Ο νέος εθνικός νόμος για τα προσωπικά δεδομένα: Το τελευταίο κομμάτι του παζλ «GDPR»

Του Χρήστου Ζαγγανά,
IT Governance, Legal Consultant της PRIORITY*

Στις 26-08-2019 ψηφίστηκε στην Βουλή ο Ν.4624/2019 για την εφαρμογή του GDPR στην ελληνική έννομη τάξη. Ο νέος Νόμος αποτελεί ένα πολύ «βαρύ» νομικό κείμενο και είναι βέβαιο πως θα χρειαστεί ένα ικανό χρονικό διάστημα ώστε οι φορείς και οι επιχειρήσεις να κατανοήσουν αν και πως θα πρέπει να προσαρμόσουν τα προγράμματα συμμόρφωσης GDPR που ακολουθούν, στις επιπλέον υποχρεώσεις του νέου Νόμου. Παρά ταύτα τα βασικά σημεία που θα πρέπει να απασχολήσουν τους υπεύθυνους επεξεργασίας (ΥΕ) και τους εκτελούντες την επεξεργασία φαίνεται να ξεχωρίζουν.

Κατ’ αρχάς, εισάγονται πληθώρα διατάξεων που αφορούν την επεξεργασία προσωπικών δεδομένων στον Δημόσιο τομέα. Δίνεται ορισμός του όρου «Δημόσιος φορέας» ως προς την νομοθεσία προσωπικών δεδομένων, στον οποίο συμπεριλαμβάνονται και τα νομικά πρόσωπα ιδιωτικού δικαίου που ανήκουν στο κράτος ή επιχορηγούνται κατά τουλάχιστον 50% από αυτό ή που η διοίκησή τους ορίζεται από αυτό. Επίσης, εισάγεται ρητή υποχρέωση ορισμού DPO από όλους τους δημόσιους φορείς, δικαίωμα περισσοτέρων φορέων να ορίσουν κοινό DPO αν αυτό δικαιολογείται από την οργανωτική δομή τους και τις συνθήκες λειτουργίας τους, καθώς και τα δικαιώματα και οι υποχρεώσεις των DPO του Δημοσίου Τομέα. Τέλος, εισάγονται ορισμένες νομικές βάσεις επεξεργασίας και δυνατότητες περιορισμού των δικαιωμάτων του υποκειμένου των δεδομένων, χρήση των οποίων μπορεί να γίνει αποκλειστικά από Δημόσιους Φορείς, ενώ ορίζονται και οι προϋποθέσεις υπό τις οποίες επιτρέπεται να παρέχεται πρόσβαση σε έγγραφα του Δημοσίου.

Σε ό,τι αφορά την επεξεργασία ειδικών κατηγοριών (ευαίσθητων) δεδομένων, εξειδικεύονται οι προϋποθέσεις χρήσης για κάποιες από τις νομικές βάσεις επεξεργασίας του GDPR, ενώ ταυτόχρονα εισάγεται υποχρέωση των ΥΕ και τον εκτελούντων προς λήψη επιπλέον μέτρων προστασίας των συμφερόντων του υποκειμένου των δεδομένων, όταν η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων.

Σημαντικό κομμάτι του νόμου αποτελούν οι διατάξεις για την επεξεργασία δεδομένων στα πλαίσια σχέσεων εργασίας. Ορίζονται συγκεκριμένες νομικές βάσεις επεξεργασίας δεδομένων που θα πρέπει να χρησιμοποιούνται στα πλαίσια εργασιακών σχέσεων. Προβλέπεται ρητά πως η συγκατάθεση θα πρέπει να χρησιμοποιείται ως νομική βάση στην εργασία μόνο καθ’ εξαίρεση, και δίνονται κριτήρια που θα πρέπει να χρησιμοποιούν οι εργοδότες για να βεβαιωθούν πως η συγκατάθεση είναι ελεύθερη και σύννομη. Εισάγεται πρόβλεψη για επεξεργασία προσωπικών δεδομένων βάσει συλλογικών συμβάσεων εργασίας. Επιπλέον, ορίζονται κριτήρια για την σύννομη χρήση συστημάτων CCTV στους χώρους εργασίας.

Επίσης, ο νόμος συμπεριλαμβάνει σημαντικό αριθμό υποπεριπτώσεων στις οποίες επιτρέπεται στον ΥΕ ή τον εκτελούντα την επεξεργασία να αρνηθεί ή να μην ικανοποιήσει πλήρως κάποιο αίτημα του υποκειμένου των δεδομένων για την άσκηση συγκεκριμένων δικαιωμάτων που αφορούν στα προσωπικά του δεδομένα. Εισάγονται επίσης συγκεκριμένες και αυστηρές προϋποθέσεις για την χρήση προσωπικών δεδομένων για διαφορετικούς σκοπούς από αυτούς για τους οποίους συλλέχθηκαν.

Θεσμοθετούνται ποινικές κυρώσεις για εγκλήματα που αφορούν παραβάσεις όπως η παράνομη πρόσβαση, διαγραφή, μεταβίβαση, πώληση κ.λπ. προσωπικών δεδομένων, οι οποίες μπορούν να οδηγήσουν ακόμα και σε κάθειρξη του δράστη και επιβολή προσωπικών χρηματικών ποινών έως και 300.000€.

Ο νέος νόμος περιέχει σωρεία επιπλέον ενδιαφερόντων μέτρων ως προς την νομοθεσία των προσωπικών δεδομένων. Το μόνο βέβαιο είναι πως πλέον, με την παράλληλη εφαρμογή του Ν.4624/2019 και των διατάξεων του GDPR, αρχίζει να δημιουργείται ένα σταθερό νομοθετικό πλαίσιο προστασίας προσωπικών δεδομένων στην χώρα μας, στο οποίο πρέπει να ανταποκριθούν φορείς και επιχειρήσεις· ενώ είναι δεδομένο πως η αγορά θα πρέπει να αναπτύξει τους απαραίτητους μηχανισμούς για να μπορεί να προσαρμόζεται οργανικά στο συνεχώς δυναμικά μεταβαλλόμενο φαινόμενο στο οποίο έχει εξελιχθεί, στη σημερινή εποχή, το πλαίσιο χρήσης και προστασίας των προσωπικών δεδομένων.

Φυσικά, οι επιχειρήσεις που θα ενσωματώσουν πρώτες την παραπάνω ικανότητα προσαρμογής στην καθημερινή τους λειτουργεία, θα μπορούν να αδράξουν άμεσα πλεονεκτήματα όπως η χρήση του νομοθετικού πλαισίου για την εξασφάλιση της σύννομης χρήσης των δεδομένων που χρησιμοποιούν σε καθημερινή βάση, η ελαχιστοποίηση του ρίσκου μη συμμόρφωσης τους, αλλά και το γεγονός πως θα χαίρουν της εμπιστοσύνης των πελατών τους και των καταναλωτών, για τον σεβασμό που υποδεικνύουν προς αυτούς, κατά τη χρήση των δεδομένων τους.

*Με αφορμή τον Εθνικό Νόμο για τη διαχείριση των δεδομένων προσωπικού χαρακτήρα που ψηφίστηκε στις 29 Αυγούστου και την έκδοση του νέου προτύπου ISO 27701, η PRIORITY, σε συνεργασία με την Performance Technologies, διοργανώνει το 24ωρο σεμινάριο DPO Masterclass: Unlock your potential with the GDPR experts, στις  29-31 Οκτωβρίου 2019 (09:30-17:30) στα κεντρικά γραφεία της PRIORITY, Σοφοκλή Βενιζέλου 49-51, Λυκόβρυση, Αθήνα, ΤΚ 141 23.

Στο συγκεκριμένο κύκλο, θα πραγματοποιηθεί ανάλυση του Νέου Εθνικού Νόμου (Ν.4624/2019) καθώς και του νέου προτύπου ISO 27701 για την αποτελεσματική εφαρμογή ενός Συστήματος Διαχείρισης Προσωπικών Δεδομένων (PIMS). Για περισσότερες λεπτομέρειες για το σεμινάριο και την εγγραφή σας, επικοινωνήστε με το τμήμα εκπαίδευσης, στο τηλέφωνο 210-2509900 είτε ηλεκτρονικά στο email: executiveseminars@priority.com.gr