201805.25
0

«ΕΥΡΩΠΑΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ – GDPR»

in ΚΟΚΚΙΝΙΩΤΗ ΔΗΜΗΤΡΑ, Νομικά Νέα

Η 25η Μαΐου 2018 είναι η ΄΄ευρωπαϊκή΄΄ ημερομηνία θέσεως σε εφαρμογή σε όλες τις χώρες της Ε.Ε. του νέου Κανονισμού για την προστασία των προσωπικών Δεδομένων. Επειδή πολλοί συγχέουν τον Γενικό Κανονισμό με την Ευρωπαϊκή οδηγία, θα πρέπει επί της αρχής να διασαφηνιστεί ότι αυτός δεν έχει ανάγκη ενσωμάτωσης στο ελληνικό δίκαιο όπως μία Ευρωπαϊκή Οδηγία, που πρώτα θα πρέπει να αποτελέσει εσωτερικό δίκαιο για να εφαρμόζεται υποχρεωτικά. Ο Κανονισμός ισχύει και εφαρμόζεται από θέσεώς του σε ισχύ για όλα τα κράτη !
Ακόμη χρήζει να διευκρινιστεί ότι αφορά σε προστασία προσωπικών δεδομένων για ζώντα φυσικά πρόσωπα, άρα όχι σε αποθνήσκοντες, ούτε σε προστασία νομικών προσώπων. Ειδικότερα τείνει στην προστασία φυσικών προσώπων – Ευρωπαίων πολιτών ή αγαθά που απευθύνονται σε ευρωπαίους πολίτες και όχι διεθνώς. Πρακτικά μεταξύ άλλων αυτό σημαίνει ότι αν μία επιχείρηση έχει την έδρα της π.χ. σε μία Αμερικανική πολιτεία , για τα αγαθά /υπηρεσίες όμως που απευθύνει σε φυσικά πρόσωπα επί ευρωπαϊκού εδάφους καταλαμβάνεται από τις διατάξεις του Γενικού αυτού Κανονισμού! Ο Κανονισμός δεν εφαρμόζεται σε οικιακές- προσωπικές δραστηριότητες, ενώ πρέπει να εφαρμόζεται από επιχειρήσεις παντός είδους/ μορφής, είτε απασχολούν 200 άτομα είτε ένα ! (π.χ. τράπεζες, δημόσιοι οργανισμοί, σχολεία, κέντρα εκπαίδευσης, ιατρεία, νοσοκομεία, ξενοδοχεία, γυμναστήρια, εργοδοτικές εταιρείες, e-shops, super market, λογιστικά γραφεία, εστιατόρια, ιστότοποι ενημέρωσης, … ο κατάλογος είναι μακρύς).
Η Αρχή προστασίας προσωπικών δεδομένων που ήδη είχε θεσμοθετηθεί και λειτουργούσε με τον προηγούμενο σχετικό Νόμο 2472/97, συνεχίζει να υφίσταται, χωρίς πλέον υποχρέωση γνωστοποίησης και λήψης άδειας από αυτήν . Κι αυτό καθώς τον νέο Γενικό Κανονισμό η προστασία των προσωπικών δεδομένων λαμβάνει κατασταλτικό ρόλο, ήτοι με αφορμή κάποια καταγγελία από οιονδήποτε (θεσμό, αρχή, φυσικό πρόσωπο, υπάλληλο κτλ) η Αρχή αρκεί τον ενδιαφερόμενο σε κατάθεση απόψεων κι εφόσον κριθεί βάσιμη και αληθής η καταγγελία, τότε επιβάλλονται από την Αρχή υπέρογκα διοικητικά πρόστιμα (για τα οποία είχα κάνει λόγο και σε προηγούμενο άρθρο μου). Αυτά αγγίζουν τα 10.000.000 ευρώ ή για τις επιχειρήσεις το 2% του ετήσιου παγκοσμίου τζίρου (όποιο είναι υψηλότερο), προκειμένου δε για ευαίσθητα προσωπικά δεδομένα τα 20.000.000 ευρώ ή το 4% του ετήσιου, παγκοσμίου τζίρου της επιχείρησης (ομοίως όποιο είναι υψηλότερο)! Περαιτέρω υπάρχουν και ποινικές κυρώσεις αλλά και αστικές από άποψη αποζημίωσης.
Η προστασία του κανονισμού για τα προσωπικά δεδομένα είναι ευρεία. Αν αναλογιστεί κανείς ότι προσωπικά δεδομένα είναι κάθε πληροφορία που αφορά σε ένα φυσικό πρόσωπο, με βάση την οποία ταυτοποιείται όπως το όνομα, επώνυμο, ο ΑΦΜ, ο ΑΜΚΑ, καθώς και οποιαδήποτε άλλη πληροφορία , καθώς και τα ευαίσθητα προσωπικά δεδομένα, όπως ιατρικά στοιχεία, θρησκευτικές πεποιθήσεις, σεξουαλικές προτιμήσεις/ φυλετικές πληροφορίες , στοιχεία για την σεξουαλική του ζωή, η επεξεργασία δεν περιλαμβάνει μόνο την διάδοση, αλλά κάθε είδους ενέργεια όπως είναι η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή,μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτισησυνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή. Όλες οι παραπάνω ενέργειες ονομάζονται επεξεργασία προσωπικώδεδομένων.
Για κάθε επιχείρηση καθιερώνεται μέσω του Κανονισμού ο πρωτοείσακτος ρόλος Υπευθύνου Προστασίας Δεδομένων , αλλιώς DPO (Data Protection Officer, άρθρα 37-40). Σε τρείς κατηγορίες επιχειρήσεων ο διορισμός τέτοιου προσώπου είναι υποχρεωτικός, όπως για α) το Δημόσιο, β) για εταιρείες που κάνουν μεγάλης κλίμακας επεξεργασίας (π.χ. media shops, κλινικές) και γ) για εταιρείες που ασκούν τακτική και συστηματική παρακολούθηση δεδομένων. Για τις έτερες επιχειρήσεις ο διορισμός DPO είναι προαιρετικός πλην όμως κατά την άποψη μου αναγκαίος αφού αυτό θα είναι το πρόσωπο (έχων απαραιτήτως νομικές γνώσεις ) που θα εκπαιδεύσει το προσωπικό, θα κάνει διάγνωση των κινδύνων σε μία εγκατάσταση, θα υποστηρίξει νομικά την εταιρεία, αμελλητί και πάντως εντός 72 ωρών θα ενημερώσει την αρχή για διαρροή, θα διαχειριστεί τυχόν καταγγελίες, θα οδηγήσει την εταιρεία προς την πλήρη κατά το δυνατό συμμόρφωση με τις αρχές /υποχρεώσεις του κανονισμού, προστατεύοντας την τόσο από αβλεψίες, όπως ίσως και από κακόβουλές εσωτερικές/ εξωτερικές ενέργειες. Ο ρόλος του είναι συμβουλευτικός (όχι αποφασιστικός), τα στοιχεία του ανακοινώνονται στην Αρχή Προστασίας, ενώ δεν φέρει προσωπική ευθύνη για τη μη συμμόρφωση της επιχείρησης και του υπευθύνου ή του εκτελούντος την επεξεργασία με τον Κανονισμό.
Συνεπώς εύκολα γίνεται αντιληπτό ότι η ζωή όλων μας, όπως μάλιστα έχει διαμορφωθεί μέσα στην απόλυτη ηλεκτρονική πραγματικότητα ‘’βομβαρδίζεται’’ συνεχώς από κυκλοφορία προσωπικών δεδομένων, δικών μας και άλλων, που κυκλοφορούν ηλεκτρονικά κυρίως, αλλά και εν τοις πράγμασι. Οπωσδήποτε η πορεία προς την συμμόρφωση όλων των υπόχρεων με τον Ευρωπαϊκό Κανονισμό απαιτεί χρόνο και προγραμματισμένες – υπεύθυνες ενέργειες, αλλά και μία αλλαγή κουλτούρας εν γένει.

Ελευσίνα, την 25.5.2018
Η συντάξασα Δικηγόρος
Δήμητρα Δημ. Κοκκινιωτη