Πρόταση ΚΑΝΟΝΙΣΜΟΥ του ΕΚ και του ΕΣ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών Γιολάντα Κουκουλέτσου Νομικός Σύμβουλος ΕΝΩΣΗΣ ΑΣΦΑΛΙΣΤΙΚΩΝ ΕΤΑΙΡΙΩΝ ΕΛΛΑΔΟΣ
Εισαγωγή 25.1.2012 Δημοσίευση των προτάσεων αναθεώρησης της ΕE Δύο νομοθετικές προτάσεις: πρόταση Κανονισμού του ΕΚ και του ΕΣ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα (γενικός Κανονισμός για την προστασία δεδομένων) πρόταση Οδηγίας του ΕΚ και του ΕΣ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τον σκοπό της πρόληψης, διερεύνησης, ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών
Βάση Κανονισμού Άρθρο 16 της ΣΛΕΕ Άρθρο 8 του Χάρτη Θεμελιωδών Δικ/των Άρθρο 8 της Ευρωπαϊκής Σύμβασης Ανθρωπίνων Δικαιωμάτων Ο Κανονισμός αποτελεί αναθεώρηση της προγενέστερης Οδηγίας 95/46/ΕΚ, η οποία καταργείται
Κεφάλαια Κανονισμού Ο Κανονισμός διαιρείται σε 11 Κεφάλαια Κεφάλαιο Ι (άρθρα 1-4): Γενικές διατάξεις περιέχονται νέοι ορισμοί: «παιδί, γενετικά-βιομετρικά δεδομένα, δεδομένα υγείας», «ρητή» (explicit) συγκατάθεση Κεφάλαιο ΙΙ (άρθρα 5-10): Αρχές νέο στοιχείο: οι αρχές του άρθρου 5 Κεφάλαιο ΙΙΙ (άρθρα 11-21): Δικαιώματα του προσώπου στο οποίο αναφέρονται τα δεδομένα 5 τμήματα ρυθμίσεις προγενέστερης οδηγίας με νέα στοιχεία, άρθρα 14,15 Κεφάλαιο IV (άρθρα 22-39): Υπεύθυνος και εκτελών την επεξεργασία - 5 τμήματα άρθρο 26 (εκτελών την επεξεργασία) άρθρο 35 (υπεύθυνος προστασίας δεδομένων) Κεφάλαιο V (άρθρα 40-45): διαβίβαση σε 3ες χώρες
Κεφάλαια Κανονισμού Κεφάλαιο VI (άρθρα 46-54): Ανεξάρτητες αρχές ελέγχου - 2 τμήματα Κεφάλαιο VII (άρθρα 55-72): Συνεργασία και συνεκτικότητα ρητοί κανόνες για την υποχρεωτική αμοιβαία συνδρομή των κρατών μελών προς το αίτημα άλλης αρχής ελέγχου, Τμήμα 3: Σύσταση Ευρωπαϊκής Επιτροπής Προστασίας Δεδομένων Κεφάλαιο VIIΙ (άρθρα 73-76): Προσφυγές, ευθύνη, κυρώσεις Κεφάλαιο IΧ (άρθρα 80-85): Ειδικές περιπτώσεις επεξεργασίας δεδομένων (υγεία) Κεφάλαιο Χ, ΧΙ (άρθρα 86-91) : εξουσιοδοτικές πράξεις, τελικές διατάξεις
Στην Αιτιολογική Έκθεση διευκρινίζονται : Παρ. 24: Αναγνωριστικοί αριθμοί, δεδομένα θέσης, online αναγνωριστικά ταυτότητας ή άλλοι ειδικοί τέτοιοι παράγοντες δεν είναι υποχρεωτικό να θεωρούνται σε κάθε περίπτωση δεδομένα προσωπικού χαρακτήρα Παρ. 26: δεδομένα που αφορούν στην υγεία, π.χ. πληροφορίες από εξετάσεις ή αναλύσεις σε μέρος ή ουσία σώματος, συμπεριλαμβανομένων βιολογικών δειγμάτων κ.τ.λ. Παρ. 30: όχι υπερβολικά τα δεδομένα, διάστημα αποθήκευσης στο ελάχιστο δυνατόν, προθεσμίες διαγραφής/ επανεξέτασης Παρ. 33: ελεύθερη συγκατάθεση: δεν συνιστά έγκυρο νομικό λόγο όταν το φυσικό πρόσωπο δεν έχει γνήσια και ελεύθερη επιλογή και δεν είναι ακολούθως σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεση, χωρίς αυτό να αποβεί εις βάρος του
Παρ. 34: Η συγκατάθεση δεν παρέχει έγκυρο νομικό λόγο για την επεξεργασία, εάν υπάρχει σαφής ανισορροπία μεταξύ του προσώπου και του υπεύθυνου επεξεργασίας Παρ. 38: δικαίωμα αντίταξης στην επεξεργασία χωρίς οικονομική επιβάρυνση Παρ. 45: ο υπεύθυνος επεξεργασίας δικαιούται να ζητεί από το πρόσωπο περισσότερες πληροφορίες που θα του επιτρέψουν να εντοπίσει τα δεδομένα που ζητεί το εν λόγω πρόσωπο Παρ. 49,50: ενημέρωση : κατά τη συλλογή ή εντός εύλογης προθεσμίας Παρ. 55: Δικαίωμα των προσώπων να λαμβάνουν αντίγραφο των δεδομένων σε συνήθως χρησιμοποιούμενο ηλεκτρονικό μορφότυπο
Παρ. 65: απόδειξη συμμόρφωσης: ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία τεκμηριώνουν κάθε πράξη επεξεργασίας Παρ. 70: Καταργείται η γενική υποχρέωση γνωστοποίησης της επεξεργασίας στις αρχές ελέγχου της οδηγίας 95/46/ΕΚ και η γνωστοποίηση επικεντρώνεται στις πράξεις επεξεργασίας που ενέχουν συγκεκριμένους κινδύνους για τα δικαιώματα και τις ελευθερίες των προσώπων λόγω της φύσης, της έκτασης ή του σκοπού τους Παρ. 76-77: Κώδικες δεοντολογίας, θέσπιση μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας Παρ. 123: Η επεξεργασία δεδομένων υγείας για λόγους δημοσίου συμφέροντος δεν πρέπει να έχει ως αποτέλεσμα την επεξεργασία για άλλους σκοπούς από τρίτους, όπως εργοδότες, ασφαλιστικές εταιρίες, τράπεζες
ΠΡΟΥΠΟΘΕΣΕΙΣ ΣΥΓΚΑΤΑΘΕΣΗΣ Προοίμιο παρ. 25, άρθρο 4 παρ. 8 (ορισμοί): συγκατάθεση: «κάθε δήλωση βουλήσεως, ελεύθερη, ειδική, ρητή και εν πλήρει επιγνώσει, η οποία παρέχεται ρητώς (explicitly) μέσω δήλωσης ή σαφούς θετικής ενέργειας από το πρόσωπο και πρέπει να καλύπτει το σύνολο των δραστηριοτήτων επεξεργασίας που διενεργείται για τον ίδιο ή τους ίδιους σκοπούς» διαγραφή της «ρητής» συγκατάθεσης Άρθρο 7 παρ. 3 (προϋποθέσεις συγκατάθεσης): «το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να αποσύρει τη συγκατάθεσή του ανά πάσα στιγμή, ενώ ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης όσον αφορά την παροχή της συγκατάθεσης του προσώπου» Προοίμιο παρ.34, άρθρο 7 παρ. 4 (προϋποθέσεις συγκατάθεσης): «Η συγκατάθεση δεν παρέχει νομική βάση για την επεξεργασία, εάν υπάρχει σημαντική ανισορροπία μεταξύ της θέσης του προσώπου στο οποίο αναφέρονται τα δεδομένα και του υπευθύνου επεξεργασίας» - διαγραφή της διάταξης
ΣΥΛΛΟΓΗ ΚΑΙ ΕΠΕΞΕΡΓΑΣΙΑ ΕΙΔΙΚΩΝ ΚΑΤΗΓΟΡΙΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΚΑΙ ΙΔΙΑΙΤΕΡΑ ΔΕΔΟΜΕΝΩΝ ΠΟΥ ΑΦΟΡΟΥΝ ΣΤΗΝ ΥΓΕΙΑ Προοίμιο παρ. 26, άρθρο 4 παρ. 12, άρθρο 9 παρ. 2 εδ. η, άρθρο 81 παρ. 1 εδ. α «Τα δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία πρέπει να περιλαμβάνουν ειδικότερα όλα τα δεδομένα που αφορούν την κατάσταση της υγείας του προσώπου, κάθε σχετική με το φυσικό πρόσωπο πληροφορία που συλλέχθηκε κατά την παροχή υγειονομικής περίθαλψης.ή κάθε πληροφορία π.χ. σχετικά με ασθένεια, αναπηρία, κίνδυνο ασθένειας, ιατρικό ιστορικό, κλινική θεραπεία ή την πραγματική φυσιολογική ή βιοιατρική κατάσταση του προσώπου στο οποίο αναφέρονται τα δεδομένα, ανεξαρτήτως πηγής, π.χ. από ιατρό ή άλλο επαγγελματία του τομέα της υγείας, δεδομένα που αφορούν στην υγεία είναι κάθε πληροφορία σχετικά με την παροχή υγειονομικής περίθαλψης, η επεξεργασία (επιτρέπεται, εφόσον) είναι απαραίτητη για σκοπούς υγείας». Αόριστες διατάξεις, Ασάφεια πρόβλημα στις εργασίες των εταιριών διευκρινίσεις Oι ασφαλιστικές εταιρίες υπόκεινται στη διάταξη ;
ΝΟΜΙΜΟΤΗΤΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ- ΠΡΟΛΗΨΗ ΤΗΣ ΑΠΑΤΗΣ - άρθρο 6 παρ.4 «τα δεδομένα πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο μη συμβατό προς τους σκοπούς αυτούς» περιορισμός στις ασφαλιστικές εργασίες πρόβλεψη ρητής εξαίρεσης για τους ασφαλιστές ΜΕΤΡΑ ΒΑΣΙΣΜΕΝΑ ΣΤΗΝ ΚΑΤΑΡΤΙΣΗ ΠΡΟΦΙΛ - άρθρο 20 παρ.1 «κάθε φυσικό πρόσωπο δικαιούται να μην υπάγεται σε μέτρο που παράγει έννομες συνέπειες για το συγκεκριμένο πρόσωπο και το οποίο μέτρο βασίζεται σε αυτοματοποιημένη επεξεργασία με σκοπό την αξιολόγηση ορισμένων προσωπικών πτυχών του π.χ. οικονομική κατάσταση, υγεία, εργασία» το μέτρο είναι απαραίτητο και προς όφελος του καταναλωτή ΔΙΚΑΙΩΜΑ ΣΤΗ ΦΟΡΗΤΟΤΗΤΑ/ ΜΕΤΑΦΟΡΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ - άρθρο 18 παρ.2 «το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να μεταφέρει τα εν λόγω δεδομένα σε άλλο αυτοματοποιημένο σύστημα επεξεργασίας, χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας» δυσανάλογη οικονομική επιβάρυνση στις επιχειρήσεις διαγραφή ή τροποποίηση
α) Έκδοση κατ εξουσιοδότηση πράξεων Προβλέπεται πληθώρα κατ εξουσιοδότηση πράξεων νομική αβεβαιότητα μείωση β) διοικητικές κυρώσεις (άρθρο 79) «Κάθε αρχή ελέγχου εξουσιοδοτείται να επιβάλει διοικητικές κυρώσεις ανάλογα με την παράβαση» Πρόστιμα δυσανάλογα με σημερινή οικονομική πραγματικότητα Κίνδυνος για μικρές επιχειρήσεις Απαιτείται η δημιουργία αποθεματικών; η ΙΕ ζητά: - την αναθεώρηση του ποσού των προστίμων - σύνδεση προστίμου με τη ζημία - πρόβλεψη διάταξης δικαιώματος προσφυγής
γ) Διοικητικό κόστος Η ΙΕ είναι σε γενικές γραμμές ικανοποιημένη. Ωστόσο: Άρθρα 31-32: Κοινοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην αρχή ελέγχου (εντός 24 ωρών) & στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα (αμελλητί): - αόριστες διατάξεις, εκτεταμένη γραφειοκρατία - χωρίς εμφανές όφελος στον καταναλωτή - επιφόρτιση αρχών με πολλές υποθέσεις/ ασήμαντες κοινοποιήσεις η ΙΕ ζητά την τροποποίηση των διατάξεων - κοινοποίηση μόνο σοβαρών παραβιάσεων - χωρίς συγκεκριμένη προθεσμία απάντησης Εκτίμηση επιπτώσεων σχετικά με την προστασία δεδομένων (άρθρο 33 ) και προηγούμενη έγκριση από την αρχή ελέγχου (άρθρο 34) «Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, ενεργώντας για λογαριασμό του υπευθύνου επεξεργασίας διενεργούν εκτίμηση των επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα». αόριστη διάταξη ποια προσωπικά δεδομένα υπόκεινται στη διάταξη; διαγραφή άλλως διευκρίνιση
Ο Κανονισμός είναι εκτενέστατος Ο Ν.2472/1997 (σε εφαρμογή της καταργούμενης Οδηγίας 95/46/ΕΚ), είναι περιληπτικότερος συγκατάθεση: προσθήκη «με δήλωση ειδική, ρητή ή με σαφή θετική ενέργεια» (προοιμ. 25, αρθ. 4 παρ. 8) Κανονισμός: ορίζεται ρητά ότι ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης για την παροχή της συγκατάθεσης του προσώπου (αρθ. 7) Κανονισμός: ο υπεύθυνος επιφορτίζεται με την τεκμηρίωση όλων των πράξεων επεξεργασίας για τις οποίες είναι υπεύθυνος (αρθ. 28,30,33,35επ.) Ν.2472/97: η σύσταση, λειτουργία αρχείου, η έναρξη επεξεργασίας μόνο ύστερα από άδεια της ΑΠΔΠΧ (αρθ.6,7), ενώ το αντίστοιχο άρθρο του Κανονισμού (αρθ.34) δεν είναι το ίδιο αυστηρό
δικαίωμα ενημέρωσης του προσώπου (αρθ. 14) του Κανονισμού: εκτενέστερο σε σχέση με το αντίστοιχο αρθ. 11 του Ν.2472/1997 νέο: το δικαίωμα στη φορητότητα/ μεταφορά των δεδομένων (αρθ.18) νέο: η εντός 24 ωρών κοινοποίηση της παραβίασης στην αρχή ελέγχου (αρθ. 31) & η αμελλητί γνωστοποίηση της παραβίασης στο πρόσωπο (αρθ. 32) Κανονισμός: ενημέρωση εντός ενός μηνός Ηλεκτρονική αίτηση Δικαίωμα των προσώπων «να λησμονηθούν» Διοικητικά πρόστιμα: υψηλότατα
Δυσκολία απόδειξης λήψης συγκατάθεσης Επιπρόσθετες διοικητικές/ λειτουργικές υποχρεώσεις Αδικαιολόγητες υποχρεώσεις Εκτεταμένη εξουσία στην ΕΕ Αυστηρότατες κυρώσεις
Οι προτάσεις της ΕΕ έχουν σταλεί για α ανάγνωση στο ΕΚ & ΕΣ Αρμόδιες ΕΠΙΤΡΟΠΕΣ: Πολιτικών Ελευθεριών, Δικαιοσύνης & Εσωτερικών Υποθέσεων (LIBE), Βιομηχανίας, Έρευνας & Ενέργειας (ITRE), Εσωτερικής Αγοράς & Προστασίας Καταναλωτών (IMCO) Οι προτάσεις θα τεθούν σε ισχύ 2 έτη μετά τη θέσπισή τους
Ευχαριστώ για την προσοχή σας!