρα ορίζεται μια συγκεκριμένη Εποπτική Αρχή, η οποία παρακολουθεί την δραστηριότητα και την συμμόρφωση στις επιταγές του Κανονισμού. Για παράδειγμα στην Ελλάδα έχει οριστεί sυνταγματικά η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), η οποία διοικητικά αποτελεί Ανεξάρτητη Διοικητική Αρχή.

Η Ομάδα Εργασίας του Άρθρου 29 έχει εκδώσει κατευθυντήριες οδηγίες ειδικά για τον προσδιορισμό της Εποπτικής Αρχής για τους υπεύθυνους ή/και εκτελούντες την επεξεργασία, που διαχειρίζονται προσωπικά δεδομένα σε διάφορες χώρες εντός της ΕΕ. Η αναζήτηση και ο προσδιορισμός της Επικεφαλής Εποπτικής Αρχής ενδιαφέρει σε περιπτώσεις που o υπεύθυνος επεξεργασίας ή o εκτελών την επεξεργασία πραγματοποιεί δραστηριότητες διασυνοριακής επεξεργασίας δεδομένων προσωπικού χαρακτήρα και είναι αναγκαίο να προσδιοριστεί ποια από τις διάφορες Εποπτικές Αρχές, που διεκδικούν αρμοδιότητα, έχει όντως την δυνατότητα να επιληφθεί και να επιβάλει διοικητικές κυρώσεις.

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS) αποτελεί την Ευρωπαϊκή Ανεξάρτητη Αρχή Προστασίας Προσωπικών Δεδομένων. Κύριες αρμοδιότητές του αποτελούν η παρακολούθηση και εξασφάλιση υψηλού επιπέδου προστασίας της ιδιωτικότητας στους ευρωπαϊκούς θεσμούς και στα όργανα της ΕΕ, κατά την επεξεργασία των δεδομένων των ατόμων, με παράλληλη παροχή κατευθύνσεων και οδηγιών σε όλα τα ζητήματα που αφορούν την επεξεργασία προσωπικών δεδομένων, η παρέμβαση στο ΔΕΕ σε υποθέσεις παραβίασης προσωπικών δεδομένων με παροχή ειδικών κατευθύνσεων και δρώντας ως ειδικός πραγματογνώμων καιη συνεργασία με τις αρμόδιες Εθνικές Εποπτικές Αρχές για την βελτίωση της συνεκτικότητας στην προστασία των προσωπικών δεδομένων.

Πώς διαμορφώνεται το νομικό πλαίσιο για την Προστασία Δεδομένων από τις 25/5/2018;

Ο νέος Κανονισμός – ΓΚΠΔ αντικαθιστά και καταργεί την Οδηγία 95/46/ΕΚ, η οποία δεν ανταποκρίνεται πλέον στις ρυθμιστικές απαιτήσεις, που επέρχονται με την ραγδαία τεχνολογική πρόοδο και την σημαντική αύξηση των επιγραμμικών υπηρεσιών.

Σε επίπεδο εθνικής νομοθεσίας, έχει ήδη ολοκληρωθεί η διαβούλευση για το σχέδιο νόμου για την προστασία δεδομένων σε εφαρμογή του GDPR, στο οποίο προβλέπεται η κατάργηση του Νόμου 2472/1997, ο οποίος αποτελεί τον Ελληνικό εφαρμοστικό νόμο της ανωτέρω Οδηγίας.

Ο Κανονισμός - ΓΚΠΔ δε θίγει την εφαρμογή της Οδηγίας 2000/31/ΕΚ, όπως ενσωματώθηκε στην ελληνική έννομη τάξη με το Προεδρικό Διάταγμα 131/2003, και ιδίως των κανόνων για την ευθύνη των μεσαζόντων παροχής υπηρεσιών που προβλέπονται στα άρθρα 12 έως 15 της εν λόγω οδηγίας.

Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά όργανα, φορείς, υπηρεσίες και οργανισμούς της Ένωσης, εφαρμόζεται ο Κανονισμός (ΕΚ) αριθ. 45/2001. Ο κανονισμός (EΚ) αριθ. 45/2001 και άλλες νομικές πράξεις της Ένωσης εφαρμοστέες σε μια τέτοια επεξεργασία δεδομένων προσωπικού χαρακτήρα προσαρμόζονται στις αρχές και τους κανόνες του παρόντος κανονισμού σύμφωνα με το άρθρο 98.

Παράλληλα, τίθενται σε εφαρμογή και δύο νέα νομοθετήματα, η Οδηγία 2016/680/ΕΕ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, η οποία καταργεί την απόφαση-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου και η Οδηγία 2016/681/ΕΕ σχετικά με τη χρήση των δεδομένων που περιέχονται στις καταστάσεις ονομάτων επιβατών (PNR) για την πρόληψη, ανίχνευση, διερεύνηση και δίωξη τρομοκρατικών και σοβαρών εγκλημάτων, η οποία δεν θίγει την εφαρμογή της 95/46/ΕΚ.

Αξίζει να σημειωθεί ότι η ενσωμάτωση της Οδηγίας 2016/680/ΕΕ, γνωστής ως LED (Law Enforcement Directive), στην ελληνική έννομη τάξη, θα γίνει με τον ίδιο ελληνικό νόμο που προαναφέρθηκε (άρθρα 20 έως 54).

Ο ν. 3471/2006, ο οποίος αποτελεί ενσωμάτωση της Οδηγίας 2002/58/ΕΚ για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, παραμένει σε ισχύ. Ωστόσο, ήδη από τις 10.1.2017 έχει δημοσιευθεί Σχέδιο Τροποποίησης της ανωτέρω Οδηγίας, με άμεση απόρροια να τροποποιηθεί στο σχετικά άμεσο μέλλον και ο παρών νόμος (ePrivacy Regulation).

Την Ομάδα Εργασίας που συστάθηκε με το άρθρο 29 της Οδηγίας 95/46/ΕΚ αντικαθιστά πλέον το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, που συστήνεται με τον Κανονισμό - ΓΚΠΔ. Οποιεσδήποτε παραπομπές στην Οδηγία και στην Ομάδα εργασίας, θεωρούνται παραπομπές στον νέο Κανονισμό - ΓΚΠΔ και στο ΕΣΠΔ αντίστοιχα.