Κανονισμός του Ευρωπαϊκού Κοινοβουλίου και Συμβουλίου για την Προστασία των δεδομένων προσωπικού χαρακτήρα
Γράφει η Ηλιάνα Ελέτσκοβα-Δικηγόρος, Πιστοποιημένη D.P.O. EXECUTIVE, Mέλος της «PKG Κ.Παρηγόρης & Συνεργάτες» Δικηγορικής Εταιρείας
KAΝΟΝΙΣΜΟΣ Ε.Ε.2016/679/27.04.2016 ΤΟΥ ΕΥΡΩΠΑΙΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΣΥΜΒΟΥΛΙΟΥ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΦΥΣΙΚΩΝ ΠΡΟΣΩΠΩΝ ΕΝΑΝΤΙ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΚΑΙ ΤΗΝ ΕΛΕΥΘΕΡΗ ΚΥΚΛΟΦΟΡΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΑΥΤΩΝ ΚΑΙ ΤΗΝ ΚΑΤΑΡΓΗΣΗ ΤΗΣ ΟΔΗΓΙΑΣ 95/46 (Γενικός κανονισμός για την Προστασία των δεδομένων)
Τι μας οδήγησε στην θέσπιση του Κανονισμού αυτού και ποιες οι καινοτομίες του συγκριτικά με προηγούμενα νομοθετήματα.
Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της συλλογής και ανταλλαγής δεδομένων προσωπικού χαρακτήρα αυξήθηκε σημαντικά. Η τεχνολογία πλέον επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την επιδίωξη των δραστηριοτήτων τους. Τα φυσικά πρόσωπα ολοένα και περισσότερο δημοσιοποιούν προσωπικές πληροφορίες και τις καθιστούν διαθέσιμες σε παγκόσμιο επίπεδο. Η τεχνολογία έχει αλλάξει την οικονομία όσο και την κοινωνική ζωή και θα πρέπει να διευκολύνει περαιτέρω την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης και τη διαβίβαση σε τρίτες χώρες και διεθνείς οργανισμούς, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα. Οι εξελίξεις αυτές απαιτούν ένα ισχυρό και πιο συνεκτικό πλαίσιο προστασίας των δεδομένων στην Ένωση, υποστηριζόμενο από αυστηρή εφαρμογή της νομοθεσίας, δεδομένου ότι είναι σημαντικό να δημιουργηθεί η αναγκαία εμπιστοσύνη που θα επιτρέψει στην ψηφιακή οικονομία να αναπτυχθεί στο σύνολο της εσωτερικής (εντός της Ευρωπαϊκής Ένωσης) αγοράς. Τα φυσικά πρόσωπα θα πρέπει να έχουν τον έλεγχο των δικών τους δεδομένων προσωπικού χαρακτήρα. Θα πρέπει παράλληλα να ενισχυθούν η ασφάλεια δικαίου και η πρακτική ασφάλεια για τα φυσικά πρόσωπα, τους οικονομικούς παράγοντες και τις δημόσιες αρχές.
Η διαμορφωθείσα αυτή κατάσταση οδήγησε τα αρμόδια όργανα της Ένωσης να προβούν στην θέσπιση το έτος 2016, ύστερα από τέσσερα χρόνια διαβουλεύσεων, ενός νέου νομοθετικού πλαισίου για την προστασία των προσωπικών δεδομένων καταργώντας παράλληλα παλαιότερα νομοθετήματα, τα οποία δεν μπορούσαν πλέον να ρυθμίσουν επαρκώς αυτές τις πραγματικές και νομικές καταστάσεις, πολλώ δε μάλλον να προστατεύσουν το υποκείμενο. Έτσι, θεσπίστηκε στις 27-4-2016 ο Κανονισμός 2016/679 με τον οποίο καταργείται ρητά, κατά το άρθρο 94 αυτού η οδηγία 95/46/ΕΚ από τις 25-5-2018, οπότε και τίθεται άμεσα σε εφαρμογή αυτός σε κάθε κράτος μέλος, χωρίς την ανάγκη θέσπισης εθνικής εφαρμοστικής νομοθεσίας (άρθρο 99 του Κανονισμού). Με αυτόν τον τρόπο διασφαλίζεται η συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Παράλληλα, ο κανονισμός αυτός δίνει την δυνατότητα στα κράτη μέλη να διατηρούν ή να θεσπίζουν εθνικές διατάξεις για τον περαιτέρω προσδιορισμό της εφαρμογής του Κανονισμού αυτού όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται προς συμμόρφωση με νομική υποχρέωση, προς εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Επίσης, η δυνατότητα αυτή παρέχεται στα κράτη μέλη ώστε να εξειδικεύσουν τους κανόνες τους συμπεριλαμβανομένων αυτών που αφορούν την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα («ευαίσθητα δεδομένα»), όπως και για τον ακριβέστερο καθορισμό των προϋποθέσεων υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη.
Ο Kανονισμός αυτός στηρίζεται σε αυτά που προέβλεπε η οδηγία 95/46/ΕΚ, όμως εισάγει νέες καινοτομίες, νέα δικαιώματα και υποχρεώσεις για τους υπεύθυνους επεξεργασίας (αρχή διαφάνειας και λογοδοσίας, νέα μοντέλα «privacy by design» and «privacy by default», ορισμός DPO, γνωστοποίηση παραβάσεων στην εποπτική Αρχή και στο υποκείμενο των δεδομένων) για την ενίσχυση της νομικής θέσης του υποκειμένου των δεδομένων, η οποία θωρακίζεται με την επιβολή ιδιαιτέρως αυστηρών κυρώσεων και τη δυνατότητα προσφυγής του υποκειμένου στη Δικαιοσύνη για την αποκατάσταση της υλικής ή μη υλικής του βλάβης από την μη σύννομη επεξεργασία των δεδομένων του προσωπικού χαρακτήρα. Καταργείται επίσης, ο προληπτικός έλεγχος με τις γνωστοποιήσεις και τις άδειες από τις εποπτικές αρχές και πλέον αυτή η υποχρέωση αντικαθίσταται από την υποχρέωση λήψης κατάλληλων οργανωτικών, τεχνικών και νομικών μέσων, εκπόνησης μελέτης εκτίμησης αντικτύπου, την υποχρέωση διορισμού υπευθύνου προστασίας δεδομένων (DPO) και την ανάγκη προσαρμογής στον νέο κανονισμό και για τις δημόσιες υπηρεσίες – αρχές, οι οποίες έχουν βασική δραστηριότητα την επεξεργασία δεδομένων προσωπικού χαρακτήρα και σε μεγάλη κλίμακα.
10 ερωτήσεις – απαντήσεις που θα μας βοηθήσουν να κατανοήσουμε εν γένει τον νέο αυτό Κανονισμό
- Ποιο είναι το αντικείμενο και οι στόχοι του Κανονισμού
Ο Κανονισμός αυτός θεσπίζει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων τους προσωπικού χαρακτήρα, κανόνες που αφορούν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα, προστατεύει θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων, ιδίως το δικαίωμά τους στην προστασία των δεδομένων τους προσωπικού χαρακτήρα. Στόχος είναι η θέσπιση και εφαρμογή ενός κοινού πλέγματος κανόνων που θα διασφαλίζει την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα ενώ θα διασφαλίζεται παράλληλα η αποτελεσματική προστασία αυτών καθώς και των θεμελιωδών δικαιωμάτων και ελευθεριών των υποκειμένων .
2.Ποιο είναι το πεδίο εφαρμογής του εν λόγω Κανονισμού ;
Σύμφωνα με το άρθρο 3 του Κανονισμού, υιοθετείται η αρχή του τόπου εγκαταστάσεως της επιχείρησης και του υποκειμένου των δεδομένων δηλαδή ο Κανονισμός εφαρμόζεται στις δραστηριότητες εγκαταστάσεως του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία που πραγματοποιείται εντός της Ε.Ε αλλά και στις δραστηριότητες εγκαταστάσεως του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία εκτός της Ε.Ε, όταν η επεξεργασία αφορά υποκείμενα δεδομένων εντός της Ε.Ε, αυτό σημαίνει ότι ο παρών Κανονισμός εφαρμόζεται στην περίπτωση που ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεν είναι εγκατεστημένος στο έδαφος της Ε.Ε αλλά παρέχει αγαθά ή υπηρεσίες σε υποκείμενα δεδομένων στην Ε.Ε ανεξαρτήτως πληρωμής από αυτά ή όταν παρακολουθείται συστηματικά η συμπεριφορά των υποκειμένων των δεδομένων στον βαθμό που αυτή λαμβάνει χώρα εντός της Ε.Ε ή εφόσον αυτή λαμβάνει χώρα σε έδαφος όπου εφαρμόζεται το δίκαιο του κράτους μέλους δυνάμει του δημοσίου διεθνούς δικαίου.
- Πότε δεν εφαρμόζεται ο Κανονισμός αυτός ;
Ο Κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας. Ως τέτοια δραστηριότητα νοείται εκείνη που αναφέρεται στο ιδιωτικό πεδίο δράσης ενός προσώπου ή μιας οικογένειας, δηλαδή εκείνη που δεν εμπίπτει στην επαγγελματική ή/και εμπορική δραστηριότητα και δεν έχει ως σκοπό ή ως αποτέλεσμα τη συστηματική διαβίβαση ή τη διάδοση δεδομένων σε τρίτους. Επίσης, δεν εφαρμόζεται σε ζητήματα προστασίας θεμελιωδών δικαιωμάτων και ελευθεριών ή την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα που σχετίζονται με δραστηριότητες που δεν υπάγονται στο πεδίο εφαρμογής του Ενωσιακού δικαίου, όπως δραστηριότητες που αφορούν την εθνική ασφάλεια. Επιπλέον, δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη όταν αυτά εκτελούν δραστηριότητες συναφείς με την κοινή εξωτερική πολιτική και πολιτική ασφάλειας της Ένωσης (βλ. ειδικότερα κεφάλαιο 2 του τίτλου V της ΣΕΕ). Επιπροσθέτως, δεν εφαρμόζεται στα δεδομένα προσωπικού χαρακτήρα θανόντων, τα κράτη μέλη όμως μπορούν να προβλέπουν κανόνες για την επεξεργασία δεδομένων προσωπικού χαρακτήρα των θανόντων. Ακολούθως, ο Κανονισμός δεν εφαρμόζεται όταν τα αρχεία ή τα σύνολα αρχείων, καθώς και τα εξώφυλλά τους, τα οποία επεξεργάζονται με αυτοματοποιημένα μέσα ή με χειροκίνητη επεξεργασία, δεν είναι διαρθρωμένα σύμφωνα με συγκεκριμένα κριτήρια του Κανονισμού. Εν συνεχεία, δεν εφαρμόζεται σε δραστηριότητες επεξεργασίας δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές για σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης έναντι των απειλών κατά της δημόσιας ασφάλειας και της πρόληψής τους και της ελεύθερης κυκλοφορίας των δεδομένων αυτών, που αποτελεί το αντικείμενο ειδικής ενωσιακής νομικής πράξης (βλ. οδηγία ΕΕ 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης-4-2016). Ακόμη, ο Κανονισμός δεν αφορά την επεξεργασία ανώνυμων πληροφοριών, δηλαδή πληροφοριών που δεν σχετίζονται προς ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή σε δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί, ούτε μεταξύ άλλων για στατιστικούς ή ερευνητικούς σκοπούς. Περαιτέρω για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά όργανα, φορείς, υπηρεσίες και οργανισμούς της Ένωσης, εφαρμόζεται ο κανονισμός (ΕΚ) 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000 «σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών», με την επιφύλαξη του άρθρου 98 του Κανονισμού αυτού (ΕΕ 2016/679/ 27.04.2016), ήτοι η επεξεργασία δεδομένων προσωπικού χαρακτήρα στα πλαίσια του κανονισμού (ΕΚ) 45/2001 θα πρέπει να προσαρμοστεί στις αρχές και τους κανόνες που θεσπίζονται στον κανονισμό (ΕΕ 2016/679/27.04.2016) και να εφαρμόζονται υπό το πρίσμα του κανονισμού αυτού. Πρόσθετα, από τον Κανονισμό αυτό δεν θίγεται η εφαρμογή της οδηγίας 2000/31/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 8ης Ιουνίου 2000 για ορισμένες νομικές πτυχές των υπηρεσιών της κοινωνίας της πληροφορίας, ιδίως του ηλεκτρονικού εμπορίου, στην εσωτερική αγορά («οδηγία για το ηλεκτρονικό εμπόριο»). Πέρα τούτων, ο κανονισμός αυτός δεν επιβάλλει πρόσθετες υποχρεώσεις σε φυσικά ή νομικά πρόσωπα σε σχέση με την επεξεργασία όσον αφορά την παροχή ηλεκτρονικών επικοινωνιών διαθέσιμων στο κοινό σε δημόσια δίκτυα επικοινωνίας στην Ένωση σε σχέση με θέματα τα οποία υπόκεινται στις ειδικές υποχρεώσεις με τον ίδιο στόχο που ορίζεται στην οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες).
Τέλος, η αρμοδιότητα των εποπτικών αρχών δεν θα πρέπει να καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα, προκειμένου να διασφαλίζεται η ανεξαρτησία των δικαστικών λειτουργών κατά την άσκηση των δικαιοδοτικών τους καθηκόντων, περιλαμβανομένης της λήψης αποφάσεων. Η εποπτεία των εν λόγω πράξεων επεξεργασίας δεδομένων θα πρέπει να μπορεί να ανατεθεί σε ειδικούς φορείς στο πλαίσιο του δικαστικού συστήματος του κράτους μέλους, το οποίο θα πρέπει ιδίως να διασφαλίζει τη συμμόρφωση με τους κανόνες του παρόντος κανονισμού, να ευαισθητοποιεί μέλη των δικαστικών λειτουργών όσον αφορά τις υποχρεώσεις τους βάσει του παρόντος κανονισμού και να επιλαμβάνεται καταγγελιών σε σχέση με τις εν λόγω διαδικασίες επεξεργασίας δεδομένων (Αιτιολογική Σκέψη Κανονισμού 15, 16, 17,18, 19,20,26,27, άρθρο 2 και 95 του Κανονισμού).
- Τι είναι τα δεδομένα προσωπικού χαρακτήρα (ή αλλιώς προσωπικά δεδομένα);
Σύμφωνα με το άρθρο 4 του Κανονισμού είναι κάθε πληροφορία που αφορά σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, τέτοιο στοιχείο μπορεί να είναι το ονοματεπώνυμο, το πατρώνυμο, το μητρώνυμο, η ηλικία, τα φυσικά χαρακτηριστικά (ένας ή περισσότεροι παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική κατάσταση, βιομετρικά στοιχεία, γενετικά δεδομένα), ο αριθμός ταυτότητας, η κατοικία, το επάγγελμα, η οικογενειακή κατάσταση, η εκπαίδευση, η εργασία (προϋπηρεσία, εργασιακή συμπεριφορά κλπ), η κοινωνική κατάσταση, η πολιτιστική κατάσταση, η οικονομική κατάσταση (έσοδα, περιουσιακά στοιχεία, οικονομική συμπεριφορά, τραπεζικός λογαριασμός), ενδιαφέροντα, δραστηριότητες, συνήθειες, πεποιθήσεις θρησκευτικές και πολιτικές. Παράλληλα ο Κανονισμός προβλέπει ότι μερικά από αυτά τα δεδομένα – πληροφορίες ανήκουν στην ειδική κατηγορία δεδομένων. Το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα αυτά ονομάζεται υποκείμενο των δεδομένων.
- Ποια δεδομένα κατατάσσονται στην «ειδική κατηγορία προσωπικού χαρακτήρα» (αυτά που ο ν.2472/1997 χαρακτήριζε ως «ευαίσθητα δεδομένα»);
Σύμφωνα με το άρθρο 9 του Κανονισμού χαρακτηρίζονται ως τέτοια τα προσωπικά δεδομένα ενός ατόμου που αναφέρονται στη φυλετική ή εθνική του προέλευση, στα πολιτικά του φρονήματα, στις θρησκευτικές ή φιλοσοφικές του πεποιθήσεις, στη συμμετοχή του σε συνδικαλιστική οργάνωση, στην υγεία του, στα γενετικά και βιομετρικά του δεδομένα, στην κοινωνική του πρόνοια, στην ερωτική – σεξουαλική του ζωή, στον γενετήσιο προσανατολισμό, τις ποινικές διώξεις και καταδίκες του (άρθρο 10 του Κανονισμού), καθώς και στη συμμετοχή του σε συναφείς με τα ανωτέρω ενώσεις προσώπων. Για την επεξεργασία αυτών των δεδομένων ο Κανονισμός προβλέπει αυστηρότερες ρυθμίσεις και αυξημένες υποχρεώσεις για τον υπεύθυνο επεξεργασίας. Περαιτέρω, ο χαρακτηρισμός τους ως τέτοιων συνεπάγεται την ένταξή τους στο άρθρο 35 παρ.3 στοιχ. β’ του Κανονισμού, η δε επεξεργασία τους σε μεγάλη κλίμακα καθιστά απαραίτητη την διενέργεια εκ μέρους του υπευθύνου επεξεργασίας, αφού προηγουμένως ζητήσει και την γνώμη του υπευθύνου προστασίας δεδομένων (εφόσον έχει οριστεί), εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (DPIA) και ενδεχομένως τη προηγούμενη διαβούλευση με την εποπτική αρχή (άρθρο 35 και 36 του Κανονισμού).
6.Τι σημαίνει «επεξεργασία προσωπικών δεδομένων», «υπεύθυνος επεξεργασίας», «εκτελών την επεξεργασία», «αποδέκτης», «τρίτος»;
«Επεξεργασία προσωπικών δεδομένων» είναι κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η διατήρηση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, η διασύνδεση, η δέσμευση, ο περιορισμός, η διαγραφή και η καταστροφή.
Κάθε φυσικό ή νομικό πρόσωπο του δημόσιου ή ιδιωτικού τομέα, δημόσια αρχή, υπηρεσία ή άλλος φορέας, που μόνα ή από κοινού, καθορίζουν τους σκοπούς και τον τρόπο επεξεργασίας δεδομένων προσωπικού χαρακτήρα ονομάζεται «υπεύθυνος επεξεργασίας».
Κάθε φυσικό ή νομικό πρόσωπο του δημόσιου ή ιδιωτικού τομέα, δημόσια αρχή, υπηρεσία ή άλλος φορέας , που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό κάποιου υπεύθυνου επεξεργασίας ονομάζεται «εκτελών την επεξεργασία».
Κάθε φυσικό ή νομικό πρόσωπο του δημόσιου ή ιδιωτικού τομέα, δημόσια αρχή, υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι, λογίζεται ως «αποδέκτης». Προσοχή! Οι δημόσιες αρχές που λαμβάνουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες.
Οποιοδήποτε φυσικό ή νομικό πρόσωπο του δημόσιου ή ιδιωτικού τομέα, δημόσια αρχή, υπηρεσία ή άλλος φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα λογίζεται ως «τρίτος».
- Ποια δικαιώματα του υποκειμένου των δεδομένων προβλέπει ο νέος αυτός Κανονισμός ;
α) Το δικαίωμα ενημέρωσης του σχετικά με την ύπαρξη πράξης επεξεργασίας δεδομένων του προσωπικού χαρακτήρα και του σκοπού αυτής της πράξης(άρθρο 5,11,12,13,14,*15-22*,19,33,34,78,83 παρ.5 του Κανονισμού, αιτιολογική σκέψη 39,58,60,85), β) το δικαίωμα πρόσβασης στα δεδομένα του προσωπικού χαρακτήρα που το αφορούν (άρθρο 15, 4, 12, 83 παρ.5 και αιτιολογική σκέψη 63,64), γ) το δικαίωμα διόρθωσης ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν καθώς και τη συμπλήρωση ελλιπών δεδομένων (άρθρο 16, 5,12,13,14,19, 83 Κανονισμού και άρθρο 8 παρ.2 εδ.β του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης), δ) το δικαίωμα της λήθης (άρθρο 17, 58 παρ. 2 στοιχ.ζ’ και 77, 83 παρ. 5 του Κανονισμού, άρθρο 5 παρ.1, 2 παρ. 1, 9,9Α του Συντάγματος, άρθρο 7 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και 8 της ΕΣΔΑ), ε) το δικαίωμα του περιορισμού της επεξεργασίας (άρθρο 18, 4 παρ.3, 12 παρ.3, 83 παρ.2 στοιχ. β’, αιτιολογική σκέψη 67), στ) το δικαίωμα στη φορητότητα των δεδομένων απευθείας από έναν υπεύθυνο επεξεργασίας σε έναν άλλο, όχι μέσω του υποκειμένου των δεδομένων, με δομημένο, κοινώς χρησιμοποιούμενο και αναγνωρίσιμο από μηχανήματα διαλειτουργικό μορφότυπο (άρθρο 20, 12, 83 παρ.5 στοιχ.β’ του Κανονισμού και αιτιολογική σκέψη 68), ζ) το δικαίωμα εναντίωσης στην επεξεργασία δεδομένων του προσωπικού χαρακτήρα (άρθρο 21, 6 παρ.1 στοιχ. ε’, 12 παρ.3, 17 παρ.2 στοιχ.γ’, 83 παρ.5 στοιχ.β, 89 του Κανονισμού και αιτιολογική σκέψη 63), η) το δικαίωμα αντίρρησης / εναντίωσης στην αυτοματοποιημένη λήψη αποφάσεων και κατάρτιση προφίλ (άρθρο 22, 13 παρ.2 στοιχ.στ’ και 14 παρ.2 στοιχ.ζ’, 83 παρ.5 στοιχ.β’ του Κανονισμού και αιτιολογική σκέψη 71).
9.Ποιούς περιορισμούς στα δικαιώματα του υποκειμένου των δεδομένων προβλέπει ο Κανονισμός ;
Σύμφωνα με το άρθρο 23 του Κανονισμού δίδεται στον νομοθέτη του ενωσιακού δικαίου ή στον εθνικό νομοθέτη η ευχέρεια να περιορίσει με νομοθετικό μέτρο το πεδίο εφαρμογής των δικαιωμάτων και των υποχρεώσεων που προβλέπονται στα άρθρα 5, 12-22 και 34 του Κανονισμού για τη διασφάλιση αγαθών, ήτοι υπέρ α) της ασφάλειας του κράτους, β) της εθνικής άμυνας, γ) της δημόσιας ασφάλειας, δ) της πρόληψης, διερεύνησης, ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών, ε) άλλων σημαντικών στόχων γενικού δημοσίου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων, της δημόσιας υγείας και της κοινωνικής ασφάλισης, στ) της προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών, ζ) της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα, η) της παρακολούθησης, της επιθεώρησης ή της κανονιστικής λειτουργίας που συνδέεται, έστω περιστασιακά με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α) έως ε) και ζ), θ) της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών των τρίτων και ι) της εκτέλεσης αστικών αξιώσεων.
Περαιτέρω κάθε νομοθετικό μέτρο που περιορίζει τα δικαιώματα και τις υποχρεώσεις σύμφωνα με το άρθρο 23 του Κανονισμού πρέπει να αναφέρει ρητά α) τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας, β) τις κατηγορίες δεδομένων προσωπικού χαρακτήρα, γ) το πεδίο εφαρμογής των περιορισμών που επιβλήθηκαν, δ) τις εγγυήσεις για την πρόληψη καταχρήσεων ή παράνομης πρόσβασης ή διαβίβασης, ε) την ειδική περιγραφή του υπευθύνου επεξεργασίας ή των κατηγοριών των υπευθύνων επεξεργασίας, στ) τις περιόδους αποθήκευσης και τις ισχύουσες εγγυήσεις, λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας, ζ) τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και η) το δικαίωμα των υποκειμένων των δεδομένων να ενημερώνονται σχετικά με τον περιορισμό, εκτός εάν αυτό μπορεί να αποβεί επιζήμιο για τους σκοπούς του περιορισμού.
Οποιοσδήποτε όμως νομοθετικός περιορισμός θα πρέπει να λαμβάνεται μονάχα σύμφωνα με τους ορισμούς του άρθρου 23 του Κανονισμού και να μην θίγει τον πυρήνα – την ουσία των δικαιωμάτων των υποκειμένου των δεδομένων καθώς και να τηρείται πάντοτε η αρχή της αναλογικότητας, η οποία διέπει όλον τον Κανονισμό. Εξάλλου ο ίδιος ο νομοθέτης ορίζει στην αιτιολογική έκθεση (4) ότι το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα και πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας.
- Ποιες κυρώσεις προβλέπει ο Κανονισμός ;
Σύμφωνα με το άρθρο 83 ορίζεται ότι κάθε εποπτική αρχή μεριμνά, αφού λάβει υπόψη της τα κριτήρια που προβλέπονται σε αυτό το άρθρο και την αρχή της αναλογικότητας, την επιβολή κυρώσεων και διοικητικών προστίμων στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία για την μη συμμόρφωση προς τις υποχρεώσεις τους, όπως αυτές ορίζονται στον Κανονισμό, που μεταξύ άλλων είναι : α) η έγγραφη προειδοποίηση, β) η επίπληξη, γ) η εντολή για συμμόρφωση προς τα αιτήματα των υποκειμένων των δεδομένων για την άσκηση των δικαιωμάτων τους, δ) η εντολή να καθίστανται οι πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του κανονισμού, ενδεχομένως με συγκεκριμένο τρόπο εντός ορισμένης προθεσμίας, ε) η εντολή για ανακοίνωση της παραβίασης των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, στ) επιβολή προσωρινού ή οριστικού περιορισμού ή και απαγόρευσης της επεξεργασίας, ζ) η εντολή εκτέλεσης – ικανοποίησης των υποχρεώσεων – δικαιωμάτων που προβλέπονται στα άρθρα 16,17,18,19, η) η απόσυρση της πιστοποίησης ή η διαταγή προς τον οργανισμό πιστοποίησης να αποσύρει ένα πιστοποιητικό εκδοθέν κατά τα άρθρα 42 και 43 ή η διαταγή προς τον οργανισμό πιστοποίησης να μην εκδώσει πιστοποίηση, εφόσον δεν πληρούνται ή δεν πληρούνται πλέον οι απαιτήσεις πιστοποίησης, θ) η εντολή για αναστολή της κυκλοφορίας δεδομένων σε αποδέκτη σε Τρίτη χώρα ή σε διεθνή οργανισμό, ι) επιπλέον ή αντί των ανωτέρω η επιβολή διοικητικών προστίμων 1) έως 10.000.000 ευρώ ή έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι μεγαλύτερο, σε περίπτωση επιχειρήσεων και 2) 20.000.000 ευρώ ή έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι μεγαλύτερο, σε περίπτωση επιχειρήσεων.
Ένας νέος «δρόμος» ανοίγεται μπροστά μας
