▹ Άμεση ▹ Oμοιόμορφη ▹ Δεσμευτική ▹ Και καταργεί κάθε αντίθετη εθνική ρύθμιση Το σχέδιο νόμου είναι ηδη σε διαβούλευση στο opengov απο τις 20/2/2018 μέχρι τις 5/3/2018 5
εκτελούντος την επεξεργασία στην Ε.Ε. ακόμη και εάν η επεξεργασία λαμβάνει σε χώρα εκτός Ε.Ε. ▹ Δραστηριότητα εγκατάστασης υπευθύνου ή εκτελούντος την επεξεργασία εκτός Ε.Ε. αλλά η επεξεργασία αφορά υποκείμενα δεδομένων που βρίσκονται εντός Ε.Ε. (π.χ. e-shop, profiling) 8
και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου ▹ παροχή πληροφοριών της παρ. 1 εντός ενός (1) μηνός από την παραλαβή του αιτήματος ή κατ’ εξαίρεση παράταση προθεσμίας για δυο (2) μήνες ▹ Ενημέρωση εντός ενός (1) μηνός για τους λόγους μη παροχής πληροφοριών και για την δυνατότητα υποβολής καταγγελίας στην αρμόδια εποπτική Αρχή και άσκησης δικαστικής προσφυγής. ▹ Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων - τήρηση αποδεικτικού παράδοσης αντιγράφου ▹ Ευθύνη του υπευθύνου επεξεργασίας 10
και εξ’ ορισμού – privacy by design / privacy by default ▹ Υποχρεώσεις και δεσμεύσεις του εκτελούντος την επεξεργασία ▹ Τήρηση αρχείων δραστηριοτήτων επεξεργασίας ▹ Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική Αρχή ▹ Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων-Privacy Impact Assessment ▹ Καθήκοντα του υπευθύνου προστασίας δεδομένων – DPO 11
στο υποκείμενο των δεδομένων εντός 1 μηνός (με δικαίωμα παράτασης 2 μηνών) ή ενημέρωση για τους λόγους τυχόν άρνησης (άρ. 12 παρ. 3) Δικαίωμα πρόσβασης στα δεδομένα Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει αυτό, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα 12
το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας α) χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων που το αφορούν και β) τη συμπλήρωση ελλιπών δεδομένων, μεταξύ άλλων μέσω συμπληρωματικής δήλωσης. Δικαίωμα στη λήθη Το υποκείμενο έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να τα διαγράψει, εάν ισχύουν οι αναφερόμενοι στο ΓΚΠΔ λόγοι 13
ισχύει στον βαθμό που η επεξεργασία είναι απαραίτητη: ▹ για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση, ▹ για την τήρηση νομικής υποχρέωσης ▹ για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας ▹ για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή επιστημονικής έρευνας ▹ για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων. 14
η ακρίβεια των δεδομένων αμφισβητείται ή είναι παράνομη ή ο υπεύθυνος επεξεργασίας δεν χρειάζεται πλέον τα δεδομένα για τους σκοπούς της επεξεργασίας ή το υποκείμενο έχει αντιρρήσεις για την επεξεργασία, εν αναμονή της επαλήθευσης του κατά πόσον οι νόμιμοι λόγοι του υπευθύνου επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων. 15
Το υποκείμενο έχει το δικαίωμα να λαμβάνει τα δεδομένα που το αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα ▹ Το υποκείμενο μπρεί να ζητά την απευθείας διαβίβαση των δεδομένων από έναν υπεύθυνο επεξεργασίας σε άλλον, σε περίπτωση που αυτό είναι τεχνικά εφικτό. 16
δικαιούται να αντιτάσσεται ανά πάσα στιγμή στην επεξεργασία δεδομένων που το αφορούν (επεξεργασία από δημόσιες αρχές ή από ιδιώτες) ▹ Το δικαίωμα εναντίωσης επισημαίνεται ρητώς στο υποκείμενο και περιγράφεται με σαφήνεια και χωριστά από οποιαδήποτε άλλη πληροφορία το αργότερο κατά την πρώτη επικοινωνία με αυτό. ▹ Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο. 17
δεν ισχύει όταν η απόφαση: ▹ είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ του υποκειμένου και του υπευθύνου επεξεργασίας ▹ επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο κ-μ ή ▹ βασίζεται στη ρητή συγκατάθεση του υποκειμένου. 18
Τήρηση αρχείου καταγραφής δραστηριοτήτων επεξεργασίας ▹ Συνεργασία με την εποπτική αρχή ▹ Λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων για την διασφάλιση της επεξεργασίας ▹ Eνημέρωση του υπευθύνου επεξεργασίας σε περίπτωση παραβίασης δεδομένων ▹ Oρισμός υπευθύνου προστασίας δεδομένων [DPO] ▹ Yπόκειται στον έλεγχο της εποπτικής αρχής ▹ Yπόκειται σε κυρώσεις διοικητικής, αστικής και ποινικής φύσης
Τήρηση αρχείου καταγραφής δραστηριοτήτων επεξεργασίας ▹ Συνεργασία με την εποπτική αρχή ▹ Λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων για την διασφάλιση της επεξεργασίας ▹ Eνημέρωση του υπευθύνου επεξεργασίας σε περίπτωση παραβίασης δεδομένων ▹ Oρισμός υπευθύνου προστασίας δεδομένων [DPO] ▹ Yπόκειται στον έλεγχο της εποπτικής αρχής ▹ Yπόκειται σε κυρώσεις διοικητικής, αστικής και ποινικής φύσης
Κατάργηση Γνωστοποιήσεων επεξεργασίας δεδομένων προς την εποπτική αρχή ▹ Περιορισμός αδειοδοτήσεων από την εποπτική αρχή για την επεξεργασία ειδικών κατηγοριών δεδομένων (άρθρο 9) ▹ Εφαρμογή μέτρων προστασίας δεδομένων ήδη από τον σχεδιασμό και εξ’ ορισμού (privacy by design-by default) ▹ Γνωστοποίηση παραβίασης δεδομένων στην εποπτική αρχή εντός 72 ωρών (άρ. 33). ▹ Ανακοίνωση παραβίασης δεδομένων στο υποκείμενο (άρ. 34) ▹ Διενέργεια εκτίμησης αντικτύπου (Privacy Impact Assessment) προ επικίνδυνης επεξεργασίας (άρ. 35)
Προηγούμενη διαβούλευση με την εποπτική αρχή με βάση το αποτέλεσμα της εκτίμησης αντικτύπου (αρ. 36) ▹ Ορισμός Υπευθύνου Προστασίας Δεδομέων – DPO (αρ. 37) ▹ Εκπόνηση και τήρηση Κώδικα Δεοντολογίας (αρ. 40) ▹ Θέσπιση μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας δεδομένων (αρ. 42) ▹ Εκπροσώπηση υποκειμένων δεδομένων για την προστασία των δικαιωμάτων τους, επιβολή κυρώσεων και διεκδίκηση αποζημίωσης από μη κερδοσκοπικό φορέα, οργάνωση ή ένωση (άρ. 80) – “Actio Popularis” ▹ Επιβολή διοικητικών προστίμων σε βάρος υπευθύνου ή εκτελούντος την επεξεργασία (άρ. 83)
την επεξεργασία: ▹ Διασφαλίζουν ότι ο DPO συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία των δεδομένων. ▹ Στηρίζουν τον DPO στην άσκηση των καθηκόντων του παρέχοντας απαραίτητους πόρους και πρόσβαση σε δεδομένα και πράξεις επεξεργασίας. ▹ Διασφαλίζουν ότι ο DPO δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις. Λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο. ▹ Τα υποκείμενα επικοινωνούν με τον DPO. ▹ Ο DPO δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας. ▹ Ο DPO μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις, χωρίς να υφίσταται σύγκρουση συμφερόντων .
την τήρηση των υποχρεώσεων βάσει της κείμενης νομοθεσίας, ▹ Παρακολουθεί τη συμμόρφωση ▹ Παρέχει συμβουλές σχετικά με την εκτίμηση αντικτύπου και παρακολουθεί την υλοποίησή της ▹ Συνεργάζεται με την εποπτική αρχή, ▹ Eνεργεί ως σημείο επικοινωνίας για την εποπτική αρχή. ▹ Λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.
αρχή ή φορέα. ▹ Όταν οι βασικές (“core”) δραστηριότητες επεξεργασίας απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή μεγάλης κλίμακας επεξεργασίας ειδικών κατηγοριών δεδομένων των άρθρων 9 και 10 ΓΚΠΔ. ▹ Βασικές δραστηριότητες: π.χ. δεδομένα υγείας σε νοσοκομεία (ιατρικοί φάκελοι), δεδομένα εικόνας και ήχου από εταιρία παροχής υπηρεσιών ασφαλείας. ▹ Μεγάλης κλίμακας: π.χ. νοσοκομεία, ασφαλιστικές εταιρίες, τράπεζες, διαδικτυακή επεξεργασία με σκοπό την εμπορική προώθηση – διαφήμιση, profiling. ▹ Τακτική και συστηματική παρακολούθηση: π.χ. διαδικτυακή έρευνα συμπεριφοράς, profiling, εντοπισμός θέσης μέσω δεδομένων κινητού τηλεφώνου, κάρτες «επιβράβευσης πίστης» (“loyalty cards”) κ.λπ. 25
αριθμός των εμπλεκόμενων υποκειμένων των δεδομένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του συναφούς πληθυσμού, ▹ Ο όγκος των δεδομένων και/ή το εύρος των διαφόρων στοιχείων δεδομένων, ▹ Η διάρκεια ή ο μόνιμος χαρακτήρας της δραστηριότητας επεξεργασίας, ▹ Η γεωγραφική έκταση της δραστηριότητας επεξεργασίας. 26
πλαίσιο της συνήθους λειτουργίας ενός νοσοκομείου, ▹ Δεδομένα μετακίνησης φυσικών προσώπων που χρησιμοποιούν το σύστημα δημόσιων μεταφορών μιας πόλης (π.χ., παρακολούθηση μέσω καρτών πολλαπλών διαδρομών), ▹ Δεδομένα σε πραγματικό χρόνο γεωγραφικού εντοπισμού πελατών διεθνούς αλυσίδας ταχυφαγείων για στατιστικούς σκοπούς από εκτελούντα την επεξεργασία που ειδικεύεται σε τέτοιου είδους δραστηριότητες, ▹ Δεδομένα πελατών στο πλαίσιο της συνήθους λειτουργίας μιας ασφαλιστικής εταιρείας ή μιας τράπεζας, ▹ Δεδομένα για σκοπούς συμπεριφορικής διαφήμισης από μηχανή αναζήτησης, ▹ Δεδομένα (περιεχόμενο, κίνηση, θέση) από παρόχους υπηρεσιών τηλεφωνίας ή διαδικτύου. 27
δεδομένων ασθενών από ιδιώτη ιατρό, ▹ Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα από ιδιώτη δικηγόρο. 28
παρακολούθησης των υποκειμένων δεν ορίζεται μεν στον ΓΚΠΔ, όμως περιλαμβάνει ξεκάθαρα όλες οι μορφές παρακολούθησης και διαμόρφωσης «προφίλ» στο διαδίκτυο, μεταξύ άλλων, και για σκοπούς συμπεριφορικής διαφήμισης. Η έννοια της παρακολούθησης δεν περιορίζεται, πάντως, στο επιγραμμικό (on line) περιβάλλον. 29
Εμπειρογνωσία στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, τόσο σε εθνικό όσο και σε ευρωπαϊκό επίπεδο, καθώς και άριστη γνώση του ΓΚΠΔ, ▹ Γνώση των πράξεων επεξεργασίας που διενεργούνται, ▹ Γνώση του τομέα των τεχνολογιών πληροφοριών και της ασφάλειας δεδομένων, ▹ Γνώση του τομέα δραστηριότητας και του οργανισμού, ▹ Ικανότητα ανάπτυξης νοοτροπίας προστασίας των δεδομένων στους κόλπους του οργανισμού.
ήδη από το σχεδιασμό και εξ ορισμού ▹ Τήρηση Αρχείων των δραστηριοτήτων επεξεργασίας ▹ Διασφάλιση κατάλληλου επίπεδου ασφάλειας έναντι των κινδύνων ■ Ψευδωνυμοποίηση και κρυπτογράφηση δεδομένων, ■ Διασφάλιση του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση, ■ Αποκατάσταση της διαθεσιμότητας και της πρόσβασης σε δεδομένα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος, ■ Διαδικασία για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.
απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται δεόντως υπόψη τα ακόλουθα: ▹ Η φύση, η βαρύτητα και η διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση, την έκταση ή το σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων ν που έθιξε η παράβαση και το βαθμό ζημίας που υπέστησαν, ▹ Ο δόλος ή η αμέλεια που προκάλεσε την παράβαση, ▹ Οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα ▹ Ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν
παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, ▹ Ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της, ▹ Οι κατηγορίες δεδομένων που επηρεάζει η παράβαση, ▹ Ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση, ▹ Η τήρηση εγκεκριμένων κωδίκων δεοντολογίας ή εγκεκριμένων μηχανισμών πιστοποίησης ▹ Κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.