Σύμφωνα με το άρθρο 38 του ν. 4624/2019, για την εναρμόνιση με τον Κανονισμό (ΕΕ) 2016/679 (GDPR)
1. Όποιος, χωρίς δικαίωμα, α) επεμβαίνει με οποιονδήποτε τρόπο σε σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα, και με την πράξη του αυτή λαμβάνει γνώση των δεδομένων αυτών, β) τα αντιγράφει, αφαιρεί, αλλοιώνει, βλάπτει, συλλέγει, καταχωρεί, οργανώνει, διαρθρώνει, αποθηκεύει, προσαρμόζει, μεταβάλλει, ανακτά, αναζητεί πληροφορίες, συσχετίζει, συνδυάζει, περιορίζει, διαγράφει, καταστρέφει, τιμωρείται με φυλάκιση μέχρι (1) έτους, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
2. Όποιος χρησιμοποιεί, μεταδίδει, διαδίδει, κοινολογεί με διαβίβαση, διαθέτει, ανακοινώνει ή καθιστά προσιτά σε μη δικαιούμενα πρόσωπα δεδομένα προσωπικού χαρακτήρα, τα οποία απέκτησε σύμφωνα με την περίπτωση α΄ της παραγράφου 1 ή επιτρέπει σε μη δικαιούμενα πρόσωπα να λάβουν γνώση των δεδομένων αυτών, τιμωρείται με φυλάκιση, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
3. Εάν η πράξη της παραγράφου 2 αφορά ειδικών κατηγοριών δεδομένα προσωπικού χαρακτήρα του άρθρου 9 παράγραφος 1 του ΓΚΠΔ ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα ή τα σχετικά με αυτά μέτρα ασφαλείας του άρθρου 10 του ΓΚΠΔ, ο υπαίτιος τιμωρείται με φυλάκιση τουλάχιστον (1) έτους και χρηματική ποινή έως (100.000) ευρώ, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
4. Με κάθειρξη μέχρι (10) ετών τιμωρείται ο υπαίτιος των πράξεων των προηγούμενων παραγράφων, εάν είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον και το συνολικό όφελος ή η συνολική ζημία υπερβαίνει το ποσό των (120.000) ευρώ.
5. Εάν από τις πράξεις των παραγράφων 1 έως και 3 προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δημοκρατικού πολιτεύματος ή για την εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηματική ποινή έως (300.000) ευρώ.
Α. Το αποθηκευμένο στην μνήμη συσκευής κινητού τηλεφώνου «σύντομο γραπτό μήνυμα» (sms) εμπίπτει στην έννοια του ιδιωτικού ηλεκτρονικού εγγράφου, σύμφωνα με τις διατάξεις του άρθρου 444 ΚΠολΔ, παρ όλο που δεν φέρει υπογραφή με την κλασσική του όρου έννοια, γιατί η μοναδική για κάθε χρήστη ηλεκτρονική διεύθυνση, που έχει ορισθεί και εφαρμοσθεί από τον ίδιο τον αποστολέα, έχει τον χαρακτήρα της ιδιόχειρης υπογραφής, έστω και αν δεν έχει την παραδοσιακή μορφή της τελευταίας.
Β. Η εκτύπωση του αποθηκευμένου στον σκληρό δίσκο της συσκευής κινητού τηλεφώνου πρωτότυπου ηλεκτρονικού εγγράφου συνιστά αντίγραφο κατά την έννοια του άρθρου 449 ΚΠολΔ και αποκτά αποδεικτική δύναμη ίση με το πρωτότυπο, εφ όσον η ακρίβειά του βεβαιωθεί από κατά τον νόμο αρμόδιο να εκδίδει αντίγραφα (449 παρ. 2 ΚΠολΔ).
Γ. Η φωτογραφία της οθόνης της συσκευής κινητού τηλεφώνου, όπου εμφανίζονται τα σύντομα γραπτά μηνύματα, έχει αποδεικτική δύναμη ίση με το πρωτότυπο ηλεκτρονικό έγγραφο, και αποκτά αποδεικτική δύναμη ίση με το πρωτότυπο, εφ όσον η ακρίβειά του βεβαιωθεί από κατά τον νόμο αρμόδιο να εκδίδει αντίγραφα.
Σημείωση 1
Ο παραλήπτης σύντομων γραπτών μηνυμάτων δύναται προς απόδειξη των ισχυρισμών του να προσκομίσει εκτυπώσεις ή φωτογραφίες αυτών στο πλαίσιο πολιτικής δίκης με τον αποστολέα-αντίδικό του, γιατί το συγκεκριμένο αποδεικτικό μέσο δεν εμπίπτει στην απαγόρευση της διάταξης του άρθρου 19 παρ. 3 του Συντάγματος (ΜονΠρΑθ 7826/2018).
Σημείωση 2
Άλλο το ζήτημα εάν σε πολιτική δίκη προσκομίζεται sms από διάδικο που δεν ήταν αποδέκτης του.
Η με τον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), που ενσωματώθηκε στην έννομη τάξη με τον ν. 4624/2019, η προστασία των προσωπικών δεδομένων δεν εξικνείται μέχρι της πλήρους απαγορεύσεως της επεξεργασίας τους, αλλά στη θέσπιση όρων και προϋποθέσεων, υπό τις οποίες είναι επιτρεπτή η επεξεργασία τους, ούτως ώστε να επιτευχθεί μία δίκαιη ισορροπία μεταξύ της προστασίας του δικαιώματος αυτού και της ικανοποιήσεως και άλλων συνταγματικά κατοχυρωμένων δικαιωμάτων (ΣτΕ 1616/2012, ΣτΕ 2254/2005), όπως είναι το δικαίωμα της έννομης προστασίας.
Τέτοιο έννομο συμφέρον αποτελεί η άσκηση δικαιώματος ενώπιον Δικαστηρίου και ιδίως η περίπτωση κατά την οποία τα στοιχεία που ζητούνται είναι αναγκαία για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματος. Μπορεί να είναι κάθε είδους Δικαστήρια, πολιτικά, ποινικά ή διοικητικά, με οποιαδήποτε διαδικασία, και με οποιαδήποτε ιδιότητα και αν μετέχει, ως ενάγων ή εναγόμενος.
Η τεχνική του ηλεκτρονικού ταχυδρομείου (e-mail) οδηγεί υποχρεωτικά στην ταύτιση μηνύματος και αποστολέα, κατά τέτοιο τρόπο ώστε να είναι μη μεταβιβάσιμο το μήνυμα, αν δεν συνοδεύεται από την ηλεκτρονική διεύθυνση του αποστολέα και βεβαίως αν δεν έχει και συγκεκριμένο, υπαρκτό παραλήπτη. Αυτό έχει ως συνέπεια ότι κατά την αποστολή ενός μηνύματος μέσω ηλεκτρονικού ταχυδρομείου, η δήλωση βουλήσεως του αποστολέα ταυτίζεται με την ηλεκτρονική του διεύθυνση, αποτελεί ένα ενιαίο σύνολο, ώστε να καταστεί δυνατή τεχνικά η παραλαβή της από τον παραλήπτη.
Ο καθορισμός συνεπώς της ηλεκτρονικής διεύθυνσης κατά τρόπο μοναδικό από τον ίδιο το χρήστη και η δήλωσή της σε κάθε αποστελλόμενο ηλεκτρονικό μήνυμα συνιστά απόδειξη της ταυτότητας του εκδότη του κατ' αναλογίαν με τα οριζόμενα για το παραδοσιακό έγγραφο του άρθρου 443 ΚΠολΔ και εμπίπτει στην έννοια του ιδιωτικού εγγράφου με αποδεικτική δύναμη εις βάρος του εκδότη του (άρθρα 443, 444, 445 και 448 ΚΠολΔ) (ΕφΠειρ 402/2007,ΕφΑθ 32/2011).
Σημείωση
Το επικυρωμένο κατά το νόμο αντίγραφο του αποσταλέντος ηλεκτρονικού μηνύματος, το οποίο περιέχεται στο σκληρό δίσκο του παραλήπτη αποτελεί πλήρη απόδειξη ότι η περιλαμβανόμενη σε αυτό δήλωση προέρχεται από τον εκδότη-αποστολέα του, σύμφωνα με τα οριζόμενα στο άρθρο 445 ΚΠολΔ.
Ηλεκτρονικό έγγραφο θεωρείται το σύνολο των εγγραφών δεδομένων στο μαγνητικό δίσκο ενός ηλεκτρονικού υπολογιστή, τα οποία, αφού γίνουν αντικείμενο επεξεργασίας από την κεντρική μονάδα επεξεργασίας, αποτυπώνονται με βάση τις εντολές του προγράμματος, κατά τρόπο αναγνώσιμο από τον άνθρωπο, είτε στην οθόνη του μηχανήματος, είτε στον προσαρτημένο εκτυπωτή του.
Με την έννοια αυτή το ηλεκτρονικό έγγραφο αποτελεί την κατά το άρθρο 444 αρ. 3 ΚΠολΔ μηχανική απεικόνιση, η οποία συνιστά πλήρη απόδειξη, δεκτική ανταποδείξεως, για τα γεγονότα η πράγματα που αναγράφονται σε αυτήν (άρθρο 448 παρ. 2 ΚΠολΔ).
Σύμφωνα με το άρθρο 9Γ του νόμου 2251/1994, για την προστασία των καταναλωτών, ως ισχύει, μία εμπορική πρακτική είναι αθέμιτη, όταν είναι αντίθετη προς τις απαιτήσεις επαγγελματικής ευσυνειδησίας και στρεβλώνει ουσιωδώς, ή ενδέχεται να στρεβλώσει ουσιωδώς, την οικονομική συμπεριφορά του μέσου καταναλωτή, στον οποίο φθάνει, ή στον οποίο απευθύνεται το προϊόν, ή του μέσου μέλους της ομάδας, όταν μια εμπορική πρακτική απευθύνεται σε μια συγκεκριμένη ομάδα καταναλωτών. Οι αθέμιτες εμπορικές πρακτικές που υιοθετούνται πριν, κατά την διάρκεια, ή ύστερα από εμπορική συναλλαγή που σχετίζεται με συγκεκριμένο προϊόν, απαγορεύονται.
Οι εμπορικές πρακτικές είναι αθέμιτες, ιδίως όταν είναι παραπλανητικές ή επιθετικές
Α. Παραπλανητική εμπορική πρακτική
α) Σύμφωνα με το άρθρο 9Δ του ιδίου νόμου, μια εμπορική πρακτική θεωρείται παραπλανητική, και απαγορεύεται, όταν περιλαμβάνει εσφαλμένες πληροφορίες και είναι, συνεπώς, αναληθής ή, όταν, με οποιονδήποτε τρόπο, συμπεριλαμβανομένης της συνολικής παρουσίασής της, παραπλανά ή ενδέχεται να παραπλανήσει το μέσο καταναλωτή, ακόμα και εάν οι πληροφορίες είναι, αντικειμενικά, ορθές όσον αφορά ένα ή περισσότερα στοιχεία και, ούτως ή άλλως, τον οδηγεί ή ενδέχεται να τον οδηγήσει να λάβει απόφαση συναλλαγής την οποία, διαφορετικά, δεν θα ελάμβανε.
β) Θεωρείται παραπλανητική, α) κάθε προσπάθεια προώθησης προϊόντος (μάρκετινγκ), συμπεριλαμβανομένης της συγκριτικής διαφήμισης, που δημιουργεί σύγχυση με προϊόντα, εμπορικά σήματα, εμπορικές επωνυμίες και άλλα διακριτικά γνωρίσματα ενός ανταγωνιστή, β) μη συμμόρφωση του προμηθευτή προς τις δεσμεύσεις που περιέχουν κώδικες συμπεριφοράς με τους οποίους ανέλαβε να δεσμευτεί, όταν η δέσμευση είναι ρητή και όχι προγραμματική, και μπορεί να εξακριβωθεί και ο προμηθευτής αναφέρει σε μια εμπορική πρακτική ότι δεσμεύεται από τον κώδικα συμπεριφοράς.
γ) Σύμφωνα με το άρθρο 9Ε του ιδίου νόμου, μια εμπορική πρακτική μπορεί να θεωρηθεί παραπλανητική και με παράλειψη (παραπλανητική παράλειψη), όταν, δηλαδή, παραλείπει ουσιώδεις πληροφορίες που χρειάζεται ο μέσος καταναλωτής, ανάλογα με το συγκεκριμένο πλαίσιο, για να λάβει τεκμηριωμένη απόφαση συναλλαγής και ως εκ τούτου τον οδηγεί, ή ενδέχεται να τον οδηγήσει, να λάβει απόφαση συναλλαγής την οποία διαφορετικά δεν θα ελάμβανε.
Β. Επιθετική εμπορική πρακτική
α) Σύμφωνα με το άρθρο 9Ζ του ιδίου νόμου, μια εμπορική πρακτική θεωρείται επιθετική, και απαγορεύεται, εάν, στο πραγματικό της πλαίσιο, λαμβανομένων υπ όψιν όλων των χαρακτηριστικών της και των περιστάσεων, χρησιμοποιεί παρενόχληση, καταναγκασμό, συμπεριλαμβανομένης και της άσκησης σωματικής βίας, ή κατάχρηση επιρροής και, ως εκ τούτου, παρεμποδίζει, ή ενδέχεται να παρεμποδίσει, σημαντικά την ελευθερία επιλογής, ή συμπεριφοράς, του μέσου καταναλωτή ως προς το προϊόν, με αποτέλεσμα να τον οδηγεί, ή να είναι πιθανόν να τον οδηγήσει, να λάβει απόφαση συναλλαγής που διαφορετικά δεν θα ελάμβανε.
β) Για να κριθεί εάν μια εμπορική πρακτική κάνει χρήση παρενόχλησης, καταναγκασμού, συμπεριλαμβανομένης της άσκησης σωματικής βίας, ή κατάχρησης επιρροής, λαμβάνονται υπόψη όλα τα στοιχεία της και ιδίως, α) η χρονική στιγμή, ο τόπος, η φύση ή η επιμονή, β) η χρήση απειλητικών ή προσβλητικών εκφράσεων ή συμπεριφοράς, γ) η εκμετάλλευση, από τον προμηθευτή, κάθε συγκεκριμένης ατυχίας ή περίστασης, την οποία γνωρίζει και η οποία είναι τόσο σοβαρή, ώστε να διαταράσσει την κρίση του καταναλωτή, προκειμένου να επηρεάσει την απόφασή του όσον αφορά το προϊόν, δ) κάθε επαχθές ή δυσανάλογο μη συμβατικό εμπόδιο που επιβάλλει ο προμηθευτής σε περίπτωση που ο καταναλωτής επιθυμεί να ασκήσει τα δικαιώματά του στο πλαίσιο της σύμβασης, συμπεριλαμβανομένων των δικαιωμάτων λύσης της σύμβασης ή μετάβασης σε άλλο προϊόν ή σε άλλον προμηθευτή, ε) κάθε απειλή για λήψη μέτρου που δεν μπορεί να ληφθεί νομίμως.
γ) Σύμφωνα με το άρθρο 9Η του ιδίου νόμου, απαγορεύονται, ως επιθετικές, εμπορικές πρακτικές που συνίστανται, ιδίως, σε, α) δημιουργία της εντύπωσης ότι ο καταναλωτής δεν μπορεί να εγκαταλείψει το χώρο έως ότου συναφθεί η σύμβαση, β) προσωπικές επισκέψεις στο σπίτι του καταναλωτή κατά τις οποίες αγνοείται το αίτημα του καταναλωτή για αποχώρηση ή μη επάνοδο, εκτός από περιστάσεις και στο βαθμό που αυτό δικαιολογείται για να επιβληθεί η εκπλήρωση συμβατικής υποχρέωσης, γ) συνεχή και ανεπιθύμητη άγρα πελατών, μέσω τηλεφώνου, φαξ, ή ηλεκτρονικού ταχυδρομείου, ή άλλων μέσων εξ αποστάσεως, δ) ένταξη σε διαφήμιση άμεσης πιεστικής πρόσκλησης προς τα παιδιά να αγοράσουν ή να πείσουν τους γονείς τους ή άλλα ενήλικα άτομα να τους αγοράσουν διαφημιζόμενα προϊόντα, ε) απαίτηση άμεσης ή μεταγενέστερης πληρωμής ή επιστροφής ή φύλαξης για προϊόντα που έχει προμηθεύσει ο προμηθευτής, τα οποία όμως δεν έχουν παραγγελθεί από τον καταναλωτή, στ) ρητή ενημέρωση του καταναλωτή ότι, αν δεν αγοράσει το προϊόν ή δεν αποδεχθεί την υπηρεσία, τίθεται σε κίνδυνο το επάγγελμα ή η ζωή του προμηθευτή, ζ) δημιουργία της ψευδούς εντύπωσης ότι ο καταναλωτής έχει ήδη κερδίσει, πρόκειται να κερδίσει ή, αν προβεί σε συγκεκριμένη ενέργεια, θα κερδίσει έπαθλο ή θα αποκομίσει άλλο αντίστοιχο όφελος, ενώ αυτά στην πραγματικότητα δεν υφίστανται, ή, ότι η δυνατότητα διεκδίκησης του επάθλου ή άλλου οφέλους προϋποθέτει την καταβολή χρημάτων από τον καταναλωτή ή συνεπάγεται δαπάνη.
Σύμφωνα με το άρθρο 11 του ν. 3471/2006, ως ισχύει,
Α) Απαγορεύεται η πραγματοποίηση επικοινωνίας με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, χωρίς ανθρώπινη παρέμβαση, για σκοπούς απ ευθείας εμπορικής προώθησης προϊόντων, ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, που δεν την ζήτησε το πρόσωπο στο οποίο απευθύνεται η επικοινωνία. Επιτρέπεται μόνο αν ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς.
Β) Απαγορεύεται η πραγματοποίηση επικοινωνίας με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, με ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, εφ όσον ο συνδρομητής έχει δηλώσει προς τον φορέα της υπηρεσίας, ότι δεν επιθυμεί γενικώς να δέχεται τέτοιες κλήσεις. Ο φορέας υποχρεούται να καταχωρίζει δωρεάν τις δηλώσεις αυτές σε ειδικό κατάλογο συνδρομητών, ο οποίος είναι στη διάθεση κάθε ενδιαφερομένου.
Γ) Απαγορεύεται η αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου, που έχουν σκοπό την άμεση εμπορική προώθηση προϊόντων και υπηρεσιών, καθώς και κάθε είδους διαφημιστικούς σκοπούς, όταν δεν αναφέρεται ευδιάκριτα και σαφώς η ταυτότητα του αποστολέα, ή του προσώπου προς όφελος του οποίου αποστέλλεται το μήνυμα, καθώς επίσης και μια έγκυρη διεύθυνση στην οποία ο αποδέκτης του μηνύματος μπορεί να ζητεί τον τερματισμό της επικοινωνίας.
Δ) Τα στοιχεία επαφής ηλεκτρονικού ταχυδρομείου που αποκτήθηκαν νομίμως, στο πλαίσιο της πώλησης προϊόντων ή υπηρεσιών ή άλλης συναλλαγής, μπορούν να χρησιμοποιούνται για την απευθείας προώθηση παρόμοιων προϊόντων ή υπηρεσιών του προμηθευτή ή για την εξυπηρέτηση παρόμοιων σκοπών, ακόμη και όταν ο αποδέκτης του μηνύματος δεν έχει δώσει εκ των προτέρων τη συγκατάθεσή του, υπό την προϋπόθεση ότι του παρέχεται κατά τρόπο σαφή και ευδιάκριτο η δυνατότητα να αντιτάσσεται, με εύκολο τρόπο και δωρεάν, στη συλλογή και χρησιμοποίηση των ηλεκτρονικών του στοιχείων, και αυτό κατά τη συλλογή των στοιχείων επαφής, καθώς και σε κάθε μήνυμα, σε περίπτωση που ο χρήστης αρχικά δεν είχε διαφωνήσει σε αυτή τη χρήση.
Ε) Τέλος, σύμφωνα με το άρθρο 9 παρ. 5 του νόμου 2251/1994, για την προστασία των καταναλωτών, ως ισχύει, απαγορεύεται η μετάδοση διαφημιστικού μηνύματος απευθείας στον καταναλωτή μέσω τηλεφώνου, τηλεομοιοτυπίας (φαξ), ηλεκτρονικού ταχυδρομείου, αυτόματης κλήσης ή άλλου ηλεκτρονικού μέσου επικοινωνίας. Επιτρέπεται μόνο εφόσον τηρούνται οι παραπάνω όροι και προϋποθέσεις.
ΣΤ) Από τον φορέα παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, που παραβίασε από αμέλεια τις παραπάνω υποχρεώσεις, οι αποδέκτες μη ζητηθείσας επικοινωνίας, έχουν το δικαίωμα να αξιώσουν, α) αποζημίωση για κάθε περιουσιακή ζημία, ή β) χρηματική ικανοποίηση για ηθική βλάβη, κατ' ελάχιστο, 10.000 ευρώ, ή γ) λήψη μέτρων, ώστε να μην επαναληφθεί η παραβίαση στο μέλλον, με απειλή χρηματικής ποινής.
Α. «Γενικοί Όροι Συναλλαγών», κατά την έννοια του άρθρου 2 του νόμου 2251/1994, για την προστασία των καταναλωτών, ως ισχύει, νοούνται οι όροι των συμβάσεων, που έχουν διατυπωθεί εκ των προτέρων για μελλοντικές συμβάσεις. Οι Γενικοί Όροι Συναλλαγών, υποχρεωτικά διατυπώνονται γραπτώς στην ελληνική γλώσσα.
Οι Γενικοί Όροι Συναλλαγών δεν δεσμεύουν τον καταναλωτή, εάν κατά την κατάρτιση της σύμβασης ο καταναλωτής τους αγνοούσε ανυπαιτίως, όπως, ιδίως, όταν ο προμηθευτής δεν του υπέδειξε την ύπαρξή τους, ή του στέρησε την δυνατότητα να λάβει πραγματική γνώση του περιεχομένου τους.
Όταν, οι Γενικοί Όροι Συναλλαγών έχουν ως αποτέλεσμα την σημαντική διατάραξη της ισορροπίας των δικαιωμάτων και υποχρεώσεων των συμβαλλομένων σε βάρος του καταναλωτή απαγορεύονται και είναι άκυροι, ως καταχρηστικοί.
Β. Γενικός κανόνας είναι ότι
α) Κατά την ερμηνεία των γενικών όρων συναλλαγών λαμβάνεται υπ όψιν η ανάγκη προστασίας των καταναλωτών.
β) ο καταχρηστικός χαρακτήρας του γενικού όρου κρίνεται, αφού ληφθούν υπ όψιν, η φύση των αγαθών, ή υπηρεσιών, που αφορά η σύμβαση, ο σκοπός της, το σύνολο των ειδικών συνθηκών κατά την σύναψή της και όλες οι υπόλοιπες ρήτρες της σύμβασης, ή άλλης σύμβασης από την οποία αυτή εξαρτάται.
γ) Οι Γενικοί όροι συναλλαγών, που διατυπώθηκαν μονομερώς από τον προμηθευτή, ή από τρίτον για λογαριασμό του, σε περίπτωση αμφιβολίας, ερμηνεύονται υπέρ του καταναλωτή.
Γ. Επόμενος κανόνας είναι ότι οι «Ειδικοί Όροι», δηλαδή οι Όροι που συμφωνήθηκαν μετά από ατομική διαπραγμάτευση μεταξύ των συμβαλλόμενων, υπερισχύουν των αντίστοιχων γενικών όρων.
α) Θεωρείται ότι ο όρος δεν αποτέλεσε αντικείμενο ατομικής διαπραγμάτευσης, όταν ο αντισυμβαλλόμενος του προμηθευτή δεν μπόρεσε να επηρεάσει το περιεχόμενό του. Το βάρος απόδειξης ότι υπήρξε ατομική διαπραγμάτευση το φέρει ο προμηθευτής.
β) Το γεγονός ότι για ορισμένα στοιχεία κάποιου όρου, ή για ένα μεμονωμένο όρο, υπήρξε ατομική διαπραγμάτευση, δεν αποκλείει τον χαρακτηρισμό άλλου γενικού όρου ως καταχρηστικού, αν από το σύνολο των περιστάσεων προκύπτει ότι πρόκειται για σύμβαση προσχώρησης.
γ) Ο προμηθευτής δεν μπορεί να επικαλεσθεί την ακυρότητα ολόκληρης της σύμβασης, για το λόγο ότι ένας, ή περισσότεροι, γενικοί όροι είναι άκυροι, ως καταχρηστικοί.
Δ. Σε κάθε περίπτωση οι Γενικοί Όροι Συναλλαγών είναι άκυροι, ως καταχρηστικοί, που
α) παρέχουν στον προμηθευτή, χωρίς εύλογη αιτία, υπερβολικά μεγάλη προθεσμία αποδοχής της πρότασης του καταναλωτή για σύναψη σύμβασης,
β) περιορίζουν τις ανειλημμένες συμβατικές υποχρεώσεις και ευθύνες των προμηθευτών,
γ) προβλέπουν προθεσμία καταγγελίας της σύμβασης υπερβολικά σύντομη για τον καταναλωτή, ή υπερβολικά μακρά για τον προμηθευτή,
δ) συνεπάγονται την παράταση ή ανανέωση της σύμβασης για χρονικό διάστημα υπερβολικά μακρό, αν ο καταναλωτής δεν την καταγγείλει σε ορισμένο χρόνο,
ε) επιφυλάσσουν στον προμηθευτή το δικαίωμα μονομερούς τροποποίησης, ή λύσης της σύμβασης, χωρίς ορισμένο, ειδικό και σπουδαίο λόγο, ο οποίος να αναφέρεται στη σύμβαση.
στ) επιτρέπουν στον προμηθευτή να καταγγείλει σύμβαση αόριστης διάρκειας χωρίς εύλογη προθεσμία,
ζ) επιφυλάσσουν στον προμηθευτή το δικαίωμα να κρίνει μονομερώς αν η παροχή του είναι σύμφωνη με τη σύμβαση,
η) επιφυλάσσουν στον προμηθευτή το απεριόριστο δικαίωμα να ορίζει μονομερώς το χρόνο εκπλήρωσης της παροχής του,
θ) ορίζουν ότι η παροχή δεν είναι υποχρεωτικό να ανταποκρίνεται στις ουσιώδεις για τον καταναλωτή προδιαγραφές, στο δείγμα, στις ανάγκες της ειδικής χρήσης, για την οποία την προορίζει ο καταναλωτής και την οποία αποδέχεται ο προμηθευτής ή στο συνηθισμένο προορισμό της,
ι) επιτρέπουν στον προμηθευτή να μην εκτελέσει τις υποχρεώσεις του χωρίς σπουδαίο λόγο,
ια) χωρίς σπουδαίο λόγο αφήνουν το τίμημα αόριστο και δεν επιτρέπουν τον προσδιορισμό του με κριτήρια ειδικά καθορισμένα στη σύμβαση και εύλογα για τον καταναλωτή,
ιβ) περιορίζουν την ευθύνη του προμηθευτή για κρυμμένα ελαττώματα του πράγματος,
ιγ) αποκλείουν ή περιορίζουν υπέρμετρα την ευθύνη του προμηθευτή,
ιδ) προβλέπουν τη μετακύληση της ευθύνης του πωλητή, ή του εισαγωγέα αποκλειστικά στον παραγωγό του αγαθού ή σε άλλον,
ιε) περιορίζουν την υποχρέωση του προμηθευτή να τηρεί τις υποχρεώσεις που έχουν αναλάβει οι εντολοδόχοι του ή εξαρτούν την εκπλήρωση των υποχρεώσεών του από την τήρηση ειδικής τυπικής διαδικασίας,
ιστ) επιτρέπουν στον προμηθευτή να καταγγέλλει τη σύμβαση κατά την κρίση του, αν η ίδια ευχέρεια δεν αναγνωρίζεται στον καταναλωτή, ή να παρακρατεί τα ποσά που έχουν καταβληθεί για παροχές που δεν έχουν ακόμη εκτελεσθεί από αυτόν, όταν τη σύμβαση καταγγέλλει ο ίδιος,
ιζ) συνεπάγονται παραίτηση του καταναλωτή από τα δικαιώματά τους σε περίπτωση μη εκπλήρωσης ή πλημμελούς εκπλήρωσης της παροχής του προμηθευτή, ακόμη και αν τον προμηθευτή βαρύνει πταίσμα,
ιη) εμποδίζουν τον καταναλωτή να υπαναχωρήσει (από τη σύμβαση), όταν η αύξηση του τιμήματος σύμφωνα με τους όρους της σύμβασης είναι υπερβολική γι' αυτόν,
ιθ) αποκλείουν ή περιορίζουν τη νόμιμη ευχέρεια του καταναλωτή να μην εκτελέσει τη σύμβαση,
κ) απαγορεύουν στον καταναλωτή να επισχέσει εν όλω ή εν μέρει την καταβολή του τιμήματος, όταν ο προμηθευτής δεν εκπληρώνει τις υποχρεώσεις του,
κα) επιβάλλουν στον καταναλωτή που πιστώθηκε με το τίμημα των αγαθών ή υπηρεσιών να εκδώσει μεταχρονολογημένη επιταγή,
κβ) συνεπάγονται παραίτηση του καταναλωτή από τις ενστάσεις του κατά τρίτου που διαδέχεται τον προμηθευτή στη σχέση με τον καταναλωτή,
κγ) απαγορεύουν στον καταναλωτή να προτείνει σε συμψηφισμό προς υποχρεώσεις του από τη σύμβαση ομοειδείς απαιτήσεις του κατά του προμηθευτή,
κδ) βεβαιώνουν ότι ο καταναλωτής γνωρίζει ορισμένους όρους της σύμβασης ή την κατάσταση των προμηθευομένων πραγμάτων ή την ποιότητα των υπηρεσιών, ενώ πραγματικά τα αγνοεί,
κε) υποχρεώνουν τον καταναλωτή να προκαταβάλει υπερβολικά μεγάλο μέρος του τιμήματος πριν αρχίσει η εκτέλεση της σύμβασης από τον προμηθευτή, μολονότι ο προμηθευτής δεν ανέλαβε την υποχρέωση να εκτελέσει παραγγελία του καταναλωτή με βάση συγκεκριμένες προδιαγραφές ή χαρακτηριστικά, ούτε η παροχή του προμηθευτή συνιστάται σε υπηρεσίες με κράτηση,
κστ) επιτρέπουν στον προμηθευτή να απαιτήσει από τον καταναλωτή υπέρμετρες εγγυήσεις,
κζ) αναστρέφουν το βάρος της απόδειξης σε βάρος του καταναλωτή ή περιορίζουν υπέρμετρα τα αποδεικτικά του μέσα,
κη) περιορίζουν υπέρμετρα την προθεσμία, μέσα στην οποία ο καταναλωτής οφείλει να υποβάλει στον προμηθευτή τα παράπονα ή να εγείρει τις αξιώσεις του κατά του προμηθευτή,
κθ) αναθέτουν στον προμηθευτή χωρίς σπουδαίο λόγο την αποκλειστικότητα της συντήρησης και των επισκευών του πράγματος και της προμήθειας των ανταλλακτικών,
λ) επιβάλλουν στον καταναλωτή, σε περίπτωση μη εκπλήρωσης της παροχής του, υπέρμετρη οικονομική επιβάρυνση, ή
λα) αποκλείουν την υπαγωγή των διαφορών από σύμβαση στο φυσικό τους δικαστή με την πρόβλεψη αποκλειστικής αλλοδαπής δικαιοδοσίας ή διαιτησίας.
λβ) προβλέπουν την καταβολή αποζημίωσης στον προμηθευτή, χωρίς αυτός να υποχρεούται να επικαλεστεί και να αποδείξει τη ζημία που υπέστη.
Α. Η χρήση συστημάτων βιντεοεπιτήρησης σε δημόσιους χώρους επιτρέπεται στις αρμόδιες δημόσιες αρχές
α) για την διαφύλαξη της εθνικής άμυνας,
β) για την πρόληψη, διερεύνηση, ανίχνευση ή δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων,
γ) την αποτροπή και καταστολή εγκλημάτων που συνιστούν επιβουλή της δημόσιας τάξης και δημόσιας ασφάλειας
δ) Την διαχείριση της κυκλοφορίας, για την αντιμετώπιση εκτάκτων καταστάσεων στο οδικό δίκτυο, την ρύθμιση της κυκλοφορίας οχημάτων, και την πρόληψη και διαχείριση τροχαίων ατυχημάτων.
Β. Η χρήση των συστημάτων επιτήρησης, για τους παραπάνω σκοπούς ρυθμίζεται από το πδ 75/2020 και τις κατά περίπτωση διατάξεις του Κανονισμού (ΕΕ) 2016/679, της Οδηγίας (ΕΕ) 2016/680 και του ν. 4624/2019.
Γ. Αποδέκτες των δεδομένων είναι οι αρμόδιες για κάθε σκοπό δικαστικές, εισαγγελικές, ή διοικητικές αρχές.
Δ. Τα δεδομένα διατηρούνται κατά μέγιστο για χρονικό διάστημα (15) ημερών από τη συλλογή τους, εκτός αν η διατήρηση είναι απαραίτητη για μεγαλύτερο χρονικό διάστημα, με σκοπό την διερεύνηση αξιόποινων πράξεων. Μετά την πάροδο του ανωτέρω χρονικού διαστήματος, τα δεδομένα καταστρέφονται. Επιτρέπεται η διατήρηση, όταν υπάρχουν δικαιολογημένες υπόνοιες σε βάρος του ατόμου στο οποίο αναφέρονται τα δεδομένα, για την προπαρασκευή ή τη διάπραξη στο μέλλον των αξιόποινων πράξεων
Ε. Επιτρέπεται η διαβίβαση των δεδομένων, προς το σκοπό της απόδειξης μιας αξιόποινης πράξης, στο θύμα, ή στο φερόμενο ως δράστη της πράξης, κατόπιν υποβολής σχετικού αιτήματος, εφ όσον ο αιτών αποδείξει ότι η διαβίβαση είναι απαραίτητη για την θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.
ΣΤ. Τα θέματα που αφορούν τα δικαιώματα των υποκειμένων ρυθμίζονται από τις ανά περίπτωση εφαρμοστέες διατάξεις του Κανονισμού (ΕΕ) υπ' αρ. 2016/679 και του ν. 4624/2019.
Ζ. Το υποκείμενο των δεδομένων έχει το δικαίωμα, να ζητεί και να λαμβάνει, από τον υπεύθυνο επεξεργασίας ή τους μετέχοντες στη διαδικασία επεξεργασίας, πληροφορίες για τα δεδομένα που το αφορούν και τους τυχόν αποδέκτες της επεξεργασίας, προσδιορίζοντας, με αίτησή του, κατά το δυνατόν, τον χρόνο και τον τόπο καταγραφής των προσωπικών του δεδομένων. Οι εκτελούντες την επεξεργασία οφείλουν να πληροφορήσουν τον αιτούντα χωρίς καθυστέρηση και σε κάθε περίπτωση, εντός (30) ημερών από την υποβολή της αιτήσεώς του, αν έχει καταγραφεί η εικόνα του, ή η φωνή του και σε καταφατική περίπτωση, εφόσον ζητείται, να χορηγούν αντίγραφο του σχετικού τμήματος της εγγραφής. Εφόσον συμφωνεί και το υποκείμενο των δεδομένων, μπορούν, εναλλακτικά, απλώς να επιδείξουν το ανωτέρω τμήμα. Όταν χορηγείται αντίγραφο, οι εκτελούντες την επεξεργασία οφείλουν να καλύπτουν την εικόνα, ή να αφαιρούν το ηχητικό απόσπασμα που αφορά τρίτα πρόσωπα.
Η. Οι εκτελούντες την επεξεργασία μπορούν να αρνηθούν να ενεργήσουν βάσει του αιτήματος. Στην περίπτωση αυτή, πρέπει να είναι σε θέση να αποδείξουν τον προδήλως αβάσιμο ή καταχρηστικό χαρακτήρα της αίτησης.
Θ. Ο υπεύθυνος επεξεργασίας, ή οι μετέχοντες στη διαδικασία της επεξεργασίας, μπορούν να αρνηθούν την ικανοποίηση δικαιωμάτων μόνο για τους λόγους που αναφέρονται στις ανά περίπτωση εφαρμοστέες διατάξεις του Κανονισμού (ΕΕ) 2016/679 και του ν. 4624/2019.
Ι. Εάν ο υπεύθυνος επεξεργασίας, ή οι μετέχοντες στη διαδικασία της επεξεργασίας, αρνηθούν να ικανοποιήσουν το αίτημα παροχής πληροφοριών, ή δεν απαντήσουν εντός του τριακονθημέρου, ο αιτών μπορεί να προσφύγει από την πάροδο άπρακτης της προθεσμίας απαντήσεως, ή από την κοινοποίηση της αρνητικής απόφασης στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με την επιφύλαξη των διατάξεων της παρ. 5 του άρθρου 10 και 59 του 4624/2019.
Α. Σύμφωνα με το άρθρο 27 ν. 4624/2019, με τον οποίο ενσωματώθηκε στην εθνική νομοθεσία ο Νέος Γενικός Κανονισμός Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679 (GDPR) δεδομένα προσωπικού χαρακτήρα των εργαζομένων μπορούν να υποβάλλονται σε επεξεργασία για σκοπούς της σύμβασης εργασίας, εφ όσον είναι απολύτως απαραίτητο για την απόφαση σύναψης σύμβασης εργασίας, ή μετά την σύναψη της σύμβασης εργασίας για την εκτέλεσή της.
Β. Η επεξεργασία γίνεται χωρίς την συγκατάθεση του εργαζομένου, εάν είναι απαραίτητη για την άσκηση των δικαιωμάτων, ή την εκπλήρωση νόμιμων υποχρεώσεων που απορρέουν από το εργατικό δίκαιο, το δίκαιο της κοινωνικής ασφάλισης και της κοινωνικής προστασίας, ή για τους σκοπούς της σύμβασης εργασίας βάσει συλλογικών συμβάσεων εργασίας. Στην περίπτωση αυτή τα διαπραγματευόμενα μέρη πρέπει να συμμορφωθούν με το άρθρο 88 παρ.2 του GDPR.
Γ. Σε κάθε άλλη περίπτωση ο νόμος προβλέπει την συγκατάθεση του εργαζομένου, η οποία πρέπει να είναι αποτέλεσμα ελεύθερης επιλογής. Το κατά πόσο η συγκατάθεση του εργαζομένου είναι αποτέλεσμα ελεύθερης επιλογής του λαμβάνονται υπόψη κυρίως, α) η υφιστάμενη στη σύμβαση εργασίας εξάρτηση του εργαζομένου και β) οι περιστάσεις κάτω από τις οποίες χορηγήθηκε η συγκατάθεση.
Δ. Η συγκατάθεση παρέχεται, είτε σε έγγραφη, είτε σε ηλεκτρονική μορφή και πρέπει να διακρίνεται σαφώς από την σύμβαση εργασίας. Ο εργοδότης πρέπει να ενημερώσει τον εργαζόμενο, είτε σε έγγραφη, είτε σε ηλεκτρονική μορφή, σχετικά με τον σκοπό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και το δικαίωμά του να ανακαλέσει την συγκατάθεση σύμφωνα με το άρθρο 7 παρ. 3 του GDPR.
Ε. Σημειώνεται ότι η βαρύτητα της συγκατάθεσης του εργαζομένου για μια τέτοια επεξεργασία, λόγω της σχέσης εξάρτησης του εργαζόμενου με τον εργοδότη, αποδυναμώνεται, σύμφωνα δε με την Γνώμη 8/2001 της Ομάδας εργασίας του άρθρου 29 της Επιτροπής των Ευρωπαϊκών Κοινοτήτων είναι πολύ δύσκολο να διασφαλιστεί ότι μια τέτοια συγκατάθεση είναι ελεύθερη.
ΣΤ. Ο υπεύθυνος επεξεργασίας πρέπει να λαμβάνει τα ενδεδειγμένα μέτρα για να εξασφαλίσει ότι τηρούνται οι αρχές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που ορίζονται στο άρθρο 5 του GDPR.
Ζ. Ο εργαζόμενος που βλάπτεται από την επεξεργασία των προσωπικών του δεδομένων μπορεί να ασκήσει τα δικαιώματα της πρόσβασης και της εναντίωσης. Ο εργοδότης είναι υποχρεωμένος βάσει του GDPR να απαντήσει εγγράφως. Εάν δεν απαντήσει, ή αν η απάντηση δεν είναι ικανοποιητική, μπορεί να υποβληθεί καταγγελία στην Αρχή Προστασίας Προσωπικών Δεδομένων, είτε μέσω συλλογικού οργάνου, είτε ατομικά.
Η. Σε κάθε περίπτωση ο εργαζόμενος μπορεί να ασκήσει τα δικαιώματα από το άρθρο 57 ΑΚ, περί προσβολής της προσωπικότητας, και να αξιώσει χρηματική ικανοποίηση λόγω ηθικής βλάβης, εφ όσον συντρέχουν οι προϋποθέσεις της αδικοπραξίας του Αστικού Κώδικα, δεδομένου ότι ο GDPR προβλέπει ότι σε κάθε παραβίαση στην επεξεργασία των προσωπικών δεδομένων, ο υπαίτιος υποχρεούται σε πλήρη αποζημίωση, αν δε προκάλεσε ηθική βλάβη, υποχρεούται σε χρηματική ικανοποίηση. Η ευθύνη σε αποζημίωση υπάρχει και όταν ο εργοδότης όφειλε να γνωρίζει την πιθανότητα να επέλθει βλάβη στον εργαζόμενο (ΑΠ 2244/2013, ΑΠ 163/2020).
Α. Η λήψη και επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστών κυκλωμάτων τηλεοράσεως, εγκατεστημένων σε ιδιωτικούς χώρους από φυσικό πρόσωπο για την άσκηση δραστηριοτήτων αποκλειστικά προσωπικών, ή οικιακών, εκφεύγει από το πεδίο εφαρμογής του Νέου Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), που ενσωματώθηκε στην έννομη τάξη με τον ν. 4624/2019, γιατί η χρήση των καμερών θεωρείται οικιακή και δεν εμπίπτει στη νομοθεσία για τα προσωπικά δεδομένα.
Β. Επομένως, εάν οι κάμερες λαμβάνουν εικόνα εντός του διαμερίσματος, ή την είσοδο του διαμερίσματος, δεν υφίσταται κανένας περιορισμός. Αν λαμβάνουν εικόνα του διαδρόμου της πολυκατοικίας, της εισόδου της πολυκατοικίας, ή του δρόμου, απαγορεύεται. Για να θεωρηθεί οικιακή η χρήση πρέπει η κάμερα να επιβλέπει τον απολύτως απαραίτητο χώρο της εισόδου, χωρίς να γίνεται καταγραφή εικόνας ή ήχου (π.χ. για να βλέπετε ποιος σας χτυπάει το κουδούνι).
Γ. Κατ' εξαίρεση επιτρέπεται, χωρίς την συναίνεση του βιντεοσκοπούμενου, εφόσον συντρέχουν σωρευτικά οι ακόλουθες προϋποθέσεις
α) αποσκοπεί στην προστασία προσώπων ή αγαθών,
β) είναι απολύτως αναγκαία για την επίτευξη του σκοπού στον οποίο αποβλέπει, με την έννοια ότι αυτός δεν μπορεί να επιτευχθεί εξίσου αποτελεσματικά με άλλα λιγότερο επαχθή για το υποκείμενο της επεξεργασίας μέσα,
γ) το έννομο συμφέρον του βιντεοσκοπούντος (υπευθύνου της επεξεργασίας) υπερέχει καταφανώς των δικαιωμάτων και των συμφερόντων του υποκειμένου της βιντεοσκόπησης και η επεξεργασία δεν βλάπτει τις προσωπικές του ελευθερίες.
Α. Η λήψη και επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστών κυκλωμάτων τηλεοράσεως, εγκατεστημένων σε ιδιωτικούς χώρους από φυσικό πρόσωπο για την άσκηση δραστηριοτήτων αποκλειστικά προσωπικών, ή οικιακών, εκφεύγει από το πεδίο εφαρμογής του Νέου Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), που ενσωματώθηκε στην έννομη τάξη με τον ν. 4624/2019. Επομένως, εάν οι κάμερες καταγράφουν αποκλειστικά ιδιωτικό χώρο, δεν εφαρμόζεται η νομοθεσία για τα προσωπικά δεδομένα, και οι σχετικές υποχρεώσεις που απορρέουν από αυτή.
Β. Δεν συμβαίνει όμως το ίδιο και απαγορεύεται, οσάκις από εγκατεστημένο σε ιδιωτικό χώρο κλειστό κύκλωμα τηλεόρασης βιντεοσκοπούνται, με τη χρήση καμερών, κοινόχρηστοι εξωτερικοί χώροι, όπως μεταξύ άλλων είναι γειτονικοί ιδιωτικοί χώροι (πολυκατοικίες, διαμερίσματα κλπ) που ανήκουν σε τρίτους και παρέχεται στον ιδιοκτήτη του κλειστού κυκλώματος τηλεόρασης η δυνατότητα λήψεως, αποθηκεύσεως ή άλλης περαιτέρω επεξεργασίας, της εικόνας τρίτων προσώπων, γιατί τότε πρόκειται για λήψη και επεξεργασία δεδομένων προσωπικού χαρακτήρα τρίτων προσώπων.
Γ. Αν η κάμερα δεν εστιάζει αποκλειστικά στον ιδιωτικό χώρο του βιντεοσκοπούντος, ο βιντεοσκοπούμενος μπορεί κατ’ αρχήν να ασκήσει τα δικαιώματα που του παρέχει ο GDPR και ιδίως το δικαίωμα πρόσβασης και εναντίωσης. Αυτό σημαίνει ότι μπορεί ανά πάσα στιγμή να ζητήσει και να λάβει κάθε πληροφορία σχετικά με την επεξεργασία (σκοπό, είδος των δεδομένων που συλλέγονται, αποδέκτες, ή κατηγορίες αποδεκτών, χρόνο τήρησης δεδομένων, κλπ), καθώς επίσης και να υποβάλει αίτηση στον υπεύθυνο επεξεργασίας (βιντεοσκοπούντα) να του επιδείξει, ή να του δώσει αντίγραφο του βιντεοσκοπικού υλικού.
Δ. Ο βιντεοσκοπούμενος μπορεί να εκφράσει την αντίρρησή του στην επεξεργασία και να ζητήσει εναντίωση στην επεξεργασία (άρθρο 21 GDPR), διαγραφή των δεδομένων (άρθρο 17 GDPR), ή «περιορισμό» της επεξεργασίας (άρθρο 18 GDPR). Το αίτημα πρέπει να είναι αιτιολογημένο, δηλαδή να εξηγούνται στον υπεύθυνο επεξεργασίας οι λόγοι για τους οποίους η επεξεργασία δεν είναι νόμιμη κατά την γνώμη του. Ο υπεύθυνος επεξεργασίας οφείλει να απαντήσει χωρίς καθυστέρηση και, σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος (άρθρο 12 παρ. 3 GDPR). Αν δεν απαντήσει, ή αν η απάντηση δεν είναι ικανοποιητική, τότε ο αιτών μπορεί να προβεί σε καταγγελία στην Αρχή Προστασίας Προσωπικών Δεδομένων.
Ε. Δεν υφίσταται υποχρέωση απάντησης, αν η επεξεργασία περιορίζεται σε λήψη εικόνας αποκλειστικά ιδιωτικού χώρου του βιντεοσκοπούντος.
ΣΤ. Η Αρχή Προστασίας Προσωπικών Δεδομένων στις περισσότερες περιπτώσεις δεν είναι σε θέση να βεβαιώσει παράβαση, καθώς για να συμβεί αυτό απαιτείται έλεγχος εντός κατοικίας, τον οποίο η Αρχή δεν έχει δυνατότητα να πραγματοποιήσει (άρθρο 9 του Συντάγματος). Επομένως, αν δεν υπάρχει οπτικό υλικό από το οποίο να προκύπτει η εμβέλεια των καμερών, είναι εξαιρετικά δύσκολο να τεκμηριωθεί η εφαρμογή της νομοθεσίας για τα προσωπικά δεδομένα. Στις περιπτώσεις αυτές η Αρχή δρα ενημερωτικά και συμβουλευτικά.
Ζ. Σε κάθε περίπτωση ο βιντεοσκοπούμενος μπορεί να ασκήσει τα δικαιώματα από το άρθρο 57 ΑΚ, περί προσβολής της προσωπικότητας, και να αξιώσει χρηματική ικανοποίηση λόγω ηθικής βλάβης, εφ όσον συντρέχουν οι προϋποθέσεις της αδικοπραξίας του Αστικού Κώδικα, δεδομένου ότι ο GDPR προβλέπει ότι σε κάθε παραβίαση στην επεξεργασία των προσωπικών δεδομένων, ο υπαίτιος υποχρεούται σε πλήρη αποζημίωση, αν δε προκάλεσε ηθική βλάβη, υποχρεούται σε χρηματική ικανοποίηση. Η ευθύνη σε αποζημίωση υπάρχει και όταν ο βιντεοσκοπών όφειλε να γνωρίζει την πιθανότητα να επέλθει βλάβη στον βιντεοσκοπούμενο (ΑΠ 2244/2013, ΑΠ 163/2020).
Α. Η λήψη και επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστών κυκλωμάτων τηλεοράσεως, εγκατεστημένων σε ιδιωτικούς χώρους από φυσικό πρόσωπο για την άσκηση δραστηριοτήτων αποκλειστικά προσωπικών, ή οικιακών, εκφεύγει από το πεδίο εφαρμογής του Νέου Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), που ενσωματώθηκε στην έννομη τάξη με τον ν. 4624/2019. Επομένως, εάν οι κάμερες καταγράφουν αποκλειστικά ιδιωτικό χώρο, δεν εφαρμόζεται η νομοθεσία για τα προσωπικά δεδομένα, και οι σχετικές υποχρεώσεις που απορρέουν από αυτή.
Β. Δεν συμβαίνει όμως το ίδιο και απαγορεύεται, οσάκις από εγκατεστημένο σε ιδιωτικό χώρο κλειστό κύκλωμα τηλεόρασης βιντεοσκοπούνται, με τη χρήση καμερών, κοινόχρηστοι εξωτερικοί χώροι, όπως μεταξύ άλλων είναι και οι δημοτικές ή κοινοτικές οδοί που τον περιβάλλουν, ή άλλοι γειτονικοί ιδιωτικοί χώροι ανήκοντες σε τρίτους, και παρέχεται στον ιδιοκτήτη του η δυνατότητα λήψεως, αποθηκεύσεως ή άλλης περαιτέρω επεξεργασίας της εικόνας τρίτων προσώπων που τους χρησιμοποιούν ελεύθερα, σύμφωνα με τον προορισμό τους, γιατί τότε πρόκειται για λήψη και επεξεργασία δεδομένων προσωπικού χαρακτήρα τρίτων προσώπων.
Γ. Κατ' εξαίρεση επιτρέπεται, χωρίς την συναίνεση του υποκειμένου της, εφόσον συντρέχουν σωρευτικά οι ακόλουθες προϋποθέσεις
α) αποσκοπεί στην προστασία προσώπων ή αγαθών,
β) είναι απολύτως αναγκαία για την επίτευξη του σκοπού στον οποίο αποβλέπει, με την έννοια ότι αυτός δεν μπορεί να επιτευχθεί εξίσου αποτελεσματικά με άλλα λιγότερο επαχθή για το υποκείμενο της επεξεργασίας μέσα,
γ) το έννομο συμφέρον του βιντεοσκοπούντος (υπευθύνου της επεξεργασίας) υπερέχει καταφανώς των δικαιωμάτων και των συμφερόντων των υποκειμένων της βιντεοσκόπησης και η επεξεργασία δεν βλάπτει τις προσωπικές τους ελευθερίες,
Δ. Σημειώνεται ότι με τον GDPR δεν απαιτείται, πλέον, η γνωστοποίηση στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της εγκατάστασης του κλειστού κυκλώματος, ούτε υπάρχει υποχρέωση λήψης άδειας επεξεργασίας από την Αρχή. Σε κάθε περίπτωση, όμως, ο υπεύθυνος επεξεργασίας φέρει την ευθύνη να είναι σε θέση να αποδείξει τη νόμιμη λειτουργία ενός τέτοιου συστήματος (αρχή της λογοδοσίας, άρθρο 5 παρ. 2 του GDPR).
Ε. Η μη τήρηση, ή μη συνδρομή, μιας οποιασδήποτε από τις παραπάνω προϋποθέσεις καθιστά παράνομη την δια κλειστού κυκλώματος τηλεόρασης και κάμερας εγκατεστημένων σε ιδιωτικό χώρο λήψη και επεξεργασία δεδομένων προσωπικού χαρακτήρα τρίτων προσώπων, που διέρχονται έξω από αυτόν, όπως μεταξύ άλλων είναι και η εικόνα τους, ως προσβάλλουσα το δικαίωμα της προσωπικότητάς τους.
ΣΤ. Τα τρίτα αυτά πρόσωπα δικαιούνται, κατ' άρθρο 57 ΑΚ, να αξιώσουν χρηματική ικανοποίηση λόγω ηθικής βλάβης, εφ όσον συντρέχουν οι προϋποθέσεις της αδικοπραξίας, δεδομένου ότι ο GDPR προβλέπει ότι σε κάθε παραβίαση στην επεξεργασία των προσωπικών δεδομένων, ο υπαίτιος υποχρεούται σε πλήρη αποζημίωση, αν δε προκάλεσε ηθική βλάβη, υποχρεούται σε χρηματική ικανοποίηση. Η ευθύνη σε αποζημίωση υπάρχει και όταν ο υπόχρεος όφειλε να γνωρίζει την πιθανότητα να επέλθει βλάβη σε άλλον (ΑΠ 2244/2013, ΑΠ 163/2020).
Α. Η προστασία του απορρήτου σε κάθε μορφής επικοινωνία αποτελεί συνταγματικά κατοχυρωμένο δικαίωμα και νόμος ορίζει τις εγγυήσεις υπό τις οποίες η δικαστική αρχή δεν δεσμεύεται από το απόρρητο για λόγους εθνικής ασφάλειας ή για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων (άρθρο 19 του Συντάγματος). Η διαδικασία για τη νόμιμη άρση του απορρήτου καθορίζεται λεπτομερώς στην ισχύουσα νομοθεσία.
Β. Η παραβίαση του απορρήτου των επικοινωνιών είναι ποινικό αδίκημα. Επισύρει την επιβολή διοικητικών κυρώσεων έναντι παρόχων ηλεκτρονικών επικοινωνιών (σύσταση, χρηματικό πρόστιμο, ανάκληση του δικαιώματος παροχής υπηρεσιών), από την ΑΔΑΕ και άλλες Δημόσιες Αρχές.
Γ. Τα ηλεκτρονικά μηνύματα εμπίπτουν στο απόρρητο των επικοινωνιών και προστατεύονται κατά την παρ. 1 του άρθρου 19 Συντάγματος μόνο κατά το στάδιο της επικοινωνίας. Μετά την ολοκλήρωση της επικοινωνίας, τα ηλεκτρονικά μηνύματα που διατηρεί ο αποστολέας ή ο παραλήπτης τους σε τυπωμένη μορφή, ή στον υπολογιστή του, χωρίς χρήση κωδικού πρόσβασης, δεν εμπίπτουν στο προστατευτικό πεδίο του άρθρου 19 παρ. 1 Συντάγματος, αλλά σε εκείνο των διατάξεων 9 και 9 Α του Συντάγματος.
Δ. Σύμφωνα με την αριθμό 6/2008 Γνωμοδότηση του Εισαγγελέα του Αρείου Πάγου, ο σκληρός δίσκος ενός υπολογιστή δεν αποτελεί είδος επικοινωνίας και συνεπώς, τα στοιχεία τα οποία βρίσκονται αποθηκευμένα στο σκληρό δίσκο ηλεκτρονικών υπολογιστών δεν εμπίπτουν στην προστατευτική σφαίρα του απορρήτου της επικοινωνίας.
Με τον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), που ενσωματώθηκε στην έννομη τάξη με τον ν. 4624/2019, οι αρχές επεξεργασίας είναι οι εξής (9)
1. Της συγκατάθεσης ενηλίκου (άρθρο 7)
Απαραίτητη είναι η συγκατάθεση του ενηλίκου στην επεξεργασία των προσωπικών του δεδομένων. Ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε. Η συγκατάθεση είναι σύννομη, όταν το υποκείμενο των δεδομένων έχει αληθινή και ελεύθερη επιλογή, ή να αρνηθεί, ή να αποσύρει την συγκατάθεση, χωρίς να ζημιωθεί. Το υποκείμενο των δεδομένων πρέπει να γνωρίζει την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας. Εάν η συγκατάθεση παρέχεται με γραπτή δήλωση, που αφορά και άλλα θέματα, το αίτημα για συγκατάθεση πρέπει να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή.
2. Της συγκατάθεσης παιδιού (άρθρο 8)
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού είναι σύννομη εάν το παιδί είναι τουλάχιστον 16 χρονών. Εάν το παιδί είναι ηλικίας κάτω των 16 ετών, απαραίτητη είναι η συγκατάθεση, ή έγκριση, του έχοντος την γονική μέριμνα του παιδιού. Τα κράτη μέλη δύνανται να προβλέψουν με νόμο μικρότερη ηλικία των 16 ετών, με την προϋπόθεση ότι η εν λόγω δεν είναι κάτω από τα 13 έτη.
3. Της νομιμότητας (άρθρο 5 και 6)
Η επεξεργασία δεν είναι νόμιμη, όταν δεν υπερισχύει το συμφέρον, ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
α) Η επεξεργασία για να είναι νόμιμη κατά τον αρχικό σκοπό πρέπει να συντρέχει μία τουλάχιστον από τις παρακάτω προϋποθέσεις, 1) το υποκείμενο των δεδομένων να έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού του χαρακτήρα για έναν, ή περισσότερους συγκεκριμένους σκοπούς, 2) η επεξεργασία να είναι απαραίτητη, α) για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος, ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης, β) για τη συμμόρφωση με υποχρέωση του υπευθύνου επεξεργασίας, γ) για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων, ή άλλου φυσικού προσώπου, δ) για την εκπλήρωση καθήκοντος, που εκτελείται προς το δημόσιο συμφέρον, ή κατά την άσκηση δημόσιας εξουσίας.
β) Επεξεργασία, για άλλους σκοπούς από τον αρχικό, είναι νόμιμη, εφ όσον η επεξεργασία είναι συμβατή με τους σκοπούς για τους οποίους τα δεδομένα αρχικά συλλέχθηκαν. Για να εξακριβώσει ο υπεύθυνος επεξεργασίας κατά πόσο η επεξεργασία για άλλο σκοπό είναι σύννομη πρέπει να λάβει υπ όψιν του, α) την σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα, β) των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας, γ) την σχέση υποκειμένου των δεδομένων και υπευθύνου επεξεργασίας, δ) την φύση των δεδομένων, ιδίως ευαίσθητων, στ) τις συνέπειες της περαιτέρω επεξεργασίας, ζ) την ύπαρξη κατάλληλων εγγυήσεων, όπως κρυπτογράφηση ή ψευδωνυμοποίηση.
4. Της ακρίβειας και αντικειμενικότητας (άρθρο 5).
Τα δεδομένα πρέπει να είναι ακριβή και το υποκείμενο της επεξεργασίας, να έχει ενημέρωση ως προς τα δεδομένα που επεξεργάζονται.
5. Της ακεραιότητας και εμπιστευτικότητας (άρθρο 5).
Τα δεδομένα πρέπει να υποβάλλονται σε επεξεργασία με τρόπο, που εγγυάται την ασφάλεια και την προστασία τους από παράνομη επεξεργασία, ή απώλεια, καταστροφή, ή φθορά τους.
6. Της διαφάνειας (άρθρα 5και 12).
Τα δεδομένα πρέπει να υποβάλλονται σε σύννομη και θεμιτή διαφανή επεξεργασία, με την συγκατάθεση του υποκειμένου. Η διαφάνεια διασφαλίζεται με την ενημέρωση του υποκειμένου για την συλλογή των δεδομένων και τον σκοπό της συλλογής. Η ενημέρωση οφείλει να είναι συνοπτική και κατανοητή, με σαφή και απλή διατύπωση.
7. Της ανωνυμοποίησης των δεδομένων
Τα δεδομένα πρέπει να επεξεργάζονται κατά τρόπο, που να διασφαλίζεται η μη ταυτοποίηση του υποκειμένου των δεδομένων. Δύο είναι οι προτεινόμενοι τρόποι από τον Κανονισμό, η κρυπτογράφηση και η ψευδωνυμοποίηση. Κρυπτογράφηση είναι, ο μετασχηματισμός δεδομένων σε μορφή που να είναι αδύνατον να διαβαστεί, χωρίς τη γνώση της σωστής ακολουθίας. Η ακολουθία καλείται «κλειδί» και χρησιμοποιείται σε συνδυασμό με κατάλληλο αλγόριθμο. Ψευδωνυμοποίηση είναι, η τεχνική με την οποία τα δεδομένα δεν μπορούν, να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων, χωρίς τη χρήση συμπληρωματικών πληροφοριών. Οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα. Βασικό παράδειγμα είναι η αντικατάσταση των ευαίσθητων δεδομένων με μη ευαίσθητα, το θόλωμα της εικόνας.
8. Της ελαχιστοποίησης δεδομένων (άρθρο 5).
Τα δεδομένα που συλλέγονται πρέπει να είναι κατάλληλα, συναφή, και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.
9. Της λογοδοσίας (άρθρο 5).
Με την αρχή της λογοδοσίας μετατοπίζεται το «βάρος της απόδειξης», από το ενιστάμενο πρόσωπο, στον υπεύθυνο επεξεργασίας (ή στον εκτελούντα την επεξεργασία). Ο υπεύθυνος επεξεργασίας (ή ο εκτελών την επεξεργασία) οφείλουν ανά πάσα στιγμή, τόσο στο ενιστάμενο πρόσωπο, όσο και ενώπιον της Αρχής και των δικαστηρίων, να μπορούν να αποδείξουν ότι είναι πλήρως συμμορφωμένοι με όσα προβλέπει ο Κανονισμός.
Α. Η με τον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), που ενσωματώθηκε στην έννομη τάξη με τον ν. 4624/2019, η προστασία των προσωπικών δεδομένων δεν εξικνείται μέχρι της πλήρους απαγορεύσεως της επεξεργασίας τους, αλλά στη θέσπιση όρων και προϋποθέσεων, υπό τις οποίες είναι επιτρεπτή η επεξεργασία τους, ούτως ώστε να επιτευχθεί μία δίκαιη ισορροπία μεταξύ της προστασίας του δικαιώματος αυτού και της ικανοποιήσεως και άλλων συνταγματικά κατοχυρωμένων δικαιωμάτων (ΣτΕ 1616/2012, ΣτΕ 2254/2005), όπως είναι το δικαίωμα της έννομης προστασίας (άρθρο 20 παρ.1 Συντάγματος).
Β. Τέτοιο έννομο συμφέρον αποτελεί η άσκηση δικαιώματος ενώπιον Δικαστηρίου και ιδίως η περίπτωση κατά την οποία τα στοιχεία που ζητούνται είναι αναγκαία για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματος. Μπορεί να είναι κάθε είδους Δικαστήρια, πολιτικά, ποινικά ή διοικητικά, με οποιαδήποτε διαδικασία, και με οποιαδήποτε ιδιότητα και αν μετέχει, ως ενάγων ή εναγόμενος.
Γ. Ειδικότερα, όπως έχει κρίνει κατ' επανάληψη η Αρχή Προστασίας Δεδομένων (8/2005, 9/2005 και 57/2009), η χρήση ενώπιον Δικαστηρίου προσωπικών δεδομένων, που έχουν συλλεγεί χωρίς προηγούμενη συναίνεση του ενδιαφερομένου είναι θεμιτή, αν ο επιδιωκόμενος σκοπός της προάσπισης των δικαιωμάτων δεν μπορεί να επιτευχθεί με άλλα ηπιότερα μέσα (ΟλΑΠ 1/2017, ΜονΠρΠατρων 64/2021).
Α. Η με τον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), που ενσωματώθηκε στην έννομη τάξη με τον ν. 4624/2019, η προστασία των προσωπικών δεδομένων δεν εξικνείται μέχρι της πλήρους απαγορεύσεως της επεξεργασίας τους, αλλά στη θέσπιση όρων και προϋποθέσεων, υπό τις οποίες είναι επιτρεπτή η επεξεργασία τους, ούτως ώστε να επιτευχθεί μία δίκαιη ισορροπία μεταξύ της προστασίας του δικαιώματος αυτού, και της ικανοποιήσεως και άλλων συνταγματικά κατοχυρωμένων δικαιωμάτων (ΣτΕ 1616/2012, ΣτΕ 2254/2005), όπως είναι το δικαίωμα της έννομης προστασίας (άρθρο 20 παρ.1 Συντάγματος) και της επιχειρηματικής ελευθερίας (άρθρα 5 και 106 παρ.2 Συντάγματος).
Β. Τέτοιο έννομο συμφέρον αποτελεί η άσκηση της οικονομικής ελευθερίας του εργοδότη καθώς και η άσκηση δικαιώματος ενώπιον δικαστηρίου και ιδίως η περίπτωση κατά την οποία τα στοιχεία που ζητούνται είναι αναγκαία για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματος. Χαρακτηριστικό παράδειγμα αποτελεί η προσκόμιση των προσωπικών δεδομένων από τον εργοδότη ενώπιον του δικαστηρίου και διοικητικών ή ανεξάρτητων αρχών για την υπεράσπιση των δικαιωμάτων του. Μπορεί να είναι κάθε είδους δικαστήρια, πολιτικά, ποινικά ή διοικητικά, με οποιαδήποτε διαδικασία, και με οποιαδήποτε ιδιότητα και αν μετέχει ο εργοδότης, όπως ενάγων ή εναγόμενος.
Γ. Όπως έχει κρίνει κατ επανάληψη η Αρχή Προστασίας Δεδομένων, η χρήση ενώπιον δικαστηρίου προσωπικών δεδομένων που έχουν συλλεγεί χωρίς προηγούμενη συναίνεση του ενδιαφερομένου είναι θεμιτή αν «ο επιδιωκόμενος σκοπός της προάσπισης των δικαιωμάτων δεν μπορεί να επιτευχθεί με άλλα ηπιότερα μέσα» (Αρχή Προστασίας Δεδομένων, 8/2005, 9/2005 και 57/2009).
Δ. Επομένως, προς απόδειξη ενώπιον Δικαστηρίου αθέμιτης και επιζήμιας για τον εργοδότη συμπεριφοράς εργαζομένου, είναι θεμιτή η αποκάλυψη και προσκόμιση στο Δικαστήριο κρίσιμων προσωπικών δεδομένων του εργαζομένου, που συνελέγησαν χωρίς προηγούμενη συναίνεση του. Η αποκάλυψη και προσκόμιση στο Δικαστήριο των δεδομένων είναι αυτών είναι θεμιτή για την άσκηση του δικαιώματος της δικαστικής προστασίας του εργοδότη (άρθρο 20 παρ.1 Συντάγματος), προκειμένου να διασφαλισθεί το δικαίωμα της επιχειρηματικής ελευθερίας του (άρθρα 5 και 106 παρ.2 Συντάγματος), αλλά και σύμφωνα με τα άρθρα 9 και 9 Α του Συντάγματος και του άρθρου 8 της ΕΣΔΑ.
Ε. Επομένως, αρχεία, που ανασύρθηκαν από την εργοδότη από τον ηλεκτρονικό υπολογιστή εργαζομένου, και ήλθαν σε γνώση του, χωρίς την συγκατάθεση του εργαζομένου και χωρίς την τήρηση της νόμιμης διαδικασίας για την άρση του απορρήτου, δεν συνιστούν παράνομα αποδεικτικά μέσα (ΟλΑΠ 1/2017).
Στον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) που ενσωματώθηκε στην έννομη τάξη με τον ν. 4624/2019, στο άρθρο 9 του Κανονισμού προβλέπεται ότι επιτρέπεται η επεξεργασία, πέραν των άλλων, όταν η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής, ή επαγγελματικής ιατρικής, όπως εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών.
Α. Σύμφωνα με τον GDPR (ν. 4624/2019) προβλέπεται ότι η επεξεργασία των προσωπικών δεδομένων πρέπει να εκτελείται από πρόσωπο που ασχολείται κατ' επάγγελμα με την παροχή υπηρεσιών υγείας, υποκείμενο σε καθήκον εχεμύθειας και κώδικα δεοντολογίας.
Β. Ο υπεύθυνος επεξεργασίας και τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα ενεργώντας υπό την άμεση εποπτεία του ή για λογαριασμό του, τελούν υπό τους ανωτέρω περιορισμούς, την έκταση και τα όρια του καθορισμένου από τον νόμο σκοπού αυτής της επεξεργασίας.
Γ. Ο νόμος δεν κάνει διαχωρισμό και προστατεύει το άτομο από την επεξεργασία δεδομένων, που συνδέονται άρρηκτα ή αιτιωδώς με την ασθένεια ή την υγεία του, στα οποία περιλαμβάνονται, εκτός άλλων, οι ημερομηνίες επίσκεψης σε ιατρό ή νοσηλευτικό ίδρυμα και παροχής συναφών υπηρεσιών και όχι μόνο αυτά που ανάγονται στον λόγο της επίσκεψης, την διάγνωση, την αγωγή που ακολουθήθηκε ή τα αποτελέσματα των κλινικών και παρακλινικών εξετάσεων και συνεπώς, συνιστά ανεπίτρεπτη επεξεργασία και καταστρατήγηση των προβλεπομένων διατάξεων, η ανακοίνωση, η μετάδοση, η διαβίβαση και η διάδοση των προσωπικών δεδομένων αρχείου, που συσχετίζονται με θέματα υγείας (ΠολΠρΑθ 2657/2011).
Στον ν. 4624/2019 για την ενσωμάτωση στην εθνική νομοθεσία του Κανονισμού (ΕΕ) 2016/679 (GDPR) στο κεφάλαιο Δ, άρθρα 43 – 82, ενσωματώθηκε στην εθνική νομοθεσία η Οδηγία (ΕΕ) 2016/680, που καθορίζει τους κανόνες επεξεργασίας δεδομένων προσωπικού χαρακτήρα που γίνονται από τις αρμόδιες αρχές επιβολής του νόμου για τους σκοπούς α) της πρόληψης, της διερεύνησης, της ανίχνευσης, της δίωξης, ποινικών αδικημάτων, β) της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους.
Α. Σύμφωνα με το άρθρο 80 του νόμου, η Δημόσια αρχή, που προκάλεσε παρανόμως ζημία στο υποκείμενο των δεδομένων προσωπικού χαρακτήρα, κατά παράβαση των διατάξεων των άρθρων 6 έως και 8 της Οδηγίας, ή των διατάξεων του Κεφαλαίου Δ του νόμου, υποχρεούται, σύμφωνα με τις διατάξεις των άρθρων 105 και 106 ΕισΝΑΚ, σε αποζημίωση ή σε χρηματική ικανοποίηση λόγω ηθικής βλάβης στο υποκείμενο των δεδομένων.
Β. Τα άρθρα 81 και 82 περιγράφουν τις ποινικές και διοικητικές κυρώσεις που η Αρχή Προστασίας Προσωπικών Δεδομένων δύναται να επιβάλει στην Δημόσια αρχή για παραβάσεις των υποχρεώσεών της κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα του υποκειμένου των δεδομένων.
Στον ν. 4624/2019 για την ενσωμάτωση στην εθνική νομοθεσία του Κανονισμού (ΕΕ) 2016/679 (GDPR) στο άρθρο 42 προβλέφθηκε ότι η εφαρμογή των διατάξεων του άρθρου 5 του Κώδικα Διοικητικής Διαδικασίας ( Διαδικασίας (ν. 2690/1999) που αφορούν στη χορήγηση εγγράφων από φορείς του δημόσιου τομέα που εμπίπτουν στο πεδίο εφαρμογής του άρθρου 1 του ανωτέρω Κώδικα, καθώς και των λοιπών διατάξεων που αφορούν στη χορήγηση εγγράφων από τον εκάστοτε φορέα ή αρχή ή υπηρεσία παραμένει ανεπηρέαστη, όταν περιεχόμενο των εγγράφων αυτών αποτελούν δεδομένα προσωπικού χαρακτήρα.
Α. Κατά το άρθρο 5 του ν. 2690/1999 δημόσια έγγραφα είναι α) τα διοικητικά, αυτά δηλαδή που συντάσσονται από τις δημόσιες υπηρεσίες και β) τα ιδιωτικά έγγραφα που φυλάσσονται στις δημόσιες υπηρεσίες, γ) και όσα έγγραφα δεν προέρχονται μεν από δημόσιες υπηρεσίες, αλλά χρησιμοποιήθηκαν, ή ελήφθησαν υπ όψιν, για τον καθορισμό της διοικητικής δράσης, ή την διαμόρφωση γνώμης, ή κρίσης, του διοικητικού οργάνου.
Β. Προϋποθέσεις για την γνώση, ή λήψη αντιγράφου των δημοσίων εγγράφων (διοικητικών και ιδιωτικών) είναι, η υποβολή αίτησης, η καταβολή της απαιτουμένης δαπάνης αναπαραγωγής τους και η ύπαρξη εννόμου συμφέροντος στο πρόσωπο του αιτούντος. Η αίτηση του ενδιαφερομένου πρέπει να είναι σαφής και ορισμένη, δηλαδή να προσδιορίζεται το «εύλογο ενδιαφέρον», ή το «ειδικό έννομο συμφέρον» και να είναι δυνατόν να προσδιοριστούν τα αιτούμενα έγγραφα. Η χορήγηση διοικητικών εγγράφων που περιέχουν προσωπικά δεδομένα τρίτων προσώπων δεν επιτρέπεται, εάν τα δεδομένα αυτά αναφέρονται στην ιδιωτική ή οικογενειακή ζωή του τρίτου (ευαίσθητα προσωπικά δεδομένα).
Γ. Σε περίπτωση άρνησης της διοικητικής αρχής (ρητή ή σιωπηρή) να ικανοποιήσει το αίτημα, ο ενδιαφερόμενος δικαιούται να υποβάλει έγγραφη αίτηση στον Εισαγγελέα Πρωτοδικών προς έκδοση εισαγγελικής παραγγελίας. Ο Εισαγγελέας Πρωτοδικών, εφ όσον κρίνει το αίτημα νόμιμο και ορισμένο, δικαιούται να παραγγείλει τις υπηρεσίες του δημόσιου τομέα να παραδώσουν τα έγγραφα, ή να χορηγήσουν αντίγραφά τους, στον έχοντα το δικαίωμα, ή το έννομο συμφέρον, εφ όσον δεν πρόκειται για απόρρητα αναγνωρισμένα από το νόμο. Αν η εισαγγελική παραγγελία είναι αιτιολογημένη, η δημόσια διοίκηση οφείλει να συμμορφωθεί, άλλως είναι ενδεχόμενο να αναζητηθούν ευθύνες για απείθεια, ή παράβαση καθήκοντος. Οι εισαγγελικές παραγγελίες είναι δεσμευτικές ακόμη και αν στα ζητούμενα έγγραφα περιλαμβάνονται ευαίσθητα προσωπικά δεδομένα. Ο χαρακτηρισμός ενός εγγράφου ως «εμπιστευτικού» δεν αρκεί για να καταστήσει την αίτηση του ενδιαφερομένου μη νόμιμη, εφόσον δεν προστατεύεται απόρρητο νομοθετημένο.
Δ. Το δικαίωμα του πολίτη να λάβει γνώση των διοικητικών εγγράφων είναι αγώγιμο και η άρνηση της Διοίκησης (ρητή ή σιωπηρή) να ικανοποιήσει σχετικό αίτημα είναι εκτελεστή ατομική διοικητική πράξη και μπορεί να προβληθεί με αίτηση ακύρωσης ενώπιον του ΣτΕ, εφόσον το αντικείμενο ή η σχέση στην οποία αφορούν τα έγγραφα ρυθμίζεται από διατάξεις του δημοσίου δικαίου.
Α. Σύμφωνα με το άρθρο 82 του νέου Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), που ενσωματώθηκε με το άρθρο 40 του ν. 4624/2019, το πρόσωπο, το οποίο υπέστη ζημία (υλική, ή μη υλική) από την παραβίαση της επεξεργασίας των προσωπικών του δεδομένων δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας, ή τον εκτελούντα την επεξεργασία, για τη ζημία που υπέστη.
Β. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη για αποζημίωση, μόνο στην περίπτωση, που η ζημία προκλήθηκε από την εκ μέρους του επεξεργασία. Ο εκτελών την επεξεργασία φέρει την ευθύνη για αποζημίωση, μόνο στην περίπτωση, που δεν ανταποκρίθηκε στις υποχρεώσεις του Κανονισμού, ή υπερέβη, ή ενήργησε αντίθετα, προς τις νόμιμες εντολές του υπευθύνου επεξεργασίας. Ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, απαλλάσσονται από την ευθύνη, εάν αποδείξουν ότι δεν φέρουν καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας. Εάν εμπλέκονται στην επεξεργασία περισσότεροι του ενός, είτε υπεύθυνοι επεξεργασίας, είτε εκτελούντες την επεξεργασία, όλοι ευθύνονται σε αποζημίωση σε ολόκληρον. Εφ όσον κάποιος από αυτούς αποζημίωσε τον παθόντα, αυτός έχει το δικαίωμα να στραφεί αναγωγικά έναντι των άλλων συνυπευθύνων για την ανάκτηση μέρους της αποζημίωσης, που αντιστοιχεί στο μέρος της ευθύνης του. Αρμόδιο δικαστήριο είναι το δικαστήριο του κράτους- μέλους, στο οποίο ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, έχει την εγκατάστασή του, ή το υποκείμενο των δεδομένων έχει τη συνήθη διαμονή του.
Γ. Από τις διατάξεις αυτές, σε συνδυασμό με τις αναλόγως εφαρμοζόμενες διατάξεις των άρθρων 57, 59, 299 και 932 ΑΚ, συνάγεται ότι, σε περίπτωση που φυσικό ή νομικό πρόσωπο, κατά παράβαση των διατάξεων του ως άνω νόμου, προκαλέσει ηθική βλάβη στο υποκείμενο των προσωπικών δεδομένων, η ευθύνη του πρώτου για χρηματική ικανοποίηση του τελευταίου είναι νόθος αντικειμενική και προϋποθέτει, α) συμπεριφορά (πράξη ή παράλειψη) που παραβιάζει τις διατάξεις του GDPR, β) ηθική βλάβη, γ) αιτιώδη σύνδεσμο μεταξύ της συμπεριφοράς και της ηθικής βλάβης και δ) υπαιτιότητα, δηλαδή, γνώση, ή υπαίτια άγνοια, αφ' ενός των περιστατικών που συνιστούν την παράβαση και αφ' ετέρου της πιθανότητος να επέλθει ηθική βλάβη. Η ύπαρξη υπαιτιότητας τεκμαίρεται και, ως εκ τούτου, το πρόσωπο, που παραβιάζει τις εν λόγω διατάξεις, προκειμένου να απαλλαγεί από την ευθύνη του, έναντι του υποκειμένου των προσωπικών δεδομένων, που υπέστη ηθική βλάβη από την παραβίαση, έχει το βάρος να αποδείξει ότι ανυπαιτίως αγνοούσε τα θεμελιωτικά του πταίσματός του πραγματικά γεγονότα (ΑΠ 171/2019, ΑΠ 1740/2013, ΑΠ 637/2013, ΑΠ 79/2020).
Ο γονέας που δεν έχει την επιμέλεια, αλλά διατηρεί την γονική μέριµνα, έχει δυνατότητα προσβάσεως στον ιατρικό φάκελο του ανήλικου τέκνου του.
Όπως έχει αποφανθεί η Αρχή Προστασίας Προσωπικών Δεδομένων στις αποφάσεις 53/2010 και 18/2018, γονέας ο οποίος µε δικαστική απόφαση δεν ασκεί την επιμέλεια των τέκνων του, έχει δικαίωμα προσβάσεως στα ιατρικά δεδοµένα του ανήλικου τέκνου του, σύμφωνα με τις διατάξεις των άρθρων 1510 και 1513 ΑΚ, 14 παρ. 8 εδ. α του Κώδικα Ιατρικής ∆εοντολογίας, χωρίς το δικαίωμα αυτό να απαγορεύεται από τις διατάξεις του νέου Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), που ενσωματώθηκε με το άρθρο 40 του ν. 4624/2019 και μάλιστα, χωρίς να απαιτείται η συνδρομή στο πρόσωπό του συγκεκριμένου εννόμου συμφέροντος.
Στον ν. 4624/2019 για την ενσωμάτωση στην εθνική νομοθεσία του Κανονισμού (ΕΕ) 2016/679 (GDPR) στο άρθρο 42 προβλέφθηκε ότι η εφαρμογή των διατάξεων του άρθρου 5 του Κώδικα Διοικητικής Διαδικασίας (ν. 2690/1999) που αφορούν στη χορήγηση εγγράφων από φορείς του δημόσιου τομέα που εμπίπτουν στο πεδίο εφαρμογής του άρθρου 1 του ανωτέρω Κώδικα, καθώς και των λοιπών διατάξεων που αφορούν στη χορήγηση εγγράφων από τον εκάστοτε φορέα ή αρχή ή υπηρεσία παραμένει ανεπηρέαστη, όταν περιεχόμενο των εγγράφων αυτών αποτελούν δεδομένα προσωπικού χαρακτήρα.
Α. Σύμφωνα με το άρθρο 5 του Κώδικα Διοικητικής Διαδικασίας (ν. 2690/1999, ως ισχύει) κάθε ενδιαφερόμενος έχει το δικαίωμα, εφ όσον έχει ειδικό έννομο συμφέρον, ύστερα από γραπτή αίτησή του, να λαμβάνει γνώση των διοικητικών εγγράφων. Το δικαίωμα δεν υφίσταται στις περιπτώσεις που το έγγραφο αφορά ιδιωτική ή οικογενειακή ζωή τρίτου, ή αν παραβλάπτεται απόρρητο το οποίο προβλέπεται από ειδικές διατάξεις. Η αρμόδια διοικητική αρχή μπορεί να αρνηθεί την ικανοποίηση του δικαιώματος, αν η ικανοποίηση είναι δυνατό να δυσχεράνει ουσιωδώς την έρευνα δικαστικών, διοικητικών, αστυνομικών ή στρατιωτικών αρχών σχετικώς με την τέλεση εγκλήματος ή διοικητικής παράβασης. Το δικαίωμα ασκείται, α) με μελέτη του εγγράφου στο κατάστημα της υπηρεσίας της υπηρεσίας, ή β) με χορήγηση αντιγράφου, εκτός αν η αναπαραγωγή τούτου μπορεί να βλάψει το πρωτότυπο. Η χρονική προθεσμία για την χορήγηση των αιτουμένων εγγράφων, ή για την αιτιολογημένη απόρριψη της αίτησης είναι (20).
Β. Κατά το άρθρο 5 του ν. 2690/1999 δημόσια έγγραφα είναι α) τα διοικητικά, αυτά δηλαδή που συντάσσονται από τις δημόσιες υπηρεσίες και β) τα ιδιωτικά έγγραφα που φυλάσσονται στις δημόσιες υπηρεσίες, γ) και όσα έγγραφα δεν προέρχονται μεν από δημόσιες υπηρεσίες, αλλά χρησιμοποιήθηκαν, ή ελήφθησαν υπ όψιν, για τον καθορισμό της διοικητικής δράσης, ή την διαμόρφωση γνώμης, ή κρίσης, του διοικητικού οργάνου.
Γ. Προϋποθέσεις για την γνώση, ή λήψη, αντιγράφου των δημοσίων εγγράφων (διοικητικών και ιδιωτικών) είναι, η υποβολή αίτησης, η καταβολή της απαιτουμένης δαπάνης αναπαραγωγής τους και η ύπαρξη εννόμου συμφέροντος στο πρόσωπο του αιτούντος. Η χορήγηση διοικητικών εγγράφων που περιέχουν προσωπικά δεδομένα τρίτων προσώπων δεν επιτρέπεται, εάν τα δεδομένα αυτά αναφέρονται στην ιδιωτική ή οικογενειακή ζωή του τρίτου (ευαίσθητα προσωπικά δεδομένα).
Δ. Η Αρχή Προστασίας Προσωπικών Δεδομένων δεν έχει εκ του νόμου την αρμοδιότητα να ελέγχει την τήρηση της νομοθεσίας για την πρόσβαση στα δημόσια έγγραφα, παρά μόνο παρεμπιπτόντως. Επισημαίνεται ότι η Αρχή Προστασίας Δεδομένων, σύμφωνα με την με αριθμό 52/2018 απόφασή της, δεν έχει αρμοδιότητα να απαντά σε ερωτήματα ιδιωτών χορήγησης δημοσίων εγγράφων σε τρίτους.
Ε. Η Αρχή έχει κρίνει, με σειρά γνωμοδοτικών της εγγράφων (γνωμοδότηση 6/2013) ότι η ανακοίνωση δεδομένων κάποιου προσώπου σε τρίτους μέσω της πρόσβασης στα δημόσια έγγραφα επιτρέπεται και χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων, εάν είναι αναγκαία για την εκπλήρωση υποχρέωσης του υπευθύνου επεξεργασίας, η οποία επιβάλλεται από τον νόμο. Τέτοια υποχρέωση του υπευθύνου επεξεργασίας η Αρχή θεωρεί ότι προβλέπεται από τις διατάξεις του άρθρου 5 του ν. 2690/1999 για το δικαίωμα και αντίστοιχη αξίωση πρόσβασης στα δημόσια έγγραφα («διοικητικά», κατά το άρθρο 5 παρ. 1 και «ιδιωτικά» που φυλάσσονται από δημόσιες αρχές κατά το άρθρο 5 παρ. 2), όταν τα έγγραφα αυτά δεν αναφέρονται στην ιδιωτική ή οικογενειακή ζωή τρίτου και δεν παραβλάπτεται απόρρητο προβλεπόμενο από ειδικές διατάξεις. Ειδικότερα η Αρχή, ερμηνεύοντας την διάταξη του άρθρου 5 παρ. 3 του ν. 2690/1999, έχει κρίνει ότι η έννοια της «ιδιωτικής ή οικογενειακής ζωής» δεν ταυτίζεται αλλά είναι στενότερη της έννοιας των προσωπικών δεδομένων, αντιπαρατάσσεται στη «δημόσια ζωή» και αφορά μια γενικά παραδεκτή, σύμφωνα με τις κοινωνικές αντιλήψεις, «σφαίρα του απορρήτου» του ατόμου. Δέχεται, συγκεκριμένα, ότι όλα τα προσωπικά δεδομένα δεν είναι ικανά εκ της φύσεώς τους να θίξουν την ιδιωτική ζωή κάποιου προσώπου, ενώ ως δυνάμενα να επιφέρουν τέτοιο αποτέλεσμα θα πρέπει να αντιμετωπίζονται κυρίως οι ειδικές κατηγορίες δεδομένων, όπως εκείνα που σχετίζονται με τη φυλετική ή εθνική προέλευση, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τα σχετικά με την υγεία και τη σεξουαλική ζωή ενός προσώπου δεδομένα.
ΣΤ. Σύμφωνα με την ΓνδτΕισΑΠ 1/2005 η σχετική αίτηση του ενδιαφερομένου να λάβει γνώση εγγράφων πρέπει να είναι σαφής και ορισμένη, δηλαδή να προσδιορίζεται το «εύλογο ενδιαφέρον», ή το «ειδικό έννομο συμφέρον» και να είναι δυνατόν να προσδιοριστούν τα αιτούμενα έγγραφα.
Ζ. Σε περίπτωση άρνησης της διοικητικής αρχής (ρητή ή σιωπηρή) να ικανοποιήσει το αίτημα, ο ενδιαφερόμενος δικαιούται να υποβάλει έγγραφη αίτηση στον Εισαγγελέα Πρωτοδικών. Ο Εισαγγελέας Πρωτοδικών, εφ όσον κρίνει το αίτημα νόμιμο και ορισμένο, δικαιούται να παραγγείλει τις υπηρεσίες του δημόσιου τομέα να παραδώσουν τα έγγραφα, ή να χορηγήσουν αντίγραφά τους, στον έχοντα το δικαίωμα, ή το έννομο συμφέρον, εφ όσον δεν πρόκειται για απόρρητα αναγνωρισμένα από το νόμο. Αν η εισαγγελική παραγγελία είναι αιτιολογημένη, η δημόσια διοίκηση οφείλει να συμμορφωθεί, άλλως είναι ενδεχόμενο να αναζητηθούν ευθύνες για απείθεια, ή παράβαση καθήκοντος. Οι εισαγγελικές παραγγελίες είναι δεσμευτικές ακόμη και αν στα ζητούμενα έγγραφα περιλαμβάνονται ευαίσθητα προσωπικά δεδομένα. Ο χαρακτηρισμός ενός εγγράφου ως «εμπιστευτικού» δεν αρκεί για να καταστήσει την αίτηση του ενδιαφερομένου μη νόμιμη, εφόσον δεν προστατεύεται απόρρητο νομοθετημένο.
Η. Το δικαίωμα του πολίτη να λάβει γνώση των διοικητικών εγγράφων είναι αγώγιμο και η άρνηση της Διοίκησης (ρητή ή σιωπηρή) να ικανοποιήσει σχετικό αίτημα είναι εκτελεστή ατομική διοικητική πράξη και μπορεί να προβληθεί με αίτηση ακύρωσης ενώπιον του ΣτΕ, εφόσον το αντικείμενο ή η σχέση στην οποία αφορούν τα έγγραφα ρυθμίζεται από διατάξεις του δημοσίου δικαίου.
Σύμφωνα με τα άρθρα 18 και 19 του ν. 4624/2019, με τον οποίο ενσωματώθηκε στην εθνική νομοθεσία ο Νέος Γενικός Κανονισμός Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679 (GDPR) το υποκείμενο των δεδομένων δικαιούται να ζητήσει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας,
α) όταν αμφισβητεί την ακρίβεια των δεδομένων,
β) όταν η επεξεργασία είναι παράνομη,
γ) όταν τα δεδομένα δεν χρειάζονται πλέον στον υπεύθυνο επεξεργασίας,
δ) όταν έχει αντιταχθεί στην αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ.
Α. Όταν η επεξεργασία περιοριστεί, τα εν λόγω δεδομένα, εκτός της αποθήκευσης, υφίστανται επεξεργασία,
α) μόνο με τη συγκατάθεση του υποκειμένου των δεδομένων,
β) για τη θεμελίωση, άσκηση, ή υποστήριξη νομικών αξιώσεων,
γ) για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου, ή για λόγους σημαντικού δημόσιου συμφέροντος της Ένωσης ή κράτους- μέλους.
Β Το υποκείμενο των δεδομένων, ενημερώνεται από τον υπεύθυνο επεξεργασίας πριν από την άρση του περιορισμού επεξεργασίας.
Γ. Ο υπεύθυνος επεξεργασίας ανακοινώνει τον περιορισμό της επεξεργασίας σε κάθε αποδέκτη, στον οποίο γνωστοποιήθηκαν τα δεδομένα, εκτός εάν αυτό είναι ανέφικτο, ή συνεπάγεται δυσανάλογη προσπάθεια.
Δ. Ο υπεύθυνος επεξεργασίας ενημερώνει και το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφ όσον αυτό ζητηθεί από το υποκείμενο των δεδομένων.
Σύμφωνα με τον ν. 4624/2019, με τον οποίο ενσωματώθηκε στην εθνική νομοθεσία ο Νέος Γενικός Κανονισμός Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679 (GDPR), το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει την διαγραφή των δεδομένων που το αφορούν,
α) Όταν τα δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν, ή υποβλήθηκαν σε επεξεργασία,
β) Όταν ανακαλέσει την συναίνεση επί της οποίας βασίζεται η επεξεργασία και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,
γ) Όταν έχει δικαίωμα εναντίωσης και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία,
δ) Όταν τα δεδομένα υποβλήθηκαν σε επεξεργασία παράνομα,
ε) Όταν τα δεδομένα αφορούν την συγκατάθεση παιδιού,
στ) Όταν τα δεδομένα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου, ή του δικαίου κράτους-μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας.
Β. Το δικαίωμα διαγραφής δεν εφαρμόζεται, όταν η επεξεργασία,
α) είναι απαραίτητη για την άσκηση του δικαιώματος στην ενημέρωση και στην ελευθερία της έκφρασης,
β) είναι απαραίτητη για τη θεμελίωση, άσκηση, ή υποστήριξη, νομικών αξιώσεων,
γ) αφορά το δημόσιο συμφέρον, ή την δημόσια εξουσία,
δ) αφορά την δημόσια υγεία (άρθρο 9 παρ. 2 στοιχ. η και θ, άρθρο 9 παρ.3),
ε) αφορά σκοπούς επιστημονικής, ή ιστορικής, έρευνας, ή γίνεται για στατιστικούς σκοπούς,
στ) για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον,
ζ) για την τήρηση νομικής υποχρέωσης, που επιβάλλει την επεξεργασία βάσει του δικαίου της Ένωσης, ή του δικαίου- κράτους μέλους, στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας.
Γ. Ο υπεύθυνος επεξεργασίας οφείλει να ανακοινώνει την διαγραφή σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό είναι ανέφικτο, ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας οφείλει να ενημερώσει και το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφ όσον αυτό ζητηθεί από το υποκείμενο των δεδομένων (άρθρο 19).
Σύμφωνα με το άρθρο 19 του ν. 4624/2019, με τον οποίο ενσωματώθηκε στην εθνική νομοθεσία ο Νέος Γενικός Κανονισμός Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679 (GDPR), το υποκείμενο των δεδομένων έχει το δικαίωμα διόρθωσης ανακριβών προσωπικών δεδομένων και συμπλήρωσης ελλιπών πληροφοριών, μέσω συμπληρωματικής δήλωσης.
Ο υπεύθυνος επεξεργασίας ανακοινώνει την διόρθωση των δεδομένων σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα αυτά, εκτός εάν αυτό είναι ανέφικτο, ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας ενημερώνει και το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφ όσον αυτό ζητηθεί από το υποκείμενο των δεδομένων.
Α. Η Αρχή Προστασίας Προσωπικών Δεδομένων, σύμφωνα με το άρθρο 15 παρ. 6 του ν. 4624/2019, για την εναρμόνιση με τον Κανονισμό (ΕΕ) 2016/679 ( GDPR) επιβάλλει ως διοικητικές κυρώσεις για τις παραβάσεις των προσωπικών δεδομένων κατά την επεξεργασία τους από α) δημόσιους φορείς ή β) ιδιωτικούς φορείς, (εξαιρείται η επεξεργασία που πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας), τις κυρώσεις που προβλέπονται στο άρθρο 83 του GDPR.
Β. Επιπλέον των κυρώσεων του άρθρου 83 του GDPR n Αρχή Προστασίας Προσωπικών Δεδομένων, μπορεί πέραν των παραπάνω κυρώσεων, σύμφωνα με το άρθρο 15 παρ. 7 του ν. 4624/2019, να επιβάλει ως διοικητικές κυρώσεις για τις παραβάσεις των προσωπικών δεδομένων κατά την επεξεργασία τους από την Γενική Κυβέρνηση και τα εκτός αυτής Νομικά Πρόσωπα Δημοσίου Δικαίου (όπως οριοθετούνται στην περίπτωση α΄ της παρ.1 του άρθρου 14 του ν. 4270/2014 (Α΄143), με εξαίρεση τις Δημόσιες Επιχειρήσεις και Οργανισμούς του Κεφαλαίου Α΄ του ν. 3429/2005 (Α΄ 314), τις κυρώσεις που προβλέπονται στο άρθρο 39 του ν. 4624/2019
Επομένως
1. Σύμφωνα με το άρθρο 83 του GDPR
α) Η Αρχή Προστασίας Προσωπικών Δεδομένων για την λήψη απόφασης επιβολής του προστίμου λαμβάνει υπ όψιν τα ακόλουθα
α) η φύση, η βαρύτητα και η διάρκεια της παράβασης.
β) ο δόλος, ή η αμέλεια, που προκάλεσε την παράβαση.
γ) οι ενέργειες, στις οποίες προέβη ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων.
δ) ο βαθμός ευθύνης του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία.
ε) προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία.
στ) ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της.
ζ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση.
η) ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση.
θ) Η συμμόρφωση, ή μη, του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία σε εντολή λήψης μέτρων.
ι) η τήρηση εγκεκριμένων κωδίκων δεοντολογίας, ή εγκεκριμένων μηχανισμών πιστοποίησης.
ια) κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.
Β) Και επιβάλει τα εξής πρόστιμα
Οι παραβάσεις, α) των υποχρεώσεων του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, β) των υποχρεώσεων του φορέα πιστοποίησης και γ) των υποχρεώσεων του φορέα παρακολούθησης, επισύρουν πρόστιμα έως 10.000.000 ευρώ, ή σε περίπτωση επιχειρήσεων έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (όποιο είναι υψηλότερο).
Οι παραβάσεις, α) των βασικών αρχών για την επεξεργασία, β) των δικαιωμάτων των υποκειμένων των δεδομένων, γ) της διαβίβασης δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα, ή σε διεθνή οργανισμό, και δ) της μη συμμόρφωσης προς εντολή, ή προς προσωρινό, ή οριστικό περιορισμό της επεξεργασίας ή προς αναστολή της κυκλοφορίας δεδομένων, που επιβάλλονται από την η εποπτική αρχή, επισύρουν πρόστιμα έως 20.000.000 ευρώ, ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, (όποιο είναι υψηλότερο).
2. Σύμφωνα με το άρθρο 39 ν. 4624/2019
Η Αρχή Προστασίας Προσωπικών Δεδομένων, με ειδικά αιτιολογημένη απόφασή της και ύστερα από προηγούμενη κλήση για παροχή εξηγήσεων των ενδιαφερομένων μπορεί να επιβάλει, επιπλέον, για τις παραβάσεις α) της περίπτωσης α) της παραγράφου 4 του άρθρου 83 του GDPR, εκτός των άρθρων 8, 27, 29, 42, 43 του GDPR, β) των παραγράφων 5 και 6 του άρθρου 83 του GDPR, εκτός των άρθρων 17, 20, 47, 90 και 91 του GDPR, γ) των άρθρων 5, 6, 7, 22, 24, 26, 27 (πλην της παραγράφου 7 αυτού), 28 έως και 31, και των άρθρων 32 παράγραφος 1 περίπτωση α΄, 33 έως και 35 του ν. 4624/2019, πρόστιμο έως (10.000.000) ευρώ.
Σε περίπτωση που οι παραπάνω φορείς για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζουν περισσότερες διατάξεις του GDPR ή του ν. 4624/2019, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.
Σύμφωνα με το άρθρο 38 του ν. 4624/2019, για την εναρμόνιση με τον Κανονισμό (ΕΕ) 2016/679 (GDPR) επιβάλλονται για παραβιάσεις των προσωπικών δεδομένων κατά την επεξεργασία τους από
α) δημόσιους φορείς, ή
β) ιδιωτικούς φορείς,
(εξαιρείται η επεξεργασία που πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας)
οι παρακάτω ποινικές κυρώσεις
« 1. Όποιος, χωρίς δικαίωμα, α) επεμβαίνει με οποιονδήποτε τρόπο σε σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα, και με την πράξη του αυτή λαμβάνει γνώση των δεδομένων αυτών, β) τα αντιγράφει, αφαιρεί, αλλοιώνει, βλάπτει, συλλέγει, καταχωρεί, οργανώνει, διαρθρώνει, αποθηκεύει, προσαρμόζει, μεταβάλλει, ανακτά, αναζητεί πληροφορίες, συσχετίζει, συνδυάζει, περιορίζει, διαγράφει, καταστρέφει, τιμωρείται με φυλάκιση μέχρι (1) έτους, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
2. Όποιος χρησιμοποιεί, μεταδίδει, διαδίδει, κοινολογεί με διαβίβαση, διαθέτει, ανακοινώνει ή καθιστά προσιτά σε μη δικαιούμενα πρόσωπα δεδομένα προσωπικού χαρακτήρα, τα οποία απέκτησε σύμφωνα με την περίπτωση α΄ της παραγράφου 1 ή επιτρέπει σε μη δικαιούμενα πρόσωπα να λάβουν γνώση των δεδομένων αυτών, τιμωρείται με φυλάκιση, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
3. Εάν η πράξη της παραγράφου 2 αφορά ειδικών κατηγοριών δεδομένα προσωπικού χαρακτήρα του άρθρου 9 παράγραφος 1 του ΓΚΠΔ ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα ή τα σχετικά με αυτά μέτρα ασφαλείας του άρθρου 10 του ΓΚΠΔ, ο υπαίτιος τιμωρείται με φυλάκιση τουλάχιστον (1) έτους και χρηματική ποινή έως (100.000) ευρώ, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
4. Με κάθειρξη μέχρι (10) ετών τιμωρείται ο υπαίτιος των πράξεων των προηγούμενων παραγράφων, εάν είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον και το συνολικό όφελος ή η συνολική ζημία υπερβαίνει το ποσό των (120.000) ευρώ.
5. Εάν από τις πράξεις των παραγράφων 1 έως και 3 προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δημοκρατικού πολιτεύματος ή για την εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηματική ποινή έως (300.000) ευρώ.
Σύμφωνα με τον ν. 4624/2019, με τον οποίο ενσωματώθηκε στην εθνική νομοθεσία ο Νέος Γενικός Κανονισμός Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679 (GDPR), εναντίωση, είναι το δικαίωμα του υποκειμένου να αντιταχθεί στην επεξεργασία των δεδομένων που το αφορούν, συμπεριλαμβανομένης της κατάρτισης προφίλ, που γίνονται,
α) για την εκπλήρωση καθήκοντος, που εκτελείται προς το δημόσιο συμφέρον, ή κατά την άσκηση δημόσιας εξουσίας, που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
β) για σκοπούς των έννομων συμφερόντων, που επιδιώκει ο υπεύθυνος επεξεργασίας, ή τρίτος,
γ) για σκοπούς επιστημονικής, ή ιστορικής έρευνας, ή για στατιστικούς σκοπούς, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος, που ασκείται για λόγους δημόσιου συμφέροντος.
Α. Από την εναντίωση ο υπεύθυνος επεξεργασίας απαγορεύεται να υποβάλλει τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν καταδείξει επιτακτικούς και νόμιμους, αναγκαίους, λόγους για την επεξεργασία, οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου, ή αφορούν τη θεμελίωση, άσκηση, ή υποστήριξη, νομικών αξιώσεων.
Β. Ο υπεύθυνος επεξεργασίας πρέπει το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, να το ενημερώσει για την ύπαρξη του δικαιώματός του να εναντιωθεί με σαφήνεια και διακριτό τρόπο.
Γ. Από την εναντίωση απαγορεύεται κάθε επεξεργασία χωρίς συγκατάθεση, αν έναντι των συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας, ή τρίτος, υπερισχύει το συμφέρον, ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
Δ. Από την εναντίωση απαγορεύεται, χωρίς καμία εξαίρεση, κάθε επεξεργασία δεδομένων που γίνεται για σκοπούς απ ευθείας εμπορικής προώθησης.
Ε. Το δικαίωμα εναντίωσης (όπως και τα λοιπά δικαιώματα) είναι δυνατό να υπόκεινται σε νόμιμους περιορισμούς μέσω εθνικών νομοθετικών μέτρων (εφ όσον δεν παραβιάζουν τον πυρήνα του εκάστοτε δικαιώματος και αφορούν σε αναγκαία και αναλογικά μέτρα).
Σύμφωνα με άρθρο 15 του ν. 4624/2019, με τον οποίο ενσωματώθηκε στην εθνική νομοθεσία ο Νέος Γενικός Κανονισμός Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679 (GDPR), το υποκείμενο των δεδομένων έχει το δικαίωμα πρόσβασης στις ακόλουθες πληροφορίες,
α) τους σκοπούς της επεξεργασίας,
β) τις κατηγορίες δεδομένων προσωπικού χαρακτήρα,
γ) τους αποδέκτες, ή τις κατηγορίες αποδεκτών, στους οποίους κοινολογήθηκαν, ή θα κοινολογηθούν τα δεδομένα, ιδίως τους αποδέκτες σε τρίτες χώρες, ή διεθνείς οργανισμούς,
δ) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα, ή, αν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
ε) την ύπαρξη δικαιώματος υποβολής αιτήματος για διόρθωση, διαγραφή , περιορισμό της επεξεργασίας και εναντίωσης στην επεξεργασία,
στ) το δικαίωμα υποβολής καταγγελίας στην Αρχή,
ζ) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων.
Η ενημέρωση παρέχεται με αντίγραφο των δεδομένων, χωρίς τέλος. Για επιπλέον αντίγραφα, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή εύλογου τέλους για διοικητικά έξοδα. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή.
Σύμφωνα με τα άρθρα 12, 13, 14 του ν. 4624/2019, με τον οποίο ενσωματώθηκε στην εθνική νομοθεσία ο Νέος Γενικός Κανονισμός Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679 (GDPR), το υποκείμενο των δεδομένων έχει το δικαίωμα, οποτεδήποτε, να ζητήσει ενημέρωση για κάθε πληροφορία που το αφορά, σχετικά με την λήψη και την επεξεργασία των προσωπικών του δεδομένων.
Α. Κατά την λήψη των δεδομένων
Κατά τη λήψη των δεδομένων, ο υπεύθυνος επεξεργασίας, παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες,
α) την ταυτότητα και τα στοιχεία επικοινωνίας του,
β) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα, καθώς και τη νομική βάση της επεξεργασίας,
γ) τους αποδέκτες, ή τις κατηγορίες των αποδεκτών,
δ) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα. Όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
ε) το δικαίωμα υποβολής καταγγελίας στην Αρχή,
στ) κατά πόσο η παροχή των δεδομένων αποτελεί νομική, ή συμβατική, υποχρέωση, ή απαίτηση για τη σύναψη σύμβασης,
ζ) κατά πόσο το υποκείμενο των δεδομένων υποχρεούται να παρέχει τα δεδομένα και τις ενδεχόμενες συνέπειες μη παροχής των,
η) την ύπαρξη, ή μη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ.
Β. Μετά τη λήψη των δεδομένων
α) Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες κατόπιν αιτήματος του υποκειμένου, χωρίς καθυστέρηση, εντός (1) μηνός, από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά (2) μήνες, εφ όσον απαιτείται, λαμβανομένου υπ όψιν της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Η ενημέρωση πρέπει να είναι σε συνοπτική, διαφανής, κατανοητή και σε εύκολα προσβάσιμη μορφή. Παρέχεται γραπτώς, ή με άλλα μέσα, μεταξύ άλλων ηλεκτρονικώς.
β) Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα, ή έχουν επαναλαμβανόμενο χαρακτήρα, ο υπεύθυνος επεξεργασίας μπορεί, α) να επιβάλει την καταβολή ευλόγου τέλους, για την παροχή της ενημέρωσης, ή την ανακοίνωση, ή την εκτέλεση της ζητούμενης ενέργειας, ή β) να αρνηθεί να δώσει συνέχεια στο αίτημα. Το βάρος της απόδειξης φέρει ο υπεύθυνος επεξεργασίας.
γ) Σε περίπτωση καθυστέρησης, πέραν του (1) μηνός, ο υπεύθυνος επεξεργασίας οφείλει να ενημερώνει το υποκείμενο για την καθυστέρηση εντός (1) μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης.
δ) Εάν ο υπεύθυνος επεξεργασίας δεν ενεργήσει επί του αιτήματος, οφείλει να ενημερώνει το υποκείμενο χωρίς καθυστέρηση και το αργότερο εντός (1) μηνός από την παραλαβή του αιτήματος, για τους λόγους για τους οποίους δεν ενήργησε και ότι έχει τη δυνατότητα υποβολής καταγγελίας στην Αρχή και άσκηση δικαστική προσφυγής.
Α. Στον ν. 4624/2019 για την ενσωμάτωση στην εθνική νομοθεσία του Κανονισμού (ΕΕ) 2016/679 (GDPR) στο άρθρο 42 προβλέφθηκε ότι η εφαρμογή των διατάξεων του άρθρου 5 του Κώδικα Διοικητικής Διαδικασίας που αφορούν στη χορήγηση εγγράφων από φορείς του δημόσιου τομέα που εμπίπτουν στο πεδίο εφαρμογής του άρθρου 1 του ανωτέρω Κώδικα, καθώς και των λοιπών διατάξεων που αφορούν στη χορήγηση εγγράφων από τον εκάστοτε φορέα ή αρχή ή υπηρεσία παραμένει ανεπηρέαστη, όταν περιεχόμενο των εγγράφων αυτών αποτελούν δεδομένα προσωπικού χαρακτήρα.
Β. Σύμφωνα με το άρθρο 5 του Κώδικα Διοικητικής Διαδικασίας (ν. 2690/1999 ως ισχύει) δημόσια έγγραφα είναι α) τα διοικητικά, αυτά δηλαδή που συντάσσονται από τις δημόσιες υπηρεσίες και β) τα ιδιωτικά έγγραφα που φυλάσσονται στις δημόσιες υπηρεσίες, γ) και όσα έγγραφα δεν προέρχονται μεν από δημόσιες υπηρεσίες, αλλά χρησιμοποιήθηκαν, ή ελήφθησαν υπ όψιν, για τον καθορισμό της διοικητικής δράσης, ή την διαμόρφωση γνώμης, ή κρίσης, του διοικητικού οργάνου.
Γ. Προϋποθέσεις για την γνώση, ή λήψη αντιγράφου των δημοσίων εγγράφων (διοικητικών και ιδιωτικών) είναι, η υποβολή αίτησης, η καταβολή της απαιτουμένης δαπάνης αναπαραγωγής τους και η ύπαρξη εννόμου συμφέροντος στο πρόσωπο του αιτούντος.
Δ. Για τα δεδομένα του ίδιου του αιτούντος (απλά ή ευαίσθητα) ισχύει το δικαίωμα πρόσβασης. Η Διοίκηση έχει την υποχρέωση να χορηγήσει απάντηση και αντίγραφα.
Ε. Η χορήγηση διοικητικών εγγράφων που περιέχουν προσωπικά δεδομένα τρίτων προσώπων δεν επιτρέπεται, εάν τα δεδομένα αυτά αναφέρονται στην ιδιωτική ή οικογενειακή ζωή του τρίτου (ευαίσθητα προσωπικά δεδομένα).
ΣΤ. Η Αρχή Προστασίας Προσωπικών Δεδομένων δεν έχει εκ του νόμου την αρμοδιότητα να ελέγχει την τήρηση της νομοθεσίας για την πρόσβαση στα δημόσια έγγραφα, παρά μόνο παρεμπιπτόντως. Επισημαίνεται ότι η Αρχή Προστασίας Δεδομένων, σύμφωνα με την με αριθμό 52/2018 απόφασή της δεν έχει αρμοδιότητα να απαντά σε ερωτήματα ιδιωτών χορήγησης δημοσίων εγγράφων σε τρίτους.
Ζ. Σημειώνεται ότι η Εισαγγελική παραγγελία, δεσμεύει την Διοίκηση ως επιτακτική εντολή προς διερεύνηση του αιτήματος και υποχρέωση να δώσει σαφή και αιτιολογημένη απάντηση, θετική ή αρνητική. Αν προκύψουν εύλογες αμφιβολίες, μπορεί να υποβληθεί από την Διοίκηση ερώτημα στην Αρχή Προστασίας Προσωπικών Δεδομένων. Αν η Αρχή εκφέρει αρνητική γνώμη, η Διοίκηση απαγορεύεται να χορηγήσει απάντηση. Αν η Αρχή εκφέρει θετική γνώμη, η Διοίκηση επιτρέπεται να χορηγήσει απάντηση. Αν η Διοίκηση αρνηθεί μόνο τα δικαστήρια μπορούν να διατάξουν την χορήγηση.
Η Αρχή προστασίας προσωπικών δεδομένων, σύμφωνα με τον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR, άρθρο 58) έχει εξουσίες έρευνας, διορθωτικές εξουσίες, αδειοδοτικές-συμβουλευτικές εξουσίες και επιβολής προστίμων.
1. Εξουσίες έρευνας
α) να δίνει εντολές, για να της παρασχεθεί κάθε πληροφορία που απαιτεί.
β) να διεξάγει έρευνες, με τη μορφή ελέγχου.
γ) να προβαίνει σε επανεξέταση των πιστοποιήσεων. Ως πιστοποίηση (άρθρο 40) νοείται η πιστοποίηση της επεξεργασίας των δεδομένων και όχι των προσώπων.
δ) να ειδοποιεί τον υπεύθυνο επεξεργασίας, ή τον εκτελούντα την επεξεργασία, για εικαζόμενη παράβαση του Κανονισμού.
ε) να αποκτά πρόσβαση σε όλα τα δεδομένα και σε όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων της.
στ) να έχει πρόσβαση στις εγκαταστάσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, του εξοπλισμού και των μέσων επεξεργασίας δεδομένων.
2. Διορθωτικές εξουσίες
Προς τον υπεύθυνο επεξεργασίας, ή τον εκτελούντα την επεξεργασία.
α) να απευθύνει προειδοποιήσεις, ότι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν διατάξεις του Κανονισμού.
β) να απευθύνει επιπλήξεις, όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του Κανονισμού.
γ) να δίνει εντολή, να συμμορφώνεται προς τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του.
δ) να δίνει εντολή, να καθιστούν τις πράξεις επεξεργασίας, σύμφωνες με τις διατάξεις του Κανονισμού.
ε) να δίνει εντολή, να ανακοινώσει την παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.
στ) να επιβάλλει προσωρινό, ή οριστικό, περιορισμό, της επεξεργασίας, περιλαμβανομένης της απαγόρευσης της επεξεργασίας.
ζ) να δίνει εντολή διόρθωσης, ή διαγραφής, των δεδομένων, ή περιορισμού της επεξεργασίας και εντολή κοινοποίησης των ενεργειών αυτών σε αποδέκτες.
η) να αποσύρει την πιστοποίηση, ή να διατάξει τον οργανισμό πιστοποίησης, να αποσύρει ένα πιστοποιητικό, ή να διατάξει τον οργανισμό πιστοποίησης να μην εκδώσει πιστοποίηση, εφ όσον οι απαιτήσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον.
θ) να δίνει εντολή για αναστολή της κυκλοφορίας δεδομένων σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό.
3. Αδειοδοτικές και συμβουλευτικές εξουσίες
α) να παρέχει συμβουλές στον υπεύθυνο επεξεργασίας.
β) να εκδίδει, με δική της πρωτοβουλία, ή κατόπιν αιτήματος, γνώμες προς το εθνικό κοινοβούλιο, την κυβέρνηση, προς άλλα όργανα και οργανισμούς, καθώς και προς το κοινό (για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα).
γ) να εκδίδει γνώμες για σχέδια κωδίκων δεοντολογίας και να εγκρίνει τα σχέδια αυτά.
δ) να παρέχει διαπίστευση σε φορείς πιστοποίησης.
ε) να εκδίδει πιστοποιητικά και να εγκρίνει κριτήρια πιστοποίησης.
στ) να εγκρίνει δεσμευτικούς εταιρικούς κανόνες.
ζ) να εγκρίνει τυποποιημένες ρήτρες προστασίας δεδομένων.
η) να επιτρέπει συμβατικές ρήτρες
θ) να επιτρέπει διοικητικές ρυθμίσεις.
4. Εξουσία επιβολής προστίμων
Γα την λήψη απόφασης επιβολής διοικητικού προστίμου λαμβάνονται υπ όψιν τα ακόλουθα
α) η φύση, η βαρύτητα και η διάρκεια της παράβασης.
β) ο δόλος, ή η αμέλεια, που προκάλεσε την παράβαση.
γ) οι ενέργειες, στις οποίες προέβη ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων.
δ) ο βαθμός ευθύνης του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία.
ε) προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία,
στ) ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της.
ζ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση.
η) ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση.
θ) Η συμμόρφωση, ή μη, του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία σε εντολή λήψης μέτρων
ι) η τήρηση εγκεκριμένων κωδίκων δεοντολογίας, ή εγκεκριμένων μηχανισμών πιστοποίησης.
ια) κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.
Υψος προστίμων
Οι παραβάσεις, α) των υποχρεώσεων του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, β) των υποχρεώσεων του φορέα πιστοποίησης και γ) των υποχρεώσεων του φορέα παρακολούθησης, επισύρουν πρόστιμα έως 10.000.000 ευρώ, ή σε περίπτωση επιχειρήσεων έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (όποιο είναι υψηλότερο).
Οι παραβάσεις, α) των βασικών αρχών για την επεξεργασία, β) των δικαιωμάτων των υποκειμένων των δεδομένων, γ) της διαβίβασης δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα, ή σε διεθνή οργανισμό, και δ) της μη συμμόρφωσης προς εντολή, ή προς προσωρινό, ή οριστικό περιορισμό της επεξεργασίας ή προς αναστολή της κυκλοφορίας δεδομένων, που επιβάλλονται από την η εποπτική αρχή, επισύρουν πρόστιμα έως 20.000.000 ευρώ, ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, (όποιο είναι υψηλότερο).
Σύμφωνα με τον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) (άρθρα 46,48,49) οι διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα γίνονται, βάσει απόφαση επάρκειας, βάσει καταλλήλων εγγυήσεων χωρίς ειδική άδεια της Αρχής, βάσει καταλλήλων εγγυήσεων με ειδική άδεια της Αρχής, βάσει παρεκκλίσεων για ειδικές καταστάσεις
1. Διαβίβαση βάσει απόφαση επάρκειας (άρθρο 46)
Η διαβίβαση δεδομένων προσωπικού χαρακτήρα, γίνεται χωρίς ειδική άδεια, όρους, ή περιορισμούς, μόνο όταν το έχει αποφασίσει η Επιτροπή. Όταν δηλαδή έχει δεχθεί ότι η τρίτη χώρα, ή ο διεθνής οργανισμός εξασφαλίζει επαρκές επίπεδο ασφαλούς επεξεργασίας των προσωπικών δεδομένων. Μέχρι σήμερα, η Επιτροπή έχει εκδώσει 12 αποφάσεις επάρκειας για τις εξής χώρες. Ανδόρα, Αργεντική, Καναδά, νήσους Φερόες, Γκέρνσεϊ, Ισραήλ, νήσο του Μαν, Τζέρσεϊ, Νέα Ζηλανδία, Ελβετία, Ουρουγουάη και ΗΠΑ (μόνο στο πλαίσιο του Privacy Shield). Βρίσκονται σε εξέλιξη συνομιλίες για την επικαιροποίηση και έκδοση αποφάσεων επάρκειας για την Ιαπωνία και τη Νότιο Κορέα.
2. Διαβίβαση, βάσει καταλλήλων εγγυήσεων χωρίς ειδική άδεια της Αρχής (άρθρο 46).
Σε περίπτωση που δεν υπάρχει απόφαση επάρκειας, η διαβίβαση μπορεί να γίνει με την παροχή κατάλληλων εγγυήσεων. Τις κατάλληλες εγγυήσεις τις παράσχει ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία. Όπου υφίστανται κατάλληλες εγγυήσεις δεν απαιτείται ειδική άδεια της Αρχής.
Κατάλληλες εγγυήσεις αποτελούν
α) Η διαβίβαση με βάση δεσμευτικούς εταιρικούς κανόνες (BCR)
Σημείωση
Τα Binding Corporate Rules (BCR) είναι το εργαλείο που δίνει τη δυνατότητα σε ομίλους εταιριών, να διαβιβάζουν προσωπικά δεδομένα από εταιρείες του ομίλου που είναι εγκατεστημένες στην Ε.Ε, σε εταιρίες του ομίλου που είναι εγκατεστημένες σε τρίτες χώρες (εκτός της Ε.Ε), οι οποίες δεν εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας. Για χρησιμοποιηθούν τα BCR ως νομική βάση για τη διαβίβαση δεδομένων εκτός Ε.Ε. πρέπει κάθε κράτος-μέλος, από το οποίο θα γίνεται η διαβίβαση, να εγκρίνει τα BCR. Τα BCR εγκρίνονται πλέον σε ευρωπαϊκό επίπεδο, σύμφωνα με τον μηχανισμό συνεκτικότητας και δεν απαιτείται έκδοση εθνικής άδειας. Οι διαβιβάσεις που γίνονται ήδη με βάση BCR εγκεκριμένα κατά την Οδηγία 95/46 πρέπει να τροποποιηθούν, ώστε να είναι συμβατά με τον Κανονισμό.
β) Η διαβίβαση με συμβατική ρύθμιση με τον αποδέκτη των δεδομένων.
Χρησιμοποιούνται τυποποιημένες συμβατικές ρήτρες, που έχουν λάβει την έγκριση της Επιτροπής.
γ) Η διαβίβαση με την τήρηση ενός Κώδικα Δεοντολογίας, ή μηχανισμού Πιστοποίησης. Απαιτείται η λήψη δεσμευτικών και εκτελεστών δεσμεύσεων από τον αποδέκτη, σχετικά με την εφαρμογή των κατάλληλων εγγυήσεων για την προστασία των δεδομένων που διαβιβάζονται.
δ) Η διαβίβαση με βάση ένα νομικά δεσμευτικό και εκτελεστό μέσο μεταξύ δημόσιων αρχών, ή φορέων
3. Διαβίβαση, βάσει καταλλήλων εγγυήσεων με ειδική άδεια της Αρχής (άρθρο 46).
Κατάλληλες εγγυήσεις αποτελούν, με την προϋπόθεση χορήγησης προηγούμενης ειδικής άδειας της εποπτικής αρχής
α) Η διαβίβαση μέσω συμβατικών ρητρών, μεταξύ του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία, και του αντιστοίχου των στην τρίτη χώρα, ή διεθνή οργανισμό.
β) Η διαβίβαση μέσω διατάξεων, προς συμπερίληψη σε διοικητικές ρυθμίσεις, μεταξύ δημόσιων αρχών, ή φορέων, οι οποίες περιλαμβάνουν εκτελεστά και ουσιαστικά δικαιώματα υποκειμένων των δεδομένων.
4. Διαβίβαση, βάσει παρεκκλίσεων για ειδικές καταστάσεις ( άρθρο 49)
α. Χωρίς άδεια της εποπτικής αρχής.
Σύμφωνα με το άρθρο 49 του Κανονισμού, ελλείψει απόφασης επάρκειας δυνάμει του άρθρου 45, ή κατάλληλων εγγυήσεων δυνάμει του άρθρου 46, οι διαβιβάσεις δεδομένων σε τρίτη χώρα μπορούν να λάβουν χώρα, χωρίς άδεια της εποπτικής αρχής, μόνο, όταν
α. το υποκείμενο έχει ρητώς συγκατατεθεί στη συγκεκριμένη διαβίβαση, αφού προηγουμένως έχει ενημερωθεί για πιθανούς κινδύνους μιας τέτοιας διαβίβασης.
β. η διαβίβαση είναι απαραίτητη για τη σύναψη, ή εκτέλεση, σύμβασης, συναφθείσας προς όφελος του υποκειμένου.
γ. η διαβίβαση είναι απαραίτητη προκειμένου να προστατευθούν ζωτικά συμφέροντα του υποκειμένου, ή άλλων προσώπων, όταν το υποκείμενο είναι ανίκανο να δώσει συγκατάθεση.
δ. εάν τα διαβιβαζόμενα δεδομένα λαμβάνονται από μητρώο ανοιχτό στο κοινό.
ε. η διαβίβαση είναι απαραίτητη για την θεμελίωση, άσκηση, ή υπεράσπιση, νομικών αξιώσεων.
στ. η διαβίβαση είναι απαραίτητη για (σπουδαίους) λόγους δημοσίου συμφέροντος που αναγνωρίζονται, είτε στη νομοθεσία της ΕΕ, είτε στη νομοθεσία κράτους-μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.
β. Εντελώς εξαιρετικά, με άδεια της εποπτικής αρχής και ενημέρωση του υποκειμένου.
Στην περίπτωση που καμία από τις ως άνω νομικές βάσεις δεν εφαρμόζεται, η διαβίβαση μπορεί να πραγματοποιηθεί όταν μόνο, όταν συντρέχουν σωρευτικά οι παρακάτω προϋποθέσεις, με προηγούμενη ενημέρωση της εποπτικής αρχής και του υποκειμένου.
α. δεν εκτελείται από δημόσια αρχή, κατά την άσκηση των δημόσιων εξουσιών της.
β. δεν είναι επαναλαμβανόμενη.
γ. αφορά μόνο περιορισμένο αριθμό υποκειμένων.
δ. είναι απαραίτητη για τους σκοπούς «επιτακτικών έννομων συμφερόντων» του υπευθύνου επεξεργασίας, από τα οποία δεν υπερισχύουν τα συμφέροντα, ή τα δικαιώματα του υποκειμένου, και
ε. ο υπεύθυνος επεξεργασίας έχει παράσχει τις κατάλληλες διασφαλίσεις για τα διαβιβαζόμενα δεδομένα.
5. Διαβιβάσεις σε δικαστήριο, ή διοικητική αρχή, τρίτης χώρας (άρθρο 48)
Οι διαβιβάσεις σε δικαστήριο ή διοικητική αρχή, τρίτης χώρας, που απαιτεί από υπεύθυνο επεξεργασίας, ή εκτελούντα την επεξεργασία, να διαβιβάσει ή να κοινοποιήσει προσωπικά δεδομένα, είναι επιτρεπτές, μόνον εφ όσον οι αποφάσεις των αλλοδαπών αρχών βασίζονται σε διεθνή συμφωνία (όπως σύμβαση αμοιβαίας δικαστικής συνδρομής), που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ε.Ε, ή κράτους-μέλους, με την επιφύλαξη άλλων λόγων διαβίβασης.
Σύμφωνα με τον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR, άρθρο 23) ο εθνικός νομοθέτης μπορεί να θέσει περιορισμούς στα δικαιώματα του υποκειμένου των προσωπικών δεδομένων για τη διασφάλιση των εξής αγαθών
α) της ασφάλειας του κράτους.
β) της εθνικής άμυνας.
γ) της δημόσιας ασφάλειας.
δ) της πρόληψης, της διερεύνησης, της ανίχνευσης, ή της δίωξης, ποινικών αδικημάτων, ή της εκτέλεσης ποινικών κυρώσεων.
ε) της προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών.
στ) της εκτέλεσης αστικών αξιώσεων.
ζ) της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα.
η) για την προστασία του υποκειμένου των δεδομένων, ή των δικαιωμάτων και των ελευθεριών των τρίτων.
θ) άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης, ή κράτους-μέλους (όπως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης, ή κράτους-μέλους, (νομισματικά, δημοσιονομικά, φορολογικά θέματα, θέματα δημόσιας υγείας, ή κοινωνικής ασφάλισης
Σημείωση
Ο περιορισμός πρέπει να γίνεται με την προϋπόθεση ότι σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο. Θεμελιώδη δικαιώματα και ελευθερίες θεωρούνται αυτά που άπτονται, της αξιοπρέπειας, της ελευθερίας, της ισότητας, της αλληλεγγύης, της ιθαγένειας και της δικαιοσύνης.
Το υποκείμενο των προσωπικών δεδομένων, εφ όσον προσβάλλονται τα δικαιώματά του από την επεξεργασία, έχει το δικαίωμα υποβολής καταγγελίας στην Αρχή, δικαστικής προσφυγής κατά απόφασης της Αρχής, δικαστικής προσφυγής κατά του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία και δικαίωμα αποζημίωσης.
Τα δικαιώματα αυτά μπορεί να τα ασκήσει το ίδιο, ή να αναθέσει την άσκησή των σε μη κερδοσκοπικό φορέα, οργάνωση, ή ένωση, που έχει συσταθεί νομίμως, σύμφωνα με το δίκαιο κράτους-μέλους.
1. Δικαίωμα υποβολής καταγγελίας στην Αρχή
Το υποκείμενο των δεδομένων, όταν η επεξεργασία των δεδομένων προσβάλει τα δικαιώματά του, έχει το δικαίωμα να υποβάλει καταγγελία στην Αρχή. Η καταγγελία γίνεται στο κράτος-μέλος στο οποίο έχει τη συνήθη διαμονή του, ή τον τόπο εργασίας του, ή στον τόπο της εικαζόμενης παράβασης. Η εποπτική αρχή έχει την υποχρέωση, εντός (3) μηνών, να ενημερώσει το υποκείμενο των δεδομένων για την πρόοδο και την έκβαση της καταγγελίας του, καθώς και για τη δυνατότητα άσκησης δικαστικής προσφυγής.
2. Δικαίωμα δικαστικής προσφυγής κατά απόφασης της Αρχής (άρθρο 78).
Κάθε φυσικό, ή νομικό, πρόσωπο έχει το δικαίωμα δικαστικής προσφυγής κατά απόφασης της Αρχής, που το αφορά. Το ίδιο δικαίωμα έχει το υποκείμενο των δεδομένων, όταν η Αρχή δεν εξετάσει την καταγγελία του, ή δεν το ενημερώσει εντός (3) μηνών για την πρόοδο, ή την έκβαση, της καταγγελίας του. Η προσφυγή ασκείται ενώπιον των δικαστηρίων του κράτους-μέλους, στο οποίο είναι εγκατεστημένη η εποπτική αρχή.
3. Δικαίωμα δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας, ή εκτελούντος την επεξεργασία (άρθρο 79)
Το υποκείμενο των δεδομένων έχει δικαίωμα να ασκήσει δικαστική προσφυγή, κατά του υπευθύνου επεξεργασίας, ή εκτελούντος την επεξεργασία, εάν θεωρήσει ότι τα δικαιώματά του παραβιάστηκαν κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Η προσφυγή ασκείται ενώπιον των δικαστηρίων του κράτους-μέλους, στο οποίο είναι εγκατεστημένος ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, ή στο δικαστήριο του κράτους-μέλους, στο οποίο το υποκείμενο των δεδομένων έχει τη συνήθη διαμονή του. Εξαιρείται η περίπτωση που ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, είναι δημόσια αρχή κράτους-μέλους, η οποία ενεργεί κατά την άσκηση των δημόσιων εξουσιών της.
4. Δικαίωμα αποζημίωσης (άρθρο 82)
Το πρόσωπο, το οποίο υπέστη υλική, ή μη υλική, ζημία από την παραβίαση της επεξεργασίας των προσωπικών του δεδομένων δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας, ή τον εκτελούντα την επεξεργασία, για τη ζημία που υπέστη.
Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη για αποζημίωση, μόνο στην περίπτωση, που η ζημία προκλήθηκε από την εκ μέρους του επεξεργασία.
Ο εκτελών την επεξεργασία φέρει την ευθύνη για αποζημίωση, μόνο στην περίπτωση, που δεν ανταποκρίθηκε στις υποχρεώσεις του Κανονισμού, ή υπερέβη, ή ενήργησε αντίθετα, προς τις νόμιμες εντολές του υπευθύνου επεξεργασίας.
Ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, απαλλάσσονται από την ευθύνη, εάν αποδείξουν ότι δεν φέρουν καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.
Εάν εμπλέκονται στην επεξεργασία περισσότεροι του ενός, είτε υπεύθυνοι επεξεργασίας, είτε εκτελούντες την επεξεργασία, όλοι ευθύνονται σε αποζημίωση σε ολόκληρον.
Εφ όσον κάποιος από αυτούς αποζημίωσε τον παθόντα, αυτός έχει το δικαίωμα να στραφεί αναγωγικά έναντι των άλλων συνυπευθύνων για την ανάκτηση μέρους της αποζημίωσης, που αντιστοιχεί στο μέρος της ευθύνης του.
Αρμόδιο δικαστήριο είναι το δικαστήριο του κράτους- μέλους, στο οποίο ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, έχει την εγκατάστασή του, ή το υποκείμενο των δεδομένων έχει τη συνήθη διαμονή του.
Αναστολή διαδικασιών (άρθρο 81)
Όταν οι διαδικασίες σχετικά με το ίδιο θέμα εκκρεμούν σε δικαστήριο άλλου κράτους-μέλους, οποιοδήποτε αρμόδιο δικαστήριο διαφορετικό από το πρώτο επιληφθέν δικαστήριο, δύναται να αναστείλει τις οικείες διαδικασίες. Όταν οι διαδικασίες εκκρεμούν σε πρώτο βαθμό δικαιοδοσίας, κάθε δικαστήριο, εκτός του πρώτου επιληφθέντος, δύναται να κηρύξει εαυτό αναρμόδιο, αν το πρώτο επιληφθέν δικαστήριο είναι αρμόδιο για τις εν λόγω διαδικασίες και το δίκαιό του επιτρέπει την συνεκδίκασή τους.
Σύμφωνα με τον ν. 4624/2019, με τον οποίο ενσωματώθηκε στην εθνική νομοθεσία ο Νέος Γενικός Κανονισμός Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679 (GDPR), το υποκείμενο στην επεξεργασία των προσωπικών δεδομένως έχει τα εξής δικαιώματα.
1. Δικαίωμα ενημέρωσης (GDPR άρθρα 12,13,14)
Το υποκείμενο των δεδομένων έχει το δικαίωμα, οποτεδήποτε, να ζητήσει ενημέρωση για κάθε πληροφορία που το αφορά, σχετικά με την λήψη και την επεξεργασία των προσωπικών του δεδομένων.
Κατά τη λήψη των δεδομένων (GDPR άρθρο 13)
Κατά τη λήψη των δεδομένων, ο υπεύθυνος επεξεργασίας, παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες, α) την ταυτότητα και τα στοιχεία επικοινωνίας του, β) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα, καθώς και τη νομική βάση της επεξεργασίας, γ) τους αποδέκτες, ή τις κατηγορίες των αποδεκτών, δ) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα. Όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα, ε) το δικαίωμα υποβολής καταγγελίας στην Αρχή, στ) κατά πόσο η παροχή των δεδομένων αποτελεί νομική, ή συμβατική, υποχρέωση, ή απαίτηση για τη σύναψη σύμβασης, ζ) κατά πόσο το υποκείμενο των δεδομένων υποχρεούται να παρέχει τα δεδομένα και τις ενδεχόμενες συνέπειες μη παροχής των, η) την ύπαρξη, ή μη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ.
Μετά τη λήψη των δεδομένων
Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες κατόπιν αιτήματος του υποκειμένου, χωρίς καθυστέρηση, εντός (1) μηνός, από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά (2) μήνες, εφ όσον απαιτείται, λαμβανομένου υπ όψιν της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Η ενημέρωση πρέπει να είναι σε συνοπτική, διαφανής, κατανοητή και σε εύκολα προσβάσιμη μορφή. Παρέχεται γραπτώς, ή με άλλα μέσα, μεταξύ άλλων ηλεκτρονικώς.
Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα, ή έχουν επαναλαμβανόμενο χαρακτήρα, ο υπεύθυνος επεξεργασίας μπορεί, α) να επιβάλει την καταβολή ευλόγου τέλους, για την παροχή της ενημέρωσης, ή την ανακοίνωση, ή την εκτέλεση της ζητούμενης ενέργειας, ή β) να αρνηθεί να δώσει συνέχεια στο αίτημα. Το βάρος της απόδειξης φέρει ο υπεύθυνος επεξεργασίας.
Σε περίπτωση καθυστέρησης, πέραν του (1) μηνός, ο υπεύθυνος επεξεργασίας οφείλει να ενημερώνει το υποκείμενο για την καθυστέρηση εντός (1) μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης.
Εάν ο υπεύθυνος επεξεργασίας δεν ενεργήσει επί του αιτήματος, οφείλει να ενημερώνει το υποκείμενο χωρίς καθυστέρηση και το αργότερο εντός (1) μηνός από την παραλαβή του αιτήματος, για τους λόγους για τους οποίους δεν ενήργησε και ότι έχει τη δυνατότητα υποβολής καταγγελίας στην Αρχή και άσκηση δικαστική προσφυγής.
2. Δικαίωμα πρόσβασης (GDPR άρθρο 15)
Το υποκείμενο των δεδομένων έχει το δικαίωμα πρόσβασης στις ακόλουθες πληροφορίες, α) τους σκοπούς της επεξεργασίας, β) τις κατηγορίες δεδομένων προσωπικού χαρακτήρα, γ) τους αποδέκτες, ή τις κατηγορίες αποδεκτών, στους οποίους κοινολογήθηκαν, ή θα κοινολογηθούν τα δεδομένα, ιδίως τους αποδέκτες σε τρίτες χώρες, ή διεθνείς οργανισμούς, δ) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα, ή, αν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα, ε) την ύπαρξη δικαιώματος υποβολής αιτήματος για διόρθωση, διαγραφή , περιορισμό της επεξεργασίας και εναντίωσης στην επεξεργασία, στ) το δικαίωμα υποβολής καταγγελίας στην Αρχή, η) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων.
Η ενημέρωση παρέχεται με αντίγραφο των δεδομένων, χωρίς τέλος. Για επιπλέον αντίγραφα, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή εύλογου τέλους για διοικητικά έξοδα. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή.
3. Δικαίωμα διόρθωσης (GDPR άρθρα 16 )
Το υποκείμενο των δεδομένων έχει το δικαίωμα διόρθωσης ανακριβών προσωπικών δεδομένων και συμπλήρωσης ελλιπών πληροφοριών, μέσω συμπληρωματικής δήλωσης.
Ο υπεύθυνος επεξεργασίας ανακοινώνει την διόρθωση των δεδομένων σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα αυτά, εκτός εάν αυτό είναι ανέφικτο, ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας ενημερώνει και το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφ όσον αυτό ζητηθεί από το υποκείμενο των δεδομένων (άρθρο 19).
4. Δικαίωμα διαγραφής (δικαίωμα στη λήθη) (GDPR άρθρο 17).
Πότε εφαρμόζεται
Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει την διαγραφή των δεδομένων που το αφορούν, α) Όταν τα δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν, ή υποβλήθηκαν σε επεξεργασία, β) Όταν ανακαλέσει την συναίνεση επί της οποίας βασίζεται η επεξεργασία και δεν υπάρχει άλλη νομική βάση για την επεξεργασία, γ) Όταν έχει δικαίωμα εναντίωσης και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία, δ) Όταν τα δεδομένα υποβλήθηκαν σε επεξεργασία παράνομα, ε) Όταν τα δεδομένα αφορούν την συγκατάθεση παιδιού, στ) Όταν τα δεδομένα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου, ή του δικαίου κράτους-μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας.
Πότε δεν εφαρμόζεται
Το δικαίωμα διαγραφής δεν εφαρμόζεται, όταν η επεξεργασία, α) είναι απαραίτητη για την άσκηση του δικαιώματος στην ενημέρωση και στην ελευθερία της έκφρασης, β) είναι απαραίτητη για τη θεμελίωση, άσκηση, ή υποστήριξη, νομικών αξιώσεων, γ) αφορά το δημόσιο συμφέρον, ή την δημόσια εξουσία, δ) αφορά την δημόσια υγεία (άρθρο 9 παρ. 2 στοιχ. η και θ, άρθρο 9 παρ.3), ε) αφορά σκοπούς επιστημονικής, ή ιστορικής, έρευνας, ή γίνεται για στατιστικούς σκοπούς, στ) για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, ζ) για την τήρηση νομικής υποχρέωσης, που επιβάλλει την επεξεργασία βάσει του δικαίου της Ένωσης, ή του δικαίου- κράτους μέλους, στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας.
Υποχρέωση γνωστοποίησης
Ο υπεύθυνος επεξεργασίας οφείλει να ανακοινώνει την διαγραφή σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό είναι ανέφικτο, ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας οφείλει να ενημερώσει και το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφ όσον αυτό ζητηθεί από το υποκείμενο των δεδομένων (άρθρο 19).
5. Δικαίωμα περιορισμού της επεξεργασίας (GDPR άρθρο 18).
Πότε δικαιούται
Το υποκείμενο των δεδομένων δικαιούται να ζητήσει από τον υπεύθυνο επεξεργασίας τον περιορισμό της επεξεργασίας, α) όταν αμφισβητεί την ακρίβεια των δεδομένων, β) όταν η επεξεργασία είναι παράνομη, γ) όταν τα δεδομένα δεν χρειάζονται πλέον στον υπεύθυνο επεξεργασίας, δ) όταν έχει αντιταχθεί στην αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ.
Τι συμβαίνει μετά
Όταν η επεξεργασία περιοριστεί, τα εν λόγω δεδομένα, εκτός της αποθήκευσης, υφίστανται επεξεργασία, α) μόνο με τη συγκατάθεση του υποκειμένου των δεδομένων, β) για τη θεμελίωση, άσκηση, ή υποστήριξη νομικών αξιώσεων, γ) για την προστασία των δικαιωμάτων άλλου φυσικού ή νομικού προσώπου, ή για λόγους σημαντικού δημόσιου συμφέροντος της Ένωσης ή κράτους- μέλους.
Ενημερώσεις
α) Το υποκείμενο των δεδομένων, ενημερώνεται από τον υπεύθυνο επεξεργασίας πριν από την άρση του περιορισμού επεξεργασίας.
β) Ο υπεύθυνος επεξεργασίας ανακοινώνει τον περιορισμό της επεξεργασίας σε κάθε αποδέκτη, στον οποίο γνωστοποιήθηκαν τα δεδομένα, εκτός εάν αυτό είναι ανέφικτο, ή συνεπάγεται δυσανάλογη προσπάθεια.
γ) Ο υπεύθυνος επεξεργασίας ενημερώνει και το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφ όσον αυτό ζητηθεί από το υποκείμενο των δεδομένων (άρθρο 19).
6. Δικαίωμα στη φορητότητα (GDPR άρθρο 20)
Στην περίπτωση που α) η επεξεργασία βασίζεται σε συναίνεση, ή συγκατάθεση, του υποκειμένου των δεδομένων και β) η επεξεργασία διενεργείται με αυτοματοποιημένα μέσα, το υποκείμενο των δεδομένων έχει το δικαίωμα, α) να λάβει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, β) να τα διαβιβάσει σε άλλον υπεύθυνο επεξεργασίας, όταν τα δεδομένα τα έχει παράσχει σε δομημένο και αναγνώσιμο από μηχανήματα μορφότυπο, γ) να ζητήσει την απευθείας την διαβίβαση των δεδομένων από έναν υπεύθυνο επεξεργασίας σε άλλο, σε περίπτωση που αυτό είναι τεχνικά εφικτό.
Πότε δεν ισχύει
Το δικαίωμα φορητότητας δεν ισχύει, όταν η επεξεργασία εκτελείται προς το δημόσιο συμφέρον, ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.
7. Δικαίωμα εναντίωσης (GDPR άρθρο 21 και άρθρο 6 παρ. 1 στοιχ, ε, στ)
Τι είναι
Δικαίωμα εναντίωσης είναι το δικαίωμα του υποκειμένου να αντιταχθεί στην επεξεργασία των δεδομένων που το αφορούν, συμπεριλαμβανομένης της κατάρτισης προφίλ, που γίνονται, α) για την εκπλήρωση καθήκοντος, που εκτελείται προς το δημόσιο συμφέρον, ή κατά την άσκηση δημόσιας εξουσίας, που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, β) για σκοπούς των έννομων συμφερόντων, που επιδιώκει ο υπεύθυνος επεξεργασίας, ή τρίτος, γ) για σκοπούς επιστημονικής, ή ιστορικής έρευνας, ή για στατιστικούς σκοπούς, εκτός εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος, που ασκείται για λόγους δημόσιου συμφέροντος.
Συνέπειες
Από την εναντίωση ο υπεύθυνος επεξεργασίας απαγορεύεται να υποβάλλει τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν καταδείξει επιτακτικούς και νόμιμους, αναγκαίους, λόγους για την επεξεργασία, οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου, ή αφορούν τη θεμελίωση, άσκηση, ή υποστήριξη, νομικών αξιώσεων.
Σημείωση
Ο υπεύθυνος επεξεργασίας πρέπει το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, να το ενημερώσει για την ύπαρξη του δικαιώματός του να εναντιωθεί με σαφήνεια και διακριτό τρόπο.
Σημείωση
Από την εναντίωση απαγορεύεται κάθε επεξεργασία χωρίς συγκατάθεση, αν έναντι των συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας, ή τρίτος, υπερισχύει το συμφέρον, ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
Σημείωση
Από την εναντίωση απαγορεύεται, χωρίς καμία εξαίρεση, κάθε επεξεργασία δεδομένων που γίνεται για σκοπούς απ ευθείας εμπορικής προώθησης.
Σημείωση
Το δικαίωμα εναντίωσης (όπως και τα λοιπά δικαιώματα) είναι δυνατό να υπόκεινται σε νόμιμους περιορισμούς μέσω εθνικών νομοθετικών μέτρων (εφ όσον δεν παραβιάζουν τον πυρήνα του εκάστοτε δικαιώματος και αφορούν σε αναγκαία και αναλογικά μέτρα).
8. Δικαίωμα εναντίωσης στην αυτοματοποιημένη ατομική λήψη αποφάσεων, με κατάρτιση προφίλ
Σύμφωνα με την αυτοματοποιημένη ατομική λήψη αποφάσεων (συμπεριλαμβανομένης της κατάρτισης προφίλ) (άρθρο 22) το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, η οποία παράγει έννομα αποτελέσματα που το αφορούν, ή το επηρεάζει σημαντικά.
Πότε δεν εφαρμόζεται
Το δικαίωμα εναντίωσης δεν εφαρμόζεται, όταν η απόφαση, α) είναι αναγκαία για τη σύναψη, ή την εκτέλεση, σύμβασης μεταξύ του υποκειμένου και του υπευθύνου επεξεργασίας, β) βασίζεται στη ρητή συγκατάθεση του υποκειμένου, γ) επιτρέπεται από το δίκαιο της Ένωσης, ή το δίκαιο κράτους- μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας (πρέπει να προβλέπει άλλα κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων).
Παραβίαση δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τον ν. 4624/2019, με τον οποίο ενσωματώθηκε στην εθνική νομοθεσία ο Νέος Γενικός Κανονισμός Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679 (GDPR) (άρθρα 33 και 34 GDPR) είναι η παραβίαση της ασφάλειας, που οδηγεί σε καταστροφή, απώλεια, μεταβολή, κοινολόγηση, ή πρόσβαση στα δεδομένα, που υποβλήθηκαν σε επεξεργασία, διαβιβάστηκαν, ή αποθηκεύτηκαν. Η παραβίαση δεν έχει σημασία εάν έλαβε χώρα από δόλο, αμέλεια, πράξη, ή παράλειψη, ή από τυχαίο, ή απρόβλεπτο, γεγονός.
Η παραβίαση τυποποιείται ως εξής
Παραβίαση Εμπιστευτικότητας
Κοινολόγηση, ή πρόσβαση, σε προσωπικά δεδομένα σε μη εξουσιοδοτημένα άτομα.
Παραβίαση Ακεραιότητας
Τροποποίηση των δεδομένων. Τα δεδομένα πρέπει να είναι ακριβή, ακέραια, γνήσια, όχι εσφαλμένα, όχι αλλοιωμένα, όχι μη ενημερωμένα.
Παραβίαση Διαθεσιμότητας
Απώλεια πρόσβασης, ή καταστροφή δεδομένων. Τα δεδομένα πρέπει να είναι στη διάθεση των χρηστών όποτε απαιτείται η χρήση τους.
Τεχνικά - οργανωτικά μέτρα ασφάλειας
Στον Κανονισμό προς αποφυγή παραβίασης της ασφάλειας προτείνονται τα ακόλουθα τεχνικά και οργανωτικά μέτρα ασφάλειας:
- Ψευδωνυμοποίηση και Κρυπτογράφηση.
- Διασφάλιση Απορρήτου, Ακεραιότητας, Διαθεσιμότητας και Αξιοπιστίας.
- Αποκατάσταση Διαθεσιμότητας και της πρόσβασης σε περίπτωση συμβάντος.
- Δοκιμή, εκτίμηση και διαρκής αξιολόγηση της αποτελεσματικότητας των μέτρων.
- Χρήση εγκεκριμένου κώδικα δεοντολογίας, ή μηχανισμού πιστοποίησης για την απόδειξη της συμμόρφωσης.
Σημείωση 1
Σε κάθε περίπτωση, πριν τον καθορισμό των μέτρων ασφάλειας, προέχει η σωστή αξιολόγηση των κινδύνων και των πιθανών συνεπειών τους για τα υποκείμενα των δεδομένων.
Σημείωση 2
Τα υλοποιημένα μέτρα πρέπει να υποβάλλονται σε περιοδική αναθεώρηση.
Σημείωση 3
Τα υφιστάμενα διεθνή πρότυπα είναι εξαιρετικά χρήσιμα, προκειμένου να βοηθήσουν τον υπεύθυνο επεξεργασίας, ή τον εκτελούντα την επεξεργασία, στην επιλογή των κατάλληλων μέτρων ασφάλειας Χρήσιμα είναι τα πρότυπα (χρειάζονται επικαιροποίηση) ISO/IEC 27002, ISO/IEC 29151, Control Objectives for Information Technology (CobIT), Common Criteria, τα εθνικά πρότυπα NIST/SP 800-53).
Στην παραβίαση ασφάλειας των προσωπικών δεδομένων ο υπεύθυνος επεξεργασίας έχει (άρθρο 33 παρ.1)
Υποχρέωση ενημέρωσης της Αρχής.
Το αργότερο εντός 72 ωρών, από τη στιγμή που αποκτά γνώση του γεγονότος της παραβίασης της ασφάλειας, ο υπεύθυνος επεξεργασίας γνωστοποιεί στην Αρχή την παραβίαση των δεδομένων. Γνωστοποιεί και τις ενέργειες που έκανε προς αντιμετώπιση της παραβίασης. Αν την γνωστοποίηση δεν πραγματοποιηθεί εντός 72 ωρών, αλλά μεταγενέστερα, υποχρεωτικά συνοδεύεται με αιτιολόγηση της καθυστέρησης.Η γνωστοποίηση περιέχει το σύνολο όλων των πληροφοριών της παραβίασης, όπως την φύση, την έκταση του περιστατικού, τις κατηγορίες προσώπων που επλήγησαν, την αιτία και τις συνέπειες αυτού. Αν οι σχετικές πληροφορίες δεν είναι όλες διαθέσιμες από την αρχή, ο υπεύθυνος επεξεργασίας οφείλει και κάνει επικαιροποήηση, με υποβολή στην Αρχή συμπληρωματικής γνωστοποίησης.
Η Αρχή δεν ενημερώνεται, όταν η παραβίαση των δεδομένων δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Στην περίπτωση αυτή ο Υπεύθυνος Επεξεργασίας οφείλει να τηρήσει δικό του σχετικό εσωτερικό αρχείο.
Υποχρέωση ενημέρωσης του υποκειμένου
Ο υπεύθυνος επεξεργασίας υποχρεούται να ενημερώσει το φυσικό πρόσωπο που επηρεάζεται, όταν η παραβίαση είναι υψηλού κινδύνου.
Υψηλού κινδύνου παραβίαση θεωρείται αυτή που επηρεάζει, α) το απόρρητο, β) την διαθεσιμότητα και γ) την ακεραιότητα.
Στην ενημέρωση περιγράφεται με σαφήνεια η φύση της παραβίασης των δεδομένων. Περιέχονται τουλάχιστον οι παρακάτω πληροφορίες (άρθρο 33 παρ.3 στοιχ. β, γ, δ), α. Το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας, β. Η περιγραφή της παραβίασης, γ. Οι ενδεχόμενες συνέπειες της παραβίασης, δ. Τα ληφθέντα, ή τα προτεινόμενα προς λήψη μέτρα για την αντιμετώπιση της παραβίασης.
Πότε δεν ενημερώνεται το υποκείμενο
Όταν ο υπεύθυνος επεξεργασίας έχει εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας. Κυρίως μέτρα που καθιστούν μη κατανοητά τα δεδομένα σε όσους δεν διαθέτουν άδεια πρόσβασης, όπως κρυπτογράφηση.
Όταν στην συνέχεια λάβει μέτρα, που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει ο αναφερόμενος υψηλός κίνδυνος.
Όταν η ενημέρωση προϋποθέτει δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, γίνεται δημόσια ανακοίνωση, ή παρόμοιο μέτρο, με το οποίο το υποκείμενο των δεδομένων μπορεί να ενημερωθεί εξίσου αποτελεσματικά.
Σημείωση
Η Αρχή, σε κάθε περίπτωση, μπορεί να δώσει εντολή στον υπεύθυνο επεξεργασίας να ενημερώσει τα φυσικά πρόσωπα, που επηρεάζονται (άρθρο 58 παρ. 2 ε).
Ο Νέος Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ - GDPR), άρθρο 22 κάνει ειδική αναφορά στην αυτοματοποιημένη ατομική λήψη αποφάσεων και την κατάρτιση προφίλ (profiling).
Τι είναι
Λήψη αποφάσεων με αυτοματοποιημένα μέσα, είναι η λήψη αποφάσεων σχετικά με το υποκείμενο των δεδομένων, χωρίς καμία ανθρώπινη παρέμβαση, με τεχνολογικά μέσα.
Κατάρτιση προφίλ είναι, η αξιολόγηση των προσωπικών πτυχών του υποκειμένου των δεδομένων (ηλικία, φύλο, ύψος κλπ) με σκοπό την πραγματοποίηση προβλέψεων σχετικά με αυτό.
Η αυτοματοποιημένη λήψη αποφάσεων και η κατάρτιση προφίλ χρησιμοποιούνται ευρέως στον ιδιωτικό τομέα και στον δημόσιο τομέα. Όπως στις τράπεζες, στις χρηματοοικονομικές εταιρείες, στην υγειονομική περίθαλψη, φορολογία, ασφάλιση, μάρκετινγκ, διαφήμιση κλπ.
Ο κανόνας
Σύμφωνα με τον Κανονισμό, το πρόσωπο έχει το δικαίωμα να μην υπόκειται σε απόφαση με βάση μόνο αυτοματοποιημένα μέσα, εάν η απόφαση παράγει έννομα αποτελέσματα που το αφορούν, ή το επηρεάζουν σε σημαντικό βαθμό. Π.χ. μία απόφαση επηρεάζει τη φυσική και νομική κατάσταση του προσώπου, γιατί η αυτόματη επεξεργασία οδηγεί, ή μπορεί να οδηγήσει, σε απόρριψη αίτησης δανείου.
Πότε επιτρέπεται
α) όταν η απόφαση με αυτοματοποιημένα μέσα, είναι αναγκαία για την σύναψη, ή την εκτέλεση, σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας των δεδομένων.
β) βασίζεται στη ρητή συγκατάθεση του υποκειμένου των δεδομένων.
γ) επιτρέπεται από το δίκαιο της Ένωσης, ή το δίκαιο κράτους- μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.
Εξαιρέσεις
Οι αποφάσεις με αυτοματοποιημένα μέσα δεν επιτρέπονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα του άρθρου 9 παρ. 1του Κανονισμού
Σημείωση
Δηλαδή που αποκαλύπτουν φυλετική, εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές, φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα, υγεία, σεξουαλική ζωή, γενετήσιο προσανατολισμό.
Επιτρέπονται, όμως,
α) αν το υποκείμενο των δεδομένων δώσει ρητή συγκατάθεση, ή
β) η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος.
Η εκπόνηση «εκτίμησης αντικτύπου» σχετικά με την προστασία δεδομένων (ΕΑΠΔ- Data Protection Impact Assessment - DPIA) προβλέπεται στο άρθρο 35 παρ. 1 του GDPR (Νέος Γενικός Κανονισμός Προστασίας Δεδομένων)
Η εκπόνηση της «εκτίμησης αντικτύπου» είναι υποχρεωτική, όταν το είδος της επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο στα δικαιώματα και τις ελευθερίες του προσώπου. Την εκπόνηση της «εκτίμησης αντικτύπου» την διενεργεί ο Υπεύθυνος Επεξεργασίας, πριν από την επεξεργασία, ζητώντας την γνώμη του Υπευθύνου Προστασίας. Όπου ενδείκνυται, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την γνώμη του υποκειμένου των δεδομένων για τη σχεδιαζόμενη επεξεργασία.
Η εκπόνηση «εκτίμησης αντικτύπου» απαιτείται στις περιπτώσεις
α) συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών των φυσικών προσώπων, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ.
β) μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων του άρθρου 9 παρ. 1 (φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα, δεδομένα που αφορούν την υγεία, ή δεδομένα που αφορούν τη σεξουαλική ζωή, ή τον γενετήσιο προσανατολισμό).
γ) δεδομένων προσωπικού χαρακτήρα, που αφορούν ποινικές καταδίκες και αδικήματα, του άρθρου 10.
δ) συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.
Η εκτίμηση πρέπει περιέχει τουλάχιστον
α) την συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας, των σκοπών της επεξεργασίας, και του έννομου συμφέροντος, που επιδιώκει ο υπεύθυνος επεξεργασίας.
β) την εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας.
γ) την εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.
δ) τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων. Περιλαμβάνονται οι εγγυήσεις και τα μέτρα και μηχανισμοί ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα.
Όταν μεταβάλλεται ο κίνδυνος, που θέτουν οι πράξεις επεξεργασίας, ο υπεύθυνος επεξεργασίας πρέπει να προβεί σε επανεξέταση για να εκτιμήσει, εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται σύμφωνα με την «εκτίμηση αντικτύπου».
Σύμφωνα με το άρθρο 35 παρ. 4 του GDPR, η Αρχή Προστασίας Δεδομένων κατήρτισε σχέδιο καταλόγου με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια ΕΑΠΔ (DPIA). Πριν την έκδοση του εν λόγω καταλόγου ΕΑΠΔ, η Αρχή εφάρμοσε, κατά τα προβλεπόμενα στο άρθρο 35 παρ. 6, το μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63 ανακοινώνοντας το σχέδιο καταλόγου στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ).
Ο κατάλογος που υπέβαλε η Αρχή στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, προς έγκριση, προβλέπει ότι απαιτείται η διενέργεια εκτίμησης αντικτύπου, α) στην επεξεργασία βιομετρικών και γενετικών δεδομένων και β) στην επεξεργασία των προσωπικών δεδομένων για επιστημονικό ή ιστορικό σκοπό.
Το ΕΣΠΔ, κατά τη συνεδρίαση της ολομέλειας της 25ης Σεπτεμβρίου 2018, εξέδωσε, βάσει του άρθρου 64 παρ. 1 του ΓΚΠΔ, τη γνώμη 7/2018 σχετικά με το σχέδιο καταλόγου ΕΑΠΔ της Αρχής. Η Αρχή, με την με αριθμό 65/2018 Απόφασή της, αποφάσισε, σύμφωνα με το άρθρο 64 παρ. 7 του GDPR, την τροποποίηση του καταλόγου ΕΑΠΔ βάσει των συστάσεων της γνώμης 7/2018 του ΕΣΠΔ και την ανακοίνωσή του στο ΕΣΠΔ. Ο κατάλογος ΕΑΠΔ της Αρχής βασίζεται στο άρθρο 35 του GDPR και ιδίως στις παρ. 1 και 3 αυτού καθώς και στις κατευθυντήριες γραμμές για την ΕΑΠΔ (WP248), τις οποίες συμπληρώνει και εξειδικεύει περαιτέρω.
Ο εν λόγω κατάλογος της Αρχής δεν είναι εξαντλητικός και, συνεπώς, δεν αίρεται ούτε μεταβάλλεται η υποχρέωση να διενεργείται ΕΑΠΔ σε κάθε περίπτωση συνδρομής των προϋποθέσεων του άρθρου 35 παρ. 1 του GDPR, ούτε η γενικότερη υποχρέωση του υπευθύνου επεξεργασίας να συμμορφώνεται με το σύνολο των υποχρεώσεων που απορρέουν από το ΓΚΠΔ.
Ο υπεύθυνος επεξεργασίας πρέπει, οποτεδήποτε του ζητηθεί από την Αρχή, να αποδεικνύει την συμμόρφωσή του προς την εκπόνηση εκτίμησης αντικτύπου. Η μη συμμόρφωση οδηγεί στην επιβολή προστίμων από την Αρχή.
Στον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν απαιτεί εξακρίβωση ταυτότητας, στο άρθρο 11 προβλέπεται ότι o υπεύθυνος επεξεργασίας οφείλει, να μη διατηρεί, ή να αποκτά, ή να επεξεργάζεται συμπληρωματικές πληροφορίες, για την εξακρίβωση της ταυτότητας του υποκειμένου, εάν οι σκοποί για τους οποίους επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα δεν απαιτούν, ή δεν απαιτούν πλέον, την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων. Σε κάθε περίπτωση οφείλει να ενημερώσει το υποκείμενο των δεδομένων.
Στον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ - GDPR) στο άρθρο 10 προβλέπεται ότι η επεξεργασία προσωπικών δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα απαγορεύεται. Επιτρέπεται μόνο όταν, διενεργείται υπό τον έλεγχο επίσημης αρχής, ή εάν η επεξεργασία επιτρέπεται από το δίκαιο της Ένωσης, ή κράτους- μέλους. Πλήρες ποινικό μητρώο τηρείται μόνον υπό τον έλεγχο επίσημης αρχής.
Στον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) για την επεξεργασία ευαίσθητων προσωπικών δεδομένων (ή δεδομένων ειδικών κατηγοριών με τον νέο ορισμό του GDPR) στο άρθρο 9 προβλέπονται τα εξής.
Απαγόρευση
Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν
α) την φυλετική, ή εθνοτική καταγωγή.
β) τα πολιτικά φρονήματα.
γ) τις θρησκευτικές, ή φιλοσοφικές, πεποιθήσεις.
δ) τη συμμετοχή σε συνδικαλιστική οργάνωση.
ε) την επεξεργασία γενετικών, ή βιομετρικών δεδομένων.
στ) δεδομένων που αφορούν την υγεία.
ζ) δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου, και τον γενετήσιο προσανατολισμό.
Πότε επιτρέπεται η επεξεργασία
Κατ' εξαίρεση επιτρέπεται η επεξεργασία, όταν συντρέχει μία από τις παρακάτω προϋποθέσεις,
α) ρητή συγκατάθεση του υποκειμένου των δεδομένων.
β) η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας.
γ) η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων, ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά, ή νομικά, ανίκανο να συγκατατεθεί.
δ) η επεξεργασία διενεργείται, με κατάλληλες εγγυήσεις, στο πλαίσιο των νόμιμων δραστηριοτήτων ιδρύματος, οργάνωσης, ή άλλου μη κερδοσκοπικού φορέα, με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό στόχο.
ε) η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα, τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων.
στ) η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση, ή υποστήριξη, νομικών αξιώσεων, ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα.
ζ) η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος.
η) η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής, ή επαγγελματικής ιατρικής (όπως εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών).
θ) η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας (όπως προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας, ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων).
ι) η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής έρευνας, ή για στατιστικούς σκοπούς.
Σύμφωνα με τον ν. 4557/2018, που ενσωματώνει στην ελληνική έννομη τάξη την Οδηγία (ΕΕ) 2015/849 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 20/5/2015, τα υπόχρεα πρόσωπα οφείλουν τα δεδομένα προσωπικού χαρακτήρα να τα υποβάλλουν σε επεξεργασία μόνο για τον σκοπό της πρόληψης της νομιμοποίησης των παράνομων εσόδων. Απαγορεύεται να χρησιμοποιηθούν, ή να τύχουν επεξεργασίας, για άλλους σκοπούς. Οι εμπλεκόμενες δημόσιες αρχές, περιλαμβανομένων του Υπουργείου Δικαιοσύνης, Διαφάνειας και Ανθρωπίνων Δικαιωμάτων, των αρμόδιων αρχών, καθώς και των δικαστικών, εισαγγελικών, αστυνομικών, φορολογικών αρχών και υπηρεσιών, μπορούν να τηρούν πλήρη και ενημερωμένα στατιστικά στοιχεία, σχετικά με τομείς ή θέματα της αρμοδιότητάς τους. Τα στοιχεία αυτά συγκεντρώνονται ετησίως από τον Κεντρικό Συντονιστικό Φορέα και διαβιβάζονται στην Ευρωπαϊκή Επιτροπή. Επειδή η επεξεργασία των δεδομένων προσωπικού χαρακτήρα θεωρείται ζήτημα δημόσιου συμφέροντος, μπορεί το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων στα δεδομένα προσωπικού χαρακτήρα που το αφορούν, να περιοριστεί μερικώς ή συνολικά. Αυτό αφορά κυρίως την περίπτωση μη παρεμπόδισης της διενέργειας επίσημων νομικών ερευνών, ώστε να διευκολυνθεί η πρόληψη, η διερεύνηση και ο εντοπισμός της παράνομης νομιμοποίησης εσόδων.
Σύμφωνα με τον ν. 4557/2018, που ενσωματώνει στην ελληνική έννομη τάξη την Οδηγία (ΕΕ) 2015/849 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 20/5/2015, «Πολιτικώς εκτεθειμένα πρόσωπα» νοούνται
α) τα φυσικά πρόσωπα, στα οποία έχει ή είχε ανατεθεί σημαντικό δημόσιο λειτούργημα, ήτοι οι αρχηγοί κρατών και κυβερνήσεων, οι υπουργοί, υφυπουργοί, γενικοί και ειδικοί γραμματείς υπουργείων, τα μέλη κοινοβουλίων, τα μέλη ανώτατων δικαστηρίων αρμόδιων για την έκδοση αμετάκλητων αποφάσεων, οι πρεσβευτές, οι ακόλουθοι, οι υψηλόβαθμοι αξιωματικοί των ενόπλων δυνάμεων και τα μέλη διοικητικών, διαχειριστικών ή εποπτικών οργάνων ανεξάρτητων αρχών, ν.π.δ.δ. ή δημόσιων οργανισμών.
β) οι άμεσοι στενοί συγγενείς αυτών, ήτοι ο σύζυγος, ο σύντροφος που θεωρείται από την εθνική νομοθεσία ως ισοδύναμος με τον σύζυγο, οι γονείς, τα παιδιά και οι σύζυγοι τους, ή συγκατοικούντες σύντροφοί τους,
γ) τα πρόσωπα που είναι γνωστά ως στενοί συνεργάτες των προσώπων αυτών. Δηλαδή, τα φυσικά πρόσωπα, για τα οποία είναι γνωστό ότι είναι από κοινού πραγματικοί δικαιούχοι νομικής οντότητας, ή νομικού μορφώματος, ή συνδέονται με οποιαδήποτε άλλη στενή επιχειρηματική σχέση με πολιτικώς εκτεθειμένο πρόσωπο και τα φυσικά πρόσωπα, τα οποία είναι οι μόνοι πραγματικοί δικαιούχοι νομικής οντότητας, ή νομικού μορφώματος, που είναι γνωστό ότι έχει συσταθεί εν τοις πράγμασι προς όφελος πολιτικώς εκτεθειμένου προσώπου.
ΜΕΤΡΑ ΕΠΙΜΕΛΕΙΑΣ ΚΑΤΑ ΤΩΝ ΠΟΛΙΤΙΚΩΣ ΕΚΤΕΘΕΙΜΕΝΩΝ ΠΡΟΣΩΠΩΝ
Τα υπόχρεα πρόσωπα στις συναλλαγές τους με τα πολιτικώς εκτεθειμένα πρόσωπα, τους στενούς συγγενείς και τους στενούς συνεργάτες των, οφείλουν στα πολιτικώς εκτεθειμένα πρόσωπα που είναι εγκατεστημένα στην Ελλάδα, να εφαρμόσουν τα μέτρα συνήθους δέουσας επιμέλειας. Στα πολιτικώς εκτεθέμενα πρόσωπα, που διαμένουν εκτός Ελλάδος, εντός ή εκτός Ευρωπαϊκής Ένωσης, οι υποχρεοι οφείλουν να λάβουν τα εξής μέτρα αυξημένης επιμέλειας, α) να διαθέτουν κατάλληλες διαδικασίες ανάλογα με τον βαθμό κινδύνου για να καθορίζουν εάν ο πελάτης είναι πολιτικώς εκτεθειμένο πρόσωπο, β) να απαιτούν την έγκριση από ανώτερα διοικητικά στελέχη της Εταιρείας για τη σύναψη επιχειρηματικών σχέσεων με τους πελάτες αυτούς, γ) να λαμβάνουν επαρκή μέτρα για να καθορίσουν την προέλευση των κεφαλαίων τα οποία αφορά η επιχειρηματική σχέση ή η συναλλαγή, δ) να διενεργούν αυξημένη και συνεχή παρακολούθηση της επιχειρηματικής σχέσης.
Σύμφωνα με τον ν. 4557/2018, που ενσωματώνει στην ελληνική έννομη τάξη την Οδηγία (ΕΕ) 2015/849 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 20/5/2015, «Πολιτικώς εκτεθειμένα πρόσωπα» νοούνται
α) τα φυσικά πρόσωπα, στα οποία έχει ή είχε ανατεθεί σημαντικό δημόσιο λειτούργημα, ήτοι οι αρχηγοί κρατών και κυβερνήσεων, οι υπουργοί, υφυπουργοί, γενικοί και ειδικοί γραμματείς υπουργείων, τα μέλη κοινοβουλίων, τα μέλη ανώτατων δικαστηρίων αρμόδιων για την έκδοση αμετάκλητων αποφάσεων, οι πρεσβευτές, οι ακόλουθοι, οι υψηλόβαθμοι αξιωματικοί των ενόπλων δυνάμεων και τα μέλη διοικητικών, διαχειριστικών ή εποπτικών οργάνων ανεξάρτητων αρχών, ν.π.δ.δ. ή δημόσιων οργανισμών.
β) οι άμεσοι στενοί συγγενείς αυτών, ήτοι ο σύζυγος, ο σύντροφος που θεωρείται από την εθνική νομοθεσία ως ισοδύναμος με τον σύζυγο, οι γονείς, τα παιδιά και οι σύζυγοι τους, ή συγκατοικούντες σύντροφοί τους,
γ) τα πρόσωπα που είναι γνωστά ως στενοί συνεργάτες των προσώπων αυτών.
(δηλαδή, τα φυσικά πρόσωπα, για τα οποία είναι γνωστό ότι είναι από κοινού πραγματικοί δικαιούχοι νομικής οντότητας, ή νομικού μορφώματος, ή συνδέονται με οποιαδήποτε άλλη στενή επιχειρηματική σχέση με πολιτικώς εκτεθειμένο πρόσωπο και τα φυσικά πρόσωπα, τα οποία είναι οι μόνοι πραγματικοί δικαιούχοι νομικής οντότητας, ή νομικού μορφώματος, που είναι γνωστό ότι έχει συσταθεί εν τοις πράγμασι προς όφελος πολιτικώς εκτεθειμένου προσώπου).
ΜΕΤΡΑ ΕΠΙΜΕΛΕΙΑΣ ΚΑΤΑ ΤΩΝ ΠΟΛΙΤΙΚΩΣ ΕΚΤΕΘΕΙΜΕΝΩΝ ΠΡΟΣΩΠΩΝ
Τα υπόχρεα πρόσωπα στις συναλλαγές τους με τα πολιτικώς εκτεθειμένα πρόσωπα, τους στενούς συγγενείς και τους στενούς συνεργάτες των, οφείλουν στα πολιτικώς εκτεθειμένα πρόσωπα που είναι εγκατεστημένα στην Ελλάδα, να εφαρμόσουν τα μέτρα συνήθους δέουσας επιμέλειας. Στα πολιτικώς εκτεθέμενα πρόσωπα, που διαμένουν εκτός Ελλάδος, εντός ή εκτός Ευρωπαϊκής Ένωσης, οι υποχρεοι οφείλουν να λάβουν τα εξής μέτρα αυξημένης επιμέλειας, α) να διαθέτουν κατάλληλες διαδικασίες ανάλογα με τον βαθμό κινδύνου για να καθορίζουν εάν ο πελάτης είναι πολιτικώς εκτεθειμένο πρόσωπο, β) να απαιτούν την έγκριση από ανώτερα διοικητικά στελέχη της Εταιρείας για τη σύναψη επιχειρηματικών σχέσεων με τους πελάτες αυτούς, γ) να λαμβάνουν επαρκή μέτρα για να καθορίσουν την προέλευση των κεφαλαίων τα οποία αφορά η επιχειρηματική σχέση ή η συναλλαγή, δ) να διενεργούν αυξημένη και συνεχή παρακολούθηση της επιχειρηματικής σχέσης.
Σύμφωνα με τον ν. 4557/2018, που ενσωματώνει στην ελληνική έννομη τάξη την Οδηγία (ΕΕ) 2015/849 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 20/5/2015, για την καταπολέμηση της νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες (και της χρηματοδότησης της τρομοκρατίας) τα υπόχρεα πρόσωπα οφείλουν να εξετάζουν με ιδιαίτερη προσοχή κάθε προϊόν ή συναλλαγή που ενδέχεται να ευνοήσει την ανωνυμία και η οποία από τη φύση της ή από στοιχεία που αφορούν στο πρόσωπο ή στην ιδιότητα του συναλλασσομένου μπορεί να συνδεθεί με σχέδια διάπραξης των αδικημάτων και λαμβάνουν κατάλληλα μέτρα για την αποτροπή αυτού του κινδύνου.
Ύποπτη συναλλαγή (δραστηριότητα) θεωρείται η συναλλαγή, που εκτιμάται ότι προκύπτουν αποχρώσες ενδείξεις, ή υπόνοιες, για πιθανή απόπειρα, ή διάπραξη των αδικημάτων παράνομης νομιμοποίησης εσόδων, ή εμπλοκή του πελάτη, ή του πραγματικού δικαιούχου, σε εγκληματικές δραστηριότητες.
Ασυνήθης συναλλαγή (δραστηριότητα) θεωρείται η συναλλαγή, που δεν συνάδει με την συναλλακτική, επιχειρηματική, ή επαγγελματική, συμπεριφορά του πελάτη, ή του πραγματικού δικαιούχου, ή με την οικονομική τους επιφάνεια, ή που δεν έχει προφανή σκοπό ή κίνητρο οικονομικής, επαγγελματικής ή προσωπικής φύσης.
Η αξιολόγηση της ύποπτης ή ασυνήθους, συναλλαγής γίνεται με βάση των στοιχείων της συναλλαγής, όπως, α) η φύση της συναλλαγής, β) η κατηγορία του χρηματοπιστωτικού μέσου, γ) η συχνότητα και η πολυπλοκότητα της συναλλαγής, δ) το ύψος της συναλλαγής, ε) η χρήση ή μη μετρητών, στ) το επάγγελμα, η οικονομική επιφάνεια, η συναλλακτική, ή επιχειρηματική, συμπεριφορά, η φήμη και το παρελθόν του πελάτη, ζ) το επίπεδο διαφάνειας του νομικού προσώπου του πελάτη.
Τα υπόχρεα πρόσωπα οφείλουν
α) Να ζητήσουν πρόσθετα έγγραφα, που να δικαιολογούν και πιστοποιούν την σκοπιμότητα της συναλλαγής και την προέλευση των κεφαλαίων.
β) Όταν μάθουν ότι ο πελάτης κατηγορείται για φοροδιαφυγή, να εφαρμόσουν τα μέτρα δέουσας επιμέλειας.
γ) Όταν μάθουν ότι ο πελάτης το ομαδικό συνταξιοδοτικό πρόγραμμα των εργαζομένων του μπορεί να το χρησιμοποιήσει για λήψη δανείου, να εφαρμόσουν την διαδικασία της δέουσας επιμέλειας.
δ) Όταν γίνει διάπραξη ληστείας και ο κατηγορούμενος θέλει να κάνει ασφάλιση ζωής με επενδυτικά χαρακτηριστικά, να λάβουν μέτρα αυξημένης δέουσας επιμέλειας.
ε) Όταν ο πελάτης θέλει να κάνη ασφάλισης ζωής με υψηλό ετήσιο ασφάλιστρο και να το πληρώσει σε μετρητά, να ενεργοποιήσουν την διαδικασία αυξημένης δέουσας επιμέλειας.
στ) Εάν πληροφορηθούν, ή υποπτεύονται, ότι η συναλλαγή σχετίζεται με παράνομη νομιμοποίηση, να απέχουν από την διενέργεια της συναλλαγής και να ενημερώνουν αμελλητί, με δική τους πρωτοβουλία, την Αρχή, παρέχοντας όλες τις απαιτούμενες πληροφορίες και στοιχεία.
ζ) Σε κάθε περίπτωση πρέπει να εξετάζουν τις επιχειρηματικές σχέσεις και συναλλαγές με πελάτες που προέρχονται από χώρες που χαρακτηρίζονται από τη F.A.T.F. ως μη αξιόπιστες χώρες.
η) Σε κάθε περίπτωση πρέπει να αποφεύγουν την διενέργεια συναλλαγών, την άσκηση δραστηριοτήτων ή την παροχή υπηρεσιών, για τις οποίες γνωρίζουν ή υποπτεύονται ότι συνδέονται με αδικήματα ξεπλύματος χρήματος. Αν όμως η αποφυγή της διενέργειας, της άσκησης ή της παροχής είναι αδύνατη, ή ενδέχεται να εμποδίσει τη δίωξη των πελατών, των πραγματικών δικαιούχων, ή των προσώπων για λογαριασμό των οποίων ενεργούν οι πελάτες, οι Εταιρείες εκτελούν τις συναλλαγές, ασκούν τις δραστηριότητες, ή παρέχουν τις υπηρεσίες, ενημερώνοντας ταυτόχρονα την Εθνική Αρχή.
θ) Μετά την εξέταση των υπόπτων-ασυνήθων συναλλαγών, εάν υφίσταται υπόνοια απόπειρας, ή διάπραξης νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες και χρηματοδότηση της τρομοκρατίας, πρέπει να υποβάλλουν αναφορά ασυνήθους ή ύποπτης συναλλαγής στην Εθνική Αρχή. Στην υποχρέωση αναφοράς εμπίπτουν και ύποπτες ή ασυνήθεις συναλλαγές που έγινε απόπειρα εκτέλεσής τους, αλλά δεν ολοκληρώθηκαν.
ι) Τα αποτελέσματα της εξέτασης των ύποπτων συναλλαγών τηρούνται εγγράφως, ή σε ηλεκτρονική μορφή.
Σύμφωνα με τον ν. 4557/2018, που ενσωματώνει στην ελληνική έννομη τάξη την Οδηγία (ΕΕ) 2015/849 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 20/5/2015, τα μέτρα επιμέλειας για την καταπολέμηση της νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες (και της χρηματοδότησης της τρομοκρατίας) είναι, α) Μέτρα Δέουσας Επιμέλειας, για πελάτες κανονικού κινδύνου, β) Μέτρα Απλουστευμένης Δέουσας Επιμέλειας, για πελάτες χαμηλού κινδύνου, γ) Μέτρα Αυξημένης Δέουσας Επιμέλειας, για πελάτες υψηλού κινδύνου.
Πελάτες κανονικού κινδύνου θεωρούνται οι πελάτες, α) ασφαλιστηρίων συμβολαίων ζωής, όπου τα ασφάλιστρα είναι χαμηλά, β) στις συμβάσεις συνταξιοδοτικής ασφάλισης, που συνάπτονται βάσει συμβάσεων εργασίας, ή επαγγελματικής δραστηριότητας του ασφαλισμένου (υπό τον όρο ότι οι συμβάσεις αυτές δεν περιλαμβάνουν ρήτρα εξαγοράς, ούτε μπορεί να χρησιμεύσουν σαν εγγύηση δανείου) γ) στις ασφαλίσεις ατυχημάτων / ασθενειών (παροχές κατ αποκοπή, περιοδικές παροχές αποζημιώσεων, συνδυασμού αυτών) ανεξαρτήτως ποσού, δ) στα προϊόντα όπου οι κίνδυνοι νομιμοποίησης εσόδων από παράνομες δραστηριότητες και χρηματοδότησης της τρομοκρατίας περιορίζονται από άλλους παράγοντες, όπως τα όρια χρηματικών ποσών, ή η διαφάνεια της ιδιοκτησίας.
Πελάτες χαμηλού κινδύνου θεωρούνται οι απλοί πελάτες, όπου λαμβάνεται υπ όψιν ο σκοπός της συναλλαγής, το επίπεδο των περιουσιακών στοιχείων του πελάτη, το μέγεθος των συναλλαγών και η κανονικότητα, ή, η διάρκεια της σχέσης.
Πελάτες υψηλού κινδύνου θεωρούνται οι πελάτες, όπου, α) Η επιχειρηματική σχέση αναπτύσσεται σε ασυνήθιστες περιστάσεις, β) Σε επιχειρήσεις έντασης μετρητών, γ) Η ιδιοκτησιακή δομή της εταιρείας φαίνεται ασυνήθιστη, ή υπερβολικά πολύπλοκη, δεδομένης της φύσης των δραστηριοτήτων της εταιρείας, δ) Σε προϊόντα, ή συναλλαγές, που ενδέχεται να ευνοούν την ανωνυμία, ε) Σε επιχειρηματικές σχέσεις, ή συναλλαγές, εξ αποστάσεως (χωρίς φυσική παρουσία των μερών), στ) Σε πληρωμές που λαμβάνονται από άγνωστους, ή άσχετους, τρίτους, ζ) Σε νέα προϊόντα και νέες επιχειρηματικές πρακτικές, καθώς και σε χρήση νέων, ή αναπτυσσόμενων, τεχνολογιών, τόσο για νέα, όσο και για προϋπάρχοντα προϊόντα, η) Σε συναλλαγές με τα πολιτικώς εκτεθειμένα πρόσωπα, τους στενούς συγγενείς και συνεργάτες τους.
ΤΑ ΜΕΤΡΑ ΔΕΟΥΣΑΣ ΕΠΙΜΕΛΕΙΑΣ ΕΙΝΑΙ
α) Η πιστοποίηση και το έλεγχος της ταυτότητας του πελάτη βάσει εγγράφων, δεδομένων ή πληροφοριών από αξιόπιστη και ανεξάρτητη πηγή.
β) Η πιστοποίηση (εφόσον συντρέχει περίπτωση) της ταυτότητας του πραγματικού δικαιούχου και η λήψη ευλόγων μέτρων αναλόγως του βαθμού κινδύνου για τον έλεγχο της ταυτότητάς του, ώστε να διασφαλίζεται ότι οι Εταιρείες γνωρίζουν τον πραγματικό δικαιούχο.
γ) Η συλλογή πληροφοριών για το σκοπό και τη σκοπούμενη φύση της επιχειρηματικής σχέσης, ή σημαντικών συναλλαγών ή δραστηριοτήτων του πελάτη ή του πραγματικού δικαιούχου.
δ) Η άσκηση συνεχούς εποπτείας όσον αφορά στην επιχειρηματική σχέση, με ενδελεχή εξέταση των συναλλαγών που πραγματοποιούνται κατά τη διάρκεια αυτής της σχέσης,
ε) Στην περίπτωση όπου κατά τη διάρκεια της επιχειρηματικής σχέσης δημιουργηθούν αμφιβολίες στο υπόχρεο πρόσωπο για το αν οι συμβαλλόμενοι, ή συναλλασσόμενοι ενεργούν για ίδιο λογαριασμό ή σε περίπτωση βεβαιότητας για το ότι δεν ενεργούν για ίδιο λογαριασμό, τα υπόχρεα πρόσωπα λαμβάνουν τα απαιτούμενα μέτρα, προκειμένου να συλλέξουν πληροφορίες για την πραγματική ταυτότητα των προσώπων για λογαριασμό των οποίων αυτοί ενεργούν.
στ) Η εξέταση με ιδιαίτερη προσοχή κάθε συναλλαγής, ή δραστηριότητας, η οποία από τη φύση της ή από τα στοιχεία που αφορούν το πρόσωπο ή την ιδιότητα του συναλλασσομένου μπορεί να συνδεθεί με νομιμοποίηση εσόδων από εγκληματικές δραστηριότητες ή με χρηματοδότηση της τρομοκρατίας.
ζ) Στις συναλλαγές αυτές περιλαμβάνονται ιδίως οι πολύπλοκες ή ασυνήθιστα μεγάλες συναλλαγές και όλα τα ασυνήθιστα είδη συναλλαγών που πραγματοποιούνται χωρίς προφανή οικονομικό ή σαφή νόμιμο λόγο.
η) Οι Εταιρείες συνεκτιμούν και το συνολικό χαρτοφυλάκιο το οποίο διατηρεί ο συναλλασσόμενος σε αυτές και ενδεχομένως σε άλλες εταιρείες του ομίλου στον οποίο ανήκουν, προκειμένου να εξακριβώσουν τη συνάφεια και συμβατότητα της εξεταζόμενης συναλλαγής με το χαρτοφυλάκιο ή τα χαρτοφυλάκια αυτά.
Τα μέτρα δέουσας επιμέλειας αφορούν όλους τους πελάτες, όταν αυτοί ενεργούν από κοινού την επιχειρηματική σχέση, ή είναι, ή καθίστανται συνδικαιούχοι του ασφαλίσματος. Ενδεικτικά στην περίπτωση της δήλωσης κοινού λογαριασμού, προκειμένου για την πίστωση του ποσού εξαγοράς ή του ασφαλίσματος.
ΠΟΤΕ ΕΦΑΡΜΟΖΟΝΤΑΙ ΤΑ ΜΕΤΡΑ ΔΕΟΥΣΑΣ ΕΠΙΜΕΛΕΙΑΣ
Πριν τα υπόχρεα πρόσωπα συνάψουν ή τροποποιήσουν επιχειρηματικές σχέσεις και πραγματοποιήσουν συναλλαγές, και ιδίως πριν καταρτίσουν ή τροποποιήσουν ασφαλιστική σύμβαση, σύμβαση παροχής επενδυτικών υπηρεσιών, σύμβαση μεταξύ ασφαλιστικού διαμεσολαβητή και πελάτη ή πριν συμπληρώσουν αίτηση συμμετοχής σε επενδυτικό προϊόν.
Η πιστοποίηση της ταυτότητας του πελάτη και του πραγματικού δικαιούχου πραγματοποιείται πριν την σύναψη επιχειρηματικών σχέσεων και σε κάθε περίπτωση πριν από την έναρξη της ασφάλισης, την αλλαγή του δικαιούχου και κάθε εν γένει μεταβολή στα υποκείμενα της ασφαλιστικής σχέσης, η οποία δεν μπορεί να ολοκληρωθεί χωρίς θετική ενέργεια της ασφαλιστικής εταιρείας.
Η πιστοποίηση της ταυτότητας του πελάτη και του πραγματικού δικαιούχου, για το σύνολο των επιχειρηματικών σχέσεων, επιτρέπεται να ολοκληρώνεται αμέσως μετά τη σύναψη της σχέσης, εφ όσον αυτό απαιτείται για να μη διακοπεί η ομαλή παροχή υπηρεσιών, και εφόσον ο κίνδυνος νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες ή χρηματοδότησης της τρομοκρατίας εκτιμάται ότι είναι μικρός. Στις περιπτώσεις αυτές, η πιστοποίηση περατώνεται το συντομότερο δυνατόν και πάντως εντός 30 ημερών το αργότερο.
Για κάθε συναλλαγή αξίας άνω των 15.000 ευρώ (είτε η συναλλαγή αυτή πραγματοποιείται με μία και μόνη πράξη, είτε με περισσότερες που φαίνεται να συνδέονται μεταξύ τους).
Δεν απαιτείται η επαλήθευση της προέλευσης των κεφαλαίων του πελάτη, σε περίπτωση που τα καταβαλλόμενα ασφάλιστρα δεν υπερβαίνουν τα 15.000 ευρώ, λαμβάνοντας υπόψη πάντα το συνολικό χαρτοφυλάκιο του πελάτη.
Σε κάθε περίπτωση που υπάρχει υπόνοια για απόπειρα ή διάπραξη αδικημάτων νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες, ή χρηματοδότησης της τρομοκρατίας, ανεξάρτητα από κάθε παρέκκλιση, εξαίρεση, ή κατώτατο όριο ποσού.
Σε κάθε περίπτωση που υπάρχουν αμφιβολίες για την ακρίβεια ή την καταλληλότητα των δεδομένων που έχουν συγκεντρωθεί στο παρελθόν για την πιστοποίηση της ταυτότητας του πελάτη, άλλου προσώπου για λογαριασμό του οποίου ενεργεί ο πελάτης και του πραγματικού δικαιούχου ή των πραγματικών δικαιούχων του πελάτη.
ΤΑ ΜΕΤΡΑ ΑΠΛΟΥΣΤΕΥΜΕΝΗΣ ΔΕΟΥΣΑΣ ΕΠΙΜΕΛΕΙΑΣ
Απλουστευμένη δέουσα επιμέλεια υπάρχει, όταν η συναλλαγή (ή δραστηριότητα) παρουσιάζει χαμηλότερο κίνδυνο νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες (ή χρηματοδότησης της τρομοκρατίας). Όταν δεν υφίσταται υποχρέωση πιστοποίησης της ταυτότητας του πελάτη.
Τα μέτρα της απλουστευμένης δέουσας επιμέλειας εφαρμόζονται, αφού προηγουμένως το υπόχρεο πρόσωπο συγκεντρώσει επαρκείς πληροφορίες και βεβαιωθεί ότι η συναλλαγή παρουσιάζει χαμηλότερο κίνδυνο νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες (ή χρηματοδότησης της τρομοκρατίας).
ΤΑ ΜΕΤΡΑ ΑΠΛΟΥΣΤΕΥΜΕΝΗΣ ΔΕΟΥΣΑΣ ΕΠΙΜΕΛΕΙΑΣ ΕΦΑΡΜΟΖΟΝΤΑΙ
α) Όταν ο πελάτης είναι,
αα) πιστωτικό ίδρυμα ή χρηματοπιστωτικός οργανισμός κράτους μέλους της Ευρωπαϊκής Ένωσης, ή πιστωτικό ίδρυμα ή χρηματοπιστωτικός οργανισμός που ευρίσκεται σε τρίτη χώρα η οποία επιβάλλει απαιτήσεις ισοδύναμες προς αυτές που προβλέπει η κοινοτική νομοθεσία και υπόκειται σε εποπτεία όσον αφορά στη συμμόρφωσή του προς τις απαιτήσεις αυτές,
αβ) εταιρεία της οποίας οι κινητές αξίες έχουν εισαχθεί προς διαπραγμάτευση σε οργανωμένη αγορά σε κράτος μέλος της Ευρωπαϊκής Ένωσης ή σε τρίτη χώρα που υπόκεινται σε απαιτήσεις διαφάνειας που είναι ισοδύναμες με τις προβλεπόμενες από την κοινοτική νομοθεσία,
αγ) αμοιβαία κεφάλαια ως και εταιρείες διαχείρισής τους, ως και οργανισμοί συλλογικών επενδύσεων και εταιρείες διαχείρισής τους, τα οποία εδρεύουν στην Ευρωπαϊκή Ένωση και διέπονται από διατάξεις της νομοθεσίας του κράτους της έδρας τους που είναι συμβατές με τις διατάξεις της Οδηγίας 85/611/ΕΟΚ,
αδ) Εθνική δημόσια αρχή ή νομικό πρόσωπο δημοσίου δικαίου ή επιχείρηση ή οργανισμός που ανήκει κατά 51% τουλάχιστον στο Δημόσιο,
αε) δημόσιες αρχές ή δημόσιοι οργανισμοί οι οποίοι πληρούν όλα τα ακόλουθα κριτήρια, i) τους έχει ανατεθεί δημόσιο λειτούργημα σύμφωνα με τη Συνθήκη για την Ευρωπαϊκή Ένωση, τις Συνθήκες για τις Κοινότητες ή το παράγωγο κοινοτικό δίκαιο, ii) η ταυτότητά τους είναι δημοσίως γνωστή, διαφανής και καθορισμένη, iii) οι δραστηριότητες και οι λογιστικές τους πρακτικές είναι διαφανείς, iv) είτε είναι υπόλογοι σε κοινοτικό θεσμικό όργανο ή σε αρχές κράτους − μέλους είτε εφαρμόζονται κατάλληλες διαδικασίες που διασφαλίζουν την εποπτεία και τον έλεγχο της δραστηριότητάς τους.
β) Όταν το περιοδικά καταβαλλόμενο ασφάλιστρο υπολείπεται του ποσού των 1.000 Ευρώ ετησίως, ή το εφάπαξ καταβαλλόμενο ασφάλιστρο υπολείπεται του ποσού των 2.500 Ευρώ. Αν το ασφάλιστρο ή τα περιοδικά ασφάλιστρα που πρόκειται να καταβληθούν κατά τη διάρκεια ενός έτους αυξηθούν έτσι ώστε να υπερβούν το όριο των (1.000) ευρώ, απαιτείται η επαλήθευση των στοιχείων της ταυτότητας του ασφαλισμένου.
γ) Στα προγράμματα συνταξιοδοτικής ασφάλισης που προσφέρουν συνταξιοδοτικές παροχές στους εργαζομένους, για τις οποίες οι εισφορές καταβάλλονται μέσω αφαίρεσης από τις αποδοχές και των οποίων οι όροι δεν επιτρέπουν τη μεταφορά των δικαιωμάτων των μελών,
δ) Στις συμβάσεις συνταξιοδοτικής ασφάλισης που συνάπτονται βάσει συμβάσεων εργασίας ή επαγγελματικής δραστηριότητας του ασφαλισμένου, υπό τον όρο ότι οι συμβάσεις αυτές δεν περιλαμβάνουν ρήτρα εξαγοράς ούτε μπορεί να χρησιμεύσουν ως εγγύηση δανείου.
ΔΕΝ ΕΦΑΡΜΟΖΕΤΑΙ Η ΑΠΛΟΥΣΤΕΥΜΕΝΗ ΔΕΟΥΣΑ ΕΠΙΜΕΛΕΙΑ ΓΙΑ ΠΕΛΑΤΕΣ ΠΟΥ ΕΙΝΑΙ
α) πιστωτικό ίδρυμα ή χρηματοπιστωτικός οργανισμός κράτους μέλους της Ευρωπαϊκής Ένωσης, ή πιστωτικό ίδρυμα ή χρηματοπιστωτικός οργανισμός που ευρίσκεται σε τρίτη χώρα η οποία επιβάλλει απαιτήσεις ισοδύναμες προς αυτές που προβλέπει η κοινοτική νομοθεσία και υπόκειται σε εποπτεία όσον αφορά στη συμμόρφωσή του προς τις απαιτήσεις αυτές,
β) εταιρεία της οποίας οι κινητές αξίες έχουν εισαχθεί προς διαπραγμάτευση σε οργανωμένη αγορά σε κράτος μέλος της Ευρωπαϊκής Ένωσης ή σε τρίτη χώρα που υπόκεινται σε απαιτήσεις διαφάνειας που είναι ισοδύναμες με τις προβλεπόμενες από την κοινοτική νομοθεσία, με καταστατική έδρα σε μη κοινοτική χώρα.
Στις περιπτώσεις αυτές οι Εταιρείες συγκεντρώνουν, σε κάθε περίπτωση, επαρκείς πληροφορίες και διαπιστώνουν εγγράφως με αναφορά του αρμόδιου στελέχους ότι ο πελάτης μπορεί να εξαιρεθεί.
ΤΑ ΜΕΤΡΑ ΑΥΞΗΜΕΝΗΣ ΔΕΟΥΣΑΣ ΕΠΙΜΕΛΕΙΑΣ
Αυξημένη δέουσα επιμέλεια υπάρχει όταν εκτιμάται από τα υπόχρεα πρόσωπα, ότι υπάρχει αυξημένος κίνδυνος νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες, ή χρηματοδότησης της τρομοκρατίας.
Αυξημένος κίνδυνος υπάρχει
α) Σε ασυνήθιστα είδη συναλλαγών που πραγματοποιούνται χωρίς προφανή οικονομικό λόγο,
β) Στις περιπτώσεις που οι συναλλαγές που καταρτίζονται ενδέχεται να ευνοούν την ανωνυμία και στις ύποπτες συναλλαγές, συνεκτιμώντας και εξετάζοντας το συνολικό χαρτοφυλάκιο του πελάτη, τον πραγματικό δικαιούχο, το πρόσωπο για λογαριασμό του οποίου ενεργεί ο πελάτης, των συγγενών, συζύγων, συντρόφων και στενών συνεργατών των ανωτέρω τουλάχιστον κατά τα τρία τελευταία έτη.
γ) Όταν προβαίνουν σε συναλλαγές, ή συνάπτουν επιχειρηματικές σχέσεις με πολιτικώς εκτεθειμένα πρόσωπα, με τους στενούς συγγενείς των και τους στενούς συνεργάτες των, που διαμένουν εκτός Ελλάδος, εντός ή εκτός Ευρωπαϊκής Ένωσης.
δ) Στις συναλλαγές με πρόσωπα εγκατεστημένα σε τρίτες χώρες, που χαρακτηρίζονται από την Ευρωπαϊκή Επιτροπή ως υψηλού κινδύνου νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες (ή χρηματοδότησης της τρομοκρατίας)
ε) Σε επιχειρήσεις έντασης μετρητών.
στ) Όταν η ιδιοκτησιακή δομή της εταιρείας/πελάτη φαίνεται ασυνήθιστη, ή υπερβολικά πολύπλοκη, δεδομένης της φύσης των δραστηριοτήτων της εταιρείας.
ζ) Σε επιχειρηματικές σχέσεις, ή συναλλαγές, εξ αποστάσεως, (χωρίς φυσική παρουσία των μερών)
η) Σε πληρωμές που λαμβάνονται από άγνωστους, ή άσχετους, τρίτους.
θ) Σε νέα προϊόντα και νέες επιχειρηματικές πρακτικές, καθώς και σε χρήση νέων, ή αναπτυσσόμενων, τεχνολογιών, τόσο για νέα, όσο και για προϋπάρχοντα προϊόντα.
ΥΠΟΧΡΕΩΣΕΙΣ ΤΩΝ ΥΠΟΧΡΕΩΝ ΠΡΟΣΩΠΩΝ
Τα υπόχρεα πρόσωπα οφείλουν να εξετάσουν με ιδιαίτερη προσοχή.
α) το ιστορικό και το σκοπό των πολύπλοκων, ή ασυνήθιστα, μεγάλων συναλλαγών.
β) τα ασυνήθιστα είδη συναλλαγών που πραγματοποιούνται χωρίς προφανή οικονομικό σκοπό, ή νόμιμο σκοπό.
γ) Οφείλουν να διασφαλίσουν, ότι η ταυτότητα του πελάτη επαληθεύεται με πρόσθετα αποδεικτικά έγγραφα, δεδομένα, ή πληροφορίες.
δ) Οφείλουν να λάβουν συμπληρωματικά μέτρα για τον έλεγχο, ή την πιστοποίηση των υποβληθέντων εγγράφων.
ε) Οφείλουν να επιβεβαιώσουν την πιστοποίηση των από άλλο πιστωτικό ίδρυμα, ή χρηματοπιστωτικό οργανισμό εγκατεστημένο στην Ευρωπαϊκή Ένωση.
στ) Οφείλουν να διασφαλίσουν ότι η πρώτη πληρωμή πραγματοποιείται μέσω λογαριασμού, ο οποίος έχει ανοιχθεί επ ονόματι του πελάτη σε πιστωτικό ίδρυμα εγκατεστημένο στην Ευρωπαϊκή Ένωση.
ΥΠΟΠΤΕΣ - ΑΣΥΝΗΘΕΙΣ ΣΥΝΑΛΛΑΓΕΣ
Τα υπόχρεα πρόσωπα εξετάζουν με ιδιαίτερη προσοχή κάθε προϊόν ή συναλλαγή που ενδέχεται να ευνοήσει την ανωνυμία και η οποία από τη φύση της ή από στοιχεία που αφορούν στο πρόσωπο ή στην ιδιότητα του συναλλασσομένου μπορεί να συνδεθεί με σχέδια διάπραξης των αδικημάτων και λαμβάνουν κατάλληλα μέτρα για την αποτροπή αυτού του κινδύνου.
Ύποπτη συναλλαγή (δραστηριότητα) θεωρείται η συναλλαγή, που εκτιμάται ότι προκύπτουν αποχρώσες ενδείξεις, ή υπόνοιες, για πιθανή απόπειρα, ή διάπραξη των αδικημάτων παράνομης νομιμοποίησης εσόδων, ή εμπλοκή του πελάτη, ή του πραγματικού δικαιούχου, σε εγκληματικές δραστηριότητες.
Ασυνήθης συναλλαγή (δραστηριότητα) θεωρείται η συναλλαγή, που δεν συνάδει με την συναλλακτική, επιχειρηματική, ή επαγγελματική, συμπεριφορά του πελάτη, ή του πραγματικού δικαιούχου, ή με την οικονομική τους επιφάνεια, ή που δεν έχει προφανή σκοπό ή κίνητρο οικονομικής, επαγγελματικής ή προσωπικής φύσης.
Η αξιολόγηση της ύποπτης ή ασυνήθους, συναλλαγής γίνεται με βάση των στοιχείων της συναλλαγής, όπως, α) η φύση της συναλλαγής, β) η κατηγορία του χρηματοπιστωτικού μέσου, γ) η συχνότητα και η πολυπλοκότητα της συναλλαγής, δ) το ύψος της συναλλαγής, ε) η χρήση ή μη μετρητών, στ) το επάγγελμα, η οικονομική επιφάνεια, η συναλλακτική, ή επιχειρηματική, συμπεριφορά, η φήμη και το παρελθόν του πελάτη, ζ) το επίπεδο διαφάνειας του νομικού προσώπου του πελάτη.
ΤΑ ΥΠΟΧΡΕΑ ΠΡΟΣΩΠΑ ΟΦΕΙΛΟΥΝ
α) Να ζητήσουν πρόσθετα έγγραφα, που να δικαιολογούν και πιστοποιούν την σκοπιμότητα της συναλλαγής και την προέλευση των κεφαλαίων.
β) Όταν μάθουν ότι ο πελάτης κατηγορείται για φοροδιαφυγή, να εφαρμόσουν τα μέτρα δέουσας επιμέλειας.
γ) Όταν μάθουν ότι ο πελάτης το ομαδικό συνταξιοδοτικό πρόγραμμα των εργαζομένων του μπορεί να το χρησιμοποιήσει για λήψη δανείου, να εφαρμόσουν την διαδικασία της δέουσας επιμέλειας.
δ) Όταν γίνει διάπραξη ληστείας και ο κατηγορούμενος θέλει να κάνει ασφάλιση ζωής με επενδυτικά χαρακτηριστικά, να λάβουν μέτρα αυξημένης δέουσας επιμέλειας.
ε) Όταν ο πελάτης θέλει να κάνη ασφάλισης ζωής με υψηλό ετήσιο ασφάλιστρο και να το πληρώσει σε μετρητά, να ενεργοποιήσουν την διαδικασία αυξημένης δέουσας επιμέλειας.
στ) Εάν πληροφορηθούν, ή υποπτεύονται, ότι η συναλλαγή σχετίζεται με παράνομη νομιμοποίηση, να απέχουν από την διενέργεια της συναλλαγής και να ενημερώνουν αμελλητί, με δική τους πρωτοβουλία, την Αρχή, παρέχοντας όλες τις απαιτούμενες πληροφορίες και στοιχεία.
ζ) Σε κάθε περίπτωση πρέπει να εξετάζουν τις επιχειρηματικές σχέσεις και συναλλαγές με πελάτες που προέρχονται από χώρες που χαρακτηρίζονται από τη F.A.T.F. ως μη αξιόπιστες χώρες.
η) Σε κάθε περίπτωση πρέπει να αποφεύγουν την διενέργεια συναλλαγών, την άσκηση δραστηριοτήτων ή την παροχή υπηρεσιών, για τις οποίες γνωρίζουν ή υποπτεύονται ότι συνδέονται με αδικήματα ξεπλύματος χρήματος. Αν όμως η αποφυγή της διενέργειας, της άσκησης ή της παροχής είναι αδύνατη, ή ενδέχεται να εμποδίσει τη δίωξη των πελατών, των πραγματικών δικαιούχων, ή των προσώπων για λογαριασμό των οποίων ενεργούν οι πελάτες, οι Εταιρείες εκτελούν τις συναλλαγές, ασκούν τις δραστηριότητες, ή παρέχουν τις υπηρεσίες, ενημερώνοντας ταυτόχρονα την Εθνική Αρχή.
θ) Μετά την εξέταση των υπόπτων-ασυνήθων συναλλαγών, εάν υφίσταται υπόνοια απόπειρας, ή διάπραξης νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες και χρηματοδότηση της τρομοκρατίας, πρέπει να υποβάλλουν αναφορά ασυνήθους ή ύποπτης συναλλαγής στην Εθνική Αρχή. Στην υποχρέωση αναφοράς εμπίπτουν και ύποπτες ή ασυνήθεις συναλλαγές που έγινε απόπειρα εκτέλεσής τους, αλλά δεν ολοκληρώθηκαν.
ι) Τα αποτελέσματα της εξέτασης των ύποπτων συναλλαγών τηρούνται εγγράφως, ή σε ηλεκτρονική μορφή.
ΣΥΝΑΛΛΑΓΕΣ ΕΞ ΑΠΟΣΤΑΣΕΩΣ
Όταν ο πελάτης δεν είναι παρών για να εξακριβωθεί η ταυτότητά του, τα υπόχρεα πρόσωπα πρέπει
α) Να ζητούν την προσκόμιση πρόσθετων αποδεικτικών στοιχείων,
β) Να λαμβάνουν συμπληρωματικά μέτρα για την εξακρίβωση ή πιστοποίηση των υποβληθέντων στοιχείων,
γ) Να λαμβάνουν επιβεβαιωτική πιστοποίηση από δημόσια αρχή, πιστωτικό ίδρυμα ή χρηματοπιστωτικό οργανισμό που λειτουργεί σε κράτος μέλος της Ευρωπαϊκής Ένωσης,
δ) Να διασφαλίζουν ότι η πρώτη πληρωμή, στο πλαίσιο της επιχειρηματικής σχέσης, πραγματοποιείται μέσω λογαριασμού ο οποίος έχει ανοιχθεί στο όνομα του πελάτη και τηρείται σε πιστωτικό ίδρυμα που λειτουργεί σε χώρα−μέλος της Ευρωπαϊκής Ένωσης,
ε) Να επαληθεύουν ότι η εταιρεία ή ο οργανισμός κατ’ αρχήν λειτουργεί στη διεύθυνση των γραφείων διαχείρισης που έχει δηλωθεί.
Σύμφωνα με τον ν. 4557/2018, που ενσωματώνει στην ελληνική έννομη τάξη την Οδηγία (ΕΕ) 2015/849 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 20/5/2015, υπόχρεα πρόσωπα (φυσικά ή νομικά) για να λάβουν και τηρήσουν τα μέτρα κατά της νομιμοποίησης των εσόδων από εγκληματικές δραστηριότητες (και της χρηματοδότησης της τρομοκρατίας) είναι.
α) Τα πιστωτικά ιδρύματα, που εδρεύουν στην Ελλάδα ως και τα υποκαταστήματα πιστωτικών ιδρυμάτων, η έδρα των οποίων βρίσκεται στην Ευρωπαϊκή Ένωση, ή σε τρίτη χώρα. Συμπεριλαμβάνεται το Ταμείο Παρακαταθηκών και Δανείων.
β) Οι χρηματοπιστωτικοί οργανισμοί.
Δηλαδή, α) Οι ασφαλιστικές επιχειρήσεις του κλάδου ασφαλίσεων ζωής και παροχής υπηρεσιών σχετιζομένων με τις επενδύσεις, β) Οι ασφαλιστικοί διαμεσολαβητές του κλάδου ασφαλίσεων ζωής, ή επενδύσεων, γ) Οι εταιρείες χρηματοδοτικής μίσθωσης. H χρηματοδοτική μίσθωση (leasing) είναι η μέθοδος μεσομακροπρόθεσμης χρηματοδότησης επιχειρήσεων και επαγγελματιών για την απόκτηση παγίων στοιχείων, δηλαδή εξοπλισμού και ακινήτων για επαγγελματική χρήση. Με αυτήν ο μισθωτής μισθώνει από μια εταιρεία χρηματοδοτικής μίσθωσης πράγμα κινητό ή ακίνητο για συγκεκριμένη χρονική περίοδο και στο τέλος της περιόδου αυτής μπορεί με μονομερή του δήλωση να το αγοράσει με προσυμφωνημένο τίμημα (δικαίωμα προαίρεσης, ή option), δ) Οι εταιρείες πρακτορείας επιχειρηματικών απαιτήσεων τρίτων. Πρακτορεία επιχειρηματικών απαιτήσεων (factoring) είναι η σύμβαση που καταρτίζεται μεταξύ ενός προμηθευτή αγαθών, ή υπηρεσιών (πωλητή) και ενός πράκτορα επιχειρηματικών απαιτήσεων (factor), ο οποίος αναλαμβάνει να παρέχει στον προμηθευτή, για το διάστημα που συμφωνείται, έναντι αμοιβής, υπηρεσίες σχετικές με την παρακολούθηση και είσπραξη μέρους, ή του συνόλου, των απαιτήσεων του προμηθευτή από συμβάσεις πώλησης αγαθών, ή παροχής υπηρεσιών σε τρίτους, ή εκτέλεσης έργων, ε) Οι εταιρείες διαχείρισης απαιτήσεων πιστωτικών ιδρυμάτων από δάνεια και πιστώσεις, στ) Οι εταιρείες παροχής πιστώσεων. Οι εταιρείες που παρέχουν πίστωση σε φυσικά πρόσωπα για την κάλυψη καταναλωτικών και προσωπικών αναγκών, ή σε επιχειρήσεις από τις απώλειες που μπορεί να προκληθούν λόγω αδυναμίας πληρωμής των πελατών τους, ζ) Τα ιδρύματα ηλεκτρονικού χρήματος. Οι τεχνολογικές καινοτομίες στον κλάδο των ψηφιακών πληρωμών, όπως η τεχνολογία cloud, τα ψηφιακά νομίσματα (cryptocurrencies όπως Bitcoin) και το mobile banking, η) Τα ιδρύματα πληρωμών. Παρέχουν υπηρεσίες χρηματικών πληρωμών, χωρίς να απαιτείται άνοιγμα λογαριασμού πληρωμών στο όνομα του πληρωτή, ή του δικαιούχου, με σκοπό την μεταφορά του ισοδυνάμου ποσού σε δικαιούχο, ή σε άλλο φορέα παροχής υπηρεσιών πληρωμών, που ενεργεί για λογαριασμό του δικαιούχου, θ) Οι ταχυδρομικές εταιρείες, στο μέτρο που παρέχουν υπηρεσίες πληρωμών, ι) Τα ανταλλακτήρια συναλλάγματος, ια) Οι εταιρείες επενδύσεων χαρτοφυλακίου, ιβ) Οι εταιρείες διαχείρισης αμοιβαίων κεφαλαίων, ιγ) Οι εταιρείες παροχής επενδυτικών υπηρεσιών και οι συνδεδεμένοι αντιπρόσωποί τους, ιδ) Οι εταιρείες επενδυτικής διαμεσολάβησης, ιε) Οι εταιρείες κεφαλαίου επιχειρηματικών συμμετοχών, ιστ) Οι εταιρείες επενδύσεων σε ακίνητη περιουσία, ιζ) Οι διαχειριστές οργανισμών εναλλακτικών επενδύσεων.
γ) Οι ορκωτοί ελεγκτές-λογιστές και οι εταιρείες ορκωτών ελεγκτών-λογιστών.
δ) Οι εξωτερικοί λογιστές-φοροτεχνικοί και τα νομικά πρόσωπα παροχής λογιστικών-φοροτεχνικών υπηρεσιών.
ε) Οι συμβολαιογράφοι και οι δικηγόροι όταν συμμετέχουν, ενεργώντας εξ ονόματος και για λογαριασμό των πελατών τους, σε χρηματοπιστωτικές συναλλαγές, σε συναλλαγές επί ακινήτων, σε διαχείριση χρημάτων, τίτλων ή άλλων περιουσιακών στοιχείων, σε άνοιγμα, ή διαχείριση τραπεζικών λογαριασμών, λογαριασμών ταμιευτηρίου, ή λογαριασμών τίτλων, στη σύσταση, λειτουργία, ή διοίκηση εταιρειών, καταπιστευμάτων (trusts), εταιρειών καταπιστευματικής διαχείρισης, επιχειρήσεων, ιδρυμάτων, ή ανάλογων σχημάτων, ή αντίστοιχων νομικών μορφωμάτων.
στ) Οι φορείς παροχής υπηρεσιών, και τα πρόσωπα που παρέχουν υπηρεσίες, σε εταιρείες καταπιστευματικής διαχείρισης, ή σε καταπιστεύματα (trusts).
Καταπίστευμα είναι η εγκατάσταση προσώπου ως κληρονόμου σε ολόκληρη την κληρονομία, ή σε ποσοστό, σε κάποιο χρονικό σημείο, μετά το οποίο αυτός που αποδέχθηκε την κληρονομία παύει να είναι κληρονόμος. Π.χ ένα πρόσωπο (ο ιδρυτής) διαθέτει περιουσιακά στοιχεία υπό τον έλεγχο άλλου προσώπου (ο διαχειριστής) προς όφελος τρίτου (ο δικαιούχος).
ζ) Οι μεσίτες ακινήτων για συναλλαγές των οποίων η αξία ανέρχεται σε τουλάχιστον 10.000 ευρώ, ανεξαρτήτως αν το ποσό αυτό αφορά αγορά, πώληση, ή μηνιαίο μίσθωμα.
η) Οι μεσίτες πιστώσεων, για σύμβαση πίστωσης που ανέρχεται σε τουλάχιστον 10.000 ευρώ. Μεσίτης πιστώσεων είναι το πρόσωπο (φυσικό ή νομικό) το οποίο διαμεσολαβεί μεταξύ καταναλωτή και πιστωτικού φορέα και α) προτείνει, ή προσφέρει, συμβάσεις πίστωσης στους καταναλωτές, β) βοηθά τους καταναλωτές, αναλαμβάνοντας προπαρασκευαστικές εργασίες, ή άλλες προσυμβατικές διοικητικές διαδικασίες για τη σύναψη συμβάσεων πίστωσης, γ) συνάπτει συμβάσεις πίστωσης με τους καταναλωτές εξ ονόματος του πιστωτικού φορέα.
θ) Τα καζίνο (συμπεριλαμβάνονται τα καζίνο που λειτουργούν επί πλοίων στην Ελλάδα, ή υπό ελληνική σημαία).
ι) Οι έμποροι και οι εκπλειστηριαστές αγαθών μεγάλης αξίας, όταν η αξία της συναλλαγής ανέρχεται σε τουλάχιστον 10.000 ευρώ (όπως πολύτιμοι και ημιπολύτιμοι λίθοι, πολύτιμα μέταλλα, μαργαριτάρια, κοράλλια, κοσμήματα, ρολόγια, αντίκες, αρχαιότητες, γραμματόσημα, νομίσματα, άλλα συλλεκτικά είδη, έργα τέχνης, εμπορίας ταπήτων, χαλιών, ειδών γουνοποιίας, δερμάτινων ειδών, εμπορίας επιβατικών αυτοκινήτων ελικοπτέρων, αεροσκαφών και σκαφών αναψυχής, ενεχυροδανειστές και αργυραμοιβοί).
ΟΙ ΥΠΟΧΡΕΩΣΕΙΣ ΤΩΝ ΥΠΟΧΡΕΩΝ ΠΡΟΣΩΠΩΝ
Τα υπόχρεα πρόσωπα έχουν τις εξής υποχρεώσεις
- Να προβούν σε κατηγοριοποίηση των συναλλασσομένων (πελατών).
- Να λάβουν μέτρα κατά του κινδύνου νομιμοποίησης παράνομων εσόδων.
- Να είναι σε θέση να αποδείξουν στις αρμόδιες αρχές ότι έλαβαν μέτρα κατά της νομιμοποίησης παράνομων εσόδων
- Να τηρούν Ειδικό Μητρώο επαρκώς τεκμηριωμένο και επικαιροποιημένο.
- Να λαμβάνουν ειδικά μέτρα για τα πολιτικώς εκτεθειμένα πρόσωπα, τους στενούς συγγενείς και συνεργάτες τους.
- Να λαμβάνουν ειδικά μέτρα σε ύποπτες ή ασυνήθεις συναλλαγές.
- Να λαμβάνουν ειδικά μέτρα, όταν για την λήψη των μέτρων κατά της νομιμοποίησης παράνομων εσόδων βασίζονται σε τρίτα μέρη.
- Όταν πληροφορηθούν, ή υποπτεύονται, ότι η συναλλαγή σχετίζεται με νομιμοποίηση παράνομων εσόδων, να απέχουν από την διενέργεια της συναλλαγής και να ενημερώσουν άμεσα την Αρχή.
- Να μη γνωστοποιήσουν στον εμπλεκόμενο πελάτη, ή σε τρίτο, ότι διεξάγεται, ή ενδέχεται, να διεξαχθεί έρευνα σε βάρος τους από τις αρμόδιες αρχές.
- Να παρέχουν πλήρη πρόσβαση σε αρχεία και στοιχεία στις αρμόδιες διωκτικές αρχές, όταν ζητηθούν.
- Να φυλάτουν τα αρχεία που τηρούν
- Να μην προβαίνουν σε επεξεργασία των δεδομένων προσωπικού χαρακτήρα του πελάτη, πέραν του σκοπού της πρόληψης και καταστολής της νομιμοποίησης των παράνομων εσόδων.
Το ζήτημα των τηλεφωνικών κλήσεων για σκοπούς απευθείας προώθησης προϊόντων, ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, ρυθμίζεται στο άρθρο 11 του ν. 3741/2006, όπως τροποποιήθηκε με τις διατάξεις του άρθρου 16 παρ. 1 του ν. 3917/2011. Ειδικότερα ορίζεται ότι η χρησιμοποίηση αυτομάτων συστημάτων κλήσης, ιδίως με χρήση συσκευών τηλεμυοτυπίας ( φαξ), ή ηλεκτρονικού ταχυδρομείου και γενικότερα η πραγματοποίηση μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, χωρίς ανθρώπινη παρέμβαση, για σκοπούς απ ευθείας εμπορικής προώθησης προϊόντων, ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς επιτρέπεται, εκτός αν ο καλούμενος έχει δηλώσει ότι δεν τις επιθυμεί (σύστημα opt-out).
Αυτό έχει ως συνέπεια ότι τα φυσικά, ή νομικά, πρόσωπα μπορούν να απευθύνουν τις αντιρρήσεις τους, όσον αφορά την επεξεργασία των δεδομένων τους, είτε ειδικά απ ευθείας στον υπεύθυνο επεξεργασίας, (δηλαδή στον διαφημιζόμενο), ασκώντας το δικαίωμα αντίρρησης ως προς την επεξεργασία των δεδομένων, είτε γενικά μέσω της εγγραφής τους στον ειδικό κατάλογο συνδρομητών του παρόχου που προβλέπει το άρθρο 11 παρ. 2 του ν. 3741/2006. Ο υπεύθυνος επεξεργασίας οφείλει να ικανοποιήσει και τα λοιπά δικαιώματα των υποκειμένων, όπως το δικαίωμα ενημέρωσης και πρόσβασης. Η ικανοποίηση τους δεν πρέπει να υπερβαίνει τις 15 ημέρες.
Ο νόμος προβλέπει την δημιουργία μητρώου opt-out σε κάθε πάροχο υπηρεσιών ηλεκτρονικών επικοινωνιών, ότι δεν επιθυμεί να λαμβάνει τηλεφωνικές κλήσεις, για απ ευθείας εμπορική προώθηση. Ο κάθε πάροχος φέρει με την προαναφερόμενη διάταξη την υποχρέωση να τηρεί με αυτές τις δηλώσεις Δημόσιο Μητρώο, που επιτελεί έναν δημόσιο σκοπό και στο οποίο έχει πρόσβαση όποιος ενδιαφέρεται να το χρησιμοποιήσει για απευθείας εμπορική προώθηση.
Οι διαφημιζόμενοι οφείλουν να λαμβάνουν από όλους τους παρόχους επικαιροποιημένα αντίγραφα των Μητρώων του άρθρου 11 του ν.3741/2006 και να εξασφαλίζουν ότι, έχουν διαθέσιμες τις δηλώσεις των συνδρομητών, που έχουν πραγματοποιηθεί έως 30 ημέρες πριν από την πραγματοποίηση της τηλεφωνικής κλήσης. Συνεπώς, οι υπεύθυνοι επεξεργασίας πρέπει, να εφαρμόζουν κατάλληλες διαδικασίες για να εξασφαλίζεται το ανώτερο τριακονθήμερο, συνυπολογίζοντας κάθε καθυστέρηση.
Ο διαφημιζόμενος κατά την διενέργεια της τηλεφωνικής κλήσης πρέπει να ενημερώνει για την ταυτότητα του, την ταυτότητα του εκπροσώπου του, να μην αποκρύπτει, ή να παραποιεί τον αριθμό του καλούντος και να ενημερώνει τουλάχιστον για την δυνατότητα άσκησης του δικαιώματος πρόσβασης.
Σύμφωνα με την διάταξη του άρθρου 14 ν. 3741/2006 κάθε φυσικό, ή νομικό, πρόσωπο, που κατά παράβαση του νόμου αυτού προκαλεί περιουσιακή βλάβη υποχρεούται σε πλήρη αποζημίωση, ενώ αν προκάλεσε και ηθική βλάβη υποχρεούται και σε χρηματική ικανοποίηση αυτής. Η κατά το άρθρο 932ΑΚ χρηματική ικανοποίηση λόγω ηθικής βλάβης για παράβαση του παρόντος νόμου ορίζεται κατ’ ελάχιστον στο ποσό των 10.000 ευρώ, εκτός αν ζητηθεί από τον ενάγοντα μικρότερο ποσό.
Στις ηλεκτρονικές επικοινωνίες απόρρητα θεωρούνται
α) Το περιεχόμενο της επικοινωνίας (περιεχόμενο τηλεφωνικών κλήσεων, ηλεκτρονικού ταχυδρομείου και γενικά οποιασδήποτε επικοινωνίας φωνής, εικόνας, δεδομένων).
β) Η ταυτότητα του καλούντος και του καλουμένου.
γ) Η ταυτότητα του αποστολέα και του παραλήπτη ηλεκτρονικού ταχυδρομείου.
δ) Τα δεδομένα θέσης της τερματικής συσκευής (γεωγραφικός εντοπισμός).
Οι πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών είναι υπεύθυνοι για τη διασφάλιση του απορρήτου των επικοινωνιών στο δημόσιο τηλεπικοινωνιακό δίκτυο (δίκτυο κορμού και πρόσβασης), καθώς και στους δρομολογητές (routers) και εξυπηρετητές (servers) μέσω των οποίων παρέχεται πρόσβαση στο Διαδίκτυο και στις διάφορες υπηρεσίες.
Η ΑΔΑΕ είναι αρμόδια για την τήρηση της νομοθεσίας για τη διασφάλιση του απορρήτου των επικοινωνιών και για τον σκοπό αυτό έχει εκδώσει κανονισμούς και παρακολουθεί την εφαρμογή τους ελέγχοντας τακτικά και έκτακτα τους παρόχους.
Οι συνδρομητές-χρήστες οφείλουν να μεριμνούν για την διασφάλιση του απορρήτου της επικοινωνίας στα ιδιωτικά τους δίκτυα, τα οποία περιλαμβάνουν τις καλωδιώσεις στα κτήρια, τα τοπικά δίκτυα (LANs), τα ασύρματα τοπικά δίκτυα (Wireless LANs – WLANS), τα ιδιωτικά τηλεφωνικά κέντρα και τις τερματικές συσκευές.
Η προστασία του απορρήτου σε κάθε μορφής επικοινωνία αποτελεί συνταγματικά κατοχυρωμένο δικαίωμα και νόμος ορίζει τις εγγυήσεις υπό τις οποίες η δικαστική αρχή δεν δεσμεύεται από το απόρρητο για λόγους εθνικής ασφάλειας, ή για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων (άρθρο 19 του Συντάγματος).
Η παραβίαση του απορρήτου των επικοινωνιών είναι ποινικό αδίκημα και επισύρει την επιβολή διοικητικών κυρώσεων έναντι παρόχων ηλεκτρονικών επικοινωνιών (σύσταση, χρηματικό πρόστιμο, ανάκληση του δικαιώματος παροχής υπηρεσιών), από την ΑΔΑΕ.
Καταγγελίες που αφορούν προσωπικά δεδομένα υποβάλλονται στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Καταγγελίες που αφορούν χρεώσεις λογαριασμού υποβάλλονται στην Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων.
Η επίλυση οικονομικών διαφορών γίνεται από τα πολιτικά δικαστήρια, ενώ για εξώδικη επίλυση, αρμόδιος είναι ο Συνήγορος του Καταναλωτή.
Κατά το άρθρο 5 του ν. 2690/1999 δημόσια έγγραφα είναι α) τα διοικητικά, αυτά δηλαδή που συντάσσονται από τις δημόσιες υπηρεσίες και β) τα ιδιωτικά έγγραφα που φυλάσσονται στις δημόσιες υπηρεσίες. Επιπλέον ως διοικητικά έγγραφα γίνεται δεκτό ότι νοούνται και όσα δεν προέρχονται μεν από δημόσιες υπηρεσίες, αλλά χρησιμοποιήθηκαν ή ελήφθησαν υπόψη για τον καθορισμό της διοικητικής δράσης, ή τη διαμόρφωση γνώμης, ή κρίσης διοικητικού οργάνου.
Προϋποθέσεις για την γνώση, ή λήψη αντιγράφου των δημοσίων εγγράφων (διοικητικών και ιδιωτικών) είναι, η υποβολή αίτησης, η καταβολή της απαιτουμένης δαπάνης αναπαραγωγής τους και η ύπαρξη εννόμου συμφέροντος στο πρόσωπο του αιτούντος
Η χορήγηση διοικητικών εγγράφων που περιέχουν προσωπικά δεδομένα τρίτων προσώπων δεν επιτρέπεται, εάν τα δεδομένα αυτά αναφέρονται στην ιδιωτική ή οικογενειακή ζωή του τρίτου (ευαίσθητα προσωπικά δεδομένα)
Η Αρχή προστασίας προσωπικών δεδομένων δεν έχει εκ του νόμου την αρμοδιότητα να ελέγχει την τήρηση της νομοθεσίας για την πρόσβαση στα δημόσια έγγραφα, παρά μόνο παρεμπιπτόντως.
ΜΕ ΕΙΣΑΓΓΕΛΙΚΗ ΠΑΡΑΓΓΕΛΙΑ
Η εισαγγελική παραγγελία είναι δεσμευτική για τη Διοίκηση μόνο στο πλαίσιο ποινικής δίωξης (προκαταρκτική εξέταση, προανάκριση, κύρια ανάκριση)
Κατά τα λοιπά, δεσμεύει τη Διοίκηση ως επιτακτική εντολή προς διερεύνηση του αιτήματος και υποχρέωση της Διοίκησης να δώσει σαφή και αιτιολογημένη απάντηση (θετική ή αρνητική). Αν προκύψουν εύλογες αμφιβολίες, πρέπει να υποβληθεί από την Διοίκηση ερώτημα στην Αρχή προστασίας προσωπικών δεδομένων. Αν η Αρχή εκφέρει αρνητική γνώμη, η Διοίκηση απαγορεύεται να χορηγήσει απάντηση. Αν η Αρχή εκφέρει θετική γνώμη, η Διοίκηση επιτρέπεται να χορηγήσει απάντηση. Πότε όμως η Διοίκηση δεν υποχρεούται να χορηγήσει απάντηση. Μόνο τα δικαστήρια μπορούν να διατάξουν την χορήγηση.
Για τα ευαίσθητα προσωπικά δεδομένα ο εισαγγελέας πρέπει να διαβιβάσει το αίτημα στην Διοίκηση με την σημείωση ότι η τελευταία οφείλει να ζητήσει την άδεια της Αρχής. Η Διοίκηση οφείλει να υποβάλει στην Αρχή αίτημα για άδεια χορήγησης ευαίσθητων δεδομένων, επισυνάπτοντας το αίτημα του προσώπου που ζητά τη χορήγηση.
Για τα δεδομένα του ίδιου του αιτούντος (απλά ή ευαίσθητα) ισχύει το δικαίωμα πρόσβασης. Η Διοίκηση έχει την υποχρέωση να χορηγήσει απάντηση. Αν η Διοίκηση αρνείται να ικανοποιήσει το δικαίωμα του αιτούντος, αυτός έχει δικαίωμα να απευθυνθεί στην Αρχή.
ΠΡΟΣΒΑΣΗ ΤΟΥ ΚΑΤΑΓΓΕΛΟΜΕΝΟΥ ΣΤΑ ΣΤΟΙΧΕΙΑ ΤΟΥ ΚΑΤΑΓΓΕΛΟΝΤΟΣ
Η πρόσβαση γενικά επιτρέπεται . Απαγορεύεται στις ακόλουθες περιπτώσεις
α. όταν υπάρχουν λόγοι εθνικής ασφάλειας, ή εξακρίβωσης ιδιαίτερα σοβαρών εγκλημάτων.
β. όταν το έγγραφο αφορά την ιδιωτική ή οικογενειακή ζωή τρίτου.
γ. όταν παραβλάπτεται απόρρητο, προβλεπόμενο από ειδικές διατάξεις.
δ. όταν η πρόσβαση είναι δυνατόν να δυσχεράνει ουσιωδώς την έρευνα της υπόθεσης σχετικά με την τέλεση εγκλήματος ή διοικητικής παράβασης.
ε. όταν υπάρχουν ειδικές διατάξεις που επιβάλλουν απόλυτη ή μερική τήρηση μυστικότητας
στ. όταν η γνωστοποίηση των στοιχείων του καταγγέλλοντος δύναται να απειλήσει το υπέρτατο έννομο αγαθό της ζωής του.
Δεν επιτρέπεται η μυστική παρακολούθηση ηλεκτρονικού υπολογιστή και ηλεκτρονικού ταχυδρομείου εργαζομένου στον χώρο εργασίας, εκτός αν αυτό επιτρέπεται βάσει του άρθρου 13 της Οδηγίας 95/46/ΕΚ. Δηλαδή της ασφάλειας του κράτους, της εθνικής άμυνας, της δημόσιας ασφάλειας, της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού νόμου, ή της προστασίας του προσώπου που παρακολουθείται, ή σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος κράτους μέλους ή της Ε.Ε.
Στην μυστική παρακολούθηση, όταν επιτρέπεται, ο εργοδότης οφείλει να πληροφορεί τον εργαζόμενο για την παρουσία, την χρήση και τον σκοπό οποιουδήποτε εξοπλισμού ανίχνευσης ή συσκευής, που ενεργοποιείται όσον αφορά το σταθμό εργασίας του και για οποιαδήποτε κακή χρήση ηλεκτρονικών επικοινωνιών που ανιχνεύεται, εκτός αν υπάρχουν σημαντικοί λόγοι που αιτιολογούν τη συνέχιση της μυστικής επιτήρησης, πράγμα που δεν συμβαίνει συνήθως. Η άμεση πληροφόρηση μπορεί να επιτευχθεί εύκολα με λογισμικό, όπως τα προειδοποιητικά παράθυρα, που ανοίγουν και προειδοποιούν τον εργαζόμενο ότι το σύστημα ανίχνευσε μια μη επιτρεπόμενη χρήση του δικτύου ή/και έλαβε μέτρα για την πρόληψή της.
Η μυστική παρακολούθηση, όταν επιτρέπεται, τα δεδομένα πρέπει να συλλέγονται για ένα συγκεκριμένο, ρητώς καθορισμένο και νόμιμο σκοπό και να μην υφίστανται περαιτέρω επεξεργασία με τρόπο ασύμβατο με τους σκοπούς αυτούς. Αν η επεξεργασία των δεδομένων δικαιολογείται για την ασφάλεια του συστήματος, δεν μπορεί στη συνέχεια να γίνει άλλη επεξεργασία των δεδομένων αυτών για άλλο σκοπό, όπως η παρακολούθηση της συμπεριφοράς του εργαζομένου.
Τα δεδομένα πρέπει να τηρούνται για το μικρότερο δυνατό χρόνο. Σε κάθε περίπτωση δεν επιτρέπεται να τηρούνται για διάστημα μεγαλύτερο των 15 ημερών, εκτός από εξαιρέσεις. Ο χρόνος τήρησης μπορεί να παραταθεί, εφ όσον υπάρξει κάποιο συμβάν και το υλικό μπορεί να χρησιμοποιηθεί ως αποδεικτικό στοιχείο (άρθρο 8 της οδηγίας 1/2011).
Α. Σύμφωνα με το άρθρο 27 παρ. 7 του ν. 4624/2019, με τον οποίο ενσωματώθηκε στην εθνική νομοθεσία ο Νέος Γενικός Κανονισμός Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679 (GDPR), η επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας, είτε είναι δημοσίως προσβάσιμοι, είτε μη, επιτρέπεται μόνο εάν είναι απαραίτητη για την προστασία προσώπων και αγαθών. Τα δεδομένα που συλλέγονται μέσω κλειστού κυκλώματος οπτικής καταγραφής δεν επιτρέπεται να χρησιμοποιηθούν ως κριτήριο για την αξιολόγηση της αποδοτικότητας των εργαζομένων. Οι εργαζόμενοι ενημερώνονται εγγράφως, είτε σε γραπτή, είτε σε ηλεκτρονική μορφή για την εγκατάσταση και λειτουργία κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας.
Β. Από την διάταξη προκύπτει ότι η λειτουργία συστημάτων βιντεοεπιτήρησης για παρακολούθηση εργαζομένων για έλεγχο, ή αξιολόγησή τους, ή για σκοπούς εκπαίδευσης, δεν επιτρέπεται. (σχετική η οδηγία 1/2011, που εφαρμόζεται συμπληρωματικά).
Γ. Οποιοδήποτε σύστημα παρακολούθησης εργαζομένων στον χώρο εργασίας δεν πρέπει να χρησιμοποιείται για την επιτήρηση των εργαζομένων, εκτός ειδικών περιπτώσεων που δικαιολογούνται από την φύση και τις συνθήκες εργασίας και είναι απαραίτητο για την προστασία της υγείας και της ασφάλειας των εργαζομένων, ή την προστασία χώρων κρίσιμων υποδομών (εγκαταστάσεις υψηλού κινδύνου).
Δ. Η βιντεοεπιτήρηση πρέπει να περιορίζεται στους χώρους εισόδου και εξόδου, χωρίς να επιτηρούνται συγκεκριμένες αίθουσες γραφείων, ή διάδρομοι. Η βιντεοεπιτήρηση πρέπει να περιορίζεται σε ειδικούς χώρους, όπως ταμεία, αποθήκες με ηλεκτρομηχανολογικό εξοπλισμό κλπ και οι κάμερες να εστιάζουν στο αγαθό που προστατεύουν κι όχι στους εργαζόμενους.
Ε. Δεν επιτρέπεται να τοποθέτηση καμερών σε χώρους εργασίας του προσωπικό, όπου δεν έχουν πρόσβαση οι πελάτες, ή σε γραφεία εργαζομένων (άρθρο 7 της οδηγίας 1/2011).
ΣΤ. Οι υπεύθυνοι επεξεργασίας κατά την τοποθέτηση του κλειστού κυκλώματος οπτικής καταγραφής οφείλουν να ακολουθούν την γενική προσέγγιση αξιολόγησης της νομιμότητας της επεξεργασίας, με επιλογή κατάλληλης νομικής βάσης, ικανοποίηση των βασικών αρχών νομιμότητας, μέριμνα για ικανοποίηση των δικαιωμάτων των υποκειμένων των δεδομένων, κ.λπ. Η νομιμότητα τέτοιων επεξεργασιών κρίνεται από τον υπεύθυνο επεξεργασίας κατά περίπτωση και τεκμηριώνεται κατάλληλα με τα εργαλεία λογοδοσίας του GDPR. Ο GDPR εισάγει υποχρεώσεις στους υπευθύνους επεξεργασίας ως προς την ικανοποίηση των δικαιωμάτων των υποκειμένων των δεδομένων, την διενέργεια εκτίμησης αντικτύπου ως προς την προστασία δεδομένων εφ όσον η επεξεργασία εμπίπτει σε αυτές για τις οποίες υπάρχει η σχετική υποχρέωση.
Ζ. Σε κάθε περίπτωση, η οδηγία 1/2011 πρέπει να αξιοποιείται κατάλληλα από τους υπευθύνους επεξεργασίας. Η οδηγία παρέχει τις προϋποθέσεις που πρέπει να πληρούνται για τις κάμερες που θα εγκατασταθούν, όπως τα σημεία που επιτρέπεται να τοποθετηθούν, την εμβέλεια που μπορούν να έχουν, τα τεχνικά χαρακτηριστικά, τον μέγιστο χρόνο τήρησης δεδομένων, τοποθέτηση ευδιάκριτων πινακίδων, ικανοποίηση δικαιωμάτων, ασφάλεια επεξεργασίας, κ.λπ. Κατά κανόνα, εφ όσον πληρούνται οι προϋποθέσεις αυτές, η νομική βάση για μια τέτοια επεξεργασία είναι η διάταξη του άρθρου 6 παρ. 1 στοιχ. στ’ του GDPR.
Η. Ο εργαζόμενος που βλάπτεται μπορεί να ασκήσει τα δικαιώματα της πρόσβασης και της εναντίωσης. Ο εργοδότης είναι υποχρεωμένος, βάσει του GDPR, να απαντήσει εγγράφως. Εάν δεν απαντήσει, ή αν η απάντηση δεν είναι ικανοποιητική, μπορεί να υποβληθεί καταγγελία στην Αρχή Προστασίας Προσωπικών Δεδομένων, είτε μέσω συλλογικού οργάνου, είτε ατομικά.
Θ. Σε κάθε περίπτωση ο βιντεοσκοπούμενος μπορεί να ασκήσει τα δικαιώματα από το άρθρο 57 ΑΚ, περί προσβολής της προσωπικότητας, και να αξιώσει χρηματική ικανοποίηση λόγω ηθικής βλάβης, εφ όσον συντρέχουν οι προϋποθέσεις της αδικοπραξίας του Αστικού Κώδικα, δεδομένου ότι ο GDPR προβλέπει ότι σε κάθε παραβίαση στην επεξεργασία των προσωπικών δεδομένων, ο υπαίτιος υποχρεούται σε πλήρη αποζημίωση, αν δε προκάλεσε ηθική βλάβη, υποχρεούται σε χρηματική ικανοποίηση. Η ευθύνη σε αποζημίωση υπάρχει και όταν ο υπόχρεος όφειλε να γνωρίζει την πιθανότητα να επέλθει βλάβη σε άλλον (ΑΠ 2244/2013, ΑΠ 163/2020).
Η εγκατάσταση συστήματος βιντεοεπιτήρησης σε σχολεία πρέπει να γίνεται με ιδιαίτερη προσοχή και υπό πολύ αυστηρές προϋποθέσεις. Η απόφαση λαμβάνεται από το αρμόδιο όργανο για την διοίκηση του σχολείου, αφού ληφθεί υπ όψιν η γνώμη των εκπροσώπων του διδακτικού προσωπικού και των συλλόγων γονέων και μαθητών.
Το σύστημα δεν επιτρέπεται να λειτουργεί σε ώρες που το σχολείο είναι σε λειτουργία, και όλοι (μαθητές και φορείς της εκπαιδευτικής κοινότητας) πρέπει να είναι πλήρως ενήμεροι για αυτό, έτσι ώστε να γνωρίζουν ότι δεν παρακολουθούνται. Τα δεδομένα πρέπει να διαγράφονται την επόμενη εργάσιμη ημέρα (εφ όσον δεν υπήρξε κάποιο συμβάν) ενώ σε κάθε περίπτωση η λειτουργία του πρέπει να αξιολογείται ανά τακτά διαστήματα (όχι μεγαλύτερα του ενός έτους).
Οι μαθητές, γονείς, εκπαιδευτικοί και λοιποί εργαζόμενοι μπορούν να έχουν πρόσβαση στα στοιχεία σχετικά (άρθρο 18 της οδηγίας 1/2011).
Τα δεδομένα πρέπει να τηρούνται για το μικρότερο δυνατό χρόνο. Μέχρι την επόμενη εργάσιμη ημέρα.
Επιτρέπεται η τοποθέτηση καμερών, που λαμβάνουν εικόνα μόνο εντός του διαμερίσματος. Επιτρέπεται η τοποθέτηση κάμερας που να επιβλέπει τον απολύτως απαραίτητο χώρο της εισόδου του διαμερίσματος, χωρίς να καταγραφή εικόνας ή ήχου. Η καταγραφή εικόνας (σε καμία περίπτωση ήχου) επιτρέπεται, όταν είναι τεχνικά εφικτός ο περιορισμός του πεδίου εμβέλειας της κάμερας στον απολύτως απαραίτητο χώρο μπροστά από την είσοδο.
Σύμφωνα με την Oδηγία 1/2011 για την εγκατάσταση συστήματος βιντεοεπιτήρησης σε κοινόχρηστους χώρους πολυκατοικίας απαιτείται απόφαση της γενικής συνέλευσης των συνιδιοκτητών με ποσοστά πλειοψηφίας, όπως αυτή ορίζεται στον κανονισμό της πολυκατοικίας. Αν ο κανονισμός της πολυκατοικίας προβλέπει ήδη την εγκατάσταση του συστήματος βιντεοεπιτήρησης, τότε απλά ακολουθείται ότι ορίζεται στον κανονισμό.
Τα δεδομένα πρέπει να τηρούνται για το μικρότερο δυνατό χρόνο. Το πολύ μέχρι 48 ώρες.
Η τοποθέτηση καμερών σε σημεία εισόδου και εξόδου καταστήματος επιτρέπεται. Δεν πρέπει να λαμβάνει εικόνα από δημόσιο χώρο. Επιτρέπεται στα ταμεία και στους χώρους φύλαξης χρημάτων, σε αποθήκες εμπορευμάτων, καθώς και σε χώρους στάθμευσης και ηλεκτρολογικών εγκαταστάσεων. Για καταστήματα πολύ μεγάλης έκτασης, ή όπου διακινούνται εμπορεύματα μεγάλης αξίας, μπορούν να τοποθετηθούν κάμερες και σε χώρους όπου κινούνται πελάτες, εφ όσον αυτό κρίνεται απολύτως απαραίτητο. Σε αυτή την περίπτωση, η γωνία λήψης πρέπει να είναι τέτοια ώστε να εστιάζει όσο λιγότερο γίνεται σε πρόσωπα, καθώς και να προτιμώνται λήψεις όσο το δυνατόν ευρύτερης οπτικής γωνίας (άρθρο 19 της οδηγίας 1/2011).
Τα δεδομένα πρέπει να τηρούνται για το μικρότερο δυνατό χρόνο. Σε κάθε περίπτωση δεν επιτρέπεται να τηρούνται για διάστημα μεγαλύτερο των 15 ημερών, εκτός από εξαιρέσεις. Ο χρόνος τήρησης μπορεί να παραταθεί, εφ όσον υπάρξει κάποιο συμβάν και το υλικό μπορεί να χρησιμοποιηθεί ως αποδεικτικό στοιχείο (άρθρο 8 της οδηγίας 1/2011).
Εάν οι κάμερες καταγράφουν αποκλειστικά ιδιωτικό χώρο δεν εφαρμόζεται η νομοθεσία για την προστασία των προσωπικών δεδομένων. Απαγορεύεται η λήψη εικόνας από εξωτερικό δημόσιο χώρο (π.χ. δρόμο ή πεζοδρόμιο), καθώς και από γειτονικά κτίρια.
Κάθε μη οικιακή χρήση του καταγεγραμμένου υλικού, εκτός της διαβίβασής του στις αρμόδιες αρχές (π.χ. Αστυνομία, Δικαστήρια), συνεπάγεται την εφαρμογή της νομοθεσίας για τα προσωπικά δεδομένα και κατ’ αρχήν δεν επιτρέπεται. Λήψη εικόνας από παράπλευρες οδούς, ή πεζοδρόμια, μπορεί να δικαιολογηθεί μόνο σε εξαιρετικές περιπτώσεις, δηλαδή όταν πρόκειται για χώρο όπου έχουν προηγηθεί επικίνδυνες επιθέσεις κατά της ζωής και της περιουσίας και υπάρχουν πλέον δικαιολογημένες υπόνοιες ότι ενδέχεται να πραγματοποιηθούν και άλλες. Στις περιπτώσεις αυτές η λήψη πρέπει να περιορίζεται στον απολύτως απαραίτητο παράπλευρο χώρο. Στην περίπτωση αυτή υπάρχει επεξεργασία και ο τοποθετήσας την κάμερα θεωρείται υπεύθυνος επεξεργασίας και έχει, ως προς τις εξωτερικές κάμερες, όλες τις υποχρεώσεις που απορρέουν από τον κανονισμό (πινακίδα ενημέρωσης, ικανοποίηση δικαιωμάτων πρόσβασης και αντίρρησης).
ΚΑΤΑΣΤΗΜΑΤΑ
Η τοποθέτηση καμερών σε σημεία εισόδου και εξόδου καταστήματος επιτρέπεται. Δεν πρέπει να λαμβάνει εικόνα από δημόσιο χώρο. Επιτρέπεται στα ταμεία και στους χώρους φύλαξης χρημάτων, σε αποθήκες εμπορευμάτων, καθώς και σε χώρους στάθμευσης και ηλεκτρολογικών εγκαταστάσεων. Για καταστήματα πολύ μεγάλης έκτασης, ή όπου διακινούνται εμπορεύματα μεγάλης αξίας, μπορούν να τοποθετηθούν κάμερες και σε χώρους όπου κινούνται πελάτες, εφ όσον αυτό κρίνεται απολύτως απαραίτητο. Σε αυτή την περίπτωση, η γωνία λήψης πρέπει να είναι τέτοια ώστε να εστιάζει όσο λιγότερο γίνεται σε πρόσωπα, καθώς και να προτιμώνται λήψεις όσο το δυνατόν ευρύτερης οπτικής γωνίας (άρθρο 19 της οδηγίας 1/2011).
ΠΟΛΥΚΑΤΟΙΚΙΕΣ
Επιτρέπεται η τοποθέτηση καμερών, που λαμβάνουν εικόνα μόνο εντός του διαμερίσματος. Επιτρέπεται η τοποθέτηση κάμερας που να επιβλέπει τον απολύτως απαραίτητο χώρο της εισόδου του διαμερίσματος, χωρίς να καταγραφή εικόνας ή ήχου. Η καταγραφή εικόνας (σε καμία περίπτωση ήχου) επιτρέπεται, όταν είναι τεχνικά εφικτός ο περιορισμός του πεδίου εμβέλειας της κάμερας στον απολύτως απαραίτητο χώρο μπροστά από την είσοδο.
Σύμφωνα με την Oδηγία 1/2011 για την εγκατάσταση συστήματος βιντεοεπιτήρησης σε κοινόχρηστους χώρους πολυκατοικίας απαιτείται απόφαση της γενικής συνέλευσης των συνιδιοκτητών με ποσοστά πλειοψηφίας, όπως αυτή ορίζεται στον κανονισμό της πολυκατοικίας. Αν ο κανονισμός της πολυκατοικίας προβλέπει ήδη την εγκατάσταση του συστήματος βιντεοεπιτήρησης, τότε απλά ακολουθείται ότι ορίζεται στον κανονισμό.
ΚΟΙΝΟΧΡΗΣΤΟΙ ΧΩΡΟΙ ΣΤΑΘΜΕΥΣΗΣ
Επιτρέπεται η τοποθέτηση καμερών σε κοινόχρηστο χώρο στάθμευσης για επιτήρηση μόνο του οχήματος
ΣΧΟΛΕΙΑ
Η εγκατάσταση συστήματος βιντεοεπιτήρησης σε σχολεία πρέπει να γίνεται με ιδιαίτερη προσοχή και υπό πολύ αυστηρές προϋποθέσεις. Η απόφαση λαμβάνεται από το αρμόδιο όργανο για την διοίκηση του σχολείου, αφού ληφθεί υπ όψιν η γνώμη των εκπροσώπων του διδακτικού προσωπικού και των συλλόγων γονέων και μαθητών..
Το σύστημα δεν επιτρέπεται να λειτουργεί σε ώρες που το σχολείο είναι σε λειτουργία, και όλοι (μαθητές και φορείς της εκπαιδευτικής κοινότητας) πρέπει να είναι πλήρως ενήμεροι για αυτό, έτσι ώστε να γνωρίζουν ότι δεν παρακολουθούνται. Τα δεδομένα πρέπει να διαγράφονται την επόμενη εργάσιμη ημέρα (εφ όσον δεν υπήρξε κάποιο συμβάν) ενώ σε κάθε περίπτωση η λειτουργία του πρέπει να αξιολογείται ανά τακτά διαστήματα (όχι μεγαλύτερα του ενός έτους).
Οι μαθητές, γονείς, εκπαιδευτικοί και λοιποί εργαζόμενοι μπορούν να έχουν πρόσβαση στα στοιχεία (άρθρο 18 της οδηγίας 1/2011).
ΔΙΑΦΗΜΙΣΤΙΚΗ ΠΡΟΒΟΛΗ
Επιτρέπεται η τοποθέτηση καμερών για την διαφημιστική προβολή ενός τόπου, ή μιας επιχείρησης, αρκεί να μην είναι αναγνωρίσιμα τα πρόσωπα. Πρέπει οι κάμερες να είναι τοποθετημένες κατά τρόπο τέτοιο ώστε να μην είναι εφικτή η αναγνώριση προσώπων, ή αριθμών πινακίδων αυτοκινήτων (οπότε και δεν υφίσταται επεξεργασία προσωπικών δεδομένων), ή να λαμβάνονται τα κατάλληλα μέτρα, όπως τεχνικές θόλωσης.
ΧΩΡΟΙ ΕΡΓΑΣΙΑΣ
Δεν επιτρέπεται να τοποθέτηση καμερών σε χώρους εργασίας του προσωπικό, όπου δεν έχουν πρόσβαση οι πελάτες, ή σε γραφεία εργαζομένων (άρθρο 7 της οδηγίας 1/2011).
Οποιοδήποτε σύστημα παρακολούθησης εργαζομένων στον χώρο εργασίας δεν πρέπει να χρησιμοποιείται για την επιτήρηση των εργαζομένων, εκτός ειδικών περιπτώσεων που δικαιολογούνται από τη φύση και τις συνθήκες εργασίας και είναι απαραίτητο για την προστασία της υγείας και της ασφάλειας των εργαζομένων ή την προστασία χώρων κρίσιμων υποδομών (εγκαταστάσεις υψηλού κινδύνου).
Η βιντεοεπιτήρηση πρέπει να περιορίζεται στους χώρους εισόδου και εξόδου, χωρίς να επιτηρούνται συγκεκριμένες αίθουσες γραφείων, ή διάδρομοι. Η βιντεοεπιτήρηση πρέπει να περιορίζεται σε ειδικούς χώρους, όπως ταμεία, αποθήκες με ηλεκτρομηχανολογικό εξοπλισμό κλπ και οι κάμερες να εστιάζουν στο αγαθό που προστατεύουν κι όχι στους εργαζόμενους.
Σε κάθε περίπτωση ο εργαζόμενος μπορεί να ασκήσει τα δικαιώματα της πρόσβασης και της εναντίωσης. Ο εργοδότης είναι υποχρεωμένος βάσει του ΓΚΠΔ να απαντήσει εγγράφως. Εάν δεν απαντήσει, ή αν η απάντηση δεν είναι ικανοποιητική, μπορεί να υποβληθεί καταγγελία στην Αρχή.
Εφ όσον οι κάμερες λειτουργούν για τον έλεγχο και την παρακολούθηση του προσωπικού, η επεξεργασία είναι παράνομη (άρθρο 7 της οδηγίας 1/2011) και πρέπει να υποβληθεί καταγγελία στην Αρχή, είτε μέσω συλλογικού οργάνου, είτε ατομικά.
Σημειώνεται ότι, λόγω της σχέσης εξάρτησης εργαζόμενου με εργοδότη, αποδυναμώνεται η βαρύτητα της συγκατάθεσης των εργαζομένων για μια τέτοια επεξεργασία. Σύμφωνα με την Γνώμη 8/2001 της Ομάδας εργασίας του άρθρου 29 της Επιτροπής των Ευρωπαϊκών Κοινοτήτων είναι πολύ δύσκολο να διασφαλιστεί ότι μια τέτοια συγκατάθεση είναι ελεύθερη.
ΣΥΣΤΗΜΑ ΓΕΩΓΡΑΦΙΚΟΥ ΠΡΟΣΔΙΟΡΙΣΜΟΥ
Η εγκατάσταση συστήματος γεωγραφικού προσδιορισμού (gps) επιτρέπεται μόνο όταν δεν αποσκοπεί στην παρακολούθηση του εργαζομένου, αλλά στην αποδοτικότερη λειτουργία της επιχείρησης (π.χ. μέσω της βελτιστοποίησης της ακολουθούμενης διαδρομής) και στην ενίσχυση της ασφάλειας των εργαζομένων.
Η αξιολόγηση της επαγγελματικής αποδοτικότητας του εργαζομένου που βασίζεται στην παρακολούθηση της συμπεριφοράς του συνιστά υπέρμετρη επεξεργασία και παραβιάζει την αρχή της αναλογικότητας.
ΠΑΡΑΚΟΛΟΥΘΗΣΗ ΗΛΕΚΤΡΟΝΙΚΟΥ ΥΠΟΛΟΓΙΣΤΗ ΚΑΙ ΗΛΕΚΤΡΟΝΙΚΟΥ ΤΑΧΥΔΡΟΜΕΙΟΥ
Δεν επιτρέπεται η μυστική παρακολούθηση του ηλεκτρονικού υπολογιστή και του ηλεκτρονικού ταχυδρομείου, εκτός αν αυτό επιτρέπεται βάσει του άρθρου 13 της Οδηγίας 95/46/ΕΚ (της ασφάλειας του κράτους, της εθνικής άμυνας, της δημόσιας ασφάλειας, της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού νόμου, ή της προστασίας του προσώπου που παρακολουθείται, ή σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος κράτους μέλους ή της Ε.Ε).
Στην μυστική παρακολούθηση, όταν επιτρέπεται, ο εργοδότης οφείλει να πληροφορεί τον εργαζόμενο για την παρουσία, την χρήση και τον σκοπό οποιουδήποτε εξοπλισμού ανίχνευσης ή συσκευής, που ενεργοποιείται όσον αφορά το σταθμό εργασίας του και για οποιαδήποτε κακή χρήση ηλεκτρονικών επικοινωνιών που ανιχνεύεται, εκτός αν υπάρχουν σημαντικοί λόγοι που αιτιολογούν τη συνέχιση της μυστικής επιτήρησης, πράγμα που δεν συμβαίνει συνήθως. Η άμεση πληροφόρηση μπορεί να επιτευχθεί εύκολα με λογισμικό, όπως τα προειδοποιητικά παράθυρα, που ανοίγουν και προειδοποιούν τον εργαζόμενο ότι το σύστημα ανίχνευσε μια μη επιτρεπόμενη χρήση του δικτύου ή/και έλαβε μέτρα για την πρόληψή της.
Η μυστική παρακολούθηση, όταν επιτρέπεται, τα δεδομένα πρέπει να συλλέγονται για ένα συγκεκριμένο, ρητώς καθορισμένο και νόμιμο σκοπό και να μην υφίστανται περαιτέρω επεξεργασία με τρόπο ασύμβατο με τους σκοπούς αυτούς. Αν η επεξεργασία των δεδομένων δικαιολογείται για την ασφάλεια του συστήματος, δεν μπορεί στη συνέχεια να γίνει άλλη επεξεργασία των δεδομένων αυτών για άλλο σκοπό, όπως η παρακολούθηση της συμπεριφοράς του εργαζομένου.
ΧΡΟΝΟΣ ΤΗΡΗΣΗΣ ΔΕΔΟΜΕΝΩΝ
Τα δεδομένα πρέπει να τηρούνται για το μικρότερο δυνατό χρόνο.
Σε κάθε περίπτωση δεν επιτρέπεται να τηρούνται για διάστημα μεγαλύτερο των 15 ημερών, εκτός από εξαιρέσεις.
Ειδικά για πολυκατοικίες, πρέπει να τηρούνται το πολύ μέχρι 48 ώρες.
Για τα σχολεία μέχρι την επόμενη εργάσιμη ημέρα.
Οι τράπεζες και τα χρηματοπιστωτικά ιδρύματα μπορούν να τα τηρούν μέχρι 45 ημέρες. Ο χρόνος τήρησης μπορεί να παραταθεί, εφ όσον υπάρξει κάποιο συμβάν και το υλικό μπορεί να χρησιμοποιηθεί ως αποδεικτικό στοιχείο (άρθρο 8 της οδηγίας 1/2011).
Στον Νέο Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ - GDPR), με την αρχή της λογοδοσίας (άρθρο 5) μετατοπίζεται το «βάρος της απόδειξης» από το ενιστάμενο πρόσωπο στον υπεύθυνο επεξεργασίας (ή στον εκτελούντα την επεξεργασία). Ο υπεύθυνος επεξεργασίας (ή ο εκτελών την επεξεργασία) οφείλουν ανά πάσα στιγμή, τόσο στο ενιστάμενο πρόσωπο, όσο και ενώπιον της Αρχής και των δικαστηρίων, να μπορούν να αποδείξουν ότι είναι πλήρως συμμορφωμένοι με όσα προβλέπει ο Κανονισμός.
Χρονικά όρια λογοδοσίας στο ενιστάμενο πρόσωπο
Χωρίς καθυστέρηση, σε κάθε περίπτωση εντός (1) μηνός από την παραλαβή του αιτήματος, ο υπεύθυνος επεξεργασίας (ή ο εκτελών την επεξεργασία) οφείλει να παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την συλλογή των προσωπικών του δεδομένων (άρθρα 15 έως 22).
Εάν δεν ενεργήσει, χωρίς καθυστέρηση και το αργότερο εντός (1) μηνός από την παραλαβή του αιτήματος, ενημερώνει το υποκείμενο των δεδομένων, γιατί δεν ενήργησε, αναφέροντάς του ότι έχει την δυνατότητα υποβολής καταγγελίας στην Αρχή και άσκηση δικαστικής προσφυγής.
Απαραίτητα εργαλεία για την τήρηση της υποχρέωσης λογοδοσίας.
Για την τήρηση της υποχρέωσης λογοδοσίας ο υπεύθυνος επεξεργασίας, ή/ και ο εκτελών την επεξεργασία, οφείλουν να εφαρμόσουν τα παρακάτω απαραίτητα εργαλεία, 1) τήρηση αρχείων δραστηριότητας της επεξεργασίας, 2) προηγούμενη διαβούλευση και συνεργασία με την Αρχή, 3) εφαρμογή μέτρων ασφαλείας, 4) εκτίμηση αντικτύπου, 5) τήρηση των υποχρεώσεων κοινοποίησης της παραβίασης δεδομένων, 6) ορισμό υπευθύνου προστασίας δεδομένων, 7) υιοθέτηση κωδίκων δεοντολογίας και μηχανισμών πιστοποίησης.
Με τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων ( GDPR, άρθρα 5-12) οι αρχές επεξεργασίας είναι
- Της συγκατάθεσης ενηλίκου (άρθρο 7)
Απαραίτητη είναι η συγκατάθεση του ενηλίκου στην επεξεργασία των προσωπικών του δεδομένων. Ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε. Η συγκατάθεση είναι σύννομη, όταν το υποκείμενο των δεδομένων έχει αληθινή και ελεύθερη επιλογή, ή να αρνηθεί, ή να αποσύρει την συγκατάθεση, χωρίς να ζημιωθεί. Το υποκείμενο των δεδομένων πρέπει να γνωρίζει την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας. Εάν η συγκατάθεση παρέχεται με γραπτή δήλωση, που αφορά και άλλα θέματα, το αίτημα για συγκατάθεση πρέπει να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή.
- Της συγκατάθεσης παιδιού (άρθρο 8)
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού είναι σύννομη εάν το παιδί είναι τουλάχιστον 16 χρονών. Εάν το παιδί είναι ηλικίας κάτω των 16 ετών, απαραίτητη είναι η συγκατάθεση, ή έγκριση, του έχοντος την γονική μέριμνα του παιδιού. Τα κράτη μέλη δύνανται να προβλέψουν με νόμο μικρότερη ηλικία των 16 ετών, με την προϋπόθεση ότι η εν λόγω δεν είναι κάτω από τα 13 έτη.
- Της νομιμότητας (άρθρο 5 και 6)
Η επεξεργασία δεν είναι νόμιμη, όταν δεν υπερισχύει το συμφέρον, ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
Επεξεργασία κατά τον αρχικό σκοπό.
Η επεξεργασία για να είναι νόμιμη κατά τον αρχικό σκοπό πρέπει να συντρέχει μία τουλάχιστον από τις παρακάτω προϋποθέσεις.
α. το υποκείμενο των δεδομένων να έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού του χαρακτήρα για έναν, ή περισσότερους συγκεκριμένους σκοπούς.
β. η επεξεργασία να είναι απαραίτητη, α) για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος, ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης, β) για τη συμμόρφωση με υποχρέωση του υπευθύνου επεξεργασίας, γ) για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων, ή άλλου φυσικού προσώπου, δ) για την εκπλήρωση καθήκοντος, που εκτελείται προς το δημόσιο συμφέρον, ή κατά την άσκηση δημόσιας εξουσίας.
Επεξεργασία μεταγενέστερη, για άλλους σκοπούς από τον αρχικό
Επεξεργασία, για άλλους σκοπούς από τον αρχικό, είναι νόμιμη, εφ όσον η επεξεργασία είναι συμβατή με τους σκοπούς για τους οποίους τα δεδομένα αρχικά συλλέχθηκαν.
Για να εξακριβώσει ο υπεύθυνος επεξεργασίας κατά πόσο η επεξεργασία για άλλο σκοπό είναι σύννομη πρέπει να λάβει υπ όψιν του, α) Την σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα, β) Των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας, γ) Την σχέση υποκειμένου των δεδομένων και υπευθύνου επεξεργασίας, δ) Την φύση των δεδομένων, ιδίως ευαίσθητων, στ) Τις συνέπειες της περαιτέρω επεξεργασίας, ζ)Την ύπαρξη κατάλληλων εγγυήσεων, όπως κρυπτογράφηση ή ψευδωνυμοποίηση.
- Της ακρίβειας και αντικειμενικότητας (άρθρο 5).
Τα δεδομένα πρέπει να είναι ακριβή και το υποκείμενο της επεξεργασίας, να έχει ενημέρωση ως προς τα δεδομένα που επεξεργάζονται.
- Της ακεραιότητας και εμπιστευτικότητας (άρθρο 5).
Τα δεδομένα πρέπει να υποβάλλονται σε επεξεργασία με τρόπο, που εγγυάται την ασφάλεια και την προστασία τους από παράνομη επεξεργασία, ή απώλεια, καταστροφή, ή φθορά τους.
- Της διαφάνειας (άρθρα 5και 12).
Τα δεδομένα πρέπει να υποβάλλονται σε σύννομη και θεμιτή διαφανή επεξεργασία, με την συγκατάθεση του υποκειμένου. Η διαφάνεια διασφαλίζεται με την ενημέρωση του υποκειμένου για την συλλογή των δεδομένων και τον σκοπό της συλλογής. Η ενημέρωση οφείλει να είναι συνοπτική και κατανοητή, με σαφή και απλή διατύπωση.
- Της ανωνυμοποίησης των δεδομένων
Τα δεδομένα πρέπει να επεξεργάζονται κατά τρόπο, που να διασφαλίζεται η μη ταυτοποίηση του υποκειμένου των δεδομένων. Δύο είναι οι προτεινόμενοι τρόποι από τον Κανονισμό, η κρυπτογράφηση και η ψευδωνυμοποίηση. Κρυπτογράφηση είναι, ο μετασχηματισμός δεδομένων σε μορφή που να είναι αδύνατον να διαβαστεί, χωρίς τη γνώση της σωστής ακολουθίας. Η ακολουθία καλείται «κλειδί» και χρησιμοποιείται σε συνδυασμό με κατάλληλο αλγόριθμο. Η αντίστροφη διαδικασία είναι η αποκρυπτογράφηση και απαιτεί γνώση του κλειδιού. Ψευδωνυμοποίηση είναι, η τεχνική με την οποία τα δεδομένα δεν μπορούν, να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων, χωρίς τη χρήση συμπληρωματικών πληροφοριών. Οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα. Βασικό παράδειγμα είναι η αντικατάσταση των ευαίσθητων δεδομένων με μη ευαίσθητα, το θόλωμα της εικόνας.
- Της ελαχιστοποίησης δεδομένων (άρθρο 5).
Τα δεδομένα που συλλέγονται πρέπει να είναι κατάλληλα, συναφή, και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.
- Της λογοδοσίας (άρθρο 5).
Με την αρχή της λογοδοσίας μετατοπίζεται το «βάρος της απόδειξης», από το ενιστάμενο πρόσωπο, στον υπεύθυνο επεξεργασίας (ή στον εκτελούντα την επεξεργασία). Ο υπεύθυνος επεξεργασίας (ή ο εκτελών την επεξεργασία) οφείλουν ανά πάσα στιγμή, τόσο στο ενιστάμενο πρόσωπο, όσο και ενώπιον της Αρχής και των δικαστηρίων, να μπορούν να αποδείξουν ότι είναι πλήρως συμμορφωμένοι με όσα προβλέπει ο Κανονισμός.
(Αναλυτικά για την «αρχή της λογοδοσίας» στην ανάρτηση «Αρχή της λογοδοσίας στον GDPR).
Με τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ - GDPR) (ΕΕ 2016/679), που τέθηκε σε εφαρμογή στις 25-5-2018, εισάγεται το Αρχείο δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων. Το αρχείο περιγράφει τις δραστηριότητες επεξεργασίας των προσωπικών δεδομένων. Δεν χρειάζεται να υποβληθεί στην Αρχή. Αρκεί να τηρείται και η τήρηση να μπορεί να αποδειχθεί.
ΥΠΟΧΡΕΩΣΗ ΤΗΡΗΣΗΣ ΕΧΕΙ
Κάθε επιχείρηση, ή φορέας, που απασχολεί περισσότερα από 250 άτομα. Η επιχείρηση, ή φορέας, που απασχολεί λιγότερα από 250 άτομα, οφείλει να τηρεί το αρχείο για κάθε δραστηριότητα, α) που δεν είναι περιστασιακή, β) που ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, γ) που η επεξεργασία αφορά ειδικές κατηγορίες δεδομένων του άρθρου 9 παρ. 1, δ) που η επεξεργασία αφορά δεδομένα ποινικών καταδικών και αδικημάτων του άρθρου 10.
ΤΙ ΠΕΡΙΕΧΕΙ
Το αρχείο δραστηριοτήτων περιέχει τα στοιχεία, που περιγράφονται αναλυτικά στο άρθρο 30 παρ. 1 και 2 του Κανονισμού. Τηρείται, τόσο από τον υπεύθυνο επεξεργασίας, όσοι και από τον εκτελούντα την επεξεργασία. Περιέχει υποχρεωτικά και μη υποχρεωτικά στοιχεία.
Υποχρεωτικά περιέχει
α) το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας, του εκτελούντα την επεξεργασία και των εκπροσώπου των, και το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων.
β) τους σκοπούς της επεξεργασίας.
γ) περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα.
δ) τις κατηγορίες των αποδεκτών.
ε) τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα, ή διεθνή οργανισμό και της τεκμηρίωσης των κατάλληλων εγγυήσεων.
στ) τις προβλεπόμενες προθεσμίες διαγραφής των διάφορων κατηγοριών δεδομένων.
ζ) γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας των παραβιάσεων.
Η Αρχή, προς τον σκοπό βοήθειας προς τους υπευθύνους επεξεργασίας παρέχει υποδείγματα αρχείου δραστηριοτήτων, σε μορφή αρχείου excel, που περιέχουν, τόσο τα απαραίτητα στοιχεία, όσο και τα προαιρετικά στοιχεία.
Με τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) εισάγεται για πρώτη φορά o θεσμός του Υπευθύνου Προστασίας Δεδομένων (άρθρα 38 και 39).
Ο θεσμός διαφοροποιείται από τον Υπεύθυνο Επεξεργασίας Δεδομένων (Data Controller). Ο Υπεύθυνος Επεξεργασίας είναι αυτός που καθορίζει το σκοπό και τους τρόπους επεξεργασίας. Ο Υπεύθυνος Προστασίας παρέχει συνδρομή και συμβουλευτικές υπηρεσίες στον Υπεύθυνο Επεξεργασίας, ή στον Εκτελούντα την Επεξεργασία. Πρέπει να είναι εγκατεστημένος εντός Ε.Ε, ανεξάρτητα που είναι εγκατεστημένος ο Υπεύθυνος Επεξεργασίας. ή ο Εκτελών την Επεξεργασία. Ο ρόλος του είναι συμβουλευτικός (όχι αποφασιστικός). Δεν έχει προσωπική ευθύνη για την μη συμμόρφωση με τον Κανονισμό, εκτός αν ευθύνεται για ίδιον πταίσμα. Υπεύθυνος να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον Κανονισμό είναι ο Υπεύθυνος Επεξεργασίας, ή ο Εκτελών την Επεξεργασία.
Καθήκοντα Υπευθύνου Προστασίας
- Ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας, ή τον εκτελούντα την επεξεργασία, ως και τους υπαλλήλους των.
- Συμμετέχει σε όλα τα ζητήματα που αφορούν τον φορέα, ή την επιχείρηση, σχετικά με την προστασία των προσωπικών δεδομένων.
- Παρακολουθεί την εσωτερική συμμόρφωση με τον Κανονισμό και τις διατάξεις περί προστασίας δεδομένων, όπως προσδιορισμός και διαχείριση δραστηριοτήτων επεξεργασίας, εκπαίδευση προσωπικού, διενέργεια εσωτερικών ελέγχων.
- Παρέχει συμβουλές για την εκτίμηση αντικτύπου και παρακολουθεί την υλοποίησή τους.
- Έχει ελεύθερη πρόσβαση σε όλα τα αρχεία του φορέα, ή της επιχείρησης.
- Εκπροσωπεί την επιχείρηση - φορέα έναντι των Αρχών, συνεργάζεται με την εποπτική αρχή. Είναι το μέσο επικοινωνίας με την εποπτική αρχή.
- Δεν λαμβάνει εντολές για την άσκηση των καθηκόντων του από κανένα.
- Δεν υφίσταται κυρώσεις, επειδή επιτέλεσε τα καθήκοντά του.
- Είναι υποχρεωμένος να τηρεί το απόρρητο και την εμπιστευτικότητα..
- Λογοδοτεί απ ευθείας στο ανώτατο διοικητικό επίπεδο της επιχείρησης, ή του φορέα.
Επαγγελματικά προσόντα Υπευθύνου Προστασίας
Πρέπει να έχει το αναγκαίο επίπεδο γνώσης των τεχνολογιών πληροφορίας και ασφάλειας των δεδομένων και εμπειρογνωσία ανάλογη με την επεξεργασία δεδομένων που διενεργούνται στην εταιρεία- φορέα, στον οποίο θα απασχοληθεί. Διορίζεται, ιδίως, βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων του. Ο Κανονισμός δεν θέτει κάποια υποχρεωτική απαίτηση για πιστοποίηση του DPO, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση.
- Μπορεί να είναι υπάλληλος του Υπευθύνου Επεξεργασίας, ή του Εκτελούντος την Επεξεργασία, ή εξωτερικός συνεργάτης με βάση σύμβασης παροχής υπηρεσιών.
- Μπορεί να συνεπικουρείται από ομάδα, εφ όσον απαιτείται.
- Μπορεί να ασκεί και πρόσθετα καθήκοντα μέσα στην επιχείρηση - φορέα, με την προϋπόθεση να μην υπάρχει σύγκρουση συμφερόντων με τα καθήκοντά του, όπως θέση ανώτερης διοίκησης, νομικού συμβούλου κλπ.
Ο ορισμός Υπευθύνου Προστασίας δεν είναι υποχρεωτικός
Με τον κανονισμό ενθαρρύνονται εθελοντικές ενέργειες, ώστε κάθε επιχείρηση-οργανισμός να ορίσει Υπεύθυνο Προστασίας. Δεν είναι υποχρεωτικός ο ορισμός Υπευθύνου Προστασίας, όταν η επεξεργασία των δεδομένων γίνεται από ιδιώτη ιατρό για τους ασθενείς του, ή από δικηγόρο για τους πελάτες του. Όταν η επιχείρηση-φορέας ορίσει Υπεύθυνο Προστασίας σε εθελοντική βάση, για τον ορισμό του, τη θέση του και τα καθήκοντά του, ισχύουν οι ίδιες απαιτήσεις σαν ο ορισμός να ήταν υποχρεωτικός.
Ο ορισμός Υπευθύνου Προστασίας είναι υποχρεωτικός
- Όταν η επεξεργασία διενεργείται από δημόσια αρχή, ή δημόσιο φορέα. Συμπεριλαμβάνονται και φυσικά, ή νομικά πρόσωπα δημοσίου ή ιδιωτικού δικαίου που ασκούν δημόσια εξουσία.
- Όταν απαιτείται τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, όπως σε ασφαλιστικές υπηρεσίες, τραπεζικές υπηρεσίες, υπηρεσίες τηλεφωνίας ή διαδικτύου, παροχή υπηρεσιών ασφαλείας.
- Όταν διενεργείται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων, όπως παροχή υπηρεσιών υγείας από νοσοκομείο, ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα. Εξαιρούνται τα δικαστήρια όταν ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα.
Για τον προσδιορισμό της μεγάλης κλίμακας επεξεργασίας λαμβάνονται υπ όψιν, ο αριθμός των εμπλεκομένων υποκειμένων, είτε ως συγκεκριμένος αριθμός, είτε ως ποσοστό επί του πληθυσμού, ο όγκος και το εύρος των δεδομένων, η διάρκεια, ή ο μόνιμος χαρακτήρας της επεξεργασίας, η γεωγραφική έκταση της επεξεργασίας.
Αριθμός Υπευθύνων Προστασίας
Η επιχείρηση-οργανισμός μπορεί να ορίσει έναν, οι περισσότερους, υπεύθυνους προστασίας. Όμιλος επιχειρήσεων, ή περισσότεροι δημόσιοι φορείς, μπορούν να ορίσουν έναν μόνο Υπεύθυνο, υπό την προϋπόθεση να είναι διαθέσιμος σε κάθε εγκατάσταση, ή φορέα, είτε με φυσική παρουσία στις ίδιες εγκαταστάσεις με τους υπαλλήλους, είτε μέσω ανοικτής τηλεφωνικής γραμμής, ή άλλου ασφαλούς μέσου επικοινωνίας και σε γλώσσα που χρησιμοποιούν οι ενδιαφερόμενες εποπτικές αρχές και τα οικεία υποκείμενα των δεδομένων.
Υποχρεώσεις του εργοδότη του Υπευθύνου Προστασίας
Ο εργοδότης υποχρεούται να δημοσιεύσει τα στοιχεία επικοινωνίας του Υπευθύνου Προστασίας και να τα ανακοινώσει στην Αρχή. Οφείλει να διασφαλίσει ότι ο Υπεύθυνος Προστασίας συμμετέχει σε όλα τα ζητήματα σχετικά με την προστασία προσωπικών δεδομένων. Να του παρέξει ελεύθερη πρόσβαση σε δεδομένα και πράξεις επεξεργασίας και να έχει στην διάθεσή του τους απαραίτητους πόρους για την εκπλήρωση των καθηκόντων του.
Με τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ - GDPR) (ΕΕ 2016/679), που τέθηκε σε εφαρμογή στις 25-5-2018 καθιερώνεται ενιαίο νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων σε όλα τα κράτη-μέλη της Ε.Ε, τα οποία και δεσμεύει. Καταργείται η προηγούμενη οδηγία 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων).Επέρχεται άρση της ανασφάλειας, που δημιούργησε ο προηγούμενος Κανονισμός, ενδυναμώνοντας τα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων (φυσικών προσώπων).
ΟΥΣΙΑΣΤΙΚΟ ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ
α) Ο κανονισμός εφαρμόζεται
- στο σύστημα αρχειοθέτησης, της μη αυτοματοποιημένης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και
- στην αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα και
β) Ο κανονισμός δεν εφαρμόζεται
- στην επεξεργασία δεδομένων, στα πλαίσια αποκλειστικά προσωπικής και οικιακής χρήσης.
- στην επεξεργασία δεδομένων, σε ζητήματα προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών.
(Σύμφωνα με τον χάρτη θεμελιωδών δικαιωμάτων της Ε.Ε, ως τέτοια θεωρούνται της αξιοπρέπειας, της ελευθερίας, της ισότητας, της αλληλεγγύης, της ιθαγένειας και της δικαιοσύνης).
- σε δραστηριότητες που αφορούν την εθνική ασφάλεια.
- σε δραστηριότητες συναφείς με την κοινή εξωτερική πολιτική και πολιτική ασφάλειας της Ένωσης.
- στην περίπτωση πρόληψης, ανίχνευσης, ή δίωξης ποινικών αδικημάτων, ή της εκτέλεσης ποινικών κυρώσεων.
ΕΔΑΦΙΚΟ ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ
Ο Κανονισμός εφαρμόζεται
- στην περίπτωση, που ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, βρίσκεται εγκατεστημένος στην Ε.Ε, ανεξάρτητα που πραγματοποιείται η επεξεργασία (εντός, ή εκτός, της Ένωσης).
- στην περίπτωση, που το υποκείμενο των δεδομένων βρίσκεται στην Ε.Ε και ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, εκτός Ε.Ε
(πρέπει, οι δραστηριότητες επεξεργασίας, να σχετίζονται με α) την προσφορά αγαθών, ή υπηρεσιών, μέσα στην Ε.Ε, ή να αφορά παρακολούθηση συμπεριφοράς του υποκειμένου των δεδομένων μέσα στην Ε.Ε).
- στην περίπτωση, που ο υπεύθυνος επεξεργασίας δεν είναι εγκατεστημένος στην Ε.Ε, αλλά σε άλλο τόπο, όπου εφαρμόζεται το δίκαιο κράτους-μέλους, δυνάμει του δημόσιου διεθνούς δικαίου.
ΚΑΤΑΡΓΕΙ
Την γενική υποχρέωση γνωστοποίησης τήρησης αρχείου δραστηριοτήτων της επεξεργασίας, ή βιντεοεπιτήρησης, στην Αρχή. Το αρχείο δραστηριοτήτων τηρείται εσωτερικά από την επιχείρηση - φορέα και διατίθεται στην Αρχή σε περίπτωση που ζητηθεί.
Την χορήγηση αδειών από την Αρχή για την επεξεργασία ευαίσθητων δεδομένων.
Την υποχρέωση της Αρχής, να απαντά σε ερωτήματα και αιτήματα των υπευθύνων επεξεργασίας, των υποκειμένων των δεδομένων, ή τρίτων, τα οποία δεν εμπίπτουν στις αρμοδιότητές της.
ΕΙΣΑΓΕΙ
Την υποχρέωση του Υπεύθυνου Επεξεργασίας προς διενέργεια Εκτίμησης Αντικτύπου.
Την υποχρέωση ορισμού Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer - DPO) .
ενθαρρύνει
Την σύνταξη Κωδίκων Δεοντολογίας.
Την θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων.