Τετάρτη, 28 Αυγούστου 2019

Εθνικός νόμος προσαρμογής στον Γενικό Κανονισμό για την Προστασία Δεδομένων και την ενσωμάτωση της οδηγίας 2016/680




Δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως ο Ν. 4624/2019 για την εφαρμογή του Γενικού Κανονισμού για την Προστασία Δεδομένων και την ενσωμάτωση της οδηγίας 2016/680, με πλήρη τίτλο: «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016»[1]

Έτσι, η Χώρα μας αποκτά τη νομοθεσία που έλειπε στον τομέα της προστασίας δεδομένων, ήτοι τις διατάξεις για την εφαρμογή του Γενικού Κανονισμού και την ενσωμάτωση της οδηγίας 2016/680 για την προστασία δεδομένων κατά την επεξεργασία τους από αρμόδιες αρχές στον ποινικό τομέα. Ο Γενικός Κανονισμός τέθηκε σε εφαρμογή από την 25.05.2018 και ισχύει άμεσα σε κάθε κράτος μέλος, ωστόσο, παρέχει στα κράτη μέλη της Ένωσης εξουσιοδότηση να ρυθμίσουν ειδικά ορισμένα ζητήματα και να θέσουν αυστηρότερες ρυθμίσεις ή εξαιρέσεις από την εφαρμογή των διατάξεών του. Εκτός από τον Κανονισμό, η ΕΕ θέσπισε και δύο ακόμα οδηγίες στον τομέα της προστασίας δεδομένων, την οδηγία 2016/680 και την οδηγία 2016/681. Για την ενσωμάτωση της δεύτερης, ψηφίσθηκε ο Ν. 4579/2018, ωστόσο, μέχρι πρότινος δεν είχε μεταφερθεί στο εσωτερικό δίκαιο η πρώτη και για αυτό, η Ελλάδα παραπέμφθηκε στο ΔΕΕ, καθώς η προθεσμία μεταφοράς της οδηγίας έληξε την 06.05.2018.

Θα πρέπει να αναφερθεί ότι ο εν λόγω νόμος μεταφέρει αυτούσιες πολλές από τις διατάξεις του αντίστοιχου γερμανικού νόμου (Bundesdatenschutzgesetz, BDSG), γεγονός που οδήγησε πολλούς να κάνουν λόγο για άκριτη μεταφορά ξένων δικαιϊκών ρυθμίσεων.

Κατά τη δημόσια διαβούλευση είχαν υποβληθεί πλήθος σχολίων, από τα οποία πολλά έγιναν δεκτά και βελτιώθηκε το σχέδιο νόμου που κατατέθηκε στη Βουλή, ενώ λήφθηκαν υπόψη και οι παρατηρήσεις της Επιστημονικής Υπηρεσίας της Βουλής, με συνέπεια, μετά τη συζήτηση στη Βουλή, το τελικώς ψηφισθέν κείμενο του νόμου να βελτιωθεί σημαντικά.

Σκοπός του νόμου, σύμφωνα με το άρθρο 1, είναι: α) η αντικατάσταση του νομοθετικού πλαισίου που ρυθμίζει τη συγκρότηση και λειτουργία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, β) η λήψη μέτρων εφαρμογής του Κανονισμού (ΕΕ) 2016/679  (Γενικός Κανονισμός για την Προστασία Δεδομένων, εφεξής: ΓΚΠΔ), γ) η ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680.

Ο νόμος διακρίνει ανάμεσα σε δημόσιους και ιδιωτικούς φορείς και περιέχει ξεχωριστές ρυθμίσεις για κάθε μία από αυτές τις δύο κατηγορίες, όπως και ο αντίστοιχος γερμανικός νόμος.

Ως εποπτική αρχή διατηρείται η ανεξάρτητη Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία συγκροτείται από τον Πρόεδρο και έξι μέλη, με αντίστοιχους αναπληρωτές, που έχουν εξαετή θητεία. Η επιλογή του Προέδρου και των μελών της Αρχής γίνεται σύμφωνα με το άρθρο 101Α του Συντάγματος, δηλ. μετά από επιλογή με απόφαση της διάσκεψης των Προέδρων της Βουλής και με επιδίωξη ομοφωνίας ή πάντως με την αυξημένη πλειοψηφία των τεσσάρων πέμπτων των μελών της. Ωστόσο, τα προσόντα τους περιγράφονται με ασάφεια στο νόμο, ο οποίος κάνει λόγο για πρόσωπα εγνωσμένου κύρους, ενώ, αντίθετα ο ν. 2472/1997 προέβλεπε ότι ο Πρόεδρος είναι δικαστικός λειτουργός βαθμού Συμβούλου της Επικρατείας ή αντίστοιχου και άνω, και τα μέλη είναι τρεις καθηγητές ΑΕΙ, και τρία πρόσωπα κύρους και εμπειρίας στον τομέα της προστασίας δεδομένων. Οι αρμοδιότητες και εξουσίες της Αρχής είναι διευρυμένες σε σχέση με τον Κανονισμό.

Το όριο για τη συγκατάθεση ανηλίκου στην επεξεργασία των προσωπικών του δεδομένων κατά την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών είναι το 15ο έτος, ενώ για νεότερα πρόσωπα προβλέπεται ότι απαιτείται η συγκατάθεση του νομίμου αντιπροσώπου τους.

Ειδικές ρυθμίσεις προβλέπονται για την επεξεργασία ειδικών κατηγοριών δεδομένων («ευαίσθητων δεδομένων»), ενώ όσον αφορά την επεξεργασία γενετικών δεδομένων, ορίζεται ότι απαγορεύεται για σκοπούς ασφάλισης υγείας και ζωής.

Κατ’ απόκλιση από την αρχή του περιορισμού του σκοπού προβλέπεται η επεξεργασία δεδομένων για διαφορετικό σκοπό από αυτόν για τον οποίο έχουν συλλεχθεί, όσον αφορά τους δημόσιους φορείς και τους ιδιωτικούς φορείς, ενώ σημαντική είναι η πρόβλεψη για τη διαβίβαση δεδομένων από δημόσιους φορείς σε δημόσιους και ιδιωτικούς φορείς.

Όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των σχέσεων απασχόλησης, προβλέπεται ότι αυτή είναι νόμιμη όταν είναι απολύτως απαραίτητη για τη σύναψη και την εκτέλεση της σύμβασης εργασίας, εξαιρετικά μόνο επιτρέπεται, δε, η λήψη της συγκατάθεσης του εργαζομένου. Η εγκατάσταση συστημάτων βιντεοεπιτήρησης επιτρέπεται μόνο εάν είναι απαραίτητη για την προστασία προσώπων και αγαθών, ενώ τα δεδομένα που συλλέγονται μέσω κλειστού κυκλώματος οπτικής καταγραφής δεν επιτρέπεται να χρησιμοποιηθούν ως κριτήριο για την αξιολόγηση της αποδοτικότητας των εργαζομένων.

Ειδικές διατάξεις ισχύουν για τα ΜΜΕ που καθιερώνουν εξαιρέσεις από τους κανόνες του Κανονισμού, που δεν είναι όμως ιδιαίτερα σαφείς.

Περαιτέρω, προβλέπονται μια σειρά εξαιρέσεις από τα δικαιώματα του υποκειμένου των δεδομένων, οι οποίες εν μέρει είναι εύλογες, ωστόσο, θα πρέπει να ερμηνεύονται στενά.

Ιδιαίτερα σημαντική είναι η ρύθμιση για τη διαπίστευση φορέων που χορηγούν πιστοποιήσεις, η οποία γίνεται από το ΕΣΥΔ, με βάση ορισμένο πρότυπο και σύμφωνα με συμπληρωματικές απαιτήσεις που έχουν ορισθεί από την Αρχή.

Ποινικές κυρώσεις προβλέπονται, όπως και στο ν. 2472/1997, για την επέμβαση σε αρχείο προσωπικών δεδομένων. Δεν έχει περιληφθεί διάταξη για την ποινική ευθύνη του Υπεύθυνου Προστασίας Δεδομένων, όπως στο σχέδιο νόμου. Ειδικά για το δημόσιο τομέα, προβλέπονται περιορισμοί στην επιβολή διοικητικών κυρώσεων.

Στο δεύτερο μέρος του νόμου περιέχονται διατάξεις για την ενσωμάτωση της οδηγίας 2016/680, οι οποίες ακολουθούν τη διάρθρωση του γερμανικού νόμου, αλλά αντιγράφουν τις διατάξεις της οδηγίας.

Από τις διατάξεις του ν. 2472/1997 παραμένουν όσες ρυθμίζουν τη δυνατότητα δημοσιοποίησης των στοιχείων κατηγορουμένων για σημαντικά αδικήματα και την εγκατάσταση και λειτουργία συστημάτων επιτήρησης κοκ.







Δευτέρα, 12 Αυγούστου 2019

ΑΠΔΠΧ 26/2019: Άσκηση διορθωτικών εξουσιών της Αρχής βάσει του ΓΚΠΔ και επιβολή προστίμου


Με την υπ' αριθ. 26/2019 απόφασή της, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), με αφορμή καταγγελία κατά της εταιρίας PWC για παράνομη επεξεργασία προσωπικών δεδομένων των εργαζομένων σε αυτή, διερεύνησε αυτεπαγγέλτως τη νομιμότητα της εν λόγω επεξεργασίας, την οποία θεώρησε ως μη σύννομη και προέβη στην άσκηση διορθωτικών εξουσιών, κατά το άρθρο 58 παρ. 2 του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ), καθώς και στην επιβολή διοικητικού προστίμου, κατ' άρθρο 83 ΓΚΠΔ.

Η απόφαση αυτή παρουσιάζει ενδιαφέρον, διότι εφαρμόζει για πρώτη φορά την αρχή της λογοδοσίας που κατοχυρώνεται στο άρθρο 5 παρ. 2 ΓΚΠΔ, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με με τις αρχές του άρθρου 5 παρ. 1 ΓΚΠΔ. Όπως δέχεται η απόφαση, για να είναι νόμιμη η επεξεργασία προσωπικών δεδομένων, θα πρέπει να θεμελιώνεται σε νομική βάση κατά το άρθρο 6 ΓΚΠΔ, αλλά και, σωρευτικά, να τηρούνται οι αρχές για την επεξεργασία δεδομένων που προβλέπονται στο άρθρο 5 ΓΚΠΔ (βλ. ΔΕΕ, απόφαση της 16-01-2019 στην υπόθεση C- 496/2017 Deutsche Post AG κατά Hauptzollamt Köln, ECLI:EU:C:2019:26, σκ. 57).

Μία από τις βασικές αρχές του άρθρου 5 ΓΚΠΔ είναι και η αρχή της θεμιτής ή δίκαιης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (άρθρο 5 παρ. 1 α΄ ΓΚΠΔ), σύμφωνα με την οποία, ο υπεύθυνος επεξεργασίας οφείλει να ενημερώνει το υποκείμενο των δεδομένων ότι πρόκειται να επεξεργαστεί τα δεδομένα του με νόμιμο και διαφανή τρόπο. Η απόφαση της Αρχής έκανε δεκτό ότι στενά συνδεδεμένη με την αρχή αυτή και με την αρχή του περιορισμού του σκοπού (άρθρο 5 παρ. 1 γ΄ ΓΚΠΔ), καθώς ο υπεύθυνος επεξεργασίας πρέπει να επιλέγει την κατάλληλη νομική βάση για την επεξεργασία πριν από την έναρξη της επεξεργασίας, αλλά και να ενημερώνει για αυτή το υποκείμενο των δεδομένων, σύμφωνα με το άρθρο 13 παρ. 1 εδ. γ΄και 14 παρ. 1 εδ. γ΄ΓΚΠΔ. 

Στην απόφασή της, η ΑΠΔΠΧ δέχεται σχετικά ότι: "η επιλογή της νομικής βάσης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα πρέπει να λαμβάνει χώρα προ της έναρξης της επεξεργασίας, ο δε υπεύθυνος επεξεργασίας υποχρεούται με βάση την αρχή της λογοδοσίας (βλ. άρ. 5 παρ. 2 σε συνδ. με 24 και 32 ΓΚΠΔ) να επιλέξει την κατάλληλη νομική βάση εκ των προβλεπομένων από το άρθρο 6 παρ. 1 ΓΚΠΔ, καθώς και να είναι σε θέση να αποδείξει στο πλαίσιο της εσωτερικής συμμόρφωσης την τήρηση των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ, περιλαμβανομένης αυτονοήτως και της τεκμηρίωσης επί τη βάσει της οποίας κατέληξε στην οικεία νομική βάση."

Η ΑΠΔΠΧ ορθώς, επίσης, δέχθηκε ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα των εργαζομένων δεν μπορεί να στηρίζεται στη συγκατάθεση, αλλά στην εκτέλεση σύμβασης κατ' άρθρο 6 παρ. 1 β΄ ΓΚΠΔ. Στη συγκεκριμένη περίπτωση, ζητήθηκε η παροχή συγκατάθεσης από τους εργαζόμενους της εταιρίας PWC, μεταξύ των άλλων και για τη διαβίβαση δεδομένων εκτός Ελλάδας ή τη συναίνεση στον έλεγχο και παρακολούθηση από την εταιρία των μέσων επικοινωνίας και του ηλεκτρονικού εξοπλισμού. Η ενέργεια αυτή βρισκόταν ασφαλώς σε αντίθεση με τον ΓΚΠΔ, διότι δεν νοείται παροχή ελεύθερης συγκατάθεσης για την επεξεργασία δεδομένων των εργαζομένων. Στη συνέχεια, δε η εν λόγω εταιρία χρησιμοποίηση την εν μέρει ακατάλληλη νομική βάση της εκτέλεσης της σύμβασης για όλους τους σκοπούς επεξεργασίας.

Το καίριο, εν προκειμένω, ζήτημα είναι τι συνεπάγεται η επιλογή εσφαλμένης νομικής βάσης για την επεξεργασία και ειδικότερα, αν συνιστά παραβίαση της αρχής της λογοδοσίας. Η αρχή της λογοδοσίας κατοχυρώνεται στο άρθρο 5 παρ. 2 ΓΚΠΔ και εξειδικεύεται στο άρθρο 24 ΓΚΠΔ (βλ. Ι. Ιγγλεζάκη, Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων. Το νέο νομικό πλαίσιο προστασίας προσωπικών δεδομένων, 2η εκδ. 2018, εκδ. Interactive Learning, 67, 111 επ.) και έχει το νόημα ότι ο υπεύθυνος της επεξεργασίας, λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, να εφαρμόζει κατάλληλα τεχνικά και ορ-γανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον κανονισμό. Προς το σκοπό αυτό, πρέπει να εφαρμόζει κατάλληλες πολιτικές, σύμφωνα με το άρθρο 24 παρ. 2 ΓΚΠΔ.


Η ΑΠΔΠΧ δέχθηκε ότι στη συγκεκριμένη περίπτωση διαπιστώνεται παραβίαση της αρχής της λογοδοσίας η οποία συνίσταται "κατ’ αρχήν στο ότι ο υπεύθυνος επεξεργασίας δεν κατάφερε να συμμορφωθεί με τις επιταγές των αρχών επεξεργασίας του άρθρου 5 παρ. 1 εδ. α’ ΓΚΠΔ και ιδίως δεν τεκμηρίωσε, στο πλαίσιο της εσωτερικής συμμόρφωσης, τους λόγους επιλογής της νομικής βάσης κατ’ αρ. 6 παρ. 1 ΓΚΠΔ ως κατάλληλης για την επίτευξη των σκοπών επεξεργασίας, αδυνατώντας παράλληλα να ανταποκριθεί σε σχετικό αίτημα της Αρχής. Επιπλέον δε, παραβιάσθηκε η αρχή της λογοδοσίας στο μέτρο κατά το οποίο ο υπεύθυνος επεξεργασίας επιβάρυνε τα υποκείμενα των δεδομένων με το σχετικό καθήκον, προκειμένου να συγκατατεθούν ότι τηρήθηκε η κατ’ αρ. 5 παρ. 1 εδ. γ’ ΓΚΠΔ αρχή της ελαχιστοποίησης των δεδομένων".

Συνακόλουθα, η Αρχή έλαβε υπόψη ότι η παραβίαση των αρχών του άρθρου 5 παρ. 1 α΄ και παρ. 2 ΓΚΠΔ υπάγεται σύμφωνα με τις διατάξεις του άρθρου 83 παρ. 5 εδ. α’ ΓΚΠΔ στις περιπτώσεις επιβολής διοικητικών προστίμων έως 20.000.000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο. Στη συνέχεια, η απόφαση κάνει αναλυτική αναφορά στα προβλεπόμενα κριτήρια επιβολής προστίμων του άρθρο 83 παρ. 2 ΓΚΠΔ. Στο διατακτικό, δε, της απόφασης προβλέπεται ως διορθωτικό μέτρο κατ' άρθρο 58 παρ. 2 δ΄ ΓΚΠΔ η παροχή εντολής στην εταιρία  PWC να καταστήσει τις πράξεις επεξεργασίας προσωπικών δεδομένων σύμφωνες με τις διατάξεις του ΓΚΠΔ και να αποκαταστήσει των άρθρων 5 ΓΚΠΔ, ενώ επιβλήθηκε διοικητικό χρηματικό ποσό ύψους 150.000,00 ευρώ.

Η απόφαση αυτή της ΑΠΔΠΧ συνιστά συνεπή εφαρμογή των διατάξεων του ΓΚΠΔ, ιδίως σε ό,τι αφορά την αρχή της λογοδοσίας και υπευθυνότητας του υπεύθυνου επεξεργασίας. Γίνεται σαφές ότι η ελλιπής συμμόρφωση με τις διατάξεις ΓΚΠΔ, ακόμα και η μη συνεπής συμμόρφωση επισύρουν νομικές συνέπειες. Βεβαίως, η λεπτομερής ανάγνωση της απόφασης μας οδηγεί στο συμπέρασμα ότι δεν ήταν αρκετή η επιβολή διορθωτικών μέτρων και κρίθηκε αναγκαία η επιβολή διοικητικού προστίμου. Βεβαίως, σε περίπτωση μη τήρησης των υποχρεώσεων του άρθρου 24 ΓΚΠΔ δεν προβλέπεται επιβολή διοικητικού προστίμου παρά μόνο διορθωτικών μέτρων του άρθρου 58 ΓΚΠΔ (βλ. Ιγγλεζάκη, ό.π., σελ. 120). Για το λόγο αυτό, η απόφαση επικαλείται τη διάταξη του άρθρου 83 παρ. 5 α΄ ΓΚΠΔ, κρίνοντας ότι στη συγκεκριμένη περίπτωση θεμελιώνεται παραβίαση των γενικών αρχών του άρθρου 5 ΓΚΠΔ. Κατά την άποψή μας, η επιλογή εσφαλμένης νομικής βάσης για την επεξεργασία προσωπικών δεδομένων και η ενημέρωση του υποκειμένου των δεδομένων για αυτήν, δεν συνιστά παραβίαση της αρχής της θεμιτής επεξεργασίας ούτε και της αρχής της διαφάνειας που πρέπει να διέπει την επεξεργασία, κατά το άρθρο 5 παρ. 1 α΄ ΓΚΠΔ και για το λόγο αυτό δεν παρίσταται δικαιολογημένη η εφαρμογή του άρθρου 83 παρ. 5 α΄ ΓΚΠΔ στη συγκεκριμένη περίπτωση.