Τον υπεύθυνο προστασίας δεδομένων, καθώς και μια νέα ανεξάρτητη αρχή φέρνει, μεταξύ άλλων, ο νέος νόμος του υπουργείου Δικαιοσύνης, υπό τον τίτλο: «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα», που ψηφίσθηκε χθες από τη Βουλή και η διαβούλευση του οποίου ολοκληρώθηκε την προηγούμενη Τετάρτη 21/8/2019.
Ουσιαστικά πρόκειται για προσαρμογή της εθνικής νομοθεσίας για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στον Κανονισμό (Ε.Ε.) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (Ε.Ε.) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016. Όπως τονίζεται από ανθρώπους του χώρου, το νέο νομοθέτημα εισάγει το θεσμό του Υπεύθυνου Προστασίας Δεδομένων, στον οποίο θα απευθύνονται οι πολίτες για καταθέσεις που έχουν δώσει παλαιότερα ή άλλα στοιχεία τους που θέλουν να διαχειριστούν. Το νομοσχέδιο έπρεπε να έχει ψηφιστεί από το 2018 και γι’ αυτό η Ελλάδα παραπέμφθηκε στο Ευρωπαϊκό Δικαστήριο. Σύμφωνα με την αιτιολογική έκθεση, περιλαμβάνει 86 άρθρα και στόχο έχει να ενισχύει την προστασία των φυσικών προσώπων όσον αφορά το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα, αντικατοπτρίζοντας τη φύση της προστασίας των δεδομένων ως θεμελιώδους δικαιώματος για την Ευρωπαϊκή Ένωση. Ωστόσο, η αγορά δείχνει διστακτική απέναντι στην ένταση και το εύρος της αυστηρότητας του νέου νόμου και την επίπτωσή του ειδικά στην on line οικονομία.
Ορισμός Υπεύθυνου Προστασίας Δεδομένων
Ειδικότερα στο άρθρο 6 εισάγεται ο Υπεύθυνος Προστασίας Δεδομένων. Μέχρι την εισαγωγή της στον ΓΚΠΔ, η υποχρέωση ορισμού ενός υπεύθυνου προστασίας δεδομένων (ΥΠΔ) ήταν ευρέως άγνωστη στα περισσότερα κράτη μέλη της Ευρωπαϊκής Ένωσης.
Σύμφωνα με το Γενικό Κανονισμό Προσωπικών Δεδομένων, ο υπεύθυνος προστασίας δεδομένων πρόκειται να διαδραματίσει βασικό ρόλο στην επίτευξη της συμμόρφωσης με το ΓΚΠΔ, λαμβάνεται ειδική πρόνοια για την απόλυση του ΥΠΔ, αλλά και για την τήρηση από αυτόν της υποχρέωσης εμπιστευτικότητας και υπάρχει η πρόβλεψη ότι ο ΥΠΔ κατά την εκτέλεση των καθηκόντων του λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με την επεξεργασία, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.
Διενέργεια επεξεργασίας με ασφαλείς διαδικασίες
Στο επίμαχο θέμα της επεξεργασίας δεδομένων σε διάφορες κατηγορίες, όπως εργαζομένων, ορίζεται ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων και των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης, επιτρέπεται βάσει συλλογικών συμβάσεων εργασίας. Μάλιστα ο υπεύθυνος επεξεργασίας εξασφαλίζει ότι η επεξεργασία γίνεται κατά τρόπο που διασφαλίζει επαρκή ασφάλεια των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία.
Οι εξουσίες της ανεξάρτητης Αρχής
Ο νέος νόμος του υπουργείου Δικαιοσύνης «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα» προβλέπει τον ορισμό κοινής εποπτικής Αρχής για την παρακολούθηση της εφαρμογής του συνόλου των διατάξεων του εθνικού δικαίου και του άμεσα εφαρμοστέου δικαίου της Ένωσης και θεσπίζεται τεκμήριο γενικής αρμοδιότητας της Αρχής αυτής. Η Αρχή αποτελεί ουσιώδες στοιχείο της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν, είναι δε και συνταγματικώς κατοχυρωμένη ανεξάρτητη διοικητική αρχή. Παράλληλα ορίζεται ότι η Αρχή συνεργάζεται με τις εποπτικές αρχές κρατών μελών της Ευρωπαϊκής Ένωσης και με την Επιτροπή, ενώ διασαφηνίζεται ότι η Αρχή εκπροσωπεί την Ελλάδα στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων «the Board» που συστήνεται, καθώς και στις άλλες συναφείς επιτροπές ή συναφή όργανα με αντικείμενο την προστασία δεδομένων προσωπικού χαρακτήρα, στις περιπτώσεις στις οποίες προβλέπεται η συμμετοχή εθνικής εποπτικής αρχής.
Η Αρχή ασκεί τις αντίστοιχες εποπτικές αρμοδιότητες που προβλέπονται από ειδικές διατάξεις του διεθνούς ή του ενωσιακού δικαίου και αφορούν επεξεργασία δεδομένων προσωπικού χαρακτήρα. Ως τέτοιες νοούνται μεταξύ άλλων οι διατάξεις που ρυθμίζουν το Σύστημα Πληροφοριών Σένγκεν, το Σύστημα Πληροφοριών Ευρωπόλ, το Σύστημα Πληροφοριών Eurodac και η Σύμβαση για τη χρήση της πληροφορικής στον τελωνειακό τομέα. Από την άλλη πλευρά ορίζεται ρητά ότι εξαιρούνται από την εποπτική αρμοδιότητα της Αρχής οι πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα που διενεργούνται από τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων. Όσον αφορά τη χρηματοδότηση της νέας Αρχής τονίζεται ότι μπορεί να μετέχει σε εθνικά, ευρωπαϊκά ή συγχρηματοδοτούμενα ερευνητικά ή άλλα προγράμματα. Επίσης προβλέπεται η υποχρέωση παροχής συνδρομής από μέρους της Αρχής προς τις εποπτικές αρχές άλλων κρατών μελών της Ευρωπαϊκής Ένωσης, στο πλαίσιο άσκησης των καθηκόντων τους, προκειμένου να διασφαλίζεται η συνεκτική εφαρμογή και επιβολή των διατάξεων.
Εξαιρέσεις για λόγους ελευθερίας έκφρασης
Ο νέος νόμος του υπουργείου Δικαιοσύνης «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα» που ψηφίσθηκε χθες από τη Βουλή τονίζει σε ό,τι αφορά το σημαντικό θέμα της ελευθερίας της έκφρασης πως είναι ένα από τα δικαιώματα που είναι πιθανόν να συγκρούονται με το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα.
Η ελευθερία της έκφρασης κατοχυρώνεται στο άρθρο 11 του Χάρτη («Ελευθερία έκφρασης και πληροφόρησης»). Το δικαίωμα αυτό περιλαμβάνει την «ελευθερία γνώμης και την ελευθερία λήψης ή μετάδοσης πληροφοριών ή ιδεών, χωρίς την ανάμιξη δημοσίων αρχών και αδιακρίτως συνόρων». Η σχέση μεταξύ προστασίας δεδομένων προσωπικού χαρακτήρα και ελευθερίας της έκφρασης ρυθμίζεται στο άρθρο 86 του Γενικού Κανονισμού Προσωπικών Δεδομένων, το οποίο τιτλοφορείται «Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης». Οι σχετικές παρεκκλίσεις πρέπει να προβλέπονται αποκλειστικά για δημοσιογραφικούς σκοπούς ή στο πλαίσιο ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, που εμπίπτουν στο θεμελιώδες δικαίωμα της ελευθερίας του λόγου. Όπως επίσης η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής ή ιστορικής έρευνας ή συλλογής και τήρησης στατιστικών στοιχείων προβλέπεται η διακεκριμένη περίπτωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Επίσης προβλέπεται δικαίωμα αποζημίωσης του προσώπου που έχει υποστεί ζημία (υλική ή άυλη) εξαιτίας αθέμιτης επεξεργασίας από τις αρμόδιες αρχές και θεσπίζεται σύστημα διοικητικών κυρώσεων που η Αρχή μπορεί να επιβάλει σε βάρος αρμοδίων αρχών για παραβάσεις των υποχρεώσεών τους.
