• Εφαρμοστικός νόμος του ΓΚΠΔ στην Ελληνική νομοθεσία, Ενσωμάτωση της Οδηγίας 2016/680 για την επεξεργασία προσωπικών δεδομένων από δημόσιες αρχές σχετικά με ποινικά αδικήματα

Επικοινωνία  Λιάνα Κοσμάτου   30/8/2019

Με το παρόν παρουσιάζουμε συνοπτικά τον εφαρμοστικό νόμο του ΓΚΠΔ 4624/2019, o οποίος ενσωματώνει και την  Οδηγία 2016/680 για την επεξεργασία προσωπικών δεδομένων από δημόσιες αρχές σχετικά με ποινικά αδικήματα


Σε αυτή την έκδοση  (Κατεβάστε το PDF)

  • Κυριότερες διατάξεις προσαρμογής της εθνικής νομοθεσίας στον ΓΚΠΔ
  • Ενσωμάτωση της Οδηγίας 2016/680/ΕΕ
  • Σχόλια CPA Law

Με τον νόμο 4624/2019 (ΦΕΚ Α137/29.8.2019) υιοθετούνται μέτρα για την προσαρμογή της εθνικής νομοθεσίας για την προστασία δεδομένων στον Κανονισμό 2016/679 (ΓΚΠΔ), σε συμμόρφωση με τις ρήτρες ευελιξίας που παρέχει ο ΓΚΠΔ στα κράτη μέλη, ενώ αντικαθίσταται το νομοθετικό πλαίσιο που ρυθμίζει τη συγκρότηση και λειτουργία της Ελληνικής Αρχής Προστασίας Δεδομένων Προσωπικών Χαρακτήρα (ΑΠΔΠΧ).

Επίσης, ενσωματώνεται η Οδηγία 2016/680/ΕΕ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών.

Κυριότερες διατάξεις προσαρμογής της εθνικής νομοθεσίας στον ΓΚΠΔ

Με το νέο νόμο οριοθετείται το πεδίο εφαρμογής των ψηφισθέντων διατάξεων, εισάγεται ο ορισμός του δημοσίου και ιδιωτικού φορέα, προβλέπονται ρυθμίσεις για τον ορισμό Υπευθύνου Προστασίας Δεδομένων σε δημόσιους φορείς, λαμβάνεται πρόνοια για τις ειδικότερες προϋποθέσεις συμμετοχής ανηλίκων στο πλαίσιο προσφοράς υπηρεσίας στην κοινωνία της πληροφορίας, τίθενται επιπλέον προϋποθέσεις για την επεξεργασία ειδικών κατηγοριών δεδομένων, απαγορεύεται ρητά η επεξεργασία γενετικών δεδομένων για σκοπούς ασφάλισης και υγείας, εισάγονται περιορισμοί στα δικαιώματα των υποκειμένων όταν τα δεδομένα τους επεξεργάζονται από δημόσιους φορείς, προβλέπονται διατάξεις για τη διενέργεια profiling από ασφαλιστικές επιχειρήσεις καθώς και για τη διαβίβαση δεδομένων μεταξύ δημοσίων φορέων.

Προβλέπεται σύστημα ποινικών κυρώσεων καθώς και ειδικό σύστημα διοικητικών κυρώσεων για δημοσίους φορείς, κατά ρητή πρόβλεψη του ΓΚΠΔ.

Καταργείται ο ν. 2472/1997 πλην συγκεκριμένων άρθρων τα οποία αφού τροποποιήθηκαν, παραμένουν σε ισχύ και αφορούν μεταξύ άλλων σε ορισμούς εννοιών περί της προστασίας δεδομένων προσωπικού χαρακτήρα και διοικητικές κυρώσεις που αφορούν παραβίαση του νόμου για τις ηλεκτρονικές υπηρεσίες (ν. 3471/2006).

Ενσωμάτωση της Οδηγίας 2016/680/ΕΕ

Με το νέο νόμο και στο ίδιο πνεύμα με τον ΓΚΠΔ, καθορίζονται οι γενικές αρχές και το πεδίο εφαρμογής των διατάξεων της Οδηγίας, όπως ενσωματώνεται στην Ελληνική έννομη τάξη.

Ορίζονται οι νομικές βάσεις της δυνατότητας επεξεργασίας προσωπικών δεδομένων για σκοπό διαφορετικό από αυτόν για τον οποίο είχαν συλλεγεί, ενώ επίσης ρυθμίζεται η διαδικασία παροχής συγκατάθεσης και καθιερώνεται η υποχρέωση διατήρησης εμπιστευτικότητας από όσους ασχολούνται με την επεξεργασία προσωπικών δεδομένων.

Επίσης, κατοχυρώνονται τα δικαιώματα των υποκειμένων (ενημέρωσης, πρόσβασης, διόρθωσης, καταγγελίας) και καθορίζονται οι υποχρεώσεις του υπευθύνου και του εκτελούντος την επεξεργασία.

Σχόλια CPA Law

Ο νέος νόμος αποτελεί ένα σημαντικό βήμα για την εφαρμογή στην Ελλάδα του ΓΚΠΔ που ψηφίστηκε από την Ευρωπαϊκή Ένωση πριν από 3,5 χρόνια.

Ωστόσο, εντοπίζονται αδυναμίες που αναμένουμε να διορθωθούν είτε με τροποποιήσεις του νόμου είτε με Αποφάσεις και Γνώμες της ΑΠΔΠΧ.

  • Με το νέο νόμο εισάγονται δύο νέοι ορισμοί, αυτοί του δημόσιου και ιδιωτικού φορέα, δεδομένου ότι ο ΓΚΠΔ κάνει διάκριση μόνο μεταξύ υπευθύνου και εκτελούντος την επεξεργασία. Δεν είναι όμως ξεκάθαρο εάν εντάσσονται στο νόμο οι ανώνυμες εταιρείες του δημοσίου που δεν χρηματοδοτούνται από τον κρατικό προϋπολογισμό.
  • Μετά τα σχόλια που διατυπώθηκαν κατά τη διαβούλευση του σχεδίου νόμου, αρκετά από τα οποία ελήφθησαν υπόψη, απαλείφθηκε από το νόμο το απολύτως εσφαλμένο άρθρο περί του Υπευθύνου Προστασίας Δεδομένων στον ιδιωτικό τομέα (άρθρο 37) καθώς επίσης και η διάταξη περί ποινικής ευθύνης του, ενώ αυξήθηκε το ύψος των διοικητικών κυρώσεων που επιβάλλεται σε δημοσίους φορείς.
  • Με το άρθρο 9 του νέου νόμου, επικυρώνεται (νομιμοποιείται;) η σύσταση της Αρχής βάσει του ν. 2472/1997 ως Εποπτεύουσα Αρχή στην Ελλάδα για τους σκοπούς του ΓΚΠΔ.
  • Αναφορικά με τη δυνατότητα τροποποίησης του σκοπού επεξεργασίας από ιδιωτικούς φορείς, ο νέος νόμος προβλέπει ότι η επεξεργασία προσωπικών δεδομένων από ιδιωτικούς φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεγεί επιτρέπεται εφόσον είναι απαραίτητο, μεταξύ άλλων, για την αποτροπή απειλών κατά της εθνικής ασφάλειας κατόπιν αιτήματος δημοσίου φορέα ή για τη δίωξη ποινικών αδικημάτων. Επιτρέπεται επίσης για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων, εκτός εάν υπερτερεί το συμφέρον του υποκειμένου των δεδομένων να μην τύχουν επεξεργασίας τα δεδομένα αυτά. Εντούτοις, δεν παρέχονται εγγυήσεις προς τα υποκείμενα και διαδικασίες προς τους ιδιωτικούς φορείς για τη διευρυμένη αυτή δυνατότητα.
  • Προβλέπονται ειδικές ρυθμίσεις για την επεξεργασία προσωπικών δεδομένων στο πλαίσιο της απασχόλησης στον ιδιωτικό και δημόσιο τομέα, οι οποίες μεταξύ άλλων προβλέπουν ότι δεδομένα προσωπικού χαρακτήρα των εργαζομένων μπορούν να υποβάλλονται σε επεξεργασία για σκοπούς της σύμβασης εργασίας, εφόσον είναι απολύτως απαραίτητο για τη σύναψη της σύμβασης εργασίας ή μετά τη σύναψή της, για την εκτέλεση αυτής.
    Επίσης, η αναφορά στο άρθρο 27 του νέου νόμου στη συγκατάθεση εργαζομένων ως βάση επεξεργασίας παρέχει στον εργοδότη μία ευρεία βάση για να επιδιώξει την θεμελίωση της νομικής βάσης της επεξεργασίας στη συγκατάθεση, αρκεί να αποδείξει ότι η συγκατάθεση είναι ελεύθερη λαμβάνοντας υπόψη κυρίως την υφιστάμενη εξάρτηση του εργαζομένου και τις περιστάσεις κάτω από τις οποίες χορηγήθηκε η συγκατάθεση.
  • Ο νομοθέτης εισήγαγε με το άρθρο 28 σημαντικές αποκλίσεις από τον ΓΚΠΔ αναφορικά με την επεξεργασία και ελευθερία έκφρασης και πληροφόρησης, περιορίζοντας μεταξύ άλλων ουσιαστικά δικαιώματα των υποκειμένων, όπως το δικαίωμα στη λήθη. Συνεπώς, παρά το γεγονός ότι ο ΓΚΠΔ επιτρέπει παρεκκλίσεις και εξαιρέσεις, αυτές
    δεν θα έπρεπε να είναι τόσο ευρείες γιατί θίγουν τον πυρήνα της προστασίας των προσωπικών δεδομένων.
  • Διατηρήθηκε το άρθρο 13 παρ. (1) και (2) του ν. 2472/1997 περί του δικαιώματος αντίρρησης, με την περαιτέρω εισαγωγή εξαίρεσης αυτού του δικαιώματος για τους δημόσιους φορείς (άρθρο 35 του νέου νόμου).
  • Η Έκθεση για την αξιολόγηση των συνεπειών των ρυθμίσεων της νομικής υπηρεσίας του Υπουργείου Δικαιοσύνης δεν αναφέρεται στις συνέπειες που θα επιφέρει ο νόμος σε πολλούς σημαντικούς τομείς, όπως αυτόν της οικονομίας (συνέπειες κόστους εγκατάστασης εξοπλισμού, στην ανταγωνιστικότητα των επιχειρήσεων κλπ), της απλούστευσης στις διοικητικές διαδικασίες, τις βελτιώσεις που θα επέλθουν στην έννομη τάξη και άλλα.
  • Η ανάγκη αναδρομής σε τρία διαφορετικά κείμενα (ν. 2472/1997, Κανονισμός 2016/679 και ν. 4624/2019) δεν είναι η πλέον ενδεδειγμένη για σκοπούς κατανόησης και εφαρμογής των κανόνων περί προστασίας δεδομένων προσωπικού χαρακτήρα.

Το νέο νομικό πλαίσιο που διαμορφώνεται με τη θέση σε ισχύ του νέου νόμου, αφενός αναδεικνύει την ανάγκη συμμόρφωσης του Δημοσίου τομέα στις διατάξεις του ΓΚΠΔ, ενώ κυρίως καθιστά επιτακτική την ανάγκη ουσιαστικού επανελέγχου των εργασιών συμμόρφωσης και των πολιτικών των ιδιωτικών φορέων.

Επικοινωνία  Λιάνα Κοσμάτου   30/8/2019
;