Η νέα νομοθεσία της Ευρωπαϊκής Ένωσης για τα προσωπικά δεδομένα

πηγή: Osarena

Σε μια εποχή που τα προσωπικά δεδομένα, αποτελούν το «άγιο δισκοπότηρο», είναι αρκετά παράξενο, να βλ;eπεις τα διάφορα σχετικά νομοθετήματα που προκύπτουν.
Πόσο μάλλον, όταν αυτά σκοντάφτουν σε διατλαντικές συμφωνίες, όπως για παράδειγμα η TTP / TTIP.

Στα πλαίσια της ενημέρωσης λοιπόν, θα πρέπει να γνωρίζετε, πως την Πέμπτη 14 Απριλίου 2016· στο Ευρωπαϊκό Κοινοβούλιο ψηφίστηκαν οι διατάξεις με τις αλλαγές αναφορικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων.

Τα νομοθετήματα είναι δύο· ο Γενικός Κανονισμός για την Προστασία Δεδομένων και η Οδηγία του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της για την επεξεργασία προσωπικών δεδομένων για σκοπούς καταπολέμησης του εγκλήματος· στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας.

Τα δύο αυτά κείμενα αποτελούν την νέα νομοθεσία της Ευρωπαϊκής Ένωσης για τα προσωπικά δεδομένα· η μεταρρύθμιση (λέει) της προστασίας δεδομένων. Είναι το πακέτο data protection reform που, το 2012, είχε προτείνει η Ευρωπαϊκή Επιτροπή.

Φυσικά, όλα όσα λέει το εν λόγω νομοθέτημα, στην ουσία δεν προσφέρει τίποτα θετικό στον καθημερινό άνθρωπο.
Πρακτικά, είναι αδύνατο να ελεγχθούν τα αστυνομικά όργανα τα οποία διεξάγουν την έρευνα.
Όσον αφορά δε το «Δικαίωμα στην λήθη», είναι μεγάλη ιστορία, πολύ αντιφατική και φυσικά εις όφελος των πιο ισχυρών.
Αναφέρεται σε αυτήν την απόφαση της Ευρωπαϊκής Ένωσης: Απόφαση του Ευρωπαϊκού Δικαστηρίου προς Google [για τα προσωπικά δεδομένα].

Σύμφωνα με το ευρωπαϊκό δίκαιο, τα δεδομένα προσωπικού χαρακτήρα μπορούν να συλλέγονται σύννομα μόνο κάτω από αυστηρές προϋποθέσεις, για νόμιμους σκοπούς. Επιπλέον, πρόσωπα ή οργανισμοί που συλλέγουν και διαχειρίζονται τα προσωπικά σας στοιχεία είναι υποχρεωμένα να τα προστατεύουν από κατάχρηση και να σέβονται ορισμένα δικαιώματα των κυρίων των δεδομένων, τα οποία εγγυάται το δίκαιο της Ευρωπαϊκής Ένωσης.

Οι αλλαγές σύμφωνα με την νέα νομοθεσία της Ευρωπαϊκής Ένωσης

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων είναι ένα νομοθέτημα άμεσης εφαρμογής· κατισχύει των εθνικών νομοθεσιών των κρατών μελών για την προστασία προσωπικών δεδομένων, χωρίς να χρειάζεται να εισαχθεί με νόμο στην εσωτερική έννομη τάξη. Αυτό σημαίνει ότι η θέση σε ισχύ του Κανονισμού εκτοπίζει ουσιαστικά τον δικό μας Ν.2472/1997, τουλάχιστον ως προς το πεδίο εφαρμογής του Κανονισμού και ως προς τις διατάξεις του που βρίσκονται τυχόν σε αντίθεση με τις διατάξεις του Κανονισμού.
Ο Κανονισμός θα αποκτήσει τυπική ισχύ 20 ημέρες μετά την δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης και θα ισχύει στα κράτη μέλη 2 χρόνια μετά, δηλαδή το 2018. Καταργεί επίσης την Οδηγία 95/46/ΕΚ που εδώ και 20 χρόνια αποτελούσε το βασικό νομοθέτημα για την προστασία προσωπικών δεδομένων σε επίπεδο Ευρωπαϊκών Κοινοτήτων.

Η Οδηγία όμως που αφορά την επεξεργασία δεδομένων για την αποτροπή του εγκλήματος (αντικαθιστώντας την σχετική Απόφαση-Πλαίσιο του 2008), πρέπει να εισαχθεί στα κράτη μέλη με την εθνική νομοθεσία, 2 χρόνια μετά την δημοσίευσή της στην Επίσημη Εφημερίδα.

Για την Ελλάδα, η συγκεκριμένη Οδηγία παίζει σημαντικό ρόλο, καθώς ο ισχύων Ν.2472/1997, όπως τροποποιήθηκε το 2008, εξαιρεί από την προστασία προσωπικών δεδομένων τις δικαστικές / εισαγγελικές αρχές και τις αστυνομικές και άλλες αντίστοιχες υπηρεσίες.

Με την Οδηγία, όμως, η ελληνική νομοθεσία υποχρεούται να επαναφέρει την εφαρμογή της προστασίας προσωπικών δεδομένων και στις αστυνομικές και εισαγγελικές υπηρεσίες.

Δικαιώματα

Δικαίωμα του παιδιού στην προστασία

Για τα παιδιά που είναι κάτω των 16 ετών, δεν αρκεί η συγκατάθεσή τους για την επεξεργασία προσωπικών δεδομένων· αναγκαία πλέον και η συγκατάθεση κηδεμόνα:

Άρθρο 8

Προϋποθέσεις που ισχύουν για τη συγκατάθεση παιδιού σε σχέση με τις υπηρεσίες της κοινωνίας των πληροφοριών

Όταν εφαρμόζεται το άρθρο 6 παράγραφος 1 στοιχείο α), σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε παιδί, η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού είναι σύννομη εάν το παιδί είναι τουλάχιστον 16 χρονών. Εάν το παιδί είναι ηλικίας κάτω των 16 ετών, η επεξεργασία αυτή είναι σύννομη μόνο εάν και στον βαθμό που η εν λόγω συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού.

Τα κράτη μέλη δύνανται να προβλέπουν διά νόμου μικρότερη ηλικία για τους εν λόγω σκοπούς, υπό την προϋπόθεση ότι η εν λόγω μικρότερη ηλικία δεν είναι κάτω από τα 13 έτη.

Δικαίωμα στην λήθη

Θα τα δείτε και αναλυτικότερα στα 2 άρθρα που δώσαμε στην εισαγωγή, μα με δυο λόγια σημαίνει ότι οι άνθρωποι έχουν το δικαίωμα να ζητήσουν την διαγραφή των προσωπικών τους δεδομένων από τις online βάσεις δεδομένων˙ έχουν το «δικαίωμα στην λήθη».
Όταν δηλαδή δεν υφίσταται πλέον ο λόγος της επεξεργασίας των δεδομένων ή το υποκείμενο αίρει την συγκατάθεσή του ή όταν τα δεδομένα υποβλήθηκαν σε παράνομη επεξεργασία.
Τότε, το υποκείμενο έχει δικαίωμα να ζητήσει την διαγραφή των δεδομένων και ο υπεύθυνος επεξεργασίας υποχρεούται να τα διαγράψει πάραυτα και, αν τα έχει δημοσιοποιήσει, να ενημερώσει και όλους τους άλλους που τα έχουν αναδημοσιεύσει την απαίτηση του υποκειμένου για την διαγραφή των δεδομένων:

Άρθρο 17

Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:

α) τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,

β) το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α) ή το άρθρο 9 παράγραφος 2 στοιχείο α) και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,

γ) το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 2,

δ) τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,

ε) τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας,

στ) τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών που αναφέρονται στο άρθρο 8 παράγραφος 1.

2. Όταν ο υπεύθυνος επεξεργασίας έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται σύμφωνα με την παράγραφο 1 να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, λαμβάνει εύλογα μέτρα, συμπεριλαμβανομένων των τεχνικών μέτρων, για να ενημερώσει τους υπευθύνους επεξεργασίας που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, ότι το υποκείμενο των δεδομένων ζήτησε τη διαγραφή από αυτούς τους υπευθύνους επεξεργασίας τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων προσωπικού χαρακτήρα.

Δικαίωμα στην φορητότητα των δεδομένων

Το υποκείμενο έχει δικαίωμα να ζητά από τον υπεύθυνο επεξεργασίας να λαμβάνει τα δεδομένα σε κοινώς αναγνωρίσιμο μορφότυπο, καθώς και την απευθείας διαβίβαση των δεδομένων του σε άλλον υπεύθυνο επεξεργασίας.

Άρθρο 20

Δικαίωμα στη φορητότητα των δεδομένων

1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, και τα οποία έχει παράσχει σε υπεύθυνο επεξεργασίας, σε

δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζει τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας χωρίς αντίρρηση από τον υπεύθυνο επεξεργασίας στον οποίο παρασχέθηκαν τα δεδομένα προσωπικού χαρακτήρα, όταν:

α) η επεξεργασία βασίζεται σε συγκατάθεση σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α) ή το άρθρο 9 παράγραφος 2 στοιχείο α) ή σε σύμβαση σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο β) και

β) η επεξεργασία διενεργείται με αυτοματοποιημένα μέσα.

2. Κατά την άσκηση του δικαιώματος στη φορητότητα των δεδομένων σύμφωνα με την παράγραφο 1, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητά την απευθείας διαβίβαση των δεδομένων προσωπικού χαρακτήρα από έναν υπεύθυνο επεξεργασίας σε άλλον, σε περίπτωση που αυτό είναι τεχνικά εφικτό.

3. Το δικαίωμα που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου ασκείται με την επιφύλαξη του άρθρου 17. Το εν λόγω δικαίωμα δεν ισχύει για την επεξεργασία που είναι

απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.

4. Το δικαίωμα που αναφέρεται στην παράγραφο 1 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.

Νέα προστασία στην αστυνομική και δικαστική επεξεργασία δεδομένων

Γεγονότα έχουμε; ΟΧΙ εκτιμήσεις

Στην Οδηγία, γίνεται πλέον διάκριση προσωπικών δεδομένων που βασίζονται σε γεγονότα από εκείνα που βασίζονται σε εκτιμήσεις (το αυτό ίσχυε και με την Απόφαση-Πλαίσιο, μα στην Ελλάδα δεν είχε εφαρμοστεί ποτέ στην πράξη· όχι μέχρι τώρα τουλάχιστον).

Η Οδηγία ισχύει ΚΑΙ για τους Εισαγγελείς

Εφαρμογή των κανόνων και στις αρχές που είναι υπεύθυνες για την δίωξη των εγκλημάτων. Στην πράξη, αυτό σημαίνει ότι και η Εισαγγελία δεσμεύεται από τις διατάξεις της Οδηγίας, ενώ ο ισχύων Ν.2472/1997 την έχει εξαιρέσει από το πεδίο εφαρμογής, με αποτέλεσμα τους γνωστούς τραγέλαφους που ισχυριζόταν η Αρχή Προστασίας Δεδομένων στην υπόθεση των οροθετικών (και τις δικαιολογίες του στύλ «δεν ελέγχουμε την απόφαση του εισαγγελέα για την δημοσιοποίηση επειδή είναι αντίθετη στην διάκριση των εξουσιών»).

Πλέον, η Αρχή θα έχει ευρωπαϊκού δικαίου αρμοδιότητα, να εποπτεύει και την Εισαγγελία ως διωκτική αρχή.

Επίτευξη της νέας νομοθεσίας· τίνα τρόπο;

Προστασία των δεδομένων ήδη από τον σχεδιασμό τους και εξ ορισμού

Ούτως ειπείν, οι υπεύθυνοι επεξεργασίας πρέπει από τον σχεδιασμό ενός συστήματος συλλογής δεδομένων να επιλέγουν τα οργανωτικά και τεχνικά μέτρα που θα ακολουθούν τις διατάξεις του Κανονισμού:

Η προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα απαιτεί τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε να διασφαλίζεται ότι τηρούνται οι απαιτήσεις του παρόντος κανονισμού. Προκειμένου να μπορεί να αποδείξει συμμόρφωση προς τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας θα πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει μέτρα τα οποία ανταποκρίνονται ειδικότερα στις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Τέτοια μέτρα θα μπορούσαν να περιλαμβάνουν, μεταξύ άλλων, την ελαχιστοποίηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, την ψευδωνυμοποίηση δεδομένων προσωπικού χαρακτήρα το συντομότερο δυνατόν, τη διαφάνεια όσον αφορά τις λειτουργίες και την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ώστε να μπορεί το υποκείμενο των δεδομένων να παρακολουθεί την επεξεργασία δεδομένων και να είναι σε θέση ο υπεύθυνος επεξεργασίας να δημιουργεί και να βελτιώνει τα χαρακτηριστικά ασφάλειας.

Υποχρέωση γνωστοποίησης παραβιάσεων ασφάλειας

Όταν ο υπεύθυνος λάβει γνώση της παραβίασης της ασφάλειας του συστήματος, οφείλει να ειδοποιήσει την ανεξάρτητη αρχή που είναι υπεύθυνη για την προστασία προσωπικών δεδομένων.
Η γνωστοποίηση πρέπει να γίνεται και στο ίδιο το υποκείμενο των δεδομένων:

Άρθρο 34

Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων

1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.

Υπεύθυνος Προστασίας Δεδομένων

Σε κάθε δημόσιο φορέα (εκτός των δικαστηρίων στο πλαίσιο των δικαιοδοτικών τους αρμοδιοτήτων, εάν τα κράτη επιλέξουν να τα εξαιρέσουν) και σε κάθε ιδιωτικό φορέα που – λόγω της φύσης των δραστηριοτήτων τους – παρακολουθούν υποκείμενα δεδομένων σε μεγάλη κλίμακα ή επεξεργάζονται ευαίσθητα δεδομένα, ορίζεται ένα πρόσωπο ως Υπεύθυνος Προστασίας Δεδομένων.
Πρόκειται για μια εσωτερική Αρχή Προστασίας Δεδομένων που διασφαλίζει πως η δημόσια υπηρεσία ή ο ιδιωτικός φορέας τηρεί τις διατάξεις του Κανονισμού και συνεργάζεται με την Εθνική Αρχή Προστασίας για την τήρηση των διατάξεων:

ΤΜΗΜΑ 4

ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Άρθρο 37

Ορισμός του υπευθύνου προστασίας δεδομένων

1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:

α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,

β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή

γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

2. Όμιλος επιχειρήσεων μπορεί να διορίσει ένα μόνο υπεύθυνο προστασίας δεδομένων, υπό την προϋπόθεση ότι κάθε εγκατάσταση έχει εύκολη πρόσβαση στον υπεύθυνο προστασίας δεδομένων.

3. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή ή δημόσιος φορέας, ένας μόνο υπεύθυνος προστασίας δεδομένων μπορεί να ορίζεται για πολλές τέτοιες αρχές ή πολλούς τέτοιους φορείς, λαμβάνοντας υπόψη την οργανωτική τους δομή και το μέγεθός τους.


Ελάχιστα από τεχνολογία και διαδίκτυο να γνωρίζεις, είναι σαφές γιατί όλα τα πιο πάνω, δεν είναι τίποτα περισσότερο από δικονομία και ακόμα και με τις καλύτερες προθέσεις να τα δεις, είναι ανούσια (επιεικής χαρακτηρισμός).

Advertisements

Σας ακούμε...

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση /  Αλλαγή )

w

Σύνδεση με %s

Αρέσει σε %d bloggers: