Κατερίνα Παπαδημητρίου

Δικηγόρος - Διαμεσολαβήτρια

Ο νέος ΓΚΠΔ και ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων

της  Κατερίνας Παπαδημητρίου 

Ο νέος Γενικός Κανονισμός ΕΕ/2016/679 «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών» (Γενικός Κανονισμός Προστασίας Δεδομένων – ΓΚΠΔ)  τίθεται σε άμεση εφαρμογή στις 25 Μαΐου 2018 σε όλα τα Κράτη-Μέλη της ΕΕ, αντικαθιστώντας το μέχρι σήμερα ρυθμιστικό πλαίσιο της Οδηγίας 95/46/ΕΚ, η οποία στη χώρα μας είχε ενσωματωθεί στο ν. 2472/1997. Ωστόσο και παρά το γεγονός της ως εκ της φύσεως των ευρωπαϊκών κανονισμών, άμεσης εφαρμογής του ΓΚΠΔ, στην Ελλάδα αναμένεται η ψήφιση νόμου για την εφαρμογή του Κανονισμού, που θα περιλαμβάνει και τη ρύθμιση επιμέρους ζητημάτων που αφήνονται στη διακριτική ευχέρεια των κρατών-μελών (λόγος για τον οποίο ο ΓΚΠΔ  έχει  αποκαλεστεί και «ΚανονΟδηγία»).

Με τον νέο Κανονισμό ενισχύεται το ήδη υπάρχον πλαίσιο προστασίας των προσωπικών δεδομένων και διαμορφώνεται ένα αυστηρότερο θεσμικό πλαίσιο επεξεργασίας (και κατ΄ επέκταση προστασίας) των προσωπικών δεδομένων. Ωστόσο, δεν θα πρέπει να παραγνωρίζεται ότι στόχος του ΓΚΠΔ δεν είναι η απαγόρευση της επεξεργασίας, αλλά η ενδυνάμωση και η επιβολή της ορθής χρήσης των δεδομένων και η ενίσχυση της προστασίας των υποκειμένων των δεδομένων. Ο ΓΚΠΔ στοχεύει στην ισορροπία μεταξύ αφενός της συνεχούς ροής, συλλογής και επεξεργασίας προσωπικών δεδομένων των σύγχρονων συναλλαγών, αφετέρου των αναφαίρετων δικαιωμάτων των υποκειμένων των δεδομένων για την προστασία τους από τη μη ορθή και ενάντια στη βούλησή τους χρήση τους.

Αλλάζει το σύστημα ευθύνης για τήρηση της νομοθεσίας.

Οι εταιρείες και οι αρμόδιοι φορείς του Δημοσίου, που συλλέγουν και επεξεργάζονται προσωπικά δεδομένα φέρουν την αποκλειστική ευθύνη και οφείλουν να διαμορφώσουν και να οργανώσουν τις διαδικασίες και τα συστήματα τους κατά τέτοιο τρόπο ώστε να είναι πλήρως συμμορφωμένοι με τις διατάξεις του νέου Κανονισμού. Ο ρόλος των Αρχών Προστασίας Προσωπικών Δεδομένων στο σημείο αυτό αλλάζει σημαντικά καθώς το βάρος πλέον απόδειξης μεταφέρεται στους υπεύθυνους επεξεργασίας, που οφείλουν να αποδεικνύουν σε οποιαδήποτε περίπτωση ελέγχου ότι είναι πλήρως εναρμονισμένοι με τις διατάξεις του Κανονισμού.

Μία άλλη διαφορά είναι η αναγωγή της συναίνεσης του υποκειμένου των δεδομένων σε προαπαιτούμενο νομιμότητας για κάθε σκοπό επεξεργασίας. Η ρητή και ξεκάθαρη συναίνεση του υποκειμένου των δεδομένων απαιτείται πλέον να υπάρχει για κάθε σκοπό επεξεργασίας (και όχι μόνο για κάποιες κατηγορίες δεδομένων, όπως ίσχυε μέχρι σήμερα). Το γεγονός αυτό επιτάσσει την άμεση προσαρμογή των διαδικασιών των υπευθύνων για την επεξεργασία των προσωπικών δεδομένων ούτως ώστε να τηρούνται οι αυστηρές προϋποθέσεις συγκατάθεσης και επεξεργασίας.

Αντικείμενο προστασίας :

Τα δεδομένα προσωπικού χαρακτήρα κάθε εν ζωή φυσικού προσώπου, δηλαδή κάθε πληροφορία που αφορά ταυτοποιημένο φυσικό πρόσωπο ή κάθε πληροφορία που μπορεί άμεσα ή έμμεσα να ταυτοποιήσει ένα φυσικό πρόσωπο, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης ή σε στοιχεία που αφορούν τη σωματική, ψυχολογική, οικονομική ή κοινωνική κατάσταση του εν λόγω φυσικού προσώπου. Συνάγεται λοιπόν ότι η προστασία δεν αφορά τα δεδομένα των νομικών προσώπων (εταιρειών κ.λπ). Αφορά όμως τα δεδομένα μιας Μονοπρόσωπης εταιρίας ή μιας ατομικής επιχείρησης που νομικά αντιμετωπίζεται ως φυσικό πρόσωπο.

Τι περιλαμβάνει ο όρος «επεξεργασία» προσωπικών δεδομένων.

Κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.

Συνεπώς η επεξεργασία των προσωπικών δεδομένων είναι πολύ ευρεία έννοια και περιλαμβάνει ακόμη και μόνη τη συλλογή προσωπικών δεδομένων.

Προϋποθέσεις νόμιμης επεξεργασίας των προσωπικών δεδομένων (ά. 6 ΓΚΠΔ):

Η επεξεργασία είναι νόμιμη εφόσον συντρέχουν τουλάχιστον μία από τις ακόλουθες προϋποθέσεις :

  • το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,
  • η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
  • η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
  • η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
  • η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
  • η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
Εμπλεκόμενα μέρη στην επεξεργασία των προσωπικών δεδομένων:
  • «Υπεύθυνος επεξεργασίας»: καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
  • «Εκτελών την επεξεργασία»: επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
  • «Αποδέκτης»: τού κοινοποιούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες.
  • «Τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα.
Εδαφικό πεδίο εφαρμογής του Κανονισμού:

O ΓΚΠΔ εφαρμόζεται όταν ο υπεύθυνος ή ο εκτελών την επεξεργασία των δεδομένων προσωπικού χαρακτήρα έχει την εγκατάστασή του στην ΕΕ, ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης.

Σε περίπτωση μη εγκατάστασης του υπεύθυνου ή του εκτελούντος στην ΕΕ, για να ισχύσει ο ΓΚΠΔ θα πρέπει το υποκείμενο των δεδομένων να βρίσκεται στην Ένωση και οι δραστηριότητες επεξεργασίας να σχετίζονται με:
α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή
β) την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.

Ο Κανονισμός εφαρμόζεται επίσης και για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας μη εγκατεστημένο στην Ένωση, αλλά σε τόπο όπου εφαρμόζεται το δίκαιο κράτους μέλους δυνάμει του δημόσιου διεθνούς δικαίου.

Καινοτομίες:

Ι) Η επεξεργασία δεν γνωστοποιείται πλέον στην εποπτική αρχή (δηλ. στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα). Η υποχρέωση αυτή υφίστατο με το μέχρι σήμερα ισχύον καθεστώς και βάρυνε τους υπευθύνους επεξεργασίας, δεν προβλέπεται όμως πλέον στον ΓΚΠΔ.

Στη θέση της, θεσπίζεται με τον νέο ΓΚΠΔ η υποχρέωση τήρησης αρχείων για όλες τις δραστηριότητες επεξεργασίας και όλων των δεδομένων προσωπικού χαρακτήρα, η οποία βαρύνει τους υπευθύνους επεξεργασίας και η υποχρέωση τήρησης αρχείων όλων των κατηγοριών δραστηριοτήτων επεξεργασίας, που διεξάγονται για λογαριασμό υπευθύνου επεξεργασίας , η οποία βαρύνει τους εκτελούντες την επεξεργασία (ά. 30 του ΓΚΠΔ). Οι υποχρεώσεις αυτές βαρύνουν αποκλειστικά τους υπεύθυνους επεξεργασίας και τους εκτελούντες επεξεργασία αντίστοιχα και αυτοί είναι αποκλειστικά υπεύθυνοι για την τήρησή τους (ασχέτως του ορισμού ΥΠΔ).

Επιγραμματικά, οι υποχρεώσεις των υπευθύνων και εκτελούντων την επεξεργασία, θα μπορούσαν να συνοψιστούν ως ακολούθως :

  1. Τήρηση αρχείου δραστηριοτήτων επεξεργασίας (άρθρο 30)
  2. Ορισμός υπεύθυνου προστασίας δεδομένων (ΥΠΔ) (άρθρα 37 – 39)
  3. Υποχρέωση εκπόνησης εκτίμησης αντικτύπου σχετικά με την προστασία των προσωπικών δεδομένων (άρθρα 35 και 36)
  4. Ασφάλεια επεξεργασίας (άρθρα 5 παρ. 1 στοιχ. στ΄ και 32)
  5. Προστασία των δεδομένων ήδη από το σχεδιασμό ή εξ ορισμού (άρθρο 4 παρ. 5, άρθρο 5 παρ.1 στοιχ. γ΄ και άρθρο 25)
  6. Γνωστοποίηση τυχόν παραβίασης προσωπικών δεδομένων στην εποπτική αρχή (υπό προϋποθέσεις και τα θιγόμενα πρόσωπα) (άρθρα 33 και 34)
  7. Εποπτεία του εκτελούντος την επεξεργασία (άρθρα 4 παρ. 8, 28 και 29)

Για την υλοποίηση των ανωτέρω υποχρεώσεων, χρήσιμα βήματα τόσο για τους υπευθύνους, όσο και για τους εκτελούντες επεξεργασία, είναι :

  • η κατανόηση των ζητημάτων που ανακύπτουν από τον ΓΚΠΔ (awareness),
  • η καταγραφή των δεδομένων και των διαδικασιών, συστημάτων και αρχείων (φυσικών και ψηφιακών) που τα περιέχουν (data inventory & data mapping),
  • η ανάλυση της απόκλισης από την συμμόρφωση με τον ΓΚΠΔ (Gap Analysis), δηλ. ο εντοπισμός των «αδυναμιών» των τεχνικών συστημάτων και της οργάνωσης της επεξεργασίας σε σχέση με τα απαιτούμενα από τον νέο ΓΚΠΔ ώστε να καταστεί δυνατή η διόρθωσή τους και η συμμόρφωση στον ΓΚΠΔ,
  • ο σχεδιασμός (ή ανασχεδιασμός) των κατάλληλων πολιτικών ροών δεδομένων και των επεξεργασιών που διενεργούνται, ώστε ο φορέας να είναι σε θέση να παρακολουθεί και να δημιουργήσει σύστημα τήρησης αρχείων.

II) Εισάγεται η υποχρέωση του υπεύθυνου επεξεργασίας για εκτίμηση αντικτύπου (Data protection impact assessment – DPIA) σχετικά με την προστασία δεδομένων σε συγκεκριμένες κατηγορίες επεξεργασιών. Ειδικότερα, ο υπεύθυνος επεξεργασίας υποχρεούται ρητά σε διενέργεια DPIA πριν από την κρίσιμη επεξεργασία κάθε φορά που ένα είδος επεξεργασίας, ιδίως με τη χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας αυτής, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. (ά. 35 παρ. 1 ΓΚΠΔ). Σύμφωνα με την προαναφερθείσα προσέγγιση βάσει κινδύνου που υιοθετεί ο ΓΚΠΔ, δεν απαιτείται η διενέργεια DPIA σε κάθε πράξη επεξεργασίας. Αυτό καθαυτό γεγονός της μη πλήρωσης των όρων που ενεργοποιούν την υποχρέωση διενέργειας DPIA δεν μειώνει, εντούτοις, τη γενική υποχρέωση των υπεύθυνων επεξεργασίας να εφαρμόζουν μέτρα για την ενδεδειγμένη διαχείριση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Στην πράξη, αυτό σημαίνει ότι οι υπεύθυνοι επεξεργασίας πρέπει να αξιολογούν συνεχώς τους κινδύνους που απορρέουν από τις δραστηριότητες επεξεργασίας τους, για να εξακριβώνουν πότε ένα είδος επεξεργασίας «ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων».

III) Εισάγεται η υποχρέωση για κατηγορίες υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία, να ορίσουν Υπεύθυνο Προστασίας Δεδομένων – ΥΠΔ (Data Protection Officer-DPO)

O ΥΠΔ αναλαμβάνει το ρόλο να οργανώσει και να κατευθύνει τον οργανισμό προς την ολοκλήρωση και τήρηση ενός ικανού προγράμματος συμμόρφωσης με τον ΓΚΠΔ, είναι το πρόσωπο που θα ενημερώσει, θα καταστρώσει, θα προτείνει  και θα επιβλέψει την τήρηση των υποχρεώσεων που επιβάλλονται με τον Νέο Κανονισμό, και οι οποίες, όπως ήδη προαναφέρθηκε, βαρύνουν αποκλειστικά και αυτοτελώς τον  υπεύθυνο επεξεργασίας και τον εκτελούντα.

Ακόμη, ο ΥΠΔ είναι το πρόσωπο στο οποίο θα απευθύνονται τα υποκείμενα των δεδομένων για οποιοδήποτε αίτημα ή παράπονο σχετικά με την επεξεργασία των δεδομένων τους από τον οργανισμό, θα διαχειριστεί τυχόν καταγγελίες και παραβάσεις και θα εκπροσωπήσει το φορέα (επιχείρηση/οργανισμό/δημόσια αρχή) στην εποπτική αρχή για κάθε σχετικό ζήτημα.

Ο ΓΚΠΔ δεν προβλέπει ειδικά κριτήρια ή πιστοποιήσεις για την επιλογή του ΥΠΔ, θεωρεί όμως ότι θα πρέπει να είναι πρόσωπο με μεγάλη εμπειρία στη νομοθεσία των προσωπικών δεδομένων και τη διαχείριση τυχόν σχετικών παραβάσεων που ταυτόχρονα θα διαθέτει σημαντική εξοικείωση με τα ηλεκτρονικά συστήματα επεξεργασίας και με τεχνικά ζητήματα ασφαλείας και θα κατανοεί τους κινδύνους που ελλοχεύουν στην πλημμελή ασφάλεια των συστημάτων.

Ο ρόλος του ΥΠΔ είναι ενημερωτικός, ανεξάρτητος και κυρίως συμβουλευτικός προς το φορέα. Ο ΥΠΔ θα προβεί στα περιγραφόμενα ανωτέρω βήματα και θα προτείνει τις ενέργειες που πρέπει να γίνουν για την τήρηση των υποχρεώσεων που θεσπίζονται με τον ΓΚΠΔ αλλα η ευθύνη για την τήρηση των υποχρεώσεων αυτών και για την συμμόρφωση στον Κανονισμό ανήκει αποκλειστικά στο φορέα. Ο ΥΠΔ δεν λαμβάνει εντολές, δεν καθοδηγείται και δεν φέρει πειθαρχικές ή άλλες ευθύνες κατά την εκτέλεση του έργου του. O νέος ΓΚΠΔ προβλέπει ρητά ότι ο ΥΠΔ δεν απολύεται και δεν υφίσταται κυρώσεις επειδή επιτέλεσε τα καθήκοντά του.  Συμμετέχει στη λήψη αποφάσεων και λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του οργανισμού/φορέα στον οποίο απασχολείται. Ο ΓΚΠΔ δεν αποκλείει το διορισμό ενός υπαλλήλου του Οργανισμού ως ΥΠΔ, παρά ταύτα η επιλογή αυτή ενέχει τόσο θετικά (γνώση και «εικόνα» του φορέα) όσο και αρνητικά (σύγκρουση καθηκόντων, συσχετισμοί δυνάμεων, δυσκολία ανεξαρτησίας) σημεία και δεόν να εξετάζεται με προσοχή.

Τα καθήκοντα του ΥΠΔ, συνοπτικά όπως αναφέρονται στο (ά. 39 παρ. 1 ΓΚΠΔ)
  • Ενημερωτικές/συμβουλευτικές υπηρεσίες σχετικά με υποχρεώσεις υπευθύνου επεξεργασίας & εκτελούντος την επεξεργασία
  • Παρακολούθηση εσωτερικής συμμόρφωσης
  • Εκτίμηση αντικτύπου (α. 35 ΓΚΠΔ) – Συμβουλευτικές υπηρεσίες κατόπιν αίτησης & παρακολούθηση υλοποίησης
  • Συνεργασία με εποπτική αρχή (ΑΠΔΠΧ)
  • Σημείο επικοινωνίας με εποπτική αρχή (ΑΠΔΠΧ)
  • Ο ΥΠΔ δεσμεύεται από καθήκον εχεμύθειας.

IV) Ο νέος ΓΚΠΔ εισάγει και πολλές ακόμη καινοτομίες όπως το δικαίωμα ανάκλησης της συναίνεσης, το δικαίωμα διόρθωσης/διαγραφής-λήθης, την πρόβλεψη για συγκατάθεση ανηλίκου και ά. με στόχο την ενδυνάμωση της θέσης των υποκειμένων των δεδομένων και τη στήριξή τους με δικλείδες προστασίας της ορθής και ασφαλούς επεξεργασίας των δεδομένων τους.

Πρόστιμα

Με το νέο Κανονισμό εκτοξεύεται το ύψος των επαπειλούμενων διοικητικών προστίμων σε περίπτωση διαπίστωσης παράβασης των διατάξεων του Κανονισμού, εφόσον δεν λαμβάνονται άλλα μέτρα. Μάλιστα αξίζει να επισημανθεί, ότι και αυτή η απουσία των κατάλληλων οργανωτικών μέτρων για συμμόρφωση με τον ΓΚΠΔ δύναται να επισύρει τα εν λόγω πρόστιμα, χωρίς καν να υφίσταται περίπτωση παράβασης.

Τα πρόστιμα μπορούν για συγκεκριμένες παραβάσεις των υποχρεώσεων των υπευθύνων και εκτελούντων επεξεργασία να φτάσουν μέχρι και τα 10.000.000 €, κατά περίπτωση δε μπορούν να εκτιναχτούν μέχρι και τα 20.000.000 € ενώ για τις επιχειρήσεις ορίζεται αναλόγως ότι μπορούν να φτάσουν έως και το 2% ή ακόμα και το 4% αντίστοιχα του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους.