GDPR: Ο νέος Νόμος για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα σε εφαρμογή του Κανονισμού (ΕΕ) 2016/679

Σημαντική σημείωση: Η δημόσια διαβούλευση για τον Νόμο για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα ολοκληρώθηκε στις 5 Μαρτίου.

Σε δημόσια διαβούλευση τέθηκε πριν λίγο το πολυαναμενόμενο σχέδιο του Υπουργείου Δικαιοσύνης για τον Νόμο για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα σε εφαρμογή του Κανονισμού (ΕΕ) 2016/679.

Αντικείμενο του νόμου είναι η θέσπιση των προϋποθέσεων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα προς προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων και ιδίως του δικαιώματος προστασίας προσωπικών δεδομένων.

Διατάξεις που ξεχωρίζουν:

Συγκατάθεση παιδιού[ για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της προσφοράς υπηρεσίας κοινωνίας της πληροφορίας ]

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού στο πλαίσιο της προσφοράς υπηρεσίας κοινωνίας της πληροφορίας απευθείας σε αυτό που θεμελιώνεται σε συγκατάθεση είναι σύννομη, εάν το παιδί που παρέχει τη συγκατάθεση για την επεξεργασία αυτή έχει συμπληρώσει το 15ο έτος. Εάν το παιδί είναι ηλικίας κάτω των 15 ετών, η επεξεργασία αυτή είναι σύννομη μόνο εάν και στον βαθμό που η εν λόγω συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού.

Ορισμός Υπευθύνου Προστασίας Δεδομένων

1. Εκτός από τις περιπτώσεις που αναφέρονται στο άρθρο 37 παρ. 1 του Κανονισμού υποχρέωση ορισμού υπευθύνου προστασίας έχουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες επεξεργασία οι οποίοι εκτελούν πράξεις επεξεργασίας οι οποίες, σύμφωνα με τον κατάλογο που έχει καταρτίσει η Αρχή απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους.

2. Τα δικαστήρια και οι εισαγγελικές αρχές δεν έχουν υποχρέωση ορισμού υπευθύνου προστασίας δεδομένων.

3. Ο ορισμός υπευθύνου προστασίας δεδομένων γίνεται εγγράφως. Κατά τον ορισμό προσδιορίζονται ειδικότερα ιδίως η θέση και τα καθήκοντα που έχει ο υπεύθυνος προστασίας δεδομένων σύμφωνα με τα οριζόμενα στα άρθρα 28 και 39 του Κανονισμού και ο τρόπος με τον οποίο θα τα ασκεί, λαμβανομένων υπόψη της φύσης και των λειτουργιών κάθε υπευθύνου επεξεργασίας ή εκτελούντος επεξεργασία. Ο ορισμός γίνεται για ορισμένο χρονικό διάστημα , εκτός αν συντρέχει σοβαρός λόγος για την ανάκληση του ορισμού ή την παύση του υπευθύνου προστασίας προσωπικών δεδομένων. Ο ορισμός μπορεί να ανανεώνεται.

4. Ο υπεύθυνος επεξεργασίας και ο εκτελών επεξεργασία κοινοποιούν στην Αρχή το όνομα και την ιδιότητα του υπευθύνου προστασίας δεδομένων.

5. Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από υποχρέωση εχεμύθειας και οφείλει να μην ανακοινώνει ή αποκαλύπτει σε οποιονδήποτε τρίτο γεγονότα ή πληροφορίες που περιήλθαν σε γνώση του από τη θέση του κατά την εκτέλεση των καθηκόντων του ή επ’ ευκαιρία αυτών.

Επεξεργασία δεδομένων εικόνας και ήχου μέσω κλειστού κυκλώματος τηλεόρασης

1. Ο Κανονισμός και το παρόν κεφάλαιο εφαρμόζονται στην επεξεργασία δεδομένων εικόνας ή/και ήχου που πραγματοποιείται μέσω κλειστών κυκλωμάτων τηλεόρασης για τον σκοπό της προστασίας προσώπων ή/και αγαθών.

2. Στο πεδίο εφαρμογής του παρόντος άρθρου εμπίπτουν τα συστήματα που είναι μόνιμα εγκατεστημένα σε έναν χώρο, λειτουργούν συνεχώς ή σε τακτά χρονικά διαστήματα και έχουν τη δυνατότητα λήψης ή/και μετάδοσης σήματος εικόνας ή/και ήχου από τον χώρο αυτό προς έναν περιορισμένο αριθμό οθονών προβολής ή/και μηχανημάτων καταγραφής.

3. Όταν η επεξεργασία λαμβάνει χώρα από δημόσια ή δημοτική αρχή ή νομικό πρόσωπο δημοσίου δικαίου (Ν.Π.Δ.Δ.), αυτό πρέπει να έχει κατά την κείμενη νομοθεσία σχετική αρμοδιότητα ή δικαίωμα διαχείρισης του χώρου που επιτηρείται ή δικαίωμα ή υποχρέωση διαχείρισης του επιτηρούμενου χώρου σε εκτέλεση σύμβασης με τον κύριο του χώρου. Η επεξεργασία από νομικό πρόσωπο ιδιωτικού δικαίου (Ν.Π.Ι.Δ.) ή φυσικό πρόσωπο προϋποθέτει νόμιμο δικαίωμα ή υποχρέωση διαχείρισης του επιτηρούμενου χώρου σύμφωνα με διατάξεις νόμου ή σε εκτέλεση σύμβασης με τον κύριο του χώρου.

4. Η επεξεργασία δεδομένων εικόνας και ήχου μέσω κλειστού κυκλώματος τηλεόρασης επιτρέπεται όταν που είναι απαραίτητη για την εκπλήρωση των καθηκόντων όταν πρόκειται για δημόσιους φορείς ή για την προστασία αγαθών και προσώπων και των θεμελιωδών δικαιωμάτων αυτών. Τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται θα πρέπει να είναι πρόσφορα και όχι περισσότερα από όσα απαιτούνται σε σχέση με τον επιδιωκόμενο σκοπό, ο οποίος θα πρέπει να μη δύναται να επιτευχθεί με ηπιότερα μέσα. Ο υπεύθυνος επεξεργασίας υποχρεούται να δύναται να πρέπει να είναι σε θέση να αποδεικνύει την ανάγκη της συγκεκριμένης επεξεργασίας. (λογοδοσία).

5. Οι διατάξεις του παρόντος άρθρου δεν εφαρμόζονται: α. Όταν η επεξεργασία δεν εμπίπτει στο πεδίο εφαρμογής του Κανονισμού και του παρόντος νόμου, όπως, ιδίως, στις εξής περιπτώσεις: α) Δραστηριότητες που δεν συνιστούν επεξεργασία προσωπικών δεδομένων, όπως η λειτουργία απλών συστημάτων ελέγχου εισόδου χωρίς καταγραφή των δεδομένων. β) Άσκηση δραστηριοτήτων αποκλειστικά προσωπικών ή οικιακών. Δεν θεωρείται αποκλειστικά προσωπική ή οικιακή δραστηριότητα η λήψη και επεξεργασία εικόνας ή και ήχου με σύστημα βιντεοεπιτήρησης που είναι εγκατεστημένο σε ιδιωτική οικία, όταν το πεδίο ελέγχου της κάμερας περιλαμβάνει εξωτερικούς δημόσιους ή κοινόχρηστους χώρους.

6. Τα δεδομένα δεν πρέπει να τηρούνται για μεγαλύτερο χρονικό διάστημα από όσο απαιτείται ενόψει του επιδιωκόμενου κάθε φορά σκοπού επεξεργασίας. Εφόσον από τη λήψη δεδομένων ήχου και εικόνας που αποθηκεύονται ή τη λήψη που γίνεται σε πραγματικό χρόνο δεν προκύπτει επέλευση συμβάντος που εμπίπτει στον επιδιωκόμενο σκοπό, τα δεδομένα πρέπει να καταστρέφονται το αργότερο μέσα σε δεκαπέντε (15) ημερολογιακές ημέρες, με την επιφύλαξη ειδικότερων διατάξεων της κείμενης νομοθεσίας που ισχύουν για συγκεκριμένες κατηγορίες υπεύθυνων επεξεργασίας. Σε περίπτωση συμβάντος που αφορά τον σκοπό της επεξεργασίας, ο υπεύθυνος επεξεργασίας επιτρέπεται να τηρεί τις λήψεις, στις οποίες έχει καταγραφεί το συγκεκριμένο συμβάν σε χωριστό αρχείο για τρεις (3) μήνες. Μετά την πάροδο του ανωτέρω χρονικού διαστήματος ο υπεύθυνος επεξεργασίας μπορεί να τηρεί τα δεδομένα για μεγαλύτερο συγκεκριμένο χρονικό διάστημα μόνο σε εξαιρετικές περιπτώσεις όπου το συμβάν χρήζει περαιτέρω διερεύνησης. Στην περίπτωση αυτή ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να ενημερώσει την Αρχή για το αναγκαίο χρονικό διάστημα τήρησης των εν λόγω λήψεων .

7. Η διαβίβαση σε τρίτους δεδομένων που προέρχονται από σύστημα βιντεοεπιτήρησης επιτρέπεται στις εξής περιπτώσεις: α) Κατόπιν προηγούμενης συγκατάθεσης του υποκειμένου των δεδομένων. β) Κατ’ εξαίρεση, η διαβίβαση επιτρέπεται και χωρίς συγκατάθεση μετά από ειδικά αιτιολογημένη αίτηση τρίτου, όταν τα δεδομένα είναι αναγκαίο να χρησιμοποιηθούν ως αποδεικτικά στοιχεία για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή μιας αξιόποινης πράξης και μπορούν να συνεισφέρουν στη διερεύνηση των πραγματικών περιστατικών ή στην αναγνώριση των δραστών. Δεν θεωρείται διαβίβαση σε τρίτους η διαβίβαση των δεδομένων προσωπικού χαρακτήρα στις αρμόδιες δικαστικές, εισαγγελικές και αστυνομικές αρχές που οι τελευταίες ζητούν νομίμως κατά την άσκηση των καθηκόντων τους.

8. Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για το απόρρητο και την ασφάλεια των δεδομένων καθώς και για την προστασία τους από κάθε μορφή παράνομης ή αθέμιτης επεξεργασίας, όπως τον έλεγχο της πρόσβασης ή την ασφαλή διαβίβαση.

9. Πριν ένα πρόσωπο εισέλθει στην εμβέλεια του συστήματος βιντεοεπιτήρησης, ο υπεύθυνος επεξεργασίας οφείλει να το ενημερώνει, με τον κατά περίπτωση πρόσφορο, εμφανή και κατανοητό τρόπο, ότι πρόκειται να εισέλθει σε χώρο όπου βρίσκεται σε λειτουργία κλειστό κύκλωμα τηλεόρασης και να παραθέτει πληροφορίες για τον σκοπό επεξεργασίας, τη φύση του συστήματος που χρησιμοποιείται, τους χώρους εγκατάστασης και την εμβέλεια και το χρονικό διάστημα τήρησης των δεδομένων.

Διαβάστε επίσης: Η έννοια της συγκατάθεσης στον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR)

Πιστοποίηση και Διαπίστευση φορέων πιστοποίησης

1. Οι φορείς πιστοποίησης χορηγούν πιστοποιήσεις προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της συμμόρφωσης προς τον Κανονισμό και το Κεφάλαιο Β’ του παρόντος νόμου από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία.

2. Με την επιφύλαξη του άρθρου 43 του Κανονισμού οι πιστοποιήσεις, σφραγίδες και σήματα προστασίας εκδίδονται βάσει των κριτηρίων που ορίζει η Αρχή, η οποία δημοσιοποιεί τον κατάλογο των κριτηρίων.

3. Η Αρχή μπορεί να ορίζει συμπληρωματικές απαιτήσεις και κριτήρια για τη διαπίστευση φορέων πιστοποίησης. Η Αρχή δημοσιοποιεί τον κατάλογο των πρόσθετων απαιτήσεων για την διαπίστευση των φορέων πιστοποίησης.

4. Η διαπίστευση των φορέων που χορηγούν πιστοποιήσεις σύμφωνα με το άρθρο 42 του Κανονισμού πραγματοποιείται από το Εθνικό Σύστημα Διαπίστευσης Α.Ε.» – ΕΣΥΔ σύμφωνα με το πρότυπο EN-ISO/IEC 17065/2012 και σύμφωνα με τις συμπληρωματικές απαιτήσεις που έχουν οριστεί από την Αρχή σύμφωνα με την παράγραφο 3 του παρόντος.

5. Η Αρχή υποδεικνύει ή κοινοποιεί στο Eθνικό Σύστημα Διαπίστευσης Α.Ε. τις περιπτώσεις όπου οι προϋποθέσεις διαπίστευσης δεν πληρούνται ή δεν πληρούνται πλέον ή εφόσον οι ενέργειες του φορέα πιστοποίησης παραβαίνουν τον Κανονισμό και τον παρόντα νόμο.

6. Η ανάκληση των διαπιστεύσεων γίνεται από το Eθνικό Σύστημα Διαπίστευσης Α.Ε., το οποίο ζητά τη γνώμη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Ποινικές κυρώσεις

1. Όποιος με πρόθεση επεµβαίνει χωρίς δικαίωµα µε οποιονδήποτε τρόπο σε αρχείο δεδοµένων προσωπικού χαρακτήρα και με την επέμβαση αυτή λαµβάνει γνώση των δεδοµένων αυτών ή τα αφαιρεί, αλλοιώνει, βλάπτει, καταστρέφει, επεξεργάζεται, µεταδίδει, ανακοινώνει, τα καθιστά προσιτά σε µη δικαιούµενα πρόσωπα ή επιτρέπει στα πρόσωπα αυτά να λάβουν γνώση των εν λόγω δεδοµένων, ή τα εκµεταλλεύεται µε οποιονδήποτε τρόπο, τιµωρείται µε φυλάκιση.

2. Εάν οι αξιόποινες πράξεις της παραγράφου 1 αφορούν ειδικές κατηγορίες δεδομένων ή δεδομένα που αναφέρονται σε ποινικές διώξεις, μέτρα ασφαλείας ή ποινικές καταδίκες τιμωρούνται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηµατική ποινή από δέκα χιλιάδες ευρώ (10.000) έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιµωρείται βαρύτερα από άλλες διατάξεις.

3. Αν ο υπαίτιος των πράξεων των προηγούμενων παραγράφων είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον, τιμωρείται με φυλάκιση τουλάχιστον τριών ετών και χρηματική ποινή από εκατό χιλιάδες ευρώ (100.000) έως τριακόσιες χιλιάδες ευρώ (300.000), εάν η πράξη δεν τιµωρείται βαρύτερα από άλλες διατάξεις.

4. Αν από τις πράξεις των παραγράφων 1 έως και 3 του παρόντος άρθρου προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δηµοκρατικού πολιτεύµατος ή για την εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηµατική ποινή από εκατό χιλιάδες ευρώ (100.000) έως τριακόσιες χιλιάδες ευρώ (300.000).

5. Υπεύθυνος προστασίας δεδομένων που παραβιάζει την υποχρέωση εχεμύθειας που τον βαρύνει στο πλαίσιο του επαγγελματικού απορρήτου ανακοινώνοντας ή αποκαλύπτοντας σε άλλον γεγονότα ή πληροφορίες που περιήλθαν σε γνώση του από τη θέση του κατά την εκτέλεση των καθηκόντων του ή επ’ ευκαιρία αυτών, με σκοπό να ωφεληθεί ο ίδιος ή τρίτος, ή για να βλάψει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ή το υποκείμενο των δεδομένων ή οποιονδήποτε τρίτο τιμωρείται με ποινή φυλάκισης τουλάχιστον ενός (1) έτους και χρηματική ποινή από δέκα χιλιάδες (10.000) ευρώ έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιμωρείται βαρύτερα από άλλες διατάξεις.

6. Οι πράξεις των παραγράφων 1,2,3 και 5 διώκονται ύστερα από έγκληση.

7. Τα κακουργήματα που προβλέπονται στο παρόν άρθρο υπάγονται στην αρμοδιότητα του Τριμελούς Εφετείου Κακουργημάτων.

Μπορείτε να δείτε αναλυτικά το σχέδιο νόμου εδώ και να συμμετέχετε στη διαβούλευση, η οποία λήγει στις 5 Μαρτίου, εδώ.