Τι αλλάζει στο νομικό πλαίσιο προστασίας και ασφάλειας δεδομένων στην Ευρωπαϊκή Ένωση;
Συνοπτική παρουσίαση όλων των πρόσφατων εξελίξεων στον τομέα των προσωπικών δεδομένων στην Ευρωπαϊκή Ένωση
Έγκυρη ενημέρωση και χρήσιμο υλικό για τον Γενικό Κανονισμό Προστασίας Δεδομένων στο lawspot.gr/gdpr
Τον περασμένο μήνα δημοσιεύθηκαν στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης τρεις ιδιαίτερα σημαντικές νομοθετικές πράξεις, οι οποίες στην ουσία αλλάζουν σταδιακά αλλά και ριζικά το νομικό καθεστώς προστασίας δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση.
Όπως είχε επισημανθεί εδώ και καιρό, το νέο αυτό πλαίσιο σχηματίστηκε έπειτα από διαβουλεύσεις ετών, με έντονο lobbying από τα εμπλεκόμενα μέρη, αλλά και σημαντικές επιρροές από τις τρομοκρατικές επιθέσεις στο Παρίσι και τις Βρυξέλλες.
Το νέο πλαίσιο προστασίας προσωπικών δεδομένων συνδιαμορφώνεται από 2 νέες οδηγίες και έναν κανονισμό, ενώ επίκειται και η τροποποίηση μίας ακόμη οδηγίας, σχετικά με την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.
Να σημειωθεί ότι οι κανονισμοί είναι δεσμευτικές νομοθετικές πράξεις και η εφαρμογή τους σε όλες τις χώρες της ΕΕ είναι υποχρεωτική.
Από την άλλη, οι οδηγίες ορίζουν έναν στόχο τον οποίο πρέπει να επιτύχουν όλες οι χώρες της ΕΕ, ωστόσο, εναπόκειται σε κάθε χώρα να θεσπίσει τους δικούς της νόμους για την επίτευξη των στόχων αυτών.
Διαβάστε επίσης: Νέοι κανόνες για την ασφάλεια δικτύων και πληροφοριών στην Ευρωπαϊκή Ένωση
Συγκεκριμένα, πρόκειται για:
1. Τον Κανονισμό 2016/679, γνωστό και ως Γενικό Κανονισμό για την Προστασία Δεδομένων/General Data Protection Regulation
2. Την Οδηγία 2016/680 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών
3. Την Οδηγία 2016/681 σχετικά με τη χρήση των δεδομένων που περιέχονται στις καταστάσεις ονομάτων επιβατών (PNR) για την πρόληψη, ανίχνευση, διερεύνηση και δίωξη τρομοκρατικών και σοβαρών εγκλημάτων.
Ας δούμε, όμως, συνοπτικά και με απλά λόγια, ποια είναι τα σημαντικότερα στοιχεία της κάθε μίας από αυτές τις πράξεις, ξεκινώντας με την πιο σημαντική (και δεσμευτική) από αυτές, τον Γενικό Κανονισμό για την Προστασία Δεδομένων.
Όπως έχει αναφερθεί, ο εν λόγω Κανονισμός αποτελεί προϊόν χρονοβόρων διαδικασιών, και ισχυρών πιέσεων, οι οποίες διήρκησαν περισσότερο από τέσσερα χρόνια.
Ο Κανονισμός αυτός αντικαθιστά την ισχύουσα οδηγία για την προστασία των δεδομένων, η οποία δεν ανταποκρινόταν επαρκώς στις ανάγκες μίας εποχής με smartphones, social media, internet banking.
Στόχος των συντακτών του Κανονισμού ήταν να διαμορφωθεί με τρόπο που θα ανταποκρίνεται στις σύγχρονες ανάγκες των πολιτών με ενιαίο τρόπο (τουλάχιστον τους πολίτες και τις επιχειρήσεις εντός ΕΕ).
Οι νέος γενικός κανονισμός αποτελείται από 99 άρθρα και έχει κωδικοποιηθεί πλήρως από τη συντακτική ομάδα του Lawspot (μπορείτε να τον δείτε εδώ).
Σύμφωνα με το άρθρο 99, ο Κανονισμός, ο οποίος δημοσιεύθηκε στις Μαΐου 2016, τίθεται σε εφαρμογή από τις 25 Μαΐου 2018.
Το διάστημα αυτό των δύο ετών αποτελεί περίοδο προσαρμογής για τα εμπλεκόμενα μέρη.
Συγκεκριμένα, πρόκειται για μια περίοδο κατά την οποία οι εταιρείες θα πρέπει να εξασφαλίσουν ότι θα συμμορφώνονται με το νέο σύνολο κανόνων, ενώ οι εθνικές αρχές προστασίας δεδομένων, η ομάδα εργασίας του άρθρου 29 αλλά και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να εκδίδουν και γνωμοδοτήσεις, προκειμένου να βοηθήσουν τα εμπλεκόμενα μέρη στο πλαίσιο της προετοιμασίας τους.
Διαβάστε επίσης: Έντονες επιφυλάξεις από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων για τη συμφωνία διαβίβασης δεδομένων ΕΕ-ΗΠΑ
Ορισμένα από τα βασικότερα σημεία του νέου Κανονισμού είναι τα εξής:
1. Δικαίωμα διαγραφής (δικαίωμα στη λήθη)
Σύμφωνα με το άρθρο 17 του Κανονισμού, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους προβλεπόμενους στον Κανονισμό λόγους.
Διαβάστε επίσης: Προσωπικά δεδομένα: το Δικαστήριο της Ευρωπαϊκής Ένωσης κατοχύρωσε το "δικαίωμα στη λήθη"
2. Σαφής συγκατάθεση
Σύμφωνα με το άρθρο 7 του Κανονισμού, τίθενται αυστηρές προϋποθέσεις αναφορικά με τη συγκατάθεση από το ενδιαφερόμενο πρόσωπο για την επεξεργασία των προσωπικών του δεδομένων, την οποία έχει δικαίωμα να ανακαλέσει ανά πάσα στιγμή.
3. Ανακοίνωση παραβίασης δεδομένων
Σύμφωνα με το άρθρο 34 του Κανονισμού, όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.
4. Σαφής και κατανοητή γλώσσα στις πολιτικές απορρήτου
Σύμφωνα με το άρθρο 12 του Κανονισμού, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε απαιτούμενη από το νόμο πληροφορία σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά.
5. Αυστηρότερη εφαρμογή του νόμου και πρόστιμα στις επιχειρήσεις που τον παραβιάζουν
Το άρθρο 83 του Κανονισμού προβλέπει τους γενικούς όρους επιβολής διοικητικών προστίμων. Υπό συγκεκριμένες προϋποθέσεις, ορισμένες παραβάσεις επισύρουν διοικητικά πρόστιμα έως και 20 εκατ. ευρώ ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.
Επεξεργασία δεδομένων από τις Αρχές
Μαζί με το Γενικό Κανονισμό για για την προστασία δεδομένων, δημοσιεύθηκε στην Επίσημη Εφημερίδα της ΕΕ, η Οδηγία για την επεξεργασία δεδομένων από αρμόδιες αρχές για τους σκοπούς που σχετίζονται με ποινικά αδικήματα.
Υπό το φως των τρομοκρατικών επιθέσεων σε Παρίσι και Βρυξέλλες, η νέα αυτή οδηγία περιλαμβάνει ένα νέο σύστημα κανόνων σχετικά με τις μεταφορές δεδομένων ώστε να εξασφαλίζεται η «ομαλότερη συνεργασία μεταξύ των δικαστικών και αστυνομικών αρχών» των κρατών-μελών της Ευρωπαϊκής Ένωσης.
Η οδηγία δεν αφορά μόνο στη διασυνοριακή μεταφορά δεδομένων εντός της ΕΕ, αλλά θεσπίζει για πρώτη φορά ελάχιστα πρότυπα για την επεξεργασία δεδομένων από τις αστυνομικές και δικαστικές αρχές στο εσωτερικό κάθε κράτους-μέλους.
Διαβάστε επίσης: Στη δημοσιότητα η νέα συμφωνία ΕΕ-ΗΠΑ για τη διατλαντική ροή δεδομένων
Σύμφωνα με τους εισηγητές της, η θέσπιση κοινών προτύπων θα συντελέσει στην αντιμετώπιση ενός βασικού προβλήματος σχετικά με τη διερεύνηση τρομοκρατικών ενεργειών και άλλων διασυνοριακών εγκλημάτων, το οποίο αφορά στη δυσκολία και την καθυστέρηση στην ανταλλαγή πληροφοριών.
Η νέα ευρωπαϊκή οδηγία αποσκοπεί στην προστασία των ατόμων, είτε αυτοί είναι θύματα ή μάρτυρες, είτε εγκληματίες, ορίζοντας σαφή δικαιώματα και περιορισμούς για τις διαβιβάσεις δεδομένων που στόχο έχουν την πρόληψη, διερεύνηση, ανίχνευση ή δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων.
Ταυτόχρονα θα διευκολύνει την ομαλή και αποτελεσματική συνεργασία μεταξύ των εθνικών αρχών επιβολής του νόμου.
Oνομαστικές καταστάσεις επιβατών (Passenger Name Record)
Τέλος, το «πακέτο» των τροποποιήσεων ολοκληρώνεται, τουλάχιστον επί του παρόντος, με την οδηγία σχετικά με τη χρήση των δεδομένων που περιέχονται στις καταστάσεις ονομάτων επιβατών (PNR) για την πρόληψη, ανίχνευση, διερεύνηση και δίωξη τρομοκρατικών και σοβαρών εγκλημάτων.
Διαβάστε επίσης: Δικαστήριο της Ευρωπαϊκής Ένωσης: Αποτελούν οι διευθύνσεις IP προσωπικά δεδομένα;
Ορισμένα από τα βασικά σημεία της οδηγίας είναι τα εξής:
- Τα κράτη μέλη θα πρέπει να ιδρύσουν ή να ορίσουν μια αρχή αρμόδια για την πρόληψη, ανίχνευση, διερεύνηση και δίωξη τρομοκρατικών και σοβαρών εγκλημάτων, η οποία θα είναι αρμόδια για τη συλλογή και διαχείριση των δεδομένων PNR από τους αερομεταφορείς και τη μεταβίβασή τους στις αρχές (Μονάδα Στοιχείων Επιβατών ή ΜΣΕ).
- Οι πληροφορίες αυτές θα διατηρούνται σε βάση δεδομένων για περίοδο 5 ετών, αλλά μετά από 6 μήνες, όλα τα δεδομένα θα "ανωνυμοποιούνται" με την κάλυψη των στοιχείων που μπορούν να χρησιμεύσουν στην άμεση ταυτοποίηση του επιβάτη στον οποίο αναφέρονται (πχ. όνομα, διεύθυνση και στοιχεία επικοινωνίας).
- Τα κράτη μέλη θα μπορούν να συλλέγουν και να επεξεργάζονται δεδομένα PNR και από οικονομικούς φορείς που δεν είναι μεταφορείς, όπως ταξιδιωτικά γραφεία και διοργανωτές ταξιδιών που παρέχουν σχετιζόμενες με ταξίδια υπηρεσίες, συμπεριλαμβανομένων των κρατήσεων πτήσεων.
Δείτε αναλυτικά τις προβλέψεις της Οδηγίας σχετικά με τις ονομαστικές καταστάσεις επιβατών (Passenger Name Record) εδώ.