Γράφει ο Χρήστος Ηλ. Τσίχλης*

Αυστηρότατες καθίστανται οι συνέπειες παραβίασης του πρόσφατου Ευρωπαϊκού κανονισμού δεδομένων προσωπικού χαρακτήρα. Οι κυρώσεις επιβάλλονται από την Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ή από την Ευρωπαϊκή αρχή προστασίας δεδομένων προσωπικού χαρακτήρα, κατόπιν καταγγελίας ή αυτεπάγγελτα.

Οι Δήμοι, οφείλουν υποχρεωτικά να ορίζουν DPO – Data Protection Officer ή Υπεύθυνο Προστασίας Δεδομένων, σύμφωνα με το άρθρο 37 του 679/2016 (ΕΕ), όπου πέραν της νομικής υποχρέωσης ο DPO ενισχύει το Δήμο κατά την εφαρμογή του Κανονισμού , μιας και ως καθήκοντά του έχει:

Να ενημερώνει και να συμβουλεύει το Δήμο και τους υπαλλήλους του σχετικά με τις υποχρεώσεις τους που απορρέουν από τον Κανονισμό και άλλες διατάξεις περί προστασίας δεδομένων.

Να παρακολουθεί την εσωτερική συμμόρφωση με τον Κανονισμό και άλλες διατάξεις περί προστασίας δεδομένων (π.χ. προσδιορισμός και διαχείριση δραστηριοτήτων επεξεργασίας, εκπαίδευση προσωπικού, διενέργεια εσωτερικών ελέγχων).

Να είναι το πρώτο σημείο επαφής για τις εποπτικές αρχές και τα υποκείμενα των δεδομένων (εργαζόμενοι, πολίτες κ.λπ.) και να συνεργάζεται με την εποπτική αρχή (ΑΠΔΠΧ)

Κάθε πολίτης ανεξαρτήτως του είδους των υπηρεσιών που ζητά ή που λαμβάνει, καθώς και κάθε διαδικασία λειτουργίας και άσκησης των αρμοδιοτήτων του Δήμου, θα πρέπει να διακατέχεται από σαφές πλαίσιο προστασίας και ασφαλούς διαχείρισης των προσωπικών δεδομένων.

Οι δήμοι, όπως το σύνολο των φορέων του δημόσιου και ιδιωτικού τομέα οφείλουν να προστατεύουν τα προσωπικά δεδομένα και να διαμορφώνουν κατάλληλες διαδικασίες και πολιτικές, ώστε τα υποκείμενα των δεδομένων, δηλαδή οι πολίτες να μπορούν να ασκήσουν τα δικαιώματά τους, όπως αυτά προβλέπονται από τον ΓΚΠΔ. Δηλαδή, κάθε ενέργεια με αυτοματοποιημένα ή μη μέσα που περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα.

Αυξημένα πρόστιμα γενικά, που φθάνουν έως τα 20 εκατομμύρια ευρώ , προβλέπει, σε περίπτωση παράβασης, ο νέος Ευρωπαϊκός κανονισμός για την προστασία των προσωπικών δεδομένων.

Οι Δήμοι θα πρέπει:

1.Να τηρούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων, δηλαδή να τα συλλέγουν για συγκεκριμένο νόμιμο σκοπό και μόνο όσα εξ' αυτών είναι απαραίτητα,

2. Να μην τα υποβάλουν σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό, να τα επικαιροποιούν,

3. Να τα αποθηκεύουν για το μικρότερο δυνατό χρονικό διάστημα που απαιτείται, να λαμβάνουν - κατά περίπτωση - την ελεύθερη και σαφή συγκατάθεση των φυσικών προσώπων,

4. Να τα μεταφέρουν σε χώρες εκτός Ε.Ε. μόνον υπό συγκεκριμένες προϋποθέσεις, να δίνουν πρόσβαση στα προσωπικά δεδομένα σε συνεργάτες τους μόνον υπό συγκεκριμένες συνθήκες και εφόσον αυτοί αποδεικνύουν τη συμμόρφωσή τους με το νέο κανονισμό,

5. Να αναπτύξουν ηλεκτρονικά εργαλεία για την έγκαιρη και δωρεάν ανταπόκριση σε αιτήματα για: Ανάκληση της συγκατάθεσης, πρόσβαση στα δεδομένα, διόρθωση των δεδομένων, διαγραφή των δεδομένων, περιορισμό της επεξεργασίας, παράδοση των δεδομένων σε ηλεκτρονική μορφή, μεταφορά των δεδομένων σε άλλο φορέα.

6. Να γνωστοποιούν κατάλληλα και εγκαίρως στα φυσικά πρόσωπα τα δικαιώματά τους να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους,

7. Να τηρούν σε αρχείο και να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα με απευθείας ενημέρωση ή δημόσια ανακοίνωση,

8. Να αποδεικνύουν ότι τηρούν όλες τις απαιτήσεις του Κανονισμού.

Μεταξύ άλλων, ο Ευρωπαϊκός Κανονισμός προβλέπει τα εξής δικαιώματα του υποκειμένου των προσωπικών δεδομένων, δηλαδή του πολίτη:

• Ενημέρωση με σαφήνεια και διαφάνεια από τον υπεύθυνο επεξεργασίας (ταυτότητα και στοιχεία υπεύθυνου επεξεργασίας, είδος δεδομένων, σκοπός επεξεργασίας, πιθανοί αποδέκτες των δεδομένων κ.λπ.).

• Δυνατότητα πρόσβασης στα προσωπικά του δεδομένα, όταν αυτά υφίστανται επεξεργασία.

• Δυνατότητα απαίτησης διόρθωσης ή συμπλήρωσης ελλιπών δεδομένων, από τον υπεύθυνο επεξεργασίας.

• Αίτημα διαγραφής (λήθη) των προσωπικών του δεδομένων υπό προϋποθέσεις (ανάκληση συγκατάθεσης, παράνομη απόκτηση, απουσία επιτακτικών και νόμιμων λόγων επεξεργασίας κ.λπ.).

• Δυνατότητα εναντίωσης στην επεξεργασία προσωπικών δεδομένων, εάν ο υπεύθυνος επεξεργασίας δεν καταδείξει επιτακτικούς λόγους για την επεξεργασία αυτή.

Επιπροσθέτως, ο Δήμος ως υπεύθυνος επεξεργασίας προσωπικών δεδομένων υποχρεούται:

• Να λαμβάνει τη συγκατάθεση του υποκειμένου των προσωπικών δεδομένων, όπου αυτή απαιτείται και να είναι σε θέση να αποδεικνύει τη συγκατάθεση αυτή αν του ζητηθεί.

• Να μην προβαίνει σε επεξεργασία προσωπικών δεδομένων, ανηλίκων κάτω των 16 ετών, χωρίς προηγούμενη συγκατάθεση του γονέα. Ο υπεύθυνος επεξεργασίας, θα πρέπει να επαληθεύει τη συγκατάθεση αυτή, με κάθε μέσο που του προσφέρει η διαθέσιμη τεχνολογία.

• Nα μην επεξεργάζεται δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, δεδομένα που αφορούν την υγεία, τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό.

Πρόστιμο ύψους 150.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην εταιρεία «Price Waterhouse Coopers Business Α.Ε.» (PWC BS), για παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένων στην εν λόγω εταιρεία. Το επίμαχο χρηματικό πρόστιμο επιβλήθηκε σύμφωνα με τον Γενικό Ευρωπαϊκό Κανονισμό Προστασίας Δεδομένων.

Αναλυτικότερα, η Αρχή με αφορμή καταγγελία, διερεύνησε αυτεπάγγελτα τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της εταιρείας PWC BS, σύμφωνα με την οποία οι εργαζόμενοι εξαναγκάσθηκαν στην παροχή συγκατάθεσης προκειμένου να γίνει επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Η Ελλάδα και η Ισπανία είναι οι μόνες χώρες που δεν έχουν ενσωματώσει στο εθνικό Δίκαιο την οδηγία για τα προσωπικά δεδομένα και για το λόγο αυτό η χώρα έχει πληρώσει μέχρι σήμερα πρόστιμο 2,5 εκατ. ευρώ και συνεχίζει να καταβάλλει 5.287,5 ευρώ την ημέρα.

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει αρμοδιότητα να χειρίζεται καταγγελίες και να ερευνά, αν χρειαστεί και από κοινού με εποπτικές αρχές άλλων κρατών μελών της ΕΕ, πιθανές παραβιάσεις της νομοθεσίας για την προστασία δεδομένων προσωπικού χαρακτήρα.

Πριν υποβάλετε την καταγγελία πρέπει να απευθυνθείτε στον υπεύθυνο επεξεργασίας, π.χ. ασκώντας τα προβλεπόμενα από τα άρθρα 15 έως 22 ΓΚΠΔ δικαιώματα, όπου αυτά εφαρμόζονται. Στις περιπτώσεις που ο υπεύθυνος επεξεργασίας έχει ορίσει Υπεύθυνο Προστασίας Δεδομένων (DPO) μπορείτε να απευθυνθείτε σε αυτόν για κάθε ζήτημα σχετικό με την επεξεργασία των δικών σας δεδομένων προσωπικού χαρακτήρα και για την άσκηση των δικαιωμάτων σας. Τα στοιχεία των DPO είναι δημοσιευμένα, συνήθως, στην ιστοσελίδα του υπευθύνου επεξεργασίας.

Οι καταγγέλλοντες υποβάλλουν την καταγγελία τους στην ΑΠΔΠΧ με την συμπλήρωση των αντίστοιχων ανά περίπτωση εντύπων. Σε κάθε έντυπο υπάρχουν υποχρεωτικά πεδία προς συμπλήρωση, ανάλογα με τον τύπο της καταγγελίας. Εάν αυτά τα πεδία δεν έχουν συμπληρωθεί από τον καταγγέλλοντα, όπως κι αν χρησιμοποιηθεί άλλο έντυπο με το οποίο δεν παρέχονται οι απαιτούμενες πληροφορίες, η Αρχή έχει δικαίωμα να μην επιληφθεί της καταγγελίας.

Σύμφωνα με το άρ. 33 του Κανονισμού (ΕΕ) 2016/679, οι υπεύθυνοι επεξεργασίας, σε περίπτωση που συμβεί περιστατικό παραβίασης προσωπικών δεδομένων από το οποίο ενδέχεται να προκληθεί κίνδυνος στα δικαιώματα και τις ελευθερίες των προσώπων τα οποία αφορά το περιστατικό, οφείλουν να γνωστοποιήσουν το εν λόγω περιστατικό στην Αρχή.

Η γνωστοποίηση αυτή πρέπει να γίνεται αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που ο υπεύθυνος επεξεργασίας ενημερωθεί για το περιστατικό. Η γνωστοποίηση πρέπει να περιέχει σύνολο σχετικών πληροφοριών (φύση/έκταση του περιστατικού, κατηγορίες προσώπων που επλήγησαν, αιτία και συνέπειες αυτού, ενέργειες που έγιναν προς αντιμετώπισή του, κ.ά.). Ακόμα και αν οι σχετικές αυτές πληροφορίες δεν είναι όλες διαθέσιμες κατά την υποβολή της γνωστοποίησης, αυτή θα πρέπει να υποβληθεί ως αρχική και να ακολουθήσει στο μέλλον, χωρίς αδικαιολόγητη καθυστέρηση, επικαιροποίησή της (με υποβολή συμπληρωματικής γνωστοποίησης).Επισημαίνεται ότι ακόμα και αν το περιστατικό δεν μπορεί να προκαλέσει κίνδυνο για τα φυσικά πρόσωπα που αφορά, οπότε και δεν απαιτείται η υποβολή της ως άνω γνωστοποίησης στην Αρχή, ο υπεύθυνος επεξεργασίας οφείλει σε κάθε περίπτωση να τηρεί δικό του εσωτερικό σχετικό αρχείο.

Περαιτέρω, σύμφωνα με το άρ. 34 του Κανονισμού (ΕΕ) 2016/679, όταν η παραβίαση ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων τα οποία αφορά το περιστατικό, τότε ο υπεύθυνος επεξεργασίας οφείλει να ανακοινώνει αμελλητί την παραβίαση και στα πρόσωπα αυτά. Αυτή η ανακοίνωση είναι ανεξάρτητη της προαναφερθείσας γνωστοποίησης στην Αρχή (η οποία γνωστοποίηση στην Αρχή υποβάλλεται ακόμα και αν ο σχετικός κίνδυνος δεν κρίνεται ως υψηλός). Η ανακοίνωση στα φυσικά πρόσωπα θα πρέπει να γίνει με τον πλέον πρόσφορο και αποτελεσματικό τρόπο, με τη μορφή προσωποποιημένης πληροφόρησης και όχι μέσω κάποιας γενικού χαρακτήρα ανακοίνωσης, στο βαθμό που αυτό είναι εφικτό.

Σημειώνεται ότι η Αρχή δύναται σε κάθε περίπτωση να δώσει εντολή στον υπεύθυνο επεξεργασίας να ενημερώσει τα φυσικά πρόσωπα για το περιστατικό (άρ. 58 παρ. 2 ε’ Κανονισμού).

*Δικηγόρος Αθηνών

* Τα άρθρα δεν απηχούν απαραίτητα τη γνώμη του notospress.gr