Το νέο τοπίο ενόψει του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR)

Σχετικά έγγραφα
ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 GDPR

Δεδομένα Ειδικών κατηγοριών. Πεδίο Εφαρμογής. Επεξεργασία. Δεδομένα Προσωπικού Χαρακτήρα. Εισαγωγικές έννοιες και ορισμοί..

General Data Protection Regulation (GDPR)

ΚΕΦΑΛΑΙΟ I. Γενικές διατάξεις. Άρθρο 1. Αντικείμενο και στόχοι

ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (ΓΚΠΔ) GENERAL DATA PROTECTION REGULATION 2016/679

ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ-ΝΟΜΙΜΟΤΗΤΑΣ ΕΠΕΞΕΡΓΑΣΙΑΣ

ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ 2016/679 ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΦΑΝΗ ΛΙΑΚΑΤΗ

Προσωπικά Δεδομένα. 2. Χρήσιμοι ορισμοί και επεξηγήσεις

Προσωπικά Δεδομένα. στο νέο ρυθμιστικό πλαίσιο. Σπύρος Τάσσης.

Γενικός Κανονισμός Προστασίας Δεδομένων 1 χρόνος από την εφαρμογή του

ΔΗΜΟΣΙΑ ΔΙΑΒΟΥΛΕΥΣΗ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΤΡΟΠΟΠΟΙΗΣΗ ΤΟΥ ΚΑΝΟΝΙΣΜΟΥ ΔΙΑΧΕΙΡΙΣΗΣ ΚΑΙ ΕΚΧΩΡΗΣΗΣ ΟΝΟΜΑΤΩΝ ΧΩΡΟΥ (DOMAIN NAMES) ΜΕ ΚΑΤΑΛΗΞΗ.GR ή.

GDPR τι; Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων. Γιώργος Χατζηγιαννάκης, LLM

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Γενικός Κανονισμός Προστασίας Δεδομένων Υποχρεώσεις των επιχειρήσεων και κυρώσεις

Αντικείμενο της Πολιτικής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

ΑΠΟΦΑΣΗ. Τροποποίηση του Κανονισμού Διαχείρισης και Εκχώρησης Ονομάτων Χώρου (Domain Names) με κατάληξη.gr ή.ελ» (ΦΕΚ 973/Α/2018).

Πολιτική Προστασίας Ιδιωτικότητας και Προσωπικών Δεδομένων στον Δήμο Καλαμαριάς. 2 Πολιτική Προστασίας Ιδιωτικότητας και Προσωπικών Δεδομένων

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Ολοκληρωμένες Υπηρεσίες Συμμόρφωσης στις Απαιτήσεις του Γενικού Κανονισμού για τα Προσωπικά Δεδομένα (GDPR)

Γιούλη Τραγουλιά Δικηγόρος ΝΙΚΟΛΑΣ ΚΑΝΕΛΛΟΠΟΥΛΟΣ ΧΑΡΑ ΖΕΡΒΑ & ΣΥΝΕΡΓΑΤΕΣ ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

«ΕΝ ΤΑΧΕΙ» ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ

Εγχειρίδιο Εφαρμογής του Γενικού Κανονισμού για την Προστασία των Προσωπικών Δεδομένων (ΓΚΠΠΔ-GPDR)

ΔΗΜΟΣΙΑ ΠΟΛΙΤΙΚΗ. για την προστασία Φυσικών Προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων τους

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

GDPR (General Data Protection Regulation) Παναγιώτης Οικονόμου

Πολιτική Ιδιωτικότητας και Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Μαργαρίτα Γκαϊτατζή, Δικηγόρος Παρ Εφέταις ΔΣ Θεσσαλονίκης Σύμβουλος σε θέματα εναρμόνισης με τον GDPR και πιστοποιημένη Υπεύθυνη Προστασίας

Το Ηλεκτρονικό Εμπόριο στο νέο πλαίσιο προστασίας προσωπικών δεδομένων

Ενημέρωση για τον Γενικό Κανονισμό Προστασίας Δεδομένων 2016/679 ΓΚΠΔ (GDPR)

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

GDPR TÜV AUSTRIA GROUP

Πολιτιστική διαχείριση και

Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

έργα GDPR Alpha Υποστηρικτικών Εργασιών

Εισαγωγή. Υπεύθυνος Επεξεργασίας. Περιεχόμενα

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

DPO ΓΕΝΙΚΑ. Μια από τις αρχές του GDPR είναι Α. Η λογοδοσία Β. Η ακεραιότητα των δεδομένων Γ. Όλα τα παραπάνω

GDPR σε Φορείς και Επιχειρήσεις

Προετοιμασία για μια νέα σχέση με την Αρχή Προστασίας Δεδομένων. Κωνσταντίνος Λιμνιώτης. Γεώργιος Ρουσόπουλος

Ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων (DPO) στον τομέα της υγείας

G D P R. General Data Protection Regulation. Άννα Μαστοράκου

Συχνές Ερωτήσεις [FAQs]

Προκλήσεις από τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων. Dr. Θεμιστοκλής Κ. Γιαννακόπουλος

Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΙΩΑΝΝΗΣ Δ. ΙΓΓΛΕΖΑΚΗΣ ΑΝ. ΚΑΘΗΓΗΤΗΣ ΝΟΜΙΚΗΣ ΣΧΟΛΗΣ ΑΠΘ

GDPR για επιχειρήσεις με λόγια απλά

ΓΚΠΔ GDPR H σημασία του Data Protection Impact Assessment «Πρακτικά και εφαρμοστικά ζητήματα του Κανονισμού GDPR: Η επόμενη μέρα» ΣΕΒ 7/2/2018

ΝΕΟΣ ΕΥΡΩΠΑΪΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (ΚΑΝΟΝΙΣΜΟΣ 679/2016)

Προστασία Δεδομένων (Data Protection)

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ. GDPR σε Φορείς και Επιχειρήσεις. 9 Μαίου 2018 Χαρίτων Μαρινάκης Δικηγόρος Ρεθύμνης

Η Προστασία των προσωπικών δεδομένων στην επιστημονική έρευνα

(EE) 679/ "Υπεύθυνος Προστασίας Δεδομένων: Απαιτήσεις, Ρόλος & Εφαρμογή"

του Θεμιστοκλή Ι. Μαυρόπουλου

GDPR Kανονισμός για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα ΕΕ/679/2016

Η Πολιτική και η βασιζομένη σ αυτήν επεξεργασία,στην οποία η Εταιρεία προβαίνει, στηρίζεται στις κατωτέρω αρχές:

Ενημέρωση για τον Γενικό Κανονισμό για την Προστασία των Δεδομένων της ΕΕ (679/2016)

Οι XΡΥΣΟΙ ΚΑΝΟΝΕΣ για τις ΕΤΑΙΡΕΙΕΣ ΣΥΜΜΟΡΦΩΣΗΣ ΑΣΘΕΝΩΝ υπό την σκέπη του GDPR

1. Γενικές Πληροφορίες

2. Τι είναι τα ευαίσθητα προσωπικά δεδομένα;

Εθνικό και Ευρωπαϊκό Νομικό Πλαίσιο για την Προστασία Δεδομένων

Το νομικό πλαίσιο του ΓΚΠΔ ΚΑΝΟΝΙΣΜΟΥ (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27 ης Απριλίου Δέσπω Ανδρέου Δικηγόρος

ΠΡΟΣΤΑΣΙΑ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΕΕ 2016/679. Ευαγγελία Παλαιολόγου ικηγόρος

ΟΔΗΓΙΑ: Όροι Συμμόρφωσης των Αεροπορικών Εταιρειών με το κανονιστικό πλαίσιο για την επεξεργασία δεδομένων προσωπικού χαρακτήρα

Προστασία προσωπικών δεδομένων των ασθενών με καρκίνο

ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Ο νέος κανονισμός προστασίας δεδομένων. Σταμπουλής Γεώργιος. Χημικός Μηχανικός, Οργανοτεχνική Α.Ε.

ΓΕΝΙΚΟΣ ΚΑΝΟΝΑΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (GDPR)

Πολιτική Προστασίας Προσωπικών Δεδομένων

Η ενίσχυση των δικαιωμάτων στην πράξη & τα εργαλεία συμμόρφωσης για τη μετάβαση από το ν.2472/1997 στον ΓΚΠΔ

1. Ποια δεδομένα προσωπικού χαρακτήρα συλλέγουμε και επεξεργαζόμαστε

Κατευθυντήρια Οδηγία προς την Αεροδρομιακή Κοινότητα

Ανάλυση κινδύνου και Εκτίμηση Αντικτύπου

ΕΝΗΜΕΡΩΣΗ ΓΙΑ ΤΟ ΝΕΟ ΓΕΝΙΚΟ ΚΑΝΟΝΙΣΜΟ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (GDPR) ΥΠΟΧΡΕΩΣΕΙΣ ΟΔΟΝΤΙΑΤΡΩΝ

Δίκαιο Μ.Μ.Ε. Μάθημα 13: H προστασία των προσωπικών δεδομένων και ιδίως στο διαδίκτυο. Επικ. Καθηγητής Παναγιώτης Μαντζούφας Τμήμα Νομικής Α.Π.Θ.

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

ΤΑ ΠΡΟΣΩΠΙΚΑ ΣΟΥ ΔΕΔΟΜΕΝΑ ΕΙΝΑΙ ΠΟΛΥΤΙΜΑ!

Ενημέρωση για τον Γενικό Κανονισμό για την Προστασία των Δεδομένων της ΕΕ (679/2016) που αφορά τα φαρμακεία

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Πολιτική Προστασίας Ιδιωτικής Ζωής

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΔΕΔΟΜΕΝΑ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ (ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ 679/2016) Α.

Κυριε Πρόεδρε, Κυριοι και Κυρίες

«Νέας γενιάς» κατηγορίες δεδομένων και τι σημαίνει αυτό πρακτικά για το ρόλο του DPO στην Ιατρική Κοινότητα Τετάρτη 18 Απριλίου 2018

Ενημερωτική Ημερίδα: «Γενικός Κανονισμός Προστασίας Δεδομένων: Χρήσιμες επισημάνσεις οκτώ μήνες μετά»

Έννοια, ορισμοί, διαδικασίες

Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer)

Νέος Ευρωπαϊκός Κανονισμός για την προστασία δεδομένων προσωπικού χαρακτήρα - GDPR

Τεχνικά και οργανωτικά θέματα οι υποχρεώσεις των επιχειρήσεων και η τοποθέτηση Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer DPO)

Η πολιτική αφορά στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από την εταιρία.

RECRUITMENT CONFERENCE 2019

Η προστασία των προσωπικών δεδομένων των ανηλίκων στον Γενικό Κανονισμό Προστασίας Δεδομένων

Προσωπικά δεδομένα και ασθενείς. Ζιάμος Χρήστος. Ιατρός Νευρολόγος, Γενικό Νοσοκομείο Ξάνθης

Δεδομένων Προσωπικού Χαρακτήρα (General Data Protection Regulation - GDPR)

Άρθρο 2: Νομική φύση του Κώδικα Δεοντολογίας- Σχέση Κώδικα με εθνική και κοινοτική νομοθεσία

Οδηγός προστασίας προσωπικών δεδομένων. SaaS ΕΚΤ Οδηγός προστασίας προσωπικών δεδομένων

Ε.Ε. ΤΟ ΔΙΚΑΙΩΜΑ ΣΤΗ ΛΗΘΗ

Επίσημη Εφημερίδα L 127. της Ευρωπαϊκής Ένωσης. Νομοθεσία. 61ο έτος 23 Μαΐου Έκδοση στην ελληνική γλώσσα. Περιεχόμενα.

ΤΟ ΝΟΜΟΘΕΤΙΚΟ ΠΛΑΙΣΙΟ ΠΟΥ ΔΙΕΠΕΙΤ ΗΝΠΡΟΣΤ ΑΣΙΑΤΩΝ ΠΡΟΣΩ ΠΙΚΩΝΔΕΔΟΜΕΝΩΝΣΤ ΗΝ ΕΛΛΑΔΑ

Χρήση συστημάτων βιντεοεπιτήρησης για σκοπούς «ασφάλειας»

Πρακτικός Οδηγός Ενσωμάτωσης του Κανονισμού σε επιχειρήσεις και οργανισμούς

Transcript:

Νομική Σχολή Εργαστήριο Νομικής Πληροφορικής lli.law.uoa.gr Το νέο τοπίο ενόψει του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) Γιώργος Ν. Γιαννόπουλος Επίκουρος Καθηγητής στη Νομική Σχολή Διευθυντής του Εργαστηρίου Νομικής Πληροφορικής

Προστασία δεδομένων: Περιεχόμενο Προστασία από αθέμιτη ή παράνομη χρήση Απειλή του ιδιωτικού βίου ή ελεύθερη ροή των πληροφοριών ; Έκταση: Νομικά πρόσωπα; δημόσιος ή ιδιωτικός τομέας; μη αυτοματοποιημένα αρχεία; «Η προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων» (ορισμός από τη Σύμβαση του Συμβουλίου της Ευρώπης, 1981) 2

Παρόμοιες έννοιες ΠΔ ασφάλεια δεδομένων ΠΔ < δικαίωμα «ιδιωτικού βίου» Γερμανία: «πληροφορικός αυτοκαθορισμός» ΠΔ ελευθερία στην πληροφόρηση Σκανδιναβία: νομοθεσία Freedom of Information Πρόσβαση σε δημόσια αρχεία, Xρήση πληροφοριών δημοσίου τομέα N 4305/2014 Ν. 3448/2006 - Οδηγία 2013/37 ΠΔ 28/2015 ΠΔ Κοινωνία των πληροφοριών (Σ5Α) 3

Ιστορική εξέλιξη 1980 Κατευθυντήριες γραμμές ΟΟΣΑ (OECD) για την διασυνοριακή ροή των προσωπικών δεδομένων και προστασία της ιδιωτικής ζωής 1981 Συμβούλιο της Ευρώπης / Σύμβαση ETS 108/1981 Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data [8 ΘΕΜΕΛΙΩΔΕΙΣ ΑΡΧΕΣ] 1995 Oδηγία 95/46/ΕΚ (24.10.95) για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών την 4

Οι εξελίξεις στην Ελλάδα Ν. 2472/97 (10.4.97) «Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα» Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα 2001 ΣΥΝΤΑΓΜΑΤΙΚΗ ΚΑΤΟΧΥΡΩΣΗ Σ9 & 9A: «Καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει. Η προστασία των προσωπικών δεδομένων διασφαλίζεται από ανεξάρτητη αρχή, που συγκροτείται και λειτουργεί, όπως νόμος ορίζει». 5

Τι είναι Προσωπικά Δεδομένα Υποκείμενο: ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο: Άμεσα ή έμμεσα με αναγνωριστικό στοιχείο ταυτότητας όνομα, αριθμός ταυτότητας, δεδομένα θέσης, online ID Ή με έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα Δεδομένα Προσωπικού Χαρακτήρα: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο Αρχείο ΠΔ: διαρθρωμένο σύνολο ΠΔ προσβάσιμο με κριτήρια Επεξεργασία ΠΔ: κάθε πράξη ή σειρά πράξεων με ή χωρίς τη χρήση αυτοματοποιημένων μέσων 6

Ορολογία Υπεύθυνος Επεξεργασίας (Controller) Όποιος καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας Εκτελών την επεξεργασία (Processor) Όποιος επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του ΥΕ Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer) Συγκατάθεση: ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει (με δήλωση ή σαφή θετική ενέργεια) ΟΧΙ: σιωπή / προσυμπληρωμένα τετραγωνίδια / αδράνεια Κατάρτιση προφίλ: αξιολόγηση προσωπικών πτυχών απόδοση στην εργασία, οικονομική κατάσταση, υγεία, προσωπικές προτιμήσεις, ενδιαφέροντα, αξιοπιστία, συμπεριφορά, θέση ή τις μετακινήσεις 7

Οι αρχές (1-4), τα ΠΔ: 1.Πρέπει να αποκτηθούν με νόμιμο και θεμιτό τρόπο (για συγκεκριμένους σκοπούς) 2.Υποβάλλονται σε επεξεργασία και τηρούνται με νόμιμο και θεμιτό τρόπο μόνο για περιορισμένους, σαφώς προσδιορισμένους και νόμιμους σκοπούς 3.Πρέπει να είναι κατάλληλα, σχετικά και όχι περισσότερα απ ό,τι επιβάλλει ο σκοπός που δικαιολογεί την επεξεργασία τους. 4.Πρέπει να είναι ακριβή και να ενημερώνονται τακτικά 8

Οι αρχές (5-8) 5. Τα ΠΔ δεν επιτρέπεται να τηρούνται περισσότερο από τον αναγκαίο χρόνο 6. Δικαιώματα Υποκειμένου ΕΝΗΜΕΡΩΣΗ ΠΡΟΣΒΑΣΗ ΑΝΤΙΡΡΗΣΗ 7. Πρέπει να λαμβάνονται μέτρα ασφαλείας για να αποφεύγονται: (α) μη εξουσιοδοτημένες προσβάσεις, αλλαγές και διαρροές ΠΔ (β) τυχαία απώλεια, καταστροφή φθορά ΠΔ 8. Τα ΠΔ δεν επιτρέπεται να διαβιβάζονται σε χώρες εκτός ΕΕ που δεν παρέχουν επαρκές επίπεδο προστασίας των δικαιωμάτων 9

Το ισχύον σύστημα ΕΠΙΤΡΕΠΟΜΕΝΗ ΕΠΕΞΕΡΓΑΣΙΑ ΠΔ: Είτε συγκατάθεση [5 1], ή χωρίς συγκατάθεση [5 2 α-ε]: 1. Εκτέλεση σύμβασης με συμβαλλόμενο το Υποκείμενο 2. Υποχρέωση του ΥΕ από το νόμο 3. Διαφύλαξη ζωτικού συμφέροντος 4. Έργο δημόσιου συμφέροντος / δημόσια εξουσία 5. Έννομο συμφέρον του ΥΕ (αν υπερέχει των δικαιωμάτων που διακυβεύονται) [ειδική πρόβλεψη για παιδιά] ΓΝΩΣΤΟΠΟΙΗΣΕΙΣ ΑΡΧΕΙΩΝ ΣΤΗΝ ΑΡΧΗ (απαλλαγή για πολλές κατηγορίες) Κυρώσεις: Διοικητικές ( 150.000), Ποινικές, Αστικές (αποζημίωση) 10

«Ευαίσθητα» δεδομένα [7] Φυλετική ή εθνική προέλευση, πολιτικά φρονήματα, θρησκευτικές ή πολιτικές πεποιθήσεις, συμμετοχή σε ένωση, σωματείο και συνδικαλιστική οργάνωση, υγεία, κοινωνική πρόνοια, ερωτική ζωή, ποινικές διώξεις ή καταδίκες [γενετικά / βιομετρικά / σεξουαλική ζωή, γενετήσιο προσανατολισμό] Κατ εξαίρεση επιτρέπεται μετά από προηγούμενη άδεια και: 1. Γραπτή συγκατάθεση (σε αδυναμία απαιτείται ζωτικό συμφέρον) 2. Δημοσιοποίηση από τον ίδιο ή ενώπιον δικαστηρίου ή πειθαρχικού οργάνου (7 παρ. 2-γ) [ή από τα ίδια τα δικαστήρια] 3. Θέματα υγείας από επαγγελματία / εχεμύθεια / δεοντολογία (7 παρ. 2-δ) (ΑΠΔΠΧ 74/2010 δικαστική χρήση / ιατρική ευθύνη) 4. Για ερευνητικούς / επιστημονικούς σκοπούς (ανώνυμα!) (7 παρ. 2-στ) 11

Εξαιρέσεις για τα «ευαίσθητα» 5. Επεξεργασία από δημόσια αρχή, αναγκαία για λόγους (7 2-ε): α) εθνικής ασφάλειας, β) εγκληματολογικής ή σωφρονιστικής πολιτικής, γ) προστασίας της δημόσιας υγείας, δ) φορολογικούς ελέγχους. 6. Δεδομένα δημοσίων προσώπων αποκλειστικά για την άσκηση του δημοσιογραφικού επαγγέλματος (7 2ζ) [ΓΚΠΔ:7. Για δικαιώματα εργατικού δικαίου / κοινωνικής ασφάλισης 8. Από ίδρυμα, οργάνωση κλπ. με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο (μόνο για τα μέλη με συγκατάθεση) 9. (Υγεία) εκτίμηση της ικανότητας προς εργασία του εργαζομένου, 10. Για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς ] 12

Διασυνοριακή ροή πληροφοριών [9] «ικανοποιητικό επίπεδο προστασίας» (Οδ. άρ. 25, 9 Ν. 2472/97) Εξαιρέσεις (9 2 α-ε): 1. Συγκατάθεση 2. Εκτέλεση σύμβασης: α) μεταξύ Υποκειμένου - Υπεύθυνου β) εκτέλεση ή σύναψη μεταξύ Υπευθύνου -Τρίτου 3. Δημόσιο συμφέρον / δικαίωμα ενώπιον δικαστηρίου 4. Ζωτικό συμφέρον 5. Δημόσιο μητρώο / πληροφορίες προσιτές στο κοινό ΓΚΠΔ: Κατάλληλες εγγυήσεις Δεσμευτικοί εταιρικοί κανόνες (Binding Corporate Rules - BCRs) Τυποποιημένες ρήτρες (Standard Contractual Clauses SCCs) 13

3 Οδηγίες για τις ηλεκτρονικές επικοινωνίες E-privacy: απαγορεύεται το ανεπιθύμητο ηλεκτρονικό ταχυδρομείο (spam) (2002/58 επεξεργασία των ΔΠΧ και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, ΠΔ 47/05 & Ν.3471/06) Data Retention Διατήρηση δεδομένων (Οδ. 2006/24, Ν. 3917/11) (C-293/2012 Digital Rights Ireland & C-594/2012) Cookies Directive (Οδ. 2009/136, τροπ. 2002/58) Παραβίαση προσωπικών δεδομένων Υποχρέωση ενημέρωσης Ασφάλεια του Δικτύου (άρ. 12 Ν. 3471/06) Αντικειμενική ευθύνη (άρ. 14 Ν. 3471/06) 14

Ζητήματα από τη νομολογία Η νομοθεσία ΠΔ εφαρμόζεται και στο Internet (C-101/2001, Bodil Lindqvist) και στον παραδοσιακό Τύπο (C-73/07, Satamedia) Προστασία Δεδομένων ή Πνευματική ιδιοκτησία; (C-275/2006, Promusicae) Το δικαίωμα στη λήθη (oblivion) (C-131/12, Google - Costeja González) Αρμοδιότητα διαφορετικών Αρχών (C-230/14 Weltimmo) WG 29 Γνωμοδοτήσεις: ορισμός ΠΔ (4/2007), μηχανισμοί έρευνας (1/2008), κοινωνικά δίκτυα (5/2009) 23 έτη της Οδηγίας: Ισορροπία μεταξύ πληροφοριακού αυτοπροσδιορισμού και ελεύθερης ροής Πρακτικές για την προστασία και την ασφάλεια των δεδομένων Ξεπεράστηκε από τις τεχνολογικές εξελίξεις 15

Το νέο «πακέτο» KΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 «GDPR» (27.4.2016) για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) [25 Μαΐου 2018] ΟΔΗΓΙΑ 2016/680/ΕΕ / «Police Directive» (27.4.2016) για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών [6 Μαΐου 2018] ΟΔΗΓΙΑ 2016/681/ΕΕ «Passenger Name Record - PNR» (27.4.2016) σχετικά με τη χρήση των δεδομένων που περιέχονται στις καταστάσεις ονομάτων επιβατών (PNR) για την πρόληψη, ανίχνευση, διερεύνηση και δίωξη τρομοκρατικών και σοβαρών εγκλημάτων [25 Μαΐου 2018] 16

Το νέο πλαίσιο Επιδιώκει: Εναρμονισμένο νομικό πλαίσιο / μηχανισμό υπηρεσίας μιας στάσης Ισότιμους όρους ανταγωνισμού εντός της αγοράς της ΕΕ με ενιαία, συνεπέστερη και αυστηρότερη επιβολή των κανόνων Εισάγει: Την αρχή της λογοδοσίας (accountability) για ΥΕ & ΕκτΕ Ειδικές διαδικασίες για την παροχή της συγκατάθεσης («σαφής θετική ενέργεια» του Υποκειμένου στο Internet, τα κοινωνικά δίκτυα, το Web 2.0. Μεγαλύτερο έλεγχο των ΠΔ: διαφάνεια, ενημέρωση, δικαίωμα «στη λήθη», φορητότητα, προστασία ανηλίκων. Προστασία κατά τον σχεδιασμό και εξ ορισμού Νέο εργαλείο: η εκτίμηση αντικτύπου (DPIA) 17

Νέος ΓΚΠΔ Αντικαθιστά την Οδηγία 95/46/ΕΚ, άμεση ισχύς στη κράτη μέλη, καταργεί την αντίθετη εθνική νομοθεσία, 99 άρθρα, 173 αιτ. σκ., 88 σελ. ΕΦΑΡΜΟΖΕΤΑΙ ΣΕ: α) αυτοματοποιημένη επεξεργασία ΠΔ ΦΥΣΙΚΩΝ προσώπων β) μη αυτοματοποιημένη επεξεργασία αν περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης ΔΕΝ ΕΦΑΡΜΟΖΕΤΑΙ στα δεδομένα ΝΟΜΙΚΩΝ προσώπων από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας από αρμόδιες Αρχές για σκοπούς πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή εκτέλεσης ποινικών κυρώσεων (2016/680) 18

Εφαρμογή και εκτός ΕΕ 1. Επεξεργασία ΠΔ από ΥΕ ή ΕκτΕ εγκατεστημένο στην ΕΕ (ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός ΕΕ) 2. Επεξεργασία ΠΔ Υποκειμένων που βρίσκονται στην ΕΕ από ΥΕ ή ΕκτΕ μη εγκατεστημένο στην ΕΕ, εάν οι επεξεργασία σχετίζεται με: α) την προσφορά αγαθών ή υπηρεσιών στα Υποκείμενα στην ΕΕ, (ανεξαρτήτως εάν απαιτείται πληρωμή), ή β) την παρακολούθηση συμπεριφοράς, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός ΕΕ απλή προσβασιμότητα στην ιστοσελίδα του ΥΕ ή ΕκτΕ στην ΕΕ ή στη διεύθυνση e-mail, δεν αρκεί 3. Επεξεργασία ΠΔ από ΥΕ μη εγκατεστημένο στην Ένωση, αλλά σε τόπο όπου εφαρμόζεται το δίκαιο κράτους μέλους (δυνάμει δημόσιου διεθνούς δικαίου) 19

Νέα δικαιώματα Δικαίωμα στην λήθη (17): μπορεί να ζητήσει διαγραφή των δεδομένων όταν δεν είναι απαραίτητα (σκοπός) Εξαιρέσεις: ελευθερία έκφρασης / ενημέρωση / δημόσια υγεία / ιστορικοί στατιστικοί σκοποί Διαγραφή ποινικής καταδίκης από Google (ΑΠΔΠΧ 83/2016) Δικαίωμα στη φορητότητα: να λαμβάνει και να διαβιβάζει τα δεδομένα σε ηλεκτρονική μορφή (20) Έναντίωση για την δημιουργία προφίλ (21) Εναντίωση σε αυτοματοποιημένη απόφαση (22) ΤΟΥΛΑΧΙΣΤΟΝ εξασφάλιση ανθρώπινης παρέμβασης ΟΧΙ διακρίσεις βάσει «ειδικών» δεδομένων 20

Ι. Ευθύνη του ΥΕ ΥE (Controller): εφαρμόζει Kατάλληλα Tεχνικά και Oργανωτικά Μέτρα (ΚΤΟΜ) [& πολιτικές] για να διασφαλίζει και να μπορεί να αποδεικνύει ότι: Η επεξεργασία διενεργείται σύμφωνα με τον Κανονισμό [24 1] ΛΟΓΟΔΟΣΙΑ -ACCOUNTABILITY Υπεύθυνος για ζημία από παράνομη επεξεργασία [82 2] «εις ολόκληρον» μεταξύ περισσοτέρων [82 4,5] Εκτελών (Processor): «εφ όσον δεν ανταποκρίθηκε στις υποχρεώσεις ή υπερέβη ή ενήργησε αντίθετα» [28, 82 2] [& σε τρίτες χώρες] Δέσμευση με σύμβαση [28 3] 21

ΙΙ. ΜΕΤΑΒΟΛΕΣ ΣΤΙΣ ΔΙΑΔΙΚΑΣΙΕΣ 1. Διαφάνεια & πληροφόρηση, σε απλή και κατανοητή γλώσσα: κατά τη λήψη: για την επεξεργασία των ΠΔ, την διάρκεια της αποθήκευσης των δεδομένων, τα στοιχεία επικοινωνίας του ΥΕ ή του ΥΠΔ, σκοπούς, αποδέκτες, τυχόν διαβιβάσεις, δικαιώματα Υποκειμένου Κατόπιν αιτήματος του Υποκειμένου εντός μηνός [12 3] Να μπορεί ο ΥΕ αν αποδείξει τη (ρητή) συγκατάθεση 2. Φορητότητα σε ηλεκτρονική μορφή [20] 3. ΓΝΩΣΤΟΠΟΙΗΣΗ ΠΑΡΑΒΙΑΣΕΩΝ εντός 72 ωρών! στην Αρχή [33 1] & στο Υποκείμενο [34 1] 4. Τήρηση αρχείων (>250 εργαζόμενους ή κίνδυνος ή ειδικές κατηγορίες) [30 5] 22

ΙΙΙ. ΜΕΤΑΒΟΛΕΣ ΣΤΑ ΣΥΣΤΗΜΑΤΑ να σχεδιάσει [by design] δομή, τεχνολογία & διαδικασίες, κατά τον GDPR [ανάλογα με «κινδύνους»] & κατά τον καθορισμό των μέσων & κατά την επεξεργασία [25 1] KTOM: διασφαλίζουν με εξ ορισμού [by default] ιδιότητες του συστήματος ότι υφίστανται επεξεργασία ΜΟΝΟN ΤΑ ΑΠΑΡΑΙΤΗΤΑ ΔΕΔΟΜΕΝΑ ΓΙΑ ΤΟΝ ΣΚΟΠΟ ΕΠΕΞΕΡΓΑΣΙΑΣ [25 2] Τεχνικές: ψευδωνυμοποίηση / ελαχιστοποίηση / ενσωμάτωση εγγυήσεων χαρτογράφηση (data mapping / data inventory) ΟΑΣΑ ηλ. εισιτήριο (ΑΠΔΠΧ Γνωμ 4/2017 5) 23

IV. ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ «Υψηλός κίνδυνος» [35 1] & ιδίως αν: α) Αξιολόγηση προσωπικών πτυχών β) Μεγάλης κλίμακας επεξεργασία (= γεωγραφικό εύρος & όγκος) γ) Παρακολούθηση δημοσίου χώρου ΠΕΡΙΕΧΕΙ: 1. Περιγραφή επεξεργασίας & εννόμου συμφέροντος ΥΕ 2. Εκτίμηση αναγκαιότητας & αναλογικότητας 3. Εκτίμηση κινδύνου για δικαιώματα και ελευθερίες 4. Τα μέτρα αντιμετώπισης των κινδύνων (στάθμιση) κόστος εκπόνησης & γνωστοποίησης / διαβούλευσης [;] 24

Προτεινόμενα εργαλεία 1. «Κατάλληλες πολιτικές» ΚΤΟΜ περιλαμβάνουν «εσωτερική πολιτική» [αιτ. σκ. 78, 24 2] Ιδίως την πολιτική ενημέρωσης 2. Κώδικες Δεοντολογίας (από ενώσεις και φορείς) Υποβολή και έγκριση από την Αρχή [40 5] Γενική ισχύς με εκτελεστική πράξη [40 9] 3. Μηχανισμοί πιστοποίησης Εθελοντική διαδικασία [43 3] ΔΕΝ ΠΕΡΙΟΡΙΖΟΥΝ ΤΗΝ ΕΥΘΥΝΗ 25

Πλεονεκτήματα Κώδικα Δεοντολογίας 1. Αποδεικνύεται η συμμόρφωση ΥΕ γενικώς με τον Κανονισμό [24 3] σε συνδυασμό με πιστοποίηση [42 1] & με την προστασία by design & by default [25 1] 2. Απόδειξη ότι καλύπτονται οι απαιτήσεις για ΚΤΟΜ ασφαλείας [32 3] 3. Απόδειξη για κατάλληλες εγγυήσεις για διαβίβαση σε τρίτες χώρες (+δεσμευτικές & εκτελεστικές υποχρεώσεις) [46 2ε] 4. Απόδειξη για τις διαβεβαιώσεις του Εκτελούντος [28 5] 5. Λαμβάνεται υπ όψιν για την Εκτίμηση Αντικτύπου [35 8] 6. Για τον καταλογισμό προστίμου [83 29(ι)] Παρακολούθηση συμμόρφωσης: διαπιστευμένοι φορείς [41 1] Διαπίστευση από την Αρχή ή οργανισμό διαπίστευσης [43 2] 26

4. Υπεύθυνος Προστασίας Δεδομένων (DPO) Δημόσιος Τομέας: Υποχρεωτικώς [37 1α] & (1) ΥΠΔ για πολλές υπηρεσίες Ιδιωτικός Τομέας: τακτική & συστηματική παρακολούθηση σε μεγάλη κλίμακα δεδομένα παρακολούθησης, γεωεντοπισμού, τηλεπικοινωνιακές υπηρεσίες [37 1β] μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών [37 1γ] Ξεχωριστό πρόστιμο 10 εκ. ή 2% ετήσιου παγκόσμιου τζίρου Προαιρετικώς: ελαστικότερη εποπτεία / πρόστιμο «βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων» [37 5] Ανεξάρτητος από τον ΥΕ! 27

Το (προ)σχέδιο Νόμου (5.3.2018) 7 1 ΠΔ υγείας: συγκατάθεση ρητή και έγγραφη. 7 2 Απαγορεύση: επεξεργασίας γενετικών ΠΔ & γενετικών προδιαγνωστικών εξετάσεων για σκοπούς ασφάλισης υγείας και ζωής. Απαγόρευση: προδιαγνωστικές γενετικές εξετάσεις που αφορούν μέλη της οικογενείας του Υποκειμένου. 17 4 Συγκατάθεση των εργαζομένων: έγγραφη και να διακρίνεται από τη σύμβαση απασχόλησης. 28

Ὁ μή ἀδικῶν οὐδενός δεῖται νόμου Εξορθολογισμός / βελτιστοποίηση διαδικασιών Έκδοση συστάσεων / γνωμοδοτήσεων από τις Αρχές Εσωτερική διάθεση συμμόρφωσης Νοοτροπία (& ήθος) προστασίας Yπευθυνότητα Εμπιστοσύνη στην εταιρία / οργανισμό 29

30