H προσέγγιση του Έλληνα νομοθέτη στο θέμα της προστασίας προσωπικών δεδομένων Λίλιαν Μήτρου Καθηγήτρια Πανεπιστημίου Αιγαίου – Δικηγόρος Πρόεδρος της Νομοπαρασκευαστικής Επιτροπής για την προσαρμογή του εθνικού δικαίου στον Γενικό Κανονισμό Προστασίας Δεδομένων και την ενσωμάτωση της Οδηγίας ΕΕ/ 2016/680 L.mitrou@aegean.gr

[Γιατί] μας αφορά ο Κανονισμός; Κάθε επιχείρηση συλλέγει και επεξεργάζεται προσωπικά δεδομένα (κάθε πληροφορία που αφορά ένα φυσικό πρόσωπο, ταυτοποιημένο ή ταυτοποιήσιμο). Για τους κάθε λογής συναλλασσόμενους με αυτή Για τους εργαζομένους της Κάθε φορέας / επιχείρηση υποχρεούται σε συμμόρφωση προς το κανονιστικό πλαίσιο Η μη συμμόρφωση συνεπάγεται έκθεση σε κίνδυνο Υψηλών προστίμων Αγωγών από τα πρόσωπα, τα δικαιώματα των οποίων προσβάλλονται

«Νέες» υποχρεώσεις; Η υποχρέωση τήρησης ουσιαστικών και διαδικαστικών κανόνων για την προστασία προσωπικών δεδομένων υφίσταται εδώ και 21 χρόνια, με την ψήφιση του νόμου 2472/97 Τυπική συμμόρφωση ή πλημμελής συμμόρφωση με τις υποχρεώσεις. Επικρατούσα αντίληψη: η επεξεργασία προσωπικών δεδομένων δεν ενείχε ουσιώδεις κινδύνους για μία επιχείρηση (χαμηλά πρόστιμα) Περιορισμένος βαθμός γνώσης/ συνειδητοποίησης των υποχρεώσεων.

Μετά την 25η Μαΐου 2018 τα πράγματα αλλάζουν…. Ο ΓΚΠΔ επιβάλλει εξειδικεύει υφιστάμενες και εισάγει νέες υποχρεώσεις Με τον ΓΚΠΔ η επεξεργασία προσωπικών δεδομένων παύει να είναι μία άνευ ή ήσσονος σημασίας εταιρική δραστηριότητα Η συμμόρφωση με τον ΓΚΠΔ συνεπάγεται ότι πρέπει ν’ αλλάξουν εταιρικές συνήθειες, διαδικασίες, λογικές, πρακτικές.

Ενίσχυση αρχών και δικαιωμάτων Επιβεβαίωση βασικών αρχών προστασίας δεδομένων Ελαχιστοποίηση Ενίσχυση της διαφάνειας και των δικαιωμάτων των προσώπων Νέα δικαιώματα Μεγαλύτερη διαφάνεια έναντι των προσώπων Aπλοποίηση των διαδικασιών και υποχρεώσεων Κατάργηση υποχρεώσεων γνωστοποίησης/ προηγούμενης άδειας

Μία νέα αντίληψη για τη συμμόρφωση Μία νέα αντίληψη για τη συμμόρφωση Αναδιοργάνωση των μηχανισμών συμμόρφωσης Λογοδοσία (accountability): ευθύνη και απόδειξη της συμμόρφωσης Ενίσχυση «αυτοελέγχου» με Tήρηση αρχείων επεξεργασιών Εκτίμηση κινδύνων κι επιπτώσεων της επεξεργασίας για τα δικαιώματα Υπεύθυνος Προστασίας Δεδομένων Πιστοποιήσεις Κώδικες δεοντολογίας

Συνδυασμός/ Συνέργεια δικαίου και τεχνολογίας Συνδυασμός/ Συνέργεια δικαίου και τεχνολογίας Προστασία εκ / δια του σχεδιασμού (by design) Προστασία ως κανόνας (by default) Aσφάλεια δεδομένων/ πληροφοριακών συστημάτων / δικτύων-υποδομών Η ασφάλεια είναι αναγκαίος αλλά όχι επαρκής όρος συμμόρφωσης και προστασίας Το «πρόβλημα» δεν είναι μόνο η «διαρροή»

Προς τι η συμμόρφωση ; Η “δαμόκλειος σπάθη” των προστίμων ως κινητήριος δύναμη Ο “DPO” ως καταφυγή, πανάκεια ή προπέτασμα συμμόρφωσης ; Υπερ-αντίδραση ή συμμόρφωση για το θεαθήναι; Υποτίμηση κινδύνων μη συμμόρφωσης Αστική ευθύνη – εκπροσώπηση υποκειμένων από συλλογικούς φορείς Το πλήγμα της φήμης: γνωστοποίηση – ανακοίνωση παραβιάσεων δεδομένων

Διοικητικές κυρώσεις/πρόστιμα (άρθρα 58/ 83 ΓΚΠΔ) «Διορθωτικές εξουσίες» Αρχής (άρθρο 58 παρ. 2) Επιβολή προστίμων για κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική. Παράγοντες προσδιορισμού ύψους προστίμου Κατηγορίες δεδομένων/ φύση, η βαρύτητα και η διάρκεια της παράβασης/ δόλος ή η αμέλεια/ ενέργειες για μετριασμό συνεπειών/ βαθμός ευθύνης/τυχόν προηγούμενες παραβάσεις/ τρόπος πληροφόρησης της Αρχής/ διάθεση-βαθμός συνεργασίας/ τήρηση κωδίκων δεοντολογίας/ κάθε ελαφρυντικό-επιβαρυντικό στοιχείο.

Ύψος προστίμων Για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση Αυστηρά πρόστιμα (άρθρο 83): Α΄ κατηγορία παραβάσεων - Έως 10.000.000 ή για επιχειρήσεις το 2% Β’ κατηγορία παραβάσεων - Έως 20.000.000 ή για επιχειρήσεις το 4% (και για μη συμμόρφωση προς αποφάσεις Αρχής) του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο

Ο ρόλος του εθνικού νομοθέτη Δυνατότητα διατήρησης ή θέσπισης ειδικών διατάξεων για τον περαιτέρω προσδιορισμό της εφαρμογής των κανόνων αναφορικά με την επεξεργασία προσωπικών δεδομένων προς συμμόρφωση με νομική υποχρέωση, προς εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας. Περιθώρια χειρισμού στα κράτη μέλη, ώστε να εξειδικεύσουν τους κανόνες του, συμπεριλαμβανομένων αυτών που αφορούν την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα («ευαίσθητα δεδομένα»).

Η εθνική νομοθεσία Αν και πρόκειται για Κανονισμό προβλέπονται ευχέρειες και υποχρεώσεις του εθνικού νομοθέτη να πλαισιώσει/ εξειδικεύσει τον Κανονισμό Η δημόσια διαβούλευση έληξε την 5η Μαρτίου 2018 Η υποχρέωση συμμόρφωσης αφορά και την εθνική νομοθεσία

Γνώμονες και κριτήρια Αξιοποίηση ευχερειών του Κανονισμού με ενίσχυση δικαιωμάτων αλλά χωρίς πρόσθετες (και περιττές) επιβαρύνσεις Αποτύπωση/Αξιοποίηση «νομολογίας» ΑΠΔΠΧ και δικαστηρίων (συμπεριλαμβανομένων των ΕΔΔΑ και ΔΕΕ) Ανάγκη σαφήνειας/ βεβαιότητας – ιδίως ως προς ορισμένα πεδία Δέσμευση από γράμμα/ πνεύμα Κανονισμού (λογοδοσία- οργάνωση συμμόρφωσης)

Ζητήματα εθνικής ρύθμισης κι αντιμετώπισης Ζητήματα εθνικής ρύθμισης κι αντιμετώπισης Ρυθμίσεις για τα δεδομένα υγείας/ γενετικά; Ειδικότερες ρυθμίσεις για τον εσωτερικό υπεύθυνο προστασίας; Ειδικές ρυθμίσεις για τον τομέα των εργασιακών σχέσεων Ειδικές ρυθμίσεις για την χρήση κλειστών κυκλωμάτων τηλεόρασης Άσκηση ενδίκων βοηθημάτων/μέσων από οργανώσεις/ ενώσεις στο….όνομα του υποκειμένου των δεδομένων; (Ποινικές) Κυρώσεις σε εθνικό επίπεδο Φορείς διαπίστευσης για τους μηχανισμούς πιστοποίησης Αποτελεσματική οργάνωση της ΑΠΔΠΧ

Κλειστά κυκλώματα τηλεόρασης Σκοπιμότητα / χρησιμότητα της ρύθμισης: ραγδαία επέκταση χρήσης συστημάτων βιντεοεπιτήρησης Πεδίο εφαρμογής : ιδιώτες/ δημόσιοι φορείς (συμπεριλαμβανομένων των αστυνομικών εφόσον η επεξεργασία δεν εμπίπτει στο πεδίο εφαρμογής της Οδηγίας 2016/680/ΕΕ / Γ’΄κεφαλαίου «Κωδικοποίηση» Οδηγιών και αποφάσεων ΑΠΔΠΧ Σκοπός: ελαχιστοποίηση/ απάλειψη ασαφειών……..

Δεδομένα υγείας/γενετικά δεδομένα Δυνατότητα διατήρησης/ εισαγωγής πρόσθετων εγγυήσεων (άρθρο 9 παρ. 4) Έγγραφη συγκατάθεση για την επεξεργασία δεδομένων που αφορούν την υγεία Ειδικές ρυθμίσεις ως προς τα γενετικά δεδομένα Απαγόρευση επεξεργασίας / απαγόρευση γενετικών προδιαγνωστικών για ασφαλιστικούς σκοπούς [ Σύσταση (2016) 8 Συμβουλίου της Ευρώπης ] Απαγόρευση επεξεργασίας στο πλαίσιο της σχέσης απασχόλησης (εξαίρεση: ρητή διάταξη νόμου/ προηγούμενη διαβούλευση με ΑΠΔΠΧ) Προηγούμενη διαβούλευση με ΑΠΔΠΧ για επεξεργασία γενετικών δεδομένων (και για ερευνητικούς σκοπούς σε μεγάλη κλίμακα)

Προηγούμενη διαβούλευση με ΑΠΔΠΧ Προηγούμενη διαβούλευση για κάθε ρύθμιση Εισαγωγή υποχρέωσης διαβούλευσης – περιοριστικός κατάλογος Εθνικός αριθμός ταυτότητας/ μεγάλης κλίμακας επεξεργασία για λόγους δημόσιας υγείας / διαχείρισης συστημάτων/ γενετικά- βιομετρικά σε μεγάλη κλίμακα/ χρήση υπηρεσιών ηλεκτρονικής διακυβέρνησης/ οικονομική κατάσταση-πιστοληπτική ικανότητα Η προηγούμενη διαβούλευση δεν συνιστά άδεια και υπόκειται στους όρους του άρθρου 36 ΓΚΠΔ

Υπεύθυνος Προστασίας Δεδομένων Υποχρέωση ορισμού στις περιπτώσεις τακτικής και συστηματικής παρακολούθησης σε μεγάλη κλίμακα λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους – σύμφωνα με κατάλογο ΑΠΔΠΧ Υποχρέωση για σαφή προσδιορισμό καθηκόντων – διαδικασίας κλπ. Υποχρέωση εχεμύθειας/ ποινική ευθύνη

Προστασία δεδομένων εργαζομένων Αξιοποίηση πλαισίου εθνικής ρύθμισης (άρθρο 88) Αποτύπωση Οδηγίας 115/2001 και νομολογίας ΑΠΔΠΧ και δικαστηρίων (εθνικά, ΕΔΔΑ, ΔΕΕ) Νόμιμες βάσεις και εγγυήσεις για τη συγκατάθεση (λογοδοσία) Εξειδίκευση αρχής σκοπού/ ελαχιστοποίησης Ρυθμίσεις για χρήση μέτρων επιτήρησης Κρίσιμο στοιχείο η προηγούμενη ενημέρωση Υποχρέωση κατάρτισης κανονισμού χρήσης επικοινωνιακών μέσων και ΤΠΕ

Εκπροσώπηση υποκειμένων Δυνατότητα εκπροσώπησης (και περισσοτέρων) υποκειμένων δεδομένων από μη κερδοσκοπικούς φορείς Ενώπιον/εναντίον ΑΠΔΠΧ/ ενώπιον δικαστηρίων Έγγραφη και ανακλητή ανάθεση Μη επιτρεπτή η καταβολή αμοιβής

Κυρώσεις Διοικητικές κυρώσεις/πρόστιμα: καμία διάκριση μεταξύ δημόσιου και ιδιωτικού τομέα Ne bis in idem - Κατάργηση ορισμένων αξιοποίνων πράξεων ν. 2472/97; Πλημμέλημα η χωρίς δικαίωμα επέμβαση σε αρχείο και παραβίαση ασφάλειας με πρόθεση/ επιβαρυντικές περιστάσεις Ποινική ευθύνη υπευθύνου προστασίας δεδομένων για παραβίαση εχεμύθειας

Οι ευκαιρίες της συμμόρφωσης Η συμμόρφωση με τον ΓΚΠΔ μπορεί να συμβάλλει: στον εξορθολογισμό των εταιρικών πρακτικών διαχείρισης δεδομένων/ Απλούστευση περίπλοκων διαδικασιών/ Διαγραφή περιττών δεδομένων / Αποδοτικοτερη λειτουργία στην αναβάθμιση της ασφάλειας της επιχείρησης και τον εκσυγχρονισμό των εταιρικών πληροφορικών συστημάτων Η προστασία προσωπικών δεδομένων συνδέεται με τη φήμη μίας επιχείρησης . Η συμμόρφωσή με τον ΓΚΠΔ είναι κριτήριο σεβασμού των δικαιωμάτων των προσώπων με τα οποία συναλλάσσεται μία επιχείρηση Η προστασία προσωπικών δεδομένων μπορεί να αξιοποιηθεί και ως «ανταγωνιστικό πλεονέκτημα»

Η 25η Μαΐου 2018 …. δεν είναι το τέλος αλλά η αρχή της εφαρμογής του Κανονισμού και της συμμόρφωσης προς τις επιταγές του Σας ευχαριστώ για την προσοχή σας