Νόμος 4624/2019: Προστασία Προσωπικών Δεδομένων και Μέτρα Εφαρμογής του ΓΚΠΔ

Ο Νόμος 4624/2019 θεσπίζει συμπληρωματικά μέτρα εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων («ΓΚΠΔ») και ενσωματώνει την Οδηγία (ΕΕ) 2016/680.

Στις 25 Μαΐου 2018 τέθηκε σε εφαρμογή ο Γενικός Κανονισμός Προστασίας Δεδομένων («ΓΚΠΔ»), αλλάζοντας άρδην το πλαίσιο προστασίας προσωπικών δεδομένων για τις επιχειρήσεις.

Στις 29 Αυγούστου 2019, δηλαδή μετά από 15 μήνες, δημοσιεύθηκε στο ΦΕΚ (137/Α/29-08-2019) και ο πολυαναμενόμενος Ελληνικός Νόμος για την προστασία προσωπικών δεδομένων, με τον οποίο συμπληρώνονται οι διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων («ΓΚΠΔ») και ενσωματώνεται η Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου («Οδηγία LED»).

Ο νέος Νόμος εξειδικεύει τις «ρήτρες ανοίγματος», που παρέχει ο ΓΚΠΔ στα κράτη μέλη, και αίρει την νομική αβεβαιότητα σχετικά με την καθυστερημένη συμπλήρωση του Κανονισμού και την μέχρι πρότινος παράλληλη ισχύ του Ν. 2472/1997.

Ο νέος Νόμος καταργεί τον προγενέστερο Ν. 2472/1997 «περί Προστασίας του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα», εκτός από συγκεκριμένες διατάξεις αναφορικά με την δημοσιοποίηση δεδομένων από τις εισαγγελικές αρχές στην περίπτωση συγκεκριμένων αδικημάτων, τη χρήση οπτικοακουστικού υλικού στις δημόσιες συναθροίσεις, τη διατήρηση του Μητρώου για την απαγόρευση αποστολής προωθητικών ενεργειών μέσω ταχυδρομείου. Επίσης, διατηρείται η διάταξη σύστασης της Αρχής Προστασίας και οι αμοιβές των μελών της. Τέλος, διατηρούνται τα πλαίσια επιβολής διοικητικών προστίμων στους ιδιωτικούς φορείς.

Σημειώνεται ότι η ψήφιση του Νόμου επισπεύσθηκε λόγω της παραπομπής της χώρας μας στο Δικαστήριο της Ευρωπαϊκής Ένωσης για την εκπρόθεσμη ενσωμάτωση της Οδηγίας LED.

Δομή

Ο νέος Νόμος συμπληρώνει τις διατάξεις του ΓΚΠΔ σε μία σειρά από τομείς. Στο κεφάλαιο Α του Νόμου προσδιορίζονται ο σκοπός και το πεδίο εφαρμογής του, ο ορισμός δημόσιου και ιδιωτικού φορέα και ο υποχρεωτικός διορισμός υπευθύνου προστασίας δεδομένων σε δημόσιους φορείς. Το κεφάλαιο Β αποτελείται από διατάξεις για την οργάνωση και λειτουργίας της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Στο κεφάλαιο Γ τίθενται συμπληρωματικά μέτρα εφαρμογής του ΓΚΠΔ για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ενώ στο κεφάλαιο Δ ενσωματώνεται η Οδηγία LED.

Βασικές Προβλέψεις

Οργάνωση και Λειτουργία της ΑΠΔΠΧ

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα («ΑΠΔΠΧ») ανασυστήνεται και ανακηρύσσεται ως εποπτική αρχή του ΓΚΠΔ στην Ελλάδα.

Συγκατάθεση Ανηλίκων

Ο ΓΚΠΔ προβλέπει αυξημένη προστασία για τους ανηλίκους, αφήνει όμως στη διακριτική ευχέρεια των κρατών-μελών την περαιτέρω ενίσχυση της προστασίας αυτής. Τα προσωπικά δεδομένα των ανηλίκων κατά την προσφορά υπηρεσιών της κοινωνίας της πληροφορίας (π.χ. σε on-line βιντεοπαιχνίδια ή μέσα κοινωνικής δικτύωσης) τίθενται σε επεξεργασία, μόνο στην περίπτωση που ο ανήλικος έχει συμπληρώσει το 15ο έτος της ηλικίας του και παρέχει τη συγκατάθεση του. Διαφορετικά, απαιτείται η παροχή συγκατάθεσης του νόμιμου αντιπροσώπου του.

Επεξεργασία Ειδικών Κατηγοριών Δεδομένων

Πέρα από τις σχετικές διατάξεις του ΓΚΠΔ ο νέος Νόμος προβλέπει ότι η επεξεργασία ειδικών κατηγοριών δεδομένων από δημόσιους και ιδιωτικούς φορείς επιτρέπεται και χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων, εάν είναι υποχρεωτική για λόγους παροχής υγείας και κοινωνικής περίθαλψης, κοινωνικής ασφάλισης και εκτίμησης της ικανότητας του ατόμου για εργασία, εφόσον λαμβάνονται τα μέτρα για την διαφύλαξη των συμφερόντων του υποκειμένου των δεδομένων, που προβλέπονται στον Νόμο. Επίσης, περαιτέρω επιτρεπτή είναι η επεξεργασία ειδικών κατηγοριών από δημόσιους φορείς, όταν συντρέχουν λόγοι δημοσίου συμφέροντος, αποτροπή σημαντικής απειλής για την δημόσια ασφάλεια και λήψη ανθρωπιστικών μέτρων. Ωστόσο, ρητά απαγορεύεται η επεξεργασία γενετικών δεδομένων για σκοπούς ασφάλισης υγείας και ζωής.

Επεξεργασία για Περαιτέρω Σκοπούς

Η επεξεργασία προσωπικών δεδομένων από δημόσιους φορείς για σκοπούς διαφορετικούς από αυτούς που είχαν συλλεχθεί επιτρέπεται στις περιπτώσεις που είναι αναγκαία για τη δίωξη αδικημάτων, για λόγους δημόσιας ασφάλειας αλλά την αποτροπή βλάβης άλλου προσώπου. Ομοίως επιτρέπεται η επεξεργασία από ιδιωτικούς φορείς εάν τίθεται θέμα εθνικής ασφάλειας ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων τους. Τέτοια επεξεργασία από ιδιωτικούς φορείς επιτρέπεται για την αποτροπή απειλών κατά της εθνικής ασφάλειας ή της δημόσιας ασφάλειας κατόπιν αιτήματος δημοσίου φορέα, για την δίωξη ποινικών αδικημάτων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων, εκτός και εάν υπερτερεί το συμφέρον του υποκειμένου των δεδομένων να μην τύχουν επεξεργασίας τα δεδομένα αυτά.

Ειδικές Περιπτώσεις Επεξεργασίας

Η επεξεργασία προσωπικών δεδομένων για δημοσιογραφικούς σκοπούς ή σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης επιτρέπεται και χωρίς τη συγκατάθεση του υποκειμένου, εφόσον από τη στάθμιση του δικαιώματος στην ιδιωτική ζωή και του δικαιώματος στην πληροφόρηση υπερέχει το τελευταίο.

Η επεξεργασία προσωπικών δεδομένων επιτρέπεται και χωρίς τη συγκατάθεση του υποκειμένου εφόσον είναι αναγκαία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή συλλογής ή τήρησης στατιστικών στοιχείων υπό την προϋπόθεση της τήρησης κατάλληλων μέτρων προστασίας όπως η ανωνυμοποίηση και η κρυπτογράφηση, όποτε αυτό είναι εφικτό.

Απαλλαγή από την Υποχρέωση Ενημέρωσης

Ο υπεύθυνος επεξεργασίας απαλλάσσεται από την υποχρέωση ενημέρωσης των άρθρων 13 και 14 ΓΚΠΔ σε μία σειρά από περιπτώσεις, όπως λόγου χάρη όταν η ενημέρωση θα έθετε σε κίνδυνο την ορθή εκτέλεση των καθηκόντων του, τη δημόσια ασφάλεια ή την θεμελίωση ή άσκηση νομικών αξιώσεων. Ιδίως για δημόσιους φορείς τέτοιες περιπτώσεις απαλλαγής από την υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων εμφανίζονται διευρυμένες, όταν τα προσωπικά δεδομένα έχουν συλλεγεί από τρίτες πηγές.

Επεξεργασία Προσωπικών Δεδομένων στο Πλαίσιο της Απασχόλησης

Σημαντικές σε σχέση με τον ΓΚΠΔ είναι οι νέες προβλέψεις που φέρνει ο Νόμος για την επεξεργασία προσωπικών δεδομένων εργαζομένων.

Ο εργοδότης επιτρέπεται να επεξεργάζεται μόνο τα απαραίτητα για την σύναψη, την κατάρτιση και την εκτέλεση της σύμβασης εργασίας προσωπικά δεδομένα των εργαζομένων του. Εάν η επεξεργασία έχει κατ’ εξαίρεση νομική βάση τη συγκατάθεση αυτή θα πρέπει να κρίνεται από την υφιστάμενη σύμβαση εργασίας και τις προϋποθέσεις νόμιμης συγκατάθεσης σύμφωνα με το Άρθ. 7 ΓΚΠΔ. Η επεξεργασία προσωπικών δεδομένων επιτρέπεται και βάσει συλλογικών συμβάσεων εργασίας. Ο εργοδότης πρέπει να τηρεί τις αρχές επεξεργασίας του άρθρου 5 του ΓΚΠΔ και τα κατάλληλα τεχνικά και οργανωτικά μέτρα.

Όσον αφορά την παρακολούθηση μέσω οπτικών συστημάτων καταγραφής στο χώρο εργασίας αυτή επιτρέπεται μόνο εφόσον είναι απαραίτητη για την προστασία προσώπων και αγαθών και εφόσον υπάρχει έγγραφη ενημέρωση των εργαζομένων.

Δικαίωμα Πρόσβασης

Εντός των δυνατοτήτων, που παρέχονται με τον ΓΚΠΔ, ο νέος Νόμος επιφέρει σημαντικούς περιορισμούς για τα δικαιώματα των υποκειμένων των δεδομένων. Η άσκηση του δικαιώματος πρόσβασης περιορίζεται όταν δεν υφίσταται η υποχρέωση ενημέρωσης του υποκειμένου ή όταν τα δεδομένα του καταγράφηκαν και δεν μπορούν να διαγραφούν λόγω κανονιστικών διατάξεων υποχρέωσης διατήρησης ή ελέγχου τους, όπως στις περιπτώσεις αποθήκευσής τους στις φορολογικές βάσεις, των δαχτυλικών αποτυπωμάτων, διαβατηρίων κτλ. Για την άρση της υποχρέωσης πρόσβασης στις περιπτώσεις αυτές η παροχή πληροφοριών πρέπει επιπρόσθετα να απαιτεί δυσανάλογη προσπάθεια και τα απαραίτητα τεχνικά και οργανωτικά μέτρα να καθιστούν αδύνατη την επεξεργασία για άλλους σκοπούς.

Δικαίωμα Διαγραφής

Δεν υφίσταται το δικαίωμα διαγραφής των προσωπικών δεδομένων υποκειμένων σε περιπτώσεις μη αυτοματοποιημένης επεξεργασίας όταν λόγω της ιδιαίτερης φύσης της αποθήκευσής τους είναι αδύνατη η διαγραφή ή απαιτείται προς τούτο δυσανάλογα μεγάλη προσπάθεια, καθώς και όταν τούτο αντίκειται στις συμβατικές ή νόμιμες περιόδους διατήρησης. Επίσης, σε ορισμένες περιπτώσεις αυτοματοποιημένης επεξεργασίας αντί της διαγραφής δύναται να εφαρμόζεται περιορισμός στην επεξεργασία.

Δικαίωμα Εναντίωσης

Δεν υφίσταται δικαίωμα εναντίωσης του υποκειμένου δεδομένων προσωπικού χαρακτήρα έναντι δημόσιου φορέα όταν η επεξεργασία επιβάλλεται από υπέρτερο δημόσιο συμφέρον, που υπερτερεί των συμφερόντων του υποκειμένου δεδομένων.

Διαπίστευση φορέων πιστοποίησης

Το Εθνικό Σύστημα Διαπίστευσης (Ε.ΣΥ.Δ.) είναι αρμόδιο για τη διαπίστευση των φορέων πιστοποίησης του άρθρου 43 του ΓΚΠΔ αναφορικά με τη συμμόρφωσή τους με την κείμενη νομοθεσία σύμφωνα και με το πρότυπο EN-ISO/IEC17065:2012.

Ποινικές Κυρώσεις

Με ποινή φυλάκισης ενός έτους τιμωρείται όποιος με οποιονδήποτε τρόπο επεμβαίνει σε σύστημα αρχειοθέτησης προσωπικών δεδομένων, το διαγράφει, αντιγράφει και εν γένει το χρησιμοποιεί παρανόμως. Εάν πρόκειται για ειδικές κατηγορίες δεδομένων ορίζεται ποινή φυλάκισης τουλάχιστον ενός έτους και χρηματική ποινή έως 100.000 ευρώ. Αντιθέτως, εάν με τις αξιόποινες πράξεις ο υπαίτιος σκοπεύει να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία και το συνολικό όφελος αυτής να υπερβαίνει τις 120.000 ευρώ τιμωρείται με κάθειρξη έως δέκα χρόνια. Τα ως άνω αδικήματα διώκονται αυτεπαγγέλτως.

Διοικητικές Κυρώσεις

Ο νέος Νόμος αφήνει άθικτο το πλαίσιο των προστίμων του ΓΚΠΔ σε βάρος ιδιωτικών φορέων, τα οποία δύνανται να ανέλθουν μέχρι και σε 2% ή 4% του ετησίου τζίρου μιας επιχείρησης. Στους δημόσιους φορείς, αντιθέτως, το ανώτατο όριο προστίμου δεν δύναται να ανέλθει με τον νέο Νόμο πάνω από 10.000.000 Ευρώ, ανάλογα με τη βαρύτητα και τη διάρκεια της παραβίασης της προκαλούμενης ζημιάς.

Δικαστική Προστασία

Οι αγωγές αποζημίωσης του υποκειμένου των δεδομένων κατά του υπευθύνου ή του εκτελούντος την επεξεργασία κατατίθενται στο δικαστήριο της έδρας του υπευθύνου / εκτελούντος ή του εκπροσώπου του, εάν υπάρχει, ή στο δικαστήριο, στην περιφέρεια του οποίου το υποκείμενο των δεδομένων έχει τη συνήθη διαμονή του.

Πατήστε εδώ για να δείτε το alert σε pdf.