Τρίτη, 24 Απριλίου 2018 | 20:17

Η προστασία των προσωπικών δεδομένων στην ψηφιακή εποχή

Ένα από τα ζητήματα το οποίο απασχολεί σοβαρά το παρόν χρονικό διάστημα τις εταιρίες και τις ατομικές επιχειρήσεις είναι το τι προβλέπει ο Γενικός Κανονισμός προστασίας προσωπικών δεδομένων, γνωστός και ως GDPR (General Data Protection Regulation) και το πως θα συμμορφωθούν με αυτόν μέχρι την 25η Μαΐου 2018 δεδομένου ότι ο ανωτέρω Κανονισμός θα αρχίσει να εφαρμόζεται επίσημα πλέον για όλους...
Γράφτηκε από: Κωνσταντίνος Τζίκας

Ένα από τα ζητήματα το οποίο απασχολεί σοβαρά το παρόν χρονικό διάστημα τις εταιρίες και τις ατομικές επιχειρήσεις είναι το τι προβλέπει ο Γενικός Κανονισμός προστασίας προσωπικών δεδομένων, γνωστός και ως GDPR (General Data Protection Regulation) και το πως θα συμμορφωθούν με αυτόν μέχρι την 25η Μαΐου 2018 δεδομένου ότι ο ανωτέρω Κανονισμός θα αρχίσει να εφαρμόζεται επίσημα πλέον για όλους (πολίτες και επιχειρήσεις) από τις 25 Μαΐου 2018 και εντεύθεν και θα έχει κυρώσεις για όσους δεν συμμορφωθούν με τις διατάξεις του.

Ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, ψηφίστηκε στις Βρυξέλλες στις 27 Απριλίου 2016 με σκοπό την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Ο Κανονισμός αυτός ξεκίνησε να εφαρμόζεται πιλοτικά από την ημερομηνία της ψήφισής του. Στην ψήφιση του συνέβαλε καθοριστικά η ραγδαία ανάπτυξη της τεχνολογίας και η παγκοσμιοποίηση σε συνάρτηση με την αυξανόμενη κλίμακα της συλλογής και της ανταλλαγής δεδομένων προσωπικού χαρακτήρα. Είναι γνωστό πλέον ότι οι άνθρωποι από κάθε γωνιά της γης ολοένα και περισσότερο δημοσιοποιούν από τα μέσα κοινωνικής δικτύωσης (social networks, facebook, Instagram, κ.ά.) προσωπικές πληροφορίες και τις καθιστούν διαθέσιμες σε παγκόσμιο επίπεδο.

Ωστόσο εκτός από αυτές τις προσωπικές τους πληροφορίες, υπάρχουν και πληροφορίες που αφορούν προσωπικά δεδομένα, αλλά και ευαίσθητα δεδομένα (αριθμοί πιστωτικών καρτών, προσωπικές συζητήσεις, ιδιωτικές φωτογραφίες, επαγγελματικά αρχεία, κατάσταση υγείας κλπ) τα οποία μπορούν πλέον πολύ εύκολα να παραβιαστούν με τα πολύ εξελιγμένα τεχνολογικά μέσα που διαθέτουν πλέον οι hackers και να δημοσιοποιηθούν περαιτέρω και να καταστούν προσβάσιμα για επεξεργασία και συλλογή και από άλλους. Όλα αυτά επιτείνουν την ανάγκη να διασφαλιστεί ένα ισχυρό νομικό πλαίσιο που θα προστατεύει τα προσωπικά τους δεδομένα.

Στο εθνικό δίκαιο της χώρας μας τα προσωπικά δεδομένα προστατεύονται αυτήν την στιγμή από τον Νόμο 2472/1997. Ωστόσο από την 25η Μαΐου 2018 και εφεξής θα ισχύει ο ανωτέρω Γενικός Κανονισμός.

Τι είναι τα προσωπικά δεδομένα σύμφωνα με τον ανωτέρω εθνικό Νόμο;

“Δεδομένα προσωπικού χαρακτήρα είναι κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων”. Υποκείμενο των δεδομένων είναι το φυσικό πρόσωπο που αφορούν τα δεδομένα αυτά. Δεδομένα προσωπικού χαρακτήρα του ανθρώπου μπορεί να είναι το ανοματεπώνυμό του, ο αριθμός της ταυτότητάς του, ο αριθμός του φορολογικού του μητρώου (ΑΦΜ), η διεύθυνση του σπιτιού του, ο αριθμός της πιστωτικής του κάρτας, η πινακίδα του αυτοκινήτου του, το e-mail του κλπ.

Πού εφαρμόζεται ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων;

Σύμφωνα με το άρθρο 2 του Γενικού Κανονισμού, ο κανονισμός θα εφαρμόζεται από την 25η Μαΐου 2018 στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

 

Πού δεν εφαρμόζεται;

Ο Γενικός Κανονισμός δεν εφαρμόζεται μεταξύ άλλων στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:

  • Από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας
  • από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.

Ωστόσο θεωρείται ωφέλιμο εν προκειμένω για να κατανοήσει ορθά ο αναγνώστης τα δικαιώματα και τις υποχρεώσεις που προβλέπει ο Κανονισμός να δοθούν οι εξής ορισμοί (άρθρο 4):

«δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,

«επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,

«περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον,

«κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου,

«ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο,

«σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση,

«υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,

«εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,

«αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι.

«συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,

«παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία,

Πότε θεωρείται νόμιμη μια επεξεργασία προσωπικών δεδομένων (άρθρο 6);

Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: (αναφέρονται ενδεικτικά τρεις για την οικονομία του χώρου)

  • το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,
  • η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
  • η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας.

 

Ποιες είναι οι προϋποθέσεις για την συγκατάθεση – ανάκληση συγκατάθεσης (άρθρο 7);

Το υποκείμενο των δεδομένων οφείλει να δίνει γραπτώς την συγκατάθεσή του στην εκάστοτε επιχείρηση που συναλλάσσεται για την αγορά προϊόντος, υπηρεσίας κλπ για την επεξεργασία των προσωπικών του δεδομένων και διατηρεί το δικαίωμά του να ανακαλέσει ανά πάσα στιγμή αυτήν του την συγκατάθεση.

Ποιες πληροφορίες πρέπει να παρέχονται στο υποκείμενο των δεδομένων του οποίου τα δεδομένα επεξεργάζονται (άρθρο 13 & 15);

Σύμφωνα με τον Κανονισμό, ο υπεύθυνος επεξεργασίας, όταν συλλέγει δεδομένα προσωπικού χαρακτήρα του υποκειμένου, υποχρεούται να ενημερώνει το υποκείμενο για κάθε ενέργειά του, ήτοι για τα στοιχεία επικοινωνίας του, για τους σκοπούς επεξεργασίας αυτών, για τους αποδέκτες και για πόσο χρονικό διάστημα θα αποθηκευτούν, την ύπαρξη του δικαιώματός του να ανακαλέσει οποιαδήποτε στιγμή την συγκατάθεσή του, το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή κ.α.

Προσφυγή – Ευθύνη – Κυρώσεις – Δικαίωμα αποζημίωσης – δικαστική προσφυγή (Άρθρα 77, 78, 79 & 82)

Το υποκείμενο των δεδομένων του οποίου τα προσωπικά δεδομένα έχουν παραβιαστεί, έχει δικαίωμα να υποβάλλει καταγγελία στην ανεξάρτητη αρχή προστασίας προσωπικών δεδομένων (εποπτική αρχή) της χώρας διαμονής του ή της χώρας εργασίας του. Εάν το πρόσωπο αυτό υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για την ζημία που υπέστη.

Πρόστιμα

Τα πρόστιμα που επιβάλλονται στους παραβάτες του παρόντος κανονισμού κυμαίνονται έως 20.000.000,00€ ή 4% του παγκόσμιου κύκλου εργασιών της εταιρίας ή του οργανισμού.

Ποιους αφορά;

Αφορά όσους επεξεργάζονται προσωπικά δεδομένα Ευρωπαίων πολιτών, ήτοι όλες ανεξαιρέτως τις εταιρίες και τις ατομικές επιχειρήσεις και όλους τους δημόσιους οργανισμούς που συλλέγουν, αποθηκεύουν και επεξεργάζονται προσωπικά δεδομένα πολιτών, προμηθευτών τους ή εργαζομένων τους και διατηρούν το email  τους σε ηλεκτρονικό αρχείο ή κάποιο άλλο έγγραφο και επικοινωνούν μαζί τους (υποψήφιους πελάτες) για την προώθηση των προϊόντων τους είτε με ηλεκτρονικό (email) είτε με φυσικό τρόπο.

Τι πρέπει να κάνουμε για να συμμορφωθούμε με τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων (GDPR);

1ον. Θα πρέπει να ενημερωθούμε (ανάγνωση Κανονισμού) για να τον κατανοήσουμε.

2ον. Θα πρέπει να αναμορφώσουμε τους όρους χρήσης και την πολιτική απορρήτου (για όσους διαθέτουν διαδυκτιακή σελίδα – website – ηλεκτρονικό κατάστημα προώθησης και πώλησης προϊόντων) και να τα εναρμονίσουμε με τις διατάξεις του παρόντος Κανονισμού.

3ον. Να ζητάμε γραπτώς την συγκατάθεση των πελατών μας με email ή με συμβατικό τρόπο (έγγραφο) εν προκειμένω για την προώθηση και την πώληση των προϊόντων μας .

4ον. Συνεπώς κατ’ επέκταση θα πρέπει να ενημερώνεται το υποκείμενο των δεδομένων για τον σκοπό της χρήσης των δεδομένων του (email, ονοματεπώνυμο, ηλικία, κατοικία κλπ) από τον υπεύθυνο επεξεργασίας , ήτοι αν είναι εμπορικός ο σκοπός του, διαφημιστικός ή απλά ενημερωτικός (σελίδες ειδήσεων και ενημέρωσης) αλλά και για την διάρκεια χρήση των δεδομένων αυτών.

5ον. Να ενημερώνουμε τα θύματα για την παραβίαση των προσωπικών τους δεδομένων.

6ον. Να ενημερώνουμε την εποπτική αρχή για την παραβίαση αυτή.

 

Επισήμανση

Συλλήβδην από όσα αναφέρθηκαν ανωτέρω μπορούμε να καταλήξουμε εύλογα στο συμπέρασμα ότι έχουμε ήδη εισέλθει σε μια ψηφιακή εποχή όπου δεσπόζει μια συνεχιζόμενη ανάπτυξη της τεχνολογίας δίχως τέλος. Η ψηφιακή αυτή εποχή με τις άγνωστες και ανεξερεύνητες μέχρι να ανακαλυφθούν νέες ηλεκτρονικές εφαρμογές  εγκυμονεί συνεχώς κινδύνους για τα δικαιώματα των χρηστών του διαδικτύου που συναλλάσσονται ηλεκτρονικά με εταιρίες οι οποίες πωλούν αγαθά και υπηρεσίες  αλλά δεν τηρούν ευλαβικά τον νόμο για την προστασία των προσωπικών δεδομένων με συνέπεια να διαρρέουν πληροφορίες οι οποίες θίγουν και προκαλούν βλάβη στα πρόσωπα τα οποία ανήκουν.

Τα φυσικά πρόσωπα τα οποία επικοινωνούν μεταξύ άλλων με εταιρίες στις οποίες δέχονται να δώσουν ιδιαίτερα προσωπικά δεδομένα δίχως την ύπαρξη αλλά και αυστηρή τήρηση πολλές φορές του ισχύοντος νομοθετικού πλαισίου, από την πλευρά του υπευθύνου επεξεργασία των προσωπικών δεδομένων (επιχείρηση, εταιρία) το οποίο θα παρέχει τα εχέγγυα εκείνα στο υποκείμενο των δεδομένων (πολίτης) για μια ασφαλή συναλλαγή, πιθανολογείται ότι μπορούν να υποστούν βλάβη εάν παραβιαστούν τα προσωπικά τους δεδομένα από τρίτους.

Εδώ λοιπόν έρχεται ο Γενικός Κανονισμός προστασίας προσωπικών δεδομένων (ΕΕ) 2016/679 ο οποίος επισημαίνει τις υποχρεώσεις των εταιριών αλλά και των δημόσιων Οργανισμών που επεξεργάζονται πάσης φύσεως δεδομένα προσωπικού χαρακτήρα των υποκειμένων καθώς και τα δικαιώματα των υποκειμένων τα οποία δικαιούνται να έχουν πρόσβαση στα προσωπικά τους δεδομένα και μπορούν οποτεδήποτε να ανακαλέσουν την συγκατάθεσή τους στην επεξεργασία αυτή.

* Ο Κωνσταντίνος Μιχ. Τζίκας, δικηγόρος Παρ’ Αρείω Πάγω και πιστοποιημένος διαμεσολαβητής 

digitaltvinfo.gr - Τα πάντα για τη δορυφορική, ψηφιακή και HD TV
Κάντε εγγραφή στο ενημερωτικό δελτίο μας για να λαμβάνετε τα νέα μας, τις αποκλειστικές ειδήσεις και τις καταπληκτικές προσφορές από το χώρο των συστημάτων ασφαλείας.