ΑΡΘΡΑ ΚΑΙ ΝΕΑ

Αναζήτηση
  • NEWLAW DPO

Ο ΡΟΛΟΣ ΚΑΙ Η ΕΥΘΥΝΗ ΤΟΥ ΥΠΕΥΘΥΝΟΥ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Με τον Γενικό Κανονισμό για την Προστασία Δεδομένων εισάγεται πλέον μια λογική αυτοελέγχου και περιορισμού του ρόλου της εποπτικής αρχής στο πεδίο της προστασίας των δεδομένων προσωπικού χαρακτήρα όπου την πρωτοβουλία εφαρμογής και συμμόρφωσης έχουν πλέον οι 1. υπεύθυνος επεξεργασίας και 2. ο εκτελών την επεξεργασία.



Ως επεξεργασία προσωπικών δεδομένων ενός φυσικού προσώπου νοείται κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.


Υπεύθυνος επεξεργασίας είναι το φυσικό ή νομικό πρόσωπο, ή δημόσια αρχή, ή υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Υπεύθυνος επεξεργασίας π.χ. μπορεί να είναι μία τράπεζα, μία ασφαλιστική εταιρεία, ένα νοσοκομείο, εταιρείες ενημέρωσης οφειλετών-εισπρακτικές εταιρείες κ.ο.κ).


Ένας από τους νεωτερισμούς του Γενικού Κανονισμού Προστασίας Δεδομένων 679/2016 είναι και η διεύρυνση του εδαφικού πεδίου εφαρμογής του, καθώς κατά το άρθρο 3 ο Κανονισμός εφαρμόζεται τόσο «στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης» όσο και «στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με:

α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή

β) την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης».


Η διεύρυνση αυτή έχει μεγάλη πρακτική σημασία σε εταιρίες που χρησιμοποιούν ηλεκτρονικά καταστήματα (e-shop) ή καταρτίζουν εξατομικευμένα προφίλ προσωπικότητας, συμπεριφοράς, συμφερόντων και συνηθειών, κυρίως καταναλωτικών (profiling) ή σε περίπτωση επιχειρήσεων που ενώ είναι εγκατεστημένες εκτός Ευρώπης δραστηριοποιούνται επιχειρηματικά εντός αυτής και το αντίστροφο ( π.χ. εταιρεία με έδρα τα ΣΚΟΠΙΑ και Υπεύθυνο Επεξεργασίας εκεί με επιχειρηματική δραστηριότητα στην Ελλάδα και το αντίστροφο).


Ένας από τους κεντρικούς άξονες για το σύννομο της επεξεργασίας είναι η τήρηση των αρχών που προβλέπονται στο άρθρο 5 παρ. 1 του Κανονισμού (αρχή της νομιμότητας, αρχή της αντικειμενικότητας, αρχή της διαφάνειας, αρχή της ακρίβειας, αρχή της ακεραιότητας και της εμπιστευτικότητας, της ελαχιστοποίησης των δεδομένων και του περιορισμού του σκοπού) και κυρίως της αρχής της λογοδοσίας υπό την οποία τίθενται όλες οι αρχές επεξεργασίας του ΓΚΠΔ και οφείλει ο υπεύθυνος επεξεργασίας αφενός να συμμορφώνεται, αφετέρου να αποδεικνύει ανά πάσα στιγμή την συμμόρφωση του. Σύμφωνα λοιπόν με το άρθρο 5 παρ.2 του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει την συμμόρφωση με όλες τις παραπάνω αρχές («λογοδοσία»). Ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να αποδεικνύει και τη συγκατάθεση των υποκειμένων των δεδομένων (Άρθρο 7 παρ.1 ΓΚΠΔ).


Επιπλέον, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 13 και 14 του Κανονισμού, κατά το στάδιο δηλαδή της συλλογής των δεδομένων, ώστε να εξυπηρετείται το δικαίωμα ενημέρωσης και πρόσβασης του υποκειμένου, και κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 έως 22 και του άρθρου 34 σχετικά με την επεξεργασία και κυρίως των ενισχυμένων με τον νέο Κανονισμό δικαιωμάτων που έχει το φυσικό πρόσωπο-υποκείμενο των δεδομένων κατά το στάδιο αυτό, δηλαδή του δικαιώματος διόρθωσης, διαγραφής (δικαίωμα στη λήθη), περιορισμού της επεξεργασίας, γνωστοποίησης, φορητότητας, εναντίωσής, ατομικής λήψης αποφάσεων.


Τα παραπάνω θα πρέπει να λαμβάνουν χώρα από τον υπεύθυνο επεξεργασίαςσε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς.



Ευθύνη του υπευθύνου επεξεργασίας


Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον Κανονισμό, όπως:


- η ψευδωνυμοποίηση


-σχεδιασμένα για την εφαρμογή των αρχών προστασίας των δεδομένων όπως η ελαχιστοποίηση των δεδομένων


-σχεδιασμένα ώστε να προάγουν την διαφάνεια όσον αφορά τις λειτουργίες και τις επεξεργασίες δεδομένων προκειμένου να μπορεί το υποκείμενο των δεδομένων να παρακολουθεί την επεξεργασία και να είναι σε θέση ο υπεύθυνος επεξεργασίας να δημιουργεί και να βελτιώνει τα χαρακτηριστικά ασφαλείας.


(Αιτ. Σκέψη 78 ΓΚΠΔ και άρθρο 25 ΓΚΠΔ για προστασία των δεδομένων ήδη από το σχεδιασμό και εξ’ ορισμού–privacy by design/privacy by default).


Η συμμόρφωση τέλος του υπεύθυνου επεξεργασίας προς της υποχρεώσεις του μπορεί να αποδεικνύεται και από την εφαρμογή κατάλληλων πολιτικών προστασίας δεδομένων και τη τήρηση εγκεκριμένου κώδικα δεοντολογίας ή μηχανισμού πιστοποίησης.


Περαιτέρω, ο υπεύθυνος (και ο εκτελών) επεξεργασίας τηρεί εγγράφως ή ηλεκτρονικά αρχείο δραστηριοτήτων επεξεργασιών τους. Η τήρηση αρχείου καταγραφής των δραστηριοτήτων επεξεργασιών είναι υποχρεωτική:


  1. Όταν η επιχείρηση ή ο οργανισμός απασχολεί άνω των 250 ατόμων.

  2. Όταν η επεξεργασία δημιουργεί κινδύνους για τα δεδομένα.

  3. Όταν η επεξεργασία δεν είναι περιστασιακή.

  4. Όταν η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων, όπως «ευαίσθητα δεδομένα», βιομετρικά, γενετικά δεδομένα, δεδομένα που αφορούν ποινικές καταδίκες, αδικήματα και μέτρα ασφαλείας.

Εκτίμηση Αντικτύπου σχετικά με την Προστασία Δεδομένων (ΕΑΠΔ) - Privacy Impact Assessment (PIA)- Άρθρο 35 ΓΚΠΔ.


Ακόμη, ο υπεύθυνος επεξεργασίας διενεργεί πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας όταν αυτές αφορά είδος που ενδέχεται να επιφέρει υψηλό κίνδυνο και ιδίως στην περίπτωση:


α) συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, όπως η κατάρτιση προφίλ (π.χ. πληροφορίες σε σχέση με τα μέσα κοινωνικής δικτύωσης).


β) επεξεργασίας μεγάλης κλίμακας των δεδομένων των άρθρων 9 και 10 ΓΚΠΔ


γ)συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα


«Η εκτίμηση αντικτύπου θα πρέπει να περιλαμβάνει τα προβλεπόμενα μέτρα, εγγυήσεις και μηχανισμούς που μετριάζουν τον κίνδυνο, διασφαλίζουν την προστασία και αποδεικνύουν την συμμόρφωση προς τον Κανονισμό»(Αιτ. Σκ. 90 ΓΚΠΔ).


Συμπερασματικά, αξίζει να σημειωθεί ότι κάθε υποχρέωση συμμόρφωσης του υπευθύνου επεξεργασίας προς τον ΓΚΠΔ βαρύνει τον ίδιο (ακόμη και η από μέρους του επιλογή του εκτελούντος την επεξεργασία). Αυτή ακριβώς η ευθύνη οδηγεί και στην επιβολή διοικητικών προστίμων σε βάρος του υπευθύνου ή εκτελούντος την επεξεργασία (άρ.83) έως 20.000.000,00 ευρώ ή σε περίπτωση επιχειρήσεων έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους.

44 προβολές
  • Black Facebook Icon
  • Black Twitter Icon

© 2018 by NEWLAW