ΤΟ ΝΟΜΟΘΕΤΙΚΟ ΠΛΑΙΣΙΟ ΠΟΥ ΔΙΕΠΕΙΤ ΗΝΠΡΟΣΤ ΑΣΙΑΤΩΝ ΠΡΟΣΩ ΠΙΚΩΝΔΕΔΟΜΕΝΩΝΣΤ ΗΝ ΕΛΛΑΔΑ ΤμήμαΕλεγκτών ΑΠΔΠΧ ΚυριακήΜανίκα, δικηγόρος/νομικήελέγκτρια
ΠΕΡΙΕΧΟ ΜΕΝΑ Ισχύον Δίκαιο ΠεδίοεφαρμογήςΝ. 2472/97 Ο ρισμοίν. 2472/97 Βασικέςαρχέςνόμιμηςεπεξεργασίας Προϋποθέσειςνόμιμηςεπεξεργασίας Διασυνοριακήροήδεδομένων Υποχρεώσειςυπεύθυνουεπεξεργασίας Δικαιώματαυποκειμένουδεδομένων (ενημέρωσης, πρόσβασης, αντίρρησης) Προβλεπόμενεςκυρώσεις ΑρχήΠροστασίαςΔεδομένων, Αποστολή, Συγκρότηση, Αρμοδιότητες 2
ΙΣΧΥΟΝΔΙΚΑΙΟ Άρθρο 9 Α τουε λληνικού Συντάγματος1975/1986/2001 Ν. 2472/1997 για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα ενσωματώνειτην οδηγία 95/46/ΕΚγιατην προστασίατων φυσικών προσώπων απότην επεξεργασίατων προσωπικών δεδομένων τουςκαιτην ελεύθερηδιακίνηση των δεδομένων Ν. 3471/06 για την προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών καιτροποποίηση τουν. 2472/97 (εν σωματών ειτην οδηγία 2002/58/Ε Κ) 3
ΠεδίοεφαρμογήςΝ. 2472/97 Προστασίατων προσωπικών δεδομένων φυσικών προσώπων Ό ταν αυτάαποτελούν αντικείμενοεπεξεργασίαςγια διάφορουςσκοπού ς Εκτόςαπόπροσωπικούςή οικογενειακούς Προσωπικά δεδομένα που περιλαμβάνονταιή πρόκειταιναπεριληφθούν σεαρχείο 4
ΠεδίοεφαρμογήςΝ. 2472/97 (συνέχεια ) Επεξεργασία από υπεύθυνο επεξεργασίας εγκατεστημένοστην Ελλάδαή Πουχρησιμοποιείμέσα, ευρισκόμεναστην Ελλάδα, εκτόςεάν ταμέσα χρησιμοποιούνταιμόνογιατη διέλευση των δεδομένων Επεξεργασία που πραγματοποιείταιστο δημόσιο καιιδιωτικότομέα Επεξεργασίααυτοματοποιημένηήμη 5
Ο ρισμοίν. 2472/97 Υποκείμενο δεδομένων : το φυσικό πρόσωπο στο οποίο αναφέρονταιταδεδομένα Προσωπικάδεδομένα: κάθεπληροφορίαπουαναφέρεταιστο υποκείμενο μετρόποώστεναπροσδιορίζεταιάμεσαήέμμεσα, χαρακτηρίζειτουποκείμενοαπόφυσική, βιολογική, ψ υχολογική, οικονομική, πολιτιστική, πολιτικήήκοινωνικήάποψ η Ευαίσθητα δεδομένα: αφορούν στη φυλετική ή εθνική προέλευση, πολιτικάφρονήματα, θρησκευτικέςήφιλοσοφικές πεποιθήσεις, συμμετοχήσεσυνδικαλιστικήοργάνωση, υγεία, κοινωνική πρόνοια, ερωτική ζωή, ποινικές διώξεις ή καταδίκες, καθώς καιστη συμμετοχή σε συναφείςμε τα ανωτέρωενώσειςπροσώπων 6
Ο ρισμοίν. 2472/97 (συνέχεια ) Αρχείο δεδομένων : σύ νολο δεδομένων, διαρθρωμένο, με γνώμονασυγκεκριμένακριτήρια (γεωγραφικάήλειτουργικάκατανεμημένο) Επεξεργασίαδεδομένων : Αυτοματοποιημένηήμη Κάθε εργασία σε δεδομένα προσωπικού χαρακτήρα, όπως συλλογή, καταχώριση, οργάνωση, αποθήκευση, τροποποίηση, εξαγωγή, ανάκτηση, αναζήτηση, χρήση, ανακοίνωση, διαβίβαση, διασύ νδεση, δέσμευση, διαγραφή, καταστροφή 7
Ο ρισμοίν. 2472/97 (συνέχεια ) Υπεύθυνος επεξεργασίας: το πρόσωπο που καθορίζεισκοπόκαιτρόποεπεξεργασίας Εκτελών την επεξεργασία : τοπρόσωποπουδρά γιαλογαριασμότουυπευθύνουεπεξεργασίας Αποδέκτης: πρόσωποστοοποίομεταδίδονταιτα δεδομέναανεξαρτήτωςαν πρόκειταιγιατρίτοήόχι Τρίτος: Άλλο πρόσωπο εκτός από υπεύθυνο, εκτελούντα την επεξεργασία καιυποκείμενο των δεδομένων 8
Ο ρισμοίν. 2472/97 (συνέχεια ) Συγκατάθεση υποκειμένουδεδομένων : Ελεύθερη, ρητή, ειδική Βάσειπροηγούμενηςενημέρωσηςγια Σκοπόεπεξεργασίας Κατηγορίαδεδομένων Στοιχείαυπευθύνουεπεξεργασίας Αποδέκτεςδεδομένων Στην περίπτωση ευαίσθητων δεδομένων απαιτείταιέγγραφησυγκατάθεση 9
Βασικέςαρχέςνόμιμηςεπεξεργασίας (άρθρο 4 Ν. 2472/97) Αρχήτουσκοπού Αρχήτηςνομιμότητας Αρχήτηςαναλογικότητας Συνάφεια Αναγκαιότητα Προσφορότητα Αρχήτηςακριβείας Αρχήτουκαθορισμού τηςχρονικήςδιάρκειαςτης επεξεργασίας 10
Βασικέςαρχέςνόμιμηςεπεξεργασίας(2) Θεμιτήκαινόμιμη συλλογή Γιασαφήκαιπροκαθορισμένοσκοπό Δεδομένα: συναφή, πρόσφορα, ανάλογα με το σκοπό, ακριβή καιενημερωμένα, τηρούνταιμόνο για όσο χρόνο απαιτείταιγια το σκοπό της επεξεργασίας Η τήρηση των παραπάνω βαρύνειτον υπεύθυνο επεξεργασίας 11
Προϋποθέσειςνόμιμηςεπεξεργασίας (άρθ. 5 Ν. 2472/97) Συγκατάθεση Αναγκαίαγιατην εκτέλεση σύ μβασης Αναγκαία για την εκπλήρωση εκ του νόμου υποχρέωσηςτουυπευθύνουεπεξεργασίας Αναγκαία για συμφέροντος την εκτέλεση έργου δημοσίου Απολύτωςαναγκαίαγιατην ικανοποίηση έννομου συμφέροντος τουυπεύθυνουτης επεξεργασίαςή τρίτου, στον οποίο ανακοινώνονταιταδεδομένα, καιτο συμφέρον αυτόυπερέχειπροφανώς των δικαιωμάτων καισυμφερόντων τουυποκειμένου π.χ. Κ οινοποίηση προσωπικών δεδομένων γιαδικαστική χρήση 12
Προϋποθέσειςνόμιμηςεπεξεργασίας ευαίσθητων δεδομένων (άρθρο 7 Ν. 2472/97) ΆδειατηςΑρχής Έγγραφησυγκατάθεση Επεξεργασία αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος ή προβλεπόμενου από το νόμο συμφέροντοςτρίτου, εάν τουποκείμενοτελείσεφυσικήή νομικήαδυναμίαναδώσεισυγκατάθεση Επεξεργασία είναιαπαραίτητη για την υπεράσπιση δικαιώματοςενώπιον δικαστηρίουήπειθαρχικού οργάνου Επεξεργασίααφοράδεδομέναπουδημοσιοποιείτοίδιοτο υποκείμενο Επεξεργασία αφορά δεδομένα υγείας με σκοπό την παροχήυπηρεσιών υγείαςκαιεκτελείταιαπόπρόσωπο που υπόκειταιστο ιατρικόαπόρρητο ή άλλο καθήκον εχεμύ θειας 13
Προϋποθέσειςνόμιμης επεξεργασίαςευαίσθητων δεδομένων (συνέχεια ) ΆδειατηςΑρχής Επεξεργασία είναιαπαραίτητη για την εξυπηρέτηση αναγκών εθνικής ασφάλειας, εγκληματολογικής ή σωφρονιστικήςπολιτικήςκαιεκτελείταιαπόδημόσιααρχή καιαφοράτηδιακρίβωση εγκλημάτων, ποινικέςκαταδίκες και μέτρα ασφάλειας, για λόγους προστασίας της δημόσιας υγείας, άσκηση δημόσιου φορολογικού ή ελέγχουκοινωνικών παροχών Για ερευνητικούς και επιστημονικούς αποκλειστικά σκοπούςκαιυπότον όρο ότιτηρείταιη ανωνυμίακαι λαμβάνονταιόλατααπαραίτηταμέτραγιατην προστασία των δικαιωμάτων των υποκειμένων των δεδομένων Επεξεργασία αφορά σε δημόσια πρόσωπα, εφόσον τα δεδομένα συνδέονται με την άσκηση δημόσιου λειτουργήματοςήτηδιαχείριση συμφερόντων τρίτων και δενπαραβιάζεταιηιδιωτικήκαιοικογενειακήτουςζωή 14
Διασυνοριακήροήδεδομένων (άρθρο 9 Ν. 2472/97) ΡοήπροςΕ.Ε. ελεύθερη Ροήπροςτρίτεςχώρες: ΜεάδειατηςΑρχήςεκτόςεάν ηεε έχειήδηαποφανθεί Εφόσον εξασφαλίζεταιικανοποιητικόεπίπεδοπροστασίας Διαφορετικάμόνουπόορισμένεςπροϋποθέσεις Συγκατάθεση υποκειμένου διασφάλιση ζωτικού συμφέροντος εκτέλεση σύ μβασης/ προσυμβατικών μέτρων, υπεράσπιση δικαιώματοςενώπιον δικαστηρίου, μετάδοσηπληροφοριών απόδημόσιομητρώο, διαφύλαξηυπέρτερουδημόσιουσυμφέροντος Συμβατικέςρήτρεςμεεπαρκείςεγγυήσεις 15
Υποχρεώσειςυπεύθυνουεπεξεργασίας Γν ωστοποίηση επεξεργασίας (άρθρ. 6, εξαιρέσεις σύ μφωναμετοάρθρο 7 Α ) Γνωστοποίηση διασύ νδεσηςαρχείων (άρθρ. 8) Άδεια για επεξεργασία ευαίσθητων δεδομένων (άρθρ. 7) Άδειαγιαδιαβίβαση δεδομένων σε τρίτεςχώρες (άρθρ. 9) 16
Υποχρεώσειςυπεύθυνουεπεξεργασίας Απόρρητοτηςεπεξεργασίας(άρθρ. 10) - Ηεπεξεργασίαδεδομένων είναιαπόρρητη - Διεξάγεταιαποκλειστικάκαιμόνοαπόπρόσωπαπουτελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας ή του εκτελούντοςτην επεξεργασίακαιμόνοκατ εντολήτου -Ε πιλογήπροσώπων μεαντίστοιχαεπαγγελματικάπροσόντα που παρέχουν επαρκείςεγγυήσειςαπόπλευράς τεχνικών γνώσεων καιπροσωπικήςακεραιότηταςγιατην τήρηση του απορρήτου - Αν ηεπεξεργασίαδιεξάγεταιγιαλογαριασμότουυπεύθυνου από πρόσωπο μη εξαρτώμενο από αυτόν, υποχρεωτική έγγραφηανάθεση. Ο εκτελών ενεργείμόνοκατ εντολήν του υπευθύνου καιβαρύνεταιαναλόγως με την υποχρέωση τήρησηςαπορρήτουκαιμέτρων ασφαλείας 17
Υποχρεώσειςυπεύθυνουεπεξεργασίας Ασφάλειατηςεπεξεργασίας(άρθρ. 10) - Μέτραασφάλειαςδεδομένων (οργανωτικάκαιτεχνικά μέτραγιατην προστασίατων δεδομένων απότυχαίαή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση καικάθεάλλη μορφή αθέμιτης επεξεργασίας. Το επίπεδο ασφαλείας πρέπεινα είναιανάλογο προς τουςκινδύνουςπου συνεπάγεταιηεπεξεργασίακαιηφύση των δεδομένων - Η Αρχήπαρέχειοδηγίεςγιαταμέτραασφάλειαςπου πρέπειναλαμβάνονται(βλ. Οδηγίαγιατην καταστροφή των δεδομένων, Σχέδιοασφάλειας-Security Plan) 18
Υποχρεώσειςυπεύθυνουεπεξεργασίας Ε νημέρωση τουυποκειμέν ου(άρθρο 11) - Κατά το στάδιο της συλλογής (ταυτότητα, σκοπός, αποδέκτες, δικαίωμαπρόσβασης) - Πριν την ανακοίνωση των δεδομένων σετρίτους - Δεν απαιτείταιαν ησυλλογήγίνεταιγιαλόγουςεθνικής ασφάλειας ή για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων - Δεν υφίσταταιόταν ησυλλογήγίνεταιαποκλειστικάγια δημοσιογραφικού ς σκοπού ς και αφορά δημόσια πρόσωπα 19
Δικαιώματαυποκειμένουδεδομένων Δικαίωμαπρόσβασης(άρθρο 12) Ασκείται με γραπτή αίτηση προς τον υπεύθυνο επεξεργασίας Περιεχόμενοδικαιώματος πρόσβασης: όλαταδεδομένα που αποτέλεσαν αντικείμενο επεξεργασίας, προέλευση, σκοπός, αποδέκτες, εξέλιξη επεξεργασίας, λογική αυτοματοποιημένηςεπεξεργασίας Υποχρέωση υπευθύνου επεξεργασίας να απαντήσει εγγράφωςσε15 ημέρες Δεδομέναυγείαςγνωστοποιούνταιστουποκείμενομέσω ιατρού (διασφάλιση ιατρικού απορρήτου) Εάν η απάντηση δεν είναιικανοποιητική, δυνατότητα προσφυγήςστην Αρχή Άρση τηςυποχρέωσηςπληροφόρησηςμεαπόφαση της Αρχής 20
Δικαιώματαυποκειμένουδεδομένων (2) Δικαίωμααντίρρησης(άρθρο 13) Ασκείταιμεγραπτήαίτηση προςτον υπεύθυνο επεξεργασίας Αίτηση για συγκεκριμένη ενέργεια (π.χ. διόρθωση, προσωρινή μη χρησιμοποίηση, δέσμευση, μη διαβίβαση, διαγραφή) Υποχρέωση υπευθύνου επεξεργασίας να απαντήσειεγγράφωςσε15 ημέρες Μπορείναοδηγήσειστηδιαγραφήήδιόρθωση των δεδομένων. Αν ηαπάντηση αρνητικήήμη ικανοποιητική, δικαίωμαπροσφυγήςστην Αρχή 21
ΠροβλεπόμενεςΚ υρώσειςγια παράβαση τουν. 2472/97 Διοικητικέςκυρώσεις (αρθρ. 21) - Επιβάλλονταιαπότην Αρχήστον υπεύθυνοεπεξεργασίαςή τον εκπρόσωπότου Ποινικήευθύνη(αρθρ. 22) - του υπεύθυνου επεξεργασίαςγια παράνομη σύ σταση και λειτουργίααρχείου, αλλάκαικάθετρίτουπουχωρίςδικαίωμα επεμβαίνεισεαρχείοπροσωπικών δεδομένων Αστικήευθύνη(αρθρ. 23) - πλήρη αποζημίωση για περιουσιακή ζημία καιχρηματική ικανοποίηση ηθικήςβλάβης - εκδικάζεταιμεδιαδικασίαεργατικών διαφορών (γιαταχύτερη αντιμετώπιση) 22
ΑΡΧΗ ΠΡΟΣΤ ΑΣΙΑΣΔΕΔΟΜΕΝΩΝ Αποστολή Ν ομική Φ ύ ση - Συγκρότηση Αποστολή εποπτεία της εφαρμογής του ν όμου 2472/97 καιάλλων ρυθμίσεων πουαφορούν την προστασίατουατόμουαπό την επεξεργασία δεδομένων προσωπικού χαρακτήρα καθώς καιτην ενάσκηση των αρμοδιοτήτων που της ανατίθενταικάθεφορά. ΝομικήΦύση Η Αρχή αποτελεί ανεξάρτητη δημόσια αρχή, και εξυπηρετείταιαπό δική της γραμματεία. Η Αρχή δεν υπόκειταισε οποιονδήποτεδιοικητικόέλεγχο. Κατά την άσκηση των καθηκόντων τους τα μέλη της Αρχής απολαύουνπροσωπικήςκαιλειτουργικήςανεξαρτησίας 23
ΣΥΓΚΡΟΤΗΣΗ Αναπληρωτής Πρόεδρος (Επίτιμο ςαεροπαγίτης) Έξιαναπληρωματικά μέλη Πρόεδρος (Επιτ. Α ντιπρόεδρος ΑρείουΠάγο υ) Συμβούλιο Διευθυντής Γραμματεία ΈναΕπίτιμοΜέλοςτου Συμβουλίουτης Επικρ ατείας ΔύοΚαθηγητέςΠανεπιστημίου ΝομικούΤμήματος ΔύοΚαθηγητέςΠανεπιστημίου Πληρ οφορικής Ένα πρόσωπο υψηλού κύρους καιεμπειρίας στο τομέα Τμήμα Ελεγκτών Τμήμα Επικο ινωνίας Τμήμα Διο ικητικό - Οικο νο μικό 24
ΑρμοδιότητεςΑρχήςΠ ροστασίας Δεδομένων ΕκδίδειΟδηγίεςκαικανονιστικέςπράξεις Απευθύνεισυστάσειςκαιυποδείξειςστουςυπεύθυνους επεξεργασίας Εκδίδειάδειεςγια τήρηση καιεπεξεργασία ευαίσθητων δεδομένων, άδειεςδιαβίβασης δεδομένων εκτόςεε και άδειεςδιασύ νδεσηςαρχείων Συνεπικουρεί επαγγελματικά σωματεία στην έκδοση Κωδίκων Δεοντολογίας Γνωμοδοτείπρος την Πολιτεία για κάθερύθμιση που αφορά την επεξεργασία καιπροστασία προσωπικών δεδομένων ΑνακοινώνειστηΒουλήπαραβάσειςτων ρυθμίσεων που αφορούνστην προστασίατων προσωπικών δεδομένων 25
ΑρμοδιότητεςΑρχήςΠ ροστασίας Δεδομένων (2) Συντάσσειετήσιαέκθεση πεπραγμένων πουυποβάλλεται στηβουλήκαιτον Πρωθυπουργόκαιδημοσιεύεταιστην Εφημερίδα της Κυβερνήσεως Εξετάζειπροσφυγέςτων υποκειμένων των δεδομένων Ενεργείαυτεπαγγέλτωςήκατόπινκαταγγελίαςελέγχους Επιβάλλειδιοικητικέςκυρώσεις Προειδοποίηση, πρόστιμο, καταστροφήτων δεδομένων Κατά των αποφάσεων της Αρχής μπορείναασκηθεί αίτηση θεραπείαςκαιαίτηση ακυρώσεως(ενώπιον του ΣτΕ ) Καταγγέλλειτις παραβάσεις του νόμου στις αρμόδιες δικαστικέςαρχές ΤηρείΜητρώα (Αρχείων καιεπεξεργασιών, Αδειών, Διασυνδέσεων, Προσώπων που δεν επιθυμούν να λαμβάνουνδιαφημίσεις) 26
ΙστοσελίδαΑΠΔΠΧ www.dpa.gr Θ εσμικόπλαίσιο Ο ργάνω ση Γνω στοποίησητήρησης αρχείο υ Γνω στοποίησηκλειστούκυκλώματοςτηλεόρασης Αίτησηεγγραφής στο μητρώο τουάρθρου13 Ερωτήσεις Ο μιλίεςκαιπ αρουσιάσεις Επ ικοινω νία Δελτία Τύπ ου Αποφάσεις Ασφάλεια ΕτήσιεςΕκθέσεις Επ ιχειρησιακόσχέδιο 27
Ε ΥΧΑΡΙΣΤ ΟΥΜΕ ΓΙΑΤΗΝ ΠΡΟΣΟ ΧΗ ΣΑΣ!!! 28