Η δικηγορική εταιρεία Οικονόμου και Συνεργάτες εξειδικεύεται σε θέματα προστασίας προσωπικών δεδομένων και εφαρμογής του Γενικού Κανονισμού Προσωπικών Δεδομένων ( GDPR ).

Η παραβίαση των προσωπικών δεδομένων είναι εξαιρετικά συχνή και έχει αναδειχθεί τα τελευταία χρόνια σε ένα από τα σημαντικότερα ζητήματα του δικαίου της ιδιωτικότητας.
Η συνεχής ανάπτυξη των κοινωνικών δικτύων, η ηλεκτρονική επικοινωνία και η εκτεταμένη χρήση ψηφιακών αρχείων έχουν δημιουργήσει νέους κινδύνους για τα δικαιώματα των ατόμων.

Στην Ελλάδα, πέρα από το ευρωπαϊκό κανονιστικό πλαίσιο του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR – Κανονισμός 2016/679/ΕΕ), ισχύει και ο Ν. 4624/2019,
ο οποίος προσαρμόζει το εθνικό δίκαιο και προβλέπει συγκεκριμένες ποινικές κυρώσεις για παραβάσεις των προσωπικών δεδομένων.

Ο Ν. 4624/2019, στο άρθρο 38, προβλέπει ποινικές κυρώσεις για όποιον «προβαίνει χωρίς δικαίωμα σε επεξεργασία προσωπικών δεδομένων»· οι ποινές φθάνουν έως φυλάκιση και χρηματική ποινή.

Όταν η παραβίαση συνδέεται με σκοπό παράνομου οφέλους ή πρόκλησης βλάβης στο υποκείμενο, η ποινή μπορεί να είναι αυστηρότερη.

Συχνές περιπτώσεις παραβίασης προσωπικών δεδομένων είναι οι κάτωθι:

α/ αναρτήσεις στα social media φωτογραφιών και κειμένων που παραβιάζουν την ιδιωτικότητα και τα προσωπικά δεδομένα του ατόμου.

β/ παραβίαση των προσωπικών δεδομένων εργαζόμενου από την εταιρεία του με χρήση κάμερας επιτήρησης σε μέρη που απαγορεύεται.

γ/ διαρροή προσωπικών δεδομένων των οποίων εργαζόμενος έλαβε γνώση κατά τη διάρκεια της εργασίας του, όπως ονόματα πελατών, συνεργατών και υπαλλήλων.

δ/ παραβίαση προσωπικών δεδομένων με χρήση φωτογραφιών και μηνυμάτων στα πλαίσια δίκης.

ε/ παραβίαση της νομοθεσίας προσωπικών δεδομένων λόγω βιντεοεπιτήρησης χωρίς ενημερωτική σήμανση.

Στ/ παραβίαση προσωπικών δεδομένων εργαζόμενου με επιτήρηση του e mail του.

ζ/ παράνομη διαβίβαση δεδομένων πελατών από τράπεζες σε fund.

η/ δημοσιοποίηση ιατρικών άρα ευαίσθητων προσωπικών δεδομένων από κλινική σε ασφαλιστική εταιρεία.

Ειδικότερα:

Προσβολές μέσω αναρτήσεων στα κοινωνικά δίκτυα – social media

Ένα από τα πιο συνηθισμένα φαινόμενα παραβίασης και προσβολής προσωπικών δεδομένων που συναντούν οι δικηγόροι μας, αφορά τη δημοσίευση ή διαρροή στοιχείων σε μέσα κοινωνικής δικτύωσης ή η ανάρτηση προσβλητικών σχολίων και κειμένων στα social media.

Η χρήση ψηφιακών μέσων και ειδικότερα των social media όπως το Facebook, Instagram, X πρώην Twitter, LinkedIn, Tik Tok και πολλών άλλων κάνει την διάδοση των προσωπικών δεδομένων ιδιαίτερα εύκολη. Μία φωτογραφία που δημοσιεύεται στο Instagram αυτομάτως τίθεται στην διάθεση και στα μάτια του οποιουδήποτε. Η δε δημιουργία ψεύτικων λογαριασμών που κρύβουν την ταυτότητα αυτού που την δημοσίευσε, κάνει ιδιαίτερα δύσκολη την αποκάλυψη του δράστη.

Η ανάρτηση φωτογραφιών, βίντεο ή συνομιλιών χωρίς τη συναίνεση του υποκειμένου συνιστά επεξεργασία δεδομένων κατά παράβαση των άρθρων 5 και 6 GDPR.
Ιδιαίτερα όταν πρόκειται για ευαίσθητα δεδομένα, όπως υγεία ή σεξουαλική ζωή, παραβιάζονται και οι αυστηρότεροι κανόνες του άρθρου 9 GDPR.

Η ανάρτηση προσωπικών στοιχείων στο Facebook ή το Instagram με σκοπό τον εκφοβισμό ή τον εκβιασμό ή την προσβολή της τιμής του άλλου, ενδέχεται να οδηγήσει όχι μόνο σε αστικές αξιώσεις αποζημίωσης αλλά και σε ποινική δίωξη.

Παραβιάσεις στα πλαίσια κάποιας δίκης.

Ιδιαίτερη προσοχή απαιτείται και στο πλαίσιο των δικαστικών διαδικασιών.
Η προσκόμιση εγγράφων που περιέχουν προσωπικά δεδομένα τρίτων – όπως ιατρικά στοιχεία, τραπεζικές κινήσεις ή ιδιωτική αλληλογραφία – πρέπει να γίνεται μόνο στον βαθμό που είναι απολύτως αναγκαίο για τη δικαστική υπεράσπιση ή για την άσκηση δικαιώματος (άρθρο 9 παρ. 2 περ. στ’ GDPR).

Η αλόγιστη χρήση τέτοιων δεδομένων μπορεί να οδηγήσει σε παραβίαση του δικαίου προστασίας προσωπικών δεδομένων.

Ο Ν. 4624/2019, στο άρθρο 41, ποινικοποιεί ειδικότερα τη μη νόμιμη κοινολόγηση ή διάθεση προσωπικών δεδομένων.

Όποιος «διαβιβάζει ή καθιστά προσιτά προσωπικά δεδομένα σε μη δικαιούμενο» χωρίς τη συναίνεση ή νόμιμη βάση, τιμωρείται με φυλάκιση τουλάχιστον ενός έτους και χρηματική ποινή.

Έτσι, διάδικος ή μάρτυρας που προσκομίζει ευαίσθητα δεδομένα πέραν των ορίων της αναγκαιότητας, κινδυνεύει με ποινικές ευθύνες.

Το πλέγμα ποινικής προστασίας

Η ποινική προστασία δεν περιορίζεται μόνο στις διατάξεις του Ν. 4624/2019.
Συναντάται και σε γενικότερες διατάξεις του Ποινικού Κώδικα, όπως το άρθρο 370Β ΠΚ («Παραβίαση του απορρήτου της τηλεφωνικής επικοινωνίας») ή το άρθρο 370Γ ΠΚ («Παραβίαση απορρήτου μέσω υπολογιστή»).

Σε συνδυασμό με τον GDPR και τον ελληνικό εφαρμοστικό νόμο, διαμορφώνεται ένα αυστηρό πλέγμα κανόνων που προστατεύουν την ιδιωτική σφαίρα.

Είναι, εμφανής η πρόθεση του νομοθέτη να τιμωρήσει τον δράστη με βαριές ποινές, τόσο στερητικές της ελευθερίας όσο και χρηματικές, προκειμένου να ελαχιστοποιήσει, κατά το δυνατόν, το φαινόμενο της παραβίασης δεδομένων προσωπικού χαρακτήρα. Το προστατευόμενο από την διάταξη του άρθρου 38 του ν. 4624/2019 έννομο αγαθό είναι το δικαίωμα στην πληροφοριακή αυτοδιάθεση (ή αυτοκαθορισμό) ως ειδικότερη εκδήλωση του δικαιώματος στην ιδιωτική ζωή (ιδιωτική σφαίρα), το οποίο δεν είναι πρωτίστως οικονομικής φύσεως.

Για τη στοιχειοθέτηση της υποκειμενικής υπόστασης του αδικήματος της παραβίασης προσωπικών δεδομένων των εδαφίων α’ και β’ της παρ. 1 του άρθρου 38 του ως άνω νόμου απαιτείται δόλος, ακόμη και ενδεχόμενος.

Οι παραβάσεις προσωπικών δεδομένων δεν αφορούν πλέον μόνο φορείς, αλλά και ιδιώτες που κάνουν κατάχρηση των social media ή εγγράφων.
Η νομολογία δείχνει αυξανόμενη αυστηρότητα στην αντιμετώπιση τέτοιων φαινομένων, ιδίως όταν προκαλείται σοβαρή ηθική βλάβη.

Τα Δικαστήρια έχουν ασχοληθεί πολλές φορές με θέματα προσβολής των προσωπικών δεδομένων. Αναφέρουμε παρακάτω μερικές σχετικές αποφάσεις:

Απόφαση Αρείου Πάγου 947/2022: Κρίθηκε ότι η δημοσιοποίηση ευαίσθητων δεδομένων (π.χ. υγείας) σε τρίτους μέσω διαδικτύου συνιστά αξιόποινη διάδοση.
Απόφαση Αρείου Πάγου 813/2020: Διαπίστωσε παραβίαση από δημοσιοποίηση στοιχείων δικογραφίας σε ιστοσελίδα χωρίς νόμιμη βάση.
Απόφαση ΠΠρΑθ 3920/2017: Ο διαχειριστής ιστοσελίδας που αναρτά προσωπικά δεδομένα εξομοιώνεται με υπεύθυνο επεξεργασίας.
Απόφαση ΑΠ 513/2020: Αναγνώρισε την ευθύνη για παράνομη διάδοση δεδομένων μέσω διαδικτύου, ερμηνεύοντας το άρθρο 38 Ν. 4624/2019.
Απόφαση Εφετείου (2023): Δημοσίευση αποσπασμάτων καταθέσεων από δικογραφία κρίθηκε παράνομη, επιβεβαιώνοντας τις θέσεις του ΑΠ 813/2020.

Η παραβίαση των προσωπικών δεδομένων λόγω των ψηφιακών μέσων είναι σήμερα πάρα πολύ συχνή και μπορεί να επιφέρει τεράστιες συνέπειες τόσο ηθικές και προσωπικές όσο και χρηματική ζημία. Η ποινική προστασία των προσωπικών δεδομένων αποτελεί σήμερα ένα αναγκαίο αντίβαρο στην ψηφιακή εποχή.

Η ανάρτηση ή κοινολόγηση δεδομένων χωρίς συναίνεση μπορεί να επισύρει σοβαρές ποινικές κυρώσεις.

Παράλληλα, οι νομικοί και οι διάδικοι οφείλουν να χειρίζονται με υπευθυνότητα τα έγγραφα που περιέχουν προσωπικά στοιχεία στις δίκες.

Η συμμόρφωση με το ευρωπαϊκό και ελληνικό πλαίσιο δεν αποτελεί μόνο νομική υποχρέωση, αλλά και δείκτη σεβασμού στην ανθρώπινη αξιοπρέπεια.
Η ιδιωτικότητα είναι θεμελιώδες δικαίωμα και οι παραβιάσεις της τιμωρούνται ποινικά, ενισχύοντας την εμπιστοσύνη στη δικαιοσύνη και την κοινωνία.

Οι δικηγόροι της εταιρείας είναι στην διάθεσή σας για κάθε θέμα που αφορά τη παραβίαση των προσωπικών σας δεδομένων.

Ο δικηγόρος Στέφανος Οικονόμου είναι πιστοποιημένος DPO (Υπεύθυνος Προστασίας Δεδομένων) και παράλληλα έχει μεγάλη εμπειρία και εξειδίκευση στο ποινικό δίκαιο. Για θέματα παραβίασης προσωπικών δεδομένων μπορείτε να απευθυνθείτε στο γραφείο μας για να σας παρέχουμε νομικές υπηρεσίες τόσο σε συμβουλευτικό όσο και σε πρακτικό επίπεδο.

 

Ενδιαφέρον παρουσιάζει η πρόσφατη απόφαση της Αρχής Προστασίας Προσωπικών Δεδομένων, η οποία έκρινε ότι το Γενικό Νοσοκομείο Θεσσαλονίκης «Παπαγεωργίου» παραβίασε το καθήκον ενημέρωσης προς το υποκείμενο των δεδομένων σχετικά με τη διαβίβασή τους σε τρίτο πρόσωπο, παρόλο που υπήρχε Εισαγγελική παραγγελία για την εν λόγω διαβίβαση των προσωπικών δεδομένων. Οι δικηγόροι του γραφείου μας με την εξειδίκευσή τους στη νομοθεσία για την προστασία των προσωπικών δεδομένων θεωρούν σκόπιμη την επισήμανση αυτής της απόφασης έχοντας χειριστεί παρόμοιες υποθέσεις στα Δικαστήρια.

Η απόφαση της Αρχής Προστασίας Προσωπικών Δεδομένων εξεδόθη με βάση τον νόμο που ίσχυε πριν από την θέση σε ισχύ του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων ( GDPR ) αλλά το σκεπτικό της είναι απόλυτα συμβατό με αυτόν.

Πιο συγκεκριμένα, ο Α κατήγγειλε τη σύμβαση εργασίας της Β ως οικιακής μισθωτού μόλις πληροφορήθηκε την εγκυμοσύνη της. Για να αποκτήσει μία πληρέστερη εικόνα της υγείας της Β, ο Α θεώρησε σκόπιμο να έχει πρόσβαση στα προσωπικά δεδομένα που είχαν σχέση με την υγεία της. Για τον λόγο αυτό, ο Α µε αίτησή του προς τον Εισαγγελέα Πληµµελειοδικών Θεσσαλονίκης, επικαλούμενος έννομο συμφέρον, ζήτησε τη χορήγηση σχετικής εισαγγελικής παραγγελίας, προκειμένου να λάβει από το Νοσοκομείο αντίγραφα από τα οποία να προκύπτει το χρονικό διάστημα νοσηλείας της. Ο Εισαγγελέας διαβίβασε την αίτηση του Α στο Νοσοκομείο, καλώντας το να χορηγήσει τα αιτούμενα στοιχεία σύμφωνα µε το άρθρο 25 αρ.4 εδ. β του ν. 1756/1988.

Το Νοσοκομείο συμμορφώθηκε με την Εισαγγελική παραγγελία και διαβίβασε τα προσωπικά δεδομένα της ασθενούς, χωρίς προηγουμένως να ενημερώσει την Β. Να σημειωθεί ότι κατ’ εξαίρεση επιτρέπεται η χορήγηση προσωπικών δεδομένων σε τρίτο, και χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων, μόνον στις εξαιρετικές περιπτώσεις του άρθρου 5 παρ. 2 του ν. 2472/97. Μία από αυτές τις περιπτώσεις είναι όταν: το έννομο συμφέρον του τρίτου υπερέχει προφανώς των δικαιωμάτων και συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα, και ταυτόχρονα δεν θίγονται οι θεμελιώδεις ελευθερίες του.

Η Αρχή Προστασίας Προσωπικών Δεδομένων έκρινε όμως ότι δεν συντρέχει εν προκειμένω κάποια εξαίρεση που να δικαιολογεί την μη προηγούμενη ενημέρωση του υποκειμένου των δεδομένων, όπως απαιτεί το άρθρο 11 παρ. 3 του ν. 2472/1997. Η ενημέρωση δε αυτή ήταν απαραίτητη, προκειμένου η Β, ως υποκείμενο των προσωπικών δεδομένων, να ασκήσει το δικαίωμα αντίρρησης του άρθρου 13 ν. 2472/1997, το οποίο έχει σε κάθε περίπτωση.

Σε περίπτωση που έχετε αντιμετωπίσει κάποια παραβίαση ή παράνομη χρήση των προσωπικών σας δεδομένων, η δικηγορική μας εταιρία Στέφανος Οικονόμου και Συνεργάτες μπορεί να σας συμβουλεύσει πως μπορείτε να κινηθείτε για την προάσπιση των συμφερόντων σας και την αναζήτηση αποζημίωσης.

 

 

H Ευρωπαική Επιτροπή Προστασίας Προσωπικών Δεδομένων ανακοίνωσε ότι έχει λάβει ήδη πάνω από 1.100 αναφορές παραβιάσεων δεδομένων που εμπλέκουν προσωπικά δεδομένα, μέσα σε δύο μήνες από την εφαρμογή του GDPR.  

Οι 1.184 αναφορές προς την Επιτροπή σημαίνουν ότι οι αναφορές για την παραβίαση δεδομένων είναι σημαντικά υψηλότερες από τον μέσο όρο των 230 που αναφέρθηκαν κάθε μήνα το 2017. Παρατηρείται δηλαδή μία αύξηση 500% στις καταγγελίες στο Ευρωπαικό επίπεδο.  

Ένα μέρος αυτών μπορεί να εξηγηθεί από το ότι ο GDPR εισάγει υποχρεωτική αναφορά παραβιάσεων προσωπικών δεδομένων, εκτός αν η παραβίαση είναι απίθανο να καταλήξει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων ή των υποκειμένων των δεδομένων. 

Όμως είναι βέβαιο ότι ο κόσμος έχει πλέον ευαισθητοποιηθεί τόσο από τα διάφορα σκάνδαλα που είδαν το φως τα τελευταία χρόνια με απίστευτες διαρροές προσωπικών δεδομένων όσο και από τις καμπάνιες που έγιναν με την εισαγωγή του GDPR.  

Όπως είναι γνωστό, οι παραβιάσεις προσωπικών δεδομένων πρέπει να αναφέρονται «χωρίς αδικαιολόγητη καθυστέρηση» και όχι αργότερα από 72 ώρες αφότου ο υπεύθυνος επεξεργασίας δεδομένων λάβει γνώση αυτών. 

Η δικηγορική μας εταιρία Στέφανος Οικονόμου και Συνεργάτες μπορεί να αναλάβει την συμμόρφωσή σας με τις υποχρεώσεις που θέτει ο GDPR έτσι ώστε να μην βρεθείτε στην δυσάρεστη θέση να ανακοινώσετε κάποια παραβίαση προσωπικών δεδομένων.  

Σε μία εργασιακή σχέση εξ αντικειμένου ο εργοδότης βρίσκεται σε θέση ισχύος έναντι του εργαζόμενου. Αυτό πολλές φορές οδηγεί ορισμένους εργοδότες σε παραβίαση του νόμου για την προστασία των προσωπικών δεδομένων των εργαζομένων προσπαθώντας να προασπίσουν το συμφέρον της επιχείρησής τους.  

Ενόψει και της εφαρμογής του GDPR οι επιχειρήσεις οφείλουν να είναι ιδιαίτερα προσεκτικές στο πως επεξεργάζονται τα προσωπικά δεδομένων των εργαζόμενών τους με δεδομένο ότι πλέον ο GDPR αναγνωρίζει περισσότερα δικαιώματα στο υποκείμενο των προσωπικών δεδομένων και απειλεί με βαρύτατα πρόστιμα.  

Αναφέρουμε παρακάτω ορισμένες περιπτώσεις που τέθηκαν ενώπιον της Αρχής Προστασίας Προσωπικών Δεδομένων τα τελευταία χρόνια και έχουν να κάνουν με την προστασία των προσωπικών δεδομένων των εργαζομένων.  

 

1/ Διενέργεια ελέγχου στον ηλεκτρονικό υπολογιστή που χρησιµοποιούσε ο εργαζόμενος στον επαγγελματικό του χώρο, χωρίς προηγούµενη ενηµέρωση και εν απουσία του. 

Η Αρχή Προστασίας Προσωπικών Δεδομένων, με την με αριθμό 34/2018 απόφασή της έκρινε ότι η από µέρους του εργαζόµενου χρήση ηλεκτρονικού υπολογιστή που ανήκει στον εργοδότη και για τον οποίο έχει προηγουµένως ρητά ενηµερωθεί ότι απαγορεύεται η χρήση του για µη επαγγελµατικούς λόγους δεν συνιστά από µόνο του νόµιµο λόγο επιτήρησης ή ελέγχου των προσωπικών δεδοµένων που επεξεργάζεται ο εργαζόµενος, αλλά απαιτείται ειδικότερη ενηµέρωση του εργαζόμενου. 

Ο νέος GDPR ενισχύει ακόμα περισσότερο τα δικαιώματα ενημέρωσης των υποκειμένων των προσωπικών δεδομένων.  

2/ Δικαίωμα εργοδότη να χρησιµοποιήσει ιατρικές πληροφορίες από τον φάκελο του πρώην εργαζοµένου του, προκειµένου να αντικρούσει την αγωγή αποζηµίωσης που έχει ασκήσει σε βάρος του ο πρώην εργαζόµενος.  

Ο εργαζόμενος μετά την λύση της σύμβασης εργασίας, άσκησε αγωγή κατά του εργοδότη ζητώντας την επιδίκαση χρηµατικής αποζηµίωσης, λόγω της βλάβης της υγείας του εξαιτίας των εργασιακών καθηκόντων που του ανατίθεντο.  

Ο εργοδότης υπέβαλε αίτημα στην Αρχή Προστασίας Προσωπικών Δεδομένων για να του επιτραπεί να χρησιµοποιήσει ιατρικές πληροφορίες από τον φάκελο του πρώην εργαζοµένου του  που τηρούσε τηρεί µε την ιδιότητα του υπευθύνου επεξεργασίας, προκειµένου να αντικρούσει την αγωγή αποζηµίωσης.  

Η Αρχή προστασίας προσωπικών δεδομένων, με την με αριθμό 5/2016 απόφασή της έκρινε ότι πληρούται η αρχή της αναλογικότητας των δεδοµένων, σύµφωνα µε τα οριζόµενα στη διάταξη του άρθρου 4 παρ. 1 στοιχ. β΄ του ν.2472/1997, καθόσον οι αιτούµενες πληροφορίες τυγχάνουν πρόσφορες για την απόδειξη του ισχυρισµού της εναγοµένης ότι συµµορφώθηκε πλήρως µε τις ιατρικές συστάσεις και οδηγίες που κατά καιρούς δίδονταν για τον πρώην εργαζόµενό της και έτσι δεν την βαρύνει οποιαδήποτε υπαιτιότητα για την επικαλούµενη βλάβη της υγείας του που, κατά τους ισχυρισµούς του, συνδέεται µε την άσκηση των καθηκόντων που του ανέθετε 

Ο νέος GDPR κατατάσσει στο άρθρο 9 δηλαδή στην ειδική κατηγορία των ευαίσθητων προσωπικών δεδομένων τα δεδομένα υγείας και θέτει ιδιαίτερους περιορισμούς στην επεξεργασία τους. 

 

3/ Δικαίωμα του υπαλλήλου να λάβει πλήρη αντίγραφα του ατομικού και πειθαρχικού του φακέλου από τον εργοδότη.  

Ο Α, υπάλληλος της Χ Τράπεζας, υπέβαλε καταγγελία κατά της Τραπέζης, αιτούµενος να υποχρεώσει η Αρχή Προστασίας Προσωπικών Δεδομένων την Τράπεζα να του χορηγήσει πλήρη αντίγραφα του ατοµικού και πειθαρχικού του φακέλου. 

Η Αρχή με την με αρ. 37/2016 απόφασή της έκρινε ότι ο υπάλληλος ως υποκείµενο των προσωπικών δεδοµένων έχει πάντοτε το δικαίωµα να ζητήσει να πληροφορηθεί και να λάβει αντίγραφα των περιεχοµένων στο αρχείο του υπευθύνου επεξεργασίας εγγράφων και τούτο γιατί επιβάλλεται να λάβει γνώση του περιεχοµένου των υπαρχόντων στο αρχείο εγγράφων, προκειµένου να ασκήσει τα δικαιώµατά του. Αν όµως, το υποκείµενο των δεδοµένων αποδεδειγµένα κατέχει συγκεκριµένα έγγραφα και τα αναφέρει κατά τα προσδιοριστικά τους στοιχεία στην αίτησή του, τότε θα πρέπει να εξηγήσει στον υπεύθυνο επεξεργασίας τον λόγο για τον οποίο ζητεί τη χορήγησή τους. 

Ο νέος GDPR ενισχύει ακόμα περισσότερο τα δικαιώματα ενημέρωσης των υποκειμένων των προσωπικών δεδομένων με την λήψη αντιγράφου των προσωπικών δεδομένων του και τίθενται σύντομες προθεσμίες συμμόρφωσης του υπεύθυνου επεξεργασίας.  

 

4/ Απαγόρευση εγκατάστασης και λειτουργίας βιομετρικού συστήματος για τον έλεγχο τήρησης του ωραρίου από τους εργαζομένους. 

Με την με αριθμό 127/2012 απόφασή της και κατ’ εφαρµογή της αρχής της αναλογικότητας, η Αρχή έχει επιτρέψει τη χρήση βιοµετρικών συστηµάτων για τον έλεγχο πρόσβασης σε χώρους εργασίας αποκλειστικά και µόνο σε περιπτώσεις ιδιαίτερα κρίσιµων εγκαταστάσεων και µε µοναδικό σκοπό την προστασία των προσώπων και των αγαθών εντός αυτών. Αντίθετα, σε κάθε άλλη περίπτωση έχει επιβάλει τη διακοπή της λειτουργίας των βιοµετρικών συστηµάτων, θεωρώντας ότι η χρήση τους δεν είναι σύµφωνη µε την αρχή της αναλογικότητας. Φυσικά, υφίσταται έννοµο συµφέρον του υπεύθυνου επεξεργασίας για τον έλεγχο τήρησης του ωραρίου από τους υπαλλήλους του, αλλά  η χρήση βιοµετρικού συστήµατος  εισάγει µια επαχθή και δυσανάλογη για τα υποκείµενα επεξεργασία (αποθήκευση βιοµετρικών αποτυπωµάτων για αόριστο χρονικό διάστηµα σε κεντρική βάση δεδοµένων) σε σχέση µε το σκοπό για τον οποίο επιχειρείται, χωρίς αυτό να είναι απαραίτητο, καθώς ο έλεγχος µπορεί να πραγµατοποιηθεί επαρκώς και µε άλλα ηπιότερα εναλλακτικά µέσα, όπως οι µαγνητικές κάρτες χωρίς βιοµετρικά στοιχεία. 

Ο νέος GDPR κάνει ιδιαίτερη μνεία στα βιομετρικά προσωπικά δεδομένα δίνοντας τον ορισμό τους και θέτοντας ιδιαίτερους περιορισμούς στην επεξεργασία τους. Η αρχή της αναλογικότητας υιοθετείται και αυτή πλήρως από το νέο καθεστώς του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων ( GDPR ).  

 

Η δικηγορική μας εταιρία με εμπειρία σε θέματα προστασίας προσωπικών δεδομένων και απορρήτου επικοινωνιών λόγω της συνεργασίας της με μεγάλους πολυεθνικούς ομίλους τηλεπικοινωνιών, φαρμακευτικών εταιριών και πολλών άλλων τομέων, αναλαμβάνει με πιστοποιημένους DPO την συμμόρφωση της επιχείρησης σας με τον GDPR – Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων και την παροχή συναφών υπηρεσιών.   

Ενόψει της εφαρμογής του GDPR είναι πολλά τα θέματα που πρέπει να αντιμετωπίσει μία εταιρία για να μην υποστεί τα βαρύτατα πρόστιμα και οι ερωτήσεις είναι πιεστικές.  

Συλλέγετε νόμιμα τα προσωπικά δεδομένα των εργαζομένων, των προμηθευτών και των πελατών σας; Πρέπει να τους ενημερώσετε για τα δεδομένα που επεξεργάζεστε και πως; Τι δεδομένα δικαιούστε να συλλέγετε και τι όχι; Για ποιους σκοπούς δικαιούστε να συλλέγετε προσωπικά δεδομένα; Σε ποιες περιπτώσεις πρέπει να λαμβάνετε συγκατάθεση; Μπορείτε να στείλετε e–mail στον πελάτη χωρίς να έχει προηγηθεί συγκατάθεσή του; Τι όρους πρέπει να αλλάξετε στις συμβάσεις σας ; Μπορείτε να έχετε κάμερες ασφαλείας; Τι όρους χρήσης και privacy notice πρέπει να βάλετε στα site σας;  Μπορείτε να αναθέσετε την μισθοδοσία σε άλλη εταιρία; Είναι επαρκή τα μέτρα που λαμβάνετε για την ασφάλεια των δεδομένων; Πόσο καιρό δικαιούστε να κρατάτε τα δεδομένα; Πρέπει να έχετε πολιτική προστασίας προσωπικών δεδομένων και τι πρέπει να προβλέπει ; Δικαιούται ο εργαζόμενος ή ο πελάτης σας να σας ζητήσει να διαγράψετε τα δεδομένα του; Πρέπει να κάνετε DPIA ή όχι; 

H εταιρία μας θα απαντήσει σε όλες τις ερωτήσεις σας, θα καλύψει όλα τα νομικά θέματα συμμόρφωσης με τον GDPR και θα σας υποδείξει όλα τα τεχνικά μέτρα ασφαλείας που πρέπει να λάβετε για την ασφάλεια των δεδομένων σας.  

Παρέχουμε ενδεικτικά τις κάτωθι Υπηρεσίες συμμόρφωσης με τον  GDPR σε ειδικά πακέτα ανάλογα με το μέγεθος και τις ανάγκες της επιχείρησής σας. Καλέστε μας για μία ενημέρωση ή για υποβολή προσφοράς.    

• Α/ Καταγραφή, ανάλυση και εκτίμηση της υπάρχουσας κατάστασης και διαδικασιών της εταιρίας και ιδίως των ελλείψεων αυτών. (Data mapping, gap analysis).  
• Β/ Βελτίωση των υπαρχουσών διαδικασιών και πολιτικών, δημιουργία νέων και υπόδειξη οργανωτικών και τεχνικών μέτρων σε συμμόρφωση με τον GDPR.  
• Γ/ Εκπαίδευση στελεχών και ευαισθητοποίηση του προσωπικού της εταιρίας. 
• Δ/ Δημιουργία προτύπων εντύπων ( συγκαταθέσεις, mails, privacy statement, όρους χρήσης των sites της εταιρίας  κλπ ) καθώς και συμβατικών όρων προς συμμόρφωση με τον GDPR.  

• Ε/ εκπόνηση Εκτίμησης Αντικτύπου Προστασίας Δεδομένων ( DPIA ),  
• Στ/ δημιουργία Αρχείου Διαδικασιών Επεξεργασίας Προσωπικών Δεδομένων  
• Ζ/ Υπηρεσίες DPO.  

 

«Δεσμευτικοί εταιρικοί κανόνες»: είναι οι πολιτικές προστασίας δεδομένων προσωπικού χαρακτήρα τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις ή δέσμη διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα.

Ο νέος γενικός κανονισμός θέτει προυποθέσεις για την διαβίβαση των προσωπικών δεδομένων σε τρίτες χώρες εκτός της Ευρωπαικής Ένωσης.

Οι προυποθέσεις υπό τις οποίες επιτρέπεται η διαβίβαση των προσωπικών δεδομένων σε τρίτες χώρες και σε διεθνείς οργανισμούς είναι οι εξής:

Η διαβίβαση να γίνεται βάσει απόφασης επάρκειας.

Σε αυτή την περίπτωση η Ευρωπαική Επιτροπή έχει αποφασίσει ότι στην συγκεκριμένη χώρα εκτός ΕΕ ή στον συγκεκριμένο οργανισμό υφίσταται ένα επαρκές επίπεδο προστασίας των προσωπικών δεδομένων λαμβάνοντας υπόψη πολλούς παράγοντες όπως το κράτος δικαίου και τον σεβασμό των ανθρωπίνων δικαιωμάτων, την ύπαρξη ειδικών εποπτικών αρχών, τις διεθνείς δεσμεύσεις κλπ.

Η διαβίβαση να γίνεται βάσει κατάλληλων εγγυήσεων που παρέχει ο υπεύθυνος επεξεργασίας και υπό την προυπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων.

Η διαβίβαση να γίνεται μεταξύ εταιριών του ίδιου ομίλου ο οποίος έχει υιοθετήσει δεσμευτικούς εταιρικούς κανόνες.

Οι κανόνες αυτοί πρέπει να είναι διαφανείς και να κατοχυρώνουν επαρκώς όλα τα δικαιώματα των υποκειμένων

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.

 

2. Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.
3. Η γνωστοποίηση που αναφέρεται στην παράγραφο 1 κατ` ελάχιστο:

 

α) περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα,

β) ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες,

γ) περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,

δ) περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

4. Σε περίπτωση που και εφόσον δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες ταυτόχρονα, μπορούν να παρέχονται σταδιακά χωρίς αδικαιολόγητη καθυστέρηση.
5. Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, που συνίστανται στα πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση επιτρέπει στην εποπτική αρχή να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο.

 

Ανακοίνωση παραβίασης στο Υποκείμενο των Δεδομένων

Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.

Στην ανακοίνωση στο υποκείμενο των δεδομένων περιγράφεται με σαφήνεια η φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και περιέχονται τουλάχιστον οι πληροφορίες και τα μέτρα που αναφέρονται στο άρθρο 33 παράγραφος 3 στοιχεία β), γ) και δ).

Η ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 δεν απαιτείται, εάν πληρείται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:

 

α) ο υπεύθυνος επεξεργασίας εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας, και τα μέτρα αυτά εφαρμόστηκαν στα επηρεαζόμενα από την παραβίαση δεδομένα προσωπικού χαρακτήρα, κυρίως μέτρα που καθιστούν μη κατανοητά τα δεδομένα προσωπικού χαρακτήρα σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως η κρυπτογράφηση,

β) ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει ο αναφερόμενος στην παράγραφο 1 υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων,

γ) προϋποθέτει δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, γίνεται αντ` αυτής δημόσια ανακοίνωση ή υπάρχει παρόμοιο μέτρο με το οποίο τα υποκείμενα των δεδομένων ενημερώνονται με εξίσου αποτελεσματικό τρόπο.

Εάν ο υπεύθυνος επεξεργασίας δεν έχει ήδη ανακοινώσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, η εποπτική αρχή μπορεί, έχοντας εξετάσει την πιθανότητα επέλευσης υψηλού κινδύνου από την παραβίαση των δεδομένων προσωπικού χαρακτήρα, να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι   πληρούται οποιαδήποτε από τις προϋποθέσεις που αναφέρονται στην παράγραφο 3.

Ιδιαίτερο ενδιαφέρον ιδίως στην εποχή της ηλεκτρονικής επικοινωνίας και των social media έχει το δικαίωμα διαγραφής των προσωπικών δεδομένων ή αλλιώς το δικαίωμα στη λήθη.

Το δικαίωμα αυτό σημαίνει ότι το υποκείμενο των δεδομένων δικαιούται να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή των προσωπικών δεδομένων που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:

α) τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ` άλλο τρόπο σε επεξεργασία,

β) το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α) ή το άρθρο 9 παράγραφος 2 στοιχείο α) και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,

γ) το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 2,

δ) τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,

ε) τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας,

στ) τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών που αναφέρονται στο άρθρο 8 παράγραφος 1.

Όταν ο υπεύθυνος επεξεργασίας έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται σύμφωνα με τα παραπάνω να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, λαμβάνει εύλογα μέτρα, συμπεριλαμβανομένων των τεχνικών μέτρων, για να ενημερώσει τους υπευθύνους επεξεργασίας που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, ότι το υποκείμενο των δεδομένων ζήτησε τη διαγραφή από αυτούς τους υπευθύνους επεξεργασίας τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων προσωπικού χαρακτήρα.

Φυσικά υπάρχουν εξαιρέσεις σε αυτό το δικαίωμα διαγραφής ιδίως όταν η επεξεργασία είναι απαραίτητη: α) για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση, β) για την τήρηση νομικής υποχρέωσης που επιβάλλει την επεξεργασία βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας, γ) για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας δ) για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1, εφόσον το δικαίωμα που αναφέρεται στην παράγραφο 1 είναι πιθανόν να καταστήσει αδύνατη ή να εμποδίσει σε μεγάλο βαθμό την επίτευξη σκοπών της εν λόγω επεξεργασίας, ή ε) για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.

Όταν η επεξεργασία βασίζεται σε συγκατάθεση, ο υπεύθυνος επεξεργασίας πρέπει είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα.

Οι δικηγόροι του γραφείου μας μπορούν να συντάξουν για εσάς τα απαραίτητα έγγραφα για να λαμβάνετε την συγκατάθεση του υποκειμένου ανάλογα με το είδος της επιχείρησής σας και τον σκοπό για τον οποίο γίνεται η επεξεργασία των προσωπικών δεδομένων.

Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Κάθε τμήμα της δήλωσης αυτής το οποίο συνιστά παράβαση του παρόντος κανονισμού δεν είναι δεσμευτικό.

Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της. Πριν την παροχή της συγκατάθεσης, το υποκείμενο των δεδομένων ενημερώνεται σχετικά. Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη με την παροχή της.

Κατά την εκτίμηση κατά πόσο η συγκατάθεση δίνεται ελεύθερα, λαμβάνεται ιδιαιτέρως υπόψη κατά πόσο, μεταξύ άλλων, για την εκτέλεση σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης.