(Δημοσιεύτηκε στο BussinessNews.gr)

Ι. Προοίμιο

Η Οδηγία 95/46/ΕΚ1, που είναι η κύρια νομοθετική πράξη για την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση, κατόρθωσε επί 23 έτη να διασφαλίζει την αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα και την εύρυθμη λειτουργία της ενιαίας αγοράς. Ωστόσο, η πράξη αυτή θεσπίστηκε πριν από 23 έτη, σε ένα πολύ πρώιμο τεχνολογικά περιβάλλον. Οι ραγδαίες τεχνολογικές εξελίξεις που ακολούθησαν δημιούργησαν νέες προκλήσεις στο πεδίο της προστασίας των δεδομένων προσωπικού χαρακτήρα. Η ταχεία ανάπτυξη της κοινωνίας της πληροφορίας, η παγκοσμιοποίηση καθώς και η ίδια η λειτουργία της ενιαίας αγοράς είχαν ως αποτέλεσμα την πρωτοφανή αύξηση στη συλλογή, ανταλλαγή και διασυνοριακή ροή δεδομένων τόσο από ιδιωτικές επιχειρήσεις όσο και από δημόσιες αρχές.

Οι υφιστάμενοι κανόνες εξακολουθούν μεν να καλύπτουν τους βασικούς στόχους της Ένωσης, δεν κατόρθωσαν, όμως, να έχουν τον απαιτούμενο βαθμό εναρμόνισης, με αποτέλεσμα να μη διασφαλίζεται το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα με επαρκή, αποτελεσματικό και ομοιόμορφο τρόπο. Στο πλαίσιο αυτό, κατέστη σαφής η ανάγκη υιοθέτησης ενός ενιαίου, ομοιόμορφου και πιο συνεκτικού πλαισίου προστασίας των δεδομένων προσωπικού χαρακτήρα.

Η Ευρωπαϊκή Επιτροπή ήδη από τον Ιανουάριο του 2012 πρότεινε τη μεταρρύθμιση των κανόνων προστασίας των δεδομένων προσωπικού χαρακτήρα, με τη θέσπιση ενός κανονισμού ο οποίος θα αντικαθιστούσε την Οδηγία 95/46/ΕΚ.

Τον Μάιο του 2016 δημοσιεύτηκε στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης το τελικό κείμενο του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ».

Ο εν λόγω κανονισμός τέθηκε σε ισχύ περί τα τέλη Μαΐου του ίδιου έτους, πλην όμως τίθεται σε εφαρμογή από τις 25 Μαΐου του έτους 2018. Κατά συνέπεια και λαμβανομένου υπ΄ όψιν ότι ως Κανονισμός έχει άμεση εφαρμογή στα κράτη – μέλη της Ευρωπαϊκής Ένωσης, όλες οι επιχειρήσεις, τα πρόσωπα και οι φορείς θα πρέπει από την 25η-5-2018 να συμμορφώνονται και να εφαρμόζουν τις διατάξεις του εν λόγω Κανονισμού.

ΙΙ. Ορισμοί

Πριν εισέλθουμε στην εξέταση των κυριότερων  αλλαγών που επιφέρει ο νέος Κανονισμός, κρίνεται σκόπιμη η σύντομη παράθεση ορισμένων βασικών εννοιών, όπως αυτές περιγράφονται αναλυτικά στο κείμενο του Κανονισμού:

  • «Δεδομένα προσωπικού χαρακτήρα»: Κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο  φυσικό πρόσωπο («υποκείμενο δεδομένων»). Ταυτοποιήσιμο είναι το φυσικό πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί άμεσα ή έμμεσα μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, σε δεδομένα θέσης ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
  • «Επεξεργασία»: Κάθε πράξη ή σειρά πράξεων που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, όπως π.χ. η συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, διάδοση, ανάκτηση, χρήση, διαγραφή, καταστροφή, κ.λπ..
  • «Υπεύθυνος επεξεργασίας»: Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
  • «Εκτελών την επεξεργασία»: Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.

 

ΙΙΙ. Κυριότερες αλλαγές (“Key changes”)

Όπως προαναφέρθηκε, στόχος του νέου Κανονισμού είναι η ομοιόμορφη και αποτελεσματικότερη προστασία των πολιτών της ΕΕ σε ένα ταχέως αναπτυσσόμενο τεχνολογικό και παγκόσμιο περιβάλλον. O νέος Κανονισμός διασφαλίζει υψηλό επίπεδο εναρμόνισης (άμεση εφαρμογή στα κράτη-μέλη), αφήνοντας ταυτόχρονα περιθώρια χειρισμών στα κράτη – μέλη, όπου και όταν αυτό κρίνεται απαραίτητο.

Ορισμένες από τις βασικές καινοτομίες – κυριότερες αλλαγές που εισήγαγε ο νέος Κανονισμός είναι οι ακόλουθες:

(i) Διεύρυνση του πεδίου εφαρμογής

Στο πεδίο εφαρμογής του Κανονισμού υπάγονται οι φορείς που έχουν την εγκατάστασή τους στην EE, ανεξάρτητα από το κατά πόσο η επεξεργασία λαμβάνει χώρα εντός της EE. Ο νέος Κανονισμός προβλέπει επίσης ότι ακόμη και φορείς, που δεν είναι εγκατεστημένοι στην ΕΕ, υποχρεούνται να εφαρμόζουν τον Κανονισμό, στην περίπτωση που προσφέρουν αγαθά ή υπηρεσίες στην αγορά της ΕΕ. Σήμερα οι φορείς που έχουν την εγκατάστασή τους στην ΕΕ πρέπει να ανταποκρίνονται σε διαφορετικά πρότυπα απ’ ό,τι οι εταιρίες που εδρεύουν εκτός της ΕΕ αλλά όμως ασκούν επιχειρηματική δραστηριότητα στην ενιαία αγορά. Με τη μεταρρύθμιση, οι εταιρείες που εδρεύουν εκτός ΕΕ θα πρέπει να εφαρμόζουν τους ίδιους κανόνες όταν προσφέρουν αγαθά ή υπηρεσίες στην αγορά της ΕΕ (ισότιμοι όροι ανταγωνισμού).

(ii) Ενίσχυση των δικαιωμάτων των υποκειμένων των δεδομένων

Ο νέος Κανονισμός ενισχύει τα ήδη υφιστάμενα δικαιώματα των υποκειμένων των δεδομένων (π.χ. δικαίωμα ενημέρωσης και πρόσβασης στα δεδομένα), ενώ παράλληλα κατοχυρώνει και νέα δικαιώματα.

Αξίζει δε να σημειωθεί πως ειδικά το δικαίωμα διαγραφής («δικαίωμα στη λήθη») κατοχυρώνεται πλέον με σαφή, διακριτό και ρητό τρόπο. Βάσει του δικαιώματος αυτού, το υποκείμενο των δεδομένων μπορεί να ζητήσει τη διαγραφή των δεδομένων που δεν τηρούνται για κάποιο συγκεκριμένο νόμιμο και δηλωμένο σκοπό.

Ο Κανονισμός προχωρά παράλληλα στην κατοχύρωση ενός νέου δικαιώματος, του «δικαιώματος στη φορητότητα». Σύμφωνα με αυτό, το υποκείμενο των δεδομένων έχει δικαίωμα να λάβει ή να ζητήσει τη μεταφορά των δεδομένων του, σε μηχαναγνώσιμη μορφή, από έναν υπεύθυνο επεξεργασίας σε άλλον, υπό συγκεκριμένες προϋποθέσεις.

(iii) Θέσπιση νέων  υποχρεώσεων

Ο Κανονισμός επιβάλλει μία σειρά νέων υποχρεώσεων τόσο στους υπεύθυνους επεξεργασίας όσο και στους εκτελούντες την επεξεργασία. Ειδικότερα :

  • Λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων: Ο υπεύθυνος επεξεργασίας οφείλει να αποδεικνύει -όποτε του ζητηθεί από την αρμόδια εποπτική αρχή- ότι έχει λάβει όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων προσωπικού χαρακτήρα (π.χ. ψευδωνυμοποίηση, ελαχιστοποίηση των δεδομένων, ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κ.ο.κ).
  • Προστασία δεδομένων κατά τον σχεδιασμό (“data protection by design”): O υπεύθυνος επεξεργασίας έχει υποχρέωση προστασίας των δεδομένων ήδη από τον σχεδιασμό των προϊόντων και υπηρεσιών, δημιουργώντας εξ αρχής φιλικές και κατάλληλες συνθήκες για την προστασία των προσωπικών δεδομένων.
  • Προστασία δεδομένων εξ ορισμού (“data protection by default”): O υπεύθυνος επεξεργασίας υποχρεούται να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα που να διασφαλίζουν εξ ορισμού ότι υφίστανται επεξεργασία μόνο τα δεδομένα που είναι απαραίτητα για το σκοπό της επεξεργασίας.
  • Ενίσχυση των προϋποθέσεων λήψης της συγκατάθεσης του υποκειμένου:  Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση πρέπει να υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση.
  • Γνωστοποίηση παραβιάσεων δεδομένων (“breach notification”): Ο υπεύθυνος επεξεργασίας υποχρεούται να γνωστοποιήσει αμελλητί –εντός 72 ωρών- την παραβίαση των δεδομένων προσωπικού χαρακτήρα προς την αρμόδια εποπτική αρχή καθώς και στο υποκείμενο των δεδομένων (εφόσον η παράβαση θέτει σε αυτό σοβαρούς κινδύνους).
  • Ανάθεση της επεξεργασίας σε εκτελούντα την επεξεργασία: Η επεξεργασία δεδομένων από τον εκτελούντα την επεξεργασία πρέπει να διέπεται υποχρεωτικά από σύμβαση ή άλλη νομική πράξη, η οποία πρέπει να έχει το ειδικό περιεχόμενο που προβλέπει ο Κανονισμός.
  • Τήρηση αρχείου των δραστηριοτήτων επεξεργασίας:  Κάθε υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία οφείλει να τηρεί –σε γραπτή ή ηλεκτρονική μορφή- αναλυτικό αρχείο των δραστηριοτήτων επεξεργασίας στις οποίες προβαίνει. Σημειωτέον ότι η υποχρέωση τήρησης αρχείου δραστηριοτήτων δεν ισχύει για επιχειρήσεις ή οργανισμούς που απασχολούν λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων ή δεδομένα που αφορούν ποινικές καταδίκες.
  • Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων και προηγούμενη διαβούλευση (“Data Protection Impact Assessment”): Υπό το καθεστώς του νέου Κανονισμού, δεν υφίσταται πλέον γενική υποχρέωση γνωστοποίησης – άδειας από την αρμόδια εποπτική αρχή για την επεξεργασία των δεδομένων. Σε αντικατάσταση της γενικής υποχρέωσης γνωστοποίησης – άδειας από την αρμόδια αρχή, όταν η επεξεργασία ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα των ατόμων, ιδίως επειδή είναι συστηματική, μεγάλης κλίμακας, αφορά ειδικές κατηγορίες δεδομένων και βασίζεται στη χρήση νέων τεχνολογιών, ο υπεύθυνος επεξεργασίας πρέπει να διενεργήσει εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων. Όταν βάσει της διενεργηθείσας εκτίμησης επιπτώσεων και παρά την πρόβλεψη μέτρων προστασίας παραμένει υψηλή επικινδυνότητα της επεξεργασίας, ο υπεύθυνος επεξεργασίας υποχρεούται να προβεί σε προηγούμενη διαβούλευση με την εποπτική Αρχή.
  • Ορισμός υπευθύνου προστασίας δεδομένων (“Data Protection Officer”): Μια  νέα υποχρέωση που προβλέπεται για τα πρόσωπα που επεξεργάζονται προσωπικά δεδομένα2, είναι ο ορισμός «υπεύθυνου προστασίας δεδομένων». Το πρόσωπο αυτό έχει το ρόλο του θεματοφύλακα των προσωπικών δεδομένων και είναι αρμόδιο, μεταξύ άλλων, (α) να παρακολουθεί τη συμμόρφωση του φορέα με το νόμο, (β) να επικοινωνεί με την αρμόδια εποπτική αρχή και γενικά (γ) να συμβουλεύει τον φορέα για κάθε ζήτημα που άπτεται της προστασίας των δεδομένων προσωπικού χαρακτήρα. Ο υπεύθυνος προστασίας δεδομένων ορίζεται βάσει επαγγελματικών προσόντων και μπορεί να είναι μέλος του προσωπικού του φορέα ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.

Η υποχρέωση ορισμού «υπεύθυνου προστασίας δεδομένων» ισχύει σε κάθε περίπτωση, που:

(α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,

(β) οι βασικές δραστηριότητες του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνίστανται σε πράξεις επεξεργασίας που λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή

(γ) οι βασικές τους δραστηριότητες του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία έχουν να κάνουν με μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (π.χ. δεδομένα που αφορούν την φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, επεξεργασία γενετικών ή βιομετρικών δεδομένων και δεδομένων που αφορούν την υγεία, την σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό) και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 του Κανονισμού.

(iv) Κώδικες δεοντολογίας – Πιστοποίηση

Ο νέος Κανονισμός ενθαρρύνει τη σύνταξη κωδίκων δεοντολογίας από ενώσεις και άλλους φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία, οι οποίοι δύνανται να υποβάλλονται προς έγκριση στην αρμόδια εποπτική αρχή. Ομοίως, ενθαρρύνεται και η θέσπιση μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας δεδομένων προς απόδειξη της συμμόρφωσης με τον Κανονισμό. Σημειώνεται πως η εκπόνηση κωδίκων δεοντολογίας καθώς και η λήψη πιστοποίησης είναι αμφότερα προαιρετικά.

(v) Πρόστιμα

  • Τα πρόστιμα που επαπειλούνται σε περίπτωση παραβίασης του Κανονισμού – και ανάλογα με το είδος της κάθε παραβίασης– ανέρχονται έως το ποσό των 10.000.000 ευρώ ή σε περίπτωση επιχειρήσεων έως και το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (όποιο είναι υψηλότερο). Σε συγκεκριμένες δε περιπτώσεις, (όπως λ.χ. για παραβάσεις σε βάρος των δικαιωμάτων των υποκειμένων, ή των βασικών αρχών επεξεργασίας) τα πρόστιμα που επιβάλλονται ανέρχονται έως το ποσό των 20.000.00 ευρώ ή σε περίπτωση επιχειρήσεων έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (όποιο είναι υψηλότερο).
  • Από τις θεσπιζόμενες κυρώσεις καθίσταται φανερό ότι ο νέος Κανονισμός επιχειρεί να δημιουργήσει ένα αυστηρότερο πλαίσιο προστασίας των δεδομένων προσωπικού χαρακτήρα.

 

(vi) Συνεργασία εποπτικών αρχών – Συνεκτικότητα:

  • Θέσπιση του λεγόμενου «μηχανισμού συνεκτικότητας»: Προκειμένου να διασφαλιστεί η συνεκτική εφαρμογή του Κανονισμού σε ολόκληρη την Ένωση, θεσπίσθηκε μηχανισμός συνεκτικότητας για τη συνεργασία μεταξύ των εποπτικών αρχών. Ο εν λόγω μηχανισμός θα εφαρμόζεται, για παράδειγμα, όταν μια εποπτική αρχή σκοπεύει να θεσπίσει μέτρο που πρόκειται να παραγάγει έννομες συνέπειες όσον αφορά πράξεις επεξεργασίας που επηρεάζουν ουσιωδώς σημαντικό αριθμό υποκειμένων των δεδομένων σε περισσότερα κράτη μέλη.
  • Σύσταση Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων: Προβλέπεται η σύσταση ενός νέου οργάνου με αποφασιστικές αρμοδιότητες σε επίπεδο ΕΕ, το οποίο θα φέρει την ονομασία «Συμβούλιο Προστασίας Δεδομένων», και θα διαδραματίζει καίριο ρόλο στην προαγωγή του «μηχανισμού συνεκτικότητας». Στο Συμβούλιο Προστασίας Δεδομένων θα εκπροσωπούνται όλες οι εθνικές εποπτικές Αρχές.
  • Θέσπιση του «μηχανισμού μίας στάσης» (“one stop shop”): Σύμφωνα με τον μηχανισμό αυτό, σε ειδικές περιπτώσεις που ένας φορέας είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη και προβαίνει σε διασυνοριακή επεξεργασία δεδομένων, προβλέπεται συνεργασία μεταξύ της επικεφαλής εποπτικής Αρχής (του τόπου κύριας εγκατάστασης ενός φορέα) και των ενδιαφερόμενων εθνικών Αρχών στην αρμοδιότητα των οποίων μπορεί να εμπίπτει μια υπόθεση διευρωπαϊκού ενδιαφέροντος. Σκοπός είναι η διασφάλιση της ομοιογένειας στην αντιμετώπιση τέτοιων υποθέσεων.

 

IV. Συμπέρασμα

Οι καινοτομίες που εισάγει ο Κανονισμός επιχειρούν να δημιουργήσουν ένα ομοιόμορφο, συνεκτικό και αυστηρότερο πλαίσιο προστασίας των δεδομένων προσωπικού χαρακτήρα. Ο νέος Κανονισμός αναμένεται να τεθεί σε εφαρμογή σε λίγους μόλις μήνες (25 Μαΐου 2018), πράγμα που σημαίνει πως έχει ήδη ξεκινήσει η αντίστροφη μέτρηση για τις επιχειρήσεις και το Δημόσιο, οι οποίοι καλούνται να τροποποιήσουν τις δομές τους και να λάβουν τα αναγκαία μέτρα για τη συμμόρφωση με τις προβλέψεις του.

 

  1. Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των  δεδομένων αυτών» της 23.11.1995.
  2. Αφορά τόσο τους υπεύθυνους επεξεργασίας όσο και τους εκτελούντες την επεξεργασία (βλ. ά. 37 του Κανονισμού).