Εξουσίες Αρχής Προστασίας δεδομένων με τον GDPR.

Η Αρχή Προστασίας δεδομένων έχει (άρθρο 58) εξουσίες έρευνας, διορθωτικές εξουσίες, αδειοδοτικές-συμβουλευτικές εξουσίες και εξουσία επιβολής προστίμων.

1. Εξουσίες έρευνας

α)  να δίνει εντολές, για να της παρασχεθεί κάθε πληροφορία που απαιτεί, β)  να διεξάγει έρευνες, με τη μορφή ελέγχου, γ)  να προβαίνει σε επανεξέταση των πιστοποιήσεων, δ)  να ειδοποιεί τον υπεύθυνο επεξεργασίας, ή τον εκτελούντα την επεξεργασία, για εικαζόμενη παράβαση του Κανονισμού, ε)  να αποκτά πρόσβαση σε όλα τα δεδομένα και σε όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων της, στ)  να έχει πρόσβαση στις εγκαταστάσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, του εξοπλισμού και των μέσων επεξεργασίας δεδομένων.

2. Διορθωτικές εξουσίες

α) να απευθύνει προειδοποιήσεις, ότι οι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν διατάξεις του Κανονισμού, β)  να απευθύνει επιπλήξεις, όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του Κανονισμού, γ)  να δώσει εντολή συμμόρφωσης προς τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του, δ)  να δώσει εντολή, να καταστούν οι πράξεις επεξεργασίας σύμφωνες με τον Κανονισμό, ε) να δώσει εντολή, να ανακοινωθεί η παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, στ)  να επιβάλλει προσωρινό, ή οριστικό, περιορισμό, της επεξεργασίας, περιλαμβανομένης της απαγόρευσης της επεξεργασίας, ζ)  να δώσει εντολή διόρθωσης, ή διαγραφής, των δεδομένων, ή περιορισμού της επεξεργασίας και εντολή κοινοποίησης των ενεργειών αυτών στους αποδέκτες, η) να αποσύρει την πιστοποίηση, ή να διατάξει τον οργανισμό πιστοποίησης να αποσύρει ένα πιστοποιητικό, ή να διατάξει τον οργανισμό πιστοποίησης να μην εκδώσει πιστοποίηση, εφ όσον οι απαιτήσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον και θ)  να δώσει εντολή για αναστολή της κυκλοφορίας δεδομένων σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό.

3. Αδειοδοτικές και συμβουλευτικές εξουσίες

α) να παρέχει συμβουλές στον υπεύθυνο επεξεργασίας, β) να εκδίδει, με δική της πρωτοβουλία, ή κατόπιν αιτήματος, γνώμες προς το εθνικό κοινοβούλιο, την κυβέρνηση, προς άλλα όργανα και οργανισμούς, καθώς και προς το κοινό, για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα, γ) να εκδίδει γνώμες για σχέδια κωδίκων δεοντολογίας και να εγκρίνει τα σχέδια αυτά, δ) να παρέχει διαπίστευση σε φορείς πιστοποίησης, ε) να εκδίδει πιστοποιητικά και να εγκρίνει κριτήρια πιστοποίησης, στ) να εγκρίνει δεσμευτικούς εταιρικούς κανόνες, ζ) να εγκρίνει τυποποιημένες ρήτρες προστασίας δεδομένων, η) να επιτρέπει συμβατικές ρήτρες, θ) να επιτρέπει διοικητικές ρυθμίσεις.

4. Εξουσία επιβολής προστίμων

Γα την λήψη απόφασης επιβολής διοικητικού προστίμου λαμβάνονται υπ όψιν τα ακόλουθα, α) η φύση, η βαρύτητα και η διάρκεια της παραβίασης, β) ο δόλος, ή η αμέλεια, που προκάλεσε την παραβίαση, γ) οι ενέργειες, στις οποίες προέβη ο υπεύθυνος επεξεργασίας, ή ο εκτελών την επεξεργασία, για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων, δ) ο βαθμός ευθύνης του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία, ε) προηγούμενες παραβιάσεις του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία, στ) ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παραβίασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της, ζ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παραβίαση, η) ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παραβίαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παραβίαση, θ) η συμμόρφωση, ή μη, του υπευθύνου επεξεργασίας, ή του εκτελούντος την επεξεργασία σε εντολή λήψης μέτρων, ι) η τήρηση εγκεκριμένων κωδίκων δεοντολογίας, ή εγκεκριμένων μηχανισμών πιστοποίησης, ια) κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.

Ύψος προστίμων

Οι παραβιάσεις, α) των υποχρεώσεων του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, β) των υποχρεώσεων του φορέα πιστοποίησης και γ)  των υποχρεώσεων του φορέα παρακολούθησης, επισύρουν πρόστιμα έως 10.000.000 ευρώ, ή σε περίπτωση επιχειρήσεων έως το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (όποιο είναι υψηλότερο).

Οι παραβιάσεις α) των βασικών αρχών για την επεξεργασία, β) των δικαιωμάτων των υποκειμένων των δεδομένων, γ) της διαβίβασης δεδομένων προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα, ή σε διεθνή οργανισμό, δ) της μη συμμόρφωσης προς εντολή, ή προς προσωρινό, ή οριστικό περιορισμό της επεξεργασίας, ή προς αναστολή της κυκλοφορίας δεδομένων, που επιβάλλονται από την Αρχή, επισύρουν πρόστιμα έως 20.000.000 ευρώ, ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (όποιο είναι υψηλότερο).

Παρέχονται σεμινάρια GDPR - DPO (το σεμινάριο πλήρως ενημερωμένο θα σας δοθεί και σε στικάκι). Σε εκδήλωση ενδιαφέροντος αποστείλατε σχεικό email μέσω του site.

Χρίστος Καραμπάγιας | Μέλος του Δικηγορικού Συλλόγου Αθηνών