O Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (2016/679) Mία επισκόπηση Λίλιαν Μήτρου

Transcript

1 O Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (2016/679) Mία επισκόπηση Λίλιαν Μήτρου Καθηγήτρια Πανεπιστημίου Αιγαίου Δικηγόρος Πρόεδρος της Νομοπαρασκευαστικής Επιτροπής για την προσαρμογή του εθνικού δικαίου στον Κανονισμό και την ενσωμάτωση της Οδηγίας ΕΕ 2016/680

2 Νέες απαιτήσεις/ Νέα εργαλεία -1 Αντιμετώπιση νέων τεχνολογικών προκλήσεων μέσω εισαγωγής κι ενίσχυσης της «τεχνολογικής/ οργανωτικής διάστασης της προστασίας» Privacy by design/by default Ασφάλεια ως «αρχή της επεξεργασίας» Aπλοποίηση των διαδικασιών και υποχρεώσεων Προσέγγιση με βάση τον κίνδυνο (risk based approach) ή πώς η ευελιξία συνδέεται με την ευθύνη Eπαναπροσδιορισμός των υποχρεώσεων μεταξύ υπεύθυνου κι εκτελούντος επεξεργασία Αυξημένες υποχρεώσεις του εκτελούντος επεξεργασία (συνδρομή υπευθύνου, υποχρεώσεις ως προς υπεργολάβους) Εις ολόκληρον ευθύνη 2

3 Νέες απαιτήσεις/ Νέα εργαλεία-2 Αναδιοργάνωση των μηχανισμών συμμόρφωσης - Λογοδοσία (accountability): ευθύνη και απόδειξη της συμμόρφωσης Ενίσχυση «αυτοελέγχου» με εκτίμηση κινδύνων κι επιπτώσεων (data protection impact assessment) κι εσωτερικούς μηχανισμούς όπως ο (εσωτερικός) Υπεύθυνος Προστασίας Δεδομένων Ενίσχυση διαφάνειας Κοινοποίηση notification] παραβίασης δεδομένων [data breach Αυστηρότερες κυρώσεις για μη συμμόρφωση Γενικοί όροι επιβολής προστίμων Δαμόκλειος σπάθη των προστίμων Δυνατότητα κμ για νομοθετική πρόβλεψη κι επιβολή άλλων κυρώσεων αποτελεσματικών, αναλογικών κι αποτρεπτικών 3

4 Ευρύ πεδίο εφαρμογής/1 Εφαρμογή σε υπεύθυνους επεξεργασίας/ εκτελούντες επεξεργασία Κριτήριο η εγκατάσταση (ανεξάρτητα από τον τόπο επεξεργασίας) Υπεύθυνος: τόπος της κεντρικής διοίκησης/ λήψης αποφάσεων όσον αφορά τους σκοπούς και τα μέσα Εκτελών: τόπος της κεντρικής διοίκησης/ κυρίων δραστηριοτήτων επεξεργασίας 4

5 Ευρύ πεδίο εφαρμογής/2 Εφαρμογή Κανονισμού ακόμη κι αν ο υπεύθυνος επεξεργασίας δεν είναι εγκατεστημένος στην ΕΕ όταν Προσφορά υπηρεσιών/αγαθών σε πρόσωπα εντός ΕΕ ανεξαρτήτως πληρωμής Παρακολούθηση συμπεριφοράς προσώπων εντός ΕΕ Ιδιαίτερη σημασία για μηχανές αναζήτησης/ πλατφόρμες ψηφιακών κοινωνικών δικτύων/διαφήμιση 5

6 Ευρύ πεδίο εφαρμογής/3 Το πεδίο εφαρμογής καταλαμβάνει Κάθε επεξεργασία αυτοματοποιημένη και μη Δημόσιες αρχές με εξαίρεση την επεξεργασία για σκοπούς πρόληψης, διερεύνησης κλπ. εγκλημάτων και δημόσιας ασφάλειας Δικαστήρια με εξαίρεση την άσκηση δικαιοδοτικής αρμοδιότητας Δεν καταλαμβάνεται η επεξεργασία για αποκλειστικά προσωπικούς/οικιακούς σκοπούς 6

7 Δεδομένα προσωπικού χαρακτήρα Δεδομένα προσωπικού χαρακτήρα είναι κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων. Υποκείμενο δεδομένων Κάθε Φυσικό Πρόσωπο η ταυτότητα του οποίου είναι προσδιορισμένη ή μπορεί να προσδιοριστεί βάσει ενδεικτικά απαριθμούμενων χαρακτηριστικών στοιχείων 7

8 Μη εφαρμογή στα στατιστικά δεδομένα Δεν λογίζονται ως δεδομένα τα στατιστικής φύσεως συγκεντρωτικά στοιχεία, από τα οποία δεν μπορούν πλέον να προσδιοριστούν τα υποκείμενα./ aggregate data Προοίμιο 26 : ανώνυμες πληροφορίες, δηλ. πληροφορίες που δεν σχετίζονται προς ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή σε δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί. 8

9 Στοιχεία προσδιορισμού ταυτότητας με βάση τον ΓΚΠΔ (άρθρο 4) ένας ή περισσότεροι παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα.επιγραμμικά αναγνωριστικά στοιχεία ταυτότητας(online identifiers), τα οποία παρέχονται από τις συσκευές, τις εφαρμογές, τα εργαλεία και τα πρωτόκολλά τους, όπως διευθύνσεις διαδικτυακού πρωτοκόλλου, αναγνωριστικά cookies ή άλλα αναγνωριστικά στοιχεία όπως ετικέτες αναγνώρισης 9 μέσω ραδιοσυχνοτήτων

10 Κατηγορίες Αριθμοί ταυτοποίησης/κωδικοί: ΑΜΚΑ, ΑΦΜ, ΑΔΤ.. Αριθμοί τηλεφώνου/ τηλεφωνικής σύνδεσης Απόφαση 61/2007 ΑΠΔΠΧ Περιγραφικά / Αξιολογικά Σχέσεις προς πρόσωπα/πράγματα Συμπεριλαμβάνονται δεδομένα ήχου-εικόνας Βιομετρικά δεδομένα : βιολογικά/συμπεριφορικά 10

11 Προσωπικά δεδομένα στην έρευνα κοινής γνώμης/ αγοράς/ 1 Συλλογή/ επεξεργασία προσωπικών δεδομένων ως κομβικό σημείο της έρευνας Η τήρηση των κανόνων είναι κρίσιμη Προς εξασφάλιση της συμμόρφωσης Προς εμπέδωση εμπιστοσύνης/ δημιουργία προϋποθέσεων αξιοπιστίας της έρευνας 11

12 Προσωπικά δεδομένα στην έρευνα κοινής γνώμης/ αγοράς/2 Δεδομένα συμμετεχόντων στην έρευνα Δεδομένα από τα αρχεία/ βάσεις πελατών Δημόσια διαθέσιμα δεδομένα Δεδομένα προηγουμένων ερευνών/ τρίτων Απαντήσεις Γνώμες- απόψεις επιλογές συμπεριφορές/ στάσεις Δημογραφικά 12

13 Ταυτοποιησιμότητα/1 Εφαρμογή ΓΚΠΔ εφόσον πρόκειται για δεδομένα ταυτοποιημένων ή ταυτοποιήσιμων προσώπων Δημογραφικά δεδομένα (βαθμός λεπτομέρειας/ στοιχεία συσχέτισης) Συσχέτιση απαντήσεων / ταυτοποιήσιμων δημογραφικών 13

14 Ταυτοποιησιμότητα/2 Συνεκτιμηση όλων των σχετικών μέσων τα οποία εύλογα μπορεί να οδηγήσουν σε αναγνώριση, λαμβάνοντας υπόψη διάφορους παράγοντες [ ένταση/ έκταση προσπαθειών, κόστος εξακρίβωσης, επιδιωκόμενος σκοπός, τρόπος διάρθρωσης επεξεργασίας, τα υπό διακύβευση συμφέροντα των ατόμων, κίνδυνος οργανωτικών] Aνωνυμία : όταν η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί. 14

15 «Ευαίσθητα» δεδομένα στον ΓΚΠΔ φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, υγεία σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό. Ποινικές καταδίκες και αδικήματα 15

16 Επεξεργασία Ευρύς και Τεχνολογικά ουδέτερος ορισμός Κάθε εργασία Ενδεικτική απαρίθμηση στο νόμο Από τη Συλλογή έως την Καταστροφή Ανωνυμοποίηση / Ψευδωνυμοποίηση ως μορφές επεξεργασίας Με ή χωρίς τη βοήθεια αυτοματοποιημένων μεθόδων Που εφαρμόζεται σε δεδομένα Ο ΓΚΠΔ αναφέρεται (άρθρο 4) σε «δεδομένα» και σε «σύνολα δεδομένων» 16

17 Αρχείο/Σύστημα αρχειοθέτησης κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση 17

18 Υπεύθυνος κι Εκτελών Υπεύθυνος επεξεργασίας: οποιοσδήποτε καθορίζει τον σκοπό και τον τρόπο της επεξεργασίας. Ευθύνη για εφαρμογή νόμου κυρώσεις Οδηγίες σε εκτελούντα Από κοινού υπεύθυνοι επεξεργασίας : σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι καθορίζουν από κοινού τα μέσα και τους σκοπούς επεξεργασίας Εκτελών την επεξεργασία: οποιοσδήποτε επεξεργάζεται δεδομένα για λογαριασμό του υπεύθυνου επεξεργασίας. 18

19 Εταιρίες δημοσκοπήσεων και ερευνών αγοράς Υπεύθυνος, από κοινού υπεύθυνος ή εκτελών; Πρόβλημα: ενδέχεται άλλος να καθορίζει τον σκοπό και άλλος τα μέσα επεξεργασίας Ο νομικός προσδιορισμός συνδέεται άρρηκτα με την έκταση και το περιεχόμενο των υποχρεώσεων ή/και της ευθύνης 19

20 Υποχρεώσεις/ Ευθύνη Εκτελούντος Επεξεργασία O εκτελών στον ΓΚΠΔ επιφορτίζεται με πολύ περισσότερες υποχρεώσεις σε σχέση με τα έως τώρα ισχύοντα (άρθρο 28 ) Συνδρομή στον υπεύθυνο/ Αυτοτελείς υποχρεώσεις Έμφαση ως προς διαφάνεια/έγκριση (και γενική) υπευθύνου για «υπεργολάβους» Ευθύνη για εφαρμογή νόμου (ιδίως μέσω τήρησης οδηγιών υπεύθυνου/ ασφάλεια εμπιστευτικότητα ) 20

21 Βάσεις νομιμότητας επεξεργασίας (άρθρο 6 ΓΚΠΔ) Συγκατάθεση ως κανόνας Εκτέλεση σύμβασης στην οποία το υποκείμενο είναι συμβαλλόμενο μέρος Εκπλήρωση υποχρέωσης του υπευθύνου επεξεργασίας από το νόμο Διαφύλαξη ζωτικού συμφέροντος του υποκειμένου εφόσον συντρέχει νομική ή φυσική αδυναμία για έγκυρη συγκατάθεση Εκτέλεση έργου δημόσιου συμφέροντος ή έργου που εμπίπτει στην άσκηση δημόσιας εξουσίας Ικανοποίηση εννόμου συμφέροντος υπεύθυνου επεξεργασίας τρίτου εφόσον Αυτό υπερέχει (προφανώς) των δικαιωμάτων του υποκειμένου Η επεξεργασία είναι (απολύτως) αναγκαία για την εκπλήρωσή του 21

22 Συγκατάθεση (Άρθρο 7 ΓΚΠΔ) Ένδειξη (indication) βουλήσεως Ελεύθερη, συγκεκριμένη, αδιαμφισβήτητη (unambiguous) και εν πλήρει επιγνώσει (informed) με δήλωση ή με σαφή θετική ενέργεια: εγγράφως, ηλεκτρονικά, προφορικά. O υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει την ύπαρξη συγκατάθεσης Διακριτή δήλωση/ ένδειξη Ανακλητέα Συνεκτίμηση περισσότερων παραγόντων για την αξιολόγηση της ελευθερίας συγκατάθεσης (εργασιακές σχέσεις/ προϋπόθεση για παροχή υπηρεσίας) 22

23 Συγκατάθεση-σύγκριση Ν. 2472/97 Δήλωση βούλησης Ελευθερία συγκατάθεσης Ρητή (explicit), ειδική και σαφής δήλωση Εν πλήρη επιγνώσει Ενημερωμένη (informed consent) Ανακλητέα ΓΚΠΔ Ενδειξη βούλησης με δήλωση ή με θετική ενέργεια (προεπιλογή μη αποδεκτή Ελευθερία συγκατάθεσης Συγκεκριμένη, αδιαμφισβήτητη (unambiguous) εν πλήρει επιγνώσει (informed) Ανακλητέα το ίδιο ευχερής με παροχή Διακριτή δήλωση/ ένδειξη Να αποδεικνύεται από υπεύθυνο 23 επεξεργασίας

24 Στοιχεία ενημέρωσης Ταυτότητα/ στοιχεία επικοινωνίας υπευθύνου επεξεργασίας Νομική βάση και σκοποί επεξεργασίας Προβλεπόμενη διάρκεια επεξεργασίας/ τήρησης Ενημέρωση για δικαιώματα και δυνατότητες άσκησης ενδίκων μέσων και βοηθημάτων 24

25 Ζητήματα ως προς τις δημοσκοπήσεις/ έρευνες αγοράς/1 Παροχή / ανάκληση συγκατάθεσης Στοιχείο της λογοδοσίας : η απόδειξη της συγκατάθεσης Αδιαμφισβήτητη (unambiguous) Ρητή (explicit)για ειδικές κατηγορίες δεδομένων ( ευαίσθητα ) Ρητή/ «έγγραφη» για δεδομένα υγείας; 25

26 Ζητήματα ως προς τις δημοσκοπήσεις/ έρευνες αγοράς/2 Ποιοτική/ ποσοτική τηλεφωνική έρευνα με τυχαία επιλογή Έρευνα ικανοποίησης πελατών (ζήτημα ως προς την προέλευση δεδομένων) Online surveys Panel research 26

27 Έννομο συμφέρον ως νόμιμη βάση; Έννομο συμφέρον πελάτη Έννομο συμφέρον ερευνητή Στοιχείο αναγκαιότητας (αρχή ελαχιστοποίησης) Έλεγχος / στάθμιση αντικρουομένων συμφερόντων Λογοδοσία: θεμελίωση της απόφασης 27

28 Έννομο συμφέρον και δημοσκοπήσεις/ έρευνες Υποστηρίζεται ότι προσφέρεται για Έρευνα ικανοποίησης πελατών Ποιοτική και ποσοτική έρευνα που βασίζονται σε υφιστάμενες βάσεις πελατών Ανάλυση δεδομένων από κάρτες πελατών (loyalty cards) Αμφισβητούμενο πρέπει να συνυπολογιστούν οι όροι / περιεχόμενο συγκατάθεσης 28

29 Έννομο συμφέρον κατά ΑΠΔΠΧ Τηλεφωνικές δημοσκοπήσεις για πολιτικά/ κοινωνικά θέματα Μπορεί να είναι νόμιμη και χωρίς τη συγκατάθεση εφόσον συντρέχει υπέρτερο έννομο συμφέρον υπό την προυπόθεση ότι δίνεται η δυνατότητα opt-out για το μέλλον (Διευκρινίσεις ΑΠΔΠΧ -2010) Η ρύθμιση για τις μη ζητηθείσες κλήσεις (άρθρο 11 παρ. 1 ν. 3471/06 εφαρμόζεται σε έρευνα αγοράς για την προώθηση προιόντος / υπό αναμονη της τροποποίησης μέσω e-privacy Regulation 29

30 Ειδικές κατηγορίες στον ΓΚΠΔ (άρθρο 9) Απαγορεύεται η επεξεργασία δεδομένων που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία δεδομένων που αφορούν τη σεξουαλική ζωή τον γενετήσιο προσανατολισμό 30

31 Εξαιρέσεις από απαγόρευση/1 Ρητή συγκατάθεση Εκτέλεση υποχρέωσης/ άσκηση δικαιώματος υπεύθυνου επεξεργασίας στον τομέα εργατικού δικαίου/ κοινωνικής προστασίας Επεξεργασία για το ζωτικό συμφέρον του υποκειμένου Επεξεργασία δεδομένων μελών ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο Η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων 31

32 Εξαιρέσεις από απαγόρευση/2 απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς 32

33 Διαχρονικές και νέες αρχές (άρθρο 5 ΓΚΠΔ) Νομιμότητα, αντικειμενικότητα και διαφάνεια Περιορισμός του σκοπού Αρχή αναλογικότητας / Αρχή ελαχιστοποίησης Ακρίβεια επικαιροποίηση Αρχή περιορισμένης διάρκειας τήρησης Ενδεδειγμένη (appropriate) Ασφάλεια : ακεραιότητα / εμπιστευτικότητα Λογοδοσία : ευθύνη και απόδειξη συμμόρφωσης 33

34 Αρχή του σκοπού στον ΓΚΠΔ (άρθρο 5) Ο σκοπός βασικό στοιχείο του δικαιώματος και γνώμονας αξιολόγησης και των άλλων αρχών Για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς Περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη 34

35 Έλεγχος συμβατότητας Εάν δεν προκύπτει σαφώς ερευνητικός στατιστικός σκοπός ο έλεγχος συμβατότητας περιλαμβάνει τυχόν σχέση μεταξύ των σκοπών το πλαίσιο -ιδίως σχέση μεταξύ των υποκειμένων των δεδομένων και του υπευθύνου επεξεργασίας, φύση των δεδομένων προσωπικού χαρακτήρα, πιθανές συνέπειες για τα υποκείμενα των δεδομένων, ύπαρξη κατάλληλων εγγυήσεων ( κρυπτογράφηση ή ψευδωνυμοποίηση κ.α.) 35

36 Η αναλογικότητα στον ΓΚΠΔ (άρθρο 5) Δεδομένα: κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία H αρχή της «ελαχιστοποίησης των δεδομένων» (data minimisation) αναδεικνύεται σε βασικό γνώμονα επεξεργασίας κι αξιολόγησης της συμμόρφωσης 36

37 Ορθότητα και πεπερασμένη διάρκεια τήρησης στον ΓΚΠΔ (άρθρο 5) Ακρίβεια και επικαιροποίηση εφόσον απαιτείται Εύλογα μέτρα για την άμεση διαγραφή/διόρθωση Περιορισμός της περιόδου τήρησης μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας εξαίρεση μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς 37

38 Δικαιώματα στον ΓΚΠΔ Διαφανής ενημέρωση σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή (άρθρο 12), Ενημέρωση κατά τη συλλογή από το ίδιο το υποκείμενο (άρθρο 13) Ενημέρωση ακόμη κι αν τα δεδομένα δεν συλλέγονται από το υποκείμενο (άρθρο 14) Προβλέπονται εξαιρέσεις (π.χ. δυσανάλογη προσπάθεια ) Δικαίωμα πρόσβασης (άρθρο 15) Δικαίωμα διόρθωσης (άρθρο 16) Δικαίωμα περιορισμού της επεξεργασίας (άρθρο 18) Δικαίωμα εναντίωσης (άρθρο 21)- εκτός αν προβληθούν νόμιμοι κι επιτακτικοί λόγοι/ ασκηση αξίωσης 38

39 Το Δικαίωμα Ενημέρωσης (Άρθρα 12-14) Δικαίωμα του υποκειμένου και υποχρέωση του υπεύθυνου επεξεργασίας, ο οποίος αναλαμβάνει να παράσχει τις αιτούμενες πληροφορίες, είτε αυτές συλλέγονται από το υποκείμενο των δεδομένων, είτε όχι. H ενημέρωση αφορά: α. τις πληροφορίες που αναφέρονται αναλυτικά στα άρθρα 13 και 14 του Κανονισμού και β. κάθε ανακοίνωση αναφορικά με τα άρθρα 15 έως 22 του Κανονισμού. Εγγράφως, ηλεκτρονικά η και προφορικά κατ' αίτηση του υποκειμένου σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή. Εξαίρεση: Προφορικά, μόνο αν ζητείται από το υποκείμενο των δεδομένων και αν αποδεικνύεται η ταυτότητά του με άλλα μέσα. Δωρεάν, εκτός αν τα αιτήματα κριθούν υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους 39

40 Το Δικαίωμα Ενημέρωσης (Άρθρα 12-14)/2 Πότε πραγματοποιείται η ενημέρωση; Εντός εύλογης προθεσμίας, το αργότερο δηλαδή, εντός μηνός, από την παραλαβή του αιτήματος, Εκτός εάν, λόγω πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων απαιτείται μεγαλύτερο χρονικό διάστημα. Σε αυτήν την περίπτωση εντός διμήνου από την παρέλευση του μηνός, μετά από πληροφόρηση του υποκειμένου για την παράταση αυτή. Κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, αν πρόκειται να χρησιμοποιηθούν για επικοινωνία με αυτό. Όταν τα δεδομένα γνωστοποιούνται για πρώτη φορά σε άλλον (τρίτο) αποδέκτη. Πριν από την περαιτέρω επεξεργασία για σκοπό διάφορο από αυτόν 40 που αρχικώς είχαν συλλεχθεί.

41 Το Δικαίωμα Ενημέρωσης (Άρθρα ) /3 Ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης επί της νομιμότητας της μη ικανοποίησης του δικαιώματος της ενημέρωσης. Εάν ο υπεύθυνος επεξεργασίας δεν ενεργήσει επί του αιτήματος του υποκειμένου των δεδομένων, φέρει την ευθύνη να ενημερώσει το υποκείμενο: εντός μηνός από την παραλαβή του αιτήματος, σχετικά με τους λόγους για τους οποίους δεν ενήργησε, τη δυνατότητα υποβολής καταγγελίας σε εποπτική αρχή και τη δυνατότητα άσκησης δικαστικής προσφυγής. 41

42 Το Δικαίωμα Πρόσβασης (Άρθρο 15) Το υποκείμενο των δεδομένων έχει το δικαίωμα: 1. Να λαμβάνει επιβεβαίωση για το κατά πόσον τα προσωπικά του δεδομένα υφίστανται επεξεργασία, 2. Να έχει πρόσβαση στα δεδομένα του και στα ακόλουθα: σκοπούς επεξεργασίας, κατηγορίες δεδομένων, αποδέκτες (παρόντες και μελλοντικούς), χρονικό διάστημα αποθήκευσης, δικαιώματα υποκειμένου, προέλευση προσωπικών δεδομένων, την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, τις εγγυήσεις του άρθρου 46 σχετικά με τις διαβιβάσεις σε τρίτη χώρα ή διεθνή οργανισμό, 42

43 Το Δικαίωμα Διόρθωσης (Άρθρο 16) Το υποκείμενο των δεδομένων μπορεί να απαιτήσει από τον Υπεύθυνο Επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση : α. τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν, β. συμπλήρωση των ελλιπών δεδομένων προσωπικού χαρακτήρα. Ο υπεύθυνος επεξεργασίας δεν στερείται του δικαιώματος να ζητήσει απόδειξη της επικαλούμενης ανακρίβειας ή έλλειψης χωρίς αδικαιολόγητη καθυστέρηση», που υποδηλώνει ότι θα πρέπει να πραγματοποιείται άμεσα 43

44 Το δικαίωμα διαγραφής (ΓΚΠΔ άρθρο 17) Δικαίωμα διαγραφής εφόσον τα δεδομένα δεν είναι πλέον απαραίτητα, ανακαλείται η συγκατάθεση, πρόκειται για παράνομη επεξεργασία αντίθεση στη αυτοματοποιημένη λήψη αποφάσεων προβλέπεται από τον νόμο, τα δεδομένα αφορούν ανήλικο (σε σχέση με κοινωνικά δίκτυα και υπηρεσίες κοινωνίας της πληροφορίας) 44

45 Το δικαίωμα στη λήθη ως Δικαίωμα διαγραφής δικαίωμα διαγραφής Νέο στοιχείο:ο υπεύθυνος επεξεργασίας, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, λαμβάνει εύλογα (και τεχνικά) μέτρα προς ενημέρωση τρίτων στους οποίους έχει δημοσιοποιήσει τα δεδομένα ότι έχει ζητηθεί διαγραφή συνδέσμων/ δεδομένων, Εξαιρέσεις: ελευθερία λόγου/ τήρηση νομικής υποχρέωσης/ δημόσιο συμφέρον/ αρχειοθέτηση για ερευνητικούς σκοπούς/ αναγκαία για άσκηση νομικών αξιώσεων 45

46 Γνωστοποίηση της διόρθωσης, διαγραφής ή περιορισμού επεξεργασίας Ανακοίνωση κάθε διόρθωσης ή διαγραφής δεδομένων ή περιορισμού της επεξεργασίας σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ενημέρωση του υποκειμένου των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφόσον αυτό ζητηθεί 46

47 Πότε ζητείται; Το Δικαίωμα Περιορισμού (Άρθρο 18) Όταν η ακρίβεια των δεδομένων αμφισβητείται, Όταν η επεξεργασία είναι παράνομη και το υποκείμενο των δικαιωμάτων αντιτάσσεται στη διαγραφή Όταν ο υπεύθυνος επεξεργασίας δεν χρειάζεται πια τα προσωπικά δεδομένα για σκοπούς επεξεργασίας αλλά τα δεδομένα απαιτούνται για τη θεμελίωση, άσκηση ή θεμελίωση νομικών αξιώσεων Όταν το υποκείμενο των δικαιωμάτων εγείρει αντιρρήσεις Τα δεδομένα δεν διαγράφονται. Ο υπεύθυνος επεξεργασίας δεν δύναται να προβεί στην επεξεργασία τους για το χρονικό διάστημα που αυτά είναι περιορισμένα. Επίσης, οφείλει να ενημερώνει και τους τρίτους, στους οποίους ενδέχεται να έχουν κοινοποιηθεί τα δεδομένα. 47

48 Το Δικαίωμα Εναντίωσης Εφαρμόζεται ex post και περιοριστικά, (Άρθρο 21) απόλυτο δικαίωμα Όταν η επεξεργασία πραγματοποιείται για σκοπούς εμπορικής προώθησης:. στάθμιση συμφερόντων, με το βάρος απόδειξης να το φέρει ο υπεύθυνος επεξεργασίας. Όταν η επεξεργασία γίνεται για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας ή είναι απαραίτητη για τους σκοπούς των εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, Όταν η επεξεργασία γίνεται για σκοπούς επιστημονικής, ιστορικής ή στατιστικής έρευνας, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται για λόγους δημοσίου συμφέροντος. 48

49 Profiling στον ΓΚΠΔ κατάρτιση προφίλ :οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου (Ορισμός άρθρο 4) Δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο. Εξαιρέσεις : α) σύμβαση, β) πρόβλεψη στον νόμο, γ) ρητή ενημερωμένη συγκατάθεση 49

50 Δικαιώματα ΔΙΚΑΙΩΜΑΤΑ ΥΠΟΚΕΙΜΕΝΟΥ (Ε. Μιχαηλίδου) Δικαίωμα ενημέρωσης Δικαίωμα πρόσβασης Δικαίωμα Διόρθωσης Δικαίωμα περιορισμού της επεξεργασίας Δικαίωμα Διαγραφής («δικαίωμα στην λήθη») Δικαίωμα στην φορητότητα των δεδομένων Δικαίωμα εναντίωσης Δικαίωμα εναντίωσης στην αυτοματοποιημένη λήψη αποφάσεων / στο profiling 50

51 Και αντίστοιχες υποχρεώσεις ΥΠΟΧΡΕΩΣΕΙΣ ΥΠΕΥΘΥΝΟΥ ΓΙΑ ΤΗΝ ΑΣΚΗΣΗ ΤΩΝ ΔΙΚΑΙΩΜΑΤΩΝ ( Ε. ΜΙΧΑΗΛΙΔΟΥ) Διαφανής ενημέρωση Συνοπτική, κατανοητή, εύκολα προσβάσιμη μορφή, ιδίως έναντι παιδιών Γραπτώς /με άλλα μέσα/ ηλεκτρονικά Διευκόλυνση της άσκησης των δικαιωμάτων Ταχύτατη ικανοποίηση (εντός ενός μηνός ή δύο μηνών λόγω πολυπλοκότητας/όγκου) Δωρεάν ικανοποίηση Διακρίβωση της ταυτότητας του υποκειμένου Ενημέρωση εντός μηνός από την παραλαβή για το δικαίωμα καταγγελίας στην Εποπτική Αρχή και δικαστικής προσφυγής, σε περίπτωση μη ενέργειας για την ικανοποίηση του δικαιώματος Απόδειξη του προδήλως αβάσιμου / υπερβολικού αιτήματος Παροχή πληροφόρησης με τυποποιημένα εικονίδια 51

52 Επιστημονική έρευνα: Ευρεία προσέγγιση και έννοιες Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής έρευνας θα πρέπει να ερμηνεύεται διασταλτικά, δηλαδή να περιλαμβάνει παραδείγματος χάριν τεχνολογική έρευνα και ανάπτυξη (R&D) επίδειξη, βασική έρευνα, εφαρμοσμένη έρευνα και ιδιωτικά χρηματοδοτούμενη έρευνα. (Προοίμιο 159) 52

53 Στατιστική έρευνα και σκοποί Ο όρος «στατιστικοί σκοποί» σημαίνει κάθε πράξη συλλογής και την επεξεργασία δεδομένων προσωπικού χαρακτήρα που είναι αναγκαία για την πραγματοποίηση στατιστικών ερευνών ή για την παραγωγή στατιστικών αποτελεσμάτων. Τα στατιστικά αποτελέσματα μπορούν να χρησιμοποιηθούν περαιτέρω για διάφορους σκοπούς, μεταξύ άλλων και για σκοπούς επιστημονικής έρευνας. 53

54 Επιστημονική στατιστική έρευνα «προνομιακή μεταχείριση» Ο ΓΚΠΔ αντιμετωπίζει σχετικά «προνομιακά» την έρευνα Ειδικές ρυθμίσεις: αποκλίσεις/ εξαιρέσεις Εθνική νομοθεσία : πρόβλεψη παρεκκλίσεων εφόσον πληρούται η προυπόθεση της πρόβλεψης κατάλληλων εγγυήσεων 54

55 Αποκλίσεις/ εξαιρέσεις Ευρεία συγκατάθεση (broad consent) εάν δεν μπορούν εξαρχής να προσδιοριστούν ειδικότεροι ερευνητικοί σκοποί Συμβατή η περαιτέρω χρήση για επιστημονική ή στατιστική έρευνα Απόκλιση ως προς τη διάρκεια τήρησης εφόσον εξυπηρετούνται επιστημονικοί / στατιστικοί σκοποί Περιορισμοί ως προς δικαιώματα εναντίωσης/διαγραφής 55

56 με πρόσθετες εγγυήσεις Τεχνικά και οργανωτικά μέτρα, ιδίως για να διασφαλίζουν την τήρηση της αρχής της ελαχιστοποίησης των δεδομένν μπορούν να περιλαμβάνουν τη χρήση ψευδωνύμων, εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν κατ' αυτόν τον τρόπο. Συμμόρφωση με κώδικες ηθικής/ δεοντολογίας 56

57 Ασφάλεια (άρθρο 32)/1 Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων 57

58 Ασφάλεια (άρθρο 32)/2 Ενδεικτικά μέτρα Ψευδωνυμοποίηση/ Κρυπτογράφηση Διασφάλιση απορρήτου, ακεραιότητας, διαθεσιμότητας και αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση Δυνατότητα αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο Διαδικασία για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των μέτρων Τήρηση εγκεκριμένου κώδικα δεοντολογίας (άρθρο 40) ή εγκεκριμένου μηχανισμού πιστοποίησης (άρθρο 42) ως δυνητικά στοιχεία για την απόδειξη της συμμόρφωσης 58

59 Ψευδωνυμοποίηση στον ΓΚΠΔ επεξεργασία κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, 59

60 Λογοδοσία (accountability)/1 Σαφείς κανόνες για την ευθύνη και τη λογοδοσία όσων επεξεργάζονται δεδομένα Να επιδεικνύει/ αποδεικνύει συμμόρφωση; Ως «υποκατάστατο» της κατάργησης της «γνωστοποίησης» αλλά όχι δούρειος ίππος για να εισάγει εκ του πλαγίου νέες (γραφειοκρατικές) υποχρεώσεις. Υπερβαίνει τη συμμόρφωση Αναφέρεται σε αλλαγή κουλτούρας και πρέπει να ενταχθεί οργανικά σε έναν οργανισμό Nέα προσέγγιση των ευθυνών του υπεύθυνου και του εκτελούντος επεξεργασία 60

61 Privacy by design (άρθρο 25) Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας Αποτελεσματικά κατάλληλα τεχνικά και οργανωτικά μέτρα (ψευδωνυμοποίηση), σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων (αρχή ελαχιστοποίησης) και ενσωμάτωση των απαραίτητων εγγυήσεων (διαφάνεια κ.α.) Μηχανισμός πιστοποίησης (δυνητικά) Η από/δια σχεδιασμού προστασία δεν ταυτίζεται με την ασφάλεια 61

62 Προστασία εξ ορισμού (by default) (Άρθρο 25 ΓΚΠΔ) Εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων για να διασφαλίζεται ότι, εξ ορισμού (by default) υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αφορά:Eύρος των δεδομένων, βαθμός της επεξεργασίας, περίοδος αποθήκευσης και προσβασιμότητα. Εφαρμογή στα ψηφιακά κοινωνικά δίκτυα:τα μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων 62

63 Γνωστοποίηση παραβίασης ασφάλειας (άρθρα 33-34) Παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία [άρ. 4 (12) Γενίκευση της υποχρέωσης γνωστοποίησης παραβίασης ασφάλειας Δημοσιότητα ως προληπτικός μηχανισμός συμμόρφωσης Λογοδοσία Ευθύνη Διαφάνεια Ενίσχυση θέσης υποκειμένου 63

64 Γνωστοποίηση στην Αρχή (άρθρο 33) Αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση Φύση παραβίασης/ κατηγορίες κατά προσέγγιση αριθμό θιγομένων/ κατηγορίες-κατά προσέγγιση αριθμό αρχείων/ στοιχεία επικοινωνίας/ ενδεχόμενες συνέπειες παραβίασης/ ληφθέντα-προτεινόμενα μέτρα για αντιμετώπιση-άμβλυνση επιπτώσεων εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες Υποχρέωση τεκμηρίωσης παραβίασης 64

65 Ανακοίνωση παραβίασης στα υποκείμενα (άρθρο 34) Αμελλητί ανακοίνωση παραβίασης όταν ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες (περιγραφή φύσης παραβίασης, συνέπειες, μέτρα κλπ) Εξαίρεση : α) εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων προστασίας (κρυπτογράφηση), β) μέτρα που διασφαλίζουν ότι δεν θα επέλθει ο κίνδυνος, γ) δυσανάλογες προσπάθειες (εναλλακτικά : δημόσια ανακοίνωση) Αρχή: μπορεί να ζητήσει την ανακοίνωση 65

66 Απαιτήσεις από τη λογοδοσία/1 Απόδειξη συγκατάθεσης (άρθρο 7 παρ. 1) Λήψη τεχνικών και οργανωτικών μέτρων και απόδειξη της διενέργειας της επεξεργασίας σύμφωνα με τον Κανονισμό (άρθρο 24 παρ. 1) Κώδικες δεοντολογίες/ μηχανισμοί πιστοποίησης ως απόδειξη συμμόρφωσης (άρθρο 24 παρ. 3) 66

67 Απαιτήσεις από τη λογοδοσία/2 Τεκμηρίωση μέτρων σε περίπτωση παραβίασης ώστε να μπορεί η εποπτική αρχή να επαληθεύει συμμόρφωση (άρθρο 33 παρ. 2) DPIA - Η εν λόγω εκτίμηση αντικτύπου θα πρέπει να περιλαμβάνει, ιδίως, τα προβλεπόμενα μέτρα, εγγυήσεις και μηχανισμούς που μετριάζουν αυτόν τον κίνδυνο, διασφαλίζουν την προστασία των δεδομένων προσωπικού χαρακτήρα και αποδεικνύουν τη συμμόρφωση προς τον παρόντα κανονισμό (αιτιολογική σκέψη 90) 67

68 Απαιτήσεις από τη λογοδοσία/3 Διαφανείς εσωτερικές πολιτικές ασφάλειας και προστασίας δεδομένων έγκριση από τα υψηλότερα επίπεδα διοίκησης Κατάλληλες κι αποτελεσματικές διαδικασίες κι εργαλεία εφαρμογής των πολιτικών Ενημέρωση κι εκπαίδευση των προσώπων ως προς την εφαρμογή των κανόνων Έλεγχος και αξιολόγηση της αποτελεσματικότητας Διαδικασίες αντιμετώπισης ελλιπούς συμμόρφωσης και παραβίασης δεδομένων Τήρηση αρχείων επεξεργασίας (άρθρο 30) Εσωτερικός υπεύθυνος (άρθρα 37-39) 68

69 Προσέγγιση με βάση τον κίνδυνο (risk based approach) -1 Eστίαση στις επεξεργασίες που παρουσιάζουν «υψηλό κίνδυνο» για τα δικαιώματα Υψηλός κίνδυνος ως αποφασιστικό κριτήριο για την ύπαρξη υποχρέωσης διενέργειας εκτίμησης των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα (άρθρο 35 παρ. 1), «προηγούμενης διαβούλευσης» με την εποπτική αρχή (άρθρο 36 παρ. 1) τήρησης αρχείων επεξεργασίας (άρθρο 30 παρ. 5 69

70 Προσέγγιση με βάση τον κίνδυνο (risk based approach) -2 Σαφής αν και έμμεση είναι η επιρροή της «προσέγγισης με βάση τον κίνδυνο» στη διατύπωση των ρυθμίσεων υποχρέωση εφαρμογής οργανωτικών και τεχνικών μέτρων ασφαλείας (άρθρο 32). κοινοποίηση παραβίασης (προσωπικών) δεδομένων (άρθρα 33 και 34), προστασία των δεδομένων ήδη με/κατά τον σχεδιασμό και εξ ορισμού (άρθρο 25) 70

71 Ερωτήματα Προσέγγιση με βάση τον κίνδυνο (risk based approach) -3 α) ποιο είναι το κριτήριο της διαβάθμισης του κινδύνου, β) ποιος και με ποια διαδικασία νομιμοποιείται από τη νομοθεσία να προσδιορίσει τη φύση του κινδύνου και κατά συνέπεια να προσδιορίσει την έκταση των υποχρεώσεων και γ) είναι ελεγκτέος αυτός ο προσδιορισμός και πώς; 71

72 Προσέγγιση με βάση τον κίνδυνο (risk based approach) -4 Σωματική, υλική ή μη υλική βλάβη ή οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα ή. όταν τα υποκείμενα των δεδομένων θα μπορούσαν να στερηθούν των δικαιωμάτων και ελευθεριών τους ή να εμποδίζονται από την άσκηση ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα Αξιολόγηση της «πιθανότητας» και της «σοβαρότητας» του κινδύνου με κριτήριο τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας «βάσει αντικειμενικής εκτίμησης, με την οποία διαπιστώνεται κατά πόσον οι πράξεις επεξεργασίας δεδομένων συνεπάγονται κίνδυνο ή υψηλό κίνδυνο» Άξιολόγηση από τον «υπεύθυνο επεξεργασίας» που ελέγχεται από την ΑΠΔΠΧ 72

73 Data Protection Impact Assessment (άρθρο 35) Υποχρέωση υπευθύνου/ Εκτελούντος επεξεργασία Πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας εφόσον συντρέχει Υψηλός κίνδυνος παραβίασης λαμβάνοντας υπόψη τη χρήση νέων τεχνολογιών, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας ΒΕΒΑΙΑ από συστηματική άποψη εάν δεν προηγηθεί εκτίμηση αντικτύπου πώς θα αξιολογηθεί ο κίνδυνος ; 73

74 Υψηλός κίνδυνος Συστηματική κι εκτενής αξιολόγηση προσώπων/ μεγάλη κλίμακα επεξεργασιών ειδικών κατηγοριών/ συστηματική παρακολούθηση δημόσια προσβάσιμων χώρων Μεγάλη κλίμακα: ποσοτικά κριτήρια σημαντικής ποσότητας δεδομένων προσωπικού χαρακτήρα σε περιφερειακό, εθνικό ή υπερεθνικό επίπεδο, οι οποίες θα μπορούσαν να επηρεάσουν μεγάλο αριθμό υποκειμένων των δεδομένων ως αποτέλεσμα υψηλό κίνδυνο (π.χ.ευαίσθητα/ νέα τεχνολογία σε ευρεία κλίμακα) Κατάρτιση και δημοσιοποίηση σχετικών καταλόγων κατηγοριών επεξεργασιών από την ΑΠΔΠΧ 74

75 (Ελάχιστο) Περιεχόμενο αποτίμησης Συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας Εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας Εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες Προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας 75

76 Προηγούμενη διαβούλευση (άρθρο 36) Γνώμη της εποπτικής αρχής πριν από την επεξεργασία, όταν η εκτίμηση αντικτύπου υποδεικνύει υψηλό κίνδυνο ελλείψει μέτρων μετριασμού του Υποχρέωση εκτενούς πληροφόρησης της ΑΠΔΠΧ ΑΠΔΠΧ Συμβουλές και εξουσίες/διορθωτικά μέτρα (άρθρο 58) 76

77 Τήρηση αρχείων επεξεργασίας (Άρθρο 30) Στοιχεία υπευθύνου-σκοπούς επεξεργασίας- κατηγορίες δεδομένων κατηγορίες αποδεκτών- διαβιβάσεις Προθεσμίες διαγραφής (όπου είναι δυνατό!) Γενική περιγραφή μέτρων ασφαλείας Στη διάθεση της ΑΠΔΠΧ κατόπιν αιτήματος Εξαιρέσεις από υποχρέωση : < 250 άτομα εκτός αν συντρέχουν ιδιαίτεροι κίνδυνοι, μη περιστασιακή επεξεργασία, ειδικές κατηγορίες δεδομένων (ευαίσθητα) 77

78 Εσωτερικός υπεύθυνος (ΓΚΠΔ άρθρο 37) Υποχρέωση ορισμού εφόσον πρόκειται για Δημόσια αρχή/ δημόσιο φορέα Τακτική και συστηματική παρακολούθηση σε μεγάλη κλίμακα Μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων Ευχέρεια υπεύθυνου και σε άλλες περιπτώσεις Ευχέρεια κ-μ να εισάγει γενική υποχρέωση στο εθνικό δίκαιο 78

79 Θέση του υπεύθυνου.. Διορισμός βάσει προσόντων / εμπειρίας αλλά μπορεί να είναι και μέλος του προσωπικού Συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων Δεν υπόκειται σε εντολές. Δεν υφίσταται δυσμενείς συνέπειες (απόλυση, κυρώσεις κλπ.) λόγω της ορθής εκτέλεσης των καθηκόντων του ως υπεύθυνος 79

80 Καθήκοντα του υπεύθυνου Ενημερώνει και συμβουλεύει Παρακολουθεί τη συμμόρφωση Παρέχει συμβουλές για την αποτίμηση των επιπτώσεων στην ιδιωτικότητα Συνεργάζεται με ΑΠΔΠΧ κι αποτελεί το σημείο επικοινωνίας με αυτή 80

81 Κώδικες δεοντολογίας (άρθρα 40-41)/1 Κώδικες δεοντολογίας για ορθή εφαρμογή του νόμου ενδεικτικός κατάλογος θεμάτων τη θεμιτή και διαφανή επεξεργασία τα έννομα συμφέροντα που επιδιώκουν οι υπεύθυνοι επεξεργασίας τη συλλογή των δεδομένων διαδικασίες για προστασία by design και by default την ενημέρωση κοινού και υποκειμένων άσκηση των δικαιωμάτων των υποκειμένω 81

82 Κώδικες δεοντολογίας (άρθρα 40-41)/2 τα τεχνικά και οργανωτικά μέτρα / ειδικότερα μέτρα την ψευδωνυμοποίησητων δεδομένων γνωστοποίηση παραβιάσεων στις Αρχές και την ανακοίνωση στα υποκείμενα, διαβίβαση δεδομένων σε τρίτες χώρες διαδικασίες επίλυσης διαφορών 82

83 Πλεονεκτήματα εκπόνησης κωδίκων Στοιχείο λογοδοσίας Επίδειξη/ απόδειξη συμμόρφωσης Πιστοποίηση (42 παρ.1) Προστασία by design / by default (25 παρ.1) Απαιτήσεις ασφάλειας (32 παρ. 3) Εκτίμηση αντικτύπου (35 παρ. 8) Υποχρεώσεις εκτελούντος ( 28 παρ. 5) Όρος αδείας ΑΠΔΠΧ «Τα προσωπικά δεδομένα των φυσικών προσώπων που συμμετείχαν σε έρευνα τηρούνται αποκλειστικά σύμφωνα με τον κώδικα δεοντολογίας της ESOMAR και τον Κώδικα Επαγγελματικής Πρακτικής του ΣΕΔΕΑ.». 83

84 Έγκριση/ Παρακολούθηση Δημόσια διαβούλευση (και με υποκείμενα) Διαβούλευση με ΑΠΔΠΧ Γνωμοδότηση / Έγκριση Κωδίκων από ΑΠΔΠΧ Μηχανισμοί παρακολούθησης συμμόρφωσης και από την αρχή ελέγχου αλλά και από διαπιστευμένο φορέα (που αποδεικνύει ανεξαρτησία κι εμπειρογνωμοσύνη) 84

85 Πιστοποίηση (άρθρα 42-43) Θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της συμμόρφωσης Δεν θίγονται αρμοδιότητες ΑΠΔΠΧ Πιστοποίηση για μέγιστη περίοδο 3 ετών Δυνατότητα ανανέωσης αλλά και ανάκληση Εθελοντική και διαθέσιμη μέσω διαφανούς διαδικασίας Διασφάλιση διαπίστευσης φορέων πιστοποίησης 85

86 Privacy by design Φιλοσοφία της ένταξης της ιδιωτικότητας στα χαρακτηριστικά (specifications) διάφορων τεχνολογιών και αφορά Σχεδιασμό, λειτουργία και διαχείριση των τεχνολογιών επεξεργασίας πληροφορίας αλλά και των πληροφοριακών συστημάτων. Προληπτικός χαρακτήρας Αρχιτεκτονική και σχεδιασμός συστημάτων αλλά και επιχειρησιακών ιαδικασιών/πρακτικών Για όλον τον κύκλο ζωής 86

87 Διαβιβάσεις σε τρίτες χώρες Η ρύθμιση των διαβιβάσεων προσωπικών δεδομένων σε τρίτες χώρες βασίζεται καταρχήν στις λεγόμενες αποφάσεις επάρκειας (άρθρο 45). Ελλείψει τέτοιων αποφάσεων οι διασυνοριακές ροές μπορούν να βασιστούν σε κατάλληλες εγγυήσεις, όπως δεσμευτικοί εταιρικοί κανόνες ή οι τυποποιημένες ρήτρες προστασίας, οι εγκεκριμένοι κώδικες δεοντολογίας κλπ. (άρθρα 46 και 47) ή στις ρυθμίσεις που αφορούν τις παρεκκλίσεις (άρθρο 49) 87

88 Αρχές Προστασίας Νέοι ρόλοι, νέες ευθύνες Η ύπαρξη ανεξάρτητης αρχής είναι συστατικό στοιχείο του δικαιώματος προστασίας προσωπικών δεδομένων Ενίσχυση της ανεξαρτησίας και αποτύπωση των εξουσιών των αρχών ελέγχου Ενίσχυση της συνεργασίας μεταξύ των αρχών ελέγχου ώστε να αντιμετωπίζεται επαρκώς η διασυνοριακή (εντός ΕΕ) διάσταση της επεξεργασίας. Διαφορετική κουλτούρα συμμόρφωσης 88

89 Η ανεξάρτητη αρχή ως στοιχείο του δικαιώματος προστασίας προσωπικών δεδομένων Αρθρο 9 Α Συντάγματος Xάρτης Θεμελιωδών Δικαιωμάτων και Ελευθεριών της ΕΕ ( 8 3) Η τήρηση των κανόνων αυτών υπόκειται στον έλεγχο ανεξάρτητης αρχής Πρόσθετο Πρωτόκολλο της Σύμβασης 108 του Συμβουλίου της Ευρώπης για την Προστασία των Ατόμων έναντι της αυτοματοποιημένης επεξεργασίας προσωπικών δεδομένων που αφορά τις εποπτικές αρχές ( 1): υπεύθυνες για τη συμμόρφωση Οδηγία 95/46/ΕΚ (28) : δημόσιες αρχές επιφορτίζονται με τον έλεγχο της εφαρμογής της νομοθεσίας. ουσιώδες στοιχείο της προστασίας των προσώπων (Προοίμιο 62) 89

90 Νομολογία του ΔΕΕ/1 Commission v. Germany Ανεξαρτησία: συνήθως το καθεστώς το οποίο διασφαλίζει στο οικείο όργανο τη δυνατότητα να ενεργεί με πλήρη ελευθερία, χωρίς να υπόκειται σε εντολές και σε πιέσεις. Η εγγύηση της ανεξαρτησίας των εθνικών αρχών ελέγχου σκοπεί στη διασφάλιση της αποτελεσματικότητας και της αξιοπιστίας του ελέγχου δεν πρέπει να υπόκεινται σε καμία εξωτερική επιρροή, δηλαδή ούτε στην επιρροή των ελεγχομένων οργανισμών ούτε στην άμεση ή έμμεση επιρροή του κράτους απλώς και μόνον ο κίνδυνος ότι οι εποπτεύουσες αρχές μπορούν να ασκήσουν πολιτική επιρροή επί των αποφάσεων των αρχών ελέγχου αρκεί για να εμποδίσει την ανεξάρτητη άσκηση των καθηκόντων τους. οι αρχές αυτές θα μπορούσαν να επιδείξουν «εκ προοιμίου υπακοή» 90

91 Νομολογία του ΔΕΕ/2 Commission v. Austria Οι εν λόγω αρχές πρέπει να μην υπόκεινται σε καμία άμεση ή έμμεση εξωτερική επιρροή που θα μπορούσε να επηρεάζει το περιεχόμενο των αποφάσεών τους κάθε μορφής έμμεση επιρροή που θα μπορούσε να επηρεάζει το περιεχόμενο των αποφάσεων της αρχής ελέγχου. Με δεδομένο όμως ότι οι αρχές ελέγχου έχουν αναλάβει τον ρόλο θεματοφυλάκων του δικαιώματος στην ιδιωτική ζωή, το άρθρο 28 της οδηγίας 95/46 απαιτεί να είναι οι αποφάσεις τους, άρα και οι ίδιες, υπεράνω κάθε υποψίας για μεροληψία 91

92 Νομολογία του ΔΕΕ/3 Commission v. Hungary με πλήρη ελευθερία,.. και χωρίς το ενδεχόμενο να μπορεί να ασκηθεί τέτοια επιρροή. περιθώριο ευελιξίας ως προς την εφαρμογή του άρθρου 28, ιδίως όσον αφορά την επιλογή του θεσμικού πλαισίου και της ακριβούς διάρκειας της θητείας της αρχής ελέγχου Η λειτουργική ανεξαρτησία των αρχών ελέγχου αναγκαία προϋπόθεση ώστε να πληρούν οι εν λόγω αρχές το κριτήριο της ανεξαρτησίας η απειλή πρόωρης παύσεως, η οποία θα επλανάτο επί της αρχής αυτής καθ όλη τη διάρκεια της θητείας της, θα μπορούσε να οδηγήσει σε μιας μορφής υπακοή της στην πολιτική εξουσία, ασυμβίβαστη με την ως άνω απαίτηση περί ανεξαρτησίας 92

93 Νομολογία του ΔΕΕ/4 Schrems v. Data Protection Commissioner.υπό το φως ιδίως του άρθρου 8 του Χάρτη, οι εθνικές αρχές έλεγχου πρέπει να μπορούν να εξετάσουν αμερόληπτα κάθε αίτηση μια τέτοια απόφαση δεν μπορεί ούτε να εξαλείψει ούτε να περιορίσει τις εξουσίες που αναγνωρίζονται ρητά στις εθνικές αρχές ελέγχου από το άρθρο 8, παράγραφος 3, του Χάρτη και από το άρθρο 28 της οδηγίας..τότε η εθνική αρχή οφείλει να εξετάζει την ανωτέρω αίτηση με τη δέουσα επιμέλεια. 93

94 Ο νέος Κανονισμός Ανεξαρτησία (άρθρο 47) Άσκηση καθηκόντων με πλήρη ανεξαρτησία ελεύθερη από εξωτερικές επιρροές, άμεσες ή έμμεσες, και χωρίς να αναζητά ή να λαμβάνει οδηγίες από οποιονδήποτε Ύπαρξη επαρκών πόρων ως στοιχείο ανεξαρτησίας Προσωπικό : υπό την αποκλειστική εποπτεία της αρχής Υπόκειται σε οικονομικό έλεγχο που δεν θίγει την ανεξαρτησία 94

95 Ο νέος Κανονισμός Επιλογή μελών (άρθρα 48-49) Πολλαπλές αποδεκτές δυνατότητες επιλογής : Κοινοβούλιο, Κυβέρνηση, Αρχηγός Κράτους, Ανεξάρτητο όργανο Εξειδίκευση, εμπειρία, δεξιότητες Ρυθμισμένη ευχέρεια των κρατών μελών ως προς διάρθρωση, θητεία κλπ. Άρθρο 101 Α Συντάγματος- Ομοφωνία ή πλειοψηφία 4/5 της Διάσκεψης των Προέδρων 95

96 Ο νέος Κανονισμός Αρμοδιότητες /1 Εξαίρεση των επεξεργασιών από δικαστήρια που ενεργούν υπό την δικαστική ιδιότητα (in their judicial capacity) Ειδικό δικαστικό όργανο εποπτείας; Πρόσθετα καθήκοντα λόγω της νέας λειτουργίας των αρχών στο πλαίσιο του μηχανισμού συνεκτικότητας (consistency mechanism) και του European Data Protection Board 96

97 Ο νέος Κανονισμός Αρμοδιότητες /2 Eυρείες ελεγκτικές (παρακολούθηση και επιβολή), Συμβουλευτικές και γνωμοδοτικές Ρητή υποχρέωση για την προώθηση της ενημέρωσης Εξουσίες διόρθωσης, Κυρωτικές αρμοδιότητες 97

98 Ο νέος Κανονισμός Αρμοδιότητες /3 Νέοι κύκλοι καθηκόντων/αρμοδιοτήτων αποτίμηση επιπτώσεων στην προστασία δεδομένων/ ιδιωτικότητα προηγούμενη διαβούλευση, κώδικες δεοντολογίας, κριτήρια πιστοποίησης 98

99 Ο νέος Κανονισμός Αρμοδιότητες /4 Ενισχυμένος ρόλος αναφορικά με τη διασυνοριακή ροή δεδομένων Η ανεξάρτητη αρχή επιτρέπει συμβατικές ρήτρες Εγκρίνει δεσμευτικούς εταιρικούς κανόνες, ώστε να ελέγχεται η ύπαρξη επαρκών και κατάλληλων εγγυήσεων για την προστασία των δικαιωμάτων των προσώπων όταν τα δεδομένα τους διαβιβάζονται σε τρίτες χώρες. 99

100 Συνεργασία και συνεκτικότητα/1 Ενιαία και συνεκτική εφαρμογή Νομοθετική οργάνωση ενός πλαισίου και ενός μηχανισμoύ με σκοπό να καταστεί εφικτή η συνεκτική εφαρμογή των κανόνων One-stop-shop και αρχή της εγγύτητας «επικεφαλής (εποπτική) αρχή» και «ενδιαφερόμενη εποπτική αρχή» 100

101 Συνεργασία και συνεκτικότητα/2 Eάν η επεξεργασία ή οι επιπτώσεις της αναπτύσσουν έναν διασυνοριακό χαρακτήρα εντός ΕΕ ενεργοποιούνται οι μηχανισμοί συνεργασίας και συνεκτικότητας Ενισχυμένη εμπλοκή των «ενδιαφερόμενων αρχών» στη διαδικασία της λήψης της απόφασης από την «επικεφαλής αρχή». Αμοιβαία συνεργασία για τη λήψη της απόφασης σε συνέχεια παραπόνου/καταγγελίας πολίτη, εφόσον στην συγκεκριμένη περίπτωση εμπλέκονται εκτός από την επικεφαλής και άλλες ενδιαφερόμενες εποπτικές αρχές Πολύπλοκα δομημένος τρόπος συνεργασίας και συνδρομής 101

102 Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων Επικεφαλής των εποπτικών αρχών των κρατών μελών και Ευρωπαίος Επόπτης Μηχανισμός επίλυσης διαφορών Λήψη μέτρου από αα αναφορικά με επεξεργασία δεδομένων που επηρεάζει σημαντικό αριθμό προσώπων σε περισσότερα κράτη μέλη Εξουσία λήψης απόφασης επί ατομικών περιπτώσεων Κατευθυντήριες αρχές, συστάσεις κλπ, έχει εξοπλιστεί και με μία οιονεί κανονιστική αρμοδιότητα 102

103 Διοικητικές κυρώσεις/πρόστιμα (άρθρα 58/ 83 ΓΚΠΔ) Διορθωτικές εξουσίες Αρχής (άρθρο 58 παρ. 2) Επιβολή προστίμων για κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική. Παράγοντες προσδιορισμού ύψους προστίμου Κατηγορίες δεδομένων/ φύση, η βαρύτητα και η διάρκεια της παράβασης/ δόλος ή η αμέλεια/ ενέργειες για μετριασμό συνεπειών/ βαθμός ευθύνης/τυχόν προηγούμενες παραβάσεις/ τρόπος πληροφόρησης της Αρχής/ διάθεση-βαθμός συνεργασίας/ τήρηση κωδίκων δεοντολογίας/ κάθε ελαφρυντικό-επιβαρυντικό στοιχείο. 103

104 Ύψος προστίμων Για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση Αυστηρά πρόστιμα (άρθρο 83): Α κατηγορία παραβάσεων - Έως ή για επιχειρήσεις το 2% Β κατηγορία παραβάσεων - Έως ή για επιχειρήσεις το 4% (και για μη συμμόρφωση προς αποφάσεις Αρχής) του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο 104

105 Αστικές κυρώσεις/ ευθύνη (άρθρο 82 ΓΚΠΔ) Αστική ευθύνη υπευθύνου για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον κανονισμό. Αστική ευθύνη εκτελούντος εφόσον παρέβη υποχρεώσεις κανονισμού ή οδηγίες υπευθύνου Εις ολόκληρον ευθύνη του υπεύθυνου/ εκτελούντος επεξεργασία (άρθρο 82) Πρόβλεψη εκπροσώπησης από συλλογικό φορέα (άρθρο 80) 105

106 Ποινικές κυρώσεις (άρθρο 84 ΓΚΠΔ) Ο ορισμός των ποινικών κυρώσεων είναι αρμοδιότητα των κ-μ Αποτελεσματικές, ανάλογες και αποτρεπτικές ποινικές κυρώσεις Υποχρέωση διασφάλισης εφαρμογής 106

107 Βήματα προς την εφαρμογή/1 Eνημέρωση/ συνειδητοποίηση των απαιτήσεων και των αλλαγών που απαιτούνται Σε ποιο επίπεδο; Χαρτογράφηση «προβληματικών περιοχών» Λογοδοσία : πλαίσιο πολιτικών και διαδικασιών Διαχειριστική/ Οργανωτική/ Τεχνική/ Νομική υποστήριξη της συμμόρφωσης Έλεγχος συμμόρφωσης Εκπαίδευση/ Ενημέρωση 107

108 Βήματα προς την εφαρμογή/2 «Χαρτογράφηση» δεδομένων/ αρχείων/ βάσεων σε συσχετισμό με προσωπικά δεδομένα «Χαρτογράφηση» πληροφοριακών διαδικασιών και ροών εντός οργανισμού (δεδομένα «συναλλασσομένων» και εργαζομένων ροών/διαβιβάσεων εκτός οργανισμού Εξέταση χαρτογράφηση των πηγών άντλησης/προέλευσης των δεδομένων 108

109 Βήματα προς την εφαρμογή/3 Data Protection by design : δεν αφορά μόνο τις τεχνολογίες υπό στενή έννοια αλλά και τον σχεδιασμό εφαρμογών, διαδικασιών, εργασιών με γνώμονα την προστασία δια/ εκ του σχεδιασμού Data Protection Impact Assessment : σχετίζεται αλλά δεν ταυτίζεται με την εκτίμηση κινδύνου Πλαίσιο εκτίμησης επιπτώσεων το οποίο πρέπει να (συ)σχετίζεται με τη διαχείριση κινδύνων και εν γένει τις διαδικασίες διαχείρισης (project management) μέσα σέ έναν οργανισμό Χρονικά προηγείται των άλλων βημάτων 109

110 Βήματα προς την εφαρμογή/4 Έλεγχος συμβάσεων, όρων, διατυπώσεων σε έντυπα ενημέρωσης, γνωστοποίησης, συγκατάθεσης Έλεγχος / Εισαγωγή διαδικασιών χειρισμού αιτημάτων (πρόσβασης, διαγραφής κ.α)/ παραπόνων κλπ. Επανέλεγχος και επιβεβαίωση των βάσεων νομιμότητας Ευκαιρία Αξιολόγησης της ποσότητας, ποιότητας και αξίας των τηρουμένων δεδομένων 110

111 Βήματα προς την εφαρμογή/5 Data Protection Officer προσοχή στις.πιστοποιήσεις Σύμφωνα με την ανακοίνωση της ΑΠΔΠΧ (9/8/2017) Ο ΓΚΠΔ «δεν θέτει κάποια υποχρεωτική απαίτηση για πιστοποίηση του DPO, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση» Μέχρι σήµερα κανένας φορέας στην Ελλάδα δεν έχει διαπιστευθεί για να πιστοποιεί τα επαγγελµατικά προσόντα/δεξιότητες ενός DPO Οι προτεινόµενες πιστοποιήσεις DPO δεν εµπίπτουν στην κατηγορία των υφιστάµενων επίσηµων ελληνικών πιστοποιήσεων 111