Γράφει η Ιωάννα Λαγουμίδου
Δικηγόρος & Διαπιστευμένη Διαμεσολαβήτρια
Σύμβουλος Προστασίας Προσωπικών Δεδομένων

Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων - ΓΚΠΔ του Ευρωπαϊκού Συμβουλίου και Κοινοβουλίου - GENERAL DATA PROTECTION REGULATION - GDPR (αριθμός 679/2016/ΕΕ) ήλθε σαν το ιερό δισκοπότηρο της θωράκισης των ατομικών δικαιωμάτων όσον αφορά την προστασία των προσωπικών δεδομένων. Ευελπιστεί να φέρει συνεκτικότητα και ενότητα έναντι των ποικίλων ρυθμίσεων των νομοθεσιών των κρατών μελών που ίσχυαν μέχρι σήμερα και μεγαλύτερη προστασία τους λόγω του αυστηρότερου θεσμικού πλαισίου που ορίζει.  

Ημερομηνία έναρξης ισχύος του έχει ορισθεί για όλα τα κράτη της Ευρωπαϊκής Ενωσης η 25η Μαϊου 2018. 

Η θέσπιση ενός τέτοιου κανονισμού υπαγορεύθηκε από την αλματώδης ανάπτυξη του διαδικτύου και των δικτύων γενικά, τα οποία  διαμορφώνουν ένα διαφορετικό πλαίσιο παραγωγής και επεξεργασίας πληροφοριών, χωρίς τεχνολογικά εμπόδια. Ετσι, προσωπικές πληροφορίες, προσωπικά δεδομένα κυκλοφορούν, γίνονται αντικείμενο επεξεργασίας, αποθήκευσης, αποστολής,  με μεγάλη ευκολία. Ακόμα και φυσικά αντικείμενα, με το  Internet of things αποκτούν διαδικτυακή διεύθυνση επιτρέποντας την διασύνδεση των συσκευών,  κι εκεί συμπλέκονται  η επεξεργασία των προσωπικών πληροφοριών και η επικοινωνία.   

Ο Κανονισμός εισήγαγε καινοτόμες ρυθμίσεις ως προς τις μεθόδους, τους στόχους, τα εργαλεία και τα οργανωτικά χαρακτηριστικά της κρατικής παρέμβασης προς χάριν του γενικού συμφέροντος, δίνοντας το προβάδισμα στα άτομα και δευτερευόντως στο συμφέρον των άλλων. 

Τί είναι «δεδομένα προσωπικού χαρακτήρα»: ΚΑΘΕ πληροφορία που αφορά ταυτοποιημένο ή ΤΑΥΤΟΠΟΙΗΣΙΜΟ φυσικό πρόσωπο («υποκείμενο των δικαιωμάτων»). 

Σε τί αφορά ο κανονισμός: στην συλλογή, επεξεργασία και αποθήκευση δεδομένων προσωπικού χαρακτήρα φυσικών προσώπων, τόσο των απλών όσο και των ευαίσθητων δεδομένων. 

Τί είναι η επεξεργασία των προσωπικών δεδομένων;

Στο αρθρο 4 ο ίδιος ο Κανονισμός την ορίζει ως κάθε πράξη ή σειρά πράξεων, που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολο δεδομένων, όπως η συλλογή, η καταχώριση, η οργάνωση η διάρθρωση, η αποθήκευση , η προσαρμογή ή η μεταβολή ,η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση , η διάδοση η συσχέτιση, ο συνδυασμός, ο περιορισμός, η διαγραφή η΄ η καταστροφή. 

Πότε είναι νόμιμη η επεξεργασία; 

•    Βασική προϋπόθεση για το σύννομο της επεξεργασίας, είναι η καθαρή και ελεύθερη συναίνεση του υποκειμένου των δεδομένων (η οποία είναι ελεύθερα ανακλητή, οποτεδήποτε) (αρθρ. 6 Κανονισμού).  Στις περιπτώσεις των ευαίσθητων δεδομένων (φύλο, γενετικές πληροφορίες, βιομετρικές, πληροφορίες υγείας προσώπου, εθνοτικές, θρησκευτικές) πρέπει να είναι ρητή, έγγραφη, ξεκάθαρη. Κι όλ’ αυτά αναφορικά με τα φυσικά πρόσωπα και μόνο. 
•    Η συναίνεση πρέπει να έχει δοθεί για συγκεκριμένο σκοπό ή σκοπούς επεξεργασίας. 
•    Η επεξεργασία να είναι αναγκαία για την συμμορφωση με έννομη υποχρέωση του υπεύθυνου επεξεργασίας.
•    Η να είναι απαραίτητα για την  εκπλήρωση καθήκοντος   που εκτελείται προς το δημόσιο συμφέρον, 
•    Ή να είναι απαραίτητα για τους σκοπούς των εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος εκτός εάν των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων …ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.  

Ποιους αφορά, ποιοι πρέπει να συμμορφωθούν προς τον Κανονισμό;

Οποιονδήποτε είναι ο υπεύθυνος ή ο εκτελών επεξεργασία – όπως αυτή την ορίσαμε πιο πάνω-  των δεδομένων,  συλλέγει, επεξεργάζεται, αποθηκεύει , διατηρεί προσωπικά δεδομένα είτε βρίσκεται εγκατεστημένος μέσα στην Ευρωπαϊκή Ενωση είτε εκτός αυτής, αλλά οι δραστηριότητές του σχετίζονται με την προσφορά αγαθών ή υπηρεσιών  ή την παρακολούθηση συμπεριφοράς προσώπων που λαμβάνει χώρα  εντός της Ευρωπαϊκής Ένωσης. 

Για την πληρότητα πρέπει να αναφερθεί ότι ο Κανονισμός εφαρμόζεται και για την επεξεργασία δεδομένων προσωπικού χαρακτήρα όταν ο υπεύθυνος επεξεργασίας δεν είναι εγκατεστημένος εντός της ΕΕ, αλλά στον τόπο εγκατάστασής του εφαρμόζεται το δίκαιο του κράτους μέλους της ΕΕ δυνάμει του διεθνούς δικαίου.  

Τί πρέπει να κάνουν όσοι επεξεργάζονται δεδομένα:  

Να ενεργήσουν για να προλάβουν κι όχι να τρέχουν εκ των υστέρων για να θεραπεύσουν. 

Πρόληψη με:  

•    Καταγραφή των δεδομένων και των αρχείων τους όπου κι αν βρίσκονται τηρούμενα αυτά είτε ως ψηφιακά είτε ως φυσικά. 
•    Λήψη μέτρων προστασίας των δεδομένων που επεξεργάζονται, μέτρα ασφάλειας εξοπλισμού, χώρων, 
•    εκπαίδευση προσωπικού όσον αφορά  αυτούς που επεξεργάζονται τα δεδομένα, 
•    υπογραφή συμβάσεων εμπιστευτικότητος τόσο με προσωπικό όσο και με προμηθευτές και συνεργάτες, 
•    απόδοση ρόλων και καθορισμό «δικαιωμάτων χρηστών», 
•    ρητές προβλέψεις στο e-mail marketing , 
•    έλεγχος στο wi-fi, software updates, cryptography,  και άλλα πολλά. 

Για πρώτη φορά θεσμοθετείται η διενέργεια εκτίμησης αντικτύπου (Data protection impact assessment-DPIA) (αρθρο 35 ΓΚΠΔ) για ορισμένες και συγκεκριμένες κατηγορίες επεξεργασίας δεδομένων , ιδίως με την χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς επεξεργασίας … ο υπεύθυνος επεξεργασίας  διενεργεί πριν από την επεξεργασία εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας, στην προστασία των προσωπικών δεδομένων. Τούτο γίνεται σε συστηματική και εκτενή αξιολόγηση προσωπικών πτυχών φυσικών προσώπων βάσει αυτοματοποιημένης επεξεργασίας, περιλαμβανομένης της κατάρτισης προφιλ (profiling), συστηματική παρακολούθηση δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα κλπ. 

Επίσης για πρώτη φορά εισάγεται η υποχρέωση των υπεύθυνων επεξεργασίας και των εκτελούντων επεξεργασία ιδίως όσων επεξεργάζονται μεγάλο όγκο προσωπικών δεδομένων να διορίσουν Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ) - Data Protection officer -(DPO)-άρθρο 37 και επ. ΓΚΠΔ- ως το πρόσωπο εκείνο που θα επιβλέπει την συμμόρφωση του εκτελούντος την επεξεργασία ή του υπευθύνου με τον Κανονισμό, θα επικοινωνεί με την εποπτική αρχή, θα διαχειρίζεται κατάλληλα τυχόν καταγγελίες και γενικά θα ορίζει τις κατευθυντήριες γραμμές για την τήρηση των ορισμών του Κανονισμού από την επιχείρηση σε όλη την διάρκεια της λειτουργίας της και από όλα τα τμήματα. Το πρόσωπο τούτο πρέπει να είναι γνώστης του δικαίου των προσωπικών δεδομένων και του παρόντος Κανονισμού ώστε να εκτελεί το υπεύθυνο έργο του με ορθότητα και πληρότητα.   

Ο Κανονισμός θεσπίζει ιδιαίτερα δικαιώματα στο υποκείμενο των δεδομένων. Σε αυτά ξεχωρίζουν το Δικαίωμα στη «διόρθωση» –εφ’ όσον υπάρχουν αναληθείς εγγραφές, το δικαίωμα στη «διαγραφή», γνωστό και ως δικαίωμα στη «λήθη», το δικαίωμα «περιορισμού της επεξεργασίας», το δικαίωμα στη «φορητότητα» (που σημαίνει ότι το υποκείμενο έχει δικαίωμα να λαμβάνει τα δεδομένα του σε δομημένο= αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και δικαίωμα να διαβιβάζει τα δεδομένα σε άλλον υπεύθυνο επεξεργασίας, χωρίς αντίρρηση από τον πρώτο υπεύθυνο), εναντίωσης του υποκειμένου στην επεξεργασία, αντίρρησης στο profiling. 

Αν δεν συμμορφωθούν; Ο πιο πάνω Κανονισμός προβλέπει ένα κυρωτικό οπλοστάσιο που ξεκινά από εξουσίες  (αρθρο 58 ΓΚΠΔ) της εποπτικής αρχής όπως έρευνα, επίπληξη ή δικαστική προσφυγή και καταλήγει σε πολύ υψηλά διοικητικά πρόστιμα (αρθρο 83 ΓΚΠΔ) σε βάρος εκείνων  που δεν έχουν συμμορφωθεί ύψους έως 10 εκατομμυρίων ευρώ ή για επιχειρήσεις το 2% του παγκοσμίου τζίρου τους ή για παραβάσεις των ευαίσθητων δεδομένων τα πρόστιμα φθάνουν τα 20 εκατομμύρια ευρώ ή το 4%  του παγκοσμίου τζίρου τους. Το υποκείμενο των προσωπικών δεδομένων μπορεί να αναζητήσει την ικανοποίησή του σε περίπτωση προσβολής του και μέσω της δικαστικής οδού στρεφόμενο εναντίον τόσο του υπεύθυνου επεξεργασίας όσο και του εκτελούντος την επεξεργασία. 

Ο παρών Κανονισμός, δίνει προβάδισμα στον άνθρωπο και τα δεδομένα προσωπικού χαρακτήρα, οριοθετεί την επεξεργασία τους και δίνει δικαιώματα στο υποκείμενο να προστατευθεί έναντι κάθε υπερβολικής ή  καταχρηστικής επεξεργασίας αυτών. 

Η ημέρα έναρξης της εφαρμογής του ΓΚΠΔ, πλησιάζει και πρέπει να βρει όλους τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία, σε πλήρη συμμόρφωση για να προστατεύσουν κι εκείνη την δραστηριότητά τους. 

Για την προετοιμασία της συμμόρφωσης και την πληρότητα αυτής απαιτείται η συνεργασία του νομικού που γνωρίζει το αντικείμενο με το τμήμα πληροφορικής των επιχειρήσεων και άλλα τμήματα των Οργανισμών που εμπλέκονται στην επεξεργασία και αποθήκευση δεδομένων.