Ως προσωπικά δεδομένα, ή «δεδομένα προσωπικού χαρακτήρα» θεωρείται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ( το οποίο ονομάζεται «υποκείμενο των δεδομένων». Ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό (on line ) αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.

 

Είναι προφανές από τον παραπάνω ορισμό ότι οι πληροφορίες που αφορούν νομικά πρόσωπα, ( εταιρίες, σωματεία κλπ ) δεν συνιστούν προσωπικά δεδομένα και δεν προστατεύονται από τον παρόντα κανονισμό.

 

Ιδιαίτερης σημασίας είναι τα κάτωθι είδη δεδομένων:

«γενετικά δεδομένα»: τα προσωπικά δεδομένα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου,

«βιομετρικά δεδομένα»: προσωπικά δεδομένα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα,

«δεδομένα που αφορούν την υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του.

Ο νέος κανονισμός GDPR δημιουργεί μία νέα έννοια και θέση στις επιχειρήσεις τον Υπεύθυνο Προστασίας Δεδομένων ή στα αγγλικά Data Protection Officer (DPO).  

 

Η δικηγορική μας εταιρία Στέφανος Οικονόμου και Συνεργάτες με γραφεία στο Κολωνάκι και Γλυφάδα έχει αναλάβει ήδη την συμμόρφωση δεκάδων επιχειρήσεων με τις επιταγές του νέου GDPR δηλαδή του General Data Protection Regulation που ισχύει ήδη και στην Ελλάδα.  

Στα πλαίσια του GDPR προβλέπεται για μερικές επιχειρήσεις η υποχρέωση να διορίσουν DPO δηλαδή Υπεύθυνο Προστασίας Προσωπικών Δεδομένων.  

Οι δικηγόροι του γραφείου μας παρέχουν υπηρεσίες Υπεύθυνου Προστασίας Δεδομένων ( DPO services ) σε επιχειρήσεις και σας αναλαμβάνουν να συμμορφωθείτε με τις υποχρεώσεις σας που απορρέουν από το νέο GDPR – Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων.  

Παρέχουμε πακέτα υπηρεσιών ανάλογα με τις ανάγκες σας για 6 ή 12 μήνες.   

Σύμφωνα με τον GDPR, Ο διορισμός DPO είναι υποχρεωτικός στις κάτωθι περιπτώσεις:  

α) η επεξεργασία προσωπικών δεδομένων διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,  

β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή  

γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών ( ευαίσθητων ) προσωπικών δεδομένων κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.  

 

Σε περίπτωση ομίλου επιχειρήσεων, ο Όμιλος επιχειρήσεων μπορεί να διορίσει ένα μόνο υπεύθυνο προστασίας προσωπικών δεδομένων, υπό την προϋπόθεση ότι κάθε εγκατάσταση έχει εύκολη πρόσβαση στον υπεύθυνο προστασίας δεδομένων.  

Ο νόμος του Κράτους μέλους που θα εκδοθεί σύμφωνα με τον GDPR μπορεί να καθορίσει και άλλες περιπτώσεις που ο διορισμός Υπεύθυνου Επεξεργασίας (DPO) είναι υποχρεωτικός.  

Ο DPO, υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39 του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων – GDPR.  

Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.  

Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δημοσιεύουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας προσωπικών δεδομένων και τα ανακοινώνουν στην εποπτική αρχή.  

Μία από τις σημαντικότερες νέες υποχρεώσεις που εισάγει ο Κανονισμός GDPR είναι η εκπόνηση έκθεσης εκτίμησης αντικτύπου της επεξεργασίας για την προστασία των προσωπικών δεδομένων από τον υπεύθυνο επεξεργασίας ή Data Protection Impact Assessment στα αγγλικά που συντομογραφείται ως DPIA. 

Το δικηγορικό μας γραφείο έχοντας εμπειρία ετών σε ανάλογες εκθέσεις εκτίμησης, και risk analysis and assessments reports μπορεί να αναλάβει την αρχική εκτίμηση για το αν οι επεξεργασίες στις οποίες προβαίνει η επιχείρησή σας απαιτούν την εκπόνηση έκθεσης εκτίμησης αντικτύπου ή όχι σύμφωνα με τον GDPR και αν η απάντηση είναι θετική να αναλάβει και την εκπόνηση της έκθεσης εκτίμησης. 

Η υποχρέωση για εκπόνηση Έκθεση Εκτίμησης Αντικτύπου, υπάρχει σύμφωνα με τον GDPR, όταν η επεξεργασία των δεδομένων ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. 

Για να κριθεί αν πληρούται αυτή η προυπόθεση, ο Κανονισμός GDPR θέτει ορισμένα κριτήρια που πρέπει να λαμβάνονται υπόψη και είναι τα κάτωθι: 

Η χρήση νέων τεχνολογιών, η φύση,  το πεδίο εφαρμογής, το πλαίσιο και οι σκοποί της επεξεργασίας των δεδομένων. 

 

Η εκτίμηση αντικτύπου σχετικά με την προστασία προσωπικών δεδομένων απαιτείται σύμφωνα με τον GDPR ιδίως στις εξής περιπτώσεις: 

α) συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο, 

β) μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 παράγραφος 1 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 ή 

γ) συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα ( σε αυτή την κατηγορία εντάσσονται οι εταιρίες παροχής υπηρεσιών ασφάλειας ( security ). 

 

Η DPIA πρέπει να περιέχει τουλάχιστον: 

α) συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας, περιλαμβανομένου, κατά περίπτωση, του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας, 

β) εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς, 

γ) εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1 και 

δ) τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων. 

Όταν απαιτείται, ιδίως όταν μεταβάλλεται ο κίνδυνος που προκύπτει από τις πράξεις επεξεργασίας, ο ο υπεύθυνος επεξεργασίας οφείλει να προβαίνει σε επανεξέταση για να εκτιμήσει εάν η επεξεργασία των προσωπικών δεδομένων διενεργείται σύμφωνα με την εκτίμηση αντικτύπου στην προστασία δεδομένων τουλάχιστον όταν μεταβάλλεται ο κίνδυνος που θέτουν οι πράξεις επεξεργασίας. 

 

Από την 25^η Μαίου 2018 τίθεται σε άμεση εφαρμογή ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαικού Κοινοβουλίου της 27ης Απριλίου 2016.

 

Ο νέος κανονισμός έχει σκοπό να θεσπίσει κανόνες για δύο στόχους:

1/ την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και

2/ την ελεύθερη κυκλοφορία των προσωπικών δεδομένων.

 

Παρότι ο Κανονισμός χαρακτηρίζει την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα ως θεμελιώδες δικαίωμα που άλλωστε κατοχυρώνεται και στο άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («Χάρτης») και στο άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) που ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, είναι αξιοσημείωτο ότι ο νέος κανονισμός δεν έχει σκοπό μόνο την προστασία των προσωπικών δεδομένων αλλά έχει σκοπό να κατοχυρώσει και να ρυθμίσει την ελεύθερη κυκλοφορία των προσωπικών δεδομένων εντός της Ευρωπαικής Ένωσης.

 

Μάλιστα είναι χαρακτηριστικό το ότι στο άρθρο 1 παρ. 3 του Κανονισμού ορίζεται ότι <<  Η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης δεν περιορίζεται ούτε απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.>>

 

Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων ( GDPR ) 679/2016 εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

 

Είναι προφανές ότι σήμερα με τις τεχνικές που έχει στη διάθεσή του ο οποιοσδήποτε η αυτοματοποιημένη συλλογή και επεξεργασία προσωπικών δεδομένων είναι ο κανόνας.

 

Όπως αναφέρεται στον Κανονισμό, οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των προσωπικών δεδομένων. Η κλίμακα της συλλογής και της ανταλλαγής προσωπικών  δεδομένων αυξήθηκε σημαντικά. Η τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την επιδίωξη των δραστηριοτήτων τους. Ο οποιοσδήποτε χρήστης του διαδικτύου γνωρίζει ότι η περιήγησή του στο διαδίκτυο στην ουσία καταγράφεται συνεχώς και πλήθος πληροφοριών που τον αφορούν συλλέγονται για διάφορους σκοπούς κυρίως προωθητικούς.

 

Όλοι μας ολοένα και περισσότερο δημοσιοποιούμε προσωπικές πληροφορίες και τις καθιστούμε διαθέσιμες σε παγκόσμιο επίπεδο με χαρακτηριστικό παράδειγμα τα κοινωνικά δίκτυα όπως το Facebook. Σύμφωνα με τον Κανονισμό, η τεχνολογία έχει αλλάξει τόσο την οικονομία όσο και την κοινωνική ζωή και θα πρέπει να διευκολύνει περαιτέρω την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης και τη διαβίβαση σε τρίτες χώρες και διεθνείς οργανισμούς, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα.