«ΕΝ ΤΑΧΕΙ» ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ για την «Προστασία Δεδομένων Προσωπικού Χαρακτήρα» Την 27η Απριλίου 2016 το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο εξέδωσαν τον υπ αριθμ. 2016/679 Κανονισμό «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα κ.λπ.». Πρόκειται για μία νέα νομοθετική ρύθμιση της προστασίας των προσωπικών δεδομένων, η ισχύς της οποίας αρχίζει από την 25η Μαΐου 2018. Σε ένδειξη της σοβαρότητος που αποδίδει η Ε.Ε. στο θέμα «προσωπικά δεδομένα» ανατρέπεται με το νέο Κανονισμό το μέχρι της θέσεώς του σε ισχύ υφιστάμενο καθεστώς της εθνικής νομοθετικής ρύθμισης (για την Ελλάδα ο Ν. 2472/1997, όπως τροποποιήθηκε με τους Ν. 3471/2006 και 3625/2007) του κάθε Κράτους Μέλους στη βάση της Οδηγίας 2002/58 και καθιερώνεται πλέον μία ενιαία και ίδια για όλα τα κράτη νομοθετική ρύθμιση. Υπενθυμίζουμε ότι ο Κανονισμός έχει άμεση εφαρμογή στα Κράτη Μέλη (από 25-5-2018), χωρίς να υφίσταται ανάγκη για περαιτέρω εθνική νομοθετική ρύθμιση. Ι. ΟΙ ΡΥΘΜΙΣΕΙΣ Α. Συγκρινόμενες με το μέχρι σήμερα ισχύον νομοθετικό πλαίσιο, οι διατάξεις του εν λόγω Κανονισμού παρουσιάζουν σαν κύριο χαρακτηριστικό την επέκταση της προστασίας των φυσικών προσώπων ως υποκειμένων των προσωπικών δεδομένων, καθώς και την παροχή ενός αυξημένου αριθμού δικαιωμάτων προστασίας αυτών, την επαύξηση και επέκταση των υποχρεώσεων των φορέων επεξεργασίας των προσωπικών δεδομένων, την θέσπιση υπεύθυνων προσώπων και φορέων πιστοποίησης, την πρόβλεψη βαρύτατων προστίμων κ.λπ. Κατ αρχάς, και για τη δυνατότητα διευκόλυνσης της παρακολούθησης, παραθέτουμε τους ακόλουθους ορισμούς: - «Δεδομένο προσωπικού χαρακτήρα» είναι κάθε πληροφορία η οποία αφορά φυσικό πρόσωπο, του οποίου είναι δυνατή η εξακρίβωση των στοιχείων του. - «Υποκείμενο προσωπικών δεδομένων» είναι το φυσικό πρόσωπο - φορέας αυτών - «Επεξεργασία προσωπικών δεδομένων» είναι κάθε πράξη που πραγματοποιείται σε σχέση με προσωπικά δεδομένα, όπως πχ η συλλογή αυτών, η καταχώρηση, η αποθήκευση, η προσαρμογή, η μεταβολή κ.λπ. - «Υπεύθυνος Επεξεργασίας» είναι εκείνο το πρόσωπο που καθορίζει τον τρόπο και τους σκοπούς της επεξεργασίας. - «Εκτελών την Επεξεργασία» είναι εκείνος που κατ εντολήν του Υπευθύνου Επεξεργασίας, εκτελεί την επεξεργασία. - «Αποδέκτης» είναι το φυσικό ή νομικό πρόσωπο κ.λπ. στο οποίο δίδονται τα προσωπικά δεδομένα.
- «Υπεύθυνος Προστασίας Δεδομένων» είναι εκείνος που εκλέγεται, όταν οι πράξεις επεξεργασίας απαιτούν την τακτική και συστηματική παρακολούθηση σε μεγάλη κλίμακα. Β. Ο Κανονισμός προβλέπει τη συμμετοχή στην όλη διαδικασία επεξεργασίας των προσωπικών δεδομένων τριών (3) προσώπων, στα οποία και αποδίδεται η ευθύνη της τήρησης των απαιτήσεων του Κανονισμού, ήτοι : του «Υπεύθυνου Επεξεργασίας», του «Εκτελούντος την Επεξεργασία» και του «Υπεύθυνου Προστασίας Δεδομένων». Γ. Περαιτέρω καθορίζονται κατά τρόπο λεπτομερειακό οι προϋποθέσεις για να θεωρηθεί ως νόμιμη η επεξεργασία, μεταξύ των οποίων κύρια και πρωταρχική θέση κατέχει η συναίνεση (συγκατάθεση) του Υποκειμένου των προσωπικών δεδομένων. Η συγκατάθεση αυτή πρέπει να μπορεί να αποδεικνύεται, να είναι σαφής και συγκεκριμένη, δυνάμενη να ανακληθεί οποτεδήποτε ελεύθερα από το Υποκείμενο. Δ. Ρητή, λεπτομερειακή και εκτεταμένη αναφορά γίνεται για τα λεγόμενα «ευαίσθητα» προσωπικά δεδομένα, όπως π.χ. αυτά που αφορούν φυλετική καταγωγή, πολιτικά φρονήματα, θρησκευτικές πεποιθήσεις, σεξουαλικές προτιμήσεις κ.λπ., η επεξεργασία των οποίων κατ αρχήν απαγορεύεται, επιτρέπεται δε μόνο υπό απολύτως συγκεκριμένους όρους και προϋποθέσεις. Ε. Ο Υπεύθυνος Επεξεργασίας υποχρεούται να παρέχει στο Υποκείμενο των δεδομένων μία ευρύτατη γκάμα πληροφοριών, όπως π.χ.: Τα στοιχεία αυτού καθώς και τα στοιχεία του Υπεύθυνου Προστασίας Τους σκοπούς της επεξεργασίας Τον χρόνο αποθήκευσης Το δικαίωμα για πρόσβαση, διόρθωση, διαγραφή κ.λπ. Το δικαίωμα ανάκλησης της συγκατάθεσης Το δικαίωμα καταγγελίας ενώπιον των αρχών κ.λπ. Το Υποκείμενο των δεδομένων έχει, μεταξύ άλλων, και τα εξής δικαιώματα:
Διόρθωσης ανακριβειών των δεδομένων Διαγραφής δεδομένων Περιορισμού της επεξεργασίας Λήψης των δεδομένων που το αφορούν Εναν τίωσης στην επεξεργασία των δεδομένων κ.λπ. Όλα τα παραπάνω δικαιώματα υπόκεινται σε επιμέρους περιορισμούς και ασκούνται υπό τους όρους και προϋποθέσεις που αναφέρονται στον Κανονισμό. Στ. Στον Υπεύθυνο Επεξεργασίας αποδίδεται η ευθύνη της τήρησης των αρχών που διέπουν την επεξεργασία, όπως αυτές (οι αρχές) εξειδικεύονται και αναλύονται στα αντίστοιχα άρθρα του Κανονισμού, ως π.χ. η σύννομη και θεμιτή επεξεργασία, η συλλογή για νόμιμους σκοπούς, η διαγραφή ή διόρθωση κατά το νόμο, η ασφάλεια κ.λπ. Δημιουργείται δε ένα ευρύτατο πεδίο αυξημένης ευθύνης του Υπεύθυνου Επεξεργασίας, αφού όχι μόνο υποχρεούται να εφαρμόζει τα κατάλληλα μέτρα για να εξασφαλίζει ότι η επεξεργασία γίνεται σύμφωνα με τον Κανονισμό αλλά επιπλέον να μπορεί αυτό και να το αποδεικνύει. Για τους παραπάνω λόγους και κυρίως για τους σκοπούς απόδειξης, ο Κανονισμός προτείνει τη θέσπιση Κωδίκων Δεοντολογίας ή Μηχανισμούς Πιστοποίησης. Στο πλαίσιο της παραπάνω ευθύνης του Υπεύθυνου Επεξεργασίας εντάσσονται και τα εξής: Η διασφάλιση του απορρήτου, της κρυπτογράφησης κ.λπ. των προσωπικών δεδομένων Η γνωστοποίηση προς την Εποπτική Αρχή και το Υποκείμενο τυχόν παραβίασης αυτών Η εκτίμηση του τυχόν κινδύνου εκ της επεξεργασίας των δικαιωμάτων, ελευθεριών κ.λπ. φυσικών προσώπων και συνεργασία επ αυτού με τον Υπεύθυνο Προστασίας. Ζ. Ο Υπεύθυνος Προστασίας επιλέγεται από τον Υπεύθυνο Επεξεργασίας και τον Εκτελούντα την Επεξεργασία όταν πρόκειται για την επεξεργασία ειδικών κατηγοριών, μεγάλης κλίμακας δεδομένων και συμμετέχει σε όλα τα ζητήματα που έχουν σχέση με την προστασία των δεδομένων, έχοντας ως κυρίως καθήκοντα να: ενημερώνει/συμβουλεύει τον Υπεύθυνο Επεξεργασίας κ.λπ. για τις υποχρεώσεις του εκ του Κανονισμού παρακολουθεί τη συμμόρφωση του Υπεύθυνου Επεξεργασίας και του Εκτελούντος την Επεξεργασία με τον Κανονισμό και με άλλες διατάξεις που αφορούν την προστασία των προσωπικών δεδομένων, τη διενέργεια σχετικών ελέγχων κ.λπ. παρέχει συμβουλές και συνεργάζεται με την Εποπτική Αρχή κτλ.
Η. Ενώσεις και φορείς που εκπροσωπούν Υπευθύνους ή/και Εκτελούντες Επεξεργασία μπορούν να εκπονούν Κώδικες Δεοντολογίας για την εφαρμογή του Κανονισμού, με αναφορά στη θεμιτή και με διαφάνεια επεξεργασία, τη συλλογή των δεδομένων, την «ψευδωνυμοποίηση», την ενημέρωση του κοινού κ.λπ. Θ. Πέραν των απολύτως περιληπτικά παραπάνω αναφερομένων, οι προβλέψεις του Κανονισμού επεκτείνονται σε μεγάλο αριθμό λοιπών ζητημάτων, όπως την Πιστοποίηση και τους Φορείς Πιστοποίησης, τις Διαβιβάσεις προς τρίτες χώρες κ.λπ. Θα πρέπει να επισημανθεί η ιδιαίτερη αυστηρότητα των κυρώσεων για τυχόν παραβάσεις των διατάξεων του Κανονισμού, αφού κάποιες παραβάσεις επισύρουν διοικητικά πρόστιμα έως 10.000.000 ή σε περίπτωση επιχειρήσεων έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου έτους, άλλες δε παραβάσεις έως 20.000.000 ή έως το 4% κατά τα παραπάνω. ΙΙ. ΟΙ ΣΥΝΕΠΕΙΕΣ ΓΙΑ ΤΙΣ ΕΠΙΧΕΙΡΗΣΕΙΣ Η ιδιαιτερότητα και αυξημένη σημασία του εν λόγω Κανονισμού έγκειται και στη σειρά υποχρεώσεων και κινδύνων που αυτός συνεπάγεται για την πλειονότητα των νομικών προσώπων (εταιρειών). Από τις 25-5-2018 όλες οι επιχειρήσεις στην Ελλάδα που συλλέγουν, διατηρούν, αποθηκεύουν και χρησιμοποιούν προσωπικά δεδομένα (εργαζομένων, πελατών, προμηθευτών ή τρίτων) έχουν την υποχρέωση να εφαρμόζουν τις διατάξεις του νέου Κανονισμού. Συνοπτικά, οι υποχρεώσεις για τις επιχειρήσεις περιλαμβάνουν τα ακόλουθα: α. Ορισμό των ως άνω κατά νόμο υπευθύνων προσώπων (μέλη ή μη του προσωπικού τους) και ανάθεση των σχετικών ειδικών καθηκόντων. β. Υποχρέωση σχεδιασμού/θέσπισης διαδικασιών/εσωτερικών πολιτικών, όπως π.χ. για την: εξ ορισμού (by design & by default) προστασίας δεδομένων με την λήψη κατάλληλων τεχνικών, όπως ψευδωνυμοποίηση, ελαχιστοποίηση, ενσωμάτωση εγγυήσεων κ.λπ. εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (impact assessment) και σχετική υποχρέωση διαβούλευσης με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ενημέρωση των αρμόδιων στελεχών της για τους τρόπους συμμόρφωσης με τον Κανονισμό και τις ακολουθούμενες βέλτιστες πρακτικές. γ. Υποχρέωση τήρησης αρχείου δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων
δ. Υποχρέωση σεβασμού δικαιωμάτων των Υποκειμένων των δεδομένων, όπως ενδεικτικά: του δικαιώματός του στη λήθη (απάντηση σε αίτηση διαγραφής των δεδομένων του από το σχετικό αρχείο της εταιρείας) του δικαιώματός του για περιορισμό της επεξεργασίας (υποχρέωση εταιρείας για αναπροσαρμογή της επεξεργασίας των προσωπικών δεδομένων) του δικαιώματός του στη φορητότητα των δεδομένων (σε ποια μορφή πρέπει μια επιχείρηση να δίνει αντίγραφα όταν το υποκείμενο ζητά πρόσβαση στα δεδομένα του) του δικαιώματός του για περιορισμό στην κατάρτιση προφίλ (σε ποιες περιπτώσεις θα επιτρέπεται η δημιουργία από την εταιρεία προφίλ για το υποκείμενο των δεδομένων) του δικαιώματός του για ενημέρωση σε περίπτωση παραβίασης προσωπικών δεδομένων (υπό ποιες περιστάσεις οφείλει η επιχείρηση να ενημερώνει ότι πραγματοποιήθηκε παραβίαση) κ.λπ. ε. Υποχρέωση ενημέρωσης της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) για παραβιάσεις προσωπικών δεδομένων. Στους νομικούς κινδύνους, τους οποίους συνεπάγεται η έλλειψη συμμόρφωσης ή η πλημμελής συμμόρφωση των επιχειρήσεων με το νέο Κανονισμό, συγκαταλέγονται: α. Καταγγελίες σε δημόσιες αρχές κλπ. από πελάτες προμηθευτές συνεργάτες εργαζομένους. β. Δικαστικές διαδικασίες (για χρηματική ικανοποίηση λόγω ηθικής βλάβης ή για ποινική ευθύνη) γ. Έλεγχοι και επιβολή κυρώσεων από την ΑΠΔΠΧ (π.χ. συστάσεις, πρόστιμα, απαγορεύσεις, ανακλήσεις αδειών) δ. Απώλεια πιστοποιήσεων που έχουν οι επιχειρήσεις σε σχέση με πρότυπα λειτουργίας τους. Το παρόν δεν διεκδικεί και δεν επιδιώκει την εκτενή προσέγγιση, ανάλυση κ.λπ. του νέου Κανονισμού, παρά μόνο μία σύντομη αναφορά ορισμένων εκ των κυριοτέρων σημείων αυτού. Εάν επιθυμείτε λεπτομερέστερη ενημέρωση επί του θέματος, μπορείτε να επικοινωνήσετε μαζί μας.