Κατ` αρχήν υπάρχει υποχρέωση των Νομικών Προσώπων Δημοσίου Δικαίου να χορηγούν αντίγραφα των δημοσίων εγγράφων, που φυλάσσονται στις υπηρεσίες τους. Η υποχρέωση αυτή κάμπτεται, όταν τα δημόσια έγγραφα αφορούν την ιδιωτική, ή οικογενειακή ζωή, τρίτου.

Σύμφωνα με τις διατάξεις του νέου Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων, κάθε επεξεργασία ευαίσθητων προσωπικών δεδομένων απαγορεύεται κατ` αρχήν και επιτρέπεται μόνο μετά από σχετική άδεια της Αρχής και εφ όσον συντρέχουν ειδικές προϋποθέσεις.

Συνεπώς η δημόσια αρχή, που φυλάσσει τα προσωπικά δεδομένα ιδιωτών, δεν έχει δικαίωμα επεξεργασίας τους, πόσο μάλλον χορήγησης αντιγράφων σε τρίτο, χωρίς την έγγραφη συγκατάθεση του υποκειμένου και χωρίς την προηγούμενη άδεια της Αρχής Προστασίας Προσωπικών Δεδομένων.

Η Αρχή προστασίας προσωπικών δεδομένων, σύμφωνα με τον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR, άρθρο 58)  έχει εξουσίες έρευνας, διορθωτικές εξουσίες, αδειοδοτικές-συμβουλευτικές εξουσίες και επιβολής προστίμων.

1. Εξουσίες έρευνας

α)  να δίνει εντολές, για να της παρασχεθεί κάθε πληροφορία που απαιτεί.

β)  να διεξάγει έρευνες, με τη μορφή ελέγχου.

γ)  να προβαίνει σε επανεξέταση των πιστοποιήσεων. Ως πιστοποίηση (άρθρο 40) νοείται η πιστοποίηση της  επεξεργασίας των δεδομένων και όχι των προσώπων.

δ)  να ειδοποιεί τον υπεύθυνο επεξεργασίας, ή τον εκτελούντα την επεξεργασία, για εικαζόμενη παράβαση του Κανονισμού.

ε)  να αποκτά πρόσβαση σε όλα τα δεδομένα και σε όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων της.

στ)  να έχει πρόσβαση στις εγκαταστάσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, του εξοπλισμού και των μέσων επεξεργασίας δεδομένων.

2. Διορθωτικές εξουσίες

Προς τον υπεύθυνο επεξεργασίας, ή τον εκτελούντα την επεξεργασία.

α)  να απευθύνει προειδοποιήσεις, ότι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν διατάξεις του Κανονισμού.

β)  να απευθύνει επιπλήξεις, όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του Κανονισμού.

γ)  να δίνει εντολή, να συμμορφώνεται προς τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του.

δ)  να δίνει εντολή, να καθιστούν τις πράξεις επεξεργασίας, σύμφωνες με τις διατάξεις του Κανονισμού.

ε)  να δίνει εντολή, να ανακοινώσει την παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.

στ)  να επιβάλλει προσωρινό, ή οριστικό, περιορισμό, της επεξεργασίας, περιλαμβανομένης της απαγόρευσης της επεξεργασίας.

ζ)  να δίνει εντολή διόρθωσης, ή διαγραφής, των δεδομένων, ή περιορισμού της επεξεργασίας και εντολή κοινοποίησης των ενεργειών αυτών σε αποδέκτες.

η)  να αποσύρει την πιστοποίηση, ή να διατάξει τον οργανισμό πιστοποίησης, να αποσύρει ένα πιστοποιητικό, ή να διατάξει τον οργανισμό πιστοποίησης να μην εκδώσει πιστοποίηση, εφ όσον οι απαιτήσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον.

θ)  να δίνει εντολή για αναστολή της κυκλοφορίας δεδομένων σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό.

3. Αδειοδοτικές και συμβουλευτικές εξουσίες

α)  να παρέχει συμβουλές στον υπεύθυνο επεξεργασίας.

β)  να εκδίδει, με δική της πρωτοβουλία, ή κατόπιν αιτήματος, γνώμες προς το εθνικό κοινοβούλιο, την κυβέρνηση, προς άλλα όργανα και οργανισμούς, καθώς και προς το κοινό (για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα).

γ)  να εκδίδει γνώμες για σχέδια κωδίκων δεοντολογίας και να εγκρίνει τα σχέδια αυτά.

δ)  να παρέχει διαπίστευση σε φορείς πιστοποίησης.

ε)  να εκδίδει πιστοποιητικά και να εγκρίνει κριτήρια πιστοποίησης.

στ)  να εγκρίνει δεσμευτικούς εταιρικούς κανόνες.

ζ)  να εγκρίνει τυποποιημένες ρήτρες προστασίας δεδομένων.

η)  να επιτρέπει συμβατικές ρήτρες

θ)  να επιτρέπει διοικητικές ρυθμίσεις.

4. Εξουσία επιβολής προστίμων

Γα την λήψη απόφασης επιβολής διοικητικού προστίμου λαμβάνονται υπ όψιν τα ακόλουθα

α)  η φύση, η βαρύτητα και η διάρκεια της παράβασης.

β)  ο δόλος, ή η αμέλεια, που προκάλεσε την παράβαση.

γ)  οι ενέργειες, στις οποίες προέβη ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων.

δ)  ο βαθμός ευθύνης του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία.

ε)  προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία,

στ)  ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της.

ζ)  οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση.

η)  ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση.

θ) Η συμμόρφωση, ή μη, του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία σε εντολή λήψης μέτρων

ι)  η τήρηση εγκεκριμένων κωδίκων δεοντολογίας, ή εγκεκριμένων μηχανισμών πιστοποίησης.

ια)  κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.

Υψος προστίμων

Οι παραβάσεις, α) των υποχρεώσεων του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, β) των υποχρεώσεων του φορέα πιστοποίησης και γ) των υποχρεώσεων του φορέα παρακολούθησης, επισύρουν πρόστιμα έως 10.000.000 ευρώ, ή σε περίπτωση επιχειρήσεων έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (όποιο είναι υψηλότερο).

Οι παραβάσεις, α) των βασικών αρχών για την επεξεργασία, β) των δικαιωμάτων των υποκειμένων των δεδομένων, γ) της διαβίβασης δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα, ή σε διεθνή οργανισμό, και δ) της μη συμμόρφωσης προς εντολή, ή προς προσωρινό, ή οριστικό περιορισμό της επεξεργασίας ή προς αναστολή της κυκλοφορίας δεδομένων, που επιβάλλονται από την η εποπτική αρχή, επισύρουν πρόστιμα έως 20.000.000 ευρώ, ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, (όποιο είναι υψηλότερο).

Σύμφωνα με τον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) οι διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα γίνονται, βάσει απόφαση επάρκειας, βάσει καταλλήλων εγγυήσεων χωρίς ειδική άδεια της Αρχής, βάσει καταλλήλων εγγυήσεων με ειδική άδεια της Αρχής, βάσει παρεκκλίσεων για ειδικές καταστάσεις

1. Διαβίβαση βάσει απόφαση επάρκειας (άρθρο 46)

Η διαβίβαση δεδομένων προσωπικού χαρακτήρα, γίνεται χωρίς ειδική άδεια, όρους, ή  περιορισμούς, μόνο όταν το έχει αποφασίσει η Επιτροπή. Όταν δηλαδή έχει δεχθεί  ότι η τρίτη χώρα, ή ο διεθνής οργανισμός εξασφαλίζει επαρκές επίπεδο ασφαλούς επεξεργασίας των προσωπικών δεδομένων. Μέχρι σήμερα, η Επιτροπή έχει εκδώσει 12 αποφάσεις επάρκειας για τις εξής χώρες. Ανδόρα, Αργεντική, Καναδά, νήσους Φερόες, Γκέρνσεϊ, Ισραήλ, νήσο του Μαν, Τζέρσεϊ, Νέα Ζηλανδία, Ελβετία, Ουρουγουάη και ΗΠΑ (μόνο στο πλαίσιο του Privacy Shield). Βρίσκονται σε εξέλιξη συνομιλίες για την επικαιροποίηση και έκδοση αποφάσεων επάρκειας για την Ιαπωνία και τη Νότιο Κορέα.

2. Διαβίβαση, βάσει καταλλήλων εγγυήσεων χωρίς ειδική άδεια της Αρχής (άρθρο 46).

Σε περίπτωση που δεν υπάρχει απόφαση επάρκειας, η διαβίβαση μπορεί να γίνει με την παροχή κατάλληλων εγγυήσεων. Τις κατάλληλες εγγυήσεις τις παράσχει ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία. Όπου υφίστανται κατάλληλες εγγυήσεις δεν απαιτείται ειδική άδεια της Αρχής.

Κατάλληλες εγγυήσεις αποτελούν 

α) Η διαβίβαση με βάση δεσμευτικούς εταιρικούς κανόνες (BCR)  

Σημείωση

Τα Binding Corporate Rules (BCR) είναι το εργαλείο που δίνει τη δυνατότητα σε ομίλους εταιριών, να διαβιβάζουν προσωπικά δεδομένα από εταιρείες του ομίλου που είναι εγκατεστημένες στην Ε.Ε, σε εταιρίες του ομίλου που είναι εγκατεστημένες σε τρίτες χώρες (εκτός της Ε.Ε), οι οποίες δεν εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας. Για χρησιμοποιηθούν τα BCR ως νομική βάση για τη διαβίβαση δεδομένων εκτός Ε.Ε. πρέπει κάθε κράτος-μέλος, από το οποίο θα γίνεται η διαβίβαση, να εγκρίνει τα BCR. Τα BCR εγκρίνονται πλέον σε ευρωπαϊκό επίπεδο, σύμφωνα με τον μηχανισμό συνεκτικότητας και δεν απαιτείται έκδοση εθνικής άδειας. Οι διαβιβάσεις που γίνονται ήδη με βάση BCR εγκεκριμένα κατά την Οδηγία 95/46 πρέπει να τροποποιηθούν, ώστε να είναι συμβατά με τον Κανονισμό.

β) Η διαβίβαση με συμβατική ρύθμιση με τον αποδέκτη των δεδομένων.

Χρησιμοποιούνται τυποποιημένες συμβατικές ρήτρες, που έχουν λάβει την έγκριση της Επιτροπής.

γ) Η διαβίβαση με την τήρηση ενός Κώδικα Δεοντολογίας, ή μηχανισμού Πιστοποίησης. Απαιτείται η λήψη δεσμευτικών και εκτελεστών δεσμεύσεων από τον αποδέκτη, σχετικά με την εφαρμογή των κατάλληλων εγγυήσεων για την προστασία των δεδομένων που διαβιβάζονται.

δ) Η διαβίβαση με βάση ένα νομικά δεσμευτικό και εκτελεστό μέσο μεταξύ δημόσιων αρχών, ή φορέων

3. Διαβίβαση, βάσει καταλλήλων εγγυήσεων με ειδική άδεια της Αρχής (άρθρο 46).

Κατάλληλες εγγυήσεις αποτελούν, με την προϋπόθεση χορήγησης προηγούμενης ειδικής άδειας της εποπτικής αρχής

α) Η διαβίβαση μέσω συμβατικών ρητρών, μεταξύ του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία, και του αντιστοίχου των στην τρίτη χώρα, ή διεθνή οργανισμό.

β) Η διαβίβαση μέσω διατάξεων, προς συμπερίληψη σε διοικητικές ρυθμίσεις, μεταξύ δημόσιων αρχών, ή φορέων, οι οποίες περιλαμβάνουν εκτελεστά και ουσιαστικά δικαιώματα υποκειμένων των δεδομένων.

4. Διαβίβαση, βάσει παρεκκλίσεων για ειδικές καταστάσεις ( άρθρο 49)

α. Χωρίς άδεια της εποπτικής αρχής.

Σύμφωνα με το άρθρο 49 του Κανονισμού, ελλείψει απόφασης επάρκειας δυνάμει του άρθρου 45, ή κατάλληλων εγγυήσεων δυνάμει του άρθρου 46, οι διαβιβάσεις δεδομένων σε τρίτη χώρα μπορούν να λάβουν χώρα, χωρίς άδεια της εποπτικής αρχής, μόνο, όταν 

α. το υποκείμενο έχει ρητώς συγκατατεθεί στη συγκεκριμένη διαβίβαση, αφού προηγουμένως έχει ενημερωθεί για πιθανούς κινδύνους μιας τέτοιας διαβίβασης.

β. η διαβίβαση είναι απαραίτητη για τη σύναψη, ή εκτέλεση, σύμβασης, συναφθείσας προς όφελος του υποκειμένου.

γ. η διαβίβαση είναι απαραίτητη προκειμένου να προστατευθούν ζωτικά συμφέροντα του υποκειμένου, ή άλλων προσώπων, όταν το υποκείμενο είναι ανίκανο να δώσει συγκατάθεση.

δ. εάν τα διαβιβαζόμενα δεδομένα λαμβάνονται από μητρώο ανοιχτό στο κοινό.

ε. η διαβίβαση είναι απαραίτητη για την θεμελίωση, άσκηση, ή υπεράσπιση, νομικών αξιώσεων.

στ. η διαβίβαση είναι απαραίτητη για (σπουδαίους) λόγους δημοσίου συμφέροντος που αναγνωρίζονται, είτε στη νομοθεσία της ΕΕ, είτε στη νομοθεσία κράτους-μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.

β. Εντελώς εξαιρετικά, με άδεια της εποπτικής αρχής και ενημέρωση του υποκειμένου.

Στην περίπτωση που καμία από τις ως άνω νομικές βάσεις δεν εφαρμόζεται, η διαβίβαση μπορεί να πραγματοποιηθεί όταν μόνο, όταν  συντρέχουν σωρευτικά οι παρακάτω προϋποθέσεις, με προηγούμενη ενημέρωση της εποπτικής αρχής και του υποκειμένου.

α. δεν εκτελείται από δημόσια αρχή, κατά την άσκηση των δημόσιων εξουσιών της.

β. δεν είναι επαναλαμβανόμενη.

γ. αφορά μόνο περιορισμένο αριθμό υποκειμένων.

δ. είναι απαραίτητη για τους σκοπούς «επιτακτικών έννομων συμφερόντων» του υπευθύνου επεξεργασίας, από τα οποία δεν υπερισχύουν τα συμφέροντα, ή τα δικαιώματα του υποκειμένου, και

ε. ο υπεύθυνος επεξεργασίας έχει παράσχει τις κατάλληλες διασφαλίσεις για τα διαβιβαζόμενα δεδομένα.

5. Διαβιβάσεις σε δικαστήριο, ή διοικητική αρχή, τρίτης χώρας (άρθρο 48)

Οι διαβιβάσεις σε δικαστήριο ή διοικητική αρχή, τρίτης χώρας, που απαιτεί από υπεύθυνο επεξεργασίας, ή εκτελούντα την επεξεργασία, να διαβιβάσει ή να κοινοποιήσει προσωπικά δεδομένα, είναι επιτρεπτές, μόνον εφ όσον οι αποφάσεις των αλλοδαπών αρχών βασίζονται σε διεθνή συμφωνία (όπως σύμβαση αμοιβαίας δικαστικής συνδρομής), που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ε.Ε, ή κράτους-μέλους, με την επιφύλαξη άλλων λόγων διαβίβασης.

Σύμφωνα με τον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR, άρθρο 23) ο εθνικός νομοθέτης μπορεί να θέσει περιορισμούς στα δικαιώματα του υποκειμένου των προσωπικών δεδομένων για τη διασφάλιση των εξής αγαθών 

α)  της ασφάλειας του κράτους.

β)  της εθνικής άμυνας.

γ)  της δημόσιας ασφάλειας.

δ)  της πρόληψης, της διερεύνησης, της ανίχνευσης, ή της δίωξης, ποινικών αδικημάτων, ή της εκτέλεσης ποινικών κυρώσεων. 

ε)  της προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών.

στ)  της εκτέλεσης αστικών αξιώσεων.

ζ)  της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα.

η) για την προστασία του υποκειμένου των δεδομένων, ή των δικαιωμάτων και των ελευθεριών των τρίτων.

θ)  άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης, ή κράτους-μέλους (όπως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης, ή κράτους-μέλους, (νομισματικά, δημοσιονομικά, φορολογικά θέματα, θέματα δημόσιας υγείας, ή κοινωνικής ασφάλισης

Σημείωση

Ο περιορισμός πρέπει να γίνεται με την προϋπόθεση ότι σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο. Θεμελιώδη δικαιώματα και ελευθερίες θεωρούνται αυτά που άπτονται, της αξιοπρέπειας, της ελευθερίας, της ισότητας, της αλληλεγγύης, της ιθαγένειας και της δικαιοσύνης.

Το υποκείμενο των προσωπικών δεδομένων, εφ όσον προσβάλλονται τα δικαιώματά του από την επεξεργασία, έχει το δικαίωμα υποβολής καταγγελίας στην Αρχή, δικαστικής προσφυγής κατά απόφασης της Αρχής, δικαστικής προσφυγής κατά του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία και δικαίωμα αποζημίωσης.

Τα δικαιώματα αυτά μπορεί να τα ασκήσει το ίδιο, ή να αναθέσει την άσκησή των σε μη κερδοσκοπικό φορέα, οργάνωση, ή ένωση, που έχει συσταθεί νομίμως, σύμφωνα με το δίκαιο κράτους-μέλους.

1. Δικαίωμα υποβολής καταγγελίας στην Αρχή

Το υποκείμενο των δεδομένων, όταν η επεξεργασία των δεδομένων προσβάλει τα δικαιώματά του, έχει το δικαίωμα να υποβάλει καταγγελία στην Αρχή. Η καταγγελία γίνεται στο κράτος-μέλος στο οποίο έχει τη συνήθη διαμονή του, ή τον τόπο εργασίας του, ή στον τόπο της εικαζόμενης παράβασης. Η εποπτική αρχή έχει την υποχρέωση, εντός (3) μηνών, να ενημερώσει το υποκείμενο των δεδομένων για την πρόοδο και την έκβαση της καταγγελίας του, καθώς και για τη δυνατότητα άσκησης δικαστικής προσφυγής.

2. Δικαίωμα δικαστικής προσφυγής κατά απόφασης της Αρχής (άρθρο 78).

Κάθε φυσικό, ή νομικό, πρόσωπο έχει το δικαίωμα δικαστικής προσφυγής κατά απόφασης της Αρχής, που το αφορά. Το ίδιο δικαίωμα έχει το υποκείμενο των δεδομένων, όταν η Αρχή δεν εξετάσει την καταγγελία του, ή δεν το ενημερώσει εντός (3) μηνών για την πρόοδο, ή την έκβαση, της καταγγελίας του.  Η προσφυγή ασκείται ενώπιον των δικαστηρίων του κράτους-μέλους, στο οποίο είναι εγκατεστημένη η εποπτική αρχή.

3. Δικαίωμα δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας, ή εκτελούντος την επεξεργασία (άρθρο 79)

Το υποκείμενο των δεδομένων έχει δικαίωμα να ασκήσει δικαστική προσφυγή, κατά του υπευθύνου επεξεργασίας, ή εκτελούντος την επεξεργασία, εάν θεωρήσει ότι τα δικαιώματά του παραβιάστηκαν κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Η προσφυγή ασκείται ενώπιον των δικαστηρίων του κράτους-μέλους, στο οποίο είναι εγκατεστημένος ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, ή στο δικαστήριο του κράτους-μέλους, στο οποίο το υποκείμενο των δεδομένων έχει τη συνήθη διαμονή του. Εξαιρείται η περίπτωση που ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, είναι δημόσια αρχή κράτους-μέλους, η οποία ενεργεί κατά την άσκηση των δημόσιων εξουσιών της.

4. Δικαίωμα αποζημίωσης (άρθρο 82)

Το πρόσωπο, το οποίο υπέστη υλική, ή μη υλική, ζημία από την παραβίαση της επεξεργασίας των προσωπικών του δεδομένων δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας, ή τον εκτελούντα την επεξεργασία, για τη ζημία που υπέστη.

 Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη για αποζημίωση, μόνο στην περίπτωση, που η ζημία προκλήθηκε από την εκ μέρους του επεξεργασία.

Ο εκτελών την επεξεργασία φέρει την ευθύνη για αποζημίωση, μόνο στην περίπτωση, που δεν ανταποκρίθηκε στις υποχρεώσεις του Κανονισμού, ή υπερέβη, ή ενήργησε αντίθετα, προς τις νόμιμες εντολές του υπευθύνου επεξεργασίας.

Ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, απαλλάσσονται από την ευθύνη, εάν αποδείξουν ότι δεν φέρουν καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.

Εάν εμπλέκονται στην επεξεργασία περισσότεροι του ενός, είτε  υπεύθυνοι επεξεργασίας, είτε εκτελούντες την επεξεργασία, όλοι ευθύνονται σε αποζημίωση σε ολόκληρον.

Εφ όσον κάποιος από αυτούς αποζημίωσε τον παθόντα, αυτός έχει το δικαίωμα να στραφεί αναγωγικά έναντι των άλλων συνυπευθύνων για την ανάκτηση μέρους της αποζημίωσης, που αντιστοιχεί στο μέρος της ευθύνης του.

Αρμόδιο δικαστήριο είναι το δικαστήριο του κράτους- μέλους, στο οποίο ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, έχει την εγκατάστασή του, ή το υποκείμενο των δεδομένων έχει τη συνήθη διαμονή του.

Αναστολή διαδικασιών (άρθρο 81)

Όταν οι διαδικασίες σχετικά με το ίδιο θέμα εκκρεμούν σε δικαστήριο άλλου κράτους-μέλους, οποιοδήποτε αρμόδιο δικαστήριο διαφορετικό από το πρώτο επιληφθέν δικαστήριο, δύναται να αναστείλει τις οικείες διαδικασίες. Όταν οι διαδικασίες εκκρεμούν σε πρώτο βαθμό δικαιοδοσίας, κάθε δικαστήριο, εκτός του πρώτου επιληφθέντος, δύναται να κηρύξει εαυτό αναρμόδιο, αν το πρώτο επιληφθέν δικαστήριο είναι αρμόδιο για τις εν λόγω διαδικασίες και το δίκαιό του επιτρέπει την συνεκδίκασή τους.

1. Δικαίωμα ενημέρωσης (άρθρα 12,13,14)

Το υποκείμενο των  δεδομένων έχει το δικαίωμα, οποτεδήποτε, να ζητήσει ενημέρωση για κάθε πληροφορία που το αφορά, σχετικά με την λήψη και την επεξεργασία των προσωπικών του δεδομένων.

Κατά τη λήψη των δεδομένων (άρθρο 13)

Κατά τη λήψη των δεδομένων, ο υπεύθυνος επεξεργασίας, παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες, α)  την ταυτότητα και τα στοιχεία επικοινωνίας του, β)  τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα, καθώς και τη νομική βάση της επεξεργασίας, γ)  τους αποδέκτες, ή τις κατηγορίες των αποδεκτών, δ)  το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα. Όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα, ε)  το δικαίωμα υποβολής καταγγελίας στην Αρχή, στ) κατά πόσο η παροχή των δεδομένων αποτελεί νομική, ή συμβατική, υποχρέωση, ή απαίτηση για τη σύναψη σύμβασης, ζ) κατά πόσο το υποκείμενο των δεδομένων υποχρεούται να παρέχει τα δεδομένα και τις ενδεχόμενες συνέπειες μη παροχής των, η)  την ύπαρξη, ή μη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ.

Μετά τη λήψη των δεδομένων

Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες κατόπιν αιτήματος του υποκειμένου, χωρίς καθυστέρηση, εντός (1) μηνός, από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά (2) μήνες, εφ όσον απαιτείται, λαμβανομένου υπ όψιν της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Η ενημέρωση πρέπει να είναι σε συνοπτική, διαφανής, κατανοητή και σε εύκολα προσβάσιμη μορφή. Παρέχεται γραπτώς, ή με άλλα μέσα, μεταξύ άλλων ηλεκτρονικώς.

Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα, ή έχουν επαναλαμβανόμενο χαρακτήρα, ο υπεύθυνος επεξεργασίας μπορεί, α)  να επιβάλει την καταβολή ευλόγου τέλους, για την παροχή της ενημέρωσης, ή την ανακοίνωση, ή την εκτέλεση της ζητούμενης ενέργειας, ή β)  να αρνηθεί να δώσει συνέχεια στο αίτημα. Το βάρος της απόδειξης φέρει ο υπεύθυνος επεξεργασίας.

Σε περίπτωση καθυστέρησης, πέραν του (1) μηνός, ο υπεύθυνος επεξεργασίας οφείλει να ενημερώνει το υποκείμενο για την καθυστέρηση εντός (1) μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης.

Εάν ο υπεύθυνος επεξεργασίας δεν ενεργήσει επί του αιτήματος, οφείλει να ενημερώνει το υποκείμενο χωρίς καθυστέρηση και το αργότερο εντός (1) μηνός από την παραλαβή του αιτήματος, για τους λόγους για τους οποίους δεν ενήργησε και ότι έχει τη δυνατότητα υποβολής καταγγελίας στην Αρχή και άσκηση δικαστική προσφυγής.

2. Δικαίωμα πρόσβασης (άρθρο 15)

Το υποκείμενο των δεδομένων έχει το δικαίωμα πρόσβασης στις ακόλουθες πληροφορίες, α)  τους σκοπούς της επεξεργασίας, β)  τις  κατηγορίες δεδομένων προσωπικού χαρακτήρα, γ)  τους αποδέκτες, ή τις κατηγορίες αποδεκτών, στους οποίους κοινολογήθηκαν, ή θα κοινολογηθούν τα δεδομένα, ιδίως τους αποδέκτες σε τρίτες χώρες, ή διεθνείς οργανισμούς, δ)  το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα, ή, αν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα, ε) την ύπαρξη δικαιώματος υποβολής αιτήματος για διόρθωση, διαγραφή , περιορισμό της επεξεργασίας και εναντίωσης στην επεξεργασία, στ)  το δικαίωμα υποβολής καταγγελίας στην Αρχή, η)  την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων.

Η ενημέρωση παρέχεται με αντίγραφο των δεδομένων, χωρίς τέλος. Για επιπλέον αντίγραφα, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή εύλογου τέλους για διοικητικά έξοδα. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή.

3. Δικαίωμα διόρθωσης (άρθρα 16 )

Το υποκείμενο των δεδομένων έχει το δικαίωμα διόρθωσης ανακριβών προσωπικών δεδομένων και συμπλήρωσης ελλιπών πληροφοριών, μέσω συμπληρωματικής δήλωσης.

Ο υπεύθυνος επεξεργασίας ανακοινώνει την διόρθωση των δεδομένων σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα αυτά, εκτός εάν αυτό είναι ανέφικτο, ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας ενημερώνει και το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφ όσον αυτό ζητηθεί από το υποκείμενο των δεδομένων (άρθρο 19).

4. Δικαίωμα διαγραφής (δικαίωμα στη λήθη) (άρθρο 17).

Πότε εφαρμόζεται

Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει την διαγραφή των δεδομένων που το αφορούν, α)  Όταν τα δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν, ή υποβλήθηκαν σε επεξεργασία, β)  Όταν ανακαλέσει την συναίνεση επί της οποίας βασίζεται η επεξεργασία και δεν υπάρχει άλλη νομική βάση για την επεξεργασία, γ)  Όταν έχει δικαίωμα εναντίωσης και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία, δ)  Όταν τα δεδομένα υποβλήθηκαν σε επεξεργασία παράνομα, ε)  Όταν τα δεδομένα αφορούν την συγκατάθεση παιδιού, στ)  Όταν τα δεδομένα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου, ή του δικαίου κράτους-μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας.

Πότε δεν εφαρμόζεται

Το δικαίωμα διαγραφής δεν εφαρμόζεται, όταν η επεξεργασία, α)  είναι απαραίτητη για την άσκηση του δικαιώματος στην ενημέρωση και στην ελευθερία της έκφρασης, β)  είναι απαραίτητη για τη θεμελίωση, άσκηση, ή υποστήριξη, νομικών αξιώσεων, γ) αφορά το δημόσιο συμφέρον, ή την δημόσια εξουσία, δ) αφορά την δημόσια υγεία (άρθρο 9 παρ. 2 στοιχ. η και θ, άρθρο 9 παρ.3), ε) αφορά σκοπούς επιστημονικής, ή ιστορικής, έρευνας, ή γίνεται για στατιστικούς σκοπούς, στ)  για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, ζ)  για την τήρηση νομικής υποχρέωσης, που επιβάλλει την επεξεργασία βάσει του δικαίου της Ένωσης, ή του δικαίου- κράτους μέλους, στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας.

Υποχρέωση γνωστοποίησης

Ο υπεύθυνος επεξεργασίας οφείλει να ανακοινώνει την διαγραφή σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό είναι ανέφικτο, ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας οφείλει να ενημερώσει και το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφ όσον αυτό ζητηθεί από το υποκείμενο των δεδομένων (άρθρο 19).

5. Δικαίωμα περιορισμού της επεξεργασίας (άρθρο 18).

Πότε δικαιούται

Το υποκείμενο των δεδομένων δικαιούται να ζητήσει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας, α) όταν αμφισβητεί την ακρίβεια των δεδομένων, β) όταν η επεξεργασία είναι παράνομη, γ) όταν τα δεδομένα δεν χρειάζονται πλέον στον υπεύθυνο επεξεργασίας, δ) όταν έχει αντιταχθεί στην αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ. 

Τι συμβαίνει μετά

Όταν η επεξεργασία περιοριστεί, τα εν λόγω δεδομένα, εκτός της αποθήκευσης, υφίστανται επεξεργασία, α) μόνο με τη συγκατάθεση του υποκειμένου των δεδομένων, β) για τη θεμελίωση, άσκηση, ή υποστήριξη νομικών αξιώσεων, γ) για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου, ή για λόγους σημαντικού δημόσιου συμφέροντος της Ένωσης ή κράτους- μέλους.

Ενημερώσεις

α) Το υποκείμενο των δεδομένων, ενημερώνεται από τον υπεύθυνο επεξεργασίας πριν από την άρση του περιορισμού επεξεργασίας.

β) Ο υπεύθυνος επεξεργασίας ανακοινώνει τον περιορισμό της επεξεργασίας σε κάθε αποδέκτη, στον οποίο γνωστοποιήθηκαν τα δεδομένα, εκτός εάν αυτό είναι ανέφικτο, ή συνεπάγεται δυσανάλογη προσπάθεια.

γ) Ο υπεύθυνος επεξεργασίας ενημερώνει και το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφ όσον αυτό ζητηθεί από το υποκείμενο των δεδομένων  (άρθρο 19).

6. Δικαίωμα στη φορητότητα (άρθρο 20)

Στην περίπτωση που α) η επεξεργασία βασίζεται σε συναίνεση, ή συγκατάθεση, του υποκειμένου των δεδομένων και β) η επεξεργασία διενεργείται με αυτοματοποιημένα μέσα, το υποκείμενο των δεδομένων έχει το δικαίωμα, α) να λάβει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, β) να τα διαβιβάσει σε άλλον υπεύθυνο επεξεργασίας, όταν τα δεδομένα τα έχει παράσχει σε δομημένο και αναγνώσιμο από μηχανήματα μορφότυπο, γ) να ζητήσει την απευθείας την διαβίβαση των δεδομένων από έναν υπεύθυνο επεξεργασίας σε άλλο, σε περίπτωση που αυτό είναι τεχνικά εφικτό.

Πότε δεν ισχύει

Το δικαίωμα φορητότητας δεν ισχύει, όταν η επεξεργασία εκτελείται προς το δημόσιο συμφέρον, ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.

7. Δικαίωμα εναντίωσης (άρθρο 21 και άρθρο 6 παρ. 1 στοιχ, ε, στ)

Τι είναι

Δικαίωμα εναντίωσης είναι το δικαίωμα του υποκειμένου να αντιταχθεί στην επεξεργασία των δεδομένων που το αφορούν, συμπεριλαμβανομένης της κατάρτισης προφίλ, που γίνονται, α) για την εκπλήρωση καθήκοντος, που εκτελείται προς το δημόσιο συμφέρον, ή κατά την άσκηση δημόσιας εξουσίας, που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, β) για σκοπούς των έννομων συμφερόντων, που επιδιώκει ο υπεύθυνος επεξεργασίας, ή τρίτος, γ) για σκοπούς επιστημονικής, ή ιστορικής έρευνας, ή για στατιστικούς σκοπούς, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος, που ασκείται για λόγους δημόσιου συμφέροντος.

Συνέπειες

Από την εναντίωση ο υπεύθυνος επεξεργασίας απαγορεύεται να υποβάλλει τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν καταδείξει επιτακτικούς και νόμιμους, αναγκαίους, λόγους για την επεξεργασία, οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου, ή αφορούν τη θεμελίωση, άσκηση, ή υποστήριξη, νομικών αξιώσεων.

Σημείωση

Ο υπεύθυνος επεξεργασίας πρέπει το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, να το ενημερώσει για την ύπαρξη του δικαιώματός του να εναντιωθεί με σαφήνεια και διακριτό τρόπο.

Σημείωση

Από την εναντίωση απαγορεύεται κάθε επεξεργασία χωρίς συγκατάθεση, αν έναντι των συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας, ή τρίτος, υπερισχύει το συμφέρον, ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

Σημείωση

Από την εναντίωση απαγορεύεται, χωρίς καμία εξαίρεση, κάθε επεξεργασία δεδομένων που γίνεται για σκοπούς απ ευθείας εμπορικής προώθησης.

Σημείωση

Το δικαίωμα εναντίωσης (όπως και τα λοιπά δικαιώματα) είναι δυνατό να υπόκεινται σε νόμιμους περιορισμούς μέσω εθνικών νομοθετικών μέτρων (εφ όσον δεν παραβιάζουν τον πυρήνα του εκάστοτε δικαιώματος και αφορούν σε αναγκαία και αναλογικά μέτρα).

8. Δικαίωμα εναντίωσης στην αυτοματοποιημένη ατομική λήψη αποφάσεων, με κατάρτιση προφίλ

Σύμφωνα με την αυτοματοποιημένη ατομική λήψη αποφάσεων (συμπεριλαμβανομένης της κατάρτισης προφίλ) (άρθρο 22) το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, η οποία παράγει έννομα αποτελέσματα που το αφορούν, ή το επηρεάζει σημαντικά.

Πότε δεν εφαρμόζεται

Το δικαίωμα εναντίωσης δεν εφαρμόζεται, όταν η απόφαση, α)  είναι αναγκαία για τη σύναψη, ή την εκτέλεση, σύμβασης μεταξύ του υποκειμένου και του υπευθύνου επεξεργασίας, β) βασίζεται στη ρητή συγκατάθεση του υποκειμένου, γ) επιτρέπεται από το δίκαιο της Ένωσης, ή το δίκαιο κράτους- μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας (πρέπει να προβλέπει άλλα κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων).

Παραβίαση δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τα άρθρα 33 και 34  GDPR είναι η παραβίαση της ασφάλειας, που οδηγεί σε καταστροφή, απώλεια, μεταβολή, κοινολόγηση, ή πρόσβαση στα δεδομένα, που υποβλήθηκαν σε επεξεργασία, διαβιβάστηκαν, ή αποθηκεύτηκαν. Η παραβίαση δεν έχει σημασία εάν έλαβε χώρα από δόλο, αμέλεια, πράξη, ή παράλειψη, ή από τυχαίο, ή απρόβλεπτο, γεγονός.

Η παραβίαση τυποποιείται ως εξής

Παραβίαση Εμπιστευτικότητας

Κοινολόγηση, ή πρόσβαση, σε προσωπικά δεδομένα σε μη εξουσιοδοτημένα άτομα.

Παραβίαση Ακεραιότητας

Τροποποίηση των δεδομένων. Τα δεδομένα πρέπει να είναι ακριβή, ακέραια, γνήσια, όχι εσφαλμένα, όχι αλλοιωμένα, όχι μη ενημερωμένα.

Παραβίαση Διαθεσιμότητας

Απώλεια πρόσβασης, ή καταστροφή δεδομένων. Τα δεδομένα πρέπει να είναι στη διάθεση των χρηστών όποτε απαιτείται η χρήση τους.

Τεχνικά - οργανωτικά μέτρα ασφάλειας

Στον Κανονισμό προς αποφυγή παραβίασης της ασφάλειας προτείνονται τα ακόλουθα τεχνικά και οργανωτικά μέτρα ασφάλειας:

- Ψευδωνυμοποίηση και Κρυπτογράφηση.

- Διασφάλιση Απορρήτου, Ακεραιότητας, Διαθεσιμότητας και Αξιοπιστίας.

- Αποκατάσταση Διαθεσιμότητας και της πρόσβασης σε περίπτωση συμβάντος.

- Δοκιμή, εκτίμηση και διαρκής αξιολόγηση της αποτελεσματικότητας των μέτρων.

- Χρήση εγκεκριμένου κώδικα δεοντολογίας, ή μηχανισμού πιστοποίησης για την απόδειξη της συμμόρφωσης.

Σημείωση 1

Σε κάθε περίπτωση, πριν τον καθορισμό των μέτρων ασφάλειας, προέχει η σωστή αξιολόγηση των κινδύνων και των πιθανών συνεπειών τους για τα υποκείμενα των δεδομένων.

Σημείωση 2

Τα υλοποιημένα μέτρα πρέπει να υποβάλλονται σε περιοδική αναθεώρηση.

Σημείωση 3

Τα υφιστάμενα διεθνή πρότυπα είναι εξαιρετικά χρήσιμα, προκειμένου να βοηθήσουν τον υπεύθυνο επεξεργασίας, ή τον εκτελούντα την επεξεργασία, στην επιλογή των κατάλληλων μέτρων ασφάλειας Χρήσιμα είναι τα πρότυπα (χρειάζονται επικαιροποίηση)  ISO/IEC 27002, ISO/IEC 29151, Control Objectives for Information Technology (CobIT), Common Criteria, τα εθνικά πρότυπα NIST/SP 800-53).

Στην παραβίαση ασφάλειας των προσωπικών δεδομένων ο υπεύθυνος επεξεργασίας έχει  (άρθρο 33 παρ.1)  

Υποχρέωση ενημέρωσης της Αρχής. 

Το αργότερο εντός 72 ωρών, από τη στιγμή που αποκτά γνώση του γεγονότος της παραβίασης της ασφάλειας, ο υπεύθυνος επεξεργασίας γνωστοποιεί στην Αρχή την παραβίαση των δεδομένων. Γνωστοποιεί και τις ενέργειες που έκανε προς αντιμετώπιση της παραβίασης. Αν την γνωστοποίηση δεν πραγματοποιηθεί εντός 72 ωρών, αλλά μεταγενέστερα, υποχρεωτικά συνοδεύεται με αιτιολόγηση της καθυστέρησης.Η γνωστοποίηση περιέχει το σύνολο όλων των πληροφοριών της παραβίασης, όπως την φύση, την έκταση του περιστατικού, τις κατηγορίες προσώπων που επλήγησαν, την αιτία και τις συνέπειες αυτού. Αν οι σχετικές πληροφορίες δεν είναι όλες διαθέσιμες από την αρχή, ο υπεύθυνος επεξεργασίας οφείλει και κάνει επικαιροποήηση, με υποβολή στην Αρχή συμπληρωματικής γνωστοποίησης.

Η Αρχή δεν ενημερώνεται, όταν η παραβίαση των δεδομένων δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Στην περίπτωση αυτή ο Υπεύθυνος Επεξεργασίας οφείλει να τηρήσει  δικό του σχετικό εσωτερικό αρχείο.

Υποχρέωση ενημέρωσης του υποκειμένου

Ο υπεύθυνος επεξεργασίας υποχρεούται να ενημερώσει το φυσικό πρόσωπο που επηρεάζεται, όταν η παραβίαση είναι υψηλού κινδύνου.

Υψηλού κινδύνου παραβίαση θεωρείται αυτή που επηρεάζει, α) το απόρρητο, β) την διαθεσιμότητα και γ) την ακεραιότητα.

Στην ενημέρωση περιγράφεται με σαφήνεια η φύση της παραβίασης των δεδομένων. Περιέχονται τουλάχιστον οι παρακάτω πληροφορίες (άρθρο 33 παρ.3 στοιχ. β,  γ, δ), α. Το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας, β. Η περιγραφή της παραβίασης, γ. Οι ενδεχόμενες συνέπειες της παραβίασης, δ. Τα ληφθέντα, ή τα προτεινόμενα προς λήψη μέτρα για την αντιμετώπιση της παραβίασης.

 Πότε δεν ενημερώνεται το υποκείμενο

 Όταν ο υπεύθυνος επεξεργασίας έχει εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας. Κυρίως μέτρα που καθιστούν μη κατανοητά τα δεδομένα σε όσους δεν διαθέτουν άδεια πρόσβασης, όπως κρυπτογράφηση.

Όταν στην συνέχεια λάβει μέτρα, που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει ο αναφερόμενος υψηλός κίνδυνος. 

Όταν η ενημέρωση προϋποθέτει δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, γίνεται δημόσια ανακοίνωση, ή παρόμοιο μέτρο, με το οποίο το υποκείμενο των δεδομένων μπορεί να ενημερωθεί εξίσου αποτελεσματικά.

Σημείωση

Η Αρχή, σε κάθε περίπτωση, μπορεί να δώσει εντολή στον υπεύθυνο επεξεργασίας να ενημερώσει τα φυσικά πρόσωπα, που επηρεάζονται (άρθρο  58 παρ. 2 ε).

Ο Νέος Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ -  GDPR), άρθρο 22 κάνει ειδική αναφορά στην  αυτοματοποιημένη ατομική λήψη αποφάσεων και την κατάρτιση προφίλ (profiling).

Τι είναι

Λήψη αποφάσεων με αυτοματοποιημένα μέσα, είναι η λήψη αποφάσεων σχετικά με το υποκείμενο των δεδομένων, χωρίς καμία ανθρώπινη παρέμβαση, με τεχνολογικά μέσα.

Κατάρτιση προφίλ είναι, η αξιολόγηση των προσωπικών πτυχών του υποκειμένου των δεδομένων (ηλικία, φύλο, ύψος κλπ)  με σκοπό την πραγματοποίηση προβλέψεων σχετικά με αυτό.

Η αυτοματοποιημένη λήψη αποφάσεων και η κατάρτιση προφίλ χρησιμοποιούνται ευρέως στον ιδιωτικό τομέα και στον δημόσιο τομέα. Όπως στις τράπεζες, στις χρηματοοικονομικές εταιρείες, στην υγειονομική περίθαλψη, φορολογία, ασφάλιση, μάρκετινγκ, διαφήμιση κλπ.

Ο κανόνας

Σύμφωνα με τον Κανονισμό, το πρόσωπο έχει το δικαίωμα να μην υπόκειται σε απόφαση με βάση μόνο αυτοματοποιημένα μέσα, εάν η απόφαση παράγει έννομα αποτελέσματα που το αφορούν, ή το επηρεάζουν σε σημαντικό βαθμό. Π.χ. μία απόφαση επηρεάζει τη φυσική και νομική κατάσταση του προσώπου, γιατί η αυτόματη επεξεργασία οδηγεί, ή μπορεί να οδηγήσει, σε απόρριψη αίτησης δανείου.

Πότε επιτρέπεται  

α)  όταν η απόφαση με αυτοματοποιημένα μέσα, είναι αναγκαία για την σύναψη, ή την εκτέλεση, σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας των δεδομένων.

β)  βασίζεται στη ρητή συγκατάθεση του υποκειμένου των δεδομένων.

γ)  επιτρέπεται από το δίκαιο της Ένωσης, ή το δίκαιο κράτους- μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.

Εξαιρέσεις

Οι αποφάσεις με αυτοματοποιημένα μέσα δεν επιτρέπονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα του άρθρου 9 παρ. 1του Κανονισμού

Σημείωση

Δηλαδή που αποκαλύπτουν φυλετική, εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές, φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα, υγεία, σεξουαλική ζωή, γενετήσιο προσανατολισμό.

Επιτρέπονται, όμως,

α) αν το υποκείμενο των δεδομένων δώσει ρητή συγκατάθεση, ή

β) η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος.

Η εκπόνηση «εκτίμησης αντικτύπου» σχετικά με την προστασία δεδομένων (ΕΑΠΔ- Data Protection Impact Assessment - DPIA) προβλέπεται στο άρθρο 35 παρ. 1 του GDPR (Νέος Γενικός Κανονισμός Προστασίας Δεδομένων)

Η εκπόνηση της «εκτίμησης αντικτύπου» είναι υποχρεωτική, όταν το είδος της επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο στα δικαιώματα και τις ελευθερίες του προσώπου. Την εκπόνηση της «εκτίμησης αντικτύπου» την διενεργεί ο Υπεύθυνος Επεξεργασίας, πριν από την επεξεργασία, ζητώντας την γνώμη του Υπευθύνου Προστασίας. Όπου ενδείκνυται, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την γνώμη του υποκειμένου των δεδομένων για τη σχεδιαζόμενη επεξεργασία. 

Η εκπόνηση «εκτίμησης αντικτύπου» απαιτείται στις περιπτώσεις 

α) συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών των φυσικών προσώπων, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ.

β)  μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων του άρθρου 9 παρ. 1 (φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα, δεδομένα που αφορούν την υγεία, ή δεδομένα που αφορούν τη σεξουαλική ζωή, ή τον γενετήσιο προσανατολισμό). 

γ) δεδομένων προσωπικού χαρακτήρα, που αφορούν ποινικές καταδίκες και αδικήματα, του άρθρου 10.

δ)  συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.

Η εκτίμηση πρέπει περιέχει τουλάχιστον

α)  την συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας, των σκοπών της επεξεργασίας, και του έννομου συμφέροντος, που επιδιώκει ο υπεύθυνος επεξεργασίας.

β)  την εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας.

γ)  την εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

δ) τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων. Περιλαμβάνονται οι εγγυήσεις και τα μέτρα και μηχανισμοί ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα.

Όταν μεταβάλλεται ο κίνδυνος, που θέτουν οι πράξεις επεξεργασίας, ο υπεύθυνος επεξεργασίας πρέπει να προβεί σε επανεξέταση για να εκτιμήσει, εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται σύμφωνα με την «εκτίμηση αντικτύπου».

Σύμφωνα με το άρθρο 35 παρ. 4 του GDPR, η Αρχή Προστασίας Δεδομένων κατήρτισε σχέδιο καταλόγου με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια ΕΑΠΔ (DPIA). Πριν την έκδοση του εν λόγω καταλόγου ΕΑΠΔ, η Αρχή εφάρμοσε, κατά τα προβλεπόμενα στο άρθρο 35 παρ. 6, το μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63 ανακοινώνοντας το σχέδιο καταλόγου στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ).

Ο κατάλογος που υπέβαλε η Αρχή στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, προς έγκριση, προβλέπει ότι απαιτείται η διενέργεια εκτίμησης αντικτύπου, α) στην επεξεργασία βιομετρικών και γενετικών δεδομένων και β) στην  επεξεργασία των προσωπικών δεδομένων για επιστημονικό ή ιστορικό σκοπό.

Το ΕΣΠΔ, κατά τη συνεδρίαση της ολομέλειας της 25ης Σεπτεμβρίου 2018, εξέδωσε, βάσει του άρθρου 64 παρ. 1 του ΓΚΠΔ, τη γνώμη 7/2018 σχετικά με το σχέδιο καταλόγου ΕΑΠΔ της Αρχής. Η Αρχή, με την με αριθμό 65/2018 Απόφασή της, αποφάσισε, σύμφωνα με το άρθρο 64 παρ. 7 του GDPR, την τροποποίηση του καταλόγου ΕΑΠΔ βάσει των συστάσεων της γνώμης 7/2018 του ΕΣΠΔ και την ανακοίνωσή του στο ΕΣΠΔ. Ο κατάλογος ΕΑΠΔ της Αρχής βασίζεται στο άρθρο 35 του GDPR και ιδίως στις παρ. 1 και 3 αυτού καθώς και στις κατευθυντήριες γραμμές για την ΕΑΠΔ (WP248), τις οποίες συμπληρώνει και εξειδικεύει περαιτέρω.

Ο εν λόγω κατάλογος της Αρχής δεν είναι εξαντλητικός και, συνεπώς, δεν αίρεται ούτε μεταβάλλεται η υποχρέωση να διενεργείται ΕΑΠΔ σε κάθε περίπτωση συνδρομής των προϋποθέσεων του άρθρου 35 παρ. 1 του GDPR, ούτε η γενικότερη υποχρέωση του υπευθύνου επεξεργασίας να συμμορφώνεται με το σύνολο των υποχρεώσεων που απορρέουν από το ΓΚΠΔ.

Ο υπεύθυνος επεξεργασίας πρέπει, οποτεδήποτε του ζητηθεί από την Αρχή, να αποδεικνύει την συμμόρφωσή του προς την εκπόνηση εκτίμησης αντικτύπου. Η μη συμμόρφωση οδηγεί στην επιβολή προστίμων από την Αρχή.

Στον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ -  GDPR) για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν απαιτεί εξακρίβωση ταυτότητας, στο άρθρο 11 προβλέπεται ότι o υπεύθυνος επεξεργασίας οφείλει, να μη διατηρεί, ή να αποκτά, ή να επεξεργάζεται συμπληρωματικές πληροφορίες, για την εξακρίβωση της ταυτότητας του υποκειμένου, εάν οι σκοποί για τους οποίους επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα δεν απαιτούν, ή δεν απαιτούν πλέον, την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων. Σε κάθε περίπτωση οφείλει να ενημερώσει το υποκείμενο των δεδομένων.

Στον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ -  GDPR) στο άρθρο 10 προβλέπεται ότι η επεξεργασία προσωπικών δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα απαγορεύεται. Επιτρέπεται μόνο όταν, διενεργείται υπό τον έλεγχο επίσημης αρχής, ή εάν η επεξεργασία επιτρέπεται από το δίκαιο της Ένωσης, ή κράτους- μέλους. Πλήρες ποινικό μητρώο τηρείται μόνον υπό τον έλεγχο επίσημης αρχής.

 

Στον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ -  GDPR) για την επεξεργασία ευαίσθητων προσωπικών δεδομένων (ή δεδομένων ειδικών κατηγοριών με τον νέο ορισμό του  GDPR) στο άρθρο 9 προβλέπονται τα εξής.

Απαγόρευση

Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν

α)  την φυλετική, ή εθνοτική καταγωγή.

β) τα πολιτικά φρονήματα.

γ) τις θρησκευτικές, ή φιλοσοφικές, πεποιθήσεις.

δ) τη συμμετοχή σε συνδικαλιστική οργάνωση.

ε) την επεξεργασία γενετικών, ή βιομετρικών δεδομένων.

στ) δεδομένων που αφορούν την υγεία.

ζ) δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου, και τον γενετήσιο προσανατολισμό.

Πότε επιτρέπεται η επεξεργασία

Κατ' εξαίρεση επιτρέπεται η επεξεργασία, όταν συντρέχει μία από τις παρακάτω προϋποθέσεις,

α) ρητή συγκατάθεση του υποκειμένου των δεδομένων.

β)  η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας.

γ)  η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων, ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά, ή νομικά, ανίκανο να συγκατατεθεί.

δ)  η επεξεργασία διενεργείται, με κατάλληλες εγγυήσεις, στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, οργάνωσης, ή άλλου μη κερδοσκοπικού φορέα, με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο.

ε)  η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα, τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων.

στ)  η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση, ή υποστήριξη, νομικών αξιώσεων, ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα.

ζ)  η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος.

η)  η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής, ή επαγγελματικής ιατρικής (όπως εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών).

θ)  η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας (όπως προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας, ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων).

ι)  η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής έρευνας, ή για στατιστικούς σκοπούς,

Σύμφωνα με τον ν. 4557/2018, που ενσωματώνει στην ελληνική έννομη τάξη την Οδηγία (ΕΕ) 2015/849 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 20/5/2015, τα υπόχρεα πρόσωπα οφείλουν τα δεδομένα προσωπικού χαρακτήρα να τα υποβάλλουν σε επεξεργασία μόνο για τον σκοπό της πρόληψης της νομιμοποίησης των παράνομων εσόδων. Απαγορεύεται να χρησιμοποιηθούν, ή να τύχουν επεξεργασίας, για άλλους σκοπούς. Οι εμπλεκόμενες δημόσιες αρχές, περιλαμβανομένων του Υπουργείου Δικαιοσύνης, Διαφάνειας και Ανθρωπίνων Δικαιωμάτων, των αρμόδιων αρχών, καθώς και των δικαστικών, εισαγγελικών, αστυνομικών, φορολογικών αρχών και υπηρεσιών, μπορούν να τηρούν πλήρη και ενημερωμένα στατιστικά στοιχεία, σχετικά με τομείς ή θέματα της αρμοδιότητάς τους. Τα στοιχεία αυτά συγκεντρώνονται ετησίως από τον Κεντρικό Συντονιστικό Φορέα και διαβιβάζονται στην Ευρωπαϊκή Επιτροπή. Επειδή η επεξεργασία των δεδομένων προσωπικού χαρακτήρα θεωρείται ζήτημα δημόσιου συμφέροντος, μπορεί το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων στα δεδομένα προσωπικού χαρακτήρα που το αφορούν, να περιοριστεί μερικώς ή συνολικά. Αυτό αφορά κυρίως την περίπτωση μη παρεμπόδισης της διενέργειας επίσημων νομικών ερευνών, ώστε να διευκολυνθεί η πρόληψη, η διερεύνηση και ο εντοπισμός της παράνομης νομιμοποίησης εσόδων.

Σύμφωνα με τον ν. 4557/2018, που ενσωματώνει στην ελληνική έννομη τάξη την Οδηγία (ΕΕ) 2015/849 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 20/5/2015, «Πολιτικώς εκτεθειμένα πρόσωπα» νοούνται

α) τα φυσικά πρόσωπα, στα οποία έχει ή είχε ανατεθεί σημαντικό δημόσιο λειτούργημα, ήτοι οι αρχηγοί κρατών και κυβερνήσεων, οι υπουργοί, υφυπουργοί, γενικοί και ειδικοί γραμματείς υπουργείων, τα μέλη κοινοβουλίων, τα μέλη ανώτατων δικαστηρίων αρμόδιων για την έκδοση αμετάκλητων αποφάσεων, οι πρεσβευτές, οι ακόλουθοι, οι υψηλόβαθμοι αξιωματικοί των ενόπλων δυνάμεων και τα μέλη διοικητικών, διαχειριστικών ή εποπτικών οργάνων ανεξάρτητων αρχών, ν.π.δ.δ. ή δημόσιων οργανισμών.

β) οι άμεσοι στενοί συγγενείς αυτών, ήτοι ο  σύζυγος, ο σύντροφος που θεωρείται από την εθνική νομοθεσία ως ισοδύναμος με τον σύζυγο, οι γονείς, τα παιδιά και οι σύζυγοι τους, ή συγκατοικούντες σύντροφοί τους,

γ) τα πρόσωπα που είναι γνωστά ως στενοί συνεργάτες των προσώπων αυτών. Δηλαδή,  τα φυσικά πρόσωπα, για τα οποία είναι γνωστό ότι είναι από κοινού πραγματικοί δικαιούχοι νομικής οντότητας, ή νομικού μορφώματος, ή συνδέονται με οποιαδήποτε άλλη στενή επιχειρηματική σχέση με πολιτικώς εκτεθειμένο πρόσωπο και τα φυσικά πρόσωπα, τα οποία είναι οι μόνοι πραγματικοί δικαιούχοι νομικής οντότητας, ή νομικού μορφώματος, που είναι γνωστό ότι έχει συσταθεί εν τοις πράγμασι προς όφελος πολιτικώς εκτεθειμένου προσώπου.

ΜΕΤΡΑ ΕΠΙΜΕΛΕΙΑΣ ΚΑΤΑ ΤΩΝ ΠΟΛΙΤΙΚΩΣ ΕΚΤΕΘΕΙΜΕΝΩΝ ΠΡΟΣΩΠΩΝ

Τα υπόχρεα πρόσωπα στις συναλλαγές τους με τα πολιτικώς εκτεθειμένα πρόσωπα, τους στενούς συγγενείς και τους στενούς συνεργάτες των, οφείλουν στα πολιτικώς εκτεθειμένα πρόσωπα που είναι εγκατεστημένα στην Ελλάδα, να εφαρμόσουν τα μέτρα συνήθους δέουσας επιμέλειας. Στα πολιτικώς εκτεθέμενα πρόσωπα, που διαμένουν εκτός Ελλάδος, εντός ή εκτός Ευρωπαϊκής Ένωσης, οι υποχρεοι οφείλουν να λάβουν τα εξής μέτρα αυξημένης επιμέλειας, α) να διαθέτουν κατάλληλες διαδικασίες ανάλογα με τον βαθμό κινδύνου για να καθορίζουν εάν ο πελάτης είναι πολιτικώς εκτεθειμένο πρόσωπο, β) να απαιτούν την έγκριση από ανώτερα διοικητικά στελέχη της Εταιρείας για τη σύναψη επιχειρηματικών σχέσεων με τους πελάτες αυτούς, γ) να λαμβάνουν επαρκή μέτρα για να καθορίσουν την προέλευση των κεφαλαίων τα οποία αφορά η επιχειρηματική σχέση ή η συναλλαγή, δ) να διενεργούν αυξημένη και συνεχή παρακολούθηση της επιχειρηματικής σχέσης.

Σύμφωνα με τον ν. 4557/2018, που ενσωματώνει στην ελληνική έννομη τάξη την Οδηγία (ΕΕ) 2015/849 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 20/5/2015, «Πολιτικώς εκτεθειμένα πρόσωπα» νοούνται

α) τα φυσικά πρόσωπα, στα οποία έχει ή είχε ανατεθεί σημαντικό δημόσιο λειτούργημα, ήτοι οι αρχηγοί κρατών και κυβερνήσεων, οι υπουργοί, υφυπουργοί, γενικοί και ειδικοί γραμματείς υπουργείων, τα μέλη κοινοβουλίων, τα μέλη ανώτατων δικαστηρίων αρμόδιων για την έκδοση αμετάκλητων αποφάσεων, οι πρεσβευτές, οι ακόλουθοι, οι υψηλόβαθμοι αξιωματικοί των ενόπλων δυνάμεων και τα μέλη διοικητικών, διαχειριστικών ή εποπτικών οργάνων ανεξάρτητων αρχών, ν.π.δ.δ. ή δημόσιων οργανισμών.

β) οι άμεσοι στενοί συγγενείς αυτών, ήτοι ο  σύζυγος, ο σύντροφος που θεωρείται από την εθνική νομοθεσία ως ισοδύναμος με τον σύζυγο, οι γονείς, τα παιδιά και οι σύζυγοι τους, ή συγκατοικούντες σύντροφοί τους,

γ) τα πρόσωπα που είναι γνωστά ως στενοί συνεργάτες των προσώπων αυτών.

(δηλαδή,  τα φυσικά πρόσωπα, για τα οποία είναι γνωστό ότι είναι από κοινού πραγματικοί δικαιούχοι νομικής οντότητας, ή νομικού μορφώματος, ή συνδέονται με οποιαδήποτε άλλη στενή επιχειρηματική σχέση με πολιτικώς εκτεθειμένο πρόσωπο και τα φυσικά πρόσωπα, τα οποία είναι οι μόνοι πραγματικοί δικαιούχοι νομικής οντότητας, ή νομικού μορφώματος, που είναι γνωστό ότι έχει συσταθεί εν τοις πράγμασι προς όφελος πολιτικώς εκτεθειμένου προσώπου).

ΜΕΤΡΑ ΕΠΙΜΕΛΕΙΑΣ ΚΑΤΑ ΤΩΝ ΠΟΛΙΤΙΚΩΣ ΕΚΤΕΘΕΙΜΕΝΩΝ ΠΡΟΣΩΠΩΝ

Τα υπόχρεα πρόσωπα στις συναλλαγές τους με τα πολιτικώς εκτεθειμένα πρόσωπα, τους στενούς συγγενείς και τους στενούς συνεργάτες των, οφείλουν στα πολιτικώς εκτεθειμένα πρόσωπα που είναι εγκατεστημένα στην Ελλάδα, να εφαρμόσουν τα μέτρα συνήθους δέουσας επιμέλειας. Στα πολιτικώς εκτεθέμενα πρόσωπα, που διαμένουν εκτός Ελλάδος, εντός ή εκτός Ευρωπαϊκής Ένωσης, οι υποχρεοι οφείλουν να λάβουν τα εξής μέτρα αυξημένης επιμέλειας, α) να διαθέτουν κατάλληλες διαδικασίες ανάλογα με τον βαθμό κινδύνου για να καθορίζουν εάν ο πελάτης είναι πολιτικώς εκτεθειμένο πρόσωπο, β) να απαιτούν την έγκριση από ανώτερα διοικητικά στελέχη της Εταιρείας για τη σύναψη επιχειρηματικών σχέσεων με τους πελάτες αυτούς, γ) να λαμβάνουν επαρκή μέτρα για να καθορίσουν την προέλευση των κεφαλαίων τα οποία αφορά η επιχειρηματική σχέση ή η συναλλαγή, δ) να διενεργούν αυξημένη και συνεχή παρακολούθηση της επιχειρηματικής σχέσης.

Σύμφωνα με τον ν. 4557/2018, που ενσωματώνει στην ελληνική έννομη τάξη την Οδηγία (ΕΕ) 2015/849 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 20/5/2015, για την καταπολέμηση της νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες (και της χρηματοδότησης της τρομοκρατίας) τα υπόχρεα πρόσωπα οφείλουν να εξετάζουν με ιδιαίτερη προσοχή κάθε προϊόν ή συναλλαγή που ενδέχεται να ευνοήσει την ανωνυμία και η οποία από τη φύση της ή από στοιχεία που αφορούν στο πρόσωπο ή στην ιδιότητα του συναλλασσομένου μπορεί να συνδεθεί με σχέδια διάπραξης των αδικημάτων και λαμβάνουν κατάλληλα μέτρα για την αποτροπή αυτού του κινδύνου.

Ύποπτη συναλλαγή (δραστηριότητα) θεωρείται η συναλλαγή, που εκτιμάται ότι προκύπτουν αποχρώσες ενδείξεις, ή υπόνοιες, για πιθανή απόπειρα, ή διάπραξη των αδικημάτων παράνομης νομιμοποίησης εσόδων, ή εμπλοκή του πελάτη, ή του πραγματικού δικαιούχου, σε εγκληματικές δραστηριότητες.

Ασυνήθης συναλλαγή (δραστηριότητα) θεωρείται η συναλλαγή,  που δεν συνάδει με την συναλλακτική, επιχειρηματική, ή επαγγελματική, συμπεριφορά του πελάτη, ή του πραγματικού δικαιούχου, ή με την οικονομική τους επιφάνεια, ή που δεν έχει προφανή σκοπό ή κίνητρο οικονομικής, επαγγελματικής ή προσωπικής φύσης.

Η αξιολόγηση της ύποπτης ή ασυνήθους, συναλλαγής γίνεται με βάση των στοιχείων της συναλλαγής, όπως, α) η φύση της συναλλαγής, β) η κατηγορία του χρηματοπιστωτικού μέσου, γ) η συχνότητα και η πολυπλοκότητα της συναλλαγής, δ) το ύψος της συναλλαγής, ε) η χρήση ή μη μετρητών, στ) το επάγγελμα, η οικονομική επιφάνεια, η συναλλακτική, ή επιχειρηματική, συμπεριφορά, η φήμη και το παρελθόν του πελάτη, ζ) το επίπεδο διαφάνειας του νομικού προσώπου του πελάτη.

Τα υπόχρεα πρόσωπα οφείλουν

α) Να ζητήσουν πρόσθετα έγγραφα, που να δικαιολογούν και πιστοποιούν την σκοπιμότητα της συναλλαγής και την προέλευση των κεφαλαίων.

β) Όταν μάθουν ότι ο πελάτης κατηγορείται για φοροδιαφυγή,  να εφαρμόσουν τα μέτρα δέουσας επιμέλειας.

γ) Όταν μάθουν ότι ο πελάτης το ομαδικό συνταξιοδοτικό πρόγραμμα των εργαζομένων του μπορεί να το χρησιμοποιήσει για λήψη δανείου, να εφαρμόσουν την διαδικασία της δέουσας επιμέλειας.  

δ) Όταν γίνει διάπραξη ληστείας και ο κατηγορούμενος θέλει να κάνει ασφάλιση ζωής με επενδυτικά χαρακτηριστικά, να λάβουν μέτρα αυξημένης δέουσας επιμέλειας.

ε) Όταν ο πελάτης θέλει να κάνη ασφάλισης ζωής με υψηλό ετήσιο ασφάλιστρο και να το πληρώσει σε μετρητά, να ενεργοποιήσουν την διαδικασία αυξημένης δέουσας επιμέλειας.  

στ) Εάν πληροφορηθούν, ή υποπτεύονται, ότι η συναλλαγή σχετίζεται με παράνομη νομιμοποίηση, να απέχουν από την διενέργεια της συναλλαγής και να ενημερώνουν αμελλητί, με δική τους πρωτοβουλία, την Αρχή, παρέχοντας όλες τις απαιτούμενες πληροφορίες και στοιχεία.

ζ) Σε κάθε περίπτωση πρέπει να εξετάζουν τις επιχειρηματικές σχέσεις και συναλλαγές με πελάτες που προέρχονται από χώρες που χαρακτηρίζονται από τη F.A.T.F. ως μη αξιόπιστες χώρες.

η) Σε κάθε περίπτωση πρέπει να αποφεύγουν την διενέργεια συναλλαγών, την άσκηση δραστηριοτήτων ή την παροχή υπηρεσιών, για τις οποίες γνωρίζουν ή υποπτεύονται ότι συνδέονται με αδικήματα ξεπλύματος χρήματος. Αν όμως η αποφυγή της διενέργειας, της άσκησης ή της παροχής είναι αδύνατη, ή ενδέχεται να εμποδίσει τη δίωξη των πελατών, των πραγματικών δικαιούχων, ή των προσώπων για λογαριασμό των οποίων ενεργούν οι πελάτες, οι Εταιρείες εκτελούν τις συναλλαγές, ασκούν τις δραστηριότητες, ή παρέχουν τις υπηρεσίες, ενημερώνοντας ταυτόχρονα την Εθνική Αρχή.

θ) Μετά την εξέταση των υπόπτων-ασυνήθων συναλλαγών, εάν υφίσταται υπόνοια απόπειρας, ή διάπραξης νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες και χρηματοδότηση της τρομοκρατίας, πρέπει να υποβάλλουν αναφορά ασυνήθους ή ύποπτης συναλλαγής στην Εθνική Αρχή. Στην υποχρέωση αναφοράς εμπίπτουν και ύποπτες ή ασυνήθεις συναλλαγές που έγινε απόπειρα εκτέλεσής τους, αλλά δεν ολοκληρώθηκαν.

ι) Τα αποτελέσματα της εξέτασης των ύποπτων συναλλαγών τηρούνται εγγράφως, ή σε ηλεκτρονική μορφή.

Σύμφωνα με τον ν. 4557/2018, που ενσωματώνει στην ελληνική έννομη τάξη την Οδηγία (ΕΕ) 2015/849 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 20/5/2015, τα μέτρα επιμέλειας για την καταπολέμηση της νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες (και της χρηματοδότησης της τρομοκρατίας) είναι, α) Μέτρα Δέουσας Επιμέλειας, για πελάτες κανονικού κινδύνου, β) Μέτρα Απλουστευμένης Δέουσας Επιμέλειας, για πελάτες χαμηλού κινδύνου, γ) Μέτρα Αυξημένης Δέουσας Επιμέλειας, για πελάτες υψηλού κινδύνου.

Πελάτες κανονικού κινδύνου θεωρούνται οι πελάτες, α) ασφαλιστηρίων  συμβολαίων ζωής, όπου τα ασφάλιστρα είναι χαμηλά, β) στις συμβάσεις συνταξιοδοτικής ασφάλισης, που συνάπτονται βάσει συμβάσεων εργασίας, ή επαγγελματικής δραστηριότητας του ασφαλισμένου (υπό τον όρο ότι οι συμβάσεις αυτές δεν περιλαμβάνουν ρήτρα εξαγοράς, ούτε μπορεί να χρησιμεύσουν σαν εγγύηση δανείου) γ) στις ασφαλίσεις ατυχημάτων / ασθενειών (παροχές κατ αποκοπή, περιοδικές παροχές αποζημιώσεων, συνδυασμού αυτών) ανεξαρτήτως ποσού, δ) στα προϊόντα όπου οι κίνδυνοι νομιμοποίησης εσόδων από παράνομες δραστηριότητες και χρηματοδότησης της τρομοκρατίας περιορίζονται από άλλους παράγοντες, όπως τα όρια χρηματικών ποσών, ή η διαφάνεια της ιδιοκτησίας.

Πελάτες χαμηλού κινδύνου θεωρούνται οι απλοί πελάτες, όπου λαμβάνεται υπ όψιν ο σκοπός της συναλλαγής, το επίπεδο των περιουσιακών στοιχείων του πελάτη, το μέγεθος των συναλλαγών και η κανονικότητα, ή, η διάρκεια της σχέσης. 

Πελάτες υψηλού κινδύνου θεωρούνται οι πελάτες, όπου, α) Η επιχειρηματική σχέση αναπτύσσεται σε ασυνήθιστες περιστάσεις, β) Σε επιχειρήσεις έντασης μετρητών, γ) Η ιδιοκτησιακή δομή της εταιρείας φαίνεται ασυνήθιστη, ή υπερβολικά πολύπλοκη, δεδομένης της φύσης των δραστηριοτήτων της εταιρείας, δ) Σε προϊόντα, ή συναλλαγές, που ενδέχεται να ευνοούν την ανωνυμία, ε) Σε επιχειρηματικές σχέσεις, ή συναλλαγές, εξ αποστάσεως (χωρίς φυσική παρουσία των μερών), στ) Σε πληρωμές που λαμβάνονται από άγνωστους, ή άσχετους, τρίτους, ζ) Σε νέα προϊόντα και νέες επιχειρηματικές πρακτικές, καθώς και σε χρήση νέων, ή αναπτυσσόμενων, τεχνολογιών, τόσο για νέα, όσο και για προϋπάρχοντα προϊόντα, η) Σε συναλλαγές με τα πολιτικώς εκτεθειμένα πρόσωπα, τους στενούς  συγγενείς και συνεργάτες τους.

ΤΑ ΜΕΤΡΑ ΔΕΟΥΣΑΣ ΕΠΙΜΕΛΕΙΑΣ ΕΙΝΑΙ 

α) Η πιστοποίηση και το έλεγχος της ταυτότητας του πελάτη βάσει εγγράφων, δεδομένων ή πληροφοριών από αξιόπιστη και ανεξάρτητη πηγή.

β) Η πιστοποίηση (εφόσον συντρέχει περίπτωση) της ταυτότητας του πραγματικού δικαιούχου και η λήψη ευλόγων μέτρων αναλόγως του βαθμού κινδύνου για τον έλεγχο της ταυτότητάς του, ώστε να διασφαλίζεται ότι οι Εταιρείες γνωρίζουν τον πραγματικό δικαιούχο.

γ) Η συλλογή πληροφοριών για το σκοπό και τη σκοπούμενη φύση της επιχειρηματικής σχέσης, ή σημαντικών συναλλαγών ή δραστηριοτήτων του πελάτη ή του πραγματικού δικαιούχου.

δ) Η άσκηση συνεχούς εποπτείας όσον αφορά στην επιχειρηματική σχέση, με ενδελεχή εξέταση των συναλλαγών που πραγματοποιούνται κατά τη διάρκεια αυτής της σχέσης,

ε) Στην περίπτωση όπου κατά τη διάρκεια της επιχειρηματικής σχέσης δημιουργηθούν αμφιβολίες στο υπόχρεο πρόσωπο για το αν οι συμβαλλόμενοι, ή συναλλασσόμενοι ενεργούν για ίδιο λογαριασμό ή σε περίπτωση βεβαιότητας για το ότι δεν ενεργούν για ίδιο λογαριασμό, τα υπόχρεα πρόσωπα λαμβάνουν τα απαιτούμενα μέτρα, προκειμένου να συλλέξουν πληροφορίες για την πραγματική ταυτότητα των προσώπων για λογαριασμό των οποίων αυτοί ενεργούν.

στ) Η εξέταση με ιδιαίτερη προσοχή κάθε συναλλαγής, ή δραστηριότητας, η οποία από τη φύση της ή από τα στοιχεία που αφορούν το πρόσωπο ή την ιδιότητα του συναλλασσομένου μπορεί να συνδεθεί με νομιμοποίηση εσόδων από εγκληματικές δραστηριότητες ή με χρηματοδότηση της τρομοκρατίας.

ζ) Στις συναλλαγές αυτές περιλαμβάνονται ιδίως οι πολύπλοκες ή ασυνήθιστα μεγάλες συναλλαγές και όλα τα ασυνήθιστα είδη συναλλαγών που πραγματοποιούνται χωρίς προφανή οικονομικό ή σαφή νόμιμο λόγο.

η) Οι Εταιρείες συνεκτιμούν και το συνολικό χαρτοφυλάκιο το οποίο διατηρεί ο συναλλασσόμενος σε αυτές και ενδεχομένως σε άλλες εταιρείες του ομίλου στον οποίο ανήκουν, προκειμένου να εξακριβώσουν τη συνάφεια και συμβατότητα της εξεταζόμενης συναλλαγής με το χαρτοφυλάκιο ή τα χαρτοφυλάκια αυτά.

Τα μέτρα δέουσας επιμέλειας αφορούν όλους τους πελάτες, όταν αυτοί ενεργούν από κοινού την επιχειρηματική σχέση, ή είναι, ή καθίστανται συνδικαιούχοι του ασφαλίσματος. Ενδεικτικά στην περίπτωση της δήλωσης κοινού λογαριασμού, προκειμένου για την πίστωση του ποσού εξαγοράς ή του ασφαλίσματος.

ΠΟΤΕ ΕΦΑΡΜΟΖΟΝΤΑΙ ΤΑ ΜΕΤΡΑ ΔΕΟΥΣΑΣ ΕΠΙΜΕΛΕΙΑΣ

Πριν τα υπόχρεα πρόσωπα συνάψουν ή τροποποιήσουν επιχειρηματικές σχέσεις και πραγματοποιήσουν συναλλαγές, και ιδίως πριν καταρτίσουν ή τροποποιήσουν ασφαλιστική σύμβαση, σύμβαση παροχής επενδυτικών υπηρεσιών, σύμβαση μεταξύ ασφαλιστικού διαμεσολαβητή και πελάτη ή πριν συμπληρώσουν αίτηση συμμετοχής σε επενδυτικό προϊόν.

Η πιστοποίηση της ταυτότητας του πελάτη και του πραγματικού δικαιούχου πραγματοποιείται πριν την σύναψη επιχειρηματικών σχέσεων και σε κάθε περίπτωση πριν από την έναρξη της ασφάλισης, την αλλαγή του δικαιούχου και κάθε εν γένει μεταβολή στα υποκείμενα της ασφαλιστικής σχέσης, η οποία δεν μπορεί να ολοκληρωθεί χωρίς θετική ενέργεια της ασφαλιστικής εταιρείας.

Η πιστοποίηση της ταυτότητας του πελάτη και του πραγματικού δικαιούχου, για το σύνολο των επιχειρηματικών σχέσεων, επιτρέπεται να ολοκληρώνεται αμέσως μετά τη σύναψη της σχέσης, εφ όσον αυτό απαιτείται για να μη διακοπεί η ομαλή παροχή υπηρεσιών, και εφόσον ο κίνδυνος νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες ή χρηματοδότησης της τρομοκρατίας εκτιμάται ότι είναι μικρός. Στις περιπτώσεις αυτές, η πιστοποίηση περατώνεται το συντομότερο δυνατόν και πάντως εντός 30 ημερών το αργότερο.

Για κάθε συναλλαγή αξίας άνω των 15.000 ευρώ (είτε η συναλλαγή αυτή πραγματοποιείται με μία και μόνη πράξη, είτε με περισσότερες που φαίνεται να συνδέονται μεταξύ τους).

Δεν απαιτείται η επαλήθευση της προέλευσης των κεφαλαίων του πελάτη, σε περίπτωση που τα καταβαλλόμενα ασφάλιστρα δεν υπερβαίνουν τα 15.000 ευρώ, λαμβάνοντας υπόψη πάντα το συνολικό χαρτοφυλάκιο του πελάτη.

Σε κάθε περίπτωση που υπάρχει υπόνοια για απόπειρα ή διάπραξη αδικημάτων νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες, ή χρηματοδότησης της τρομοκρατίας, ανεξάρτητα από κάθε παρέκκλιση, εξαίρεση, ή κατώτατο όριο ποσού.

Σε κάθε περίπτωση που υπάρχουν αμφιβολίες για την ακρίβεια ή την καταλληλότητα των δεδομένων που έχουν συγκεντρωθεί στο παρελθόν για την πιστοποίηση της ταυτότητας του πελάτη, άλλου προσώπου για λογαριασμό του οποίου ενεργεί ο πελάτης και του πραγματικού δικαιούχου ή των πραγματικών δικαιούχων του πελάτη.

ΤΑ ΜΕΤΡΑ ΑΠΛΟΥΣΤΕΥΜΕΝΗΣ ΔΕΟΥΣΑΣ ΕΠΙΜΕΛΕΙΑΣ 

Απλουστευμένη δέουσα επιμέλεια υπάρχει, όταν η συναλλαγή (ή δραστηριότητα) παρουσιάζει χαμηλότερο κίνδυνο νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες (ή χρηματοδότησης της τρομοκρατίας). Όταν δεν υφίσταται υποχρέωση πιστοποίησης της ταυτότητας του πελάτη.

Τα μέτρα της απλουστευμένης δέουσας επιμέλειας εφαρμόζονται, αφού προηγουμένως το υπόχρεο πρόσωπο συγκεντρώσει επαρκείς πληροφορίες και βεβαιωθεί ότι η συναλλαγή παρουσιάζει χαμηλότερο κίνδυνο νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες (ή χρηματοδότησης της τρομοκρατίας).

ΤΑ ΜΕΤΡΑ ΑΠΛΟΥΣΤΕΥΜΕΝΗΣ ΔΕΟΥΣΑΣ ΕΠΙΜΕΛΕΙΑΣ ΕΦΑΡΜΟΖΟΝΤΑΙ    

α) Όταν ο πελάτης είναι,  

αα) πιστωτικό ίδρυμα ή χρηματοπιστωτικός οργανισμός κράτους μέλους της Ευρωπαϊκής Ένωσης, ή πιστωτικό ίδρυμα ή χρηματοπιστωτικός οργανισμός που ευρίσκεται σε τρίτη χώρα η οποία επιβάλλει απαιτήσεις ισοδύναμες προς αυτές που προβλέπει η κοινοτική νομοθεσία και υπόκειται σε εποπτεία όσον αφορά στη συμμόρφωσή του προς τις απαιτήσεις αυτές,

αβ) εταιρεία της οποίας οι κινητές αξίες έχουν εισαχθεί προς διαπραγμάτευση σε οργανωμένη αγορά σε κράτος μέλος της Ευρωπαϊκής Ένωσης ή σε τρίτη χώρα που υπόκεινται σε απαιτήσεις διαφάνειας που είναι ισοδύναμες με τις προβλεπόμενες από την κοινοτική νομοθεσία,

αγ) αμοιβαία κεφάλαια ως και εταιρείες διαχείρισής τους, ως και οργανισμοί συλλογικών επενδύσεων και εταιρείες διαχείρισής τους, τα οποία εδρεύουν στην Ευρωπαϊκή Ένωση και διέπονται από διατάξεις της νομοθεσίας του κράτους της έδρας τους που είναι συμβατές με τις διατάξεις της Οδηγίας 85/611/ΕΟΚ,

αδ) Εθνική δημόσια αρχή ή νομικό πρόσωπο δημοσίου δικαίου ή επιχείρηση ή οργανισμός που ανήκει κατά 51% τουλάχιστον στο Δημόσιο,

αε) δημόσιες αρχές ή δημόσιοι οργανισμοί οι οποίοι πληρούν όλα τα ακόλουθα κριτήρια, i) τους έχει ανατεθεί δημόσιο λειτούργημα σύμφωνα με τη Συνθήκη για την Ευρωπαϊκή Ένωση, τις Συνθήκες για τις Κοινότητες ή το παράγωγο κοινοτικό δίκαιο, ii) η ταυτότητά τους είναι δημοσίως γνωστή, διαφανής και καθορισμένη, iii) οι δραστηριότητες και οι λογιστικές τους πρακτικές είναι διαφανείς, iv) είτε είναι υπόλογοι σε κοινοτικό θεσμικό όργανο ή σε αρχές κράτους − μέλους είτε εφαρμόζονται κατάλληλες διαδικασίες που διασφαλίζουν την εποπτεία και τον έλεγχο της δραστηριότητάς τους.

β) Όταν το περιοδικά καταβαλλόμενο ασφάλιστρο υπολείπεται του ποσού των 1.000 Ευρώ ετησίως, ή το εφάπαξ καταβαλλόμενο ασφάλιστρο υπολείπεται του ποσού των 2.500 Ευρώ. Αν το ασφάλιστρο ή τα περιοδικά ασφάλιστρα που πρόκειται να καταβληθούν κατά τη διάρκεια ενός έτους αυξηθούν έτσι ώστε να υπερβούν το όριο των (1.000) ευρώ, απαιτείται η επαλήθευση των στοιχείων της ταυτότητας του ασφαλισμένου.

γ) Στα προγράμματα συνταξιοδοτικής ασφάλισης που προσφέρουν συνταξιοδοτικές παροχές στους εργαζομένους, για τις οποίες οι εισφορές καταβάλλονται μέσω αφαίρεσης από τις αποδοχές και των οποίων οι όροι δεν επιτρέπουν τη μεταφορά των δικαιωμάτων των μελών,

δ) Στις συμβάσεις συνταξιοδοτικής ασφάλισης που συνάπτονται βάσει συμβάσεων εργασίας ή επαγγελματικής δραστηριότητας του ασφαλισμένου, υπό τον όρο ότι οι συμβάσεις αυτές δεν περιλαμβάνουν ρήτρα εξαγοράς ούτε μπορεί να χρησιμεύσουν ως εγγύηση δανείου.

ΔΕΝ ΕΦΑΡΜΟΖΕΤΑΙ Η ΑΠΛΟΥΣΤΕΥΜΕΝΗ ΔΕΟΥΣΑ ΕΠΙΜΕΛΕΙΑ ΓΙΑ ΠΕΛΑΤΕΣ ΠΟΥ ΕΙΝΑΙ

α) πιστωτικό ίδρυμα ή χρηματοπιστωτικός οργανισμός κράτους μέλους της Ευρωπαϊκής Ένωσης, ή πιστωτικό ίδρυμα ή χρηματοπιστωτικός οργανισμός που ευρίσκεται σε τρίτη χώρα η οποία επιβάλλει απαιτήσεις ισοδύναμες προς αυτές που προβλέπει η κοινοτική νομοθεσία και υπόκειται σε εποπτεία όσον αφορά στη συμμόρφωσή του προς τις απαιτήσεις αυτές,

β) εταιρεία της οποίας οι κινητές αξίες έχουν εισαχθεί προς διαπραγμάτευση σε οργανωμένη αγορά σε κράτος μέλος της Ευρωπαϊκής Ένωσης ή σε τρίτη χώρα που υπόκεινται σε απαιτήσεις διαφάνειας που είναι ισοδύναμες με τις προβλεπόμενες από την κοινοτική νομοθεσία, με καταστατική έδρα σε μη κοινοτική χώρα.

Στις περιπτώσεις αυτές οι Εταιρείες συγκεντρώνουν, σε κάθε περίπτωση, επαρκείς πληροφορίες και διαπιστώνουν εγγράφως με αναφορά του αρμόδιου στελέχους ότι ο πελάτης μπορεί να εξαιρεθεί.

ΤΑ ΜΕΤΡΑ ΑΥΞΗΜΕΝΗΣ ΔΕΟΥΣΑΣ ΕΠΙΜΕΛΕΙΑΣ 

Αυξημένη δέουσα επιμέλεια υπάρχει όταν εκτιμάται από τα υπόχρεα πρόσωπα, ότι υπάρχει αυξημένος κίνδυνος νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες, ή χρηματοδότησης της τρομοκρατίας.

Αυξημένος  κίνδυνος υπάρχει

α) Σε ασυνήθιστα είδη συναλλαγών που πραγματοποιούνται χωρίς προφανή οικονομικό λόγο,

β) Στις περιπτώσεις που οι συναλλαγές που καταρτίζονται ενδέχεται να ευνοούν την ανωνυμία και στις ύποπτες συναλλαγές, συνεκτιμώντας και εξετάζοντας το συνολικό χαρτοφυλάκιο του πελάτη, τον πραγματικό δικαιούχο, το πρόσωπο για λογαριασμό του οποίου ενεργεί ο πελάτης, των συγγενών, συζύγων, συντρόφων και στενών συνεργατών των ανωτέρω τουλάχιστον κατά τα τρία τελευταία έτη.

γ) Όταν προβαίνουν σε συναλλαγές, ή συνάπτουν επιχειρηματικές σχέσεις με πολιτικώς εκτεθειμένα πρόσωπα, με τους στενούς συγγενείς των και τους στενούς συνεργάτες των, που διαμένουν εκτός Ελλάδος, εντός ή εκτός Ευρωπαϊκής Ένωσης.

δ) Στις συναλλαγές με πρόσωπα εγκατεστημένα σε τρίτες χώρες, που χαρακτηρίζονται από την Ευρωπαϊκή Επιτροπή ως υψηλού κινδύνου νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες (ή χρηματοδότησης της τρομοκρατίας)

ε) Σε επιχειρήσεις έντασης μετρητών.

στ) Όταν η ιδιοκτησιακή δομή της εταιρείας/πελάτη  φαίνεται ασυνήθιστη, ή υπερβολικά πολύπλοκη, δεδομένης της φύσης των δραστηριοτήτων της εταιρείας.

ζ) Σε επιχειρηματικές σχέσεις, ή συναλλαγές, εξ αποστάσεως, (χωρίς φυσική παρουσία των μερών)

η) Σε πληρωμές που λαμβάνονται από άγνωστους, ή άσχετους, τρίτους.

θ) Σε νέα προϊόντα και νέες επιχειρηματικές πρακτικές, καθώς και σε χρήση νέων, ή αναπτυσσόμενων, τεχνολογιών, τόσο για νέα, όσο και για προϋπάρχοντα προϊόντα.

ΥΠΟΧΡΕΩΣΕΙΣ ΤΩΝ ΥΠΟΧΡΕΩΝ ΠΡΟΣΩΠΩΝ 

Τα υπόχρεα πρόσωπα οφείλουν να εξετάσουν με ιδιαίτερη προσοχή.

α)  το ιστορικό και το σκοπό των πολύπλοκων, ή ασυνήθιστα, μεγάλων συναλλαγών.

β) τα ασυνήθιστα είδη συναλλαγών που πραγματοποιούνται χωρίς προφανή οικονομικό σκοπό, ή νόμιμο σκοπό.

γ) Οφείλουν να διασφαλίσουν, ότι η ταυτότητα του πελάτη επαληθεύεται με πρόσθετα αποδεικτικά έγγραφα, δεδομένα, ή πληροφορίες.

δ) Οφείλουν να λάβουν συμπληρωματικά μέτρα για τον έλεγχο, ή την πιστοποίηση των υποβληθέντων εγγράφων.

ε) Οφείλουν να επιβεβαιώσουν την πιστοποίηση των από άλλο πιστωτικό ίδρυμα, ή χρηματοπιστωτικό οργανισμό εγκατεστημένο στην Ευρωπαϊκή Ένωση.

στ) Οφείλουν να διασφαλίσουν ότι η πρώτη πληρωμή πραγματοποιείται μέσω λογαριασμού, ο οποίος έχει ανοιχθεί επ ονόματι του πελάτη σε πιστωτικό ίδρυμα εγκατεστημένο στην Ευρωπαϊκή Ένωση.

ΥΠΟΠΤΕΣ - ΑΣΥΝΗΘΕΙΣ ΣΥΝΑΛΛΑΓΕΣ 

Τα υπόχρεα πρόσωπα εξετάζουν με ιδιαίτερη προσοχή κάθε προϊόν ή συναλλαγή που ενδέχεται να ευνοήσει την ανωνυμία και η οποία από τη φύση της ή από στοιχεία που αφορούν στο πρόσωπο ή στην ιδιότητα του συναλλασσομένου μπορεί να συνδεθεί με σχέδια διάπραξης των αδικημάτων και λαμβάνουν κατάλληλα μέτρα για την αποτροπή αυτού του κινδύνου.

Ύποπτη συναλλαγή (δραστηριότητα) θεωρείται η συναλλαγή, που εκτιμάται ότι προκύπτουν αποχρώσες ενδείξεις, ή υπόνοιες, για πιθανή απόπειρα, ή διάπραξη των αδικημάτων παράνομης νομιμοποίησης εσόδων, ή εμπλοκή του πελάτη, ή του πραγματικού δικαιούχου, σε εγκληματικές δραστηριότητες.

Ασυνήθης συναλλαγή (δραστηριότητα) θεωρείται η συναλλαγή,  που δεν συνάδει με την συναλλακτική, επιχειρηματική, ή επαγγελματική, συμπεριφορά του πελάτη, ή του πραγματικού δικαιούχου, ή με την οικονομική τους επιφάνεια, ή που δεν έχει προφανή σκοπό ή κίνητρο οικονομικής, επαγγελματικής ή προσωπικής φύσης.

Η αξιολόγηση της ύποπτης ή ασυνήθους, συναλλαγής γίνεται με βάση των στοιχείων της συναλλαγής, όπως, α) η φύση της συναλλαγής, β) η κατηγορία του χρηματοπιστωτικού μέσου, γ) η συχνότητα και η πολυπλοκότητα της συναλλαγής, δ) το ύψος της συναλλαγής, ε) η χρήση ή μη μετρητών, στ) το επάγγελμα, η οικονομική επιφάνεια, η συναλλακτική, ή επιχειρηματική, συμπεριφορά, η φήμη και το παρελθόν του πελάτη, ζ) το επίπεδο διαφάνειας του νομικού προσώπου του πελάτη.

ΤΑ ΥΠΟΧΡΕΑ ΠΡΟΣΩΠΑ ΟΦΕΙΛΟΥΝ 

α) Να ζητήσουν πρόσθετα έγγραφα, που να δικαιολογούν και πιστοποιούν την σκοπιμότητα της συναλλαγής και την προέλευση των κεφαλαίων.

β) Όταν μάθουν ότι ο πελάτης κατηγορείται για φοροδιαφυγή,  να εφαρμόσουν τα μέτρα δέουσας επιμέλειας.

γ) Όταν μάθουν ότι ο πελάτης το ομαδικό συνταξιοδοτικό πρόγραμμα των εργαζομένων του μπορεί να το χρησιμοποιήσει για λήψη δανείου, να εφαρμόσουν την διαδικασία της δέουσας επιμέλειας.  

δ) Όταν γίνει διάπραξη ληστείας και ο κατηγορούμενος θέλει να κάνει ασφάλιση ζωής με επενδυτικά χαρακτηριστικά, να λάβουν μέτρα αυξημένης δέουσας επιμέλειας.

ε) Όταν ο πελάτης θέλει να κάνη ασφάλισης ζωής με υψηλό ετήσιο ασφάλιστρο και να το πληρώσει σε μετρητά, να ενεργοποιήσουν την διαδικασία αυξημένης δέουσας επιμέλειας.  

στ) Εάν πληροφορηθούν, ή υποπτεύονται, ότι η συναλλαγή σχετίζεται με παράνομη νομιμοποίηση, να απέχουν από την διενέργεια της συναλλαγής και να ενημερώνουν αμελλητί, με δική τους πρωτοβουλία, την Αρχή, παρέχοντας όλες τις απαιτούμενες πληροφορίες και στοιχεία.

ζ) Σε κάθε περίπτωση πρέπει να εξετάζουν τις επιχειρηματικές σχέσεις και συναλλαγές με πελάτες που προέρχονται από χώρες που χαρακτηρίζονται από τη F.A.T.F. ως μη αξιόπιστες χώρες.

η) Σε κάθε περίπτωση πρέπει να αποφεύγουν την διενέργεια συναλλαγών, την άσκηση δραστηριοτήτων ή την παροχή υπηρεσιών, για τις οποίες γνωρίζουν ή υποπτεύονται ότι συνδέονται με αδικήματα ξεπλύματος χρήματος. Αν όμως η αποφυγή της διενέργειας, της άσκησης ή της παροχής είναι αδύνατη, ή ενδέχεται να εμποδίσει τη δίωξη των πελατών, των πραγματικών δικαιούχων, ή των προσώπων για λογαριασμό των οποίων ενεργούν οι πελάτες, οι Εταιρείες εκτελούν τις συναλλαγές, ασκούν τις δραστηριότητες, ή παρέχουν τις υπηρεσίες, ενημερώνοντας ταυτόχρονα την Εθνική Αρχή.

θ) Μετά την εξέταση των υπόπτων-ασυνήθων συναλλαγών, εάν υφίσταται υπόνοια απόπειρας, ή διάπραξης νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες και χρηματοδότηση της τρομοκρατίας, πρέπει να υποβάλλουν αναφορά ασυνήθους ή ύποπτης συναλλαγής στην Εθνική Αρχή. Στην υποχρέωση αναφοράς εμπίπτουν και ύποπτες ή ασυνήθεις συναλλαγές που έγινε απόπειρα εκτέλεσής τους, αλλά δεν ολοκληρώθηκαν.

ι) Τα αποτελέσματα της εξέτασης των ύποπτων συναλλαγών τηρούνται εγγράφως, ή σε ηλεκτρονική μορφή.

ΣΥΝΑΛΛΑΓΕΣ ΕΞ ΑΠΟΣΤΑΣΕΩΣ 

Όταν ο πελάτης δεν είναι παρών για να εξακριβωθεί η ταυτότητά του, τα υπόχρεα πρόσωπα  πρέπει

α) Να ζητούν την προσκόμιση πρόσθετων αποδεικτικών στοιχείων,

β) Να λαμβάνουν συμπληρωματικά μέτρα για την εξακρίβωση ή πιστοποίηση των υποβληθέντων στοιχείων,

γ) Να λαμβάνουν επιβεβαιωτική πιστοποίηση από δημόσια αρχή, πιστωτικό ίδρυμα ή χρηματοπιστωτικό οργανισμό που λειτουργεί σε κράτος μέλος της Ευρωπαϊκής Ένωσης,

δ) Να διασφαλίζουν ότι η πρώτη πληρωμή, στο πλαίσιο της επιχειρηματικής σχέσης, πραγματοποιείται μέσω λογαριασμού ο οποίος έχει ανοιχθεί στο όνομα του πελάτη και τηρείται σε πιστωτικό ίδρυμα που λειτουργεί σε χώρα−μέλος της Ευρωπαϊκής Ένωσης,

ε) Να επαληθεύουν ότι η εταιρεία ή ο οργανισμός κατ’ αρχήν λειτουργεί στη διεύθυνση των γραφείων διαχείρισης που έχει δηλωθεί.

Σύμφωνα με τον ν. 4557/2018, που ενσωματώνει στην ελληνική έννομη τάξη την Οδηγία (ΕΕ) 2015/849 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 20/5/2015, υπόχρεα πρόσωπα (φυσικά ή νομικά) για να λάβουν και τηρήσουν τα μέτρα κατά της νομιμοποίησης των εσόδων από εγκληματικές δραστηριότητες (και της χρηματοδότησης της τρομοκρατίας) είναι.

α) Τα πιστωτικά ιδρύματα, που εδρεύουν στην Ελλάδα ως και τα υποκαταστήματα πιστωτικών ιδρυμάτων, η έδρα των οποίων βρίσκεται στην Ευρωπαϊκή Ένωση, ή σε τρίτη χώρα. Συμπεριλαμβάνεται το Ταμείο Παρακαταθηκών και Δανείων.

β) Οι χρηματοπιστωτικοί οργανισμοί.

Δηλαδή, α) Οι ασφαλιστικές επιχειρήσεις του κλάδου ασφαλίσεων ζωής και παροχής υπηρεσιών σχετιζομένων με τις επενδύσεις, β) Οι ασφαλιστικοί διαμεσολαβητές του κλάδου ασφαλίσεων ζωής, ή επενδύσεων, γ) Οι εταιρείες χρηματοδοτικής μίσθωσης. H χρηματοδοτική μίσθωση (leasing) είναι η μέθοδος μεσομακροπρόθεσμης χρηματοδότησης επιχειρήσεων και επαγγελματιών για την απόκτηση παγίων στοιχείων, δηλαδή εξοπλισμού και ακινήτων για επαγγελματική χρήση. Με αυτήν ο μισθωτής μισθώνει από μια εταιρεία χρηματοδοτικής μίσθωσης πράγμα κινητό ή ακίνητο για συγκεκριμένη χρονική περίοδο και στο τέλος της περιόδου αυτής μπορεί με μονομερή του δήλωση να το αγοράσει με προσυμφωνημένο τίμημα (δικαίωμα προαίρεσης, ή option), δ) Οι εταιρείες πρακτορείας επιχειρηματικών απαιτήσεων τρίτων. Πρακτορεία επιχειρηματικών απαιτήσεων (factoring) είναι η σύμβαση που καταρτίζεται μεταξύ ενός προμηθευτή αγαθών,  ή υπηρεσιών (πωλητή) και ενός πράκτορα επιχειρηματικών απαιτήσεων (factor), ο οποίος αναλαμβάνει να παρέχει στον προμηθευτή, για το διάστημα που συμφωνείται, έναντι αμοιβής, υπηρεσίες σχετικές με την παρακολούθηση και είσπραξη μέρους, ή του συνόλου, των απαιτήσεων του προμηθευτή από συμβάσεις πώλησης αγαθών, ή παροχής υπηρεσιών σε τρίτους, ή εκτέλεσης έργων, ε) Οι εταιρείες διαχείρισης απαιτήσεων πιστωτικών ιδρυμάτων από δάνεια και πιστώσεις, στ) Οι εταιρείες παροχής πιστώσεων. Οι εταιρείες που παρέχουν πίστωση σε φυσικά πρόσωπα για την κάλυψη καταναλωτικών και προσωπικών αναγκών, ή σε επιχειρήσεις από τις απώλειες που μπορεί να προκληθούν λόγω αδυναμίας πληρωμής των πελατών τους, ζ) Τα ιδρύματα ηλεκτρονικού χρήματος. Οι τεχνολογικές καινοτομίες στον κλάδο των ψηφιακών πληρωμών, όπως η τεχνολογία cloud, τα ψηφιακά νομίσματα (cryptocurrencies όπως Bitcoin) και το mobile banking, η) Τα ιδρύματα πληρωμών. Παρέχουν υπηρεσίες χρηματικών πληρωμών, χωρίς να απαιτείται άνοιγμα λογαριασμού πληρωμών στο όνομα του πληρωτή, ή του δικαιούχου, με σκοπό την μεταφορά του ισοδυνάμου ποσού σε δικαιούχο, ή σε άλλο φορέα παροχής υπηρεσιών πληρωμών, που ενεργεί για λογαριασμό του δικαιούχου, θ) Οι ταχυδρομικές εταιρείες, στο μέτρο που παρέχουν υπηρεσίες πληρωμών, ι) Τα ανταλλακτήρια συναλλάγματος, ια) Οι εταιρείες επενδύσεων χαρτοφυλακίου, ιβ) Οι εταιρείες διαχείρισης αμοιβαίων κεφαλαίων, ιγ) Οι εταιρείες παροχής επενδυτικών υπηρεσιών και οι συνδεδεμένοι αντιπρόσωποί τους, ιδ) Οι εταιρείες επενδυτικής διαμεσολάβησης, ιε) Οι εταιρείες κεφαλαίου επιχειρηματικών συμμετοχών, ιστ) Οι εταιρείες επενδύσεων σε ακίνητη περιουσία, ιζ) Οι διαχειριστές οργανισμών εναλλακτικών επενδύσεων.

γ) Οι ορκωτοί ελεγκτές-λογιστές και οι εταιρείες ορκωτών ελεγκτών-λογιστών.

δ) Οι εξωτερικοί λογιστές-φοροτεχνικοί και τα νομικά πρόσωπα παροχής λογιστικών-φοροτεχνικών υπηρεσιών.

ε) Οι συμβολαιογράφοι και οι δικηγόροι όταν συμμετέχουν, ενεργώντας εξ ονόματος και για λογαριασμό των πελατών τους, σε χρηματοπιστωτικές συναλλαγές, σε συναλλαγές επί ακινήτων, σε διαχείριση χρημάτων, τίτλων ή άλλων περιουσιακών στοιχείων, σε άνοιγμα, ή διαχείριση τραπεζικών λογαριασμών, λογαριασμών ταμιευτηρίου, ή λογαριασμών τίτλων, στη σύσταση, λειτουργία, ή διοίκηση εταιρειών, καταπιστευμάτων (trusts), εταιρειών καταπιστευματικής διαχείρισης, επιχειρήσεων, ιδρυμάτων, ή ανάλογων σχημάτων, ή αντίστοιχων νομικών μορφωμάτων.

στ) Οι φορείς παροχής υπηρεσιών, και τα πρόσωπα που παρέχουν υπηρεσίες, σε εταιρείες καταπιστευματικής διαχείρισης, ή σε καταπιστεύματα (trusts).

Καταπίστευμα είναι η εγκατάσταση προσώπου ως κληρονόμου σε ολόκληρη την κληρονομία, ή σε ποσοστό, σε κάποιο χρονικό σημείο, μετά το οποίο αυτός που αποδέχθηκε την κληρονομία παύει να είναι κληρονόμος. Π.χ ένα πρόσωπο (ο ιδρυτής) διαθέτει περιουσιακά στοιχεία υπό τον έλεγχο άλλου προσώπου (ο διαχειριστής) προς όφελος τρίτου (ο δικαιούχος).

ζ) Οι μεσίτες ακινήτων για συναλλαγές των οποίων η αξία ανέρχεται σε τουλάχιστον 10.000 ευρώ, ανεξαρτήτως αν το ποσό αυτό αφορά αγορά, πώληση, ή μηνιαίο μίσθωμα.

η) Οι μεσίτες πιστώσεων, για σύμβαση πίστωσης που ανέρχεται σε τουλάχιστον 10.000 ευρώ. Μεσίτης πιστώσεων είναι το πρόσωπο (φυσικό ή νομικό) το οποίο διαμεσολαβεί μεταξύ καταναλωτή και πιστωτικού φορέα και α) προτείνει, ή προσφέρει, συμβάσεις πίστωσης στους καταναλωτές, β) βοηθά τους καταναλωτές, αναλαμβάνοντας προπαρασκευαστικές εργασίες, ή άλλες προσυμβατικές διοικητικές διαδικασίες για τη σύναψη συμβάσεων πίστωσης, γ) συνάπτει συμβάσεις πίστωσης με τους καταναλωτές εξ ονόματος του πιστωτικού φορέα.

θ) Τα καζίνο (συμπεριλαμβάνονται τα καζίνο που λειτουργούν επί πλοίων στην Ελλάδα, ή υπό ελληνική σημαία).

ι) Οι έμποροι και οι εκπλειστηριαστές αγαθών μεγάλης αξίας, όταν η αξία της συναλλαγής ανέρχεται σε τουλάχιστον 10.000 ευρώ (όπως πολύτιμοι και ημιπολύτιμοι λίθοι, πολύτιμα μέταλλα, μαργαριτάρια, κοράλλια, κοσμήματα, ρολόγια, αντίκες, αρχαιότητες, γραμματόσημα, νομίσματα, άλλα συλλεκτικά είδη, έργα τέχνης, εμπορίας ταπήτων, χαλιών, ειδών γουνοποιίας, δερμάτινων ειδών, εμπορίας επιβατικών αυτοκινήτων ελικοπτέρων, αεροσκαφών και σκαφών αναψυχής, ενεχυροδανειστές και αργυραμοιβοί).

ΟΙ ΥΠΟΧΡΕΩΣΕΙΣ ΤΩΝ ΥΠΟΧΡΕΩΝ ΠΡΟΣΩΠΩΝ 

Τα υπόχρεα πρόσωπα έχουν τις εξής υποχρεώσεις

- Να προβούν σε κατηγοριοποίηση των συναλλασσομένων (πελατών). 

- Να λάβουν μέτρα κατά του κινδύνου νομιμοποίησης παράνομων εσόδων.

- Να είναι σε θέση να αποδείξουν στις αρμόδιες αρχές ότι έλαβαν μέτρα κατά της νομιμοποίησης παράνομων εσόδων

- Να τηρούν Ειδικό Μητρώο επαρκώς τεκμηριωμένο και επικαιροποιημένο.

- Να λαμβάνουν ειδικά μέτρα για τα πολιτικώς εκτεθειμένα πρόσωπα, τους στενούς  συγγενείς και συνεργάτες τους.

- Να λαμβάνουν ειδικά μέτρα σε ύποπτες ή ασυνήθεις συναλλαγές.

- Να λαμβάνουν ειδικά μέτρα, όταν για την λήψη των μέτρων κατά της νομιμοποίησης παράνομων εσόδων βασίζονται σε τρίτα μέρη.

- Όταν πληροφορηθούν,  ή υποπτεύονται, ότι η συναλλαγή σχετίζεται με νομιμοποίηση παράνομων εσόδων, να απέχουν από την διενέργεια της συναλλαγής και να ενημερώσουν άμεσα την Αρχή.

- Να μη γνωστοποιήσουν στον εμπλεκόμενο πελάτη, ή σε τρίτο, ότι διεξάγεται, ή ενδέχεται, να διεξαχθεί έρευνα σε βάρος τους από τις αρμόδιες αρχές. 

- Να παρέχουν πλήρη πρόσβαση σε αρχεία και στοιχεία στις αρμόδιες διωκτικές αρχές, όταν ζητηθούν.

- Να φυλάτουν τα αρχεία που τηρούν

- Να μην προβαίνουν σε επεξεργασία των δεδομένων προσωπικού χαρακτήρα του πελάτη, πέραν του σκοπού της πρόληψης και καταστολής της νομιμοποίησης των παράνομων εσόδων.

Το ζήτημα των τηλεφωνικών κλήσεων για σκοπούς απευθείας προώθησης προϊόντων, ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, ρυθμίζεται στο άρθρο 11 του ν. 3741/2006, όπως τροποποιήθηκε με τις διατάξεις του άρθρου 16 παρ. 1 του ν. 3917/2011. Ειδικότερα ορίζεται ότι η χρησιμοποίηση αυτομάτων συστημάτων κλήσης, ιδίως με χρήση συσκευών τηλεμυοτυπίας ( φαξ), ή ηλεκτρονικού ταχυδρομείου και γενικότερα η πραγματοποίηση μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, χωρίς ανθρώπινη παρέμβαση, για σκοπούς απ ευθείας εμπορικής προώθησης προϊόντων, ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς επιτρέπεται, εκτός αν ο καλούμενος έχει δηλώσει ότι δεν τις επιθυμεί (σύστημα opt-out).

Αυτό έχει ως συνέπεια ότι τα φυσικά, ή νομικά, πρόσωπα μπορούν να απευθύνουν τις αντιρρήσεις τους, όσον αφορά την επεξεργασία των δεδομένων τους, είτε ειδικά απ ευθείας στον υπεύθυνο επεξεργασίας, (δηλαδή στον διαφημιζόμενο), ασκώντας το δικαίωμα αντίρρησης ως προς την επεξεργασία των δεδομένων, είτε γενικά μέσω της εγγραφής τους στον ειδικό κατάλογο συνδρομητών του παρόχου που προβλέπει το άρθρο 11 παρ. 2 του ν. 3741/2006. Ο υπεύθυνος επεξεργασίας οφείλει να ικανοποιήσει και τα λοιπά δικαιώματα των υποκειμένων, όπως το δικαίωμα ενημέρωσης και πρόσβασης. Η ικανοποίηση τους δεν πρέπει να υπερβαίνει τις 15 ημέρες.

Ο νόμος προβλέπει την δημιουργία μητρώου opt-out σε κάθε πάροχο υπηρεσιών ηλεκτρονικών επικοινωνιών, ότι δεν επιθυμεί να λαμβάνει τηλεφωνικές κλήσεις, για απ ευθείας εμπορική προώθηση. Ο κάθε πάροχος φέρει με την προαναφερόμενη διάταξη την υποχρέωση να τηρεί με αυτές τις δηλώσεις Δημόσιο Μητρώο, που επιτελεί έναν δημόσιο σκοπό και στο οποίο έχει πρόσβαση όποιος ενδιαφέρεται να το χρησιμοποιήσει για απευθείας εμπορική προώθηση. 

Οι διαφημιζόμενοι οφείλουν να λαμβάνουν από όλους τους παρόχους επικαιροποιημένα αντίγραφα των Μητρώων του άρθρου 11 του ν.3741/2006 και να εξασφαλίζουν ότι, έχουν διαθέσιμες τις δηλώσεις των συνδρομητών, που έχουν πραγματοποιηθεί έως 30 ημέρες πριν από την πραγματοποίηση της τηλεφωνικής κλήσης. Συνεπώς, οι υπεύθυνοι επεξεργασίας πρέπει, να εφαρμόζουν κατάλληλες διαδικασίες για να εξασφαλίζεται το ανώτερο τριακονθήμερο, συνυπολογίζοντας κάθε καθυστέρηση.

Ο διαφημιζόμενος κατά την διενέργεια της τηλεφωνικής κλήσης πρέπει να ενημερώνει για την ταυτότητα του, την ταυτότητα του εκπροσώπου του, να μην αποκρύπτει, ή να παραποιεί τον αριθμό του καλούντος και να ενημερώνει τουλάχιστον για την δυνατότητα άσκησης του δικαιώματος πρόσβασης.

Σύμφωνα με την διάταξη του άρθρου 14 ν. 3741/2006  κάθε φυσικό, ή νομικό, πρόσωπο, που κατά παράβαση του νόμου αυτού προκαλεί περιουσιακή βλάβη υποχρεούται σε πλήρη αποζημίωση, ενώ αν προκάλεσε και ηθική βλάβη υποχρεούται και σε χρηματική ικανοποίηση αυτής. Η κατά το άρθρο 932ΑΚ χρηματική ικανοποίηση λόγω ηθικής βλάβης για παράβαση του παρόντος νόμου ορίζεται κατ’ ελάχιστον στο ποσό των 10.000 ευρώ, εκτός αν ζητηθεί από τον ενάγοντα μικρότερο ποσό.

Στις ηλεκτρονικές επικοινωνίες απόρρητα θεωρούνται

α) Το περιεχόμενο της επικοινωνίας (περιεχόμενο τηλεφωνικών κλήσεων, ηλεκτρονικού ταχυδρομείου και γενικά οποιασδήποτε επικοινωνίας φωνής, εικόνας, δεδομένων).

β) Η ταυτότητα του καλούντος και του καλουμένου.

γ) Η ταυτότητα του αποστολέα και του παραλήπτη ηλεκτρονικού ταχυδρομείου.

δ) Τα δεδομένα θέσης της τερματικής συσκευής (γεωγραφικός εντοπισμός).

Οι πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών είναι υπεύθυνοι για τη διασφάλιση του απορρήτου των επικοινωνιών στο δημόσιο τηλεπικοινωνιακό δίκτυο (δίκτυο κορμού και πρόσβασης), καθώς και στους δρομολογητές (routers) και εξυπηρετητές (servers) μέσω των οποίων παρέχεται πρόσβαση στο Διαδίκτυο και στις διάφορες υπηρεσίες.

Η ΑΔΑΕ είναι αρμόδια για την τήρηση της νομοθεσίας για τη διασφάλιση του απορρήτου των επικοινωνιών και για τον σκοπό αυτό έχει εκδώσει κανονισμούς και παρακολουθεί την εφαρμογή τους ελέγχοντας τακτικά και έκτακτα τους παρόχους.

Οι συνδρομητές-χρήστες οφείλουν να μεριμνούν για την διασφάλιση του απορρήτου της επικοινωνίας στα ιδιωτικά τους δίκτυα, τα οποία περιλαμβάνουν τις καλωδιώσεις στα κτήρια, τα τοπικά δίκτυα (LANs), τα ασύρματα τοπικά δίκτυα (Wireless LANs – WLANS), τα ιδιωτικά τηλεφωνικά κέντρα και τις τερματικές συσκευές.

Η προστασία του απορρήτου σε κάθε μορφής επικοινωνία αποτελεί συνταγματικά κατοχυρωμένο δικαίωμα και νόμος ορίζει τις εγγυήσεις υπό τις οποίες η δικαστική αρχή δεν δεσμεύεται από το απόρρητο για λόγους εθνικής ασφάλειας, ή για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων (άρθρο 19 του Συντάγματος).

Η παραβίαση του απορρήτου των επικοινωνιών είναι ποινικό αδίκημα και επισύρει την επιβολή διοικητικών κυρώσεων έναντι παρόχων ηλεκτρονικών επικοινωνιών (σύσταση, χρηματικό πρόστιμο, ανάκληση του δικαιώματος παροχής υπηρεσιών), από την ΑΔΑΕ.

Καταγγελίες που αφορούν προσωπικά δεδομένα υποβάλλονται στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. 

Καταγγελίες που αφορούν χρεώσεις λογαριασμού υποβάλλονται στην Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων.

Η επίλυση οικονομικών διαφορών γίνεται από τα πολιτικά δικαστήρια, ενώ για εξώδικη επίλυση, αρμόδιος είναι ο Συνήγορος του Καταναλωτή.

Κατά το άρθρο 5 του ν. 2690/1999 δημόσια έγγραφα είναι α) τα διοικητικά, αυτά δηλαδή που συντάσσονται από τις δημόσιες υπηρεσίες και β) τα ιδιωτικά έγγραφα που φυλάσσονται στις δημόσιες υπηρεσίες. Επιπλέον ως διοικητικά έγγραφα γίνεται δεκτό ότι νοούνται και όσα δεν προέρχονται μεν από δημόσιες υπηρεσίες, αλλά χρησιμοποιήθηκαν ή ελήφθησαν υπόψη για τον καθορισμό της διοικητικής δράσης, ή τη διαμόρφωση γνώμης, ή κρίσης διοικητικού οργάνου.

Προϋποθέσεις για την γνώση, ή λήψη αντιγράφου των δημοσίων εγγράφων (διοικητικών και ιδιωτικών) είναι, η υποβολή αίτησης, η καταβολή της απαιτουμένης δαπάνης αναπαραγωγής τους και η ύπαρξη εννόμου συμφέροντος στο πρόσωπο του αιτούντος

Η χορήγηση διοικητικών εγγράφων που περιέχουν προσωπικά δεδομένα τρίτων προσώπων δεν επιτρέπεται, εάν τα δεδομένα αυτά αναφέρονται στην ιδιωτική ή οικογενειακή ζωή του τρίτου (ευαίσθητα προσωπικά δεδομένα)

Η Αρχή προστασίας προσωπικών δεδομένων δεν έχει εκ του νόμου την αρμοδιότητα να ελέγχει την τήρηση της νομοθεσίας για την πρόσβαση στα δημόσια έγγραφα, παρά μόνο παρεμπιπτόντως.

ΜΕ ΕΙΣΑΓΓΕΛΙΚΗ ΠΑΡΑΓΓΕΛΙΑ

Η εισαγγελική παραγγελία είναι δεσμευτική για τη Διοίκηση μόνο στο πλαίσιο ποινικής δίωξης (προκαταρκτική εξέταση, προανάκριση, κύρια ανάκριση)

Κατά τα λοιπά, δεσμεύει τη Διοίκηση ως επιτακτική εντολή προς διερεύνηση του αιτήματος  και υποχρέωση της Διοίκησης να δώσει σαφή και αιτιολογημένη απάντηση (θετική ή αρνητική). Αν προκύψουν εύλογες αμφιβολίες, πρέπει να υποβληθεί από την Διοίκηση ερώτημα στην Αρχή προστασίας προσωπικών δεδομένων. Αν η Αρχή εκφέρει αρνητική γνώμη, η Διοίκηση απαγορεύεται να χορηγήσει απάντηση. Αν η Αρχή εκφέρει θετική γνώμη, η Διοίκηση επιτρέπεται να χορηγήσει απάντηση. Πότε όμως η Διοίκηση δεν υποχρεούται να χορηγήσει απάντηση. Μόνο τα δικαστήρια μπορούν να διατάξουν την χορήγηση.

Για τα ευαίσθητα προσωπικά δεδομένα ο εισαγγελέας πρέπει να διαβιβάσει το αίτημα στην Διοίκηση με την σημείωση ότι η τελευταία οφείλει να ζητήσει την άδεια της Αρχής. Η Διοίκηση οφείλει να υποβάλει στην Αρχή αίτημα για άδεια χορήγησης ευαίσθητων δεδομένων, επισυνάπτοντας το αίτημα του προσώπου που ζητά τη χορήγηση.

Για τα δεδομένα του ίδιου του αιτούντος (απλά ή ευαίσθητα) ισχύει το δικαίωμα πρόσβασης. Η Διοίκηση έχει την υποχρέωση να χορηγήσει απάντηση. Αν η Διοίκηση αρνείται να ικανοποιήσει το δικαίωμα του αιτούντος, αυτός έχει δικαίωμα να απευθυνθεί στην Αρχή.

ΠΡΟΣΒΑΣΗ ΤΟΥ ΚΑΤΑΓΓΕΛΟΜΕΝΟΥ ΣΤΑ ΣΤΟΙΧΕΙΑ ΤΟΥ ΚΑΤΑΓΓΕΛΟΝΤΟΣ 

Η πρόσβαση γενικά επιτρέπεται . Απαγορεύεται στις ακόλουθες περιπτώσεις

α. όταν υπάρχουν λόγοι εθνικής ασφάλειας, ή εξακρίβωσης ιδιαίτερα σοβαρών εγκλημάτων.

β. όταν το έγγραφο αφορά την ιδιωτική ή οικογενειακή ζωή τρίτου.

γ. όταν παραβλάπτεται απόρρητο, προβλεπόμενο από ειδικές διατάξεις.

δ. όταν η πρόσβαση είναι δυνατόν να δυσχεράνει ουσιωδώς την έρευνα της υπόθεσης σχετικά με την τέλεση εγκλήματος ή διοικητικής παράβασης.

ε. όταν υπάρχουν ειδικές διατάξεις που επιβάλλουν απόλυτη ή μερική τήρηση μυστικότητας

στ. όταν η γνωστοποίηση των στοιχείων του καταγγέλλοντος δύναται να απειλήσει το υπέρτατο έννομο αγαθό της ζωής του.

Δεν επιτρέπεται η μυστική παρακολούθηση ηλεκτρονικού υπολογιστή και ηλεκτρονικού ταχυδρομείου εργαζομένου στον χώρο εργασίας, εκτός αν αυτό επιτρέπεται βάσει του άρθρου 13 της Οδηγίας 95/46/ΕΚ. Δηλαδή της ασφάλειας του κράτους, της εθνικής άμυνας, της δημόσιας ασφάλειας, της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού νόμου, ή της προστασίας του προσώπου που παρακολουθείται, ή σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος κράτους μέλους ή της Ε.Ε.

Στην μυστική παρακολούθηση, όταν επιτρέπεται, ο εργοδότης οφείλει να πληροφορεί τον εργαζόμενο για την παρουσία, την χρήση και τον σκοπό οποιουδήποτε εξοπλισμού ανίχνευσης ή συσκευής, που ενεργοποιείται όσον αφορά το σταθμό εργασίας του και για οποιαδήποτε κακή χρήση ηλεκτρονικών επικοινωνιών που ανιχνεύεται, εκτός αν υπάρχουν σημαντικοί λόγοι που αιτιολογούν τη συνέχιση της μυστικής επιτήρησης, πράγμα που δεν συμβαίνει συνήθως. Η άμεση πληροφόρηση μπορεί να επιτευχθεί εύκολα με λογισμικό, όπως τα προειδοποιητικά παράθυρα, που ανοίγουν και προειδοποιούν τον εργαζόμενο ότι το σύστημα ανίχνευσε μια μη επιτρεπόμενη χρήση του δικτύου ή/και έλαβε μέτρα για την πρόληψή της.

Η μυστική παρακολούθηση, όταν επιτρέπεται, τα δεδομένα πρέπει να συλλέγονται για ένα συγκεκριμένο, ρητώς καθορισμένο και νόμιμο σκοπό και να μην υφίστανται περαιτέρω επεξεργασία με τρόπο ασύμβατο με τους σκοπούς αυτούς. Αν η επεξεργασία των δεδομένων δικαιολογείται για την ασφάλεια του συστήματος, δεν μπορεί στη συνέχεια να γίνει άλλη επεξεργασία των δεδομένων αυτών για άλλο σκοπό, όπως η παρακολούθηση της συμπεριφοράς του εργαζομένου.

Τα δεδομένα πρέπει να τηρούνται για το μικρότερο δυνατό χρόνο. Σε κάθε περίπτωση δεν επιτρέπεται να τηρούνται για διάστημα μεγαλύτερο των 15 ημερών, εκτός από εξαιρέσεις. Ο χρόνος τήρησης μπορεί να παραταθεί, εφ όσον υπάρξει κάποιο συμβάν και το υλικό μπορεί να χρησιμοποιηθεί ως αποδεικτικό στοιχείο (άρθρο 8 της οδηγίας 1/2011).

Δεν επιτρέπεται να τοποθέτηση καμερών σε χώρους εργασίας του προσωπικό, όπου δεν έχουν πρόσβαση οι πελάτες, ή σε γραφεία εργαζομένων (άρθρο 7 της οδηγίας 1/2011). Οποιοδήποτε σύστημα παρακολούθησης εργαζομένων στον χώρο εργασίας δεν πρέπει να χρησιμοποιείται για την επιτήρηση των εργαζομένων, εκτός ειδικών περιπτώσεων που δικαιολογούνται από τη φύση και τις συνθήκες εργασίας και είναι απαραίτητο για την προστασία της υγείας και της ασφάλειας των εργαζομένων ή την προστασία χώρων κρίσιμων υποδομών (εγκαταστάσεις υψηλού κινδύνου).

Η βιντεοεπιτήρηση πρέπει να περιορίζεται στους χώρους εισόδου και εξόδου, χωρίς να επιτηρούνται συγκεκριμένες αίθουσες γραφείων, ή διάδρομοι. Η βιντεοεπιτήρηση πρέπει να περιορίζεται σε ειδικούς χώρους, όπως ταμεία, αποθήκες με ηλεκτρομηχανολογικό εξοπλισμό κλπ και οι κάμερες να εστιάζουν στο αγαθό που προστατεύουν κι όχι στους εργαζόμενους.

Σε κάθε περίπτωση ο εργαζόμενος μπορεί να ασκήσει τα δικαιώματα της πρόσβασης και της εναντίωσης. Ο εργοδότης είναι υποχρεωμένος βάσει του ΓΚΠΔ να απαντήσει εγγράφως. Εάν δεν απαντήσει, ή αν η απάντηση δεν είναι ικανοποιητική, μπορεί να υποβληθεί καταγγελία στην Αρχή.

Εφ όσον οι κάμερες λειτουργούν για τον έλεγχο και την παρακολούθηση του προσωπικού, η επεξεργασία είναι παράνομη (άρθρο 7 της οδηγίας 1/2011) και πρέπει να υποβληθεί  καταγγελία στην Αρχή, είτε μέσω συλλογικού οργάνου, είτε ατομικά.

Σημειώνεται ότι, λόγω της σχέσης εξάρτησης εργαζόμενου με εργοδότη, αποδυναμώνεται η βαρύτητα της συγκατάθεσης των εργαζομένων για μια τέτοια επεξεργασία. Σύμφωνα με την Γνώμη 8/2001 της Ομάδας εργασίας του άρθρου 29 της Επιτροπής των Ευρωπαϊκών Κοινοτήτων είναι πολύ δύσκολο να διασφαλιστεί ότι μια τέτοια συγκατάθεση είναι ελεύθερη.

Η εγκατάσταση συστήματος βιντεοεπιτήρησης σε σχολεία πρέπει να γίνεται με ιδιαίτερη προσοχή και υπό πολύ αυστηρές προϋποθέσεις. Η απόφαση λαμβάνεται από το αρμόδιο όργανο για την διοίκηση του σχολείου, αφού ληφθεί υπ όψιν η γνώμη των εκπροσώπων του διδακτικού προσωπικού και των συλλόγων γονέων και μαθητών.

Το σύστημα δεν επιτρέπεται να λειτουργεί σε ώρες που το σχολείο είναι σε λειτουργία, και όλοι (μαθητές και φορείς της εκπαιδευτικής κοινότητας) πρέπει να είναι πλήρως ενήμεροι για αυτό, έτσι ώστε να γνωρίζουν ότι δεν παρακολουθούνται. Τα δεδομένα πρέπει να διαγράφονται την επόμενη εργάσιμη ημέρα (εφ όσον δεν υπήρξε κάποιο συμβάν) ενώ σε κάθε περίπτωση η λειτουργία του πρέπει να αξιολογείται ανά τακτά διαστήματα (όχι μεγαλύτερα του ενός έτους).

Οι μαθητές, γονείς, εκπαιδευτικοί και λοιποί εργαζόμενοι μπορούν να έχουν πρόσβαση στα στοιχεία σχετικά (άρθρο 18 της οδηγίας 1/2011).

Τα δεδομένα πρέπει να τηρούνται για το μικρότερο δυνατό χρόνο. Μέχρι την επόμενη εργάσιμη ημέρα.

Επιτρέπεται η τοποθέτηση καμερών, που λαμβάνουν εικόνα μόνο εντός του διαμερίσματος. Επιτρέπεται η τοποθέτηση κάμερας που να επιβλέπει τον απολύτως απαραίτητο χώρο της εισόδου του διαμερίσματος, χωρίς να καταγραφή εικόνας ή ήχου. Η καταγραφή εικόνας (σε καμία περίπτωση ήχου) επιτρέπεται, όταν είναι τεχνικά εφικτός ο περιορισμός του πεδίου εμβέλειας της κάμερας στον απολύτως απαραίτητο χώρο μπροστά από την είσοδο.

Σύμφωνα με την Oδηγία 1/2011 για την εγκατάσταση συστήματος βιντεοεπιτήρησης σε κοινόχρηστους χώρους πολυκατοικίας απαιτείται απόφαση της γενικής συνέλευσης των συνιδιοκτητών με ποσοστά πλειοψηφίας, όπως αυτή ορίζεται στον κανονισμό της πολυκατοικίας. Αν ο κανονισμός της πολυκατοικίας προβλέπει ήδη την εγκατάσταση του συστήματος βιντεοεπιτήρησης, τότε απλά ακολουθείται ότι ορίζεται στον κανονισμό.

Τα δεδομένα πρέπει να τηρούνται για το μικρότερο δυνατό χρόνο. Το πολύ μέχρι 48 ώρες.

Η τοποθέτηση καμερών σε σημεία εισόδου και εξόδου καταστήματος επιτρέπεται. Δεν πρέπει να λαμβάνει εικόνα από δημόσιο χώρο. Επιτρέπεται στα ταμεία και στους χώρους φύλαξης χρημάτων, σε αποθήκες εμπορευμάτων, καθώς και σε χώρους στάθμευσης και ηλεκτρολογικών εγκαταστάσεων. Για καταστήματα πολύ μεγάλης έκτασης, ή όπου διακινούνται εμπορεύματα μεγάλης αξίας, μπορούν να τοποθετηθούν κάμερες και σε χώρους όπου κινούνται πελάτες, εφ όσον αυτό κρίνεται απολύτως απαραίτητο. Σε αυτή την περίπτωση, η γωνία λήψης πρέπει να είναι τέτοια ώστε να εστιάζει όσο λιγότερο γίνεται σε πρόσωπα, καθώς και να προτιμώνται λήψεις όσο το δυνατόν ευρύτερης οπτικής γωνίας (άρθρο 19 της οδηγίας 1/2011).

Τα δεδομένα πρέπει να τηρούνται για το μικρότερο δυνατό χρόνο. Σε κάθε περίπτωση δεν επιτρέπεται να τηρούνται για διάστημα μεγαλύτερο των 15 ημερών, εκτός από εξαιρέσεις. Ο χρόνος τήρησης μπορεί να παραταθεί, εφ όσον υπάρξει κάποιο συμβάν και το υλικό μπορεί να χρησιμοποιηθεί ως αποδεικτικό στοιχείο (άρθρο 8 της οδηγίας 1/2011).

Εάν οι κάμερες καταγράφουν αποκλειστικά ιδιωτικό χώρο δεν εφαρμόζεται η νομοθεσία για την προστασία των προσωπικών δεδομένων. Απαγορεύεται η λήψη εικόνας από εξωτερικό δημόσιο χώρο (π.χ. δρόμο ή πεζοδρόμιο), καθώς και από γειτονικά κτίρια.

Κάθε μη οικιακή χρήση του καταγεγραμμένου υλικού, εκτός της διαβίβασής του στις αρμόδιες αρχές (π.χ. Αστυνομία, Δικαστήρια), συνεπάγεται την εφαρμογή της νομοθεσίας για τα προσωπικά δεδομένα και κατ’ αρχήν δεν επιτρέπεται. Λήψη εικόνας από παράπλευρες οδούς, ή πεζοδρόμια, μπορεί να δικαιολογηθεί μόνο σε εξαιρετικές περιπτώσεις, δηλαδή όταν πρόκειται για χώρο όπου έχουν προηγηθεί επικίνδυνες επιθέσεις κατά της ζωής και της περιουσίας και υπάρχουν πλέον δικαιολογημένες υπόνοιες ότι ενδέχεται να πραγματοποιηθούν και άλλες. Στις περιπτώσεις αυτές η λήψη πρέπει να περιορίζεται στον απολύτως απαραίτητο παράπλευρο χώρο. Στην περίπτωση αυτή υπάρχει επεξεργασία και ο τοποθετήσας την κάμερα θεωρείται υπεύθυνος επεξεργασίας και έχει, ως προς τις εξωτερικές κάμερες, όλες τις υποχρεώσεις που απορρέουν από τον κανονισμό (πινακίδα ενημέρωσης, ικανοποίηση δικαιωμάτων πρόσβασης και αντίρρησης).

ΚΑΤΑΣΤΗΜΑΤΑ

Η τοποθέτηση καμερών σε σημεία εισόδου και εξόδου καταστήματος επιτρέπεται. Δεν πρέπει να λαμβάνει εικόνα από δημόσιο χώρο. Επιτρέπεται στα ταμεία και στους χώρους φύλαξης χρημάτων, σε αποθήκες εμπορευμάτων, καθώς και σε χώρους στάθμευσης και ηλεκτρολογικών εγκαταστάσεων. Για καταστήματα πολύ μεγάλης έκτασης, ή όπου διακινούνται εμπορεύματα μεγάλης αξίας, μπορούν να τοποθετηθούν κάμερες και σε χώρους όπου κινούνται πελάτες, εφ όσον αυτό κρίνεται απολύτως απαραίτητο. Σε αυτή την περίπτωση, η γωνία λήψης πρέπει να είναι τέτοια ώστε να εστιάζει όσο λιγότερο γίνεται σε πρόσωπα, καθώς και να προτιμώνται λήψεις όσο το δυνατόν ευρύτερης οπτικής γωνίας (άρθρο 19 της οδηγίας 1/2011).

ΠΟΛΥΚΑΤΟΙΚΙΕΣ 

Επιτρέπεται η τοποθέτηση καμερών, που λαμβάνουν εικόνα μόνο εντός του διαμερίσματος. Επιτρέπεται η τοποθέτηση κάμερας που να επιβλέπει τον απολύτως απαραίτητο χώρο της εισόδου του διαμερίσματος, χωρίς να καταγραφή εικόνας ή ήχου. Η καταγραφή εικόνας (σε καμία περίπτωση ήχου) επιτρέπεται, όταν είναι τεχνικά εφικτός ο περιορισμός του πεδίου εμβέλειας της κάμερας στον απολύτως απαραίτητο χώρο μπροστά από την είσοδο.

Σύμφωνα με την Oδηγία 1/2011 για την εγκατάσταση συστήματος βιντεοεπιτήρησης σε κοινόχρηστους χώρους πολυκατοικίας απαιτείται απόφαση της γενικής συνέλευσης των συνιδιοκτητών με ποσοστά πλειοψηφίας, όπως αυτή ορίζεται στον κανονισμό της πολυκατοικίας. Αν ο κανονισμός της πολυκατοικίας προβλέπει ήδη την εγκατάσταση του συστήματος βιντεοεπιτήρησης, τότε απλά ακολουθείται ότι ορίζεται στον κανονισμό.

ΚΟΙΝΟΧΡΗΣΤΟΙ ΧΩΡΟΙ ΣΤΑΘΜΕΥΣΗΣ 

Επιτρέπεται η τοποθέτηση καμερών σε κοινόχρηστο χώρο στάθμευσης για επιτήρηση μόνο του οχήματος 

ΣΧΟΛΕΙΑ

Η εγκατάσταση συστήματος βιντεοεπιτήρησης σε σχολεία πρέπει να γίνεται με ιδιαίτερη προσοχή και υπό πολύ αυστηρές προϋποθέσεις. Η απόφαση λαμβάνεται από το αρμόδιο όργανο για την διοίκηση του σχολείου, αφού ληφθεί υπ όψιν η γνώμη των εκπροσώπων του διδακτικού προσωπικού και των συλλόγων γονέων και μαθητών..

Το σύστημα δεν επιτρέπεται να λειτουργεί σε ώρες που το σχολείο είναι σε λειτουργία, και όλοι (μαθητές και φορείς της εκπαιδευτικής κοινότητας) πρέπει να είναι πλήρως ενήμεροι για αυτό, έτσι ώστε να γνωρίζουν ότι δεν παρακολουθούνται. Τα δεδομένα πρέπει να διαγράφονται την επόμενη εργάσιμη ημέρα (εφ όσον δεν υπήρξε κάποιο συμβάν) ενώ σε κάθε περίπτωση η λειτουργία του πρέπει να αξιολογείται ανά τακτά διαστήματα (όχι μεγαλύτερα του ενός έτους).

Οι μαθητές, γονείς, εκπαιδευτικοί και λοιποί εργαζόμενοι μπορούν να έχουν πρόσβαση στα στοιχεία (άρθρο 18 της οδηγίας 1/2011).

ΔΙΑΦΗΜΙΣΤΙΚΗ ΠΡΟΒΟΛΗ

Επιτρέπεται η τοποθέτηση καμερών για την διαφημιστική προβολή ενός τόπου, ή μιας επιχείρησης, αρκεί να μην είναι αναγνωρίσιμα τα πρόσωπα. Πρέπει οι κάμερες να είναι τοποθετημένες κατά τρόπο τέτοιο ώστε να μην είναι εφικτή η αναγνώριση προσώπων, ή αριθμών πινακίδων αυτοκινήτων (οπότε και δεν υφίσταται επεξεργασία προσωπικών δεδομένων), ή να λαμβάνονται τα κατάλληλα μέτρα, όπως τεχνικές θόλωσης.

ΧΩΡΟΙ ΕΡΓΑΣΙΑΣ 

Δεν επιτρέπεται να τοποθέτηση καμερών σε χώρους εργασίας του προσωπικό, όπου δεν έχουν πρόσβαση οι πελάτες, ή σε γραφεία εργαζομένων (άρθρο 7 της οδηγίας 1/2011).

Οποιοδήποτε σύστημα παρακολούθησης εργαζομένων στον χώρο εργασίας δεν πρέπει να χρησιμοποιείται για την επιτήρηση των εργαζομένων, εκτός ειδικών περιπτώσεων που δικαιολογούνται από τη φύση και τις συνθήκες εργασίας και είναι απαραίτητο για την προστασία της υγείας και της ασφάλειας των εργαζομένων ή την προστασία χώρων κρίσιμων υποδομών (εγκαταστάσεις υψηλού κινδύνου).

Η βιντεοεπιτήρηση πρέπει να περιορίζεται στους χώρους εισόδου και εξόδου, χωρίς να επιτηρούνται συγκεκριμένες αίθουσες γραφείων, ή διάδρομοι. Η βιντεοεπιτήρηση πρέπει να περιορίζεται σε ειδικούς χώρους, όπως ταμεία, αποθήκες με ηλεκτρομηχανολογικό εξοπλισμό κλπ και οι κάμερες να εστιάζουν στο αγαθό που προστατεύουν κι όχι στους εργαζόμενους.

Σε κάθε περίπτωση ο εργαζόμενος μπορεί να ασκήσει τα δικαιώματα της πρόσβασης και της εναντίωσης. Ο εργοδότης είναι υποχρεωμένος βάσει του ΓΚΠΔ να απαντήσει εγγράφως. Εάν δεν απαντήσει, ή αν η απάντηση δεν είναι ικανοποιητική, μπορεί να υποβληθεί καταγγελία στην Αρχή.

Εφ όσον οι κάμερες λειτουργούν για τον έλεγχο και την παρακολούθηση του προσωπικού, η επεξεργασία είναι παράνομη (άρθρο 7 της οδηγίας 1/2011) και πρέπει να υποβληθεί  καταγγελία στην Αρχή, είτε μέσω συλλογικού οργάνου, είτε ατομικά.

Σημειώνεται ότι, λόγω της σχέσης εξάρτησης εργαζόμενου με εργοδότη, αποδυναμώνεται η βαρύτητα της συγκατάθεσης των εργαζομένων για μια τέτοια επεξεργασία. Σύμφωνα με την Γνώμη 8/2001 της Ομάδας εργασίας του άρθρου 29 της Επιτροπής των Ευρωπαϊκών Κοινοτήτων είναι πολύ δύσκολο να διασφαλιστεί ότι μια τέτοια συγκατάθεση είναι ελεύθερη.

ΣΥΣΤΗΜΑ ΓΕΩΓΡΑΦΙΚΟΥ ΠΡΟΣΔΙΟΡΙΣΜΟΥ 

Η εγκατάσταση συστήματος γεωγραφικού προσδιορισμού (gps) επιτρέπεται μόνο όταν δεν αποσκοπεί στην παρακολούθηση του εργαζομένου, αλλά στην αποδοτικότερη λειτουργία της επιχείρησης (π.χ. μέσω της βελτιστοποίησης της ακολουθούμενης διαδρομής) και στην ενίσχυση της ασφάλειας των εργαζομένων.

Η αξιολόγηση της επαγγελματικής αποδοτικότητας του εργαζομένου που βασίζεται στην παρακολούθηση της συμπεριφοράς του συνιστά υπέρμετρη επεξεργασία και παραβιάζει την αρχή της αναλογικότητας.

ΠΑΡΑΚΟΛΟΥΘΗΣΗ ΗΛΕΚΤΡΟΝΙΚΟΥ ΥΠΟΛΟΓΙΣΤΗ ΚΑΙ ΗΛΕΚΤΡΟΝΙΚΟΥ ΤΑΧΥΔΡΟΜΕΙΟΥ

Δεν επιτρέπεται η μυστική παρακολούθηση του ηλεκτρονικού υπολογιστή και του ηλεκτρονικού ταχυδρομείου, εκτός αν αυτό επιτρέπεται βάσει του άρθρου 13 της Οδηγίας 95/46/ΕΚ  (της ασφάλειας του κράτους, της εθνικής άμυνας, της δημόσιας ασφάλειας, της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού νόμου, ή της προστασίας του προσώπου που παρακολουθείται, ή σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος κράτους μέλους ή της Ε.Ε).

Στην μυστική παρακολούθηση, όταν επιτρέπεται, ο εργοδότης οφείλει να πληροφορεί τον εργαζόμενο για την παρουσία, την χρήση και τον σκοπό οποιουδήποτε εξοπλισμού ανίχνευσης ή συσκευής, που ενεργοποιείται όσον αφορά το σταθμό εργασίας του και για οποιαδήποτε κακή χρήση ηλεκτρονικών επικοινωνιών που ανιχνεύεται, εκτός αν υπάρχουν σημαντικοί λόγοι που αιτιολογούν τη συνέχιση της μυστικής επιτήρησης, πράγμα που δεν συμβαίνει συνήθως. Η άμεση πληροφόρηση μπορεί να επιτευχθεί εύκολα με λογισμικό, όπως τα προειδοποιητικά παράθυρα, που ανοίγουν και προειδοποιούν τον εργαζόμενο ότι το σύστημα ανίχνευσε μια μη επιτρεπόμενη χρήση του δικτύου ή/και έλαβε μέτρα για την πρόληψή της.

Η μυστική παρακολούθηση, όταν επιτρέπεται, τα δεδομένα πρέπει να συλλέγονται για ένα συγκεκριμένο, ρητώς καθορισμένο και νόμιμο σκοπό και να μην υφίστανται περαιτέρω επεξεργασία με τρόπο ασύμβατο με τους σκοπούς αυτούς. Αν η επεξεργασία των δεδομένων δικαιολογείται για την ασφάλεια του συστήματος, δεν μπορεί στη συνέχεια να γίνει άλλη επεξεργασία των δεδομένων αυτών για άλλο σκοπό, όπως η παρακολούθηση της συμπεριφοράς του εργαζομένου.

ΧΡΟΝΟΣ ΤΗΡΗΣΗΣ ΔΕΔΟΜΕΝΩΝ   

Τα δεδομένα πρέπει να τηρούνται για το μικρότερο δυνατό χρόνο.

Σε κάθε περίπτωση δεν επιτρέπεται να τηρούνται για διάστημα μεγαλύτερο των 15 ημερών, εκτός από εξαιρέσεις.

Ειδικά για πολυκατοικίες, πρέπει να τηρούνται το πολύ μέχρι 48 ώρες.

Για τα σχολεία μέχρι την επόμενη εργάσιμη ημέρα.

Οι τράπεζες και τα χρηματοπιστωτικά ιδρύματα μπορούν να τα τηρούν μέχρι 45 ημέρες. Ο χρόνος τήρησης μπορεί να παραταθεί, εφ όσον υπάρξει κάποιο συμβάν και το υλικό μπορεί να χρησιμοποιηθεί ως αποδεικτικό στοιχείο (άρθρο 8 της οδηγίας 1/2011).

Στον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ -  GDPR), με την αρχή της λογοδοσίας (άρθρο 5) μετατοπίζεται το «βάρος της απόδειξης» από το ενιστάμενο πρόσωπο στον υπεύθυνο επεξεργασίας (ή στον εκτελούντα την επεξεργασία). Ο υπεύθυνος επεξεργασίας (ή ο εκτελών την επεξεργασία) οφείλουν ανά πάσα στιγμή, τόσο στο ενιστάμενο πρόσωπο, όσο και ενώπιον της Αρχής και των δικαστηρίων, να μπορούν να αποδείξουν ότι είναι πλήρως συμμορφωμένοι με όσα προβλέπει ο Κανονισμός.

Χρονικά όρια λογοδοσίας στο ενιστάμενο πρόσωπο

Χωρίς καθυστέρηση,  σε κάθε περίπτωση εντός (1) μηνός από την παραλαβή του αιτήματος, ο υπεύθυνος επεξεργασίας (ή ο εκτελών την επεξεργασία) οφείλει να παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την συλλογή των προσωπικών του δεδομένων (άρθρα 15 έως 22).

Εάν δεν ενεργήσει, χωρίς καθυστέρηση και το αργότερο εντός (1) μηνός από την παραλαβή του αιτήματος, ενημερώνει το υποκείμενο των δεδομένων, γιατί δεν ενήργησε, αναφέροντάς του ότι έχει την δυνατότητα υποβολής καταγγελίας στην Αρχή και άσκηση δικαστικής προσφυγής.

Απαραίτητα εργαλεία για την τήρηση της υποχρέωσης λογοδοσίας.

Για την τήρηση της υποχρέωσης λογοδοσίας ο υπεύθυνος επεξεργασίας, ή/ και ο εκτελών την επεξεργασία, οφείλουν να εφαρμόσουν τα παρακάτω απαραίτητα εργαλεία, 1) τήρηση αρχείων δραστηριότητας της επεξεργασίας, 2) προηγούμενη διαβούλευση και συνεργασία με την Αρχή, 3) εφαρμογή μέτρων ασφαλείας, 4) εκτίμηση αντικτύπου, 5) τήρηση των υποχρεώσεων κοινοποίησης της παραβίασης δεδομένων, 6) ορισμό υπευθύνου προστασίας δεδομένων, 7) υιοθέτηση κωδίκων δεοντολογίας και μηχανισμών πιστοποίησης.

Με τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ -  GDPR), που τέθηκε σε εφαρμογή στις 25-5-2018, οι αρχές επεξεργασίας είναι 

  1. Της συγκατάθεσης ενηλίκου (άρθρο 7)

Απαραίτητη είναι η συγκατάθεση του ενηλίκου στην επεξεργασία των προσωπικών του δεδομένων. Ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε. Η συγκατάθεση είναι σύννομη, όταν το υποκείμενο των δεδομένων έχει αληθινή  και ελεύθερη επιλογή, ή να αρνηθεί, ή να αποσύρει την συγκατάθεση, χωρίς να ζημιωθεί. Το υποκείμενο των δεδομένων πρέπει να γνωρίζει την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας. Εάν η συγκατάθεση παρέχεται με γραπτή δήλωση, που αφορά και άλλα θέματα, το αίτημα για συγκατάθεση πρέπει να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή.

  1. Της συγκατάθεσης παιδιού (άρθρο 8)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού είναι σύννομη εάν το παιδί είναι τουλάχιστον 16 χρονών. Εάν το παιδί είναι ηλικίας κάτω των 16 ετών, απαραίτητη είναι  η συγκατάθεση, ή έγκριση, του έχοντος την γονική μέριμνα του παιδιού. Τα κράτη μέλη δύνανται να προβλέψουν με νόμο μικρότερη ηλικία των 16 ετών, με την προϋπόθεση ότι η εν λόγω δεν είναι κάτω από τα 13 έτη.

  1. Της νομιμότητας (άρθρο 5 και 6)

Η επεξεργασία δεν είναι νόμιμη, όταν δεν υπερισχύει το συμφέρον, ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

Επεξεργασία κατά τον αρχικό σκοπό.

Η επεξεργασία για να είναι νόμιμη κατά τον αρχικό σκοπό πρέπει να συντρέχει μία τουλάχιστον από τις παρακάτω  προϋποθέσεις.

α. το υποκείμενο των δεδομένων να έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού του χαρακτήρα για έναν, ή περισσότερους συγκεκριμένους σκοπούς.

β. η επεξεργασία να είναι απαραίτητη, α) για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος, ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης, β) για τη συμμόρφωση με υποχρέωση του υπευθύνου επεξεργασίας, γ) για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων, ή άλλου φυσικού προσώπου, δ) για την εκπλήρωση καθήκοντος, που εκτελείται προς το δημόσιο συμφέρον, ή κατά την άσκηση δημόσιας εξουσίας.

Επεξεργασία μεταγενέστερη, για άλλους σκοπούς από τον αρχικό

Επεξεργασία, για άλλους σκοπούς από τον αρχικό, είναι νόμιμη, εφ όσον η επεξεργασία είναι συμβατή με τους σκοπούς για τους οποίους τα δεδομένα αρχικά συλλέχθηκαν.

Για να εξακριβώσει ο υπεύθυνος επεξεργασίας κατά πόσο η επεξεργασία για άλλο σκοπό είναι σύννομη πρέπει να λάβει υπ όψιν του, α) Την σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα, β) Των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας, γ) Την σχέση υποκειμένου των δεδομένων και υπευθύνου επεξεργασίας, δ) Την φύση των δεδομένων, ιδίως ευαίσθητων, στ) Τις συνέπειες της περαιτέρω επεξεργασίας, ζ)Την ύπαρξη κατάλληλων εγγυήσεων, όπως κρυπτογράφηση ή ψευδωνυμοποίηση.

  1. Της ακρίβειας και αντικειμενικότητας (άρθρο 5).

Τα δεδομένα πρέπει να είναι ακριβή και το υποκείμενο της επεξεργασίας, να έχει ενημέρωση ως προς τα δεδομένα που επεξεργάζονται.

  1. Της ακεραιότητας και εμπιστευτικότητας (άρθρο 5).

Τα δεδομένα πρέπει να υποβάλλονται σε επεξεργασία με τρόπο, που εγγυάται την ασφάλεια και την προστασία τους από παράνομη επεξεργασία, ή απώλεια, καταστροφή, ή φθορά τους.

  1. Της διαφάνειας (άρθρα 5και 12).

Τα δεδομένα πρέπει να υποβάλλονται σε σύννομη και θεμιτή διαφανή επεξεργασία, με την συγκατάθεση του υποκειμένου. Η διαφάνεια διασφαλίζεται με την ενημέρωση του υποκειμένου για την συλλογή των δεδομένων και τον σκοπό της συλλογής. Η ενημέρωση οφείλει να είναι συνοπτική και κατανοητή, με σαφή και απλή διατύπωση.

  1. Της ανωνυμοποίησης των δεδομένων

Τα δεδομένα πρέπει να επεξεργάζονται κατά τρόπο, που να διασφαλίζεται η μη ταυτοποίηση του υποκειμένου των δεδομένων. Δύο είναι οι προτεινόμενοι τρόποι από τον Κανονισμό, η κρυπτογράφηση και η ψευδωνυμοποίηση.  Κρυπτογράφηση είναι, ο μετασχηματισμός δεδομένων σε μορφή που να είναι αδύνατον να διαβαστεί, χωρίς τη γνώση της σωστής ακολουθίας. Η ακολουθία καλείται «κλειδί» και χρησιμοποιείται σε συνδυασμό με κατάλληλο αλγόριθμο. Η αντίστροφη διαδικασία είναι η αποκρυπτογράφηση και απαιτεί γνώση του κλειδιού. Ψευδωνυμοποίηση είναι, η τεχνική με την οποία τα δεδομένα δεν μπορούν, να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων, χωρίς τη χρήση συμπληρωματικών πληροφοριών. Οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα.  Βασικό παράδειγμα είναι η αντικατάσταση των ευαίσθητων δεδομένων με μη ευαίσθητα, το θόλωμα της εικόνας.

  1. Της ελαχιστοποίησης δεδομένων (άρθρο 5).

Τα δεδομένα που συλλέγονται πρέπει  να είναι κατάλληλα, συναφή, και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.

  1. Της λογοδοσίας (άρθρο 5).

Με την αρχή της λογοδοσίας μετατοπίζεται το «βάρος της απόδειξης», από το ενιστάμενο πρόσωπο, στον υπεύθυνο επεξεργασίας (ή στον εκτελούντα την επεξεργασία). Ο υπεύθυνος επεξεργασίας (ή ο εκτελών την επεξεργασία) οφείλουν ανά πάσα στιγμή, τόσο στο ενιστάμενο πρόσωπο, όσο και ενώπιον της Αρχής και των δικαστηρίων, να μπορούν να αποδείξουν ότι είναι πλήρως συμμορφωμένοι με όσα προβλέπει ο Κανονισμός.

(Αναλυτικά για την «αρχή της λογοδοσίας» στην ανάρτηση «Αρχή της λογοδοσίας στον  GDPR).

Με τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ -  GDPR) (ΕΕ  2016/679), που τέθηκε σε εφαρμογή στις 25-5-2018, εισάγεται το Αρχείο δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων. Το αρχείο περιγράφει τις δραστηριότητες επεξεργασίας των προσωπικών δεδομένων. Δεν χρειάζεται να υποβληθεί στην Αρχή. Αρκεί να τηρείται και η τήρηση να μπορεί να αποδειχθεί. 

ΥΠΟΧΡΕΩΣΗ ΤΗΡΗΣΗΣ ΕΧΕΙ 

Κάθε επιχείρηση, ή φορέας, που απασχολεί περισσότερα από 250 άτομα. Η επιχείρηση, ή φορέας, που απασχολεί λιγότερα από 250 άτομα, οφείλει να τηρεί το αρχείο για κάθε δραστηριότητα, α) που δεν είναι περιστασιακή, β) που ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, γ) που η επεξεργασία αφορά ειδικές κατηγορίες δεδομένων του άρθρου 9 παρ. 1, δ) που η επεξεργασία αφορά δεδομένα ποινικών καταδικών και αδικημάτων του άρθρου 10.

ΤΙ ΠΕΡΙΕΧΕΙ

Το αρχείο δραστηριοτήτων περιέχει τα στοιχεία, που  περιγράφονται αναλυτικά στο άρθρο 30 παρ. 1 και 2 του Κανονισμού. Τηρείται, τόσο από τον υπεύθυνο επεξεργασίας, όσοι και από τον εκτελούντα την επεξεργασία. Περιέχει υποχρεωτικά και μη υποχρεωτικά στοιχεία.

Υποχρεωτικά περιέχει

α)  το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας, του εκτελούντα την επεξεργασία και των εκπροσώπου των, και το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων.

β)  τους σκοπούς της επεξεργασίας.

γ)  περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα.

δ)  τις κατηγορίες των αποδεκτών.

ε) τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα, ή διεθνή οργανισμό και της τεκμηρίωσης των κατάλληλων εγγυήσεων.

στ)  τις προβλεπόμενες προθεσμίες διαγραφής των διάφορων κατηγοριών δεδομένων.

ζ)  γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας των παραβιάσεων.

Η Αρχή, προς τον σκοπό βοήθειας προς τους υπευθύνους επεξεργασίας παρέχει υποδείγματα αρχείου δραστηριοτήτων, σε μορφή αρχείου excel, που περιέχουν, τόσο τα απαραίτητα στοιχεία, όσο και τα προαιρετικά στοιχεία.

Με τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ -  GDPR) (ΕΕ  2016/679), που τέθηκε σε εφαρμογή στις 25-5-2018, εισάγεται για πρώτη φορά o θεσμός του Υπευθύνου Προστασίας Δεδομένων (άρθρα 38 και 39).

Ο θεσμός διαφοροποιείται από τον Υπεύθυνο Επεξεργασίας Δεδομένων (Data Controller). Ο Υπεύθυνος Επεξεργασίας είναι αυτός που καθορίζει το σκοπό και τους τρόπους επεξεργασίας. Ο Υπεύθυνος Προστασίας παρέχει συνδρομή και συμβουλευτικές υπηρεσίες στον Υπεύθυνο Επεξεργασίας, ή στον Εκτελούντα την Επεξεργασία. Πρέπει να είναι εγκατεστημένος εντός Ε.Ε, ανεξάρτητα που είναι εγκατεστημένος ο Υπεύθυνος Επεξεργασίας. ή ο Εκτελών την Επεξεργασία. Ο ρόλος του είναι συμβουλευτικός (όχι αποφασιστικός). Δεν έχει προσωπική ευθύνη για την μη συμμόρφωση με τον Κανονισμό, εκτός αν ευθύνεται για ίδιον πταίσμα. Υπεύθυνος να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον Κανονισμό είναι ο Υπεύθυνος Επεξεργασίας, ή ο Εκτελών την Επεξεργασία.

Καθήκοντα Υπευθύνου Προστασίας

- Ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας, ή τον εκτελούντα την επεξεργασία, ως και τους υπαλλήλους των.

- Συμμετέχει σε όλα τα ζητήματα που αφορούν τον φορέα, ή την επιχείρηση, σχετικά με την προστασία των προσωπικών δεδομένων.

- Παρακολουθεί την εσωτερική συμμόρφωση με τον Κανονισμό και τις διατάξεις περί προστασίας δεδομένων, όπως προσδιορισμός και διαχείριση δραστηριοτήτων επεξεργασίας, εκπαίδευση προσωπικού, διενέργεια εσωτερικών ελέγχων.

- Παρέχει συμβουλές για την εκτίμηση αντικτύπου και παρακολουθεί την υλοποίησή τους.

- Έχει ελεύθερη πρόσβαση σε όλα τα αρχεία του φορέα, ή της επιχείρησης. 

- Εκπροσωπεί την επιχείρηση - φορέα  έναντι των Αρχών, συνεργάζεται με την εποπτική αρχή. Είναι το μέσο επικοινωνίας με την εποπτική αρχή.

- Δεν λαμβάνει εντολές για την άσκηση των καθηκόντων του από κανένα.

- Δεν υφίσταται κυρώσεις, επειδή επιτέλεσε τα καθήκοντά του.

- Είναι υποχρεωμένος να τηρεί το απόρρητο και την εμπιστευτικότητα..

- Λογοδοτεί απ ευθείας στο ανώτατο διοικητικό επίπεδο της επιχείρησης, ή του φορέα.

Επαγγελματικά προσόντα Υπευθύνου Προστασίας

Πρέπει να έχει το αναγκαίο επίπεδο γνώσης των τεχνολογιών πληροφορίας και ασφάλειας των δεδομένων και εμπειρογνωσία ανάλογη με την επεξεργασία δεδομένων που διενεργούνται στην εταιρεία- φορέα, στον οποίο θα απασχοληθεί. Διορίζεται, ιδίως, βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων του. Ο Κανονισμός δεν θέτει κάποια υποχρεωτική απαίτηση για πιστοποίηση του DPO, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση.

- Μπορεί να είναι υπάλληλος του Υπευθύνου Επεξεργασίας, ή του Εκτελούντος την Επεξεργασία, ή εξωτερικός συνεργάτης με βάση σύμβασης παροχής υπηρεσιών.

- Μπορεί να συνεπικουρείται από ομάδα, εφ όσον απαιτείται.

- Μπορεί να ασκεί και πρόσθετα καθήκοντα μέσα στην επιχείρηση - φορέα, με την προϋπόθεση να μην υπάρχει σύγκρουση συμφερόντων με τα καθήκοντά του, όπως θέση ανώτερης διοίκησης, νομικού συμβούλου κλπ.

Ο ορισμός Υπευθύνου Προστασίας δεν είναι υποχρεωτικός

Με τον κανονισμό ενθαρρύνονται εθελοντικές ενέργειες, ώστε κάθε επιχείρηση-οργανισμός να ορίσει Υπεύθυνο Προστασίας.  Δεν είναι υποχρεωτικός ο ορισμός Υπευθύνου Προστασίας, όταν η επεξεργασία των δεδομένων γίνεται από ιδιώτη ιατρό για τους ασθενείς του, ή από δικηγόρο για τους πελάτες του. Όταν η επιχείρηση-φορέας  ορίσει Υπεύθυνο Προστασίας σε εθελοντική βάση, για τον ορισμό του, τη θέση του και τα καθήκοντά του, ισχύουν οι ίδιες απαιτήσεις σαν ο ορισμός να ήταν υποχρεωτικός.

Ο ορισμός Υπευθύνου Προστασίας είναι υποχρεωτικός

- Όταν η επεξεργασία διενεργείται από δημόσια αρχή, ή δημόσιο φορέα. Συμπεριλαμβάνονται και φυσικά, ή νομικά πρόσωπα δημοσίου ή ιδιωτικού δικαίου που ασκούν δημόσια εξουσία.

- Όταν απαιτείται τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, όπως σε ασφαλιστικές υπηρεσίες, τραπεζικές υπηρεσίες, υπηρεσίες τηλεφωνίας ή διαδικτύου, παροχή υπηρεσιών ασφαλείας.

- Όταν διενεργείται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων, όπως παροχή υπηρεσιών υγείας από νοσοκομείο, ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα. Εξαιρούνται τα δικαστήρια όταν ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα.

Για τον προσδιορισμό της μεγάλης κλίμακας επεξεργασίας λαμβάνονται υπ όψιν, ο αριθμός των εμπλεκομένων υποκειμένων, είτε ως συγκεκριμένος αριθμός, είτε ως ποσοστό επί του πληθυσμού, ο όγκος και το εύρος των δεδομένων, η διάρκεια, ή ο μόνιμος χαρακτήρας της επεξεργασίας, η γεωγραφική έκταση της επεξεργασίας.

Αριθμός Υπευθύνων Προστασίας

Η επιχείρηση-οργανισμός μπορεί να ορίσει έναν, οι περισσότερους, υπεύθυνους προστασίας.  Όμιλος επιχειρήσεων, ή περισσότεροι δημόσιοι φορείς, μπορούν να ορίσουν έναν μόνο Υπεύθυνο, υπό την προϋπόθεση να είναι διαθέσιμος σε κάθε εγκατάσταση, ή φορέα, είτε με φυσική παρουσία στις ίδιες εγκαταστάσεις με τους υπαλλήλους, είτε μέσω ανοικτής τηλεφωνικής γραμμής, ή άλλου ασφαλούς μέσου επικοινωνίας και σε γλώσσα που χρησιμοποιούν οι ενδιαφερόμενες εποπτικές αρχές και τα οικεία υποκείμενα των δεδομένων.

Υποχρεώσεις του εργοδότη του Υπευθύνου Προστασίας

Ο εργοδότης υποχρεούται να δημοσιεύσει τα στοιχεία επικοινωνίας του Υπευθύνου Προστασίας και να τα ανακοινώσει στην Αρχή. Οφείλει να διασφαλίσει ότι ο Υπεύθυνος Προστασίας συμμετέχει σε όλα τα ζητήματα σχετικά με την προστασία προσωπικών δεδομένων. Να του παρέξει ελεύθερη πρόσβαση σε δεδομένα και πράξεις επεξεργασίας και να έχει στην διάθεσή του τους απαραίτητους πόρους για την εκπλήρωση των καθηκόντων του.

Με τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ -  GDPR) (ΕΕ  2016/679), που τέθηκε σε εφαρμογή στις 25-5-2018 καθιερώνεται ενιαίο νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων σε όλα τα κράτη-μέλη της Ε.Ε, τα οποία και δεσμεύει. Καταργείται η προηγούμενη οδηγία 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων).Επέρχεται άρση της ανασφάλειας, που δημιούργησε ο προηγούμενος Κανονισμός,  ενδυναμώνοντας τα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων (φυσικών προσώπων).

ΟΥΣΙΑΣΤΙΚΟ ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ  

α) Ο κανονισμός εφαρμόζεται

- στο σύστημα αρχειοθέτησης, της μη αυτοματοποιημένης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και 

- στην αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα και

β) Ο κανονισμός δεν εφαρμόζεται

- στην επεξεργασία δεδομένων, στα πλαίσια αποκλειστικά προσωπικής και οικιακής χρήσης.

- στην επεξεργασία δεδομένων, σε ζητήματα προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών.

(Σύμφωνα με τον χάρτη θεμελιωδών δικαιωμάτων της Ε.Ε, ως τέτοια θεωρούνται  της αξιοπρέπειας, της ελευθερίας, της ισότητας, της αλληλεγγύης, της ιθαγένειας και της δικαιοσύνης). 

- σε δραστηριότητες που αφορούν την εθνική ασφάλεια.

- σε δραστηριότητες συναφείς με την κοινή εξωτερική πολιτική και πολιτική ασφάλειας της Ένωσης.

- στην περίπτωση πρόληψης, ανίχνευσης, ή  δίωξης ποινικών αδικημάτων, ή της εκτέλεσης ποινικών κυρώσεων.

ΕΔΑΦΙΚΟ ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ

Ο Κανονισμός εφαρμόζεται 

- στην περίπτωση, που ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, βρίσκεται εγκατεστημένος στην Ε.Ε, ανεξάρτητα που πραγματοποιείται η επεξεργασία (εντός, ή εκτός, της Ένωσης).

- στην περίπτωση, που το υποκείμενο των δεδομένων βρίσκεται στην Ε.Ε και ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, εκτός Ε.Ε

(πρέπει, οι δραστηριότητες επεξεργασίας, να σχετίζονται με α) την προσφορά αγαθών, ή υπηρεσιών, μέσα στην Ε.Ε, ή να αφορά παρακολούθηση συμπεριφοράς του υποκειμένου των δεδομένων μέσα στην Ε.Ε).

- στην περίπτωση, που ο υπεύθυνος επεξεργασίας δεν είναι εγκατεστημένος στην Ε.Ε, αλλά σε άλλο τόπο, όπου εφαρμόζεται το δίκαιο κράτους-μέλους, δυνάμει του δημόσιου διεθνούς δικαίου.

ΚΑΤΑΡΓΕΙ 

Την γενική υποχρέωση γνωστοποίησης τήρησης αρχείου δραστηριοτήτων της επεξεργασίας, ή βιντεοεπιτήρησης, στην Αρχή. Το αρχείο δραστηριοτήτων τηρείται εσωτερικά από την επιχείρηση - φορέα και διατίθεται στην Αρχή σε περίπτωση που ζητηθεί.

Την χορήγηση αδειών από την Αρχή για την επεξεργασία ευαίσθητων δεδομένων.

Την υποχρέωση της Αρχής,  να απαντά σε ερωτήματα και αιτήματα των υπευθύνων επεξεργασίας, των υποκειμένων των δεδομένων, ή τρίτων, τα οποία δεν εμπίπτουν στις αρμοδιότητές της.

ΕΙΣΑΓΕΙ 

Την υποχρέωση του Υπεύθυνου Επεξεργασίας προς διενέργεια Εκτίμησης Αντικτύπου.

Την υποχρέωση ορισμού Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer - DPO) .

ενθαρρύνει

Την σύνταξη Κωδίκων Δεοντολογίας.

Την θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων.