Skip to main content

Προσωπικά δεδομένα: φλας μπακ στο 2018

Πρώτη δημοσίευση: εφημερίδα “Εστία” (“Η ετήσια έκθεσις για τα προσωπικά δεδομένα”)
Ημερομηνία πρώτης δημοσίευσης: 23/12/2019

Αναδημοσίευση: www.huffingtonpost.gr
Ημερομηνία αναδημοσίευσης: 10/01/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Στις 4 Δεκεμβρίου 2019, ο Πρόεδρος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέδωσε στον Πρόεδρο της Βουλής την Έκθεση Πεπραγμένων της Αρχής για το έτος 2018. Πρόκειται για σημαντικό γεγονός για τη χώρα μας, δίχως όμως, δυστυχώς, να του αποδίδεται η δέουσα σημασία. Και αυτό γιατί η προσέγγιση της ετήσιας έκθεσης καθιστά εφικτή την απόκτηση συνολικής εικόνας ως προς το πού βρισκόμαστε και πού βαδίζουμε στον εξαιρετικά ευαίσθητο αυτόν τομέα. Πολλώ δε μάλλον για το έτος καμπή 2018, κατά το οποίο τέθηκε σε εφαρμογή ο Γενικός Κανονισμός Προστασίας Δεδομένων, γνωστός και ως GDPR,που τάραξε τα νερά της προστασίας των προσωπικών δεδομένων σε παγκόσμια κλίμακα.

Σταχυολογούμε -σχολιάζοντας- τα ακόλουθα έξι σημεία, ιδίως από τα παρεχόμενα στατιστικά στοιχεία της ετήσιας έκθεσης, τα οποία αξίζουν της προσοχής μας: 

1. Η Αρχή αντιμετωπίζει σοβαρή υποστελέχωση και ανεπάρκεια πόρων. Πρόκειται για γνωστή παθογένεια, η οποία έχει τονιστεί κατ’ επανάληψη από τον Πρόεδρό της. Οι εξελίξεις όμως τρέχουν με ταχύτητα φωτός, οι απαιτήσεις πληθαίνουν, με αποτέλεσμα να κινδυνεύει να μεταμορφωθεί σε χάρτινη τίγρη.

2. Με τη θέση σε ισχύ του GDPR, δεν παρέχεται η δυνατότητα υποβολής ερωτημάτων και λήψης άμεσων απαντήσεων. Πρόκειται για σημαντική οπισθοδρόμηση που λειτουργεί ως ανάχωμα της ορθή εφαρμογής του GDPR. Η Αρχή οφείλει να αποτελεί φάρο για το νέο νομοθετικό πλαίσιο, με ανοιχτές θύρες και σε διαρκή αλληλεπίδραση με τους πολίτες και τις επιχειρήσεις.

3. Κατά το 2018 πραγματοποιήθηκαν συνολικά 65 έλεγχοι σε υπεύθυνους επεξεργασίας δεδομένων οι οποίοι δραστηριοποιούνται διαδικτυακά στους τομείς των χρηματοπιστωτικών υπηρεσιών, υπηρεσιών ασφάλισης, ηλεκτρονικού εμπορίου, υπηρεσιών εισιτηρίων και υπηρεσιών δημοσίου τομέα. Ο αριθμός των ελέγχων καταδεικνύει ότι αποτελούν σταγόνα στον ωκεανό των επεξεργασιών προσωπικών δεδομένων που λαμβάνουν χώρα και εμπίπτουν στην ελεγκτική αρμοδιότητα της Αρχής. Απαιτείται η μεγέθυνσή τους.

4. Ο αριθμός των εισερχόμενων καταγγελιών ανήλθε σε 847, μειωμένος κατά περίπου 8% σε σύγκριση με το 2017. Το εν λόγω στατιστικό δεδομένο προκαλεί έκπληξη, δεδομένου ότι η θέση σε εφαρμογή του GDPR και η συνακόλουθη ενίσχυση των δικαιωμάτων των πολιτών θα έπρεπε να έχει οδηγήσει στην αύξηση των καταγγελιών με γεωμετρική πρόοδο. Είναι αναγκαία μια συστηματική καμπάνια ενημέρωσης της κοινωνίας, ιδίως με τη χρήση των νέων τεχνολογιών.

5. Σημειώθηκε εντυπωσιακή αύξηση κατά 50% της χρήσης υπηρεσίας ηλεκτρονικής αλληλογραφίας για την υποβολή εγγράφων στην Αρχή (58% το 2018 σε σύγκριση με 36% το 2017 στο σύνολο των υποβαλλόμενων εγγράφων), μείωση όμως στην υποβολή τους μέσω της ιστοσελίδας της (11% το 2018 σε σύγκριση με 17% το 2017). Ως προς το ηλεκτρονικό ταχυδρομείο, πρόκειται για θετική εξέλιξη, άξια συγχαρητηρίων, που ανταποκρίνεται στο πνεύμα των καιρών. Επιβάλλεται όμως η ολική αναβάθμιση της ιστοσελίδας, ώστε να υπάρξει και εκεί δραματική βελτίωση των σχετικών επιδόσεων.

6. Η Αρχή επέβαλε κυρώσεις με 25 αποφάσεις της. Σε 12 περιπτώσεις επιβλήθηκε η κύρωση της προειδοποίησης-σύστασης και σε 13 περιπτώσεις πρόστιμο μεταξύ 1.000 και 150.000 ευρώ. Το σύνολο των επιβληθέντων προστίμων ανήλθε σε 689.000 ευρώ. Με τη θέση σε ισχύ του GDPR και την εκτόξευση των προβλεπόμενων προστίμων, το σύνολο τους αναμένεται να είναι κατά πολύ μεγαλύτερο. Είναι χαρακτηριστικό, άλλωστε, ότι το 2019, μόνο με τρεις πρόσφατες αποφάσεις έχουν επιβληθεί πρόστιμα ύψους 550.000 ευρώ.

Τα ως άνω στοιχεία καθιστούν εμφανές ότι το 2018 αποτέλεσε ένα ακόμη έτος έντονης κινητικότητας για την προστασία των προσωπικών δεδομένων στη χώρα μας. Η Αρχή ανταποκρίθηκε στα καθήκοντά της στο μέτρο του δυνατού. Ουδείς, άλλωστε, υποχρεούται στα αδύνατα. Για το 2019, η νέα έκθεση που θα δημοσιευθεί το 2020 θα δημιουργεί άραγε αντίστοιχους προβληματισμούς; Πολύ φοβόμαστε πως ναι. Δεδομένης όμως της διαρκώς μεγαλύτερης βαρύτητας που αποκτά η προστασία των προσωπικών δεδομένων, με αποτέλεσμα το παγκόσμιο ενδιαφέρον γι’ αυτή, γίνεται σαφές ότι η Πολιτεία πρέπει να πράξει επιτέλους το καθήκον της. Η κρατική διάθεση πόρων στην Αρχή είναι πιο επείγουσα από ποτέ.

GDPR σφηνάκι: Πρόστιμο «φαρμάκι» για απρόσεκτο φαρμακείο

Πρώτη δημοσίευση: www.ethemis.gr
Ημερομηνία πρώτης δημοσίευσης: 30/12/2019

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Στις 20 Δεκεμβρίου 2019 γνωστοποιήθηκε το πρώτο πρόστιμο που επέβαλε η Αρχή Προστασίας Προσωπικών Δεδομένων του Ηνωμένου Βασιλείου (ICO) για παραβιάσεις του GDPR ποσού ύψους 275.000 λιρών (περίπου 320.000 ευρώ). Τα πραγματικά περιστατικά που έρχονται από τη Γηραιά Αλβιώνα διδάσκουν την αξία της φύλαξης των προσωπικών δεδομένων σε κλειδωμένους φωριαμούς και τη λήψη (αυτονόητων;) μέτρων προστασίας τους από τα στοιχεία της φύσης. Θυμίζουν έντονα, μάλιστα, τα καταγγελθέντα το καλοκαίρι του 2019 για μεγάλο ελληνικό νοσοκομείο, στους διαδρόμους και στις σκάλες του οποίου στοιβάζονταν σε χάρτινες κούτες προσωπικά δεδομένα ουκ ολίγων ασθενών, εκτεθειμένα σε κοινή θέα. Η ελληνική Αρχή Προστασίας Προσωπικών Δεδομένων περιορίστηκε τότε στη δημοσίευση δελτίου τύπου με το οποίo καλούσε τα νοσοκομεία να ορίσουν αμελλητί Υπεύθυνους Προστασίας Δεδομένων. Επιστρέφοντας στην εν λόγω υπόθεση, φαρμακείο που εδρεύει στο Λονδίνο άφησε περίπου 500.000 έγγραφα σε μη κλειδωμένα κουτιά, εκτεθειμένα σε αυλή στο πίσω μέρος των εγκαταστάσεών του. Τα έγγραφα περιείχαν προσωπικά δεδομένα όπως ονοματεπώνυμα, διευθύνσεις, ημερομηνίες γέννησης, αριθμούς ασφάλισης, ιατρικά δεδομένα κ.α. απροσδιόριστου αριθμού προσώπων. Κάποια από αυτά μάλιστα είχαν αλλοιωθεί ως αποτέλεσμα της έκθεσής τους σε νερό! Η ICO λαμβάνοντας τη σχετική πληροφορία μέσω ηλεκτρονικής αλληλογραφίας προέβη σε σχετικό έλεγχο. Κατόπιν της διαπίστωσης των προαναφερθέντων, η αρμόδια Αρχή του Ηνωμένου Βασιλείου προχώρησε στην επιβολή του ως άνω προστίμου, ιδίως για παραβίαση των άρθρων 5 παρ. 1 περ. στ΄ (αρχές επεξεργασίας προσωπικών δεδομένων), 24 παρ. 1 (ευθύνη του υπεύθυνου επεξεργασίας) και 32 (ασφάλεια επεξεργασίας) του GDPR, λόγω της αποτυχίας του φαρμακείου να εφαρμόσει κατάλληλα οργανωτικά μέτρα για τη διασφάλιση του κατάλληλου επιπέδου ασφαλείας των προσωπικών δεδομένων, καθώς και για την επεξεργασία τους με μη ασφαλή τρόπο.

 

GDPR σφηνάκι: Βαριά καμπάνα για «νεκροταφείο» προσωπικών δεδομένων

Πρώτη δημοσίευση: www.ethemis.gr
Ημερομηνία πρώτης δημοσίευσης: 12/12/2019

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Πρόσφατη απόφαση της 30ης Οκτωβρίου 2019 της Επιτρόπου Προστασίας Προσωπικών Δεδομένων του Βερολίνου αποκαλύπτει με ενάργεια την επικινδυνότητα της αποδοχής του δόγματος «κρατώ τα πάντα για πάντα» υπό τον GDPR. Πρόκειται για πρακτική που ακολουθούν, τουλάχιστον εν μέρει, ακόμη και σήμερα στην Ελλάδα φυσικά και νομικά πρόσωπα, διστάζοντας να υιοθετήσουν και να εφαρμόσουν εύλογες προθεσμίες διαγραφής των προσωπικών δεδομένων σε όλο το φάσμα των δραστηριοτήτων τους. Γυρνώντας πάλι στη Γερμανία, η επίμαχη υπόθεση αφορούσε εταιρεία του χώρου του real estate. Όπως διαπίστωσε η αρμόδια εποπτική αρχή κατά τη διάρκεια επιτόπιου ελέγχου, η εν λόγω εταιρεία χρησιμοποιούσε σύστημα αρχειοθέτησης προσωπικών δεδομένων ενοικιαστών, το οποίο δεν παρείχε τη δυνατότητα διαγραφής δεδομένων που δεν ήταν πλέον απαραίτητα. Η δε καταχώρηση σε αυτό λάμβανε χώρα χωρίς να εξετάζεται αν η αποθήκευση των προσωπικών δεδομένων ήταν επιτρεπτή ή αναγκαία. Αποτέλεσμα τούτων ήταν το σύστημα αρχειοθέτησης να περιλαμβάνει προσωπικά δεδομένα ενοικιαστών προ πολλών ετών, τα οποία δεν ήταν πλέον απαραίτητα για τον σκοπό της αρχικής συλλογής τους, όπως έγγραφα μισθοδοσίας, τραπεζικά έγγραφα, φορολογικά στοιχεία κ.α. Παρά μάλιστα το ότι ο πρώτος επιτόπιος έλεγχος είχε λάβει χώρα τον Ιούνιο του 2017, η εν λόγω εταιρεία δεν είχε λάβει ακόμη τα δέοντα μέτρα κατά τον δεύτερο επιτόπιο έλεγχο τον Μάρτιο του 2019. Υπό αυτές τις συνθήκες, η Επίτροπος Προστασίας Προσωπικών Δεδομένων του Βερολίνου αποφάσισε την επιβολή προστίμου ύψους 14,5 εκατομμυρίων ευρώ για παραβάσεις του άρθρου 25 παρ. 1 ΓΚΠΔ (προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού) και του άρθρου 5 ΓΚΠΔ (αρχές επεξεργασίας).

 

Εθνικά μέτρα GDPR σε χρόνο ντετέ. Γιατί αργήσαμε πάλι;

Πρώτη δημοσίευση: www.huffingtonpost.gr
Ημερομηνία πρώτης δημοσίευσης: 3/09/2019

Αναδημοσίευση: εφημερίδα “Εστία” – Επιστολές (“GDPR και κατεπείγουσα διαδικασία – Τις πταίει;”)
Ημερομηνία αναδημοσίευσης: 8/11/2019

Τη Δευτέρα 26 Αυγούστου 2019 ψηφίστηκε στη Βουλή των Ελλήνων ο νέος νόμος για τα προσωπικά δεδομένα. Πρόκειται για ένα βαρυσήμαντο νομοθετικό κείμενο με διττό περιεχόμενο. Πρώτον, λαμβάνονται ειδικά μέτρα εφαρμογής του ενωσιακού Κανονισμού 2016/679, γνωστού και ως GDPR. Δεύτερον, ενσωματώνεται η ενωσιακή Οδηγία 2016/680 για την επεξεργασία προσωπικών δεδομένων από διωκτικές αρχές, ιδίως τις αστυνομικές αρχές, γνωστή ως LED. Πέραν της ουσίας του νέου νόμου, η οποία θα μας απασχολήσει μετά βεβαιότητας στο μέλλον, μεγάλη συζήτηση έγινε ως προς την επιλογή να εισαχθεί το νομοσχέδιο στη Βουλή με τη διαδικασία του κατεπείγοντος σύμφωνα με το άρθρο 76 παρ. 4 του Συντάγματος και το άρθρο 109 του Κανονισμού της Βουλής. Αυτό είχε ως αποτέλεσμα την ταχύτατη και κατ’ επέκταση περιορισμένη συζήτηση επί του νομοσχεδίου, κατά προφανή αναντιστοιχία προς τη σπουδαιότητά του. Το ερώτημα το οποίο τίθεται, λοιπόν, ως προς την επιλεχθείσα διαδικασία είναι σαφές. Τις πταίει;

Η απάντηση στο ως άνω ερώτημα συνδέεται με ένα ακόμη θλιβερό νεοελληνικό ρεκόρ καθυστερήσεων.O GDPR, o οποίος υιοθετήθηκε τον Απρίλιο του 2016, ως ενωσιακός Κανονισμός απολαμβάνει καταρχήν άμεση εφαρμογή ήδη από τον Μάιο του 2018, χωρίς να απαιτείται η υιοθέτηση εθνικού νόμου. Παρά ταύτα, ο νέος Κανονισμός πρωτοτυπεί ως προς το ότι προβλέπει σειρά περιπτώσεων όπου ο εθνικός νομοθέτης καλείται να λάβει και ειδικότερα μέτρα. Σε αυτό το πλαίσιο, στις 20 Φεβρουαρίου 2018, ήτοι περίπου 22 μήνες από την υιοθέτησή του και 3 μήνες προ της έναρξης εφαρμογής του, τέθηκε σε δημόσια διαβούλευση σχετικό νομοσχέδιο ειδικών μέτρων εφαρμογής του GDPR. Αυτό αποτελούσε έργο ειδικής νομοπαρασκευαστικής επιτροπής συσταθείσας τον Ιούνιο του 2016. Το ως άνω φιλόδοξο νομοσχέδιο επεδίωκε και την ενσωμάτωση της συναφούς ως προς το αντικείμενο LED, ομοίως περίπου 22 μήνες από την υιοθέτησή της και 3 μήνες προ της εκπνοής της σχετικής προθεσμίας ενσωμάτωσης, η οποία είχε οριστεί στις 6 Μαΐου 2018. Κατ’ αυτό τον τρόπο η τύχη του εθνικού νόμου για τον GDPR συνδέθηκε με την τύχη της ενσωμάτωσης της LED.

Η ολοκλήρωση της δημόσιας διαβούλευσης του ως άνω νομοσχεδίου στις 5 Μαρτίου 2018 δεν οδήγησε, δυστυχώς, στην άμεση λήψη υπόψη όλων των παρατηρήσεων και στην ταχεία κατάθεση του νομοσχεδίου στη Βουλή. Αντίθετα, κατόπιν της παρόδου πολλών μηνών, με υπουργική απόφαση τον Νοέμβριο του 2018 μεταβλήθηκε η σύνθεση της ειδικής νομοπαρασκευαστικής επιτροπής και δόθηκε παράταση ολοκλήρωσης των εργασιών της μέχρι τις 31 Δεκεμβρίου 2018. Με νέα υπουργική απόφαση μάλιστα του Ιανουαρίου του 2019 μεταβλήθηκε εκ νέου η σύνθεση της ειδικής νομοπαρασκευαστικής επιτροπής και δόθηκε νέα παράταση ολοκλήρωσης των εργασιών της μέχρι τις 28 Φεβρουαρίου 2019, οπότε και εκπονήθηκε δεύτερο νομοσχέδιο, χωρίς όμως στη συνέχεια να τεθεί σε δημόσια διαβούλευση. Όλα αυτά ενώ είχαν ήδη παρέλθει πλέον των 32 μηνών από τον χρόνο υιοθέτησης του GDPR και της LED, καθώς και πλέον των 7 μηνών από την έναρξη εφαρμογής του GDPR και την εκπνοή της προθεσμίας υιοθέτησης της LED.

Απέναντι σε αυτή τη συγκλονιστική βραδύτητα η Ευρωπαϊκή Επιτροπή ήταν βέβαιο ότι δεν θα έμενε αδρανής. Έτσι, αφού εστάλη στις αρμόδιες αρχές προειδοποιητική επιστολή τον Ιούλιο του 2018 και σχετική αιτιολογημένη γνώμη τον Ιανουάριο του 2019, ήτοι αίτημα συμμόρφωσης, στις 25 Ιουλίου 2019 ανακοινώθηκε η παραπομπή της Ελλάδας στο Δικαστήριο της ΕΕ για μη έγκαιρη ενσωμάτωση της LED. Σε αυτό το πλαίσιο, η Ευρωπαϊκή Επιτροπή κάλεσε το Δικαστήριο της ΕΕ σε επιβολή βαρύτατων οικονομικών κυρώσεων σε βάρος μας, ήτοι υπέρογκου, ιδίως για την τρέχουσα οικονομική κατάσταση της χώρας, προστίμου. Την ίδια μοίρα επεφύλασσε η Ευρωπαϊκή Επιτροπή μόνο ως προς ένα ακόμη κράτος μέλος. Πέραν του ζητήματος του επαπειλούμενου προστίμου για την Οδηγία, ανάλογη κατάσταση ως προς τις καθυστερήσεις συνέτρεχε και για τα εθνικά μέτρα εφαρμογής του GDPR, με την Ελλάδα να αποτελεί το ένα εκ των μόνο δύο κρατών μελών που δεν τα είχαν ακόμη υιοθετήσει.

Υπό τις ως άνω συνθήκες, η υιοθέτηση της διαδικασίας του κατεπείγοντος για τα ειδικά μέτρα εφαρμογής του GDPR, φαίνεται ότι ήταν πλέον αναπόφευκτη, δεδομένου ότι: α) η ζεύξη της με τη LED είχε ήδη λάβει χώρα στο υφιστάμενο νομοπαρασκευαστικό έργο, τυχόν δε επιχειρούμενη διάσπαση θα σήμαινε σημαντική χρονικά οπισθοδρόμηση, β) έπρεπε επιτέλους να μπει φραγμός στις επαπειλούμενες οικονομικές κυρώσεις και γ) οι καθυστερήσεις είχαν υπερβεί κάθε ανεκτό όριο. Ως προς την απάντηση στο ερώτημα «τις πταίει», αυτή κατόπιν των ως άνω είναι παραπάνω από προφανής.

GDPR σφηνάκι: Όταν οι ευχές κοστίζουν… 2.000 ευρώ σε πρόστιμο

Πρώτη δημοσίευση: www.ethemis.gr
Ημερομηνία πρώτης δημοσίευσης: 11/10/2019

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Ιδιαίτερο ενδιαφέρον παρουσιάζει πρόσφατη απόφαση του Γραφείου Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Κύπρου (Γραφείο Επιτρόπου) για τη μαζική αποστολή ευχών, όπως δημοσιεύθηκε στην ιστοσελίδα του. Και αυτό γιατί και την ελληνική πραγματικότητα, ιδίως πολιτευτές, πολιτικά γραφεία και επιχειρήσεις, έχει απασχολήσει το κατά πόσο η μαζική αποστολή ευχών με sms ή/και emails είναι σύμφωνη με τον Ν. 3471/2006 και τον GDPR. Σε αυτό το πλαίσιο, το Γραφείο Επιτρόπου εξέτασε την περίοδο Ιουλίου-Σεπτεμβρίου 2019 σειρά καταγγελιών κατά πολιτικών κομμάτων και υποψηφίων Ευρωβουλευτών που απέστειλαν μηνύματα ενόψει των Ευρωεκλογών. Δύο καταγγελίες αφορούσαν την αποστολή ευχετήριων μηνυμάτων από αποστολέα, ο οποίος συνήθιζε να στέλνει ευχετήρια μηνύματα σε χιλιάδες άτομα για τα Χριστούγεννα και το Πάσχα. Εν προκειμένω, αυτός είχε συλλέξει τους οικείους τηλεφωνικούς αριθμούς για άλλο σκοπό, δεν είχε λάβει τη συγκατάθεση των παραληπτών των μηνυμάτων, ούτε παρείχε τη δυνατότητα αντίταξης. Παρά την αντίθεση μάλιστα του πρώτου καταγγέλλοντος στην αποστολή των εν λόγω μηνυμάτων, ο αποστολέας του είχε αποστείλει εκ νέου μήνυμα. Με τη δε δεύτερη καταγγέλλουσα αυτός δεν είχε καμία προσωπική σχέση. Υπό αυτά τα πραγματικά περιστατικά, το Γραφείο Επιτρόπου έκρινε ότι εν προκειμένω ο αποστολέας παραβίασε το άρθρο 6 παρ. 1 περ. α΄ του GDPR και το αντίστοιχο στην Κύπρο του άρθρου 11 του Ν. 3471/2006 για τη λήψη συγκατάθεσης, καθώς και την αρχή του περιορισμού του σκοπού του άρθρου 5 του GDPR. Έτσι, το Γραφείο Επιτρόπου, κρίνοντας ότι η ως άνω δραστηριότητα του αποστολέα ενέπιπτε στον τομέα των εμπορικών μηνυμάτων, του επέβαλε πρόστιμο ύψους 2.000 ευρώ.

GDPR και τηλεφωνία: Νέο διπλό πρόστιμο-ρεκόρ ύψους 400.000 ευρώ

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 8/10/2019

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Με τις υπ’ αρ. 31/2019 και 34/2019 αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), που αναρτήθηκαν στην ιστοσελίδα της στις 7 Οκτωβρίου, καταγράφεται νέο πρόστιμο-ρεκόρ στη μετά GDPR εποχή. Με κάθε μία εξ αυτών επιβάλλεται πρόστιμο ύψους 200.000 ευρώ στην ίδια πολύ μεγάλη εταιρεία παροχής υπηρεσιών τηλεφωνίας για παραβάσεις του GDPR. Είτε μεμονωμένα (200.000 ευρώ έκαστο) είτε αθροιστικά (400.000 ευρώ) τα εν λόγω πρόστιμα ανεβάζουν σημαντικά τον πήχη για τα ελληνικά δεδομένα. Υπενθυμίζεται ότι το σχετικό ρεκόρ κατείχε μέχρι προ ολίγων ημερών η υπ’ αρ. 26/2019 απόφαση της ΑΠΔΠΧ για πρόστιμο ύψους 150.000 ευρώ. Το εν λόγω πρόστιμο είχε επιβληθεί σε μεγάλη εταιρεία παροχής επιχειρηματικών και λογιστικών υπηρεσιών κατόπιν καταγγελίας λογιστών.

Λίγα λόγια για εκάστη εκ των δύο νέων υποθέσεων. Η απόφαση υπ’ αρ. 31/2019 αφορά τα μητρώα αντιρρήσεων, τα οποία προβλέπονται στο άρθρο 11 παρ. 2 του Ν. 3471/2006 και τηρούνται υποχρεωτικά από τις εταιρείες παροχής υπηρεσιών τηλεφωνίας. Σε αυτά δικαιούνται να εγγράφονται συνδρομητές τους δωρεάν, ώστε να μη λαμβάνουν ανεπιθύμητες τηλεφωνικές κλήσεις, ιδίως για προώθηση προϊόντων και υπηρεσιών. Για την επίτευξη αυτού του στόχου, τα μητρώα αντιρρήσεων είναι δημόσια. Έτσι, κάθε ενδιαφερόμενος που επιθυμεί να προβεί σε προωθητικές κλήσεις δικαιούται να τα λάβει, ώστε να μην καλεί τους εγγεγραμμένους σε αυτά.

Στην εν λόγω υπόθεση η ΑΠΔΠΧ κινητοποιήθηκε κατόπιν καταγγελιών δύο συνδρομητών της εμπλεκόμενης εταιρείας τηλεφωνίας. Τα τηλέφωνα αυτών δεν περιλαμβάνονταν στα ειδικά μητρώα αντιρρήσεων (opt-out), τα οποία χορηγούσε η εταιρεία τηλεφωνίας σε διαφημιζόμενες εταιρείες, παρά το ότι αυτοί είχαν προβεί στη σχετική εγγραφή. Αυτό συνέβαινε εξαιτίας τεχνικού προβλήματος της εταιρείας τηλεφωνίας, ήτοι τη μη καλή αλληλεπίδραση μεταξύ δύο εφαρμογών. Έτσι, η μη ορθή τήρηση του μητρώου αντιρρήσεων είχε ως αποτέλεσμα συνδρομητές, όπως οι καταγγέλλοντες, να λαμβάνουν προωθητικές κλήσεις, παρά τη δήλωσή τους ότι δεν το επιθυμούσαν. Η παράλειψη αυτή έθιξε περισσότερους από 16.000 συνδρομητές για περισσότερο από 3 χρόνια.

Κατά την ΑΠΔΠΧ, εν προκειμένω παραβιάστηκε η αρχή της ακρίβειας των προσωπικών δεδομένων (άρθρο 5 παρ. 1 περ. δ΄ GDPR), καθώς τα προσωπικά δεδομένα που τηρούσε η εταιρεία τηλεφωνίας ήταν ανακριβή. Παραβιάστηκε επίσης και η υποχρέωση της προστασίας προσωπικών δεδομένων ήδη από τον σχεδιασμό των σχετικών συστημάτων τήρησής τους (άρθρο 25 GDPR), με αποτέλεσμα την ανακρίβεια των δεδομένων. Για τους λόγους αυτούς η ΑΠΔΠΧ αποφάσισε την επιβολή προστίμου ύψους 200.000 ευρώ, λαμβάνοντας υπόψη, μεταξύ άλλων, τα ετήσια έσοδα της εταιρείας τηλεφωνίας, που για το 2018 ήταν σε επίπεδο ομίλου περίπου 2,9 δις ευρώ.

Στην απόφαση υπ’ αρ. 34/2019, η ΑΠΔΠΧ κινητοποιήθηκε εκ νέου κατόπιν δύο καταγγελιών συνδρομητών της ίδιας εταιρείας τηλεφωνίας. Οι καταγγελίες αφορούσαν τη μη λειτουργία, λόγω τεχνικού σφάλματος, της δυνατότητας διαγραφής από τις λίστες παραληπτών διαφημιστικών emails της εταιρείας τηλεφωνίας, για όσους παραλήπτες ασκούσαν αυτό το δικαίωμα μέσω του συνδέσμου “unsubscribe”. Στην εταιρεία τηλεφωνίας είχε γνωστοποιηθεί το σχετικό πρόβλημα από συνδρομητή, χωρίς όμως αυτή να προβεί σε αντιμετώπισή του. Η δυσλειτουργία είχε εκδηλωθεί ήδη από το 2013, με αποτέλεσμα 8.000 περίπου συνδρομητές να επιχειρήσουν ανεπιτυχώς να διαγραφούν.

Κατά την ΑΠΔΠΧ, εν προκειμένω δεν μπορούσε να ικανοποιηθεί το δικαίωμα εναντίωσης του συνδρομή (άρθρο 21 GDPR), δεδομένου ότι η προσπάθεια του να διαγραφεί από τη λίστα παραληπτών διαφημιστικών emails δεν είχε κανένα αποτέλεσμα. Απουσίαζε επίσης και το κατάλληλο οργανωτικό μέτρο από την πλευρά της εταιρείας τηλεφωνίας (άρθρο 25 ΓΚΠΔ), ώστε να μπορέσει να διαπιστώσει τη δυσλειτουργία. Για τους λόγους αυτούς η ΑΠΔΠΧ αποφάσισε και σε αυτή την περίπτωση την επιβολή δεύτερου προστίμου ύψους 200.000 ευρώ, λαμβάνοντας υπόψη, μεταξύ άλλων, για μια ακόμη φορά τα ετήσια έσοδα της εταιρείας τηλεφωνίας σε επίπεδο ομίλου.

Τρεις σύντομες παρατηρήσεις για τις ως άνω δύο αποφάσεις. Παρατήρηση πρώτη: το δις εξαμαρτείν ουκ ανδρός σοφού. Δεν πάει πολύς καιρός από την επιβολή στην ίδια εταιρεία τηλεφωνίας προστίμου ύψους 150.000 ευρώ από την ΑΠΔΠΧ (απόφαση υπ’ αρ. 62/2018, 9-10-2018) για πραγματοποίηση εκατομμύριων μη νόμιμων ανεπιθύμητων τηλεφωνικών κλήσεων. Το εν λόγω πρόστιμο είχε επιβληθεί βέβαια υπό το προ του GDPR καθεστώς του Ν. 2472/1997 και αποτελούσε τότε το μεγαλύτερο δυνατό. Με τις νέες αποφάσεις σε αυτό έρχεται να προστεθεί νέο συνολικό πρόστιμο ύψους 400.000 ευρώ για νέες παραβάσεις. Παρατήρηση δεύτερη: η συμμόρφωση με τον GDPR δεν πρέπει να είναι μόνο νομικού, αλλά και τεχνικού χαρακτήρα. Και τα δύο τεχνικά προβλήματα που αντιμετώπισε η εταιρεία τηλεφωνίας, τα οποία οδήγησαν στα οικεία πρόστιμα, θα μπορούσαν να είχαν αποφευχθεί αν είχε δοθεί η δέουσα προσοχή σε τεχνικό επίπεδο. Παρατήρηση τρίτη: η συμμόρφωση με τον GDPR επιβάλλει έμφαση στη λεπτομέρεια και βλέμμα στραμμένο όχι μόνο στο μέλλον, αλλά και στο παρελθόν. Οι αστοχίες της εταιρείας τηλεφωνίας δεν οφείλονταν σε δόλο, όπως υπογράμμισε η ΑΠΔΠΧ στις σχετικές αποφάσεις της. Έρχονταν όμως από παλιά και κρύβονταν στη λεπτομέρεια, με αποτέλεσμα να αποδειχθεί μοιραία η μη επίδειξη της απαιτούμενης προσοχής.

 

GDPR σφηνάκι: Μίντια και προσωπικά δεδομένα

Πρώτη δημοσίευση: www.ethemis.gr
Ημερομηνία πρώτης δημοσίευσης: 16/09/2019

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Απορία προκαλεί το άρθρο 28 του πρόσφατου Ν.4624/2019 με τα εθνικά μέτρα εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού και ως GDPR. To επίμαχο άρθρο ρυθμίζει ιδίως την επεξεργασία των προσωπικών δεδομένων για δημοσιογραφικούς σκοπούς, αποκλείοντας την εφαρμογή ούτε λίγο, ούτε πολύ πλέον των 50 άρθρων του GDPR. Μεταξύ αυτών, περιλαμβάνονται εξαιρετικά σημαντικές ρυθμίσεις, όπως όλα τα ειδικότερα δικαιώματα του υποκειμένου των προσωπικών δεδομένων, ήτοι του προσώπου το οποίο αφορούν τα προσωπικά δεδομένα (π.χ. δικαιώματα πρόσβασης, διόρθωσης, διαγραφής κ.λπ.), τα οποία αυτό εφεξής στερείται. Περιλαμβάνονται επίσης, καίριες υποχρεώσεις του υπεύθυνου επεξεργασίας, ήτοι του φορέα ή δημοσιογράφου που προβαίνει στην επεξεργασία (π.χ. υποχρέωση γνωστοποίησης περιστατικών παραβίασης) τις οποίες αυτός πλέον δεν φέρει. Σημειώνεται μάλιστα ότι στο πρώτο νομοσχέδιο για τα εθνικά μέτρα εφαρμογής του GDPR, το οποίο τέθηκε σε δημόσια διαβούλευση τον Φεβρουάριο του 2018, αλλά ουδέποτε κατατέθηκε προς ψήφιση στη Βουλή, ο σχετικός αποκλεισμός αφορούσε πολύ λιγότερα άρθρα. Στην ίδια κατεύθυνση, και το προηγούμενο καθεστώς του Ν. 2472/1997 -κατά πολύ ελαστικότερο σε σύγκριση με τον GDPR- δεν προέβλεπε τέτοια ευνοϊκή μεταχείριση. Διερωτάται, λοιπόν, κανείς ποια η ratio των ευρύτατων αυτών παρεκκλίσεων του Ν. 4624/2019 από τον GDPR, λαμβάνοντας υπόψη την ελληνική πραγματικότητα, όπου η «ανθρωποφαγία» ορισμένων αποτελεί, δυστυχώς, συχνή και επικίνδυνη τάση, ιδίως στο διαδίκτυο. Σίγουρα κατ’ αυτό τον τρόπο δεν προάγεται η αποτελεσματικότερη προστασία των προσωπικών δεδομένων στη χώρα μας. Προάγεται άραγε έτσι η αποτελεσματικότερη άσκηση του δημοσιογραφικού λειτουργήματος ή τελικά κλείνουμε το μάτι σε φαινόμενα υποβάθμισής του;

GDPR και εθνικός νόμος: “Habemus Papam!”

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 2/09/2019

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Στις 29 Αυγούστου δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως ο Ν. 4624/2019 με τα εθνικά μέτρα εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού και ως GDPR. Πρόκειται για νομοθετικό κείμενο με ευρύτερο περιεχόμενο, καθώς με αυτό ενσωματώνεται επίσης στην ελληνική έννομη τάξη η ενωσιακή Οδηγία 2016/680 για την προστασία των προσωπικών δεδομένων κατά την επεξεργασία τους από διωκτικές αρχές, ιδίως τις αστυνομικές αρχές, γνωστή και ως LED.

Η πορεία προς την υιοθέτηση του Ν. 4624/2019 θυμίζει, δυστυχώς, σίριαλ τεσσάρων σεζόν. Σημείο εκκίνησης αποτέλεσε η υιοθέτηση του GDPR και της LED από τα ενωσιακά όργανα τον Απρίλιο του 2016. Ως προς τον GDPR, δεδομένου ότι αποτελεί ενωσιακό Κανονισμό, αυτός εξ ορισμού απολαμβάνει άμεσης εφαρμογής από τον Μάιο του 2018, χωρίς να απαιτείται η υιοθέτηση εθνικού νόμου. Κατ’ εξαίρεση πάντως, οι ρυθμίσεις του περιλαμβάνουν τη δυνατότητα του εθνικού νομοθέτη να λάβει και συμπληρωματικά μέτρα εφαρμογής.

Ως προς τη LED, αυτή απαιτεί για την ενσωμάτωσή της εθνικό νόμο, ο οποίος έπρεπε να υιοθετηθεί μέχρι τον Μάιο του 2018. Σε αυτό το πλαίσιο, ακολούθησε η ταχύτατη σύσταση ειδικής νομοπαρασκευαστικής επιτροπής από το Υπουργείο Δικαιοσύνης τον Ιούνιο του 2016 (σεζόν πρώτη). Η εν λόγω επιτροπή προχώρησε στην εκπόνηση σχεδίου νόμου, επιχειρώντας τη ζεύξη εθνικών μέτρων τόσο για τον GDPR όσο και για τη LED στο ίδιο νομοθετικό κείμενο, το οποίο τέθηκε σε δημόσια διαβούλευση τον Φεβρουάριο του 2018 (σεζόν δεύτερη και τρίτη).

Σε αντίθεση με άλλα νομοσχέδια όμως, η ολοκλήρωση της δημόσιας διαβούλευσης τον Μάρτιο του 2018 δεν οδήγησε σε σύντομη κατάθεση του νομοσχεδίου στη Βουλή προς ψήφιση. Αντίθετα, τόσο τον Νοέμβριο του 2018 όσο και τον Ιανουάριο του 2019 (σεζόν τέταρτη) μεταβλήθηκε εκ νέου η σύσταση της ειδικής νομοπαρακευαστικής επιτροπής και τέθηκαν νέες προθεσμίες για την περάτωση των εργασιών της.

Η ως άνω μεταβληθείσα ειδική νομοπαρασκευαστική επιτροπή εκπόνησε νέο νομοσχέδιο τον Φεβρουάριο του 2019, που ποτέ δεν υποβλήθηκε όμως σε δημόσια διαβούλευση. Ακολούθησε η διενέργεια των εθνικών εκλογών, χωρίς ακόμη να έχει υιοθετηθεί εθνικός νόμος, με την Ευρωπαϊκή Επιτροπή να παραπέμπει την Ελλάδα στο Δικαστήριο της Ε.Ε. τον Ιούλιο του 2019, με την απειλή επιβολής υπέρογκου προστίμου για μη έγκαιρη ενσωμάτωση της LED.

Τέλος, προ ολίγων ημερών τέθηκε εκ νέου σε δημόσια διαβούλευση το νομοσχέδιο για τα προσωπικά δεδομένα, το οποίο βασιζόταν στις εργασίες της ειδικής νομοπαρασκευαστικής επιτροπής με την μεταβληθείσα σύνθεση, όπως αυτό είχε εκπονηθεί τον Φεβρουάριο του 2019.

Η δημόσια διαβούλευση είχε μικρή διάρκεια και αμέσως μετά ακολούθησε η κατάθεση του νομοσχεδίου στη Βουλή, το οποίο ψηφίστηκε σε χρόνο ντετέ με τη διαδικασία του κατεπείγοντος. Τελικά, το ψηφισθέν νομοσχέδιο διαφέρει σημαντικά από αυτό που τέθηκε σε δημόσια διαβούλευση, καθώς λήφθηκε υπόψη σειρά ενστάσεων που προβλήθηκαν. Έτσι, μετά την πάροδο περισσότερων των τριών χρόνων από την υιοθέτηση του GDPR και της LED, καθώς και την πάροδο περισσότερου από ένα έτος από την έναρξη της εφαρμογής του πρώτου και τη λήξη της προθεσμίας ενσωμάτωσης της δεύτερης, βγήκε λευκός καπνός και η Ελλάδα απέκτησε επιτέλους εθνικό νόμο!

Η χώρα μας για μια ακόμη φορά βρέθηκε σχεδόν τελευταία και καταϊδρωμένη στο σχετικό στίβο, ως προς τη λήψη εθνικών μέτρων σε σύγκριση με τα άλλα κράτη μέλη, δεδομένου ότι αυτά στη συντριπτική πλειοψηφία τους έπραξαν το ίδιο αρκετά νωρίτερα.

Ως προς τα εθνικά μέτρα εφαρμογής του GDPR, ο Ν. 4624/2019 βασίζεται στον αντίστοιχο γερμανικό νόμο. Οι σχετικές ρυθμίσεις του εντοπίζονται στη συντριπτική πλειοψηφία τους στο Κεφάλαιο Α΄ – Γενικές Διατάξεις (άρθρα 1-8), στο Κεφάλαιο Β΄ – Eποπτική Αρχή (άρθρα 9-20) και στο Κεφάλαιο Γ΄ – Συμπληρωματικά Μέτρα Εφαρμογής του ΓΚΠΔ (άρθρα 21-42), με το Κεφάλαιο Δ΄ να αφορά τη LED (άρθρα 43-82). Ο παλαιότερος Ν. 2472/1997 για την προστασία των προσωπικών δεδομένων καταργείται, πλην ελαχίστων εξαιρέσεων, όπως των ορισμών που περιέχει στο άρθρο 2, ιδίως της προβλεπόμενης ρύθμισης για ανακοίνωση και δημοσιοποίηση προσωπικών δεδομένων σχετικά με ποινικές διώξεις ή καταδίκες.

Εκκινώντας από το Κεφάλαιο Α΄, αυτό, μεταξύ άλλων, επαναλαμβάνει το πεδίο εφαρμογής του GDPR, θέτει τον ορισμό δημόσιου και ιδιωτικού φορέα, σύμφωνα με τη νέα διάκριση που ακολουθείται σε πλήθος ρυθμίσεων του εθνικού νόμου, και αναπτύσσει ευρέως τις ρυθμίσεις του GDPR για τον Υπεύθυνο Προστασίας Δεδομένων.

Το Κεφάλαιο Β΄ ρυθμίζει εξαντλητικά τη σύσταση και λειτουργία της αρμόδιας εποπτικής αρχής για την εφαρμογή του GDPR, ήτοι της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Μεταξύ άλλων, προβλέπονται η αρμοδιότητά της, τα κωλύματα – ασυμβίβαστα των μελών της, τα καθήκοντα και οι εξουσίες της, οι υποχρεώσεις και τα δικαιώματά των μελών της, καθώς και ζητήματα της εν γένει λειτουργίας της.

Το Κεφάλαιο Γ΄ αποτελεί ίσως το ουσιαστικότερο μέρος του Ν. 4624/2019 από άποψη περιεχόμενου ως προς τα ειδικά μέτρα εφαρμογής του GDPR και αντιμετωπίζει σημαντικές μέχρι σήμερα γκρίζες ζώνες. Θέτει όμως συνάμα νέους προβληματισμούς για τη σχέση του Ν. 4624/2019 με τον GDPR, ιδίως το βαθμό που ο πρώτος λειτουργεί συμπληρωματικά ή/και ενδεχομένως τροποποιητικά, καθ’ υπέρβαση των εξουσιών του εθνικού νομοθέτη. Από τις ρυθμίσεις του ξεχωρίζουν κυρίως η πρόβλεψη για το έγκυρο της συγκατάθεσης του ανηλίκου σε συγκεκριμένες περιπτώσεις εφόσον έχει συμπληρώσει το 15ο έτος της ηλικίας του (ο GDPR προέβλεπε το 16ο έτος), η απαγόρευση επεξεργασίας γενετικών δεδομένων για σκοπούς ασφάλισης υγείας και ζωής, οι προϋποθέσεις επεξεργασίας προσωπικών δεδομένων για σκοπούς άλλους από αυτούς της συλλογής τους, οι ρυθμίσεις για τα ζητήματα επεξεργασίας προσωπικών δεδομένων εργαζομένων, ιδίως η πρόβλεψη για την εγκυρότητα της κατ’ εξαίρεση συγκατάθεσής τους, οι προβλέψεις για την επεξεργασία προσωπικών δεδομένων από ΜΜΕ, ιδίως η σειρά παρεκκλίσεων από τον GDPR που δημιουργεί ένα προνομιακό καθεστώς γι’ αυτά, η ρύθμιση για τη διαπίστευση φορέων που χορηγούν τις προβλεπόμενες από τον GDPR πιστοποιήσεις, η οποία πραγματοποιείται από το Εθνικό Σύστημα Διαπίστευσης, καθώς και οι προβλεπόμενες ποινικές κυρώσεις για παράνομη επεξεργασία προσωπικών δεδομένων, με την εν γένει άμβλυνση της οικείας ποινικής μεταχείρισης.

Συνολικά, ο Ν. 4624/2019 είναι ευπρόσδεκτος, δεδομένου ότι η απουσία λήψης των ειδικών μέτρων εφαρμογής του GDPR σε εθνικό επίπεδο ήταν πολύ σημαντική, εξέθετε τη χώρα σε επίπεδο Ευρωπαϊκής Ένωσης, δημιουργούσε ανασφάλεια δικαίου και αποτελούσε αντικίνητρο για την εκούσια συμμόρφωση φυσικών και νομικών προσώπων με τις ρυθμίσεις του GDPR.

Έχει όμως αδύναμα σημεία και έχει ήδη δεχθεί βέλη κριτικής για το κατά πόσο συνιστά από κοινού με τον GDPR ένα αρμονικό σύνολο, το οποίο διακρίνεται από συνοχή και διαύγεια ή όχι.

Σε κάθε περίπτωση, είναι βέβαιο πως η εφαρμογή του νέου νόμου θα οδηγήσει σε περαιτέρω ευαισθητοποίηση των υπεύθυνων και εκτελούντων την επεξεργασία προσωπικών δεδομένων, καθώς τα περιθώρια στενεύουν ως προς αυτούς που επιμένουν να αγνοούν τις οικείες υποχρεώσεις τους.

Ομοίως, η νέα νομοθεσία αναμένεται να περιορίσει έτι περαιτέρω τη διάθεση επιείκειας που διέκρινε την ΑΠΔΠΧ κατά την πρώτη περίοδο εφαρμογής του GDPR, καθώς ολοκληρώνεται πλέον το παζλ του εφαρμοστέου νομοθετικού πλαισίου και λιγοστεύουν δραματικά οι δικαιολογίες μη συμμόρφωσης.

 

Πρώτη «GDPR-βόμβα» 150.000 ευρώ κατόπιν καταγγελίας λογιστών

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 2/08/2019

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Στις 30 Ιουλίου η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) ανάρτησε στην ιστοσελίδα της την υπ’ αρ. 26/2019 απόφασή της. Με αυτήν επιβάλλεται πρόστιμο-μαμούθ ύψους 150.000 ευρώ σε εταιρεία για παραβίαση του GDPR. Πρόκειται για την πρώτη απόφαση της ΑΠΔΠΧ με την οποία επιβάλλεται τόσο υψηλό πρόστιμο από την έναρξη εφαρμογής του νέου Κανονισμού τον Μάιο του 2018. Υπενθυμίζεται ότι τα 150.000 ευρώ αποτελούσαν το μέγιστο πρόστιμο που μπορούσε να επιβληθεί με το προηγούμενο καθεστώς προστασίας των προσωπικών δεδομένων, ήτοι τον Ν. 2472/1997. Στην επίμαχη απόφαση, το ως άνω ποσό φαίνεται ότι αποτελεί πλέον σημείο εκκίνησης της ΑΠΔΠΧ ως προς την επιβολή υψηλών προστίμων στη μετά GDPR εποχή. Τα τελευταία άλλωστε, σύμφωνα με τις νέες ρυθμίσεις, μπορούν να αγγίξουν εφεξής τα 20.000.0000 ευρώ ή το 4% του παγκόσμιου τζίρου της εμπλεκόμενης εταιρείας, ανάλογα με ποιο ποσό είναι μεγαλύτερο.

Κατά το ιστορικό της υπόθεσης, ένωση λογιστών υπέβαλε καταγγελία ενώπιον της ΑΠΔΠΧ για παράνομη επεξεργασία προσωπικών δεδομένων 485 εργαζομένων πολύ μεγάλης εταιρείας παροχής επιχειρηματικών και λογιστικών υπηρεσιών. Η εν λόγω εταιρεία είχε διανείμει στους εργαζομένους της παράρτημα για την ενημέρωσή τους ως προς την επεξεργασία των προσωπικών δεδομένων τους και τη λήψη της συγκατάθεσής τους.

Με αυτό, οι εργαζόμενοι κλήθηκαν επίσης να αναγνωρίσουν ότι τα παρεχόμενα προσωπικά δεδομένα τους συνδέονταν άμεσα με την εργασιακή σχέση τους, καθώς και ότι ήταν συναφή και πρόσφορα στο πλαίσιο αυτής.

Η ΑΠΔΠΧ, αφού εξέτασε την καταγγελία, κατέληξε ότι εν προκειμένω συνέτρεχε παραβίαση του GDPR. Κατά την κρίση της, η συγκατάθεση δεν αποτελούσε τη δέουσα νομική βάση επεξεργασίας για όλους τους επιδιωκόμενους σκοπούς και κακώς είχε επιδιωχθεί η λήψη της από τους εργαζόμενους. Το ίδιο ίσχυε και για τη νομική βάση της εκτέλεσης της σύμβασης που επικαλέστηκε στη συνέχεια η εργοδότρια εταιρεία, η οποία επίσης δεν κάλυπτε όλους τους επιδιωκόμενους σκοπούς επεξεργασίας. Αυτό είχε ως αποτέλεσμα τη μη σύννομη επεξεργασία των προσωπικών δεδομένων των εργαζομένων, καθώς λοιπές παραβάσεις, όπως τη μη ορθή ενημέρωση αυτών για τη δέουσα νομική βάση επεξεργασίας. Παράβαση αποτελούσε επίσης η μεταφορά του βάρους της απόδειξης της συμμόρφωσης με τον GDPR στους εργαζομένους, δεδομένου ότι αυτοί κλήθηκαν να αναγνωρίσουν τη σύνδεση, συνάφεια και προσφορότητα των προσωπικών δεδομένων υπό επεξεργασία από την εργοδότρια εταιρεία, όταν την εν λόγω υποχρέωση έφερε η τελευταία.

Η απόφαση 26/2019 αποτελεί «το πρώτο αίμα», κατά μία σίγουρα προσφιλή σε σινεφίλ έκφραση, η οποία στέλνει ένα ηχηρό μήνυμα ως προς την αναγκαιότητα συμμόρφωσης με τον GDPR. Το επιβαλλόμενο πρόστιμο φαντάζει πάντως υπερβολικό, δεδομένου ότι οι δέουσες νομικές βάσεις για την επεξεργασία των προσωπικών δεδομένων, ήτοι η εκτέλεση της σύμβασης, η εκπλήρωση έννομης υποχρέωσης και το υπέρτερο έννομο συμφέρον της εργοδότριας εταιρείας συνέτρεχαν για την επεξεργασία προσωπικών δεδομένων εργαζομένων. Στην ίδια κατεύθυνση ως προς το υπερβολικό του προστίμου συνηγορεί η σύντομη επισκόπηση αποφάσεων με μεγάλα πρόστιμα σε άλλα κράτη μέλη που εφαρμόζουν τον GDPR, με τις όποιες υψηλές κυρώσεις μέχρι σήμερα να έχουν επιβληθεί συνήθως σε κραυγαλέα περιστατικά διαρροής πολύ μεγάλου όγκου προσωπικών δεδομένων ή παράνομες προωθητικές ενέργειες σημαντικών διαστάσεων.

Από την άλλη μεριά, δεν μπορεί να αγνοηθεί ότι οι εν λόγω παραβάσεις ήταν κατά την Αρχή δείκτες ανεπίτρεπτων νομικών αμφιβολιών αναφορικά με την εφαρμογή του GDPR. Όπως σημειώνει η Αρχή χαρακτηριστικά στην επίμαχη απόφαση «οι παραβιάσεις δεν έλαβαν χώρα από δόλο, αλλά (…) υπήρξαν αποτέλεσμα ανεπαρκούς γνώσης και εφαρμογής των διατάξεων του ΓΚΠΔ».

Σε κάθε περίπτωση, η αναμενόμενη δικαστική εξέλιξη της υπόθεσης θα καταδείξει την τελική ορθότητα ή μη της κρίσης της ΑΠΔΠΧ.

Εν κατακλείδι, η απόφαση 26/2019 της ΑΠΔΠΧ θέτει ως δεδομένο ότι η πρακτική της γενικευμένης λήψης συγκατάθεσης, όταν δεν χρειάζεται, δημιουργεί σοβαρά προβλήματα, αντί να τα επιλύει. Η εφαρμογή του GDPR απαιτεί, πέραν πολλών άλλων, και νομική ακρίβεια.

 

 

Το «οπλοστάσιο» του GDPR. Ποια είναι τα δικαιώματά μας

Πρώτη δημοσίευση: www.huffingtonpost.gr
Ημερομηνία πρώτης δημοσίευσης: 24/07/2019

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Η συχνή παραβίαση της νομοθεσίας των προσωπικών δεδομένων στην Ελλάδα εξακολουθεί να αποτελεί, δυστυχώς, δυσάρεστη πραγματικότητα. Συμβαίνει, μεταξύ άλλων, όταν:

– Εισπρακτική εταιρεία καλεί επίμονα σε κινητό τηλέφωνο, χωρίς να γνωστοποιεί τα ακριβή στοιχεία της ή πού βρήκε τον αριθμό του τηλεφώνου.

– Ηλεκτρονική διεύθυνση δέχεται προωθητικά emails εταιρειών με τις οποίες ο παραλήπτης δεν έχει καμία σχέση.

– Μηνύματα (sms) άγνωστων στο αποδέκτη τους πολιτευτών στέλνονται κατά την προεκλογική περίοδο.

– Κάποιος φωτογραφίζει πρόσωπα, χωρίς άδεια, και δημοσιεύει τη φωτογραφία τους στο διαδίκτυο.

– Γείτονας τοποθετεί κάμερα που καταγράφει την είσοδο της απέναντι πολυκατοικίας.

– Εργοδότης παρακολουθεί αδικαιολόγητα με ηλεκτρονικά μέσα εργαζομένους στον χώρο εργασίας τους.

Πρόκειται για καταστάσεις, απέναντι στις οποίες οι θιγόμενοι συνεχίζουν να νιώθουν ανήμποροι, με αποτέλεσμα να αδρανούν. Είναι όμως πλέον πραγματικά αδύναμοι στο να αντιδράσουν; 

Η απάντηση κρύβεται σε τέσσερα γράμματα: GDPR. Πρόκειται για τον Γενικό Κανονισμό Προστασίας Δεδομένων, που τέθηκε σε εφαρμογή πριν από περίπου ένα χρόνο. Ο GDPR ανυψώνει την προστασία των προσωπικών δεδομένων σε ένα νέο, πρωτοφανές επίπεδο. Φέρνει μια επανάσταση στα δικαιώματα των υποκειμένων των προσωπικών δεδομένων. Παρά την ευρύτατη προβολή του και στην Ελλάδα, πολλοί εξακολουθούν να αγνοούν το «οπλοστάσιο» που τους παρέχει τόσο αυτός, όσο και ο ήδη υφιστάμενος Ν. 3471/2006 για την προστασία των προσωπικών δεδομένων στις ηλεκτρονικές επικοινωνίες. Η γνώση όμως είναι δύναμη. Ο θιγόμενος έχει ισχυρά μέσα άμυνας απέναντι σε τέτοια συμβάντα και πρέπει να το γνωρίζει.

Ο GDPR προβλέπει, μεταξύ άλλων, τα ακόλουθα βασικά δικαιώματα, που ασκούνται υπό προϋποθέσεις με την υποβολή αντίστοιχου αιτήματος. Διεκπεραιώνονται υποχρεωτικά και κατά κανόνα δωρεάν από το πρόσωπο που ευθύνεται για παραβάσεις της νομοθεσίας προσωπικών δεδομένων εντός ενός μηνός από την άσκησή τους. Αυτά είναι:

α) το δικαίωμα πρόσβασης. Ο θιγόμενος έχει δικαίωμα να γνωρίζει αν τα προσωπικά δεδομένα του υφίστανται επεξεργασία. Αν ναι, αυτός έχει δικαίωμα πρόσβασης στα προσωπικά δεδομένα του και σε πληροφορίες όπως οι σκοποί της επεξεργασίας, οι αποδέκτες των προσωπικών δεδομένων, το χρονικό διάστημα αποθήκευσής τους, η προέλευσή τους.

β) το δικαίωμα διόρθωσης. Ο θιγόμενος έχει δικαίωμα να ζητήσει τη διόρθωση ανακριβών προσωπικών δεδομένων του και τη συμπλήρωση ελλιπών προσωπικών δεδομένων του.

γ) το δικαίωμα εναντίωσης. Ο θιγόμενος έχει δικαίωμα να αντιταχθεί στην επεξεργασία των προσωπικών δεδομένων του, με σκοπό να πάψει η επεξεργασία τους.

δ) το δικαίωμα περιορισμού της επεξεργασίας. Ο θιγόμενος έχει δικαίωμα να ζητήσει τον περιορισμό της επεξεργασίας των προσωπικών δεδομένων του.

ε) το δικαίωμα διαγραφής. Ο θιγόμενος έχει δικαίωμα να ζητήσει τη διαγραφή των προσωπικών δεδομένων του.

Ο GDPR παρέχει επίσης τη δυνατότητα υποβολής καταγγελίας ενώπιον της Αρχής Προστασίας Προσωπικών Δεδομένων (ΑΠΔΠΧ). Για την υποβολή της παρέχονται χρήσιμες οδηγίες στην ιστοσελίδας της Αρχής (dpa.gr). Η εξέτασή της ενδέχεται να οδηγήσει στην επιβολή πολύ υψηλών προστίμων σε βάρος του παραβάτη. Υπενθυμίζεται ότι το μεγαλύτερο πρόστιμο που προβλέπει ο GDPR είναι 20.000.000 ευρώ ή 4% του παγκόσμιου ετήσιου τζίρου μιας εταιρείας, ανάλογα με το ποιο ποσό είναι μεγαλύτερο. Τέλος, πρόσθετο μέσα άμυνας αποτελεί η δυνατότητα εκκίνησης διαδικασιών ενώπιον αστικών και ποινικών δικαστηρίων. Και αυτό, γιατί η παράνομη επεξεργασία προσωπικών δεδομένων δημιουργεί υπό προϋποθέσεις αστική και ποινική ευθύνη.

Απέναντι στην τόσο συχνή προσβολή του δικαιώματος προστασίας των προσωπικών δεδομένων, υπάρχει πραγματική δυνατότητα άμυνας. Τα μέσα είναι διαθέσιμα, αρκεί η βούληση για την ενεργοποίησή τους.

Address
  • Ammoudi, Santorini, P. C.  847 02

opening hours
  • Monday

    8:00 a.m. – 11:30 p.m.

  • Tuesday

    8:00 a.m. – 11:00 p.m.

  • Wednesday
    8:00 a.m. – 11:00 p.m.
  • Thursday
    8:00 a.m. – 11:00 p.m.
  • Friday
    8:00 a.m. – 11:00 p.m.
  • Saturday
    8:00 a.m. – 11:00 p.m.
  • Sunday
    8:30 a.m. – 11:00 p.m.
Social Media

© Cool Cave Ice Cream Santorini Ammoudi, all rights reserved. Web Design Web Builders