Οι εξελίξεις που οδήγησαν στη δημιουργία του νέου Ευρωπαϊκού Γενικού Κανονισμού για τα Προσωπικά Δεδομένα, η στόχευση του κανονισμού και η επιλογή του ρυθμιστικού εργαλείου του Κανονισμού αποτελούν τα βασικά σημεία του πρώτου μέρους του άρθρου για το GDPR – General Data Protection Regulation.

Γρηγόρη Τσόλια
Δικηγόρου – ΜΔ Ποινικών Επιστημών
Μέλους (αν.) της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Μέλους της Ειδικής Νομοπαρασκευαστικής Επιτροπής του Υπουργείου Δικαιοσύνης για τον Κανονισμό 2016/679 και την Οδηγία 2016/680
Μέλους του Expert Group της Ε.Ε. για τον Κανονισμό 2016/679 και την Οδηγία 2016/680

Η ραγδαία τεχνολογική εξέλιξη, η παγκοσμιοποίηση, η πρόσβαση στο διαδίκτυο με την χρήση κινητών τερματικών συσκευών, τα κοινωνικά δίκτυα, οι υπηρεσίες υπολογιστικών νεφών και εν γένει η χρήση του διαδικτύου στο πλαίσιο τόσο προσωπικών, όσο και επαγγελματικών δραστηριοτήτων και συμπεριφορών που οδηγούν στην δημιουργία δεξαμενών προσωπικών δεδομένων, η παγκοσμιοποίηση καθώς και η διαβίβαση και ανταλλαγή δεδομένων μεταξύ διαφορετικών κρατών, κατέστησαν την Οδηγία 95/46/ΕΚ για την προστασία των δεδομένων προσωπικού χαρακτήρα, ξεπερασμένη.

Οι εξελίξεις αυτές απαιτούν ένα ισχυρό και πιο συνεκτικό πλαίσιο προστασίας των δεδομένων στην Ένωση, υποστηριζόμενο από αυστηρή εφαρμογή της νομοθεσίας, δεδομένου ότι είναι σημαντικό να δημιουργηθεί η αναγκαία εμπιστοσύνη που θα επιτρέψει στην ψηφιακή οικονομία να αναπτυχθεί στο σύνολο της εσωτερικής αγοράς. Σε αυτό το πλαίσιο, η ανάπτυξη της «ευρωπαϊκής πολιτικής ψηφιακής οικονομίας» συνιστά έναν επιπλέον παράγοντα που κατέστησε αναγκαία την κατάργηση της Οδηγίας 95/46/ΕΚ και την αντικατάσταση της με Κανονισμό.

Στόχευση του Κανονισμού

Από την ανάγνωση του Κανονισμού προκύπτει ότι η θέσπιση του αποσκοπεί:

  • Στην ενδυνάμωση των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων που αφορούν ιδίως την προστασία των προσωπικών δεδομένων και της ελεύθερης κυκλοφορίας τους.
  • Στην ανάγκη συνεκτικής και ομοιόμορφης εφαρμογής των κανόνων προστασίας των προσωπικών δεδομένων στην Ευρωπαϊκή Ένωση προκειμένου να αρθούν οι νομικές ασάφειες και η ανασφάλεια δικαίου στα κράτη μέλη.
  • Στην ανάγκη επίτευξης ισοδύναμου επιπέδου προστασίας σε όλα τα κράτη μέλη προς αποτροπή του κατακερματισμού της εφαρμογής του νομικού πλαισίου, της ανασφάλειας δικαίου και της αντίληψης ύπαρξης σημαντικών κινδύνων ιδίως στην επιγραμμική (on line) δραστηριότητα προκειμένου εν τέλει να αρθούν τα εμπόδια στην ελεύθερη κυκλοφορία των δεδομένων στην Ε.Ε. και στην άσκηση οικονομικών δραστηριοτήτων στην Ε.Ε.

 

Η επιλογή του ρυθμιστικού εργαλείου του Κανονισμού και οι σχετικές συνέπειες

Το ρυθμιστικό εργαλείο του Κανονισμού έναντι της Οδηγίας επελέγη προκειμένου να διασφαλιστεί συνεκτικό επίπεδο προστασίας σε όλη την Ε.Ε. και προς αποφυγή αποκλίσεων προκειμένου να προβλεφθεί το ίδιο επίπεδο νομικά εκτελεστών δικαιωμάτων και υποχρεώσεων καθώς και ευθυνών για τους υπευθύνους και εκτελούντες την επεξεργασία, αλλά και για την επιβολή ισοδύναμων κυρώσεων.

Έτσι, η εφαρμογή του Κανονισμού καθιστά υποχρεωτική την άμεση και ομοιόμορφη τήρηση των συναφών διατάξεων, οι οποίες δεσμεύουν τα κράτη μέλη ως προς το κανονιστικό περιεχόμενο τους και οδηγεί σε κατάργηση κάθε αντίθετης εθνικής ρύθμισης.

Ο Κανονισμός παρουσιάζει μια ιδιομορφία, με άμεσες έννομες συνέπειες: περιλαμβάνει διατάξεις που προσομοιάζουν με εκείνες των Οδηγιών, ώστε ο εθνικός νομοθέτης να υποχρεούται παράλληλα με την εφαρμογή του Κανονισμού να θεσπίσει εσωτερικό εθνικό δίκαιο προς εξειδίκευση και λεπτομερειακή ρύθμιση συγκεκριμένων ζητημάτων.

Αυτό αποτελεί και έναν από τους λόγους για τους οποίους ενώ ο Κανονισμός τέθηκε ήδη σε ισχύ από τις 24-5-2016, εν τέλει, θα τεθεί σε εφαρμογή στις 25-5-2018. Έτσι παρέχεται επαρκής χρόνος για την συμμόρφωση των υπόχρεων, για τη θέσπιση εθνικού νομικού πλαισίου και για την ενεργοποίηση της αρμόδιας εθνικής εποπτικής αρχής (προστασίας δεδομένων προσωπικού χαρακτήρα).

 Νεωτερισμοί του Κανονισμού

Α. Διεύρυνση εννοιών – προσθήκη ορισμών (άρθρο 4)

Με τον Κανονισμό διευρύνεται και εξειδικεύεται η έννοια των απλών δεδομένων (θέσης, επιγραμμικά [οn line] αναγνωριστικά στοιχεία ταυτότητας τα οποία παρέχονται από συσκευές, εφαρμογές, εργαλεία και πρωτόκολλα τους και διευκολύνουν τον εντοπισμό του υποκειμένου [ip addresses ή εντοπισμός θέσης μέσω GPS, cookies, RFID]) καθώς και των ευαίσθητων προσωπικών δεδομένων (γενετικά και βιομετρικά).

Επιπλέον, προστίθενται έννοιες όπως «περιορισμός της επεξεργασίας», «Κατάρτιση προφίλ», «ψευδωνυμοποίηση».

Β. Διεύρυνση πεδίου εφαρμογής: Δικαστικές και Εισαγγελικές Αρχές

Ενώ ο Κανονισμός εφαρμόζεται, μεταξύ άλλων, στις δραστηριότητες των δικαστηρίων και άλλων δικαστικών αρχών, παρέχεται η δυνατότητα στα κράτη μέλη να εξειδικεύσουν τις πράξεις και τις διαδικασίες επεξεργασίας σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από δικαστήρια και άλλες δικαστικές αρχές. Η αρμοδιότητα των εποπτικών αρχών δεν θα πρέπει να καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα, προκειμένου να διασφαλίζεται η ανεξαρτησία των δικαστικών λειτουργών κατά την άσκηση των δικαιοδοτικών τους καθηκόντων, περιλαμβανομένης της λήψης αποφάσεων.

Γ. Διεύρυνση εδαφικού πεδίου εφαρμογής (άρθρο 3)

Έχοντας ληφθεί υπόψη και η πρόσφατη νομολογία του ΔΕΕ, ο Κανονισμός διευρύνει το πεδίο εφαρμογής του και ισχύει σε κάθε:

– Δραστηριότητα εγκατάστασης υπευθύνου ή εκτελούντος την επεξεργασία στην Ε.Ε. ακόμη και εάν η επεξεργασία λαμβάνει σε χώρα εκτός Ε.Ε.

– Δραστηριότητα εγκατάστασης υπευθύνου ή εκτελούντος την επεξεργασία εκτός Ε.Ε. αλλά η επεξεργασία αφορά υποκείμενα δεδομένων που βρίσκονται εντός Ε.Ε. (π.χ. e-shop, profiling)

Δ. Επικαιροποίηση, συγκεκριμενοποίηση και προσθήκη Αρχών επεξεργασίας δεδομένων στον νέο Κανονισμό (άρθρο 5)

Στο άρθρο 5 του Κανονισμού περιλαμβάνονται παλαιότερες και επικαιροποιημένες αρχές επεξεργασίας δεδομένων, αλλά και νέες: Αρχή νομιμότητας, Αρχή αντικειμενικότητας, Αρχή διαφάνειας, Αρχή του σκοπού (και περιορισμού αυτού), Αρχή της ελαχιστοποίησης των δεδομένων, Αρχή της ακρίβειας (δικαίωμα διόρθωσης ή διαγραφής), Αρχή του περιορισμού, Αρχή της ακεραιότητας και εμπιστευτικότητας (ασφάλεια), Αρχή της λογοδοσίας.

Ε. Βασικός πυλώνας του Κανονισμού: Αρχή της Λογοδοσίας (άρθρο 5 παρ. 2)

Σύμφωνα με το άρθρο 5 παρ. 2 του Κανονισμού «Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει την συμμόρφωση με την παράγραφο 1(«λογοδοσία»)».

Έτσι, με βάση την αρχή της λογοδοσίας ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα απαραίτητα μέτρα ώστε ανά πάσα στιγμή να αποδεικνύει ότι εφάρμοσε τον Κανονισμό. Η αρχή της λογοδοσίας ως υποχρέωση διαρρέει τον Κανονισμό και την βρίσκουμε στις διατάξεις των άρθρων 12, 15 παρ. 3, 24, 25, 28, 30, 33, 35 και 39.

Πρόκειται για διάταξη «ομπρέλα» υπό την οποία τίθενται όλες οι αρχές επεξεργασίας του Κανονισμού και οφείλει ο υπεύθυνος επεξεργασίας αφενός να συμμορφώνεται, αφετέρου να αποδεικνύει ανά πάσα στιγμή την συμμόρφωση του.

ΣΤ. Ενδυνάμωση δικαιωμάτων υποκειμένων και αντίστοιχα ανάληψη αυστηρότερων υποχρεώσεων των υπευθύνων – νέες ρυθμίσεις

  1. i. Ενδυνάμωση δικαιωμάτων – Χαρακτηριστικό του νέου Κανονισμού είναι η ενδυνάμωση των δικαιωμάτων των υποκειμένων των δεδομένων ανάμεσα στα οποία:
  • H αυστηροποίηση των γενικών προϋποθέσεων παροχής νόμιμης συγκατάθεσης ενηλίκων (άρ. 4 παρ. 11, 6-7) και των ανηλίκων (άρ. 8)
  • H παροχή των αιτηθέντων πληροφοριών στο υποκείμενο των δεδομένων εντός 1 μηνός (με δικαίωμα παράτασης 2 μηνών) ή ενημέρωση για τους λόγους τυχόν άρνησης (άρ. 12 παρ. 3)
  • Tο δικαίωμα πρόσβασης του υποκειμένου στα δεδομένα που τηρούνται σε σχέση με την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων – κατάρτισης προφίλ (άρ. 15 παρ. 1 εδ. η’) και το δικαίωμα εναντίωσης του στην ανωτέρω επεξεργασία (αρ. 21-22), ιδίως για σκοπούς απευθείας εμπορικής προώθησης
  • Tο δικαίωμα στη φορητότητα των δεδομένων (άρ. 20)
  1. ii. Νέες ρυθμίσεις που εισάγονται με τον Κανονισμό:
  2. Πρόβλεψη υποχρεώσεων και ευθυνών πλέον και από τον εκτελούντα την επεξεργασία (άρ. 28 – αιτ.σκ.81), ανάμεσα στις οποίες:

Tήρηση αρχείου καταγραφής δραστηριοτήτων επεξεργασίας (άρ. 30 παρ. 2)

Συνεργασία με την εποπτική αρχή (άρ. 31)

Λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων για την διασφάλιση της επεξεργασίας (άρ. 32)

Ενημέρωση του υπευθύνου επεξεργασίας σε περίπτωση παραβίασης δεδομένων (άρ. 33 παρ. 2)

Ορισμός υπευθύνου προστασίας δεδομένων [DPO] (άρ. 37)

Υπόκειται στον έλεγχο της εποπτικής αρχής (άρ. 57-58)

Υπόκειται σε κυρώσεις διοικητικής, αστικής και ποινικής φύσης (άρ. 82-83-84)

  1. Κατάργηση Γνωστοποιήσεων επεξεργασίας δεδομένων προς την εποπτική αρχή (βλ. αιτ. σκ. 89)
  2. 3. Περιορισμός αδειοδοτήσεων από την εποπτική αρχή για την επεξεργασία ειδικών κατηγοριών δεδομένων (άρθρο 9 παρ. 4, 36 παρ. 5 και 58 παρ. 3, γ’-αιτ.σκ. 53)
  3. Εφαρμογή μέτρων προστασίας δεδομένων ήδη από τον σχεδιασμό και εξ’ ορισμού (privacy by design-by default)
  4. Γνωστοποίηση παραβίασης δεδομένων στην εποπτική αρχή εντός 72 ωρών (άρ. 33)
  5. Ανακοίνωση παραβίασης δεδομένων στο υποκείμενο (άρ. 34)
  6. Διενέργεια εκτίμησης αντικτύπου (Privacy Impact Assessment) προ επικίνδυνης επεξεργασίας (άρ. 35)
  7. Προηγούμενη διαβούλευση με την εποπτική αρχή με βάση το αποτέλεσμα της εκτίμησης αντικτύπου (αρ. 36)
  8. Ορισμός Υπευθύνου Προστασίας Δεδομέων – DPO (αρ. 37)
  9. Εκπόνηση και τήρηση Κώδικα Δεοντολογίας (αρ. 40)
  10. Θέσπιση μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας δεδομένων (αρ. 42)
  11. 12. Εκπροσώπηση υποκειμένων δεδομένων για την προστασία των δικαιωμάτων τους, επιβολή κυρώσεων και διεκδίκηση αποζημίωσης από μη κερδοσκοπικό φορέα, οργάνωση ή ένωση (άρ. 80) – “Actio Popularis”
  12. Επιβολή διοικητικών προστίμων σε βάρος υπευθύνου ή εκτελούντος την επεξεργασία (άρ. 83) έως 20.000.000,00 ευρώ ή σε περίπτωση επιχειρήσεων έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους

 

Συμπεράσματα – Αντί επιλόγου

Με τον Κανονισμό εισάγεται πλέον μια λογική «οιονεί αυτορρύθμισης» στο πεδίο της προστασίας των δεδομένων προσωπικού χαρακτήρα όπου την πρωτοβουλία εφαρμογής και συμμόρφωσης έχουν πλέον οι «βασικοί παίκτες» (υπεύθυνος και εκτελών την επεξεργασία) από μόνοι τους, ενώ ο συναφής εποπτικός έλεγχος διενεργείται κατά βάση κατασταλτικά αφού αφενός καταργείται η διαδικασία γνωστοποίησης της επεξεργασίας στην εποπτική αρχή και περιορίζεται η συναφής αδειοδότηση, αφετέρου, εισάγονται νέες ρυθμιστικές μέθοδοι, εργαλεία και ρόλοι προς ενδυνάμωση της πρόληψης αλλά και δημιουργίας μιας κουλτούρας προστασίας των δεδομένων προσωπικού χαρακτήρα, όπως η τήρηση των αρχείων καταγραφής της δραστηριότητας των δεδομένων, η εφαρμογή μέτρων προστασίας δεδομένων ήδη από τον σχεδιασμό και εξ’ ορισμού (privacy by design-by default), η διενέργεια εκτίμησης αντικτύπου (Privacy Impact Assessment), η προηγούμενη διαβούλευση με την εποπτική αρχή και ο ορισμός Υπευθύνου Προστασίας Δεδομένων (DPO) στον οποίο θα αναφερθούμε στο Β’ μέρος του άρθρου.