Όταν υπουργεία, εφορίες, δήμοι,
του Χρήστου Ηλ. Τσίχλη (Δικηγόρου Αθηνών-Συνταγματολόγου)
O νέος Γενικός Κανονισμός (ΕΕ) 2016/679 δημιουργεί ένα αυστηρότερο θεσμικό πλαίσιο επεξεργασίας των προσωπικών δεδομένων και κατ’ επέκταση προστασίας τους. Οι χρηματικές ποινές που δύναται η Επίτροπος ευρωπαϊκής ένωσης να επιβάλει,κατόπιν καταγγελίας ή έρευνας, εκτοξεύονται από τις €30,000 (με το προγενέστερο νομοθετικό πλαίσιο), στα €10,000,000 και σε ορισμένες περιπτώσεις στα €20,000,000.
Σε περίπτωση παραβίασης προσωπικών δεδομένων, απευθυνόμαστε στην Αρχή προστασίας δεδομένων προσωπικού χαρακτήρα ή στον Εισαγγελέα Πρωτοδικών ή υποβάλουμε μήνυση ή καταθέτουμε καταγγελία στον ευρωπαίο επίτροπο.
Όποιος με πρόθεση επεµβαίνει χωρίς δικαίωµα µε οποιονδήποτε τρόπο σε αρχείο δεδοµένων προσωπικού χαρακτήρα και με την επέμβαση αυτή λαµβάνει γνώση των δεδοµένων αυτών ή τα αφαιρεί, αλλοιώνει, βλάπτει, καταστρέφει, επεξεργάζεται, µεταδίδει, ανακοινώνει, τα καθιστά προσιτά σε µη δικαιούµενα πρόσωπα ή επιτρέπει στα πρόσωπα αυτά να λάβουν γνώση των εν λόγω δεδοµένων, ή τα εκµεταλλεύεται µε οποιονδήποτε τρόπο, τιµωρείται µε φυλάκιση.
Εάν οι αξιόποινες πράξεις αφορούν ειδικές κατηγορίες δεδομένων ή δεδομένα που αναφέρονται σε ποινικές διώξεις, μέτρα ασφαλείας ή ποινικές καταδίκες τιμωρούνται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηµατική ποινή από δέκα χιλιάδες ευρώ (10.000) έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιµωρείται βαρύτερα από άλλες διατάξεις.
Αν ο υπαίτιος των πράξεων είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον, τιμωρείται με φυλάκιση τουλάχιστον τριών ετών και χρηματική ποινή από εκατό χιλιάδες ευρώ (100.000) έως τριακόσιες χιλιάδες ευρώ (300.000), εάν η πράξη δεν τιµωρείται βαρύτερα από άλλες διατάξεις.
Αν από τις πράξεις αυτές προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δηµοκρατικού πολιτεύµατος ή για την εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηµατική ποινή από εκατό χιλιάδες ευρώ (100.000) έως τριακόσιες χιλιάδες ευρώ (300.000).
Υπεύθυνος προστασίας δεδομένων που παραβιάζει την υποχρέωση εχεμύθειας που τον βαρύνει στο πλαίσιο του επαγγελματικού απορρήτου ανακοινώνοντας ή αποκαλύπτοντας σε άλλον γεγονότα ή πληροφορίες που περιήλθαν σε γνώση του από τη θέση του κατά την εκτέλεση των καθηκόντων του ή επ’ ευκαιρία αυτών, με σκοπό να ωφεληθεί ο ίδιος ή τρίτος, ή για να βλάψει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ή το υποκείμενο των δεδομένων ή οποιονδήποτε τρίτο τιμωρείται με ποινή φυλάκισης τουλάχιστον ενός (1) έτους και χρηματική ποινή από δέκα χιλιάδες (10.000) ευρώ έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιμωρείται βαρύτερα από άλλες διατάξεις.
Ο Ευρωπαίος Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα είναι η αρμόδια Ανεξάρτητη Αρχή της Δημοκρατίας που εποπτεύει την εφαρμογή της νομοθεσίας για την προστασία από την επεξεργασία των προσωπικών δεδομένων τόσο στο δημόσιο όσο και στον ιδιωτικό τομέα.Κάποιες από τις αρμοδιότητες του,είναι η εξέταση παραπόνων, η διενέργεια ελέγχων, η παροχή συμβουλών και καθοδήγησης σε υπεύθυνους επεξεργασίας και η ενημέρωση και ευαισθητοποίηση του κοινού σε θέματα προστασίας των δεδομένων τους.
Προσωπικά δεδομένα είναι οποιαδήποτε πληροφορία ταυτοποιεί ή μπορεί να ταυτοποιήσει ένα φυσικό πρόσωπο εν ζωή.
Επεξεργασία είναι η κάθε ξεχωριστή πράξη από την συλλογή, την διάθεση, την διανομή, την αποθήκευση μέχρι και την καταστροφή προσωπικών δεδομένων.
Ο κανονισμός ενισχύει υφιστάμενα δικαιώματα και δημιουργεί νέα με σκοπό να θωρακίσει τα προσωπικά δεδομένα στη νέα τεχνολογική εποχή της διάχυσης πληροφοριών και της αυτοματοποίησης.
Την ίδια ώρα εισάγει την νέα Αρχή της Λογοδοσίας που επιβάλλει την συνεχή υπόδειξη συμμόρφωσης με τον Κανονισμό από τους υπεύθυνους και εκτελούντες την επεξεργασία.
Αυτό, πρακτικά σημαίνει ότι, όποιος επεξεργάζεται προσωπικά δεδομένα θα πρέπει να αποδεικνύει την συμμόρφωση με τις πρόνοιες του Κανονισμού. Αφορά όλους όσοι τηρούν και επεξεργάζονται αρχεία προσωπικών δεδομένων πέραν από προσωπική και οικιακή χρήση. Αφορά σε όλους μας ως χρήστες έξυπνων συσκευών και καθημερινά, χρήστες του διαδικτύου.
Οι κυρώσεις που αφορούν στις χρηματικές ποινές που δύναται η Επίτροπος να επιβάλει εκτοξεύονται από τις €30,000 που είναι σήμερα στα €10,000,000 και €20,000,000 σε κάποιες περιπτώσεις και στο 2% και 4% αντίστοιχα της ετήσιας δραστηριότητας της εταιρείας κατά τον προηγούμενο χρόνο ότι κάθε φορά είναι ψηλότερο.
Βεβαίως κάποια από τα αδικήματα που αφορούν σε παραβιάσεις προσωπικών δεδομένων έχουν ποινική χρειά και οδηγούνται στο Δικαστήριο.
Σύμφωνα με το άρθρο 33 του Γενικού Κανονισμού Προστασίας Δεδομένων, «σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και αν είναι δυνατόν, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος, την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.
Πρόστιμο ύψους 385.000 λιρών (~433.000 ευρώ) επέβαλε στην Uber το Γραφείο της Ευρωπαίας Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα του Ηνωμένου Βασιλείου (ICO) για την ανεπαρκή προστασία των προσωπικών δεδομένων πελατών της κατά τη διάρκεια κυβερνοεπίθεσης.
Σύμφωνα με την βρετανική αρχή, μια σειρά κενών ασφαλείας που μπορούσαν να έχουν αποφευχθεί, επέτρεψε την πρόσβαση και τη λήψη προσωπικών δεδομένων περίπου 2.7 εκατομμυρίων πελατών από ένα σύστημα που λειτουργούσε σε cloud και διαχειριζόταν η αμερικανική μητρική εταιρεία της Uber.
Τα αρχεία περιλαμβάναν πλήρη ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου.
Παράλληλα, και η αρχή προστασίας δεδομένων της Ολλανδίας επέβαλε πρόστιμο ύψους 600.000 ευρώ στην Uber για το ίδιο περιστατικό.
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ), εισάγει την υποχρέωση γνωστοποίησης στον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ή σε περίπτωση διασυνοριακής παραβίασης στην Επικεφαλής Αρχή) της παραβίασης των προσωπικών δεδομένων και, σε ορισμένες περιπτώσεις, την γνωστοποίηση της παραβίασης στο υποκείμενο των δεδομένων, των οποίων τα προσωπικά δεδομένα έχουν επηρεαστεί από την παραβίαση.
Παρόμοιες υποχρεώσεις γνωστοποίησης υφίστανται για τους πάροχους δημόσια διαθέσιμων υπηρεσιών ηλεκτρονικών επικοινωνιών, όπως ορίζονται στον Περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμος του 2004 (112(I)/2004), άρθρο 98Α.
Η νέα απαίτηση γνωστοποίησης έχει πολλά οφέλη. Οι υπεύθυνοι επεξεργασίας μπορούν, κατά την γνωστοποίηση στον Επίτροπο, να λάβουν συμβουλές σχετικά με το εάν τα επηρεαζόμενα άτομα πρέπει να ενημερωθούν. Πράγματι, ο Επίτροπος μπορεί να συμβουλέψει ή να διατάξει τον υπεύθυνο επεξεργασίας να ενημερώσει το υποκείμενο των δεδομένων για την παραβίαση. Η γνωστοποίηση παραβίασης στο υποκείμενο των δεδομένων επιτρέπει στον υπεύθυνο επεξεργασίας να παρέχει πληροφορίες σχετικά με τους κινδύνους που παρουσιάζονται ως αποτέλεσμα της παραβίασης και τα βήματα που μπορούν να λάβουν τα άτομα για να προστατευθούν από τις πιθανές συνέπειες. Για το λόγο αυτό, η γνωστοποίηση παραβίασης πρέπει να θεωρείται ως ένα εργαλείο που ενισχύει τη συμμόρφωση σε σχέση με την προστασία των προσωπικών δεδομένων. Ταυτόχρονα, πρέπει να σημειωθεί ότι η παράλειψη γνωστοποίησης της παραβίασης στο υποκείμενο των δεδομένων ή στον Επίτροπο μπορεί να οδηγήσει στην επιβολή κυρώσεων στον υπεύθυνο επεξεργασίας σύμφωνα με το άρθρο 83 του ΓΚΠΔ.
Χρήσιμες πληροφορίες ή υποβολή καταγγελίας: www.dpa.gr
Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, Γραφεία: Κηφισίας 1-3, Τ.Κ. 115 23, Αθήνα
Τηλεφωνικό Κέντρο: +30-210 6475600, Fax: +30-210 6475628