Στη διαβούλευση τέθηκε Νόμος για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα σε εφαρμογή του Κανονισμού (ΕΕ) 2016/679.
Τίθεται από σήμερα, 20.2.2018, σε δημόσια διαβούλευση η νομοθετική πρωτοβουλία του Υπουργείου Δικαιοσύνης, Διαφάνειας και Ανθρωπίνων Δικαιωμάτων, υπό τον τίτλο: «Θέσπιση νομοθετικών μέτρων για την εφαρμογή του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) και ενσωμάτωση στην εθνική έννομη τάξη της Οδηγίας 2016/680/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου και συμπληρωματικές διατάξεις».
Η διαβούλευση θα ολοκληρωθεί την Δευτέρα 5 Μαρτίου και ώρα 14.00.
Μπορείτε εδώ να δείτε το σχέδιο νόμου. Επίσης, μπορείτε να συμμετάσχετε στη διαβούλευση εδώ
Δείτε εδώ λεπτομέρειες για την υποχρέωση διορισμού υπευθύνου για την προστασία δεδομένων (DPO).
Επίσης μπορείτε να δείτε εδώ την Ετήσια Έκθεση Πεπραγμένων Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έτους 2016.
Η μη συμμόρφωση με τις απαιτήσεις του Κανονισμού επιφέρει σοβαρότατα πρόστιμα, στον υπεύθυνο επεξεργασίας προσωπικών δεδομένων ή στον εκτελούντα την επεξεργασία προσωπικών δεδομένων, που αγγίζουν ακόμα και τα 20.000.000 ευρώ ή το 4% του Κύκλου Εργασιών του Ομίλου Επιχειρήσεων του προηγούμενου έτους (ανάλογα με το ποιό ποσό είναι υψηλότερο).
Η σημασία της συμμόρφωσης στις επιταγές του Κανονισμού, εκτός από την αποφυγή των πολύ υψηλών προστίμων, έγκειται και στα εξής: σε περίπτωση που διαπιστωθεί παραβίαση ως προς την επεξεργασία των προσωπικών δεδομένων είναι σχεδόν σίγουρο ότι θα ακολουθήσουν και σχετικές αγωγές των θιγόμενων υποκειμένων των δεδομένων στα αστικά δικαστήρια, με άγνωστες συνέπειες για την εικόνα πχ μιας επιχείρησης ή εταιρείας.
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR-General Data Protection Regulation) θα τεθεί σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της ΕΕ στις 25.05.2018.
Προβλέπει υποχρεώσεις για τις επιχειρήσεις, το Δημόσιο και τους φορείς του, όπως, μεταξύ άλλων:
(α) να τηρούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων, δηλαδή να τα συλλέγουν για συγκεκριμένο νόμιμο σκοπό και μόνο όσα εξ’ αυτών είναι απαραίτητα, να μην τα υποβάλουν σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό, να τα επικαιροποιούν κλπ.,
(β) να τα μεταφέρουν εκτός ΕΕ υπό συγκεκριμένες προϋποθέσεις,
(γ) να δίνουν πρόσβαση στα προσωπικά δεδομένα μόνον υπό συγκεκριμένες συνθήκες,
(δ) να ανταποκρίνονται σε μία σειρά από αιτήματα (πχ διαγραφή των δεδομένων ή περιορισμό της επεξεργασίας),
(ε) να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα με απευθείας ενημέρωση ή δημόσια ανακοίνωση.
Οταν η επεξεργασία διενεργείται από Δημόσια Αρχή/φορέα, ή, οι βασικές δραστηριότητες του υπεύθυνου επεξεργασίας ή του εκτελούντα την επεξεργασία συνιστούν πράξεις επεξεργασίας, οι οποίες λόγω της φύσης, του πεδίου εφαρμογής και των σκοπών τους απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή, οι βασικές δραστηριότητες του υπεύθυνου επεξεργασίας ή του εκτελούντα την επεξεργασία συνιστούν μεγάλης κλίμακας πράξεις επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, τότε ορίζεται υποχρεωτικά υπεύθυνος προστασίας προσωπικών δεδομένων (DPO).
Τα καθήκοντά του είναι, μεταξύ άλλων:
- να ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία,
- να παρακολουθεί τη συμμόρφωση με τον Κανονισμό,
- να παρέχει συμβουλές, να συνεργάζεται με την εποπτική αρχή,
- να ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία κλπ.
Ο υπεύθυνος προστασίας δεδομένων (DPO), σύμφωνα με τον Κανονισμό (άρθρο 37), διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δημοσιεύουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα ανακοινώνουν στην εποπτική αρχή. Οταν επιτευχτεί η συμμόρφωση με τον Κανονισμό, ο DPO θα πρέπει σε ημερήσια βάση να εκτελεί τα καθήκοντα του.
Σε αντίθετη περίπτωση υπάρχει σοβαρότατος κίνδυνος επιβολής εξοντωτικών διοικητικών προστίμων, αλλά ελλοχεύει και ο κίνδυνος και άσκησης αγωγών με αίτημα χιλιάδων ευρώ εκ μέρους των υποκειμένων των δεδομένων, που θίχθηκαν.
Στέλιος Α. Μαυρίδης – Δικηγόρος LLM, cert. DPO
M | D | P & associates
Lawyers & Legal Consultants
Εγνατίας 83, 54635, Θεσσαλονίκη
τηλ. 2310281824, 2310288236, 2313037249
κιν. 6932328728
www.mavridislawfirm.com