ΝΕΟΣ ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (ΚΑΝΟΝΙΣΜΟΣ 679/2016)
Εισαγωγή: Στα πλαίσια του προγράμματος Data protection Reform, η Ευρωπαϊκή Ένωση στις 24 Μαΐου του 2016 ψήφισε τον Νέο Κανονισμό για τα Προσωπικά Δεδομένα (General Data Protection Regulation, εν συντομία, GDPR) ο οποίος θα εφαρμοσθεί άμεσα σε όλα τα Κράτη Μέλη της ΕΕ (χωρίς να απαιτείται εσωτερική νομοθετική εναρμόνιση) στις 25 Μαΐου 2018. Συγκριτικά με το προισχύσαν νομοθετικό καθεστώς, ο Νέος Κανονισμός είναι εμφανώς προσαρμοσμένος στη σύγχρονη πραγματικότητα μιας και λαμβάνει υπόψη τις τελευταίες τεχνολογικές εξελίξεις. Σύντομη περιγραφή του νέου πλαισίου: 1. Πεδίο Εφαρμογής: Ο Κανονισμός θεσπίζει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και κανόνες που αφορούν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα. Ο Κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης. Παρατηρούμε ότι το πεδίο εφαρμογής του Κανονισμού είναι εκτεταμένο προσδιοριζόμενο στο εάν η επεξεργασία των δεδομένων αφορά δεδομένα Ευρωπαίων πολιτών ακόμη και στο πλαίσιο της προσφοράς προϊόντων και υπηρεσιών, ανεξαρτήτου της έδρας του οργανισμού. Με απλά λόγια, εφαρμόζεται κάθε φορά που κάποιος επεξεργάζεται δεδομένα ευρωπαίου πολίτη, οπουδήποτε στον κόσμο. 2. Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα: Τα δεδομένα προσωπικού χαρακτήρα: υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»), συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς. είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»), - 2 -
είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια») διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»). 3. Διορισμός Data Protection Officers: Είναι υπεύθυνοι να ελέγχουν την τήρηση των προδιαγραφών του Νέου Κανονισμού Προστασίας Δεδομένων. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία: α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας, β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (π.χ. υγείας) και δεδομένων που αφορούν ποινικές καταδίκες. Όμιλος επιχειρήσεων μπορεί να διορίσει ένα μόνο υπεύθυνο προστασίας δεδομένων, υπό την προϋπόθεση ότι κάθε εγκατάσταση έχει εύκολη πρόσβαση στον υπεύθυνο προστασίας δεδομένων. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή ή δημόσιος φορέας, ένας μόνο υπεύθυνος προστασίας δεδομένων μπορεί να ορίζεται για πολλές τέτοιες αρχές ή πολλούς τέτοιους φορείς, λαμβάνοντας υπόψη την οργανωτική τους δομή και το μέγεθός τους. Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της τεχνογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων. - 3 -
Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δημοσιεύουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα ανακοινώνουν στην εποπτική αρχή. 4. Ευθύνη των υπευθύνων την επεξεργασία: Κάθε υπεύθυνος επεξεργασίας και, κατά περίπτωση, ο εκπρόσωπός του, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων. Προβλέπεται, δηλαδή, η τήρηση νέων προδιαγραφών με το να τηρούν έγγραφα και διαδικασίες σε περίπτωση data breach risk (data protection impact assessment) και να φροντίζουν για τη δημιουργία βάσεων δεδομένων τηρώντας τεχνικές προδιαγραφές «privacy by design and by default». 5. Ατομικά Δικαιώματα και δίκαιη επεξεργασία: Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα γίνεται κατόπιν εξασφαλίσεως της συναινέσεως του υποκειμένου των δεδομένων και μάλιστα ο υπεύθυνος επεξεργασίας φέρει το βάρος αποδείξεως ότι εξασφαλίστηκε η ανεπιφύλακτη συναίνεση του υποκειμένου δεδομένων. Γι αυτό πρέπει στη σύμβαση η συναίνεση του υποκειμένου των δεδομένων να προκύπτει με σαφή διατύπωση για την επεξεργασία και για τους σκοπούς που εδόθη. Η συναίνεση μπορεί να ανακληθεί αλλά δεν θίγεται η έως τότε νόμιμη επεξεργασία δεδομένων. Το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα. Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση. Το υποκείμενο των δεδομένων δικαιούται να εξασφαλίζει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας. - 4 -
Το υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν. Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη. Συμμόρφωση: Κάθε κράτος μέλος διασφαλίζει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές επιφορτίζονται με την παρακολούθηση της εφαρμογής του παρόντος κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας που τα αφορούν και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση («εποπτική αρχή»). Προβλέπεται δικαίωμα δικαστικής προσφυγής κατά της εποπτικής αρχής. Οι διαδικασίες κατά εποπτικής αρχής κινούνται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο είναι εγκατεστημένη η εποπτική αρχή. Προβλέπεται δυνατότητα πιστοποίησης για την εξακρίβωση των προδιαγραφών του Κανονισμού. Το κράτος μέλος διασφαλίζει ότι η διαπίστευση των εν λόγω φορέων πιστοποίησης πραγματοποιείται από ένα ή αμφότερα τα ακόλουθα: α) την εποπτική αρχή που είναι αρμόδια, β) τον εθνικό οργανισμό διαπίστευσης που ορίζεται σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 765/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (1), σύμφωνα με το πρότυπο EN-ISO/IEC 17065/2012 Η πιστοποίηση είναι εθελοντική και διαθέσιμη μέσω διαφανούς διαδικασίας. Τα κράτη μέλη, οι εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή ενθαρρύνουν την εκπόνηση κωδίκων δεοντολογίας που έχουν ως στόχο να συμβάλουν στην ορθή εφαρμογή του κανονισμού, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά των διάφορων τομέων επεξεργασίας και τις ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων. Ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να εκπονούν κώδικες δεοντολογίας ή να τροποποιούν ή να επεκτείνουν υφιστάμενους κώδικες δεοντολογίας. - 5 -
CHECKLIST ΣΥΜΜΟΡΦΩΣΗΣ ΜΕ ΤΟ ΝΕΟ ΠΛΑΙΣΙΟ Διαδικασία Προθεσμία Υπεύθυνος Προθεσμία ολοκλήρωσης συμμόρφωσης 25-5-2018 Διορισμός Data Protection Officer 25-5-2018 Τήρηση Αρχείου των δραστηριοτήτων επεξεργασίας 25-5-2018 Δημιουργία βάσεων δεδομένων 25-5-2018 Πιστοποίηση από την Εποπτική Αρχή 25-5-2018 Πιστοποίηση-πρότυπο EN-ISO/IEC 17065/2012 25-5-2018 KKLegal Κατσίκης Καλαματιανού & Συνεργάτες Δικηγορική Εταιρεία Λεωφόρος Αλεξάνδρας 215 115 23, Αθήνα. Tηλ. 210 8224775 Fax. 211 2687088 office@kklegal.eu Το περιεχόμενο του παρόντος αποτελεί απλά πληροφοριακό υλικό αναφορικά με τις νομοθετικές εξελίξεις και δεν αποτελεί σε καμία περίπτωση νομική συμβουλή ούτε υποκίνηση για οποιαδήποτε ενέργεια. Όλες οι πληροφορίες που περιέχονται προέρχονται από πρωτότυπες πηγές που θεωρούνται αξιόπιστες αλλά το περιεχόμενο του και η ακρίβειά τους ενδέχεται να μην έχουν επαληθευτεί από την KKLEGAL. Οι απόψεις που ενδεχομένως να διατυπώνονται δεν δεσμεύουν την KKLEGAL. Καμία δήλωση ή διαβεβαίωση (ρητή ή σιωπηρή) δεν δίδεται όσον αφορά στην ακρίβεια, πληρότητα, ορθότητα, ή χρονική καταλληλόλητα των πληροφοριών ή απόψεων που περιέχονται και οι οποίες μπορούν να τροποποιηθούν χωρίς προειδοποίηση. Καμία απολύτως ευθύνη, οπωσδήποτε και αν γεννάται, δεν αναλαμβάνεται από KKLEGAL με το παρόν. - 6 -