Προστασία Προσωπικών Δεδομένων: Νέα Τάξη Πραγμάτων

Γράφει ο Γιώργος Τ. Χριστοφίδης, Δικηγόρος
Το νομοθετικό πλαίσιο που ρυθμίζει την προστασία των προσωπικών δεδομένων θα αποτελέσει σύντομα παρελθόν εξαιτίας της εκ βάθρων αλλαγής του. Συγκεκριμένα, η Ευρωπαϊκή Ένωση με τον Κανονισμό 2016/679/ΕΕ, της 27ης Απριλίου 2016[1] υιοθετεί ένα νέο πλαίσιο πλαίσιο στην προστασία των προσωπικών δεδομένων φυσικών προσώπων. Ο Κανονισμός ευρύτερα γνωστός ως «Γενικός Κανονισμός για την Προστασία Δεδομένων» (ΓΚΠΔ-GDPR) τίθεται σε άμεση εφαρμογή την 25ην Μαΐου 2018 είναι δεσμευτικός προς όλα τα μέρη του και με την έναρξη της ισχύος του θα καταργήσει το υφιστάμενο Ευρωπαϊκό πλαίσιο που εντοπίζεται στην οδηγία 95/46/ΕΚ[2] και επί της οποίας βασίστηκε το εθνικό νομοθετικό πλαίσιο που εφαρμόζεται.
Ο ΓΚΠΔ αποτελεί Κανονισμό με άμεση ισχύ και ως εκ τούτου δεν αναμένεται νομοθετική πράξη των χωρών μελών της Ευρωπαϊκής Ένωσης, η οποία ως διαδικασία γνωστοποιεί στο ευρύ κοινό τις ιδιαίτερες αλλά και βασικές αρχές της εκάστοτε νομοθεσίας. Το έργο συνεπώς πρώτιστα της ενημέρωσης και της εφαρμογής αφήνεται στην αρμόδια εθνική αρχή, στους επαγγελματίες του τομέα αλλά και στις ίδιες επιχειρήσεις που επιβαλλόμενα θα χρειαστεί να εναρμονιστούν με το νέο πλαίσιο αλλά και να το εφαρμόσουν χωρίς παρεκκλίσεις. Ο σκοπός του επηρεάζει μεγαλύτερο αριθμό οντοτήτων οι οποίες θα πρέπει να εναρμονιστούν εντός και εκτός της Ευρωπαϊκής Ένωσης, εφαρμόζει νέες αρχές και κωδικοποιεί την διαδικασία επεξεργασίας ως επίσης και εισάγει λειτουργούς ή υπεύθυνους συμμόρφωσης στην φύλαξη αλλά και επεξεργασία δεδομένων.
Κάθε πληροφορία που αφορά φυσικό πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί άμεσα ή έμμεσα ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας όπως όνομα σε αριθμό ταυτότητας, σε δεδομένα θέσης , σε επιγραμματικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου ή υποκείμενου δεδομένων ελέγχεται από τον ισχύοντα Κανονισμό. Επίσης κάθε  δεδομένα που αποκαλύπτουν την φυλετική ή εθνοτική καταγωγή τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν την σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό καλύπτονται από τον νέο κανονισμό ως προς την χρήση ή επεξεργασία τους.
Από τα πιο πάνω στοιχεία είναι πρόδηλο ότι σχεδόν όλες οι επιχειρήσεις ή επαγγελματικές δραστηριότητες που συνδέονται ή συνεργάζονται ή συμβάλλονται ή δραστηριοποιούνται με φυσικά πρόσωπα επηρεάζονται, άμεσα ή έμμεσα, από την νέα νομοθετική τάξη πραγμάτων.
Ο νέος Κανονισμός, ο οποίος ως προκύπτει συνιστά ένα σύνολο αρχών και διαδικασιών για την αποτελεσματική προστασία των προσωπικών δεδομένων,  εισάγει νέες αρχές στην επεξεργασία των δεδομένων. Οι νέες λοιπόν αρχές επιβάλλουν σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων ώστε οι διαδικασίες επεξεργασίας να καλύπτονται από νομιμότητα, αντικειμενικότητα και διαφάνεια. Τα δεδομένα πλέον διέπονται από την αρχή του περιορισμού του σκοπού, που σημαίνει πως τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να συλλέγονται για καθορισμένους ρητούς και νόμιμους σκοπούς και δεν θα υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς. Ο νέος κανονισμός ελαχιστοποιεί τα δεδομένα ώστε να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, επιβάλλει την ακρίβεια και την επικαιροποίηση τους όταν αυτό κρίνεται αναγκαίο με τρόπο που να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων τα οποία είναι ή καθίστανται ανακριβή σε σχέση με τους σκοπούς της επεξεργασίας. Τα δεδομένα διατηρούνται στην μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων δεδομένων αλλά και αποθηκεύονται μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας με τρόπο που να περιορίζεται η περίοδος αποθήκευσης.  Τέλος, τα δεδομένα υποβάλλονται σε επεξεργασία κατά τρόπο που να εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέσων, αρχές που επιβάλλουν την ακεραιότητα, εμπιστευτικότητα και διαφάνεια[3].
Η επεξεργασία καθίσταται επιτρεπτή και νόμιμη όταν μεταξύ άλλων υπάρχει συγκατάθεση του υποκειμένου των δεδομένων. Ο νέος Κανονισμός διαφοροποιείται και σ’ αυτό το σημείο απο το προηγούμενο νομικό καθεστώς με τρόπο που να απαιτείται όπως η συγκατάθεση του υποκειμένου είναι σαφής, διακριτή από άλλα θέματα και απλά διατυπωμένη. (Opt-In και όχι Opt-out συγκατάθεση). Περαιτέρω το ίδιο υποκείμενο θα πρέπει να έχει ανά πάσα στιγμή το δικαίωμα της ανάκλησης της συγκατάθεσης.
Αυτά τα ενισχυμένα δικαιώματα παρέχουν στα φυσικά πρόσωπα μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων, μεταξύ άλλων μέσω:
-Της ανάγκης ύπαρξης σαφούς συγκατάθεσης του ενδιαφερομένου για την επεξεργασία των προσωπικών δεδομένων
-Της ευκολότερης πρόσβασης του ενδιαφερομένου στα προσωπικά του δεδομένα
-Του δικαιώματος διόρθωσης, διαγραφής και «λήθης»
-Του δικαιώματος εναντίωσης, μεταξύ άλλων στη χρησιμοποίηση των δεδομένων προσωπικού χαρακτήρα για την «κατάρτιση προφίλ»
-Του δικαιώματος φορητότητας των δεδομένων από πάροχο σε πάροχο
-Της υποχρέωσης των υπεύθυνων επεξεργασίας των δεδομένων να παρέχουν διαφανείς και εύκολα προσβάσιμες πληροφορίες στα υποκείμενα των δεδομένων[4]
Κάθε αρχή ελέγχου με τον νέο Κανονισμό αποκτά και διευρυμένες εξουσίες. Ειδικότερα και μεταξύ άλλων κάθε αρχή διαθέτει εξουσία να απευθύνει προειδοποιήσεις, επιπλήξεις να εκδίδει εντολές αλλά να επιβάλλει και πολύ σοβαρά διοικητικά πρόστιμα που μπορούν να ανέλθουν έως και €20 εκατομμύρια ευρώ ή το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους[5]
Για την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται υπόψη, μεταξύ άλλων τα ακόλουθα:
-Η φύση, η βαρύτητα και η διάρκεια της παράβασης, καθώς και ο αριθμός των υποκειμένων που έθιξε η παράβαση και ο βαθμός ζημίας που υπέστησαν,
-Ο δόλος ή η αμέλεια που προκάλεσε την παράβαση,
-Οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων,
-Ο βαθμός ευθύνης του υπεύθυνου επεξεργασίας, λαμβάνοντας υπόψη τα μέτρα που εφάρμοσε
-Ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των επιπτώσεών της
-Οι κατηγορίες προσωπικών δεδομένων που επηρέασε η παράβαση
-Η τήρηση εγκεκριμένων κωδίκων δεοντολογίας ή εγκεκριμένων μηχανισμών πιστοποίησης
-Ο Κανονισμός αναγνωρίζει το δικαίωμα των υποκειμένων των δεδομένων να υποβάλουν καταγγελία στην εποπτική αρχή καθώς και το δικαίωμά τους για λήψη δικαστικών μέτρων και απαίτηση αποζημιώσεων.
Ασφαλώς επιχειρήσεις οι οποίες ευθύνονται για μικρές παραβιάσεις του Κανονισμού δεν πρέπει να ανησυχούν για την επιβολή των αυστηρότερων κυρώσεων αλλά ούτε και να τρομοκρατηθούν από τον «μύθο»[6] που διαδίδεται, εξαιτίας των εξαντλητικών κυρώσεων, ότι η εφαρμογή του Κανονισμού αποτελεί την μεγαλύτερη απειλή για τις επιχειρήσεις. Αποτελεί, όμως από την άλλη παραδεκτό γεγονός ότι ο ΓΚΠΔ παρέχει την εξουσία στις αρχές να ανασύρουν το σφυρί από την εργαλειοθήκη τους και να επιβάλλουν υψηλά έως και εξοντωτικά πρόστιμα αλλά κατά κοινή ομολογία διαθέτουν και άλλα εργαλεία για να εφαρμόσουν τον Κανονισμό. Παραβιάσεις όμως του Κανονισμού επιφέρουν και άλλες συνέπειες όπως για παράδειγμα υποκείμενα πρόσωπα που έχουν υποστεί υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούνται αποζημίωση από τον υπεύθυνο επεξεργασίας ή από τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη. Συνεπώς παραβιάσεις όπως πρόσβαση στον εξυπηρετητή από hackers, κλοπή εγγράφων, καταστροφή πρωτοτύπων, απλή διαρροή δεδομένων μισθοδοσίας ή ονομάτων, όπως για παράδειγμα η πρόσφατη καταγγελία για διαρροή τηλεπικοινωνιακών στοιχείων πελατών από υπάλληλο οργανισμού του ευρύτερου δημόσιου τομέα[7],   αλλά και συλλογή αρχείου τρίτων προσώπων άνευ συναίνεσης άλλης βάσης επεξεργασίας δυνατό να προκαλέσουν αξιώσεις σοβαρών αποζημιώσεων. 
Η συμμόρφωση προς τον Κανονισμό θεωρείται σε ευρωπαϊκό επίπεδο από τις μεγαλύτερες προκλήσεις για τις επιχειρήσεις τόσο λόγω των υψηλών προβλεπόμενων κυρώσεων όσο και γιατί πρόκειται για ένα έργο (project) μεγάλης διάρκειας και πολυπλοκότητας.  Ενδεικτικά, πολλές επιχειρήσεις για να αρχίζουν να προσαρμόζονται στον Κανονισμό θα πρέπει να εξετάσουν σειρά ενεργειών όπως:
1. Σύνταξη πολιτικής προστασίας προσωπικών δεδομένων και πρόβλεψη ενδοομιλικών διαδικασιών αναφορικά με τη συλλογή, διαχείριση και παραβίαση των προσωπικών δεδομένων.
2. Σύνταξη Κώδικα Δεοντολογίας για την προστασία των προσωπικών δεδομένων.
3. Ορισμός υπεύθυνου προστασίας προσωπικών δεδομένων (data protection officer – DPO).
4. Επισκόπηση και επαναδιατύπωση των υπαρχουσών συμβατικών ρητρών λήψης συγκατάθεσης σύμφωνα με τις απαιτήσεις του Κανονισμού.
5. Προσαρμογή συστημάτων ΙΤ, σύμφωνα με τις απαιτήσεις του Κανονισμού.
6. Τήρηση Αρχείου Δραστηριότητας (εφόσον η επιχείρηση ή ο Όμιλος απασχολεί προσωπικό άνω των 250 ατόμων).
7. Διαρκής εκπαίδευση προσωπικού σχετικά με το νέο νομοθετικό πλαίσιο για τα προσωπικά δεδομένα.
Για την υλοποίηση του παραπάνω προτεινόμενου διαγράμματος, απαιτείται η άμεση διενέργεια ενός αρχικού ελέγχου (soft audit) επί της υφιστάμενης οργανωτικής δομής της επιχείρησης ή του Ομίλου, των προηγούμενων γνωστοποιήσεων της επιχείρησης ή του Ομίλου στην Αρχή Προστασίας Δεδομένων, καθώς και των ροών διαβίβασης δεδομένων τόσο σε ενδοεταιρικό/ενδοομιλικό επίπεδο όσο και μεταξύ εταιρειών σε διαφορετικές χώρες εντός ΕΕ και σε τρίτες χώρες. 
Ο χρόνος τρέχει και οι επιχειρήσεις θα πρέπει επιμελώς να προβούν σε όλες τις δέουσες ενέργειες για να συμμορφωθούν με την νέα τάξη δεδομένων.
-------------------------------------------
* O Γιώργος Τ. Χριστοφίδης είναι Δικηγόρος (Ορφανίδης, Χριστοφίδης & Συνεργάτες ΔΕΠΕ)
 και Επισκέπτης Λέκτορας Πανεπιστημίου Frederick
-------------------------------------------
[1] Κανονισμός (ΕΕ) 2016/79 του Ευρωπαϊκού Κοινοβουλίου και του Συμβούλιου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία των Δεδομένων)
[2] Άρθρο 94- Κατάργηση της Οδηγίας 95/46/ΕΚ.
[3] Κεφάλαιο ΙΙ, Άρθρο 5.
[5] Κεφάλαιο VIII , Άρθρο 83.5.
[6] «UK watchdog seeks to quell fears about heavy fines under the GDPR», Current Awareness from the Inner Temple Library, 15.8.2017.
[7] «Πρωτοφανής διαρροή προσωπικών δεδομένων σε πρώην αστυνομικό – Στοιχεία 470 πολιτών», Ντίνα Κλεάνθους (Reporter) ημ. 16.8.2017.

Σχόλια

Top Legal Stories

Πρόστιμο 30.000 ευρώ σε εταιρεία αλουμινίων από την Υπηρεσία Προστασίας Καταναλωτή

Οκτώ (8) θέσεις Δικηγόρων στη Νομική Υπηρεσία

Καθίσματα προς αποφυγή παρατεταμένης ορθοστασίας : Περί Ασφάλειας και Υγείας στην Εργασία Τροποποιητικός Νόμος του 2023

Κατάργηση ετήσιου τέλους εταιρειών από το έτος 2024 και μετά

Θέση Δικηγόρου - Νομικού Συμβούλου στο Πανεπιστήμιο Κύπρου