Τρίτη, 29 Μαΐου 2018

Θερινό Σχολείο “Recent developments on financial crime, corruption and money laundering: European and international perspectives”.


*Η προθεσμία για την εγγραφή στο Θερινό Σχολείο του 2018 παρατείνεται μέχρι  τις 15 Ιουνίου 2018*

Θερινό Σχολείο
“Recent developments on financial crime, corruption and money laundering: European and international perspectives”.
Το Εργαστήριο Μελέτης για τη Διαφάνεια, τη Διαφθορά και το Οικονομικό Έγκλημα της Νομικής Σχολής Α.Π.Θ. (http://anti-corruption.law.auth.gr/), διοργανώνει εντατικό θερινό σχολείο διάρκειας 8 ημερών, με θέμαRecent developments on financial crime, corruption and money laundering: European and international perspectives”.
Το θερινό σχολείο θα λάβει χώρα στις 4-12 Ιουλίου 2018 στην Θεσσαλονίκη. Το πρόγραμμα εστιάζει στις σύγχρονες εξελίξεις βασικών ζητημάτων για την καταπολέμηση της διεθνούς απάτης, της διαφθοράς και της νομιμοποίησης εσόδων από παράνομες δραστηριότητες, των διεθνών και ευρωπαϊκών μηχανισμών και διαδικασιών καταπολέμησης της απάτης κλπ. Οι πρόσφατες εξελίξεις που θα συζητηθούν θα περιλαμβάνουν μεταξύ άλλων τη νέα Οδηγία για την απάτη κατά των οικονομικών συμφερόντων της ΕΕ, το νέο Κανονισμό για την Ευρωπαϊκή Εισαγγελία, την 4η Οδηγία για την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες, η οποία τέθηκε σε ισχύ πρόσφατα, καθώς και την πρόταση τροποποίησης αυτής, κ.λπ.
Μεταξύ των εισηγητών περιλαμβάνονται οι:
Ass. Prof. Pedro Caeiro, University of Coimbra, Portugal
Dr. Peter Csonka, Head of Unit (Criminal Law) at European Commission DG Justice
Prof. Thomas Elholm, University of Southern Denmark
Prof. Sabine Gless, University of Basel, Switzerland
Prof. Maria Kaiafa-Gbandi, Aristotle University Thessaloniki, Greece
Prof. Valsamis Mitsilegas, Queen Mary London,UK
Prof. Helmut Satzger, LMU University Munich, Germany
Ass. Prof. Walther, Université de Lorraine, France
Για περισσότερες πληροφορίες και αιτήσεις μπορείτε να επισκεφθείτε την ιστοσελίδα του Εργαστηρίου: http://anti-corruption.law.auth.gr/el/anti-corruption/7182.
Η προθεσμία υποβολής των αιτήσεων λήγει στις 15 Ιουνίου 2018.
Περιμένουμε με χαρά να σας γνωρίσουμε από κοντά!
Εργαστήριο Μελέτης για τη Διαφάνεια,
τη Διαφθορά και το Οικονομικό Έγκλημα
Νομική Σχολή
Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης

Πανεπιστημιούπολη
54124 Θεσσαλονίκη

e-mail: anti-corruption@law.auth.gr
http://anti-corruption.law.auth.gr

Τρίτη, 6 Μαρτίου 2018

Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (Κανονισμός 2016/679)


 


Εισαγωγή στο νέο νομικό πλαίσιο προστασίας προσωπικών δεδομένων (ενημέρωση με το σχέδιο νόμου για την προστασία δεδομένων προσωπικού χαρακτήρα σε εφαρμογή του Κανονισμού 2016/679) από τον αναπληρωτή καθηγητή του Τµήµατος Νοµικής του Α.Π.Θ κύριο Ιωάννη Ιγγλεζάκη.

Tο βιβλίο διατίθεται σε έντυπη μορφή, αλλά και ως ebook:
http://www.e-interactive.gr/shop/books/gdpr-book/


info@e-interactive.gr
2310 – 510870 (Δευτέρα-Παρασκευή 09:00-21:00, Σάββατο 09:00 – 17:00)
Εγνατίας 1, 54630, Θεσσαλονίκη




Περιεχόμενα

Πρόλογος

1. Εισαγωγή. 13

2. Θεμελίωση και στόχοι του Κανονισμού. 19

2.1. Νομική θεμελίωση. 19

2.2. Στοχοθεσία του Κανονισμού. 20

3. Γενικές διατάξεις. 23

3.1. Ορισμοί 23

3.2. Πεδίο εφαρμογής. 30

4. Αρχές επεξεργασίας προσωπικών δεδομένων. 35

5. Νομιμότητα της επεξεργασίας 41

5.1. Επεξεργασία απλών δεδομένων. 41

5.2. Επεξεργασία δεδομένων εικόνας και ήχου μέσω κλειστού κυκλώματος τηλεόρασης 48

5.3. Επεξεργασία ειδικών κατηγοριών δεδομένων. 50

6. Τα δικαιώματα του υποκειμένου των δεδομένων. 57

6.1. Γενικά. 57

6.2. Διαφάνεια και ρυθμίσεις. 58

6.3. Δικαίωμα πληροφόρησης. 59

6.4. Δικαίωμα πρόσβασης 61

6.5. Δικαίωμα διόρθωσης και δικαίωμα διαγραφής. 63

6.6. Δικαίωμα στη φορητότητα των δεδομένων. 65

6.7. Δικαίωμα εναντίωσης και απαγόρευσης αυτοματοποιημένης λήψης αποφάσεων 69

6.8. Περιορισμοί 72

7. Συμμόρφωση και λογοδοσία. 75

7.1. Γενική προδιάθεση. 75

7.2. Υποχρεώσεις του υπεύθυνου επεξεργασίας. 77

7.3. Υποχρεώσεις του εκτελούντος την επεξεργασία. 79

7.4. Αρχεία δραστηριοτήτων επεξεργασίας. 81

7.5. Ασφάλεια δεδομένων προσωπικού χαρακτήρα. 82

7.6. Μέτρα για την εφαρμογή της αρχής της λογοδοσίας στην πράξη. 86

7.7. Εκτίμηση αντικτύπου. 91

8. Ο Υπεύθυνος Προστασίας Δεδομένων. 95

8.1. Εισαγωγή. 95

8.2. Έννοια. 97

8.3. Ορισμός ΥΠΔ.. 98

8.4. Ορισμός ΥΠΔ σε όμιλο επιχειρήσεων σε περισσότερες δημόσιες αρχές ή δημόσιους φορείς 102

8.5. Προσόντα διορισμού ΥΠΔ. 103

8.6. Δημοσιοποίηση και ανακοίνωση στοιχείων ΥΠΔ. 104

8.7. Θέση του ΥΠΔ.. 105

8.8.Καθήκοντα του ΥΠΔ. 108

9. Διασυνοριακή ροή δεδομένων. 111

10. Ανεξάρτητες Εποπτικές Αρχές. 117

11. Δικαίωμα προσφυγής, ευθύνη προς αποζημίωση και κυρώσεις 125

11.1. Δικαίωμα προσφυγής. 125

11.2. Αστική ευθύνη. 127

11.3. Κυρώσεις. 128

12. Ειδικές περιπτώσεις επεξεργασίας. 133

12.1. Γενικά. 133

12.2. Ελευθερία έκφρασης και πληροφόρησης. 133

12.3. Πρόσβαση στα έγγραφα. 134

12.4. Επεξεργασία του εθνικού αριθμού ταυτότητας. 135

12.5. Επεξεργασία στο πλαίσιο της απασχόλησης 135

12.6. Επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς. 142

12.7. Υποχρεώσεις τήρησης απορρήτου. 145

12.8. Προστασία δεδομένων εκκλησιών και θρησκευτικών ενώσεων. 145

ΒΙΒΛΙΟΓΡΑΦΙΑ.. 146

ΠΑΡΑΡΤΗΜΑ Ι 153

ΠΑΡΑΡΤΗΜΑ ΙΙ 257







Παρασκευή, 12 Ιανουαρίου 2018

Απόφαση ΔΕΕ της 20.12.2017, C-434/15 (υπόθεση Uber)






Δημοσιεύθηκε στις 20/12/17 η απόφαση του ΔΕΕ στην πολυσυζητημένη υπόθεση που αφορά την υπηρεσία Uber (Asociación Profesional Elite Taxi κατά Uber Systems Spain SL). Το ερώτημα που κρίθηκε, κατά βάση, στην υπόθεση αυτή ήταν αν οι υπηρεσίες τις οποίες παρέχει η Uber πρέπει να λογίζονται ως υπηρεσίες μεταφοράς, ως υπηρεσίες της κοινωνίας της πληροφορίας ή ως συνδυασμός αυτών των δύο ειδών υπηρεσιών. Όπως είναι γνωστό, η Uber έρχεται σε επαφή ή συνδέεται με μη επαγγελματίες οδηγούς στους οποίους παρέχει σειρά εργαλείων πληροφορικής –μια διεπαφή– για να μπορούν και αυτοί, με τη σειρά τους, να επικοινωνούν με άτομα που επιθυμούν να μετακινηθούν εντός πόλης και εξασφαλίζουν πρόσβαση στην υπηρεσία μέσω της ομώνυμης εφαρμογής.

Ειδικότερα, το ερώτημα ήταν, στη συγκεκριμένη περίπτωση, αν η κερδοσκοπική δραστηριότητα που ασκεί η Uber, η οποία συνίσταται στη διαμεσολάβηση μεταξύ του ιδιοκτήτη οχήματος και του προσώπου που επιθυμεί να μετακινηθεί εντός της πόλεως, μέσω της διαχειρίσεως των μέσων πληροφορικής –διεπαφή και εφαρμογή λογισμικού (“έξυπνων τηλεφώνων και τεχνολογικής πλατφόρμας, κατά την [Uber Systems Spain]”– που επιτρέπουν τη σύνδεσή τους, να θεωρηθεί απλή δραστηριότητα στον τομέα των μεταφορών ή πρέπει να θεωρηθεί ηλεκτρονική υπηρεσία διαμεσολαβήσεως ή υπηρεσία της κοινωνίας των πληροφοριών. Kαι, συναφώς αν μπορεί αυτή να θεωρηθεί ως υπηρεσία της κοινωνίας της πληροφορίας και, συνεπώς, καλύπτεται η ηλεκτρονική υπηρεσία διαμεσολαβήσεως από την αρχή της ελεύθερης παροχής υπηρεσιών.

Το Δικαστήριο δέχθηκε ότι στο πλαίσιο της υπηρεσίας διαμεσολάβησης, η Uber επιλέγει μη επαγγελματίες οδηγούς που χρησιμοποιούν δικό τους όχημα και τους παρέχει μια εφαρμογή χωρίς την οποία οι μεν οδηγοί δεν θα ήταν σε θέση να παράσχουν τις υπηρεσίες μεταφοράς, τα δε άτομα που επιθυμούν να μετακινηθούν εντός πόλης δεν θα είχαν πρόσβαση στις υπηρεσίες των οδηγών. Επιπλέον, η Uber ασκεί αποφασιστική επιρροή επί των όρων παροχής της υπηρεσίας από τους οδηγούς. Ως προς το σημείο αυτό, γίνεται ειδικότερα δεκτό ότι η Uber καθορίζει, μέσω της ομώνυμης εφαρμογής, τουλάχιστον το ανώτατο κόμιστρο, ότι εισπράττει το κόμιστρο από τον πελάτη και εν συνεχεία αποδίδει τμήμα του στον μη επαγγελματία οδηγό του οχήματος, και ότι ελέγχει σε κάποιον βαθμό την ποιότητα των οχημάτων και των οδηγών τους, αλλά και τη συμπεριφορά των τελευταίων, επ’ απειλή ακόμη και αποκλεισμού τους.

Επομένως, αυτή η υπηρεσία διαμεσολάβησης πρέπει να θεωρηθεί ότι αποτελεί αναπόσπαστο τμήμα μιας συνολικής υπηρεσίας της οποίας κύριο στοιχείο είναι η υπηρεσία μεταφοράς και, ως εκ τούτου, δεν πρέπει να χαρακτηρίζεται «υπηρεσία της κοινωνίας της πληροφορίας» κατά την έννοια του άρθρου 1, σημείο 2, της οδηγίας 98/34, στο οποίο παραπέμπει το άρθρο 2, στοιχείο αʹ, της οδηγίας 2000/31, αλλά «υπηρεσία στον τομέα των μεταφορών» κατά την έννοια του άρθρου 2, παράγραφος 2, στοιχείο δʹ, της οδηγίας 2006/123. Αυτό έχει ως συνέπεια, η οδηγία 2000/31 να μην βρίσκει εφαρμογή επί υπηρεσίας διαμεσολάβησης όπως η επίδικη.

Με βάση λοιπόν τα παραπάνω, το ΔΕΕ κατέληξε στο συμπέρασμα ότι υπηρεσία διαμεσολάβησης όπως η επίδικη εν προκειμένω, στο πλαίσιο της οποίας, μέσω μιας εφαρμογής για έξυπνα τηλέφωνα, διευκολύνεται έναντι αμοιβής η επικοινωνία μεταξύ μη επαγγελματιών οδηγών που χρησιμοποιούν δικό τους όχημα και ατόμων που επιθυμούν να μετακινηθούν εντός πόλης, πρέπει να θεωρηθεί ότι είναι άρρηκτα συνδεδεμένη με υπηρεσία μεταφοράς και, κατ’ επέκταση, να χαρακτηριστεί «υπηρεσία στον τομέα των μεταφορών» κατά την έννοια του άρθρου 58, παράγραφος 1, ΣΛΕΕ. Ως εκ τούτου, μια τέτοια υπηρεσία αποκλείεται από το πεδίο εφαρμογής του άρθρου 56 ΣΛΕΕ, της οδηγίας 2006/123 και της οδηγίας 2000/31.






Πέμπτη, 11 Ιανουαρίου 2018

Xορήγηση σε τρίτους εγγράφων πειθαρχικής φύσης σχετικά με πληρεξούσιο δικηγόρο - ΣτΕ 1847/2017



Το ιστορικό της απόφασης του ΣτΕ, καταρχήν, έχει ως εξής: Με έγγραφο του ΔΣΑ κοινοποιήθηκαν σε τρίτους στοιχεία που αφορούν σε πειθαρχικές διώξεις και ποινές σε βάρος δικηγόρου και μέλους του εν λόγω δικηγορικού συλλόγου, δηλαδή στοιχεία που περιέχουν δεδομένα προσωπικού χαρακτήρα. Το ΣτΕ, ενώπιον του οποίου ασκήθηκε αίτηση ακύρωσης από τον ως άνω δικηγόρο, με την οποία ζητούσε την ακύρωση του εγγράφου αυτού.



Το ΣτΕ δέχθηκε ότι η γνωστοποίηση προς τρίτα πρόσωπα στοιχείων πειθαρχικών διώξεων δικηγόρου, τα οποία δεν εμπίπτουν σε κάποια από τις απαριθμούμενες στην περίπτωση β΄ του άρθρου 2 του ν. 2472/1997 κατηγορίες, συνιστά επεξεργασία απλών και όχι ευαίσθητων δεδομένων προσωπικού χαρακτήρα, για την οποία υφίσταται πάντως σε κάθε περίπτωση υποχρέωση προηγούμενης ενημερώσεως του υποκειμένου των δεδομένων ακόμη και όταν, κατ’ εξαίρεση, δεν απαιτείται για την ανακοίνωση των συγκεκριμένων δεδομένων η συγκατάθεση αυτού (πρβλ. ΣτΕ 763/2010, 3154/2008, 2252/2005 7μ.).


Σύμφωνα με το ΣτΕ, τέτοια περίπτωση μπορεί να συντρέχει, ιδίως, όταν η χορήγηση προσωπικών δεδομένων είναι αναγκαία για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματος ενώπιον δικαστηρίου. Στην τελευταία, όμως, αυτή περίπτωση, για τη χορήγηση των προσωπικών δεδομένων, ο τρίτος πρέπει να επικαλείται και να αποδεικνύει ότι τα συγκεκριμένα στοιχεία είναι απολύτως αναγκαία και πρόσφορα για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματός του ενώπιον δικαστηρίου, και δη εν όψει συγκεκριμένης εκκρεμούς δίκης, ώστε, εκ του συγκεκριμένου σκοπού, να οριοθετείται και η έκταση των αναγκαίων και πρόσφορων για τον σκοπό αυτό στοιχείων που επιτρέπεται να χορηγηθούν.


Στη συγκεκριμένη περίπτωση, κρίθηκε ότι η προσβαλλόμενη πράξη εκδόθηκε κατά παράβαση του άρθρου 5 παρ. 2 ε΄ ν. 2472/1997 που διέπει την επεξεργασία απλών προσωπικών δεδομένων, διότι η επίκληση αορίστως με την αίτηση για χορήγηση στοιχείων για πειθαρχικές διώξεις της ύπαρξης αντιδικίας με τον δικηγόρο,

χωρίς να προσδιορίζεται ειδικότερα η αντιδικία αυτή και να εξειδικεύεται, κατ’ ακολουθία, η αναγκαιότητα χρησιμοποιήσεως των προσωπικών δεδομένων του τελευταίου και μάλιστα όλων εν γένει των στοιχείων που αφορούσαν σε πειθαρχικές του διώξεις, δεν στοιχειοθετούσε το κατά την ανωτέρω διάταξη έννομο συμφέρον, η ικανοποίηση του οποίου θα δικαιολογούσε, εφόσον μάλιστα υπερείχε προφανώς των δικαιωμάτων και συμφερόντων του αιτούντος, τη γνωστοποίηση των στοιχείων αυτών.


Σημαντικό είναι ότι, σύμφωνα με το ΣτΕ, η εισαγγελική παραγγελία προς το Δικηγορικό Σύλλογο Αθηνών, ως εκ του παρατεθέντος περιεχομένου της, δεν ήταν ικανή να δικαιολογήσει την κατά παράβαση της ανωτέρω διατάξεως χορήγηση των προσωπικών δεδομένων του αιτούντος σε τρίτους, εφόσον για να είναι αυτή δεσμευτική θα έπρεπε να είναι αιτιολογημένη, να περιέχει ρητή έκφραση γνώμης του συντάκτη αυτής εισαγγελικού λειτουργού και να μην αποτελεί απλό διαβιβαστικό της σχετικής αιτήσεως έγγραφο (βλ. σχετ. ΑΠ 148/2013), όπως συνέβαινε εν προκειμένω που η συγκεκριμένη εισαγγελική παραγγελία διελάμβανε απλώς ότι αποστέλλεται η «συνημμένη αίτηση» και παρακαλείται ο Δικηγορικός Σύλλογος Αθηνών «για την κατά νόμο εκτίμηση των διαλαμβανομένων σ’ αυτήν και τις εντεύθεν επιβαλλόμενες ενέργειες».


Με αυτή του την κρίση το Ανώτατο Ακυρωτικό Δικαστήριο καθιστά σαφές ότι η εισαγγελική παραγγελία δεν μπορεί να δικαιολογήσει τη χορήγηση προσωπικών δεδομένων, ακόμα και απλών δεδομένων, όταν δεν συντρέχει έννομο συμφέρον του αιτούμενου τη χορήγηση διοικητικών εγγράφων που περιέχουν τέτοια δεδομένα.


Επιλήψιμο ήταν ακόμα το γεγονός ότι η πράξη του ΔΣΑ εκδόθηκε χωρίς προηγούμενη ενημέρωση του αιτούντος για την ανακοίνωση των προσωπικών του δεδομένων στα προαναφερόμενα τρίτα πρόσωπα, κατά παράβαση του άρθρου 11 παρ. 3 του ν. 2472/1997 και η παράλειψη αυτή, στέρηση από τον αιτούντα τη δυνατότητα να προβάλλει αντιρρήσεις σύμφωνα με το άρθρο 13 του ν. 2472/1997.











Σάββατο, 23 Δεκεμβρίου 2017

Καθήκον επιμελούς διαφύλαξης αρχείου με προσωπικά δεδομένα

Αριθμός 1662/2017

ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΠΙΚΡΑΤΕΙΑΣ, ΤΜΗΜΑ Δ΄

(...)
 2. Επειδή, με την αίτηση αυτή ζητείται η ακύρωση της αποφάσεως 170/10.11.2014 της Αρχής
Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με την οποία επιβλήθηκε στην αιτούσα τράπεζα πρόστιμο 50.000 ευρώ για παράβαση διατάξεων των άρθρων 10 παρ. 3 και 12 του ν. 2472/1997, περί προστασίας δεδομένων προσωπικού χαρακτήρα.

 3. Επειδή, στο άρθρο 12 («Δικαίωμα πρόσβασης») του ν. 2472/1997 (Α΄ 50) προβλέπονται τα εξής: «1. Καθένας έχει δικαίωμα να γνωρίζει εάν δεδομένα προσωπικού χαρακτήρα που τον αφορούν αποτελούν ή αποτέλεσαν αντικείμενο επεξεργασίας. Προς τούτο, ο υπεύθυνος επεξεργασίας έχει υποχρέωση να του απαντήσει εγγράφως. 2. Το υποκείμενο των δεδομένων έχει δικαίωμα να ζητεί και να λαμβάνει από τον υπεύθυνο επεξεργασίας, χωρίς καθυστέρηση και κατά τρόπο εύληπτο και σαφή, τις ακόλουθες πληροφορίες: α) Όλα τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, καθώς και την προέλευσή τους. β) … 3. Το δικαίωμα της προηγούμενης παραγράφου και τα δικαιώματα του άρθρου 13 [Δικαίωμα αντίρρησης] ασκούνται με την υποβολή της σχετικής αίτησης στον υπεύθυνο της επεξεργασίας … 4. Εάν ο υπεύθυνος επεξεργασίας δεν απαντήσει εντός δεκαπέντε (15) ημερών ή εάν η απάντησή του δεν είναι ικανοποιητική, το υποκείμενο των δεδομένων έχει δικαίωμα να προσφύγει στην Αρχή … .». Εξάλλου, στο άρθρο 10 («Απόρρητο και ασφάλεια της επεξεργασίας») ορίζονται, μεταξύ άλλων, τα εξής: «3. Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας. ..». Τέλος, στο άρθρο 21 του ίδιου νόμου, όπως ισχύει, προβλέπεται ότι η Αρχή επιβάλλει στους υπεύθυνους επεξεργασίας, για παράβαση των υποχρεώσεών τους που απορρέουν από τον νόμο αυτό ή από άλλες σχετικές ρυθμίσεις, τις διοικητικές κυρώσεις της προειδοποίησης, με αποκλειστική προθεσμία για άρση της παράβασης, του προστίμου, από 300.000 έως 50.000.000 δρχ., της προσωρινής και οριστικής ανάκλησης άδειας και της καταστροφής αρχείου ή διακοπής επεξεργασίας και καταστροφής, επιστροφής ή κλειδώματος των σχετικών δεδομένων.

 4. Επειδή, με τις προπαρατεθείσες διατάξεις του άρθρου 12 του ν. 2472/1997 κατοχυρώνεται το δικαίωμα πρόσβασης κάθε προσώπου σε δεδομένα προσωπικού χαρακτήρα που το αφορούν και τα οποία αποτέλεσαν αντικείμενο επεξεργασίας, και θεσπίζεται αντίστοιχη υποχρέωση του υπεύθυνου επεξεργασίας να εξασφαλίζει την πρόσβαση του ενδιαφερομένου στα ανωτέρω δεδομένα (βλ. ΣτΕ 1851/2016). Εξ άλλου, κατά την έννοια των επίσης προπαρατεθεισών διατάξεων του άρθρου 10 του ίδιου ως άνω ν. 2472/1997, ο υπεύθυνος επεξεργασίας έχει ιδιαίτερο καθήκον επιμελούς διαφυλάξεως αρχείου με δεδομένα προσωπικού χαρακτήρα για τους καθορισμένους, σαφείς και νόμιμους σκοπούς και για την επιτρεπτή και θεμιτή επεξεργασία τους, καθώς και αποφυγής αμελών ενεργειών που έχουν αποτέλεσμα να θίγονται τα σχετικά δικαιώματα των ενδιαφερομένων (βλ. ΣτΕ 749/2005).

 5. Επειδή, από τα στοιχεία του φακέλου της υποθέσεως προκύπτουν τα εξής: Υπάλληλος της αιτούσας τράπεζας, προερχόμενος από την πρώην ....... ΚΑΙ .....ΤΡΑΠΕΖΑ (η οποία συγχωνεύθηκε με την αιτούσα), υπέβαλε προς την τράπεζα την επιδοθείση την 3.11.2004 αίτηση, με την οποία, ασκώντας το δικαίωμα πρόσβασης, ζήτησε τη χορήγηση σε αυτόν επικυρωμένων αντιγράφων όλων των εγγράφων του υπηρεσιακού του φακέλου, που τηρούνται στο αρχείο της τράπεζας, εντός 15 ημερών από την επίδοση της αιτήσεως. Στις 2.12.2004 άσκησε προσφυγή ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, παραπονούμενος για τη μη ικανοποίηση του δικαιώματος πρόσβασης. Στις 10.2.2005 ο εν λόγω υπάλληλος παρέλαβε από τη Διεύθυνση Ανθρωπίνου Δυναμικού της τράπεζας 56 αντίγραφα των εγγράφων του υπηρεσιακού του φακέλου, και εσημείωσε στο σχετικό αποδεικτικό παραλαβής ότι δεν ανευρέθηκαν τα δελτία αξιολόγησης των ετών 2000, 2001 και 2004. Τα εν λόγω δε έγγραφα, όπως υποστήριξε ο υπάλληλος, ήταν ιδιαίτερα σημαντικά για την αιτιολόγηση της υπηρεσιακής του εξέλιξης στην ιεραρχία της τράπεζας, καθόσον από το 2000 έως το 2005 παραλείφθηκε σε πέντε προαγωγές στελεχών που έγιναν, αλλά και για την εξέλιξη εκκρεμούς δίκης για συκοφαντική δυσφήμιση μετά από μήνυση που υπέβαλε κατά διευθυντών της τράπεζας, οι οποίοι υπήρξαν αξιολογητές του. Κατά τους ισχυρισμούς της τράπεζας, τα μεν δελτία αξιολόγησης για τα έτη 2000 και 2001 δεν του παραδόθηκαν, γιατί δεν βρέθηκαν στον φάκελο του υπαλλήλου που τηρείται στη Διεύθυνση Ανθρωπίνου Δυναμικού της τράπεζας, πιθανώς λόγω της αναστάτωσης που υπήρξε εκείνο το χρονικό διάστημα από τη συγχώνευση της τράπεζας με την .... Τράπεζα, από την οποία προέρχεται, το δε δελτίο του 2004 δεν του παραδόθηκε, γιατί δεν είχε περιέλθει ακόμη στην εν λόγω Διεύθυνση. Επί της ανωτέρω προσφυγής εξεδόθη η ../16.6.2005 απόφαση της Αρχής, με την οποία, αφού ελήφθησαν υπόψη όλα τα ανωτέρω πραγματικά περιστατικά, κρίθηκε ότι, πιθανόν, τα επίμαχα έγγραφα είτε να μην τοποθετήθηκαν, είτε να αφαιρέθηκαν από τον φάκελο του υπαλλήλου, είτε να απωλέσθηκαν και, συνεπώς, δεδομένης της κρισιμότητας που είχαν τα έγγραφα αυτά για τον προσφεύγοντα, ο οποίος παρελείφθη επί σειρά ετών από προαγωγές, αλλά και της αντιδικίας του με τους διευθυντές της τράπεζας, η τράπεζα υπέχει ευθύνη, διότι με ενέργειες ή παραλείψεις των οργάνων της δεν ικανοποίησε τελικώς το δικαίωμα πρόσβασής του, κατά παράβαση του άρθρου 12 του ν. 2472/1997. Περαιτέρω, με την ίδια ως άνω απόφαση κρίθηκε ότι η τράπεζα δεν απέδειξε ότι είχε λάβει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και τη προστασία τους από τυχαία ή αθέμιτη επεξεργασία, δεδομένου ότι το άρθρο 10 παρ. 3 του ν. 2472/1997 θεσπίζει αυξημένη υποχρέωση επιμέλειας από τον υπεύθυνο επεξεργασίας ακόμα και για τυχαία απώλεια. Κατόπιν τούτων, με την ανωτέρω 61/2005 απόφαση της Αρχής επιβλήθηκε στην αιτούσα τράπεζα πρόστιμο 60.000 ευρώ για παράβαση των άρθρων 10 παρ. 3 και 12 παρ.1 του ν. 2472/1997, αφού ελήφθη υπόψη η βαρύτητα της πράξης που αποδείχθηκε και της προσβολής που επήλθε από αυτή στον υπάλληλο, αφού τα επίδικα έγγραφα ήταν ιδιαίτερα κρίσιμα για την υπηρεσιακή του εξέλιξη. Ακολούθως, ο εν λόγω υπάλληλος, στις 23.9.2005, με δύο αιτήσεις του άσκησε και πάλι το δικαίωμα πρόσβασης και ζήτησε αντίγραφα των πρακτικών του Διοικητικού Συμβουλίου της τράπεζας, με τα οποία αποφασίσθηκε η παράλειψή του από τις προαγωγές των ετών 2000, 2001, 2002 2003 και 2004 και, περαιτέρω, επικυρωμένα αντίγραφα όλων των εγγράφων που τηρούνται στα αρχεία της τράπεζας με ιδιαίτερη μνεία στο δελτίο αξιολόγησης του έτους 2004. Κατόπιν επιστολής (στις 4.11.2005) εκ μέρους της τράπεζας και της από 14.11.2005 εξώδικης δήλωσης του υπαλλήλου, στις 18.11.2005 τού παραδόθηκε πίνακας 230 εγγράφων, στον οποίο, κατά την άποψη της Τράπεζας, εκ παραδρομής δεν περιελήφθησαν 3 έγγραφα, τα οποία και απεστάλησαν στις 24.11.2005 μαζί με την αίτηση συμμετοχής του προσωπικού σε εκπαιδευτικά προγράμματα, την οποία ο υπάλληλος είχε κατ` επανάληψη ζητήσει. Ακολούθως, η ανωτέρω 61/2005 απόφαση της Αρχής ανακλήθηκε (λόγω κακής σύνθεσης της Αρχής, κατ’ επίκληση νομολογίας του Συμβουλίου της Επικρατείας), κατόπιν τούτου δε, η Αρχή, επιληφθείσα εκ νέου της υποθέσεως, εκάλεσε τόσο τον υπάλληλο όσο και τον υπεύθυνο επεξεργασίας σε νέα ακρόαση. Τελικώς, η Αρχή, με την προσβαλλόμενη απόφαση 170/2014 επέβαλε στην αιτούσα τράπεζα πρόστιμο ύψους 50.000 ευρώ, επιμεριζόμενο σε 10.000 ευρώ για την παράβαση του άρθρου 10 παρ. 3 του ν. 2472/1997 και σε 40.000 ευρώ για την παράβαση του άρθρου 12 του νόμου αυτού, με την εξής αιτιολογία: «...Η τράπεζα, μετά την πάροδο του 15νθήμερου, καθυστερημένα τον Φεβρουάριο του 2005, ικανοποίησε εν μέρει το δικαίωμα πρόσβασης του προσφεύγοντος, το οποίο ικανοποίησε κατά τρόπο πληρέστερο μετά την εκ νέου αίτησή του τον Σεπτέμβριο του 2005 και ενώ είχε προηγηθεί η επιβαλούσα το πρόστιμο απόφαση της Αρχής. Όμως, όπως δεν αμφισβητείται, δεν παρεδόθησαν στον προσφεύγοντα τα δελτία αξιολογήσεως των ετών 2000 και 2001 και αμφισβητείται από τον προσφεύγοντα η ακρίβεια και πληρότητα του δελτίου αξιολογήσεως 29.8.2002-29.8.2003. Από την τράπεζα δεν αμφισβητείται η ετήσια κατάρτιση δελτίων αξιολογήσεως, όπως ορίζεται στον Κανονισμό, αλλά αποδίδεται η μη ανεύρεσή τους σε τυχαία απώλεια λόγω της αναστατώσεως των φακέλων που προήλθε από την συγχώνευση των τραπεζών .......... και ...........και .......... Τράπεζας. Συνεπώς, συντρέχει περίπτωση επιβολής προστίμου λόγω καθυστέρησης ικανοποίησης του δικαιώματος πρόσβασης και τυχαίας απώλειας στοιχείων του φακέλου, τα οποία, όπως δεν αμφισβητείται, καταρτίζονται κάθε χρόνο και έχουν επιπτώσεις στη σταδιοδρομία του υπαλλήλου».

 6. Επειδή, από το ιστορικό που έχει εκτεθεί ανωτέρω στην τρίτη σκέψη και, ιδίως, τα διαλαμβανόμενα στην προσβαλλόμενη απόφαση, προκύπτει ότι η τράπεζα ικανοποίησε τελικώς, πλην εν μέρει και με μεγάλη καθυστέρηση (και αφού είχε προηγουμένως χωρήσει η αρχική απόφαση 61/2005 περί επιβολής σε βάρος της προστίμου) το κατά το άρθρο 12 του ν. 2472/1997 δικαίωμα πρόσβασης του υπαλλήλου στα κρίσιμα για την υπηρεσιακή εξέλιξή του στοιχεία του φακέλου του, καθ` όσον, όπως προεκτέθηκε, και δεν αμφισβητείται από την αιτούσα, από το τηρούμενο στην τράπεζα αρχείο είχαν απολεσθεί συγκεκριμένα δελτία αξιολογήσεως του υπαλλήλου, τα οποία η τράπεζα έχει κατά τον κανονισμό της υποχρέωση να καταρτίζει ετησίως. Η απώλεια δε αυτή των επίμαχων εγγράφων οφείλεται, κατά τα προεκτεθέντα, στην πλημμελή εκ μέρους της τράπεζας φύλαξη του αρχείου της, κατά παράβαση της κατά το άρθρο 10 παρ. 3 του ν. 2472/1997 υποχρέωσης που υπέχει για τη λήψη των κατάλληλων οργανωτικών και τεχνικών μέτρων για την ασφάλεια και προστασία των δεδομένων προσωπικού χαρακτήρα από τυχαία, μεταξύ άλλων, απώλεια ή καταστροφή. Δεν υπεχρεούτο δε η Αρχή να προσδιορίσει ειδικότερα ποια θα ήταν τα ενδεδειγμένα οργανωτικά και τεχνικά μέτρα για τη διαφύλαξη και προστασία του αρχείου της τράπεζας από τυχαία απώλεια, αλλά απόκειται στην τράπεζα να επιλέξει και υιοθετήσει τα κατάλληλα προς τον σκοπό αυτό μέτρα. Ενόψει τούτων, η προσβαλλόμενη απόφαση, με το ανωτέρω παρατιθέμενο περιεχόμενο, αιτιολογείται νομίμως και επαρκώς ως προς τη διαπίστωση ότι εχώρησε παράβαση των προαναφερθεισών διατάξεων των άρθρων 10 παρ. 3 και 12 του ν. 2472/1997. Συνεπώς, πρέπει να απορριφθούν ως αβάσιμοι οι λόγοι ακυρώσεως, με τους οποίους προβάλλεται ότι η προσβαλλόμενη απόφαση είναι πλημμελώς αιτιολογημένη: α/ διότι “δεν καθίσταται σαφές το νομικό έρεισμα αυτής (...), δεδομένου ότι γίνεται αόριστα αναφορά σε όλες τις διατάξεις του άρθρου 12 του ν. 2472/1997, παράλληλα δε ουδόλως καθίσταται σαφές εάν έχει διαπιστωθεί η συνδρομή των νόμιμων προϋποθέσεων (...), ούτε ποια επακριβώς είναι τα πραγματικά περιστατικά τα οποία έχουν διαπιστωθεί και εκτιμηθεί (...)”, β/ διότι η παραδοχή της προσβαλλόμενης απόφασης, ότι ικανοποιήθηκε το δικαίωμα πρόσβασης του υπαλλήλου εν μέρει και μεταγενέστερα κατά τρόπο πληρέστερο, είναι αντιφατική με την παραδοχή περί τυχαίας απώλειας στοιχείων του φακέλου, και γ/ διότι η Αρχή δεν αναφέρει ποια είναι τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων, τα οποία παρέλειψε να λάβει η τράπεζα.

 7. Επειδή, η προσβαλλόμενη απόφαση παρίσταται νομίμως και επαρκώς αιτιολογημένη και ως προς την επιμέτρηση του προστίμου, δεδομένου ότι η Αρχή έλαβε υπ` όψιν, κατά τα ιστορηθέντα, όλα τα στοιχεία του φακέλου και, ιδίως, τη βαρύτητα της παράβασης (βλ. ΣτΕ 95/2003, 4158/2000), που συνίσταται, όπως προεκτέθηκε, στην καθυστερημένη και ελλιπή ικανοποίηση του δικαιώματος πρόσβασης καθώς και στην μη τήρηση εκ μέρους της αιτούσας των κατάλληλων μέτρων ασφαλείας και προστασίας των προσωπικών δεδομένων, με συνέπεια την απώλεια ορισμένων κρίσιμων εγγράφων για την υπηρεσιακή σταδιοδρομία του ενδιαφερόμενου υπαλλήλου, χωρίς να επιβάλλεται από τον νόμο, ως τυπικό στοιχείο του κύρους της πράξης επιβολής της κύρωσης, η περαιτέρω εξειδίκευση της βαρύτητας της παράβασης (βλ. ΣτΕ 150/2017). Περαιτέρω, υπό τα προεκτεθέντα πραγματικά περιστατικά, η έστω και “τυχαία απώλεια” (υπό την έννοια της μη ηθελημένης εξαφάνισης) των στοιχείων του υπηρεσιακού φακέλου του υπαλλήλου, οφειλόμενη, κατά τους ισχυρισμούς της τράπεζας, σε αναστάτωση “των φακέλων που προήλθε από την συγχώνευση των τραπεζών ........ και ......και ..... Τράπεζας”, στοιχειοθετεί υπαίτια συμπεριφορά της τράπεζας, συνιστάμενη στην πλημμελή τήρηση του αρχείου της, κατά παράβαση του κατά το άρθρο 10 παρ. 3 του ν. 2472/1997 καθήκοντος για τη λήψη των κατάλληλων οργανωτικών μέτρων για την προστασία των δεδομένων προσωπικού χαρακτήρα. Εξ άλλου, όπως προεκτέθηκε, από το περιεχόμενο της προσβαλλόμενης απόφασης προκύπτει σαφώς ότι ελήφθη υπόψη και συνεκτιμήθηκε το γεγονός ότι υπήρξε εκ μέρους της τράπεζας εν μέρει ικανοποίηση του δικαιώματος πρόσβασης του υπαλλήλου στα επίμαχα έγγραφα, ωστόσο, διαπιστώθηκε ότι τα έγγραφα αυτά του χορηγήθηκαν με μεγάλη καθυστέρηση και αφού είχε χωρήσει, με την απόφαση 61/2005, η επιβολή προστίμου σε βάρος της αιτούσας. Τέλος, λαμβανομένου υπόψη ότι, ανεξαρτήτως του ότι για τη στοιχειοθέτηση της παράβασης δεν απαιτείται η επέλευση βλάβης του υποκειμένου των δεδομένων (βλ. Ολ ΣτΕ 1622/2012, 150/2017), πάντως, εν προκειμένω με την προσβαλλόμενη απόφαση ελήφθη υπόψη και η προσβολή που επήλθε στον υπάλληλο από τις ενέργειες και παραλείψεις των οργάνων της τράπεζας, καθόσον, όπως προεκτέθηκε, τα ανωτέρω έγγραφα ήταν κρίσιμα για την υπηρεσιακή εξέλιξη του υπαλλήλου, ο οποίος παρελείπετο επί πενταετία από τις προαγωγές και ευρίσκετο εξ αυτού του λόγου σε δικαστική αντιδικία με τους διευθυντές της τράπεζας. Συνεπώς, το επιβληθέν πρόστιμο, το οποίο, σημειωτέον, κατά τα προεκτεθέντα, επιβλήθηκε συνολικώς, δηλαδή ως άθροισμα δύο αυτοτελών προστίμων, ευρίσκεται μέσα στα νόμιμα όρια και μάλιστα εγγύτερα προς το κατώτερο όριο, σύμφωνα με την ανωτέρω παρατεθείσα διάταξη του άρθρου 21 του ν. 2472/1997. Κατόπιν τούτων, πρέπει να απορριφθούν ως αβάσιμοι όλοι οι λόγοι ακυρώσεως, με τους οποίους προβάλλεται ότι το ύψος του προστίμου κείται εκτός των ορίων της διακριτικής ευχέρειας της Αρχής και είναι δυσανάλογο σε σχέση με τον επιδιωκόμενο σκοπό, κατά παράβαση της αρχής της αναλογικότητας, καθόσον εν προκειμένω έπρεπε να ληφθεί υπ` όψιν ότι δεν απεδείχθη υπαιτιότητα της τράπεζας, ότι ουσιαστικώς η τράπεζα ικανοποίησε τον ενδιαφερόμενο υπάλληλο κατά το μεγαλύτερο μέρος, ότι επέδειξε καλόπιστη συμπεριφορά και ενδιαφέρον για την υπόθεση, καθώς και ότι ουδεμία ζημία υπέστη ο εν λόγω από την συμπεριφορά της τράπεζας.

 8. Επειδή, κατόπιν τούτων, η υπό κρίση αίτηση πρέπει να απορριφθεί.

Τρίτη, 7 Νοεμβρίου 2017

Βιβλιοπαρουσίαση

Λίλιαν Μήτρου
Ο Γενικός Κανονισμός Προτασίας Προσωπικών Δεδομένων

Νέο δίκαιο - νέες υποχρεώσεις - νέα δικαιώματα. Ιδρυτής Σειράς: Γ. Παπαδημητρίου. Διεύθυνση σειράς: Θ. Κ. Παπαχρίστου, Λ. Μήτρου, Τ. Βιδάλης, Θ. Ξηρός. [Σειρά: Δίκαιο και Κοινωνία στον 21ο Αιώνα - τ. 29]
Συγγραφέας: Μήτρου Λίλιαν


Τον Μάιο του 2018 τίθεται σε εφαρμογή ένα νέο, άμεσα εφαρμόσιμο και ενιαίο σε όλη την Ευρωπαϊκή Ένωση πλαίσιο που θα αντικαταστήσει σχεδόν όλους τους ισχύοντες εθνικούς κανόνες που ρυθμίζουν την επεξεργασία προσωπικών δεδομένων. Ο Γενικός Κανονισμός Προστασίας Δεδομένων αποτελεί μία τομή στην εξέλιξη της προστασίας προσωπικών δεδομένων. Ο Ευρωπαίος νομοθέτης επιχειρεί να εκσυγχρονίσει το κανονιστικό οπλοστάσιο με στόχο τα πρόσωπα να ανακτήσουν τον έλεγχο επί των δεδομένων τους σε έναν κόσμο που επικαθορίζεται από την τεχνολογία της πληροφορικής και των επικοινωνιών αλλά και την παγκοσμιοποίηση των υπηρεσιών και των πληροφοριακών ροών. Ο Κανονισμός επιβεβαιώνει τις θεμελιώδεις αρχές της προστασίας προσωπικών δεδομένων προσθέτοντας ως νέες τη λογοδοσία και την ασφάλεια, σηματοδοτώντας ταυτόχρονα την οργάνωση της προστασίας και διά της «τεχνονομικής προσέγγισης». Ενισχύει επίσης τα δικαιώματα, προσθέτοντας νέα όπως το «δικαίωμα στη λήθη» αλλά και τη δικονομική θέση των προσώπων. Όσοι επεξεργάζονται δεδομένα δεν καλούνται μόνο να ανταποκριθούν σε νέες υποχρεώσεις αλλά επίσης να υιοθετήσουν μία νέα αντίληψη για τη συμμόρφωση: Η λογοδοσία και οι εκφάνσεις της, η ενίσχυση της διαφάνειας, η εκτίμηση επιπτώσεων της επεξεργασίας, η προστασία δεδομένων εκ/δια του σχεδιασμού, η εισαγωγή ενός εσωτερικού υπευθύνου προστασίας συνιστούν ορισμένες από τις καινοτομίες του Κανονισμού που οφείλει κανείς να κατανοήσει αλλά και να μετουσιώσει σε γνώμονα νομιμότητας και καθημερινή πράξη.

Κυριακή, 22 Οκτωβρίου 2017

ICIl 2016

ICIL 2016

7th International Conference on Information Law and Ethics
Broadening the Horizons of Information Law and Ethics
A Time for Inclusion


The proceedings of the ICIL 2016 Conference have been published.

Details of the book:
Broadening the horizons of Information law and ethics- a time for inclusion, Bottis M. & Alexandropoulou T., editors, University of Macedonia Press, 2017, ISBN 978-618-5196-25-7, pp. 1-486


Attachment language: English File type: PDF document ICIL 2016 Proceedings-Contents
Updated: 19/06/2017 15:27 - Size: 26 Kb

Attachment language: English File type: PDF document ICIL 2016 Proceedings-Full Text
Updated: 19/06/2017 15:27 - Size: 2.4 Mb

Τετάρτη, 18 Οκτωβρίου 2017

Ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ: Δελτίο Τύπου της Ευρωπαϊκής Επιτροπής


Η Ευρωπαϊκή Επιτροπή δημοσίευσε την πρώτη ετήσια έκθεσή της σχετικά με τη λειτουργία της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ, σκοπός της οποίας είναι η προστασία των δεδομένων προσωπικού χαρακτήρα οποιουδήποτε ατόμου στην ΕΕ, όταν τα δεδομένα αυτά διαβιβάζονται σε εταιρείες στις ΗΠΑ για εμπορικούς σκοπούς.
Ο αντιπρόεδρος της Επιτροπής, κ. Andrus Ansip, αρμόδιος για την Ψηφιακή Ενιαία Αγορά, δήλωσε σχετικά: «η Επιτροπή υποστηρίζει σθεναρά τη ρύθμιση για την ασπίδα προστασίας της ιδιωτικής ζωής με τις ΗΠΑ. Οι σίγουρες και ασφαλείς διαβιβάσεις δεδομένων σε διεθνές επίπεδο είναι προς όφελος των πιστοποιημένων εταιρειών και των Ευρωπαίων καταναλωτών και επιχειρήσεων, στις οποίες περιλαμβάνονται και οι ΜΜΕ της ΕΕ. Η πρώτη ετήσια επανεξέταση αποδεικνύει τη δέσμευσή μας για τη δημιουργία ισχυρού συστήματος πιστοποίησης και εποπτείας.
Η επίτροπος Δικαιοσύνης, Καταναλωτών και Ισότητας των Φύλων, κ. Věra Jourová, δήλωσε: «οι διατλαντικές διαβιβάσεις δεδομένων έχουν πολύ μεγάλη σημασία για την οικονομία μας, αλλά το θεμελιώδες δικαίωμα για την προστασία των δεδομένων πρέπει να διασφαλίζεται όταν δεδομένα προσωπικού χαρακτήρα αποστέλλονται εκτός ΕΕ. Από την πρώτη έκθεσή μας για την επανεξέταση προκύπτει ότι η ασπίδα προστασίας της ιδιωτικής ζωής λειτουργεί ικανοποιητικά, ωστόσο υπάρχουν ακόμη περιθώρια βελτίωσης της εφαρμογής της. Η ασπίδα προστασίας της ιδιωτικής ζωής δεν είναι ένα έγγραφο σε κάποιο συρτάρι. Είναι μια ζωντανή ρύθμιση την οποία τόσο η ΕΕ όσο και οι ΗΠΑ πρέπει να παρακολουθούν στενά για να εξασφαλίσουμε την τήρηση των υψηλών μας προτύπων για την προστασία των δεδομένων.
Όταν η ασπίδα προστασίας της ιδιωτικής ζωής τέθηκε σε εφαρμογή τον Αύγουστο του 2016, η Επιτροπή δεσμεύτηκε να επανεξετάζει τη ρύθμιση για την ασπίδα προστασίας της ιδιωτικής ζωής σε ετήσια βάση, ώστε να αξιολογεί αν εξακολουθεί να διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα. Η σημερινή έκθεση βασίζεται στις συνεδριάσεις με όλες τις αρμόδιες αρχές των ΗΠΑ που πραγματοποιήθηκαν στην Ουάσιγκτον στα μέσα Σεπτεμβρίου του 2017, καθώς και σε εισηγήσεις από ευρύ φάσμα ενδιαφερόμενων μερών (συμπεριλαμβανομένων εκθέσεων από εταιρείες και ΜΚΟ). Στη διαδικασία της επανεξέτασης συμμετείχαν και ανεξάρτητες αρχές προστασίας δεδομένων από κράτη μέλη της ΕΕ.
Γενικά, η έκθεση αποδεικνύει ότι η ασπίδα προστασίας της ιδιωτικής ζωής εξακολουθεί να διασφαλίζει επαρκές επίπεδο προστασίαςτων δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την ΕΕ στις συμμετέχουσες εταιρείες στις ΗΠΑ. Οι αρχές των ΗΠΑ έχουν θέσει σε εφαρμογή τις απαραίτητες δομές και διαδικασίες για να εξασφαλίσουν τη σωστή λειτουργία της ασπίδας προστασίας της ιδιωτικής ζωής, όπως είναι οι νέες δυνατότητες έννομης προστασίας για τους πολίτες της ΕΕ. Η διαχείριση των καταγγελιών και οι διαδικασίες επιβολής της νομοθεσίας έχουν οργανωθεί και η συνεργασία με τις ευρωπαϊκές αρχές προστασίας των δεδομένων έχει ενισχυθεί. Η διαδικασία πιστοποίησης λειτουργεί ικανοποιητικά - περισσότερες από 2 400 εταιρείες έχουν πλέον πιστοποιηθεί από το Υπουργείο Εμπορίου των ΗΠΑ. Όσον αφορά την πρόσβαση των δημόσιων αρχών των ΗΠΑ σε δεδομένα προσωπικού χαρακτήρα για λόγους εθνικής ασφάλειας, εξακολουθούν να ισχύουν οι σχετικές διασφαλίσεις από την πλευρά των ΗΠΑ. 
Συστάσεις για την περαιτέρω βελτίωση της λειτουργία της ασπίδας προστασίας της ιδιωτικής ζωής
Η έκθεση περιλαμβάνει μια σειρά από συστάσεις προκειμένου να διασφαλιστεί η συνέχιση της επιτυχημένης λειτουργίας της ασπίδας προστασίας της ιδιωτικής ζωής. Στις συστάσεις αυτές, μεταξύ άλλων, περιλαμβάνονται και τα ακόλουθα:
  • Εντατικοποίηση της προενεργού και τακτικής παρακολούθησης εκ μέρους του Υπουργείου Εμπορίου των ΗΠΑ όσον αφορά τη συμμόρφωση των εταιρειών με τις υποχρεώσεις τους που απορρέουν από τη ρύθμιση για την ασπίδα προστασίας της ιδιωτικής ζωής. Το Υπουργείο Εμπορίου των ΗΠΑ θα πρέπει επίσης να διενεργεί τακτικές έρευνες σχετικά με εταιρείες οι οποίες προβάλλουν ψευδείς ισχυρισμούς για τη συμμετοχή τους στην ασπίδα προστασίας της ιδιωτικής ζωής.
  • Αύξηση της ευαισθητοποίησης των ιδιωτών στην ΕΕ σχετικά με τον τρόπο άσκησης των δικαιωμάτων τους στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής, ιδίως σχετικά με τον τρόπο υποβολής καταγγελιών.
  • Στενότερη συνεργασία μεταξύ των φορέων επιβολής της νομοθεσίας για την προστασία της ιδιωτικής ζωής, δηλ. του Υπουργείου Εμπορίου των ΗΠΑ, της Ομοσπονδιακής Επιτροπής Εμπορίου και των αρχών προστασίας των δεδομένων της ΕΕ, κυρίως με σκοπό την ανάπτυξη κατευθυντήριων γραμμών για τις εταιρείες και τις αρχές επιβολής της νομοθεσίας.
  • Κατοχύρωση της προστασίας των μη Αμερικανών που παρέχεται από την προεδρική οδηγία πολιτικής 28 (PPD-28), στο πλαίσιο της εν εξελίξει συζήτησης στις ΗΠΑ για την επανακύρωση και μεταρρύθμιση του τμήματος 702 του νόμου περί παρακολούθησης αλλοδαπών υπηρεσιών πληροφοριών (FISA).
  • Να οριστεί το συντομότερο δυνατόν ένας μόνιμος Διαμεσολαβητής της ασπίδας προστασίας της ιδιωτικής ζωής, καθώς και να πληρωθούν οι κενές θέσεις των μελών της Επιτροπής Εποπτείας της Ιδιωτικής Ζωής και των Ατομικών Ελευθεριών (PCLOB).
Επόμενα βήματα
Η έκθεση θα διαβιβαστεί στο Ευρωπαϊκό Κοινοβούλιο, στο Συμβούλιο, στην ομάδα εργασίας του άρθρου 29 στην οποία εκπροσωπούνται οι αρχές προστασίας δεδομένων και στις αρχές των ΗΠΑ. Η Επιτροπή θα συνεργαστεί με τις αρχές των ΗΠΑ για την παρακολούθηση των συστάσεών της κατά τους προσεχείς μήνες. Η Επιτροπή θα συνεχίσει να παρακολουθεί εκ του σύνεγγυς τη λειτουργία του πλαισίου της ασπίδας προστασίας της ιδιωτικής ζωής, καθώς και τη συμμόρφωση των αρχών των ΗΠΑ με τις δεσμεύσεις τους.
Ιστορικό
Η απόφαση για την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ εκδόθηκε στις 12 Ιουλίου 2016 και το πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής άρχισε να λειτουργεί την 1η Αυγούστου 2016. Το πλαίσιο αυτό προστατεύει τα θεμελιώδη δικαιώματα των πολιτών της ΕΕ κατά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα στις Ηνωμένες Πολιτείες για εμπορικούς σκοπούς και παρέχει νομική σαφήνεια στις επιχειρήσεις που βασίζονται στις διατλαντικές διαβιβάσεις δεδομένων.
Για παράδειγμα, όταν ψωνίζουμε μέσω του διαδικτύου ή χρησιμοποιούμε τα κοινωνικά μέσα δικτύωσης στην ΕΕ, κάποιο υποκατάστημα ή επιχειρηματικός εταίρος συμμετέχουσας αμερικανικής εταιρείας μπορεί να συλλέγει δεδομένα προσωπικού χαρακτήρα στην ΕΕ και στη συνέχεια να τα διαβιβάζει στις ΗΠΑ. Π.χ. ένας ταξιδιωτικός πράκτορας στην ΕΕ μπορεί να στέλνει ονοματεπώνυμα, στοιχεία επικοινωνίας και αριθμούς πιστωτικών καρτών σε κάποιο ξενοδοχείο στις ΗΠΑ το οποίο έχει εγγραφεί στην ασπίδα προστασίας της ιδιωτικής ζωής.
Περισσότερες πληροφορίες
Έκθεση και έγγραφο εργασίας των υπηρεσιών της Επιτροπής σχετικά με την ετήσια επανεξέταση για τη λειτουργία της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ

Τετάρτη, 20 Σεπτεμβρίου 2017

Ελεύθερη κυκλοφορία δεδομένων μη προσωπικού χαρακτήρα στην ΕΕ


Στις 13.9.2017, η Επιτροπή κατέθεσε Πρόταση Κανονισμού για το πλαίσιο της ελεύθερης κυκλοφορίας μη προσωπικών δεδομένων στην ΕΕ (COM (2017) 495 final). Η Πρόταση αυτή δεν επηρεάζει το ισχύον καθεστώς προστασίας δεδομένων προσωπικού χαρακτήρα (βλ. τον Κανονισμό 2016/679), αντιθέτως, ενισχύει την πληροφοριακή οικονομία και λειτουργεί συμπληρωματική προς άλλες κοινοτικές ρυθμίσεις, όπως είναι ο Κανονισμός (ΕΕ) 2015/2120 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 25ης Νοεμβρίου 2015 για τη θέσπιση μέτρων σχετικά με την πρόσβαση στο ανοικτό διαδίκτυο.

Ειδικότερα, η Επιτροπή προτείνει ένα νέο σύνολο κανόνων που θα διέπουν την ελεύθερη κυκλοφορία των δεδομένων μη προσωπικού χαρακτήρα στην ΕΕ. Σε συνδυασμό με τις ήδη ισχύουσες διατάξεις για τα δεδομένα προσωπικού χαρακτήρα, τα νέα μέτρα θα διευκολύνουν την αποθήκευση και επεξεργασία δεδομένων μη προσωπικού χαρακτήρα σε ολόκληρη την Ένωση, με στόχο την ενίσχυση της ανταγωνιστικότητας των ευρωπαϊκών επιχειρήσεων και τον εκσυγχρονισμό των δημόσιων υπηρεσιών εντός μιας αποτελεσματικής ενωσιακής ενιαίας αγοράς για τις υπηρεσίες δεδομένων. Η άρση των γεωγραφικών περιορισμών στα δεδομένα θεωρείται ότι είναι ο σημαντικότερος παράγοντας για να μπορέσει η οικονομία των δεδομένων να διπλασιαστεί σε αξία, φτάνοντας το 4 % του ΑΕΠ το 2020.

Στο πλαίσιο αυτό περιλαμβάνονται τρεις αρχές:

  1. Η αρχή της ελεύθερης ροής των δεδομένων μη προσωπικού χαρακτήρα σε διασυνοριακό επίπεδο: τα κράτη μέλη δεν μπορούν πλέον να επιβάλλουν στους οργανισμούς την υποχρέωση να αποθηκεύουν ή να επεξεργάζονται τα δεδομένα εντός των συνόρων τους. Περιορισμοί θα επιτρέπονται μόνο για λόγους δημόσιας ασφάλειας. Τα κράτη μέλη θα πρέπει να κοινοποιούν στην Επιτροπή κάθε νέα ή υφιστάμενη απαίτηση γεωγραφικού περιορισμού δεδομένων. Χάρη στην ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα οι επιχειρήσεις θα δραστηριοποιούνται σε διασυνοριακό επίπεδο ευκολότερα και φθηνότερα, χωρίς να χρειάζεται να διαθέτουν πολλαπλά συστήματα ΤΠ ή να αποθηκεύουν τα ίδια δεδομένα σε διαφορετικές τοποθεσίες.
  2. Η αρχή της διαθεσιμότητας των δεδομένων για κανονιστικό έλεγχο: οι αρμόδιες αρχές θα πρέπει να είναι σε θέση να ασκούν τα δικαιώματά τους όσον αφορά την πρόσβαση σε δεδομένα ανεξάρτητα από το πού αυτά είναι αποθηκευμένα ή υπόκεινται σε επεξεργασία στην ΕΕ. Η ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα δεν θα επηρεάσει τις υποχρεώσεις των επιχειρήσεων και άλλων οργανισμών να παρέχουν ορισμένα δεδομένα για λόγους κανονιστικού ελέγχου.
  3. Η κατάρτιση κωδίκων συμπεριφοράς της ΕΕ για την εξάλειψη των εμποδίων όσον αφορά τη δυνατότητα αλλαγής παρόχων υπηρεσιών υπολογιστικού νέφους και την επαναφορά των δεδομένων στα συστήματα ΤΠ των χρηστών.
Σύμφωνα με το δελτίο τύπου της 19/9/2017, οι νέες αυτές διατάξεις θα αυξήσουν την ασφάλεια δικαίου και την εμπιστοσύνη των επιχειρήσεων και των οργανισμών. Επιπλέον, θα ανοίξουν τον δρόμο για μια πραγματικά ενιαία ενωσιακή αγορά υπηρεσιών αποθήκευσης και επεξεργασίας δεδομένων, η οποία θα οδηγήσει σε έναν ανταγωνιστικό, ασφαλή και αξιόπιστο ευρωπαϊκό τομέα υπηρεσιών υπολογιστικού νέφους και στη μείωση των τιμών για τους χρήστες των υπηρεσιών επεξεργασίας και αποθήκευσης δεδομένων. Δεδομένου ότι στόχος των νέων διατάξεων είναι να αυξηθεί το αίσθημα εμπιστοσύνης, αναμένεται ότι οι επιχειρήσεις θα αυξήσουν τη χρήση υπηρεσιών υπολογιστικού νέφους και θα αισθάνονται μεγαλύτερη ασφάλεια κατά την είσοδό τους σε νέες αγορές. Θα έχουν επίσης τη δυνατότητα να μεταφέρουν τους εσωτερικούς τους πόρους ΤΠ στις πλέον αποδοτικές από πλευράς κόστους περιοχές.

Για περισσότερες πληροφορίες βλ.: