Προστασία Προσωπικών Δεδομένων. Νέοι ορίζοντες. Ειρήνη Λοïζίδου Νικολαΐδου Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Transcript

1 Προστασία Προσωπικών Δεδομένων Νέοι ορίζοντες Ειρήνη Λοïζίδου Νικολαΐδου Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα 1

2 Στόχοι της παρουσίασης Περιγραφή υφιστάμενου νομικού πλαισίου Κατανόηση της ανάγκης για αλλαγή Περιγραφή νέου νομικού πλαισίου Κατανόηση βασικών αλλαγών Πώς επηρεάζονται οι οργανισμοί Προετοιμασία για συμμόρφωση με ορίζοντα το

3 Πρωτογενές Δίκαιο Σύμβαση Ανθρωπίνων Δικαιωμάτων ΣτΕ Άρθρο 8: ιδιωτική & οικογενειακή ζωή Σύνταγμα ΚΔ Άρθρο 15: ιδιωτική & οικογενειακή ζωή Χάρτης θεμελιωδών Δικαιωμάτων ΕΕ Άρθρο 7: ιδιωτική & οικογενειακή ζωή Άρθρο 8: προστασία προσωπικών δεδομένων 3

4 Υφιστάμενο Νομικό Πλαίσιο Κυρωτικοί Νόμοι της Σύμβασης 108 και του Πρόσθετου Πρωτοκόλλου της Ο περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου Νόμος του 2001 (Εναρμονιστικός - Οδηγία 95/46/ΕΚ) Κανονισμός (ΕΕ) 679/2016 που αντικαθιστά την Οδηγία 95/46/ΕΚ 4

5 Τι είναι τα προσωπικά δεδομένα Οποιαδήποτε πληροφορία προσδιορίζει ή ΜΠΟΡΕΙ να προσδιορίσει την ταυτότητα ενός φυσικού προσώπου εν ζωή Ευαίσθητα προσωπικά δεδομένα: Οτιδήποτε μπορεί να δημιουργήσει διακρίσεις (φυλή, θρησκεία, υγεία, πολιτικές πεποιθήσεις, συμμετοχή σε ένωση, σωματείο ή συνδικαλιστική οργάνωση, σεξουαλικός προσανατολισμός, διώξεις & καταδίκες) 5

6 Βασικές Αρχές Αρχή της νομιμότητας Αρχή του σκοπού Αρχή της αναλογικότητας Αρχή της διατήρησης Αρχή της ακρίβειας 6

7 Προϋποθέσεις για νόμιμη επεξεργασία Με συγκατάθεση Χωρίς συγκατάθεση όταν: Προβλέπεται από νόμο Εκτέλεση σύμβασης Διαφύλαξη ζωτικού συμφέροντος Άσκηση δημόσιας εξουσίας Έννομο συμφέρον υπό τον όρο ότι τούτο υπερέχει των δικαιωμάτων, συμφερόντων και θεμελιωδών ελευθεριών του υποκειμένου 7

8 Επεξεργασία ευαίσθητων δεδομένων Απαγορεύεται. Κατ εξαίρεση επιτρέπεται: Συγκατάθεση Εργατικό δίκαιο Ζωτικό συμφέρον Σωματείο/ ίδρυμα Χρήση σε δικαστήριο Ιατρικά δεδομένα Εθνική ασφάλεια Ερευνητικούς σκοπούς Δημοσιογραφική καλλιτεχνική έκφραση 8

9 Υποχρεώσεις υπεύθυνου επεξεργασίας Ενημέρωση Παροχή πρόσβασης Γνωστοποίηση Εξασφάλιση Αδειών Γραπτή ανάθεση σε εκτελούντα την επεξεργασία Τεχνικά & οργανωτικά μέτρα ασφάλειας 9

10 Δικαιώματα υποκειμένων των δεδομένων Ενημέρωση Πρόσβαση σε προσωπικά του δεδομένα Διαγραφή/ διόρθωση Αντίρρηση (υπό προϋποθέσεις) Προσωρινή Δικαστική προστασία 10

11 Άδειες Άρση υποχρέωσης ενημέρωσης Άρση υποχρέωσης πρόσβασης Διασύνδεση Αρχείων Διαβίβαση σε τρίτες χώρες τρίτη χώρα: χώρα που δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας βάσει Απόφασης της Ευρωπαϊκής Επιτροπής. Π.χ. ΗΠΑ, Κίνα, Ρωσία, Λίβανος 11

12 Εξουσίες Επιτρόπου Εξετάζει παράπονα (αυτεπάγγελτα ή κατόπιν καταγγελίας) Διενεργεί ελέγχους Εκδίδει τις Άδειες που προνοεί ο Νόμος Επιβάλλει διοικητικές κυρώσεις Συνεργάζεται με ΑΠΔΠΧ άλλων ΚΜ Καταγγέλλει αδικήματα στις αρμόδιες αρχές 12

13 Διοικητικές: Κυρώσεις Προειδοποίηση με προθεσμία Χρηματική ποινή μέχρι Προσωρινή ή οριστική ανάκληση άδειας Καταστροφή αρχείου/ διακοπή επεξεργασίας Ποινικά αδικήματα 13

14 Διαβίβαση στις ΗΠΑ Νομικό πλαίσιο: Privacy Shield Απόφαση Δ.Ε.Ε. 06/10/2015 κήρυξε άκυρο το παλαιό πλαίσιο «ασφαλούς λιμένα» Νέο πλαίσιο για τις διατλαντικές διαβιβάσεις προσωπικών δεδομένων για εμπορικούς σκοπούς: Privacy Shield (Ασπίδα προστασίας Ε.Ε.-ΗΠΑ για την ιδιωτικότητα) Το Privacy Shield αποτυπώνει τις απαιτήσεις που έθεσε το Δ.Ε.Ε. 14

15 Διαδικασία ένταξης στο Privacy Shield 1. Εταιρεία στις ΗΠΑ που επιθυμεί να ενταχθεί στο Privacy Shield οφείλει όπως: (α) πιστοποιηθεί αυτόματα μέσω του site ότι η πολιτική περί Ιδιωτικότητας που διαθέτει είναι σύμφωνη με τις 23 Αρχές Ιδιωτικότητας που θέτει το Privacy Shield (β) εγκριθεί η πιστοποίηση της από το Department of Commerce (γ) δημοσιεύσει την πολιτική της περί Ιδιωτικότητας (δ) δεσμευτεί δημόσια ότι εφαρμόζει τις Αρχές Ιδιωτικότητας που θέτει το Privacy Shield. Σημ.: Σύμφωνα με το νομικό καθεστώς στις ΗΠΑ, η δημόσια δέσμευση έχει νομική ισχύ. 15

16 2. Η αυτόματη πιστοποίηση γίνεται μέσω ενός τυποποιημένου εντύπου με το οποίο η αιτηθείσα εταιρεία στις ΗΠΑ καλείται να απαντήσει συγκεκριμένες ερωτήσεις 3. Το Department of Commerce αξιολογεί την αίτηση και αποφασίζει κατά πόσο η πολιτική της εταιρείας περί Ιδιωτικότητας είναι σύμφωνη με τις Αρχές Ιδιωτικότητας που θέτει το Privacy Shield ούτως ώστε να ενταχθεί στον Κατάλογο του Privacy Shield 4. Η εταιρεία καταβάλλει ετήσιο τέλος αναλόγως του ετήσιου εισοδήματος της (κάθε έτος η εταιρεία οφείλει να ανανεώνει την αυτόματη πιστοποίηση της). Σημ.: Μέχρι σήμερα υπάρχουν 500 εταιρείες εντεταγμένες στον Κατάλογο του Privacy Shield και εκκρεμούν 1000 Αιτήσεις για εξέταση. 16

17 Department of Commerce Ελέγχει τις αιτήσεις των εταιρειών που επιθυμούν να ενταχθούν ότι πληρούν τις 23 Αρχές Ιδιωτικότητας. Ελέγχει τις εγγεγραμμένες εταιρείες ότι συμμορφώνονται με τις Αρχές. Ελέγχει τις εγγεγραμμένες εταιρείες ότι δημοσιεύουν τις δεσμεύσεις τους. Διαχειρίζεται το Privacy Shield: διατηρεί τον κατάλογο με τις εταιρείες που είναι εγγεγραμμένες στο Privacy Shield και διαγράφει μία εταιρεία από τον Κατάλογο σε περίπτωση μη συμμόρφωσης. Λαμβάνει αναφορές από Αρχές Προστασίας Προσωπικών Δεδομένων που πιστεύουν ότι μία εταιρεία δεν εφαρμόζει τις Αρχές. Εξετάζει παράπονα από πολίτες και μέσα σε 90 μέρες από την ημερομηνία υποβολής του παραπόνου, οφείλει να ενημερώσει για το αποτέλεσμα την αρμόδια Αρχή Προστασίας Προσωπικών Δεδομένων. 17

18 Federal Trade Commission Υπεύθυνο για τη διοίκηση του Privacy Shield. Διασφαλίζει ότι οι εταιρείες εφαρμόζουν τις Αρχές Ιδιωτικότητας και τις δεσμεύσεις που δημοσιοποιούν. Επιβάλλει κυρώσεις στις εταιρείες που δεν τις εφαρμόζουν. Εξετάζει παράπονα από πολίτες. Σημ.: Τα ταξιδιωτικά γραφεία και οι αεροπορικές αερογραμμές εποπτεύονται από το Department of Transportation, το οποίο έχει τις αντίστοιχες αρμοδιότητες με το Federal Trade Commission. 18

19 Υποβολή παραπόνων από πολίτες Σε περίπτωση που εγγεγραμμένη εταιρεία δεν τηρεί τις Αρχές Ιδιωτικότητας που θέτει το Privacy Shield και παραβιάζει τα προσωπικά δεδομένα πολίτη, ο πολίτης έχει δικαίωμα υποβολής παραπόνου: (α) Στην Αμερικάνικη εταιρεία (β) Σε ανεξάρτητη Αρχή π.χ. Αρχή Προστασίας Προσωπικών Δεδομένων (γ) Στο Department of Commerce (δ) Στο Federal Trade Commission (ή στο Department of Transportation εάν το παράπονο αφορά αεροπορική εταιρεία ή ταξιδιωτικό γραφείο). 19

20 Ετήσιες συναντήσεις για έλεγχο συμμόρφωσης Το Department of Commerce, το Federal Trade Commission και οι Αρχές Προστασίας Προσωπικών Δεδομένων θα έχουν ετήσιες συναντήσεις για έλεγχο της λειτουργίας του Privacy Shield και συμμόρφωσης με αυτό. 20

21 Αίτηση για Άδεια Διαβίβασης Εταιρεία στην Κύπρο που επιθυμεί να διαβιβάσει προσωπικά δεδομένα σε εταιρεία στις ΗΠΑ που είναι εγγεγραμμένη στο Privacy Shield ή σε οποιαδήποτε άλλη τρίτη χώρα που διαθέτει ικανοποιητικό επίπεδο προστασίας βάσει Απόφασης της Ευρωπαϊκής Επιτροπής, δεν απαιτείται να λάβει εκ των προτέρων άδεια από την Επίτροπο. Εταιρεία στην Κύπρο που επιθυμεί να διαβιβάσει προσωπικά δεδομένα σε τρίτη χώρα που δεν διαθέτει ικανοποιητικό επίπεδο προστασίας, οφείλει να υποβάλει Αίτηση για Άδεια Διαβίβασης. Η Αίτηση εξετάζεται βάσει των εξαιρέσεων του άρθρου 9(2) ή βάσει των Δεσμευτικών Εταιρικών Κανόνων/Συμβατικών Ρητρών (άρθρο 9(3) ). Παράλληλα η εταιρεία αυτή θα πρέπει να ενημερώσει την Επίτροπο, μέσω της Αίτησης για Άδεια Διαβίβασης ότι ικανοποιούνται 4 βασικές εγγυήσεις / essential guarantees: 21

22 1. Κατά πόσο στα υπό διαβίβαση δεδομένα θα έχουν μαζική / συλλογική πρόσβαση Κρατικές Αρχές/ Υπηρεσίες της τρίτης χώρας. Αν η απάντηση είναι θετική, θα πρέπει να αναφερθεί αν η εν λόγω πρόσβαση ρυθμίζεται νομοθετικά. (clear and precise rules) 2. Σε περίπτωση που υπάρχει νομοθετική ρύθμιση θα πρέπει να αναφερθεί κατά πόσο προβλέπονται κριτήρια /επιφυλάξεις και εξαιρέσεις των εν λόγω παρεμβάσεων. (necessity and proportionality) 3. Κατά πόσο υπάρχει Ανεξάρτητος Εποπτικός Μηχανισμός (Δικαστική Αρχή, Κοινοβουλευτική ή Διοικητική Αρχή) στη χώρα/χώρες προορισμού των δεδομένων για την εποπτεία των συλλογικών /μαζικών προσβάσεων. (effective supervision) 4. Κατά πόσο υπάρχει Δικαστική ή άλλη Ανεξάρτητη Αρχή στη χώρα/χώρες προορισμού των δεδομένων η οποία να διασφαλίζει αποτελεσματική θεραπεία στα υποκείμενα των δεδομένων σε περίπτωση προσφυγής τους. (remedies) 22

23 Ο (Γενικός) Κανονισμός (ΕΕ) 679/2016 Τέθηκε σε ισχύ στις 24/05/2016 και θα εφαρμοστεί στις 25/05/ 2018 Καταργεί την Οδηγία 95/46, στην οποία βασίζεται το σημερινό νομικό πλαίσιο που ισχύει στην Κύπρο (Νόμος 138(Ι)2001 όπως τροποποιήθηκε) Λόγος κατάργησης της Οδηγίας: Η ανομοιόμορφη μεταφορά και εφαρμογή της Οδηγίας 95/46 με αποτέλεσμα τον κατακερματισμό της εφαρμογής των κανόνων προστασίας των δεδομένων, την ανασφάλεια δικαίου και την αντίληψη ότι δεν υπάρχει ουσιαστική προστασία, ιδιαίτερα στο ψηφιακό περιβάλλον. Σκοποί: (α) οικονομική και κοινωνική πρόοδος (β) ενίσχυση και σύγκλιση των οικονομιών εντός της εσωτερικής αγοράς (γ) ευημερία των φυσικών προσώπων (δ) καλλιέργεια αισθήματος εμπιστοσύνης που θα συμβάλει την ανάπτυξη της ψηφιακής οικονομίας και (ε) άρση των εμποδίων που στρεβλώνουν τον υγιή ανταγωνισμό. 23

24 Επιβάλλει την ευαισθητοποίηση του κοινού (raising awareness). Π.χ. στην αιτιολογική σκέψη 20 του Προοιμίου του Κανονισμού, γίνεται ειδική αναφορά για την ανάγκη ενημέρωσης των Λειτουργών της Δικαστικής Εξουσίας, για τις υποχρεώσεις τους που απορρέουν από τον Κανονισμό. Εισάγει το θεσμό της ενιαίας θυρίδας (one stop shop). Δηλαδή κάθε πολίτης και κάθε επιχείρηση θα μπορούν να «συναλλάσσονται» με μία μόνο ΑΠΔΠΧ. Ενισχύει τα υφιστάμενα δικαιώματα των πολιτών Έλεγχοι ex post αντί για ex ante Δημιουργεί νέες υποχρεώσεις Αυστηρές Κυρώσεις: Για παραβίαση συγκεκριμένων άρθρων του Κανονισμού, τα πρόστιμα φτάνουν έως , ή σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το πιο είναι υψηλότερο. 24

25 Αρχές νόμιμης επεξεργασίας 1. Αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας (lawfulness, fairness and transparency) 2. Αρχή του περιορισμού του σκοπού (purpose limitation): τα προσωπικά δεδομένα πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην υφίστανται περαιτέρω επεξεργασία με τρόπο ασύμβατο προς αυτούς τους σκοπούς. Ο Κανονισμός προβλέπει ότι περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς, εφόσον πληρούνται συγκεκριμένες προϋποθέσεις. 3. Αρχή της ελαχιστοποίησης των δεδομένων (data minimisation): τα δεδομένα που τυγχάνουν επεξεργασίας περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους έχουν αρχικά συλλεγεί. 25

26 4. Αρχή της ακρίβειας (accuracy) : λήψη μέτρων που διασφαλίζουν ότι τα προσωπικά δεδομένα που είναι ανακριβή, λαμβάνοντας υπόψη τους σκοπούς για τους οποίους αυτά υφίστανται επεξεργασία, διαγράφονται ή διορθώνονται χωρίς καθυστέρηση. 5. Αρχή του περιορισμού της περιόδου αποθήκευσης: (storage limitation) τα δεδομένα διατηρούνται σε μορφή που επιτρέπει την ταυτοποίηση των υποκείμενων μόνο για το διάστημα που απαιτείται για να πραγματοποιηθεί ο σκοπός της επεξεργασίας. Ωστόσο, η αποθήκευση των δεδομένων επιτρέπεται για μεγαλύτερα χρονικά διαστήματα στην περίπτωση που τα προσωπικά δεδομένα αποθηκεύονται μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς. 26

27 6. Αρχή της ακεραιότητας και εμπιστευτικότητας: (integrity and confidentiality) τα προσωπικά δεδομένα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ασφάλεια των δεδομένων. 7. Αρχή της Λογοδοσίας (accountability): ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να αποδεικνύει τη συμμόρφωση με όλες τις πιο πάνω αρχές. 27

28 Ο Κανονισμός Κύριες Υποχρεώσεις Υπεύθυνου Επεξεργασίας 1. Λήψη συγκατάθεσης για ανήλικους κάτω των 16 σε σχέση με τις υπηρεσίες της κοινωνίας των πληροφοριών Για ανήλικους κάτω των 16 ετών δεν αρκεί η συγκατάθεση τους για την επεξεργασία προσωπικών τους δεδομένων αλλά χρειάζεται και η συγκατάθεση του κηδεμόνα τους. 2. Φέρει το βάρος της αποδείξεως όσον αφορά στην παροχή συγκατάθεσης Η δήλωση συγκατάθεσης για την επεξεργασία προσωπικών δεδομένων πρέπει να είναι διατυπωμένη εκ των προτέρων από τον υπεύθυνο επεξεργασίας σε απλή και κατανοητή γλώσσα. 28

29 3. Υποχρέωση κατασκευαστών στο στάδιο του σχεδιασμού και εξ ορισμού (privacy by default and by design). Οι κατασκευαστές πρέπει να λαμβάνουν μέτρα προστασίας των χρηστών στο στάδιο του σχεδιασμού και εξ ορισμού. Για παράδειγμα, οι κατασκευαστές έξυπνων συσκευών θα πρέπει να διασφαλίζουν ότι, διατηρείται η ανωνυμία των προσώπων που αγοράζουν τις συσκευές τους και οι σχεδιαστές εφαρμογών (applications) θα συλλέγουν πληροφορίες για τους χρήστες, μόνο στο βαθμό που επιτρέπει ο Κανονισμός. 4. Υποχρέωση γνωστοποίησης παραβιάσεων ασφάλειας (notification of a personal data breach) Όταν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία γνωρίζει την παραβίαση της ασφάλειας του συστήματος οφείλει να ειδοποιήσει το Γραφείο της Επιτρόπου. Η Γνωστοποίηση πρέπει να γίνεται και στο ίδιο το υποκείμενο. 29

30 5. Νομική ευθύνη έχει ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία σε περίπτωση παραβίασης: Ο Κανονισμός τους «βλέπει» ως συναδικοπραγούντες, με αποτέλεσμα ο κάθε ένας να ευθύνεται εις ολόκληρο για την ζημιά την οποία υπέστη το υποκείμενο των δεδομένων. 6. Ασφάλεια της επεξεργασίας (security of processing): Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζεται το επίπεδο ασφάλειας, έναντι των κινδύνων. Γίνεται εκτίμηση του ενδεδειγμένου επιπέδου ασφαλείας, λαμβάνοντας υπόψη τους κινδύνους που απορρέουν από την επεξεργασία (π.χ. από παράνομη καταστροφή, απώλεια κ.λ.π.). Τηρείται εγκεκριμένος κώδικας δεοντολογίας ή εγκεκριμένος μηχανισμός πιστοποίησης. 30

31 7. Εκτίμηση αντικτύπου (impact assessment): Όταν ένα είδος επεξεργασίας (ιδίως με τη χρήση νέων τεχνολογιών) ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας. Το Γραφείο μου καταρτίζει και δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας για τα οποία απαιτείται εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων. Επίσης, καταρτίζει και δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας για τα οποία δεν απαιτείται εκτίμηση αντικτύπου. Σε περίπτωση που έχει οριστεί σε ένα οργανισμό ΥΠΔ, ο υπεύθυνος επεξεργασίας ζητά τη γνώμη του. Ο υπεύθυνος επεξεργασίας ζητά τη γνώμη του Γραφείου μου πριν από την επεξεργασία, όταν η εκτίμηση αντικτύπου υποδεικνύει ότι η επεξεργασία θα έθετε σε κίνδυνο τα δικαιώματα και τις ελευθερίες φυσικών προσώπων. 31

32 8. Υποχρέωση ορισμού Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ) (designation of a data protection officer): Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία ορίζουν ένα πρόσωπο ως ΥΠΔ. Δημοσιεύουν τα στοιχεία επικοινωνίας του και τα ανακοινώνουν στο Γραφείο μου, Διασφαλίζουν ότι, ο ΥΠΔ συμμετέχει σε όλα τα ζητήματα που αφορούν στην προστασία προσωπικών δεδομένων Στηρίζουν τον ΥΠΔ στην άσκηση των καθηκόντων του και του παρέχουν τους απαραίτητους πόρους για την άσκηση των εν λόγω καθηκόντων 32

33 Πότε διορίζεται ΥΠΔ; Όταν η επεξεργασία εκτελείται από δημόσια αρχή, Όταν οι δραστηριότητες του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, συνιστούν πράξεις επεξεργασίας, οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων σε μεγάλη κλίμακα, Όταν ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία επεξεργάζονται ειδικές κατηγορίες δεδομένων (π.χ. δεδομένα που αφορούν την υγεία, πολιτικά φρονήματα, τη συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά και βιομετρικά δεδομένα) και δεδομένων που αφορούν ποινικές καταδίκες/αδικήματα. 33

34 Πόσους ΥΠΔ μπορεί να διορίσει ένας όμιλος; Μπορεί να διορίσει ένα μόνο ΥΠΔ δεδομένου ότι κάθε εγκατάσταση έχει εύκολη πρόσβαση στον εν λόγω ΥΠΔ. Με ποια κριτήρια διορίζεται ένα πρόσωπο ως ΥΠΔ; Βάσει των επαγγελματικών του προσόντων, της εμπειρογνωσίας που διαθέτει στον τομέα της προστασίας δεδομένων και της ικανότητας του να εκπληρώσει τα καθήκοντα του ΥΠΔ. Μπορεί να είναι μέλος του προσωπικού του υπεύθυνου επεξεργασίας ή του εκτελούντα την επεξεργασία ή να ασκεί τα καθήκοντα του βάσει της σύμβασης παροχής υπηρεσιών. 34

35 Ποια είναι τα καθήκοντα του ΥΠΔ; Ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας/ εκτελούντα την επεξεργασία και τους υπαλλήλους του σχετικά με την προστασία δεδομένων. Παρακολουθεί τη συμμόρφωση με τον Κανονισμό σχετικά με τις πολιτικές του υπεύθυνου επεξεργασίας/ εκτελούντα την επεξεργασία σε σχέση με την προστασία δεδομένων Παρέχει συμβουλές όσον αφορά την εκτίμηση αντικτύπου Συνεργάζεται με το Γραφείο μου Ενεργεί ως σημείο επικοινωνίας για το Γραφείο μου Βοηθά τα υποκείμενα των δεδομένων να ασκούν τα δικαιώματα τους. 35

36 Για την εκτέλεση των καθηκόντων του, ο ΥΠΔ δεσμεύεται με την τήρηση του απορρήτου ή της εμπιστευτικότητας. Μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις, δεδομένου ότι αυτά δεν συνεπάγονται σύγκρουση συμφερόντων. 36

37 9. Τήρηση αρχείων των δραστηριοτήτων της επεξεργασίας (records of processing activities): Κάθε υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία τηρεί αρχείο των δραστηριοτήτων επεξεργασίας. Το αρχείο περιλαμβάνει πληροφορίες όπως π.χ. τους σκοπούς της επεξεργασίας και τους αποδέκτες των δεδομένων. Η εν λόγω υποχρέωση δεν ισχύει για επιχείρηση/οργανισμό που απασχολεί κάτω από 250 άτομα, εκτός εάν: (α) η επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα/ελευθερίες των υποκειμένων (β) η επεξεργασία δεν είναι περιστασιακή και (γ) η επεξεργασία περιλαμβάνει ειδικές κατηγορίες προσωπικών δεδομένων (π.χ. δεδομένα υγείας) και δεδομένα που αφορούν ποινικές καταδίκες. 37

38 10. Τήρηση κώδικα δεοντολογίας (code of conduct): Ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπεύθυνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να εκπονούν κώδικες δεοντολογίας ή να τροποποιούν υφιστάμενους. Σκοπός: για συμμόρφωση με τον Κανονισμό όσον αφορά στη θεμιτή και με διαφάνεια επεξεργασία, στη συλλογή προσωπικών δεδομένων, στην άσκηση των δικαιωμάτων των υποκειμένων κ.λ.π. Το σχέδιο κώδικα δεοντολογίας υποβάλλεται στο Γραφείο μου για απόψεις και τελική έγκριση. Όταν εγκριθεί, το Γραφείο μου τον δημοσιεύει. 38

39 Ανεξάρτητος φορέας που διαθέτει το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με το αντικείμενο του κώδικα δεοντολογίας μπορεί να παρακολουθεί τη συμμόρφωση με αυτόν, δεδομένου ότι είναι διαπιστευμένος για το σκοπό αυτό από το Γραφείο μου. Ο Φορέας θεωρείται ότι είναι διαπιστευμένος εφόσον πληροί συγκεκριμένα κριτήρια που θέτει το άρθρο 41 του Κανονισμού. Σε περίπτωση παράβασης του κώδικα, π.χ. ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεν έχει ορίσει ΥΠΔ, ο Φορέας λαμβάνει ανάλογα μέτρα και ενημερώνει σχετικά το Γραφείο μου. 39

40 11. Πιστοποίηση (Certification): Ο υπεύθυνος επεξεργασίας / εκτελών την επεξεργασία θεσπίζει, εάν επιθυμεί, μηχανισμούς πιστοποίησης της προστασίας δεδομένων, σφραγίδες και σήματα με σκοπό την απόδειξη συμμόρφωσης με τον Κανονισμό. Η πιστοποίηση χορηγείται από τους φορείς πιστοποίησης (certification bodies) ή το Γραφείο μου. Οι φορείς πιστοποίησης είναι διαπιστευμένοι βάσει κριτηρίων που εγκρίνονται από το Γραφείο μου για μέγιστη περίοδο 5 ετών και μπορεί να ανανεωθεί. Είναι υπεύθυνοι για την ορθή εκτίμηση που οδηγεί στην πιστοποίηση ή στην ανάκληση της πιστοποίησης., 40

41 Η πιστοποίηση είναι εθελοντική: Όποιος ενδιαφέρεται να πιστοποιηθεί, υποβάλλει την επεξεργασία του στο μηχανισμό πιστοποίησης, δηλ: παρέχει στο φορέα πιστοποίησης ή στο Γραφείο μου κάθε πληροφορία και πρόσβαση στα αρχεία του που απαιτείται για τη διεξαγωγή της διαδικασίας πιστοποίησης. Η πιστοποίηση χορηγείται από το φορέα πιστοποίησης ή το Γραφείο μου σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία για μέγιστη περίοδο 3 ετών και μπορεί να ανανεωθεί. 41

42 Δικαιώματα πολιτών Δικαίωμα ενημέρωσης (Right to be provided with information) Η ενημέρωση πρέπει να γίνεται σε απλή και κατανοητή γλώσσα. Δικαίωμα διόρθωσης (Right to rectification) Το υποκείμενο έχει δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας τη διόρθωση των ανακριβών δεδομένων που το αφορούν. Δικαίωμα στη λήθη (Right to erasure right to be forgotten ) Το υποκείμενο έχει δικαίωμα διαγραφής των δεδομένων του σε περίπτωση π.χ. που αίρει τη συγκατάθεση του ή όταν τα δεδομένα του έχουν υποστεί παράνομη επεξεργασία. Ο υπεύθυνος επεξεργασίας έχει υποχρέωση, σε περίπτωση που έχει δημοσιοποιήσει τα δεδομένα, να ενημερώσει όλους που τα έχουν αναδημοσιεύσει ότι το υποκείμενο ζήτησε τη διαγραφή τους. 42

43 Οι χρήστες, μπορούν να ζητούν και να εξασφαλίζουν από εργαλεία αναζήτησης, να μην παρουσιάζονται στη λίστα ευρημάτων οι σύνδεσμοι (links) σε δημοσιεύσεις που παραβαίνουν το δικαίωμα προστασίας της ιδιωτικής τους Ζωής. Δικαίωμα περιορισμού (Right to restriction) Το υποκείμενο έχει το δικαίωμα να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας όταν π.χ. η ακρίβεια των δεδομένων αμφισβητείται από το υποκείμενο και όταν η επεξεργασία είναι παράνομη. Το δικαίωμα αυτό υπάρχει και στην Οδηγία και στην Απόφαση 2008/977/ΔΕΥ ως «blocking of data» ή ως «flagging»: μαρκάρω ορισμένα δεδομένα σε ένα αρχείο με σκοπό τον περιορισμό της επεξεργασίας τους. 43

44 Δικαίωμα στη φορητότητα των δεδομένων (Right to data portability) Δημιουργεί υποχρέωση σε οργανισμούς, υπό προϋποθέσεις, να μεταφέρουν τα δεδομένα ενός πρόσωπου, κατόπιν αίτησής του, σε άλλο οργανισμό, σε μορφή αναγνώσιμη, τόσο από τον άνθρωπο όσο και από το μηχανογραφημένο σύστημα του άλλου οργανισμού. Για παράδειγμα, με βάση το δικαίωμα αυτό, οι χρήστες θα μπορούν να μεταφέρουν τα δεδομένα τους από μια ιστοσελίδα κοινωνικής δικτύωσης σε άλλη, αν το επιθυμούν και οι ασφαλιζόμενοι, από μια ασφαλιστική εταιρεία σε άλλη. Δικαίωμα εναντίωσης (Right to object) Το υποκείμενο έχει το δικαίωμα να αντιταχθεί στην επεξεργασία προσωπικών δεδομένων που το αφορούν. 44

45 Δικαίωμα αντίρρησης σε μία αυτοματοποιημένη απόφαση ή Κατάρτισης Προφίλ (Right to object to automated decision-making, including profiling) Ο Κανονισμός δίνει το δικαίωμα στο υποκείμενο να μην αποδέχεται απόφαση που προκύπτει από αυτοματοποιημένη διαδικασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει έννομα αποτελέσματα που αφορούν στο πρόσωπο αυτό ή το επηρεάζουν σημαντικά. Το εν λόγω δικαίωμα υπόκειται σε εξαιρέσεις. 45

46 Ο Κανονισμός 10 Βήματα Προετοιμασίας Ενημέρωση Καταγραφή δραστηριοτήτων Επικοινωνία Δικαιώματα Νομική βάση Συγκατάθεση Γνωστοποίηση παραβίασης Δραστηριότητες ψηλού κινδύνου Ενιαία Θυρίδα Γνωστοποιήσεις/ Άδειες 46

47 Ερωτήσεις; 47

48 Γενικά Ερωτήματα που αφορούν το ΣΕΛΚ και τα Μέλη του 48

49 Τι προσωπικά δεδομένα δικαιούται ο ΣΕΛΚ να συλλέγει για τα μέλη του; Μόνο τα απολύτως απαραίτητα για την πραγματοποίηση του απαιτούμενου σκοπού: για παράδειγμα, ο αριθμός δελτίου ταυτότητας και η ημερομηνία γέννησης των παιδιών ενός φυσικού προσώπου που είναι μέλος, θεωρείται αχρείαστο και υπερβολικό δεδομένο 49

50 Μπορεί ο ΣΕΛΚ να χρησιμοποιεί τα προσωπικά δεδομένα των μελών του για σκοπούς άλλους εκτός από τον σκοπό που αρχικά τα έχει συλλέξει; Όχι, τα προσωπικά δεδομένα των μελών θα πρέπει να χρησιμοποιούνται αποκλειστικά και μόνο για τον σκοπό για τον οποίο αρχικά έχουν συλλεγεί. Όμως, ο ΣΕΛΚ εάν επιθυμεί, μπορεί να χρησιμοποιήσει τις εν λόγω προσωπικές πληροφορίες για σκοπούς προώθησης πώλησης αγαθών/υπηρεσιών μέσω ταχυδρομείου ή με ηλεκτρονικά μέσα (υπό προϋποθέσεις) 50

51 Για σκοπούς προώθησης πώλησης αγαθών / υπηρεσιών μέσω ταχυδρομείου, ο ΣΕΛΚ οφείλει όπως: Λαμβάνει τη γραπτή συγκατάθεση των μελών του που είναι φυσικά πρόσωπα. Για τα μέλη του που είναι νομικά πρόσωπα, δεν εφαρμόζεται ο Νόμος. 51

52 Για σκοπούς προώθησης πώλησης αγαθών / υπηρεσιών με ηλεκτρονικά μέσα, ο ΣΕΛΚ οφείλει όπως: Νόμος 112(Ι)/2004, άρθρο 106: Λαμβάνει τη γραπτή συγκατάθεση όλων των μελών (φυσικών και νομικών προσώπων). Ηλεκτρονικά μέσα: sms, fax, 52

53 Μπορεί ο ΣΕΛΚ να κοινοποιεί / ανακοινώνει προσωπικά δεδομένα των μελών του σε τρίτους; Καταρχάς, ο ΣΕΛΚ θα πρέπει να ενημερώσει τα μέλη για τα είδη των προσωπικών τους πληροφοριών που θα ανακοινωθούν και το σκοπό της ανακοίνωσης. Τα μέλη αφού ενημερωθούν, θα πρέπει να δώσουν τη συγκατάθεση τους. 53

54 Μπορούν τα μέλη του ΣΕΛΚ να ηχογραφούν τις τηλεφωνικές συνδιαλέξεις με τους πελάτες τους; Ναι, δεδομένου ότι: προτού αρχίσει η τηλεφωνική συνομιλία, υπάρχει προειδοποιητική σήμανση ότι ο συνομιλία ηχογραφείται, Στο περιεχόμενο της προειδοποιητικής σήμανσης, αναφέρονται τα ακόλουθα: η ταυτότητα του υπεύθυνου επεξεργασίας, ο σκοπός της ηχογράφησης, εάν η ηχογραφημένη συνομιλία θα κοινοποιηθεί σε τρίτους και ότι ο πελάτης μπορεί να έχει πρόσβαση στο περιεχόμενο της ηχογραφημένης τηλεφωνικής συνομιλίας. 54

55 Μπορούν τα μέλη του ΣΕΛΚ να εγκαταστήσουν ΚΚΒΠ στο χώρο εργασίας; Επιτρέπεται μόνο αν δεν υπάρχει λιγότερο παρεμβατικός τρόπος για την πραγματοποίηση του σκοπού π.χ. για προστασία του χώρου από διαρρήξεις και κλοπές. Επιτρέπεται η εγκατάσταση και λειτουργία κάμερας πάνω από το μηχάνημα κάρτας. Σε κάθε περίπτωση, οι υπάλληλοι θα πρέπει να ενημερώνονται. Δεν επιτρέπεται η μυστική παρακολούθηση. 55

56 Δεν επιτρέπεται η εγκατάσταση ΚΚΒΠ σε: διαδρόμους μέσα στο ασανσέρ χώρο αναμονής τουαλέτες εστιάζοντας στους υπαλλήλους στα γραφεία και στην υπάλληλο στην υποδοχή (υπάρχουν και εξαιρέσεις) καφετέρια Επιτρέπεται: είσοδο/έξοδο του κτιρίου χώρο στάθμευσης έξω από το ασανσέρ, εστιάζοντας αποκλειστικά στο ασανσέρ 56

57 Δεν επιτρέπεται να ελέγχεται η προσωπική συμπεριφορά, οι προσωπικές επαφές και η αποδοτικότητα των υπαλλήλων μέσω τέτοιων συστημάτων. Τα υποκείμενα των δεδομένων θα πρέπει να ενημερώνονται μέσω προειδοποιητικών πινακίδων, οι οποίες θα πρέπει να είναι: Ευδιάκριτες Επαρκείς σε αριθμό Σε εμφανές μέρος Σε σημείο πριν τα υποκείμενα των δεδομένων εισέλθουν στο χώρο που γίνεται η οπτικογράφηση Σε περίπτωση που υπάρχει ΚΚΒΠ σε κάθε όροφο, η ενημέρωση θα πρέπει να γίνεται σε κάθε όροφο ξεχωριστά. 57

58 Μπορεί ένα μέλος να ελέγχει την ώρα προσέλευσης/αναχώρησης των υπαλλήλων από την εργασία μέσω συστήματος δακτυλικών αποτυπωμάτων; Δεν επιτρέπεται εκτός από ορισμένες εξαιρετικές περιπτώσεις που αυτό επιβάλλεται από ιδιαίτερες απαιτήσεις ασφαλείας των χώρων εργασίας και εφόσον δεν υπάρχει άλλο μέσο για την επίτευξη του σκοπού αυτού (π.χ. αμυντικές εγκαταστάσεις, εργαστήρια υψηλού κινδύνου). Ο εργοδότης θα πρέπει να σταθμίζει τους κινδύνους, την έκταση των κινδύνων αυτών και τις υπάρχουσες εναλλακτικές δυνατότητες αντιμετώπισης των κινδύνων και από την άλλη, τις προσβολές της προσωπικότητας και της ιδιωτικότητας του ατόμου από τη χρήση τέτοιων μεθόδων. 58

59 Μπορεί ο εργοδότης να παρακολουθεί τις τηλεφωνικές κλήσεις του υπαλλήλου; Ο εργοδότης δεν μπορεί να παρακολουθεί το περιεχόμενο των κλήσεων. Μπορεί όμως να λαμβάνει καταστάσεις των αναλυτικών λογαριασμών δεδομένου ότι έχει παρουσιάσει γραπτή βεβαίωση στον παροχέα τηλεπικοινωνιακής υπηρεσίας ότι οι χρήστες (οι υπάλληλοι) έχουν προηγουμένως ενημερωθεί για την αποστολή των αναλυτικών λογαριασμών σε αυτόν. Ο παροχέας τηλεπικοινωνιακής υπηρεσίας οφείλει να διαγράφει τα τελευταία 3 ψηφία των κληθέντων οργανισμών, εκτός αν ο εργοδότης διαβεβαιώσει τον παροχέα ότι εξασφάλισε τη συγκατάθεση των εργοδοτουμένων. 59

60 Ορθή χρήση αρχείου του προσωπικού (ΣΕΛΚ και μελών) Οι προσωπικού φάκελοι των υπαλλήλων (που περιέχουν άδειες ανάπαυσης, άδειες ασθενείας και ατομικές εκθέσεις), θα πρέπει να διατηρούνται σε ασφαλές μέρος (σε φωριαμούς που κλειδώνουν). Πρόσβαση στους προσωπικούς φακέλους να έχει μόνο εξουσιοδοτημένο προσωπικό. Απαγορεύεται η διάδοση προσωπικών δεδομένων που αφορούν ένα υπάλληλο σε άλλο. 60

61 Δικαίωμα Πρόσβασης από τους υπαλλήλους Οι υπάλληλοι έχουν δικαίωμα πρόσβασης στους προσωπικούς τους φάκελους (όχι σε δεδομένα τρίτων, καταβάλλοντας το τέλος των 17, μπορούν να ζητήσουν αντίγραφα, απάντηση μέσα σε 4 βδομάδες). Οι υπάλληλοι έχουν δικαίωμα πρόσβασης στο περιεχόμενο της καταγγελίας που έγινε εναντίον τους από άλλο υπάλληλο. 61

62 Καταστροφή εγγράφων που περιέχουν προσωπικά δεδομένα Τα δεδομένα θα πρέπει να διατηρούνται μόνο κατά τη διάρκεια της περιόδου που απαιτείται για την πραγματοποίηση των σκοπών της συλλογής /επεξεργασίας. Για εταιρείες που παρέχουν διοικητικές υπηρεσίες 5 χρόνια μετά τη λήξη της συμβατικής σχέσης και /ή της διευθέτησης οποιασδήποτε οικονομικής ή άλλης διαφοράς. Για εταιρείες που παρέχουν λογιστικές/ελεγκτικές υπηρεσίες το αντίστοιχο χρονικό διάστημα είναι 7 χρόνια. Μετά την παρέλευση της περιόδου αυτής, η Επίτροπος μπορεί να επιτρέψει τη διατήρηση τους για ιστορικούς, επιστημονικούς ή στατιστικούς σκοπούς. 62

63 Μπορεί ο ΣΕΛΚ να βιντεογραφεί/φωτογραφίζει τις εκδηλώσεις στις οποίες καλεί τα μέλη του; Επιτρέπεται, δεδομένου ότι αλλοιώνονται / θολώνονται τα πρόσωπα ή έχει ληφθεί η συγκατάθεση των επηρεαζόμενων προσώπων. 63

64 Τήρηση αρχείου τηλεφωνικών κλήσεων προσωπικού Ο εργοδότης δεν μπορεί να παρακολουθεί το περιεχόμενο των κλήσεων του προσωπικού Μπορεί να λαμβάνει καταστάσεις των αναλυτικών λογαριασμών με γραπτή βεβαίωση στον παροχέα τηλεπικοινωνιακής υπηρεσίας ότι οι υπάλληλοι έχουν προηγουμένως ενημερωθεί Ο παροχέας οφείλει να διαγράφει τα τελευταία 3 ψηφία των κληθέντων οργανισμών, εκτός αν ο εργοδότης διαβεβαιώσει τον παροχέα ότι εξασφάλισε τη συγκατάθεση των εργοδοτουμένων 64

65 Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Ιάσονος 1, 1082 Λευκωσία Τ.Θ , 1682 Λευκωσία Τηλ: , Φαξ: