Νομική Σχολή Εργαστήριο Νομικής Πληροφορικής lli.law.uoa.gr Το νέο τοπίο ενόψει του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) Γιώργος Ν. Γιαννόπουλος Επίκουρος Καθηγητής στη Νομική Σχολή Διευθυντής του Εργαστηρίου Νομικής Πληροφορικής
Προστασία δεδομένων: Περιεχόμενο Προστασία από αθέμιτη ή παράνομη χρήση Απειλή του ιδιωτικού βίου ή ελεύθερη ροή των πληροφοριών ; Έκταση: Νομικά πρόσωπα; δημόσιος ή ιδιωτικός τομέας; μη αυτοματοποιημένα αρχεία; «Η προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων» (ορισμός από τη Σύμβαση του Συμβουλίου της Ευρώπης, 1981) 2
Παρόμοιες έννοιες ΠΔ ασφάλεια δεδομένων ΠΔ < δικαίωμα «ιδιωτικού βίου» Γερμανία: «πληροφορικός αυτοκαθορισμός» ΠΔ ελευθερία στην πληροφόρηση Σκανδιναβία: νομοθεσία Freedom of Information Πρόσβαση σε δημόσια αρχεία, Xρήση πληροφοριών δημοσίου τομέα N 4305/2014 Ν. 3448/2006 - Οδηγία 2013/37 ΠΔ 28/2015 ΠΔ Κοινωνία των πληροφοριών (Σ5Α) 3
Ιστορική εξέλιξη 1980 Κατευθυντήριες γραμμές ΟΟΣΑ (OECD) για την διασυνοριακή ροή των προσωπικών δεδομένων και προστασία της ιδιωτικής ζωής 1981 Συμβούλιο της Ευρώπης / Σύμβαση ETS 108/1981 Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data [8 ΘΕΜΕΛΙΩΔΕΙΣ ΑΡΧΕΣ] 1995 Oδηγία 95/46/ΕΚ (24.10.95) για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών την 4
Οι εξελίξεις στην Ελλάδα Ν. 2472/97 (10.4.97) «Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα» Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα 2001 ΣΥΝΤΑΓΜΑΤΙΚΗ ΚΑΤΟΧΥΡΩΣΗ Σ9 & 9A: «Καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει. Η προστασία των προσωπικών δεδομένων διασφαλίζεται από ανεξάρτητη αρχή, που συγκροτείται και λειτουργεί, όπως νόμος ορίζει». 5
Τι είναι Προσωπικά Δεδομένα Υποκείμενο: ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο: Άμεσα ή έμμεσα με αναγνωριστικό στοιχείο ταυτότητας όνομα, αριθμός ταυτότητας, δεδομένα θέσης, online ID Ή με έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα Δεδομένα Προσωπικού Χαρακτήρα: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο Αρχείο ΠΔ: διαρθρωμένο σύνολο ΠΔ προσβάσιμο με κριτήρια Επεξεργασία ΠΔ: κάθε πράξη ή σειρά πράξεων με ή χωρίς τη χρήση αυτοματοποιημένων μέσων 6
Ορολογία Υπεύθυνος Επεξεργασίας (Controller) Όποιος καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας Εκτελών την επεξεργασία (Processor) Όποιος επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του ΥΕ Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer) Συγκατάθεση: ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει (με δήλωση ή σαφή θετική ενέργεια) ΟΧΙ: σιωπή / προσυμπληρωμένα τετραγωνίδια / αδράνεια Κατάρτιση προφίλ: αξιολόγηση προσωπικών πτυχών απόδοση στην εργασία, οικονομική κατάσταση, υγεία, προσωπικές προτιμήσεις, ενδιαφέροντα, αξιοπιστία, συμπεριφορά, θέση ή τις μετακινήσεις 7
Οι αρχές (1-4), τα ΠΔ: 1.Πρέπει να αποκτηθούν με νόμιμο και θεμιτό τρόπο (για συγκεκριμένους σκοπούς) 2.Υποβάλλονται σε επεξεργασία και τηρούνται με νόμιμο και θεμιτό τρόπο μόνο για περιορισμένους, σαφώς προσδιορισμένους και νόμιμους σκοπούς 3.Πρέπει να είναι κατάλληλα, σχετικά και όχι περισσότερα απ ό,τι επιβάλλει ο σκοπός που δικαιολογεί την επεξεργασία τους. 4.Πρέπει να είναι ακριβή και να ενημερώνονται τακτικά 8
Οι αρχές (5-8) 5. Τα ΠΔ δεν επιτρέπεται να τηρούνται περισσότερο από τον αναγκαίο χρόνο 6. Δικαιώματα Υποκειμένου ΕΝΗΜΕΡΩΣΗ ΠΡΟΣΒΑΣΗ ΑΝΤΙΡΡΗΣΗ 7. Πρέπει να λαμβάνονται μέτρα ασφαλείας για να αποφεύγονται: (α) μη εξουσιοδοτημένες προσβάσεις, αλλαγές και διαρροές ΠΔ (β) τυχαία απώλεια, καταστροφή φθορά ΠΔ 8. Τα ΠΔ δεν επιτρέπεται να διαβιβάζονται σε χώρες εκτός ΕΕ που δεν παρέχουν επαρκές επίπεδο προστασίας των δικαιωμάτων 9
Το ισχύον σύστημα ΕΠΙΤΡΕΠΟΜΕΝΗ ΕΠΕΞΕΡΓΑΣΙΑ ΠΔ: Είτε συγκατάθεση [5 1], ή χωρίς συγκατάθεση [5 2 α-ε]: 1. Εκτέλεση σύμβασης με συμβαλλόμενο το Υποκείμενο 2. Υποχρέωση του ΥΕ από το νόμο 3. Διαφύλαξη ζωτικού συμφέροντος 4. Έργο δημόσιου συμφέροντος / δημόσια εξουσία 5. Έννομο συμφέρον του ΥΕ (αν υπερέχει των δικαιωμάτων που διακυβεύονται) [ειδική πρόβλεψη για παιδιά] ΓΝΩΣΤΟΠΟΙΗΣΕΙΣ ΑΡΧΕΙΩΝ ΣΤΗΝ ΑΡΧΗ (απαλλαγή για πολλές κατηγορίες) Κυρώσεις: Διοικητικές ( 150.000), Ποινικές, Αστικές (αποζημίωση) 10
«Ευαίσθητα» δεδομένα [7] Φυλετική ή εθνική προέλευση, πολιτικά φρονήματα, θρησκευτικές ή πολιτικές πεποιθήσεις, συμμετοχή σε ένωση, σωματείο και συνδικαλιστική οργάνωση, υγεία, κοινωνική πρόνοια, ερωτική ζωή, ποινικές διώξεις ή καταδίκες [γενετικά / βιομετρικά / σεξουαλική ζωή, γενετήσιο προσανατολισμό] Κατ εξαίρεση επιτρέπεται μετά από προηγούμενη άδεια και: 1. Γραπτή συγκατάθεση (σε αδυναμία απαιτείται ζωτικό συμφέρον) 2. Δημοσιοποίηση από τον ίδιο ή ενώπιον δικαστηρίου ή πειθαρχικού οργάνου (7 παρ. 2-γ) [ή από τα ίδια τα δικαστήρια] 3. Θέματα υγείας από επαγγελματία / εχεμύθεια / δεοντολογία (7 παρ. 2-δ) (ΑΠΔΠΧ 74/2010 δικαστική χρήση / ιατρική ευθύνη) 4. Για ερευνητικούς / επιστημονικούς σκοπούς (ανώνυμα!) (7 παρ. 2-στ) 11
Εξαιρέσεις για τα «ευαίσθητα» 5. Επεξεργασία από δημόσια αρχή, αναγκαία για λόγους (7 2-ε): α) εθνικής ασφάλειας, β) εγκληματολογικής ή σωφρονιστικής πολιτικής, γ) προστασίας της δημόσιας υγείας, δ) φορολογικούς ελέγχους. 6. Δεδομένα δημοσίων προσώπων αποκλειστικά για την άσκηση του δημοσιογραφικού επαγγέλματος (7 2ζ) [ΓΚΠΔ:7. Για δικαιώματα εργατικού δικαίου / κοινωνικής ασφάλισης 8. Από ίδρυμα, οργάνωση κλπ. με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο (μόνο για τα μέλη με συγκατάθεση) 9. (Υγεία) εκτίμηση της ικανότητας προς εργασία του εργαζομένου, 10. Για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς ] 12
Διασυνοριακή ροή πληροφοριών [9] «ικανοποιητικό επίπεδο προστασίας» (Οδ. άρ. 25, 9 Ν. 2472/97) Εξαιρέσεις (9 2 α-ε): 1. Συγκατάθεση 2. Εκτέλεση σύμβασης: α) μεταξύ Υποκειμένου - Υπεύθυνου β) εκτέλεση ή σύναψη μεταξύ Υπευθύνου -Τρίτου 3. Δημόσιο συμφέρον / δικαίωμα ενώπιον δικαστηρίου 4. Ζωτικό συμφέρον 5. Δημόσιο μητρώο / πληροφορίες προσιτές στο κοινό ΓΚΠΔ: Κατάλληλες εγγυήσεις Δεσμευτικοί εταιρικοί κανόνες (Binding Corporate Rules - BCRs) Τυποποιημένες ρήτρες (Standard Contractual Clauses SCCs) 13
3 Οδηγίες για τις ηλεκτρονικές επικοινωνίες E-privacy: απαγορεύεται το ανεπιθύμητο ηλεκτρονικό ταχυδρομείο (spam) (2002/58 επεξεργασία των ΔΠΧ και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, ΠΔ 47/05 & Ν.3471/06) Data Retention Διατήρηση δεδομένων (Οδ. 2006/24, Ν. 3917/11) (C-293/2012 Digital Rights Ireland & C-594/2012) Cookies Directive (Οδ. 2009/136, τροπ. 2002/58) Παραβίαση προσωπικών δεδομένων Υποχρέωση ενημέρωσης Ασφάλεια του Δικτύου (άρ. 12 Ν. 3471/06) Αντικειμενική ευθύνη (άρ. 14 Ν. 3471/06) 14
Ζητήματα από τη νομολογία Η νομοθεσία ΠΔ εφαρμόζεται και στο Internet (C-101/2001, Bodil Lindqvist) και στον παραδοσιακό Τύπο (C-73/07, Satamedia) Προστασία Δεδομένων ή Πνευματική ιδιοκτησία; (C-275/2006, Promusicae) Το δικαίωμα στη λήθη (oblivion) (C-131/12, Google - Costeja González) Αρμοδιότητα διαφορετικών Αρχών (C-230/14 Weltimmo) WG 29 Γνωμοδοτήσεις: ορισμός ΠΔ (4/2007), μηχανισμοί έρευνας (1/2008), κοινωνικά δίκτυα (5/2009) 23 έτη της Οδηγίας: Ισορροπία μεταξύ πληροφοριακού αυτοπροσδιορισμού και ελεύθερης ροής Πρακτικές για την προστασία και την ασφάλεια των δεδομένων Ξεπεράστηκε από τις τεχνολογικές εξελίξεις 15
Το νέο «πακέτο» KΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 «GDPR» (27.4.2016) για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) [25 Μαΐου 2018] ΟΔΗΓΙΑ 2016/680/ΕΕ / «Police Directive» (27.4.2016) για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών [6 Μαΐου 2018] ΟΔΗΓΙΑ 2016/681/ΕΕ «Passenger Name Record - PNR» (27.4.2016) σχετικά με τη χρήση των δεδομένων που περιέχονται στις καταστάσεις ονομάτων επιβατών (PNR) για την πρόληψη, ανίχνευση, διερεύνηση και δίωξη τρομοκρατικών και σοβαρών εγκλημάτων [25 Μαΐου 2018] 16
Το νέο πλαίσιο Επιδιώκει: Εναρμονισμένο νομικό πλαίσιο / μηχανισμό υπηρεσίας μιας στάσης Ισότιμους όρους ανταγωνισμού εντός της αγοράς της ΕΕ με ενιαία, συνεπέστερη και αυστηρότερη επιβολή των κανόνων Εισάγει: Την αρχή της λογοδοσίας (accountability) για ΥΕ & ΕκτΕ Ειδικές διαδικασίες για την παροχή της συγκατάθεσης («σαφής θετική ενέργεια» του Υποκειμένου στο Internet, τα κοινωνικά δίκτυα, το Web 2.0. Μεγαλύτερο έλεγχο των ΠΔ: διαφάνεια, ενημέρωση, δικαίωμα «στη λήθη», φορητότητα, προστασία ανηλίκων. Προστασία κατά τον σχεδιασμό και εξ ορισμού Νέο εργαλείο: η εκτίμηση αντικτύπου (DPIA) 17
Νέος ΓΚΠΔ Αντικαθιστά την Οδηγία 95/46/ΕΚ, άμεση ισχύς στη κράτη μέλη, καταργεί την αντίθετη εθνική νομοθεσία, 99 άρθρα, 173 αιτ. σκ., 88 σελ. ΕΦΑΡΜΟΖΕΤΑΙ ΣΕ: α) αυτοματοποιημένη επεξεργασία ΠΔ ΦΥΣΙΚΩΝ προσώπων β) μη αυτοματοποιημένη επεξεργασία αν περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης ΔΕΝ ΕΦΑΡΜΟΖΕΤΑΙ στα δεδομένα ΝΟΜΙΚΩΝ προσώπων από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας από αρμόδιες Αρχές για σκοπούς πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή εκτέλεσης ποινικών κυρώσεων (2016/680) 18
Εφαρμογή και εκτός ΕΕ 1. Επεξεργασία ΠΔ από ΥΕ ή ΕκτΕ εγκατεστημένο στην ΕΕ (ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός ΕΕ) 2. Επεξεργασία ΠΔ Υποκειμένων που βρίσκονται στην ΕΕ από ΥΕ ή ΕκτΕ μη εγκατεστημένο στην ΕΕ, εάν οι επεξεργασία σχετίζεται με: α) την προσφορά αγαθών ή υπηρεσιών στα Υποκείμενα στην ΕΕ, (ανεξαρτήτως εάν απαιτείται πληρωμή), ή β) την παρακολούθηση συμπεριφοράς, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός ΕΕ απλή προσβασιμότητα στην ιστοσελίδα του ΥΕ ή ΕκτΕ στην ΕΕ ή στη διεύθυνση e-mail, δεν αρκεί 3. Επεξεργασία ΠΔ από ΥΕ μη εγκατεστημένο στην Ένωση, αλλά σε τόπο όπου εφαρμόζεται το δίκαιο κράτους μέλους (δυνάμει δημόσιου διεθνούς δικαίου) 19
Νέα δικαιώματα Δικαίωμα στην λήθη (17): μπορεί να ζητήσει διαγραφή των δεδομένων όταν δεν είναι απαραίτητα (σκοπός) Εξαιρέσεις: ελευθερία έκφρασης / ενημέρωση / δημόσια υγεία / ιστορικοί στατιστικοί σκοποί Διαγραφή ποινικής καταδίκης από Google (ΑΠΔΠΧ 83/2016) Δικαίωμα στη φορητότητα: να λαμβάνει και να διαβιβάζει τα δεδομένα σε ηλεκτρονική μορφή (20) Έναντίωση για την δημιουργία προφίλ (21) Εναντίωση σε αυτοματοποιημένη απόφαση (22) ΤΟΥΛΑΧΙΣΤΟΝ εξασφάλιση ανθρώπινης παρέμβασης ΟΧΙ διακρίσεις βάσει «ειδικών» δεδομένων 20
Ι. Ευθύνη του ΥΕ ΥE (Controller): εφαρμόζει Kατάλληλα Tεχνικά και Oργανωτικά Μέτρα (ΚΤΟΜ) [& πολιτικές] για να διασφαλίζει και να μπορεί να αποδεικνύει ότι: Η επεξεργασία διενεργείται σύμφωνα με τον Κανονισμό [24 1] ΛΟΓΟΔΟΣΙΑ -ACCOUNTABILITY Υπεύθυνος για ζημία από παράνομη επεξεργασία [82 2] «εις ολόκληρον» μεταξύ περισσοτέρων [82 4,5] Εκτελών (Processor): «εφ όσον δεν ανταποκρίθηκε στις υποχρεώσεις ή υπερέβη ή ενήργησε αντίθετα» [28, 82 2] [& σε τρίτες χώρες] Δέσμευση με σύμβαση [28 3] 21
ΙΙ. ΜΕΤΑΒΟΛΕΣ ΣΤΙΣ ΔΙΑΔΙΚΑΣΙΕΣ 1. Διαφάνεια & πληροφόρηση, σε απλή και κατανοητή γλώσσα: κατά τη λήψη: για την επεξεργασία των ΠΔ, την διάρκεια της αποθήκευσης των δεδομένων, τα στοιχεία επικοινωνίας του ΥΕ ή του ΥΠΔ, σκοπούς, αποδέκτες, τυχόν διαβιβάσεις, δικαιώματα Υποκειμένου Κατόπιν αιτήματος του Υποκειμένου εντός μηνός [12 3] Να μπορεί ο ΥΕ αν αποδείξει τη (ρητή) συγκατάθεση 2. Φορητότητα σε ηλεκτρονική μορφή [20] 3. ΓΝΩΣΤΟΠΟΙΗΣΗ ΠΑΡΑΒΙΑΣΕΩΝ εντός 72 ωρών! στην Αρχή [33 1] & στο Υποκείμενο [34 1] 4. Τήρηση αρχείων (>250 εργαζόμενους ή κίνδυνος ή ειδικές κατηγορίες) [30 5] 22
ΙΙΙ. ΜΕΤΑΒΟΛΕΣ ΣΤΑ ΣΥΣΤΗΜΑΤΑ να σχεδιάσει [by design] δομή, τεχνολογία & διαδικασίες, κατά τον GDPR [ανάλογα με «κινδύνους»] & κατά τον καθορισμό των μέσων & κατά την επεξεργασία [25 1] KTOM: διασφαλίζουν με εξ ορισμού [by default] ιδιότητες του συστήματος ότι υφίστανται επεξεργασία ΜΟΝΟN ΤΑ ΑΠΑΡΑΙΤΗΤΑ ΔΕΔΟΜΕΝΑ ΓΙΑ ΤΟΝ ΣΚΟΠΟ ΕΠΕΞΕΡΓΑΣΙΑΣ [25 2] Τεχνικές: ψευδωνυμοποίηση / ελαχιστοποίηση / ενσωμάτωση εγγυήσεων χαρτογράφηση (data mapping / data inventory) ΟΑΣΑ ηλ. εισιτήριο (ΑΠΔΠΧ Γνωμ 4/2017 5) 23
IV. ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ «Υψηλός κίνδυνος» [35 1] & ιδίως αν: α) Αξιολόγηση προσωπικών πτυχών β) Μεγάλης κλίμακας επεξεργασία (= γεωγραφικό εύρος & όγκος) γ) Παρακολούθηση δημοσίου χώρου ΠΕΡΙΕΧΕΙ: 1. Περιγραφή επεξεργασίας & εννόμου συμφέροντος ΥΕ 2. Εκτίμηση αναγκαιότητας & αναλογικότητας 3. Εκτίμηση κινδύνου για δικαιώματα και ελευθερίες 4. Τα μέτρα αντιμετώπισης των κινδύνων (στάθμιση) κόστος εκπόνησης & γνωστοποίησης / διαβούλευσης [;] 24
Προτεινόμενα εργαλεία 1. «Κατάλληλες πολιτικές» ΚΤΟΜ περιλαμβάνουν «εσωτερική πολιτική» [αιτ. σκ. 78, 24 2] Ιδίως την πολιτική ενημέρωσης 2. Κώδικες Δεοντολογίας (από ενώσεις και φορείς) Υποβολή και έγκριση από την Αρχή [40 5] Γενική ισχύς με εκτελεστική πράξη [40 9] 3. Μηχανισμοί πιστοποίησης Εθελοντική διαδικασία [43 3] ΔΕΝ ΠΕΡΙΟΡΙΖΟΥΝ ΤΗΝ ΕΥΘΥΝΗ 25
Πλεονεκτήματα Κώδικα Δεοντολογίας 1. Αποδεικνύεται η συμμόρφωση ΥΕ γενικώς με τον Κανονισμό [24 3] σε συνδυασμό με πιστοποίηση [42 1] & με την προστασία by design & by default [25 1] 2. Απόδειξη ότι καλύπτονται οι απαιτήσεις για ΚΤΟΜ ασφαλείας [32 3] 3. Απόδειξη για κατάλληλες εγγυήσεις για διαβίβαση σε τρίτες χώρες (+δεσμευτικές & εκτελεστικές υποχρεώσεις) [46 2ε] 4. Απόδειξη για τις διαβεβαιώσεις του Εκτελούντος [28 5] 5. Λαμβάνεται υπ όψιν για την Εκτίμηση Αντικτύπου [35 8] 6. Για τον καταλογισμό προστίμου [83 29(ι)] Παρακολούθηση συμμόρφωσης: διαπιστευμένοι φορείς [41 1] Διαπίστευση από την Αρχή ή οργανισμό διαπίστευσης [43 2] 26
4. Υπεύθυνος Προστασίας Δεδομένων (DPO) Δημόσιος Τομέας: Υποχρεωτικώς [37 1α] & (1) ΥΠΔ για πολλές υπηρεσίες Ιδιωτικός Τομέας: τακτική & συστηματική παρακολούθηση σε μεγάλη κλίμακα δεδομένα παρακολούθησης, γεωεντοπισμού, τηλεπικοινωνιακές υπηρεσίες [37 1β] μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών [37 1γ] Ξεχωριστό πρόστιμο 10 εκ. ή 2% ετήσιου παγκόσμιου τζίρου Προαιρετικώς: ελαστικότερη εποπτεία / πρόστιμο «βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων» [37 5] Ανεξάρτητος από τον ΥΕ! 27
Το (προ)σχέδιο Νόμου (5.3.2018) 7 1 ΠΔ υγείας: συγκατάθεση ρητή και έγγραφη. 7 2 Απαγορεύση: επεξεργασίας γενετικών ΠΔ & γενετικών προδιαγνωστικών εξετάσεων για σκοπούς ασφάλισης υγείας και ζωής. Απαγόρευση: προδιαγνωστικές γενετικές εξετάσεις που αφορούν μέλη της οικογενείας του Υποκειμένου. 17 4 Συγκατάθεση των εργαζομένων: έγγραφη και να διακρίνεται από τη σύμβαση απασχόλησης. 28
Ὁ μή ἀδικῶν οὐδενός δεῖται νόμου Εξορθολογισμός / βελτιστοποίηση διαδικασιών Έκδοση συστάσεων / γνωμοδοτήσεων από τις Αρχές Εσωτερική διάθεση συμμόρφωσης Νοοτροπία (& ήθος) προστασίας Yπευθυνότητα Εμπιστοσύνη στην εταιρία / οργανισμό 29
30