Από τις  25 Μαΐου 2018 τίθεται σε ισχύ ο Κανονισμός 2016/679 για τη προστασία φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Δημόσιοι Φορείς και Ιδιωτικές επιχειρήσεις, που επεξεργάζονται προσωπικά δεδομένα, π.χ. ταξιδιωτικά γραφεία, ασφαλιστικές εταιρίες, Τράπεζες, κλινικές, μέχρι καταστήματα με κάρτες μέλους, όπως καταστήματα ένδυσης και διατροφής (σούπερ μάρκετ), θα έρθουν αντιμέτωποι με τη πρόκληση της συμμόρφωσης προς τον Κανονισμό, που αυστηροποιεί το πλαίσιο νομιμότητας της επεξεργασίας προσωπικών δεδομένων.

Ο νέος Κανονισμός, αναγνωρίζοντας την σημασία της τεχνολογίας στοχεύει κατά πολύ στη προστασία φυσικών προσώπων, που συνδέονται με επιγραμμικά (online)  αναγνωριστικά στοιχεία ταυτότητας, τα οποία παρέχονται από τις συσκευές, τις εφαρμογές, τα εργαλεία και τα πρωτόκολλά τους, όπως διευθύνσεις διαδικτυακού πρωτοκόλλου, αναγνωριστικά cookies ή άλλα αναγνωριστικά στοιχεία όπως ετικέτες αναγνώρισης μέσω ραδιοσυχνοτήτων. Αυτά μπορεί να αφήνουν ίχνη τα οποία, ιδίως όταν συνδυαστούν με μοναδικά αναγνωριστικά στοιχεία ταυτότητας και άλλες πληροφορίες που λαμβάνουν οι εξυπηρετητές, μπορούν να χρησιμοποιηθούν για να δημιουργηθεί το προφίλ των φυσικών προσώπων και να αναγνωριστεί η ταυτότητά τους.

Οι επιχειρήσεις θα βρεθούν μπροστά στη ανάγκη να προσαρμόσουν τις πολιτικές ασφαλείας τους και να είναι πλήρως συμμορφωμένοι στους ρητά αναφερόμενους και νόμιμους σκοπούς επεξεργασίας, όπως  αυτοί περιγράφονται στον Κανονισμό. Σε κάθε άλλη περίπτωση επεξεργασίας τα πρόστιμα θα είναι πλέον ιδιαίτερα αυστηρά, φτάνοντας μέχρι τα 20.000.000 ευρώ. Το ρόλο αυτό της προσαρμογής τους στην ανάγκη της σύννομης επεξεργασίας θα κληθούν να αναλάβουν, σε πολλές μάλιστα περιπτώσεις, υποχρεωτικά βάσει του Νέου Κανονισμού,  λόγω της εμπειρογνωσίας τους στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, εξειδικευμένοι δικηγόροι και δικηγορικές εταιρίες.

Ο Κανονισμός καταργεί την έως και σήμερα ισχύουσα  Οδηγία 95/46 ΕΚ και επιχειρεί τη δημιουργία ενός πιο συνεκτικού πλαισίου προστασίας των δεδομένων στην Ένωση, υποστηριζόμενο από αυστηρή εφαρμογή της νομοθεσίας, δεδομένου ότι είναι σημαντικό να δημιουργηθεί η αναγκαία εμπιστοσύνη που θα επιτρέψει στην ψηφιακή οικονομία να αναπτυχθεί στο σύνολο της εσωτερικής αγοράς. Γι’ αυτό το λόγο τα φυσικά πρόσωπα θα πρέπει να έχουν τον έλεγχο των δικών τους δεδομένων προσωπικού χαρακτήρα. Επίσης κρίνεται απολύτως αναγκαία η ενίσχυση της ασφάλειας δικαίου μέσα από την εφαρμογή πρακτικών ασφαλείας για τα φυσικά πρόσωπα, τους οικονομικούς παράγοντες και τις δημόσιες αρχές (αιτιολογική σκέψη 7 ΓΚΠΔ).

Ο νέος κανονισμός διευρύνει μέχρι σήμερα γνωστές έννοιες, εισάγοντας ταυτόχρονα νέες (άρθρο 4 ΓΚΠΔ), συγκεκριμενοποιεί και προσθέτει νέες Αρχές επεξεργασίας δεδομένων (άρθρο 5 ΓΚΠΔ), ενδυναμώνει τα δικαιώματα των υποκειμένων (π.χ. δικαίωμα στη λήθη- άρθρο 17,  δικαίωμα φορητότητας- άρθρο 20 ΓΚΠΔ) και θεσπίζει αντίστοιχα αυστηρότερες υποχρεώσεις των Υπευθύνων. Ιδιαίτερης προσοχής είναι η πρόβλεψη τόσο υποχρεώσεων και ευθυνών πλέον και από τον εκτελούντα την επεξεργασία ( άρθρο 28- αιτιολογική σκέψη 81), όσο και της κατάργησης της υποχρέωσης γνωστοποίησης της επεξεργασίας δεδομένων προς την εποπτική αρχή, όπως αυτή ίσχυε κατά την Οδηγία 95/46 ΕΚ.  Τέλος, ορίζονται μεγάλα πρόστιμα που μπορεί να φτάνουν μέχρι το ύψος των 20.000.000 ευρώ ή  στη περίπτωση των επιχειρήσεων το 4 % του συνολικού παγκόσμιου τζίρου.

Το  εγχείρημα θεσμοθέτησης μιας σύννομης, θεμιτής και με διαφανή τρόπο επεξεργασίας στη βάση της νομιμότητας, της αντικειμενικότητας και της διαφάνειας, συμπληρώνει μία σειρά ρυθμίσεων, που προβλέπονται στον νέο Κανονισμό. Π.χ. ο περιορισμός των δανειοδοτήσεων από την εποπτική αρχή για την επεξεργασία ειδικών κατηγοριών δεδομένων (άρθρο 9 ΓΚΠΔ και αιτιολογική σκέψη 53), η εφαρμογή μέτρων προστασίας δεδομένων ήδη από τον σχεδιασμό και εξ’ ορισμού, η γνωστοποίηση παραβίασης δεδομένων στην εποπτική αρχή και ανακοίνωση της παραβίασης στο Υποκείμενο αυτών ( άρθρο 33 και άρθρο 34), η καθιέρωση συλλογικής αγωγής (actiopopularis), για την εκπροσώπηση υποκειμένων προσωπικών δεδομένων για τη προστασία των δικαιωμάτων τους, την επιβολή κυρώσεων και τη διεκδίκηση αποζημίωσης από μη κερδοσκοπικό φορέα, οργάνωση ή ένωση (άρθρο 80).

Στο ίδιο πλαίσιο των ρυθμίσεων, ήδη παρουσιάζουν ενδιαφέρον ως προς την πρακτική εφαρμογή και λειτουργίας τους:

1. Η διενέργεια «Εκτίμησης των Επιπτώσεων σχετικά με την Προστασία των Δεδομένων- Data Protection Impact Assessment (DPIA).
2. Ο ορισμός Υπεύθυνου Προστασίας Δεδομένων- DPO(άρθρο 37), ο οποίος κατά βάση θα πρέπει να είναι ειδικευμένος νομικός σύμβουλος ή ειδικευμένη δικηγορική εταιρεία.
3. Η εκπόνηση και τήρηση Κωδίκων Δεοντολογίας και η θέσπιση μηχανισμών πιστοποίησης, σφραγίδας και σημάτων προστασίας δεδομένων (άρθρά 40 και 42).
4. Η επιβολή διοικητικών προστίμων στον Υπεύθυνο ή Εκτελούντα την Επεξεργασία (μέχρι 20.000.000 ευρώ ή  στη περίπτωση των επιχειρήσεων το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους - άρθρο 83).

Με το παρόν άρθρο επιχειρείται μία πρώτη προσέγγιση του όρου «Υπεύθυνος Προστασίας Δεδομένων- DPO».

Τι είναι ο Υπεύθυνος Προστασίας Δεδομένων- DataProtectionOfficer (DPO);

Αν και στο ελληνικό δίκαιο ο θεσμός προβλέπεται στο άρθρο 36 Ν. 3979/2011 «για την ηλεκτρονική διακυβέρνηση» και το άρθρο 18 παρ. 2 Οδηγίας 95/46/ΕΚ (εξαιρέσεις στην υποχρέωση κοινοποίησης προς την Αρχή Ελέγχου), παραμένει κατά βάσει άγνωστος στη μεγάλη πλειοψηφία. Εντούτοις,  ο DPO είναι ήδη ιδιαίτερα διαδεδομένος σε χώρες όπως η Γερμανία.

Ο νέος κανονισμός (υπό τις προβλεπόμενες προϋποθέσεις) καθιστά υποχρεωτικό τον θεσμό του Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer – DPO). Βάσει  του κανονισμού, ο Υπεύθυνος Προστασίας Δεδομένων έχει συγκεκριμένες αρμοδιότητες και καθήκοντα. 

Σε ποιους θα ανατεθεί;

Ο Υπεύθυνος Προστασίας Δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και, ιδίως, με βάση την εμπειρογνωσία που διαθέτει στον τομέα του δικαίου και των πρακτικών προστασίας των δεδομένων και την ικανότητα εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 34.

Αναμένεται να ανατεθεί σε:

1. ανώτατα στελέχη διοίκησης
2. σε εξειδικευμένες επαγγελματικές ομάδες

α. όπως δικηγόροι και δικηγορικές εταιρείες,

β. νομικοί σύμβουλοι

γ. στελέχη πληροφορικής & επικοινωνιών,

δ. υπεύθυνοι ασφάλειας πληροφοριών, που εμπλέκονται στη συλλογή, επεξεργασία, και χρήση δεδομένων προσωπικού χαρακτήρα σε όλο των φάσμα των δραστηριοτήτων του ιδιωτικού και δημόσιου τομέα στην Ελλάδα.

Σε ποιες περιπτώσεις είναι υποχρεωτικός ο διορισμός του Υπευθύνου Προστασίας Δεδομένων;

O Κανονισμός προδιαγράφει τρεις βασικές  κατηγορίες περιπτώσεων (άρθρο 37).

Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:

α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,

β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή

γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

*Δημόσιοι Φορείς ή Αρχές, που ασχολούνται με την Υγεία, Τηλεπικονωνίες, Μεταφορές, ΔΕΚΟ φαίνεται ότι θα υποχρεωθούν να διορίσουν Data Protection Officer.

Τι εντάσσεται στις βασικές δραστηριότητες του άρθρου 37 παρ.1;

Βασιζόμενοι και στις διευκρινήσεις της Επιτροπής του άρθρου 29 ως προς την αποσαφήνιση ορών που χρησιμοποιεί ο Κανονισμός:

Βασικές δραστηριότητες  είναι το «αναπόσπαστο τμήμα της επιδίωξης των εταιρικών σκοπών του Υπευθύνου ή Εκτελούντος την Επεξεργασία όπως για παράδειγμα  οι δραστηριότητες παρακολούθησης μιας εταιρίας παροχής υπηρεσιών ασφαλείας (δεδομένα εικόνας και ήχου),  με τις οποίες ελέγχει/παρακολουθεί έναν δημόσιο ή ιδιωτικό χώρο, οι δραστηριότητες επεξεργασίας ιατρικών φακέλων ασθενών που νοσηλεύονται σε ένα νοσοκομείο καθώς και οι δραστηριότητες επεξεργασίας προσωπικών δεδομένων υπαλλήλων από έναν εξωτερικό συνεργάτη που διαχειρίζεται την μισθοδοσία του προσωπικού μιας εταιρίας».

Τι είναι η Συστηματική και Τακτική παρακολούθηση του άρθρου 37 παρ.1;

Η έννοια «Συστηματική» και «Τακτική» Παρακολούθηση των υποκειμένων σε μεγάλη κλίμακα (regular and systematic monitoring)  στην οποία εντάσσονται όλες οι μορφές on Line παρακολούθησης όπως για παράδειγμα η παρακολούθηση των μετακινήσεων του υποκειμένου (location tracking) η επεξεργασία που στοχεύει στον καθορισμό της καταναλωτικής συμπεριφοράς  και συνηθειών του υποκειμένου για διαφημιστικούς σκοπούς (behavioral advertising) καθώς και ο καθορισμός του Προφίλ του υποκειμένου με βάση συγκεκριμένα προσωπικά δεδομένα που αφορούν την καταναλωτική του ταυτότητα, τις προτιμήσεις του, επισκεψιμότητα σε συγκεκριμένα καταστήματα (Profiling), κάρτες επιβράβευσης πίστης -“loyaltyCards”.

Πότε μια επεξεργασία μπορεί να χαρακτηριστεί ως μεγάλης κλίμακας κατά το άρθρο 37 παρ.1;

Η διευκρίνηση της έννοια επεξεργασίας σε μεγάλη κλίμακα (Large Scale Processing) παραμένει ασαφής και μάλλον αόριστη καθώς τόσο το κείμενο του Κανονισμού όσο και οι Οδηγίες της Επιτροπής, δεν παραθέτουν  αριθμητικά όρια για τον ορισμό της μεγάλης κλίμακας αλλά γενικά παραδείγματα όπως ασφαλιστική εταιρία ή τράπεζα, νοσοκομεία που επεξεργάζονται προσωπικά δεδομένων πελατών τους, τους, ή την επεξεργασία σε πραγματικό χρόνο των γεωτοπογραφικών δεδομένων  (Geo _ Location Data) πελατών μια διεθνούς εταιρίας fast food  για στατιστικούς σκοπούς, διαδικτυακή επεξεργασία με σκοπό την εμπορική προώθηση-διαφήμιση, profiling.

Ποιος είναι ο ρόλος και τα καθήκοντα του Υπευθύνου Προστασίας Δεδομένων;

Ο DPO, καλείται να λειτουργήσει ως σημείο επικοινωνίας μεταξύ υπευθύνου /εκτελούντος την εργασία και εποπτικής αρχής για ζητήματα που αφορούν την επεξεργασία δεδομένων, την προηγούμενη διαβούλευση του άρθρου 36 ΓΚΠΔ, άλλες διαβουλεύσεις ή λήψη συμβουλών.

Παρέχει συμβουλές, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της, λαμβάνοντας υπόψη του τον κίνδυνο επεξεργασίας.

Ο Υπεύθυνος Προστασίας Δεδομένων τηρεί δημόσιο μητρώο όπου καταγράφονται όλες οι πράξεις επεξεργασίας προσωπικών δεδομένων από την Ευρωπαϊκή Επιτροπή.

Συνεργάζεται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

Μεριμνά για την τήρηση της νομοθεσίας εκ μέρους των υπηρεσιών της Ευρωπαϊκής Επιτροπής κατά την επεξεργασία προσωπικών δεδομένων και διερευνά περιπτώσεων που άπτονται της προστασίας δεδομένων.

Συμβουλεύει, γνωμοδοτεί και ενημερώνει σχετικά με θέματα συμμόρφωσης προς τον Κανονισμό και τη τήρηση της νομοθεσίας για τα προσωπικά δεδομένα αλλά και τις πολιτικές (ανάθεση αρμοδιοτήτων, έλεγχοι, επιμόρφωση- κατάρτιση υπαλλήλων.

Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.

Ο Υπεύθυνος Προστασίας Δεδομένων αναλαμβάνει  ουσιαστικά να εκπροσωπήσει την Επιχείρηση έναντι των Αρχών, Εθνικών και Ευρωπαϊκών, να διασφαλίσει την εναρμόνιση της λειτουργίας της επιχείρησης σε ότι αφορά τις πολιτικές, πρακτικές και μεθοδολογία επεξεργασίας, αποθήκευσης και μεταφοράς Δεδομένων Προσωπικού Χαρακτήρα με το νέο αυστηρό νομοθετικό πλαίσιο  και να προστατέψει την επιχείρηση από τους κινδύνους επιβολής των σημαντικότατων και βαρύτατων διοικητικών προστίμων που προβλέπει ο Κανονισμός τα οποία εκκινούν από 10.000.000 Ευρώ ή το 2% του παγκόσμιου τζίρου εάν πρόκειται για διεθνή όμιλο και φτάνουν σε περίπτωση παράβασης βασικών διατάξεων του κανονισμού σε 20.000.000 ή στο 4% του παγκόσμιου τζίρου. 

Ποια είναι τα βασικά χαρακτηριστικά του Υπευθύνου Προστασίας Δεδομένων;

Ο Υπεύθυνος Προστασίας Δεδομένων πρέπει να είναι λειτουργικά και οικονομικά ανεξάρτητος. Οφείλει να έχει σε προτεραιότητα τα καθήκοντα του και δεν αναλαμβάνει άλλα καθήκοντα που οδηγούν σε σύγκρουση συμφερόντων.

Δεν λαμβάνει εντολές για την άσκηση των καθηκόντων του και λογοδοτεί στο ανώτατο επίπεδο της διοίκησης.

Δεν ευθύνεται προσωπικά για τη μη συμμόρφωση του Υπευθύνου/εκτελούντος την επεξεργασία.

Στο πλαίσιο της άσκησης των καθηκόντων του ενημερώνεται για όλα τα θέματα προσωπικών δεδομένων, έχει πρόσβαση σε κάθε είδους δεδομένα και λαμβάνει εγκαίρως  και δεόντως γνώση κάθε σχεδιαζόμενης πράξης επεξεργασίας.

Μπορεί να είναι εργαζόμενος της επιχείρησης ή να παρέχει ανεξάρτητες υπηρεσίες σε αυτήν. Μπορεί επίσης να είναι ένα μόνο πρόσωπο, άλλα και ομάδα DPO.

Η NEWLAW εξειδικεύεται σε ζητήματα σχετικά με την επεξεργασία και τη προστασία προσωπικών δεδομένων. Για  οποιαδήποτε πληροφορία επικοινωνήστε μαζί μας προκειμένου να σας παρέχουμε άμεσα σύγχρονες συμβουλευτικές και νομικές υπηρεσίες μέσω των έμπειρων και ειδικά καταρτισμένων συνεργατών μας.

Τηλ. επικοινωνίας: 2310 551 501, 2310 261 501, 2310 261 502.

Για το πλήρες κείμενο του Κανονισμού 2016/679 πατήστε εδώ.

Για την συγγραφή του άρθρου χρησιμοποιήθηκαν πληροφορίες από:

1. Τον διαδικτυακό τόπο: http://www.infocomsecurity.gr/presentations/2017/day1/tsolias.pdf: Παρουσίαση κ. Γρ. Τσόλια, Δικηγόρο – ΜΔ Ποινικών Επιστημών, Μέλος (αν.) της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Μέλος της Ειδικής Νομοπαρασκευαστικής Επιτροπής του Υπουργείου Δικαιοσύνης για τον Κανονισμό 2016/679 και την Οδηγία 2016/680, Μέλος του Expert Group της Ε.Ε. για τον Κανονισμό 2016/679 και την Οδηγία 2016/680.

2. Τον διαδικτυακό τόπο: http://www.cyberinsurancequote.gr/news/o-rolos-kai-oi-eythynes-toy-data-protection-officer/: άρθρο του Ιωάννη Ε. Γιαννακάκη, Certified Information Privacy Professional/ Europe και Certified Information Privacy Manager από τον International Association of Privacy Professionals (IAPP) και Certified GDPR/Foundation Consultant από το IT Governance κατά ISO17024.