Ολοκληρώθηκε τη Δευτέρα 5 Μαρτίου 2018, η δημόσια διαβούλευση για τον ελληνικό Νόμο για την Προστασία των Δεδομένων Προσωπικού Χαρακτήρα. Ο νόμος, ο οποίος μετά την ψήφισή του, θα ισχύει παράλληλα με τον Κανονισμό 2016/679, εξειδικεύει τις έννοιες του Κανονισμού και ταυτόχρονα μεταφέρει την Οδηγία 2016/680 για την προστασία δεδομένων από τις διωκτικές και προανακριτικές αρχές και τις εισαγγελίες στο ελληνικό δίκαιο.

Με το νομοσχέδιο αυτό, η ελληνική κυβέρνηση φαίνεται να επιδιώκει τη συνολική κωδικοποίηση των διατάξεων για την προστασία των δεδομένων προσωπικού χαρακτήρα σε ένα αναλυτικό κείμενο 73 άρθρων με το οποίο καταργείται ρητά ο προϊσχύσας Ν. 2472/1997.

Το κείμενο, όπως τέθηκε σε διαβούλευση, ακολουθεί το πνεύμα και τις επιταγές της ευρωπαϊκής νομοθεσίας, εξειδικεύοντας τα σημεία που ο Κανονισμός αφήνει ανοιχτά στην ερμηνεία του εθνικού νομοθέτη. Τι ακριβώς προστίθεται όμως και τι αλλάζει στο νομικό πλαίσιο που αφορά τις επιχειρήσεις, όπως αυτό έχει συζητηθεί ως σήμερα;

1. Πεδίο εφαρμογής

Επαναλαμβάνονται οι ορισμοί του άρθρου 4 του Κανονισμού και επιβεβαιώνεται ο ρόλος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) ως εποπτικής αρχής για τους υπευθύνους επεξεργασίας που εδρεύουν και τα υποκείμενα των δεδομένων που κατοικούν στην Ελλάδα.

2. Τοποθέτηση κλειστών κυκλωμάτων τηλεόρασης

Κατοχυρώνεται νομοθετικά η επεξεργασία δεδομένων μέσω κλειστού κυκλώματος τηλεόρασης με βάση τη νομική βάση του εννόμου συμφέροντος του υπευθύνου επεξεργασίας. Σε συμφωνία με τις Οδηγίες της ΑΠΔΠΧ, διευκρινίζεται ότι η τοποθέτηση κλειστού κυκλώματος σε ιδιωτική κατοικία δεν εκφεύγει του πεδίου εφαρμογής του Κανονισμού, αν το πεδίο ελέγχου της κάμερας περιλαμβάνει εξωτερικούς δημόσιους ή κοινόχρηστους χώρους. Τίθεται επιπλέον ως ανώτατο χρονικό όριο για την καταστροφή των αρχείων εγγραφής των κυκλωμάτων αυτών οι 15 ημέρες ή οι 3 μήνες σε περίπτωση συμβάντος που απαιτεί περαιτέρω διερεύνηση. Αν υπάρχει ανάγκη για τη μη καταστροφή των αρχείων και μετά από αυτό το χρονικό διάστημα, ο υπεύθυνος επεξεργασίας υποχρεούται να ειδοποιήσει την ΑΠΔΠΧ. Τέλος, υπογραμμίζεται η ύπαρξη του δικαιώματος πρόσβασης του υποκειμένου των δεδομένων που απεικονίζεται στο αρχείο του κυκλώματος, εκτός αν δεν απεικονίζεται σε αυτό ή αν έχει ήδη διαγραφεί.

3. Επεξεργασία Δεδομένων Ανηλίκων

Στο κρίσιμο και ευαίσθητο ζήτημα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των ανηλίκων, ακολουθώντας τις κατευθύνσεις που δίνει ο Κανονισμός στο άρθρο 8, ο ελληνικός νόμος ορίζει ως νόμιμη τη συγκατάθεση που δίνεται από παιδί ηλικίας 15 ετών και πάνω. Διαφορετικά, η συγκατάθεση πρέπει να εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού.

4. Ειδικές Κατηγορίες Δεδομένων

Πέρα από το ενδελεχές πλαίσιο για την επεξεργασία ειδικών κατηγοριών δεδομένων που θέτει ο Κανονισμός, με το νομοσχέδιο εισάγεται ρητή απαγόρευση για την επεξεργασία γενετικών δεδομένων για σκοπούς ασφάλισης υγείας και ζωής.

5. Περιορισμοί του Δικαιώματος Πρόσβασης

Κατά ρητή πρόβλεψη του Κανονισμού (Προοίμιο αρ. 73), ο Έλληνας νομοθέτης εισάγει μια σειρά από περιορισμούς στο δικαίωμα του υποκειμένου να ενημερώνεται και να λαμβάνει αντίγραφο των δεδομένων που κρατούνται γι’ αυτό.

Συγκεκριμένα, ο υπεύθυνος επεξεργασίας μπορεί να αρνηθεί εν όλω ή εν μέρει την άσκηση του δικαιώματος αυτού, όταν η άσκησή τους θα παρέβλαπτε σοβαρά τους σκοπούς της επεξεργασίας, εφόσον αυτοί σχετίζονται με την εθνική ασφάλεια, την εθνική άμυνα, τη δημόσια ασφάλεια, την πρόληψη, διερεύνηση και δίωξη εγκλημάτων ή την εκτέλεση ποινικών κυρώσεων, σημαντικά οικονομικά και χρηματοοικονομικά συμφέροντα του κράτους, τη θεμελίωση, άσκηση, υποστήριξη ή εκτέλεση νομικών αξιώσεων και την προστασία του ίδιου του υποκειμένου των δεδομένων ή τρίτων.

Σε κάθε περίπτωση ο υπεύθυνος επεξεργασίας πρέπει να βρίσκεται σε θέση να αποδείξει ότι ο περιορισμός του δικαιώματος είναι αναγκαίος.

6. Προηγούμενη Διαβούλευση

Πέρα από τις περιπτώσεις που προβλέπονται στο άρθρο 36 παρ. 1 του Κανονισμού, το νομοσχέδιο προσθέτει έξι ακόμα περιπτώσεις όπου επιβάλλεται η διαβούλευση με την ΑΠΔΠΧ πριν την έναρξη της επεξεργασίας. Αυτές είναι:

1. εισαγωγή και επεξεργασία εθνικού αριθμού ταυτότητας ή άλλου αναγνωριστικού στοιχείου ταυτότητας γενικής εφαρμογής ή αλλαγή των προυποθέσεων και όρων επεξεργασίας και χρήσης αυτών και των συναφών με αυτά δεδομένων προσωπικού χαρακτήρα

2. μεγάλης κλίμακας συστηματική επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία και τη δημόσια υγεία για σκοπούς δημοσίου συμφέροντος, όπως η εισαγωγή και χρήση συστημάτων ηλεκτρονικής συνταγογράφησης και η εισαγωγή και χρήση ηλεκτρονικού φακέλου ή ηλεκτρονικής κάρτας υγείας

3. μεγάλης κλίμακας συστηματική επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία για σκοπούς διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών.

4. μεγάλης κλίμακας συστηματική επεξεργασία γενετικών ή βιομετρικών δεδομένων προσωπικού χαρακτήρα.

5. μεγάλης κλίμακας συστηματική επεξεργασία δεδομένων προσωπικού χαρακτήρα με σκοπό την εισαγωγή, οργάνωση, παροχή και έλεγχο της χρήσης υπηρεσιών ηλεκτρονικής διακυβέρνησης, όπως ορίζονται στο άρθρο 3 του ν. 3979/2011 όπως ισχύει

6. μεγάλης κλίμακας συστηματική επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την οικονομική κατάσταση και συμπεριφορά καθώς και την πιστοληπτική ικανότητα φυσικών προσώπων.

7. Ορισμός Υπευθύνου Προστασίας Δεδομένων

Όπως είναι γνωστό, ο ορισμός Υπευθύνου Προστασίας Δεδομένων είναι υποχρεωτικός μόνο για δημόσιες αρχές ή φορείς, επιχειρήσεις, οργανισμούς ΜΚΟ και άλλου είδους νομικά πρόσωπα των οποίων οι βασικές δραστηριότητες συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και δεδομένων που αφορούν ποινικές καταδίκες.

Με το νομοσχέδιο προστίθεται άλλη μία περίπτωση υποχρεωτικού ορισμού Υπευθύνου Προστασίας Δεδομένων, με βάση κατάλογο που θα καταρτιστεί από την ΑΠΔΠΧ όπου θα καταγράφονται πράξεις επεξεργασίας οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους.

Διευκρινίζεται ότι ο ορισμός του Υπευθύνου Προστασίας Δεδομένων πρέπει να γίνεται γραπτώς και για ορισμένο χρόνο, ενώ μπορεί να ανανεώνεται.

8. Φορείς Πιστοποίησης

Το νομοσχέδιο ξεκαθαρίζει την εικόνα και γύρω από το ζήτημα της πιστοποίησης των επιχειρήσεων που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα με σκοπό την απόδειξη της συμμόρφωσης τους με τον Κανονισμό. Η πιστοποίηση θα γίνεται από το Εθνικό Σύστημα Διαπίστευσης Α.Ε. (ΕΣΥΔ) με βάση κριτήρια που θα ορίσει και θα δημοσιεύσει η ΑΠΔΠΧ. Αν η ΑΠΔΠΧ διαπιστώσει ότι μια επιχείρηση δεν πληροί πλέον τα κριτήρια αυτά το υποδεικνύει στο ΕΣΥΔ ώστε να ανακληθεί η πιστοποίηση.

9. Εξειδίκευση των Κανόνων ανά Περίπτωση

Το νομοσχέδιο περιλαμβάνει ακόμα τρία λεπτομερή άρθρα όπου εξειδικεύονται οι κανόνες του Κανονισμού όταν η επεξεργασία τελείται στο πλαίσιο εργασιακής σχέσης, όταν πρόκειται για αρχειοθέτηση για λόγους δημοσίου συμφέροντος και όταν τα δεδομένα υφίστανται επεξεργασία για σκοπούς επιστημονικής, ιστορικής ή στατιστικής έρευνας.

10. Λειτουργία της Αρχής

Με μία σειρά λεπτομερών διατάξεων καθορίζεται και ο τρόπος λειτουργίας, οι εξουσίες και η συγκρότηση της ΑΔΠΔΧ, ενώ θεμελιώνεται δικαίωμα άσκησης αιτήσεως ακυρώσεως ενώπιον του Συμβουλίου της Επικρατείας κατά των αποφάσεών της.

11. Κυρώσεις

Από το πιο αμφιλεγόμενα ζητήματα του νομοσχεδίου είναι η θέσπιση ποινικής ευθύνης (πλημμεληματικής) για τον Υπεύθυνο Προστασίας των Δεδομένων. Αν ο Υπεύθυνος Προστασίας παραβιάσει την υποχρέωση εχεμύθειας που τον βαρύνει με σκοπό περιουσιακό όφελος δικό του ή τρίτου, τιμωρείται με φυλάκιση τουλάχιστον ενός έτους και χρηματική ποινή από 10.000 ως 100.000 ευρώ.

Παράλληλα ποινικοποιείται και η οποιαδήποτε αυθαίρετη επέμβαση σε δεδομένα προσωπικού χαρακτήρα από οποιοδήποτε πρόσωπο (είτε είναι υπεύθυνος επεξεργασίας, είτε εκτελών την επεξεργασία είτε υπεύθυνος προστασίας είτε τρίτος) ως πλημμέλημα με διακεκριμένη μορφή την επέμβαση σε ειδικές κατηγορίες δεδομένων, καθώς και την επέμβαση που τελείται με σκοπό παράνομο περιουσιακό όφελος. Τέλος εισάγεται και το εκ του αποτελέσματος κακούργημα της επέμβασης από την οποία προκλήθηκε κίνδυνος για την εθνική ασφάλεια ή την ελεύθερη λειτουργία του δημοκρατικού πολιτεύματος.

Κατόπιν των παραπάνω είναι πρόδηλο ότι το νέο σχέδιο νόμου έχει ως σκοπό την ομαλή ένταξη του Κανονισμού στην ελληνική έννομη τάξη καθώς και τη διευκόλυνση της εφαρμογής του από τις επιχειρήσεις. Μένει φυσικά να φανεί τι είδους αλλαγές θα γίνουν στο νομοσχέδιο – αν γίνουν – ως αποτέλεσμα της δημόσιας διαβούλευσης. Σημειώνεται πως κατά τη διάρκεια της διαβούλευσης δεν διατυπώθηκαν σοβαρές αντιρρήσεις πάνω στις διατάξεις αυτές.