ΟΔΗΓΟΣ ΕΦΑΡΜΟΓΗΣ GDPR

Κεφάλαιο 2

Πρακτικά βήματα συμμόρφωσης

1. Διαμόρφωση συνείδησης προστασίας προσωπικών δεδομένων στην επιχείρηση (Awareness)

1 | Ποιο είναι το ρυθμιστικό πλαίσιο του Κανονισμού και από πότε ισχύει;

O Γενικός Κανονισμός για την Προστασία Δεδομένων (εφεξής «Γενικός Κανονισμός» ή «GDPR»), είναι ο Ευρωπαϊκός Κανονισμός που ρυθμίζει τον τρόπο, με τον οποίο οι ιδιωτικές επιχειρήσεις και όλοι οι φορείς του δημοσίου επεξεργάζονται τα προσωπικά Δεδομένα (εφεξής «Δεδομένα») των Ευρωπαίων πολιτών. Είναι γενικής εφαρμογής, υποχρεωτικός και άμεσα εφαρμόσιμος από τις 25.5.2018 σε όλα τα κράτη μέλη της Ε.Ε. και αφορά όλους τους φορείς του δημοσίου και όλες τις ιδιωτικές επιχειρήσεις (μικρές ή μεγάλες) που είναι εγκατεστημένες σε κράτος - μέλος της Ε.Ε. ή διαχειρίζονται Δεδομένα Ευρωπαίων πολιτών. Να γίνει μνεία ότι περιέχει και 28 άρθρα που εισάγουν τις λεγόμενες «ρήτρες ευελιξίας» ή «ρήτρες ανοίγματος», γεγονός που συνεπάγεται την δυνατότητα κάθε κράτους - μέλους να τις εξειδικεύσει ανάλογα με τη δική του δικαιική κουλτούρα, θέτοντας σε ισχύ τα κατάλληλα νομοθετικά μέτρα. Στην περίπτωση της Ελλάδας, οι «ρήτρες ευελιξίας» ή «ρήτρες ανοίγματος» που εισήγαγε ο GDPR, εξειδικεύτηκαν με τον Νόμο 4624/2019, ο οποίος τέθηκε σε ισχύ την 1.9.2019.

2 | Σε ποιους εφαρμόζεται ο GDPR, όπως εξειδικεύεται με τον Νόμο 4624/2019;

Ο GDPR, όπως εξειδικεύεται με τον Νόμο 4624/2019, εφαρμόζεται: α) σε εταιρείες ή φορείς που επεξεργάζονται Δεδομένα στο πλαίσιο των δραστηριοτήτων τους και έχουν εγκατάσταση σε κράτος μέλος της Ε.Ε., ανεξάρτητα από το πού γίνεται η επεξεργασία των Δεδομένων ή β) σε εταιρείες ή φορείς που έχουν έδρα εκτός της Ε.Ε. και προσφέρουν αγαθά/υπηρεσίες (επί πληρωμή ή δωρεάν) ή παρακολουθούν τη συμπεριφορά φυσικών προσώπων στην Ε.Ε.

Για παράδειγμα, εάν μια μικρομεσαία επιχείρηση με έδρα σε κράτος - μέλος της Ε.Ε. επεξεργάζεται Δεδομένα μη Ευρωπαίων πολιτών πρέπει να συμμορφώνεται με τον GDPR. Την ίδια υποχρέωση συμμόρφωσης με τον GDPR έχει και μια αντίστοιχη επιχείρηση που εδρεύει εκτός Ε.Ε., πλην όμως επεξεργάζεται Δεδομένα Ευρωπαίων πολιτών. Ωστόσο, εάν η επεξεργασία Δεδομένων δεν αποτελεί βασικό μέρος της επιχειρηματικής δραστηριότητάς της και η δραστηριότητα δεν δημιουργεί κινδύνους για φυσικά πρόσωπα, τότε ορισμένες από τις υποχρεώσεις

του GDPR δεν ισχύουν για αυτήν [π.χ. ο διορισμός υπεύθυνου προστασίας Δεδομένων(DPO)].

3 | Πότε εφαρμόζεται ο GDPR μέσω ενός πρακτικού παραδείγματος;

Μικρή εταιρεία που δραστηριοποιείται ως πάροχος λογισμικού, κατασκευής & συντήρησης ιστοσελίδων, έχει έδρα εκτός της Ε.Ε. και συνεργάζεται κυρίως με ισπανόφωνα και πορτογαλόφωνα Πανεπιστήμια στην Ε.Ε.. Η εν λόγω εταιρεία παρέχει δωρεάν συμβουλές στα Πανεπιστήμια για την υλοποίηση του προγράμματος σπουδών τους και περαιτέρω, χορηγεί το όνομα χρήστη αλλά και τον κωδικό πρόσβασης κάθε φοιτητή, εφόσον οι τελευταίοι συμπληρώσουν τη φόρμα εγγραφής στην αντίστοιχη ιστοσελίδα. Η συγκεκριμένη εταιρεία, μολονότι δεν έχει επαγγελματική εγκατάσταση εντός Ε.Ε., συνεργάζεται με Πανεπιστήμια στην Ε.Ε. και προκειμένου να χορηγήσει το όνομα χρήστη αλλά και τον κωδικό πρόσβασης κάθε φοιτητή στο αντίστοιχο Πανεπιστήμιο επεξεργάζεται Δεδομένα μεγάλου αριθμού φοιτητών των ευρωπαϊκών πανεπιστημιακών ιδρυμάτων. Επομένως, η εταιρεία με την ιδιότητα του Εκτελούντος την Επεξεργασία προβαίνει στην συγκεκριμένη συλλογή Δεδομένων των φοιτητών που είναι απαραίτητη για να εκτελέσει τη σύμβαση παροχής λογισμικού ως προς τα Πανεπιστήμια. Εξάλλου, τα Πανεπιστήμια είναι οι Υπεύθυνοι Επεξεργασίας υπό τις οδηγίες των οποίων παρέχει τις υπηρεσίες λογισμικού η εταιρεία και επομένως τόσο η εταιρεία όσο και τα Πανεπιστήμια είναι υποχρεωμένοι να συμμορφώνονται με τις επιταγές του GDPR.

4 | Πότε δεν εφαρμόζεται ο GDPR μέσω ενός πρακτικού παραδείγματος;

Εταιρεία - πάροχος υπηρεσιών με έδρα εκτός της Ε.Ε. που παρέχει υπηρεσίες σε πελάτες εκτός της Ε.Ε. Οι πελάτες της μπορούν να χρησιμοποιούν τις υπηρεσίες της όταν ταξιδεύουν σε άλλες χώρες, συμπεριλαμβανομένης της Ε.Ε.. Εφόσον η εταιρεία δεν απευθύνει ειδικά τις υπηρεσίες της σε φυσικά πρόσωπα στην Ε.Ε., δεν υπόκειται στους κανόνες του GDPR.

5 | Μερικά παραδείγματα Δεδομένων;

Μερικά παραδείγματα Δεδομένων είναι τα εξής:

1. Βασικά Δεδομένα (π.χ. όνομα, επώνυμο, διεύθυνση, αριθμός τηλεφώνου κ.λπ.)

2. Μοναδικά Δεδομένα ταυτοποίησης (π.χ. αριθμός ταυτότητας, αριθμός διαβατηρίου, ΑΜΚΑ, ΑΦΜ)

3. Οικονομικά Στοιχεία (π.χ IBAN)

6 | Ποια Δεδομένα μπορούν να υποβληθούν σε επεξεργασία και υπό ποιες προϋποθέσεις;

– Το είδος και ο όγκος των Δεδομένων που μπορεί να επεξεργάζεται η εταιρεία ή ο φορέας εξαρτώνται από τον λόγο της επεξεργασίας (νομικός λόγος που χρησιμοποιείται) και από τη σκοπούμενη χρήση. Η εταιρεία ή ο φορέας πρέπει να τηρεί διάφορους βασικούς κανόνες, όπως τους εξής:

– τα Δεδομένα πρέπει να υποβάλλονται σε επεξεργασία με νόμιμο και διαφανή τρόπο, διασφαλίζοντας την αντικειμενικότητα προς τα άτομα των οποίων τα Δεδομένα υποβάλλονται σε επεξεργασία («νομιμότητα, αντικειμενικότητα και διαφάνεια»)·

– να υπάρχουν συγκεκριμένοι σκοποί για την επεξεργασία των Δεδομένων και η εταιρεία ή ο φορέας πρέπει να υποδεικνύει τους εν λόγω σκοπούς στα άτομα όταν συλλέγει τα Δεδομένα τους. Δεν μπορεί απλώς να συλλέγει Δεδομένα για απροσδιόριστους σκοπούς («περιορισμός του σκοπού»)·

– η εταιρεία ή ο φορέας πρέπει να συλλέγει και να επεξεργάζεται μόνο τα Δεδομένα που είναι απαραίτητα για την επίτευξη του εν λόγω σκοπού («ελαχιστοποίηση των δεδομένων»)·

– η εταιρεία ή ο φορέας πρέπει να διασφαλίζει ότι τα Δεδομένα είναι ακριβή και ενημερωμένα, λαμβάνοντας υπόψη τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία και να τα διορθώνει στην αντίθετη περίπτωση («ακρίβεια»)·

– η εταιρεία ή ο φορέας δεν μπορεί να κάνει περαιτέρω χρήση των Δεδομένων για άλλους σκοπούς που δεν είναι συμβατοί με τον αρχικό σκοπό·

– η εταιρεία ή ο φορέας πρέπει να διασφαλίζει ότι τα Δεδομένα δεν αποθηκεύονται για διάστημα μεγαλύτερο από αυτό που είναι απαραίτητο για τους σκοπούς για τα οποία συλλέχθηκαν («περιορισμός της περιόδου αποθήκευσης»)·

– η εταιρεία ή ο φορέας πρέπει να υλοποιήσει κατάλληλες τεχνικές και οργανωτικές εγγυήσεις που εξασφαλίζουν την ασφάλεια των Δεδομένων, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή φθορά, χρησιμοποιώντας κατάλληλη τεχνολογία («ακεραιότητα και εμπιστευτικότητα»).

7 | Η θεωρία αναφέρει ότι δεδομένο υγείας αποτελεί όποιο δεδομένο αφορά την κατάσταση της υγείας ενός ατόμου, ήτοι ακόμα ότι αυτός είναι υγιής ή καπνιστής κ.λπ. Σε περίπτωση προωθητικής ενέργειας καπνικών προϊόντων ο καταναλωτής ερωτάται εάν είναι καπνιστής και ποια μάρκα τσιγάρων προτιμά. Αυτό αποτελεί προσωπικό δεδομένο υγείας; Στο ίδιο πλαίσιο, αποτελεί δεδομένο υγείας η βεβαίωση ιατρού, που αποδεικνύει ότι κάποιος είναι υγιής, προκειμένου να συμμετάσχει σε αθλητικό event;

Ως δεδομένα υγείας είναι αυτά που αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας ενός προσώπου όπως αναφέρεται στους ορισμούς του άρθρου 4 του Κανονισμού GDPR. Το γεγονός ότι κάποιος καπνίζει ή καταναλώνει αλκοόλ δεν οδηγεί σε συμπεράσματα για την υγεία του και δεν πρέπει να θεωρείται δεδομένο υγείας, εκτός αν ορίζεται διαφορετικά από το εθνικό δίκαιο. Όμως, η βεβαίωση του γιατρού ότι κάποιος είναι υγιής για να συμμετάσχει σε αθλητική εκδήλωση αποκαλύπτει ότι η κατάσταση της υγείας του είναι καλή και αντιμετωπίζεται ως δεδομένο υγείας.

8 | Τα ηλεκτρονικά καταστήματα πώλησης ειδών που σχετίζονται με ειδικές κατηγορίες Δεδομένων, όπως θρησκευτικές απόψεις (κατάστημα εμπορίας εικόνων και εκκλησιαστικών ειδών) ή σεξουαλικές προτιμήσεις (sex shop) θεωρούνται ως Υπεύθυνοι Επεξεργασίας ειδικών κατηγοριών Δεδομένων; Και αν ναι, τι υποχρεώσεις έχουν προς την ΑΠΔΠΧ;

Η αγορά τέτοιων αντικειμένων δεν μπορεί να οδηγήσει σε συμπεράσματα για τις προσωπικές επιλογές του αγοραστή περί θρησκευτικών πεποιθήσεων και γενετήσιου προσανατολισμού. Ως εκ τούτου δεν θεωρούνται οι έμποροι των συγκεκριμένων ειδών ως Υπεύθυνοι ειδικών κατηγοριών Δεδομένων.

9 | Αντιμετωπίζεται ο ΑΜΚΑ ως δεδομένο ειδικής κατηγορίας;

Ο ΑΜΚΑ δεν ανήκει στα δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση ούτε στα γενετικά δεδομένα, βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία, τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό του. Εκ του ΑΜΚΑ και μόνο εξ αυτού ως αριθμού δεν δύναται να εξαχθούν συμπεράσματα για την υγεία του προσώπου.

10 | Τι σημαίνει η προστασία Δεδομένων «ήδη από τον σχεδιασμό» και «εξ’ ορισμού»;

Η προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας Δεδομένων απαιτεί την αποτελεσματική λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε να διασφαλίζεται ότι τηρούνται οι απαιτήσεις του GDPR.

Παράγοντες που πρέπει να λαμβάνονται υπόψη είναι: οι τελευταίες εξελίξεις της τεχνολογίας, το κόστος εφαρμογής των μέτρων, η φύση, το πεδίο εφαρμογής, το πλαίσιο και οι σκοποί της επεξεργασίας, καθώς και οι κίνδυνοι, –των οποίων ο βαθμός πιθανότητας και σοβαρότητας ποικίλλει− για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία.

Προκειμένου, λοιπόν, ο Υπεύθυνος Επεξεργασίας να μπορεί να αποδείξει συμμόρφωση προς τον Κανονισμό, θα πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει μέτρα τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, ανταποκρινόμενος έτσι, μεταξύ άλλων, στις αρχές της προστασίας των Δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού.

Σύμφωνα με την αρχή της προστασίας των Δεδομένων ήδη από τον σχεδιασμό, κατά τη στιγμή του σχεδιασμού των συστημάτων επεξεργασίας και του καθορισμού των μέσων επεξεργασίας, ο Υπεύθυνος Επεξεργασίας πρέπει να ενσωματώνει και να εφαρμόζει κατάλληλα μέτρα και να χρησιμοποιεί τεχνολογίες ενίσχυσης της ιδιωτικότητας, όπως ψευδωνυμοποίηση Δεδομένων το συντομότερο δυνατόν (δηλ. αντικατάσταση προσωπικά ταυτοποιήσιμων πληροφοριών με τεχνητά αναγνωριστικά στοιχεία), κρυπτογράφηση (κωδικοποίηση Δεδομένων έτσι ώστε μόνο όσοι είναι εξουσιοδοτημένοι να μπορούν να τα διαβάζουν), ελαχιστοποίηση της επεξεργασίας των Δεδομένων και ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία, κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του GDPR και να προστατεύονται τα δικαιώματα των Υποκειμένων των δεδομένων.

Προστασία Δεδομένων «ήδη από τον σχεδιασμό» σημαίνει ότι οι εταιρείες/φορείς πρέπει να εφαρμόζουν τεχνικά και οργανωτικά μέτρα, στα αρχικά στάδια του σχεδιασμού των πράξεων επεξεργασίας, με τέτοιον τρόπο ώστε να διασφαλίζονται οι αρχές ιδιωτικού απορρήτου και προστασίας Δεδομένων ήδη από την αρχή.

Κατά την ανάπτυξη, τον σχεδιασμό, την επιλογή και τη χρήση εφαρμογών, υπηρεσιών και προϊόντων που βασίζονται στην επεξεργασία Δεδομένων ή όταν επεξεργάζονται Δεδομένα για την εκπλήρωση του έργου τους, οι παραγωγοί προϊόντων, υπηρεσιών και εφαρμογών πρέπει να λαμβάνουν υπόψη τους το δικαίωμα προστασίας των Δεδομένων, ώστε, συνεκτιμώντας τις τελευταίες εξελίξεις της τεχνολογίας, να διασφαλίζεται ότι οι Υπεύθυνοι Επεξεργασίας και οι Εκτελούντες την

Επεξεργασία θα είναι σε θέση να εκπληρώνουν τις υποχρεώσεις τους όσον αφορά την προστασία των Δεδομένων.

Προστασία Δεδομένων «εξ’ ορισμού» σημαίνει ότι οι εταιρείες/ φορείς θα πρέπει να διασφαλίζουν ότι τα Δεδομένα υποβάλλονται σε επεξεργασία με το υψηλότερο επίπεδο προστασίας της ιδιωτικής ζωής (π.χ. μόνο τα απαραίτητα Δεδομένα πρέπει να υποβάλλονται σε επεξεργασία, σύντομη περίοδος αποθήκευσης, περιορισμένη προσβασιμότητα) έτσι ώστε εξ ορισμού τα Δεδομένα να μην είναι προσβάσιμα από αόριστο αριθμό φυσικών προσώπων.

Σύμφωνα με την αρχή της προστασίας των Δεδομένων εξ ορισμού, ο Υπεύθυνος Επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, εξασφαλίζεται η ιδιωτικότητα και υφίστανται επεξεργασία μόνο τα Δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των Δεδομένων που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα Δεδομένα δεν καθίστανται προσβάσιμα, χωρίς την παρέμβαση φυσικού προσώπου, σε αόριστο αριθμό φυσικών προσώπων.

Για παράδειγμα, μια πλατφόρμα κοινωνικής δικτύωσης θα πρέπει να ενθαρρύνεται να ορίζει τις ρυθμίσεις των προφίλ των χρηστών έτσι ώστε να προστατεύεται, όσο το δυνατόν περισσότερο, το ιδιωτικό απόρρητο, όπως όταν περιορίζεται από την αρχή η προσβασιμότητα στα προφίλ των χρηστών για να μην είναι προσβάσιμα εξ ορισμού από αόριστο αριθμό ατόμων.

Τέλος, ένα μέτρο το οποίο ανταποκρίνεται στις αρχές της προστασίας των Δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού είναι και η διαφάνεια όσον αφορά τις λειτουργίες και την επεξεργασία των Δεδομένων, ώστε να μπορεί το Υποκείμενο να παρακολουθεί την επεξεργασία των Δεδομένων του και να είναι σε θέση ο Υπεύθυνος Επεξεργασίας να δημιουργεί και να βελτιώνει τα χαρακτηριστικά ασφάλειας.

11 | Με ποιον πρακτικό τρόπο υλοποιείται η προστασία Δεδομένων «ήδη από τον σχεδιασμό»;

Με τη χρήση ψευδωνυμοποίησης (αντικατάσταση προσωπικά ταυτοποιήσιμου υλικού με τεχνητά αναγνωριστικά στοιχεία) και κρυπτογράφησης (κωδικοποίηση μηνυμάτων έτσι ώστε μόνο όσοι είναι εξουσιοδοτημένοι να μπορούν να τα διαβάζουν)

[Άρθρο 25 παρ. 1 και αιτιολογική σκέψη 78 του GDPR].

12 | Με ποιον πρακτικό τρόπο υλοποιείται η προστασία Δεδομένων «εξ ορισμού»;

Πλατφόρμα κοινωνικής δικτύωσης ενθαρρύνεται να ορίζει τις ρυθμίσεις των προφίλ των χρηστών με τέτοιον τρόπο ώστε να προστατεύουν όσο το δυνατόν περισσότερο το ιδιωτικό απόρρητο περιορίζοντας από την αρχή την προσβασιμότητα στα προφίλ των χρηστών έτσι ώστε να μην είναι προσβάσιμα εξ ορισμού από αόριστο αριθμό ατόμων και προβλέποντας μια σύντομη περίοδο αποθήκευσης των εν λόγω δεδομένων. Αυτό συνεπάγεται ότι μόνο τα απαραίτητα Δεδομένα υποβάλλονται σε επεξεργασία, υπάρχει σύντομη περίοδος αποθήκευσής τους και περιορισμένη προσβασιμότητα σε αυτά.

[Άρθρο 25 παρ. 2 και αιτιολογική σκέψη 78 του GDPR].

13 | Επηρεάζονται οι μικρές επιχειρήσεις από την εφαρμογή του GDPR;

Όλες οι επιχειρήσεις, ακόμα και οι μικρές, που επεξεργάζονται Δεδομένα φυσικών προσώπων οφείλουν να συμμορφώνονται με τον Κανονισμό.

14 | Γιατί είναι σημαντικό οι επιχειρήσεις που δεν έχουν ακόμα συμμορφωθεί στις επιταγές του GDPR να ξεκινήσουν έναν προγραμματισμό προς αυτή την κατεύθυνση;

Κάνοντας το επόμενο βήμα στη συμμόρφωση με τον Κανονισμό, οι επιχειρήσεις δείχνουν ότι σέβονται τα Δεδομένα των πελατών τους και αποκτούν ανταγωνιστικό πλεονέκτημα.

Από την άλλη, αν δεν επιχειρήσουν αυτό το βήμα ενδέχεται να έρθουν αντιμέτωπες με άμεσες απώλειες, όπως πρόστιμα, αλλά και μακροπρόθεσμες, όπως ο κλονισμός της εμπιστοσύνης των πελατών τους και κατ’ επέκταση ζημίες στις πωλήσεις και στη φήμη τους.

Εξάλλου, ο σεβασμός στην προστασία των Δεδομένων σχετίζεται άμεσα με την εμπιστοσύνη πελατών, προμηθευτών και εργαζομένων και κατ’ επέκταση με τη φήμη της επιχείρησης.

15 | Τι πρέπει να κάνουν οι μικρές και μεσαίες επιχειρήσεις για να συμμορφωθούν με τον GDPR; Τι συστήνεται να ακολουθήσουν προκειμένου να αποφύγουν «περιπέτειες» σε περίπτωση που τους γίνει έλεγχος από την αρμόδια εποπτική αρχή ή υπάρξουν καταγγελίες σε βάρος τους από εργαζόμενους ή πελάτες τους;

Οι μικρές και μεσαίες επιχειρήσεις ως υπεύθυνες επεξεργασίας συστήνεται να προβούν στα εξής:

1) Διαμόρφωση συνείδησης προστασίας Δεδομένων στην επιχείρηση (awareness). Τούτο προϋποθέτει ενημέρωση όχι μόνο της διοίκησης (management) αλλά και όλου του προσωπικού για το ότι ο Κανονισμός επιφέρει αλλαγές στην προστασία των Δεδομένων και κατ’ επέκταση, ενδεχομένως, και στη λειτουργία της επιχείρησης. Συνεπώς, όλοι οι εργαζόμενοι επιβάλλεται να γνωρίζουν, στο βαθμό που είναι αναγκαίο για την ορθή άσκηση των καθηκόντων τους, τί επιτρέπεται και τί απαγορεύεται, τί είναι υποχρεωτικό και τί προαιρετικό, με βάση τον Κανονισμό. Ακόμη και αν όλα τα τεχνικά μέτρα προστασίας που η επιχείρηση εφαρμόζει είναι άψογα, εφόσον δεν υπάρξει ευαισθητοποίηση και κινητοποίηση του ανθρώπινου δυναμικού της, θα ανακύπτουν συνεχώς προβλήματα συμμόρφωσης.

2) Χαρτογράφηση των δεδομένων, τα οποία η επιχείρηση επεξεργάζεται, τις πηγές από τις οποίες τα αντλεί και τους αποδέκτες τους.

3) Αναθεώρηση της πολιτικής απορρήτου (γνωστή και ως πολιτική προστασίας δεδομένων, privacy notice) ώστε να είναι συμβατή με τις διατάξεις του Κανονισμού.

4) Έλεγχος των υφιστάμενων διαδικασιών της επιχείρησης ώστε να εξακριβωθεί αν και κατά πόσο διασφαλίζουν την υλοποίηση των νέων καθώς και των ήδη υφιστάμενων αλλά ενισχυμένων πλέον από τον Κανονισμό δικαιωμάτων των Υποκειμένων των δεδομένων. Πρόκειται για τα:

– δικαίωμα ενημέρωσης

– δικαίωμα πρόσβασης

– δικαίωμα διόρθωσης

– δικαίωμα διαγραφής («δικαίωμα στη λήθη»)

– δικαίωμα στον περιορισμό της επεξεργασίας

– δικαίωμα στη φορητότητα των δεδομένων

– δικαίωμα εναντίωσης.

Εφίσταται η προσοχή στην άσκηση του δικαιώματος πρόσβασης του Υποκειμένου διότι η προθεσμία απάντησης είναι μόνο ένας μήνας. Σε περίπτωση άρνησης ικανοποίησης των δικαιωμάτων των Υποκειμένων, το Υποκείμενο των Δεδομένων

έχει το δικαίωμα να υποβάλει καταγγελία στην αρμόδια εποπτική αρχή (ΑΠΔΠΧ) και να προσφύγει δικαστικά κατά του υπευθύνου επεξεργασίας, ζητώντας αποζημίωση.

5) Έλεγχος αν έχουν υιοθετηθεί τα κατάλληλα οργανωτικά και τεχνικά μέτρα προκειμένου η επιχείρηση να μπορεί αμέσως και ευχερώς να ανταποκρίνεται σε αιτήματα των Υποκειμένων των Δεδομένων για πρόσβαση σ’ αυτά, ιδίως μάλιστα αν αναμένονται πολλά τέτοια αιτήματα.

16 | Πώς αποδεικνύεται ότι εταιρεία ή φορέας συμμορφώνονται με τον GDPR;

Η αρχή της λογοδοσίας συνιστά ακρογωνιαίο λίθο του GDPR. Σύμφωνα με το υφιστάμενο νομικό πλαίσιο, εταιρείες και φορείς οφείλουν να συμμορφώνονται με όλες τις αρχές προστασίας Δεδομένων καθώς και να αποδεικνύουν τη συμμόρφωση αυτή. Ο GDPR παρέχει μια σειρά εργαλείων για να βοηθά να αποδεικνύεται η λογοδοσία των εταιρειών ή φορέων, ορισμένα εκ των οποίων πρέπει να τίθενται σε εφαρμογή υποχρεωτικά.

Για παράδειγμα, σε ορισμένες περιπτώσεις ο διορισμός DPO ή η διεξαγωγή εκτιμήσεων αντικτύπου σχετικά με την προστασία Δεδομένων (DPIA) μπορεί να είναι υποχρεωτικά. Οι Υπεύθυνοι Επεξεργασίας και οι Εκτελούντες την Επεξεργασία μπορούν να επιλέξουν να χρησιμοποιήσουν άλλα εργαλεία, π.χ. κώδικες δεοντολογίας και μηχανισμούς πιστοποίησης, για την απόδειξη της συμμόρφωσης με τις αρχές προστασίας δεδομένων.

Εργαλείο λογοδοσίας μπορεί να συνιστά ένας κώδικας δεοντολογίας που έχει καταρτισθεί από επιχειρηματική ένωση και έχει εγκριθεί από μια Αρχή Προστασίας Δεδομένων. Ένας κώδικας δεοντολογίας μπορεί να τεθεί σε ισχύ σε όλη την Ε.Ε. μέσω αντίστοιχης εκτελεστικής πράξης της Επιτροπής. Επί παραδείγματι, ο γενικός ασφαλιστικός φορέας στο κράτος μέλος της Ε.Ε. στο οποίο εδρεύει η εταιρεία ή ο φορέας διαθέτει κώδικα δεοντολογίας που έχει εγκριθεί από την εποπτική αρχή. Ορισμένες ανταγωνίστριες ασφαλιστικές εταιρείες έχουν υιοθετήσει τον εν λόγω κώδικα. Παρόλο που η τήρηση του κώδικα είναι προαιρετική, συμβάλλει στην απόδειξη της συμμόρφωσής τους με τον GDPR.

Ένα άλλο εργαλείο λογοδοσίας που προβλέπεται στον GDPR είναι ο μηχανισμός πιστοποίησης που θα εφαρμόζεται από έναν από τους φορείς πιστοποίησης που θα λάβουν διαπίστευση από Αρχή Προστασίας Δεδομένων ή εθνικό οργανισμό διαπίστευσης ή και τα δύο, όπως ορίζεται στη νομοθεσία κάθε κράτους μέλους της Ε.Ε. Το άρθρο 42 παράγραφος 1 GDPR προβλέπει ότι μηχανισμοί πιστοποίησης θεσπίζονται «με σκοπό την απόδειξη της συμμόρφωσης προς τον παρόντα

κανονισμό των πράξεων επεξεργασίας από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία».

Τόσο οι κώδικες δεοντολογίας όσο και η πιστοποίηση είναι προαιρετικά μέσα και για αυτόν τον λόγο εξαρτάται από την εταιρεία ή τον φορέα να αποφασίσει εάν θα τηρεί έναν συγκεκριμένο κώδικα δεοντολογίας ή εάν θα ζητήσει πιστοποίηση.

Να τονιστεί ότι, παρόλο που η εταιρεία ή ο φορέας οφείλουν και πάλι να τηρούν και να συμμορφώνονται με τον GDPR, η τήρηση τέτοιων μέσων μπορεί να λαμβάνεται υπόψη στην περίπτωση λήψης μέτρου επιβολής του νόμου εναντίον τους σε περίπτωση παραβίαση του GDPR.

17 | Τί είδους κυρώσεις δύναται να επιβάλει η ΑΠΔΠΧ όταν διαπιστώσει παραβάσεις διατάξεων του GDPR;

Σύμφωνα με το άρθρο 58 παρ. 2 του GDPR: «Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες:

α) να απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν διατάξεις του παρόντος κανονισμού,

β) να απευθύνει επιπλήξεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του παρόντος κανονισμού,

γ) να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφώνεται προς τα αιτήματα του υποκειμένου των Δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τον παρόντα κανονισμό,

δ) να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να καθιστούν τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του παρόντος κανονισμού, εάν χρειάζεται, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας,

ε) να δίνει εντολή στον υπεύθυνο επεξεργασίας να ανακοινώνει την παραβίαση Δεδομένων στο Υποκείμενο,

στ) να επιβάλλει προσωρινό ή οριστικό περιορισμό, περιλαμβανομένης της απαγόρευσης της επεξεργασίας,

ζ) να δίνει εντολή διόρθωσης ή διαγραφής Δεδομένων ή περιορισμού της επεξεργασίας δυνάμει των άρθρων 16, 17 και 18 και εντολή κοινοποίησης των ενεργειών αυτών σε αποδέκτες στους οποίους τα Δεδομένα προσωπικού χαρακτήρα γνωστοποιήθηκαν δυνάμει του άρθρου 17 παράγραφος 2 και του άρθρου 19,

η) να αποσύρει την πιστοποίηση ή να διατάξει τον οργανισμό πιστοποίησης να αποσύρει ένα πιστοποιητικό εκδοθέν σύμφωνα με τα άρθρα 42 και 43 ή να διατάξει τον οργανισμό πιστοποίησης να μην εκδώσει πιστοποίηση, εφόσον οι απαιτήσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον,

θ) να επιβάλλει διοικητικό πρόστιμο δυνάμει του άρθρου 83, επιπλέον ή αντί των μέτρων που αναφέρονται στην παρούσα παράγραφο, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης,

ι) να δίνει εντολή για αναστολή της κυκλοφορίας Δεδομένων σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό».

18 | Για τι πρόστιμα μιλάμε;

Ο GDPR επιτρέπει πρόστιμα έως 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου τζίρου της επιχείρησης.

Εξαρτάται πάντα από το μέγεθος της επιχείρησης, το μέγεθος της παραβίασης και την επίπτωση που η εν λόγω παραβίαση είχε στα Δεδομένα των Υποκειμένων καθώς και τις κινήσεις που έκανε ο Υπεύθυνος Επεξεργασίας για να μετριάσει ή να σταματήσει την παραβίαση.

Ειδικότερα, τα διοικητικά πρόστιμα κατά το άρθρο 83 του GDPR, φτάνουν, στις ελαφρότερες παραβάσεις (παραβιάσεις κυρίως ως προς τις υποχρεώσεις του Yπευθύνου Eπεξεργασίας και του Eκτελούντος την Eπεξεργασία), έως 10.000.000 ευρώ ή, σε περίπτωση επιχειρήσεων, το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο, ενώ σε βαρύτερες παραβάσεις (όπως αυτές που έχουν να κάνουν με τα δικαιώματα των υποκειμένων των δεδομένων, καθώς με την, όπου απαιτείται, απαραίτητη συναίνεσή τους για την επεξεργασία) τα διοικητικά πρόστιμα φτάνουν έως 20.000.000 ευρώ ή, σε περίπτωση επιχειρήσεων, το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

Σύμφωνα δε, με το άρθρο 39 παρ. 1 του νέου Ν 4624/2019, η Αρχή μπορεί να επιβάλει στους φορείς του δημοσίου τομέα, για παραβάσεις υπό την ιδιότητά τους ως υπεύθυνων επεξεργασίας Δεδομένων, διοικητικό πρόστιμο έως δέκα εκατομμύρια (10.000.000) ευρώ.

19 | Δύναται να επιβληθεί πρόστιμο για παραβιάσεις ελάσσονος σημασίας;

Η αιτιολογική σκέψη 148 εισάγει την έννοια των «παραβάσεων ελάσσονος σημασίας». Τέτοιες παραβάσεις ενδέχεται να συνιστούν παράβαση μίας ή περισσότερων

από τις διατάξεις του κανονισμού που απαριθμούνται στο άρθρο 83 παράγραφος 4 ή 5. Η αξιολόγηση των κριτηρίων στο άρθρο 83 παράγραφος 2 μπορεί ωστόσο να οδηγήσει την εποπτική αρχή στο συμπέρασμα ότι στις συγκεκριμένες περιστάσεις, η παράβαση π.χ. δεν συνιστά σημαντικό κίνδυνο για τα δικαιώματα των οικείων Υποκειμένων των Δεδομένων και δεν επηρεάζει την ουσία της εν λόγω υποχρέωσης. Σε τέτοιες περιπτώσεις, το πρόστιμο μπορεί να αντικατασταθεί με επίπληξη (ωστόσο όχι πάντα).

Η αιτιολογική σκέψη 148 δεν περιέχει υποχρέωση των εποπτικών αρχών να αντικαθιστούν πάντα το πρόστιμο με επίπληξη σε περίπτωση παράβασης ελάσσονος σημασίας («θα μπορούσε να επιβληθεί επίπληξη αντί προστίμου»), αλλά προβλέπει τη δυνατότητα αντικατάστασης, ύστερα από συγκεκριμένη αξιολόγηση όλων των περιστατικών της υπόθεσης.

Η αιτιολογική σκέψη 148 προβλέπει την ίδια δυνατότητα αντικατάστασης του προστίμου με επίπληξη, σε περίπτωση που ο Υπεύθυνος Επεξεργασίας των Δεδομένων είναι φυσικό πρόσωπο και το πρόστιμο που ενδέχεται να επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση. Σημείο εκκίνησης είναι η αξιολόγηση από την εποπτική αρχή του κατά πόσο είναι απαραίτητη η επιβολή προστίμου, λαμβανομένων υπόψη των περιστάσεων της περίπτωσης. Αν η εποπτική αρχή αποφανθεί υπέρ της επιβολής προστίμου, τότε πρέπει επίσης να αξιολογήσει κατά πόσο το πρόστιμο που θα επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση για ένα φυσικό πρόσωπο.

(Κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του Κανονισμού 2016/679, Wp253)

20 | Έχουν επιβληθεί πρόστιμα στην Ελλάδα;

Βεβαίως έχουν επιβληθεί πρόστιμα και αναμένονται να επιβληθούν και στο άμεσο μέλλον. Μάλιστα, το συνολικό ποσό των προστίμων που επιβλήθηκαν από την Αρχή στο χρονικό διάστημα 25/5/2018 – 3/2/2020 ανέρχεται σε 1.397.000 ευρώ. Εξ αυτών τα πρόστιμα που αφορούν αυστηρά διατάξεις του GDPR ανέρχονται στο ποσό των 715.000 ευρώ.

Για παράδειγμα ήδη κατά την έναρξη ισχύος του GDPR, το 2018, αναφέρονται ενδεικτικά ότι έχουν επιβληθεί τα εξής πρόστιμα: σε μεγάλη δικηγορική εταιρεία επιβλήθηκε πρόστιμο 50.000 ευρώ για παράνομη λειτουργία συστήματος βιντεοεπιτήρησης στις εγκαταστάσεις της με βάση την υπ’ αρ. 41/2018 απόφαση ΑΠΔΠΧ ενώ την ίδια χρονιά, με τις υπ’ αρ. 60, 61, 62 και 63/2018 αποφάσεις της ΑΠΔΠΧ, είχαν επιβληθεί πρόστιμα ύψους εκατόν πενήντα χιλιάδων (150.000) Ευρώ σε κάθε έναν από τους παρόχους Τηλεπικοινωνιών για την πραγματοποίηση μη νόμιμων

τηλεφωνικών κλήσεων. Η Αρχή, για το σύνολο των ανωτέρω παραβάσεων, επέβαλε στην κάθε εταιρεία πρόστιμο εκατόν πενήντα χιλιάδων (150.000), το οποίο αποτελεί το μέγιστο δυνατό πρόστιμο σύμφωνα με την προ του GDPR νομοθεσία, με δεδομένο ότι οι συγκεκριμένες παραβάσεις ανάγονται στην περίοδο πριν την εφαρμογή του.

Το 2019 σε Υπεύθυνο Επεξεργασίας επιβλήθηκε πρόστιμο ύψους είκοσι χιλιάδων (20.000) Ευρώ και δέκα χιλιάδων (10.000) Ευρώ στον Εκτελούντα την Επεξεργασία για λογαριασμό του Υπεύθυνου Επεξεργασίας για παράνομη επεξεργασία ευαίσθητων προσωπικών Δεδομένων και διαρροή στο διαδίκτυο αφού δεν λήφθηκαν τα απαιτούμενα από το νόμο μέτρα ασφαλείας δυνάμει της υπ’ αρ. 7/2019 απόφασης της ΑΠΔΠΧ.

Την ίδια χρονιά η Αρχή με την υπ’ αρ. 19/2019 απόφασή της επέβαλε πρόστιμο δύο χιλιάδων (2.000) Ευρώ σε υποψήφιο ευρωβουλευτή, για παραβίαση του άρθρου 11 του Ν 3471/2006 λόγω αποστολής αζήτητης πολιτικής επικοινωνίας, μέσω ηλεκτρονικού ταχυδρομείου, χωρίς να συντρέχει καμία εκ των προϋποθέσεων νομιμότητας για την εν λόγω επεξεργασία. Συγκεκριμένα, ο καταγγελλόμενος συνέλεξε την ηλεκτρονική διεύθυνση της παραλήπτριας από το διαδίκτυο, χωρίς να έχει προϋπάρξει καμία επικοινωνία μαζί της.

Η Αρχή έγινε αποδέκτης καταγγελιών συνδρομητών τηλεφωνίας Παρόχου Τηλεπικοινωνιών οι οποίοι, αν και είχαν εγγραφεί στο μητρώο αντιρρήσεων («opt-out») του άρθρου 11 του Ν 3471/2006 του παρόχου τους, είχαν λάβει τηλεφωνικές κλήσεις από τρίτες εταιρείες για σκοπούς προώθησης προϊόντων και υπηρεσιών. Όπως διαπιστώθηκε, οι εν λόγω συνδρομητές είχαν υποβάλει αίτημα φορητότητας για τη μεταφορά της τηλεφωνικής τους σύνδεσης σε άλλο πάροχο. Στο πλαίσιο της ενέργειας αυτής, ο ελεγχόμενος Πάροχος Τηλεπικοινωνιών διέγραψε τα στοιχεία τους από το μητρώο. Ωστόσο, όταν οι συγκεκριμένοι συνδρομητές ακύρωσαν το αίτημα φορητότητας, δεν υπήρχε ορθή διαδικασία για την ακύρωση της διαγραφής τους. Οι συνδρομητές εμφανίζονταν μεν ως εγγεγραμμένοι στο μητρώο στην εσωτερική εφαρμογή πελατειακών σχέσεων, αλλά οι τηλεφωνικοί αριθμοί τους δεν περιλαμβάνονταν στο μητρώο που έστελνε ο Πάροχος Τηλεπικοινωνιών στις διαφημιζόμενες εταιρείες. Η Αρχή διαπίστωσε ότι το περιστατικό αυτό επηρέασε μεγάλο αριθμό φυσικών προσώπων συνδρομητών και, με την υπ’ αρ. 31/2019 απόφασή της, επέβαλε στον Πάροχο Τηλεπικοινωνιών διοικητικό πρόστιμο ύψους 200.000 ευρώ.

Η Αρχή, με την υπ’ αρ. 26/2019 απόφασή της, διερεύνησε αυτεπαγγέλτως τη νομιμότητα της επεξεργασίας των προσωπικών Δεδομένων των εργαζομένων ανώνυμης εταιρείας, με αφορμή καταγγελία σύμφωνα με την οποία οι εργαζόμενοι εξαναγκάσθηκαν στην παροχή συγκατάθεσης προκειμένου να λάβει χώρα επεξεργασία

προσωπικών Δεδομένων για τρεις σκοπούς. Η Αρχή έκρινε ότι η εταιρεία: α) υπέβαλε σε μη σύννομη επεξεργασία τα Δεδομένα προσωπικού χαρακτήρα των εργαζομένων της, καθώς εφάρμοσε ακατάλληλη νομική βάση (συγκατάθεση) αντί των κατάλληλων νομικών βάσεων της εκτέλεσης της σύμβασης, της συμμόρφωσης με έννομη υποχρέωση και του υπέρτερου έννομου συμφέροντος, β) υπέβαλε σε μη θεμιτή επεξεργασία τα προσωπικά Δεδομένα των εργαζομένων της, καθώς τους δημιούργησε την εσφαλμένη εντύπωση ότι τα επεξεργάζεται κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης, ενώ στην πράξη τα επεξεργάσθηκε με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι, γ) ως Υπεύθυνος Επεξεργασίας, αν και έφερε την ευθύνη, δεν ήταν σε θέση να τηρήσει και να αποδείξει τη συμμόρφωση με τις αρχές της επεξεργασίας δεδομένων, επιπλέον δε, μετέφερε το βάρος της συμμόρφωσης στους εργαζομένους. Η Αρχή αποφάσισε να ασκήσει τις διορθωτικές της εξουσίες με την επιβολή διορθωτικών μέτρων κι συγκεκριμένα, όπως εντός τριών (3) μηνών από την παραλαβή της απόφασης, ενημερώνοντας την Αρχή: i. να καταστήσει τις πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της σύμφωνες με τις διατάξεις του GDPR και ii. να αποκαταστήσει την ορθή εφαρμογή των διατάξεων του GDPR που παραβίασε. Περαιτέρω, επέβαλε και χρηματικό πρόστιμο ύψους εκατόν πενήντα (150.000) Ευρώ ως αποτελεσματική, αναλογική και αποτρεπτική διοικητική κύρωση.

Στην υπ’ αρ. 38/2019 απόφαση, η Αρχή συνεξέτασε 6 καταγγελίες σχετικά με τη λήψη αζήτητων τηλεφωνικών κλήσεων με σκοπό την προώθηση προϊόντων και υπηρεσιών από Πάροχο Τηλεπικοινωνιών. Έκρινε ότι ο Πάροχος Τηλεπικοινωνιών αποτελεί τον υπεύθυνο επεξεργασίας για τις δραστηριότητες των τηλεφωνικών κλήσεων που διενεργούνται από συνεργαζόμενες εταιρείες (call center) ακόμα κι αν αυτή δεν παρέχει τους προς κλήση αριθμούς, καθώς καθορίζει πλήρως τον σκοπό της επεξεργασίας και τα ουσιώδη στοιχεία του τρόπου επεξεργασίας. Περαιτέρω, με την απόφαση κρίθηκε ότι η δραστηριότητα έρευνας αγοράς μέσω τηλεφωνικών κλήσεων, που καταλήγει σε ερώτημα σχετικά με συγκατάθεση στη μελλοντική λήψη διαφημιστικών κλήσεων, με τον τρόπο που έχει υλοποιηθεί, αποτελεί και αυτή δραστηριότητα για σκοπό προώθησης προϊόντων και υπηρεσιών, συνεπώς ως προς αυτή εφαρμόζονται οι διατάξεις του άρθρου 11 του Ν 3471/2006. Η Αρχή επέβαλε τις κυρώσεις της επίπληξης, προειδοποίησης και προστίμου (συνολικού ύψους είκοσι (20.000) χιλιάδων Ευρώ για δύο παραβάσεις) στον Πάροχο Τηλεπικοινωνιών και την κύρωση της επίπληξης στην εκτελούσα την επεξεργασία εταιρεία.

Σύμφωνα με την υπ’ αρ. 43/2019 απόφαση ΑΠΔΠΧ, εργοδότρια εταιρεία, έχουσα υπόνοιες ότι ανώτερο στέλεχος της διοίκησής της προέβη σε παράνομες πράξεις σε βάρος των συμφερόντων της, διενήργησε έλεγχο και ανέκτησε διαγραμμένα

e-mails από τον διακομιστή (server) της. Η εταιρεία είχε συμμορφωθεί προς τις επιταγές του GDPR και προβλεπόταν, από τις εσωτερικές πολιτικές και κανονισμούς της, η απαγόρευση χρήσης των εταιρικών μέσων ηλεκτρονικών επικοινωνιών και δικτύων για ιδιωτικούς σκοπούς, καθώς και η δυνατότητα διενέργειας εσωτερικών ελέγχων. Αντίθετα, το κλειστό κύκλωμα βιντεοεπιτήρησης είχε εγκατασταθεί και λειτουργούσε παράνομα, το δε καταγραφέν υλικό που προσκομίσθηκε στην Αρχή δεν ελήφθη υπόψη σύμφωνα με το άρθρο 19 παρ. 3 Σ. Εξάλλου, η εταιρεία δεν ικανοποίησε το δικαίωμα πρόσβασης του εργαζομένου στα Δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονταν στον εταιρικό προσωπικό υπολογιστή που χρησιμοποιούσε. Η Αρχή επέβαλε στην εταιρεία πρόστιμο 15.000 ευρώ για μη νόμιμη εγκατάσταση και λειτουργία συστήματος βιντεοεπιτήρησης και για περαιτέρω επεξεργασία του σχετικού υλικού.

Η ΑΠΔΠΧ, με την υπ’ αρ. 44/2019 απόφαση, έκρινε ότι ναυτιλιακή εταιρεία προέβη σε παράνομη πρόσβαση και αντιγραφή του συνόλου του περιεχομένου ­διακομιστή (server) που περιελάμβανε Δεδομένα προσωπικού χαρακτήρα και τον οποίο χρησιμοποιούσαν από κοινού εργαζόμενοι τόσο της ανωτέρω εταιρείας αλλά και άλλων εταιρειών του ίδιου Ομίλου όσο και εργαζόμενοι εταιρειών εκτός Ομίλου. Στο πλαίσιο αυτό, έδωσε εντολή στην εταιρεία όπως εντός τριών (3) μηνών από την παραλαβή της απόφασης, ενημερώνοντας την Αρχή:

i. να καταστήσει σύμφωνες με τις διατάξεις του GDPR τις πράξεις επεξεργασίας των Δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται τόσο στη χρησιμοποιούμενη όσο και στην αντιγραφείσα υπολογιστική υποδομή.

ii. να λάβει όλα τα αναγκαία μέτρα εσωτερικής συμμόρφωσης και λογοδοσίας προς τις αρχές του άρθρου 5 παρ. 1 και παρ. 2 σε συνδυασμό με το άρθρο 6 παρ. 1 GDPR.

Επιπλέον των ανωτέρω, επέβαλε στην εταιρεία διοικητικό χρηματικό πρόστιμο ύψους εκατόν πενήντα χιλιάδων (150.000) Ευρώ.

Περαιτέρω, δυνάμει της υπ’ αρ. 2/2020 απόφασης ΑΠΔΠΧ, επεβλήθη σε Εταιρεία Ενέργειας, διοικητικό χρηματικό πρόστιμο ύψους πέντε χιλιάδων (5.000,00) ευρώ, για την μη ικανοποίηση δικαιώματος πρόσβασης Υποκειμένου καθώς δεν απάντησε στην καταγγέλλουσα εντός μηνός από την παραλαβή του αιτήματος και δεν ενημέρωσε, ως όφειλε, την καταγγέλλουσα εντός μηνός από την παραλαβή του αιτήματος, για την αδυναμία άμεσης ανταπόκρισης και ικανοποίησης του αιτήματός της καθώς και για τους λόγους καθυστέρησης, ζητώντας περαιτέρω παράταση της προθεσμίας, κατά παράβαση των διατάξεων του άρθρου 12 παρ. 3 και 4 του ΓΚΠ∆. Η ίδια παράβαση, δηλαδή της καθυστερημένης απάντησης της Εταιρείας Ενέργειας ως υπευθύνου επεξεργασίας μετά την παρέλευση ενός μηνός

από την παραλαβή του αιτήματος διαπιστώθηκε με την προγενέστερη υπ’ αρ. 15/2019 απόφαση της Αρχής.

Σε εταιρεία επεβλήθη διοικητικό χρηματικό πρόστιμο ύψους πέντε χιλιάδων (5.000,00) ευρώ, με βάση την υπ’ αρ. 3/2020 απόφαση της Αρχής, για την μη ικανοποίηση δικαιώματος πρόσβασης του Υποκειμένου στο σύστημα βιντεοεπιτήρησης, δεδομένου ότι ακόμα κι αν το καταγραφικό του συστήματος ήταν εκτός λειτουργίας, ο Υπεύθυνος Επεξεργασίας όφειλε, με βάση τη διάταξη του άρθρου 12 παρ. 1 του Ν 2472/1997 να απαντήσει στον καταγγέλλοντα εάν Δεδομένα προσωπικού χαρακτήρα που τον αφορούν αποτέλεσαν αντικείμενο επεξεργασίας, έστω και αρνητικά, εντός της προθεσμίας των δεκαπέντε ημερών, πράγμα το οποίο η Εταιρεία έπραξε ετεροχρονισμένα. Η Αρχή έκρινε ότι εφαρμοστέος εν προκειμένω δεν είναι ο GDPR, καθώς η πιθανολογούμενη παράβαση τελέστηκε σε προγενέστερο της εφαρμογής του χρόνο, και εφαρμοστέος είναι ο Ν 2472/1997 του οποίου το δικαίωμα πρόσβασης παραβιάστηκε με την πάροδο του 15ημέρου απάντησης.

Το 2020 επεβλήθη επίσης πρόστιμο ύψους δύο χιλιάδων πεντακοσίων (2.500) Ευρώ σε υποψήφια δημοτική σύμβουλο με την υπ’ αρ. 10/2020 απόφαση της ΑΠΔΠΧ καθώς και πρόστιμο χιλίων (1.000) Ευρώ σε υποψήφιο Ευρωβουλευτή δυνάμει της 17/2020 απόφασης της ΑΠΔΠΧ.

Με την υπ’ αρ. 18/2020 απόφαση, επεβλήθη πρόστιμο ύψους πέντε χιλιάδων (5.000,00) ευρώ για μη σύννομη επεξεργασία και μη τήρηση της υποχρέωσης λογοδοσίας σε κολλέγιο, σε συνέχεια καταγγελίας για στοχευμένη τηλεφωνική επικοινωνία με την οποία πρότεινε στον καταγγέλλοντα τη συμμετοχή του σε επιδοτούμενο από τον ΟΑΕΔ σεμινάριο που απευθύνεται σε ανέργους.

Τέλος, πρόστιμο 8.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε ιδιώτη για μη σύννομη επεξεργασία δεδομένων μέσω συστήματος βιντεοεπιτήρησης εγκατεστημένο σε κατοικία. Με την υπ’ αριθμ. 30/2020 απόφασή της η Αρχή έδωσε εντολή να καταστούν οι πράξεις επεξεργασίας σύμφωνες με τις σχετικές διατάξεις περί προστασίας δεδομένων. Η υπόθεση έφτασε ενώπιον της Αρχής έπειτα από καταγγελία τριών φυσικών προσώπων και μίας εταιρείας, οι οποίοι κατήγγειλαν στην Αρχή την παρακολούθηση επί 24ώρου της ιδιοκτησίας τους καθώς και του δρόμου προς την ιδιοκτησία τους με παράνομα οπτικοακουστικά μέσα και ειδικότερα μέσω περιστροφικής κάμερας συστήματος βιντεοεπιτήρησης από τον Ε, ιδιοκτήτη όμορης ιδιοκτησίας.

21 | Πέραν των χρηματικών προστίμων έχουν επιβληθεί και άλλου είδους κυρώσεις;

Φυσικά και έχουν επιβληθεί και άλλου είδους κυρώσεις, πέραν των χρηματικών προστίμων από την ΑΠΔΠΧ, οι οποίες κυμαίνονται από προειδοποιήσεις, επιπλήξεις μέχρι και επιβολή διορθωτικών μέτρων, όπως είναι οι συστάσεις, ώστε οι Υπεύθυνοι Επεξεργασίας, μέσα σε εύλογο χρόνο να συμμορφωθούν προς τις υποδείξεις της Αρχής για νόμιμη επεξεργασία των Δεδομένων των Υποκειμένων που επηρεάστηκαν από την μη σύννομη πρότερη δραστηριότητά τους.

Ενδεικτικά, αναφέρονται οι κάτωθι αποφάσεις, δυνάμει των οποίων είτε σωρευτικά με το χρηματικό πρόστιμο είτε αυτούσια επεβλήθησαν τέτοιες κυρώσεις σε Υπεύθυνους επεξεργασίας:

Ουσιαστικής σημασίας είναι οι αποφάσεις 18/2016 και 80/2016 της ΑΠΔΠΧ, σύμφωνα με τις οποίες η Αρχή απηύθυνε προειδοποίηση σε εταιρείες παροχής τηλεπικοινωνιών, όπως τροποποιήσουν τη διαδικασία δήλωσης ένταξης συνδρομητών στο Μητρώο του άρθρου 11 παρ. 2 του Ν 3471/2006 και επιβεβαιώσουν εντός εξαμήνου τις υπάρχουσες δηλώσεις ένταξης στο Μητρώο, καθώς επίσης και να ενημερώσουν σχετικά την Αρχή. Ειδικότερα, οι ως άνω δύο εταιρείες θα πρέπει αμελλητί να προσαρμόσουν κατάλληλα τις διαδικασίες που ακολουθούν για την εγγραφή των συνδρομητών τους στο Μητρώο, ώστε να αποδεικνύεται ότι η ένταξη των συνδρομητών στο Μητρώο είναι επιλογή των ιδίων και γίνεται κατόπιν δικής τους ειδικής προς τούτο αίτησης. Περαιτέρω, οι δύο εταιρείες θα πρέπει να επιβεβαιώσουν τις υπάρχουσες δηλώσεις ένταξης των συνδρομητών τους στο Μητρώο εντός εύλογου χρονικού διαστήματος, όχι μεγαλύτερου του εξαμήνου. Προς τούτο, θα πρέπει να ενημερώσουν κατάλληλα, με κάθε πρόσφορο τρόπο [π.χ. μέσω των μηνιαίων λογαριασμών ή/και μέσω σύντομων γραπτών μηνυμάτων (SMS)], όλους τους συνδρομητές τους των οποίων οι αριθμοί είναι εγγεγραμμένοι στο Μητρώο, ότι θα πρέπει εντός συγκεκριμένου χρονικού διαστήματος – το οποίο δεν θα ξεπερνά τους δύο (2) μήνες – να δηλώσουν οι ίδιοι ρητώς και αυτοβούλως αν πράγματι επιθυμούν την καταχώρηση του αριθμού τους στο Μητρώο (με παράλληλη σαφή ενημέρωσή τους για τις συνέπειες της καταχώρησης αλλά και της μη υποβολής της ως άνω επιβεβαιωτικής δήλωσης για ένταξη στο Μητρώο). Επισημαίνεται ιδιαίτερα ότι, προκειμένου η δήλωση του συνδρομητή για εγγραφή του στο Μητρώο να έχει τα χαρακτηριστικά της σαφούς, ρητής και ειδικής δήλωσης βουλήσεως, τυχόν μη επιβεβαίωση του συνδρομητή – με ειδική δική του ενέργεια (αυτοτελή αίτηση του ιδίου) – ως προς την επιθυμία του να εξακολουθήσει ο αριθμός του να είναι εγγεγραμμένος στο Μητρώο (κατόπιν της ως άνω ενημέρωσης), θα πρέπει να συνεπάγεται τη διαγραφή του αριθμού αυτού από το Μητρώο.

Η Αρχή, με την απόφαση 48/2018, εξέτασε το ζήτημα της επεξεργασίας Δεδομένων μέσω ανέπαφων συναλλαγών με χρεωστικές/πιστωτικές κάρτες, κατόπιν σχετικών καταγγελιών που αφορούσαν την Εθνική Τράπεζα και την Τράπεζα Πειραιώς. Η Αρχή, αφού εξέτασε ζητήματα ασφάλειας της εν λόγω επεξεργασίας, καθώς επίσης και τους σχετικούς κινδύνους, και λαμβάνοντας υπόψη και τις διεθνείς προδιαγραφές που ακολουθούνται αναφορικά με τις ανέπαφες χρεωστικές ή/και πιστωτικές κάρτες, απηύθυνε σύσταση στις ως άνω τράπεζες προκειμένου είτε να παρέχουν τη δυνατότητα απενεργοποίησης της ανέπαφης λειτουργίας μιας τέτοιας κάρτας είτε να χορηγούν νέα, μη ανέπαφη κάρτα, εφόσον ο πελάτης δηλώσει ότι δεν επιθυμεί να έχει κάρτα με δυνατότητα πραγματοποίησης ανέπαφων συναλλαγών.

Περαιτέρω, την ίδια χρονιά, η Αρχή πραγματοποίησε επιτόπιο διοικητικό έλεγχο στο πληροφοριακό σύστημα N.SIS II στις εγκαταστάσεις της Ελληνικής Αστυνομίας. Ο έλεγχος εστίασε στην προστασία και την ασφάλεια των προσωπικών Δεδομένων που υφίστανται επεξεργασία στο πλαίσιο της λειτουργίας του εν λόγω συστήματος. Η Αρχή ενέκρινε τις προτάσεις της ομάδας ελέγχου, οι οποίες αποτυπώνονται σε σχετικό πόρισμα, απευθύνοντας, με την υπ’ αρ. 50/2018 απόφαση, προειδοποίηση στο Αρχηγείο Ελληνικής Αστυνομίας να συμμορφωθεί με τις συστάσεις που αναφέρονται στο πόρισμα του ελέγχου και να ενημερώσει σχετικά την Αρχή εντός ενός έτους από τη λήψη αυτού.

Κατόπιν καταγγελίας στην Αρχή αναφορικά με διαφημιστικό SMS που έλαβε ο καταγγέλλων από τον Υπεύθυνο Επεξεργασίας μέσω κινητού τηλεφώνου για τον σκοπό της πολιτικής επικοινωνίας, χωρίς να έχει εξασφαλίσει την προηγούμενη συγκατάθεσή του. Επίσης, κατήγγειλε ότι δεν ικανοποίησε πλήρως το δικαίωμα πρόσβασης που αυτός άσκησε. Η Αρχή απηύθυνε με την υπ’ αρ. 51/2018 απόφασή της στον υπεύθυνο επεξεργασίας προειδοποίηση για την παράνομη επεξεργασία προσωπικών Δεδομένων για τον σκοπό της πολιτικής επικοινωνίας μέσω της αποστολής αζήτητης ηλεκτρονικής επικοινωνίας, καθώς και για μη προσήκουσα ικανοποίηση του δικαιώματος πρόσβασης των Υποκειμένων των προσωπικών Δεδομένων, τα οποία επεξεργάζεται. Επιπλέον, του απηύθυνε σύσταση για τη μη υποβολή γνωστοποίησης για το αρχείο που τηρούσε με σκοπό την πολιτική επικοινωνία.

Η Αρχή με την υπ’ αρ. 11/2019 απόφασή της απηύθυνε αυστηρή προειδοποίηση σε γυμναστήριο να στέλνει διαφημιστικά μηνύματα στους πελάτες του, οι οποίοι ήταν παραλήπτες του από 24/5/2018 μηνύματος, με το οποίο ζητήθηκε η συγκατάθεσή τους, μόνο εφόσον έχουν παράσχει τη συγκατάθεση αυτή. Επιπλέον, να μεριμνήσει, εφόσον στέλνει μηνύματα στους υπόλοιπους πελάτες του βάσει της εξαίρεσης του άρθρου 11 παρ. 3 του Ν 3471/2006, ώστε να πληρούνται όλες οι προϋποθέσεις που τίθενται στο άρθρο αυτό, ήτοι κατάλληλη ενημέρωση κατά

το στάδιο της συλλογής των προσωπικών δεδομένων για το σκοπό της επεξεργασίας και παροχή δυνατότητας αντίταξης τόσο κατά το στάδιο αυτό όσο και σε κάθε μήνυμα, με σαφή και ευδιάκριτο τρόπο. Τέλος να μεριμνήσει ώστε να διακόπτει αμέσως την αποστολή διαφημιστικών μηνυμάτων σε όσους εκφράσουν αντίρρηση και να λειτουργεί απρόσκοπτα τυχόν διεύθυνση ηλεκτρονικού ταχυδρομείου, μέσω και της οποίας παρέχεται η δυνατότητα στα υποκείμενα των δεδομένων να αντιταχθούν.

Το 2019, κατόπιν καταγγελίας στην Αρχή ότι η εταιρεία ενέργειας δεν ικανοποίησε το δικαίωμα πρόσβασης Υποκειμένου των Δεδομένων, η Αρχή, με την απόφαση 15/2019, απηύθυνε στην εταιρεία ενέργειας επίπληξη για την καθυστερημένη – λόγω παρέλευσης ενός μηνός από την παραλαβή του αιτήματος– απάντησή της ως υπευθύνου επεξεργασίας προς τον καταγγέλλοντα σχετικά με την αδυναμία άμεσης ικανοποίησης του αιτήματός του.

Την ίδια χρονιά, κατόπιν καταγγελίας στην Αρχή ότι ο ΕΦΚΑ δεν ενημέρωσε τον καταγγέλλοντα, ο οποίος είχε προσφύγει κατά απόφασης υγειονομικής επιτροπής, για την ταυτότητα των ιατρών μελών της επιτροπής καθώς και για το δικαίωμά του να προσφύγει στην Αρχή, η Αρχή απηύθυνε την με την υπ’ αρ. 20/2019 απόφασή της, στον ΕΦΚΑ προειδοποίηση για τη μη τήρηση της ως άνω υποχρέωσης προηγούμενης ενημέρωσης του καταγγέλλοντος και μη κοινοποίησης της απάντησής του στην Αρχή, επισημαίνοντας ότι εφεξής θα πρέπει να ενημερώνει τους προσφεύγοντες κατά των αποφάσεων των υγειονομικών επιτροπών για την ταυτότητα των ιατρών μελών των εν λόγω επιτροπών καθώς και για το δικαίωμά τους να προσφύγουν στην Αρχή.

Η Αρχή εξέτασε προσφυγή κατά της Google αναφορικά με άρνησή της να απαλείψει συγκεκριμένους συνδέσμους που εμφανίζονται στα αποτελέσματα αναζήτησης με βάση το ονοματεπώνυμο προσφεύγοντος. Με την υπ’ αρ. 25/2019 απόφαση έκρινε ότι τρεις εκ των συνδέσμων, που παραπέμπουν σε ιστοτόπους με περιεχόμενο το οποίο έχει κριθεί ανακριβές από δικαστικές αποφάσεις, δεν πρέπει να εμφανίζονται ως αποτελέσματα της αναζήτησης, λόγω του ότι οι πληροφορίες αυτές δημιουργούν ανακριβή/παραπλανητική εντύπωση για τον προσφεύγοντα. Ωστόσο, η Αρχή, λαμβάνοντας υπόψη ότι ο προσφεύγων είναι επιχειρηματίας που έχει κάποιο ρόλο στη δημόσια ζωή και οι εν λόγω πληροφορίες αφορούν αποκλειστικά την επαγγελματική του δραστηριότητα, έκρινε ότι δεν επιβάλλεται να απαλειφθούν οι λοιποί σύνδεσμοι που παραπέμπουν σε ιστότοπους με πληροφορίες των οποίων δεν προκύπτει η ανακρίβεια από τις δικαστικές αποφάσεις ή οι οποίες κρίθηκαν αληθείς από τις αποφάσεις αυτές. Ως προς τους ισχυρισμούς του προσφεύγοντος ότι το περιεχόμενο πολλών εκ των επίμαχων ιστοτόπων συνιστά είτε ρητορική μίσους είτε συκοφαντία ή/και δυσφήμηση, η Αρχή έκρινε ότι δεν έχει αρμοδιότητα να επιληφθεί, οι ισχυρισμοί δε αυτοί

μπορούν να κριθούν από τα αρμόδια δικαστήρια. Τέλος, η Αρχή απηύθυνε επίπληξη στην Google για παραβίαση των διατάξεων του άρθρου 12 του GDPR, επειδή η εταιρεία, σε ένα εκ των αιτημάτων του προσφεύγοντος, καθυστέρησε να απαντήσει.

Κατόπιν υποβολής σχετικής καταγγελίας, η Αρχή επέβαλε με την υπ’ αρ. 27/2019 απόφαση στο Υπουργείο Παιδείας, για τη μη τήρηση της υποχρέωσης προηγούμενης ενημέρωσης του καταγγέλλοντος και τη μη ικανοποίηση του δικαιώματος πρόσβασής του στα Δεδομένα που τον αφορούν, την κύρωση της προειδοποίησης, επισημαίνοντας ότι στο εξής θα πρέπει να ενημερώνει σχετικά τα Υποκείμενα των Δεδομένων τόσο κατά τη συλλογή όσο και πριν από τη διαβίβαση των Δεδομένων τους σε τρίτους, καθώς και να ικανοποιεί άμεσα το δικαίωμα πρόσβασής τους στα Δεδομένα που τα αφορούν, χορηγώντας τους πλήρη πρόσβαση σε όλα τα σχετικά στοιχεία.

Η Αρχή, κατόπιν σχετικών καταγγελιών, έκρινε με την υπ’ αρ. 28/2019 απόφαση, ότι η αναγραφή του θρησκεύματος και της ιθαγένειας στα στοιχεία που τηρούνται στο σχολείο, στους τίτλους και τα πιστοποιητικά σπουδών της δευτεροβάθμιας εκπαίδευσης και στο πληροφοριακό σύστημα «myschool» και η δήλωση ότι ο μαθητής δεν είναι Χριστιανός Ορθόδοξος για την απαλλαγή του από το μάθημα των θρησκευτικών, δεν είναι νόμιμες, διότι αντιβαίνουν προς τη θεμελιώδη αρχή της αναγκαιότητας της επεξεργασίας Δεδομένων. Για τον λόγο αυτό καλεί το Υπουργείο Παιδείας να μεριμνήσει για την άμεση τροποποίηση των σχετικών ρυθμίσεων και να λάβει κάθε αναγκαίο μέτρο για τη μη αναγραφή του θρησκεύματος και της ιθαγένειας στα ανωτέρω στοιχεία και πιστοποιητικά, καθώς και στο πληροφοριακό σύστημα «myschool», και να εκδώσει κάθε αναγκαία οδηγία προς τις οικείες εκπαιδευτικές αρχές ώστε, εφεξής, το δικαίωμα στην απαλλαγή από το μάθημα των θρησκευτικών να ασκείται κατ’ επίκληση αποκλειστικά λόγων συνείδησης.

H Αρχή με την υπ’ αρ. 37/2019 απόφασή της, εξέτασε καταγγελία πρώην εργαζομένου σχετικά με παράνομη λειτουργία συστήματος γεωντοπισμού σε οχήματα που χρησιμοποιούσε ως εργαζόμενος, καθώς και παράνομη λειτουργία συστήματος βιντεοεπιτήρησης. Διαπιστώθηκε ότι κατά τον χρόνο που ο καταγγέλλων εργαζόταν στην καταγγελλόμενη εταιρεία η λειτουργία του συστήματος γεωεντοπισμού δεν είχε περιοριστεί αυστηρά εντός του ωραρίου εργασίας, δεν υπήρξε επαρκής προηγούμενη ενημέρωση του καταγγέλλοντος και το σύστημα βιντεοεπιτήρησης ελάμβανε εικόνα και από το πεζοδρόμιο και τον δημόσιο δρόμο. Η Αρχή απηύθυνε συστάσεις στον Υπεύθυνο Επεξεργασίας-εργοδότη για τη νόμιμη λειτουργία των συστημάτων βιντεοεπιτήρησης και γεωεντοπισμού.

Με βάση την υπ’ αρ. 41/2019 απόφαση η Αρχή επέβαλε επίπληξη στο Υπουργείο Ναυτιλίας και Νησιωτικής Πολιτικής για παραβίαση του δικαιώματος πρόσβασης.

Κατόπιν καταγγελίας στην Αρχή ότι το Υπουργείο Ναυτιλίας και Νησιωτικής Πολιτικής δεν ικανοποίησε τα δικαιώματα πρόσβασης και διόρθωσης του υποκειμένου των δεδομένων, η Αρχή, μετά από διερεύνηση της υπόθεσης, απηύθυνε στο Υπουργείο επίπληξη για τη μη ικανοποίηση του δικαιώματος πρόσβασης του Υποκειμένου στην αναλυτική του μοριοδότηση.

Το έτος 2020, η Αρχή με την υπ’ αρ. 6/2020 απόφασή της έκρινε ότι ασφαλιστική εταιρεία, ως Υπεύθυνος Επεξεργασίας, παραβίασε την άσκηση του δικαιώματος διαγραφής του Α σύμφωνα με τις διατάξεις των άρθρων 5 και 17 του ΓΚΠ∆ και απευθύνει, δυνάμει του άρθρου 58 παρ. 2 στοιχ. β΄ του ΓΚΠ∆, επίπληξη στην εν λόγω ασφαλιστική εταιρεία για την παραβίαση των διατάξεων αυτών και επιφυλάχθηκε να κρίνει τη νομιμότητα της διατήρησης των προσωπικών δεδομένων των υποψήφιων ασφαλισμένων για μία πενταετία από τη συλλογή τους κατά το προσυμβατικό στάδιο για το σκοπό της αποφυγής και καταπολέμησης της ασφαλιστικής απάτης στο πλαίσιο της εξέτασης του σχεδίου Κώδικα ∆εοντολογίας της Ένωσης Ασφαλιστικών Εταιρειών που έχει υποβληθεί προς έγκριση στην Αρχή, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 40 παρ. 5 του ΓΚΠ∆.

Κατά το ίδιο έτος, η Αρχή με βάση την υπ’ αρ. 27/2020 απόφασή της, πραγματοποίησε επιτόπιο διοικητικό έλεγχο στο εθνικό πληροφοριακό σύστημα N-VIS αναφορικά με την προστασία και την ασφάλεια των προσωπικών Δεδομένων που υφίστανται επεξεργασία στο πλαίσιο της λειτουργίας του εν λόγω συστήματος και έδωσε εντολή, σύμφωνα με το άρθρο 58 παρ. 2 δ΄ του GDPR, στο Υπουργείο Εξωτερικών (Γ4 Διεύθυνση – Δικαιοσύνης, Εσωτερικών Υποθέσεων, Μετανάστευσης και Schengen, καθώς και ΣΤ2 Διεύθυνση – Επικοινωνιών και Πληροφορικής), ως υπεύθυνο επεξεργασίας κατά την έννοια του άρθρου 4 στοιχ. 7 του GDPR, να συμμορφωθεί με τις συστάσεις που αναφέρονται στο τελικό Πόρισμα του ελέγχου και να ενημερώσει σχετικά την Αρχή εντός ενός έτους από τη λήψη της παρούσας.

22 | Πέραν των διοικητικών κυρώσεων που επιβάλλει η ΑΠΔΠΧ, υπάρχουν και άλλου είδους αξιώσεις του Υποκειμένου των Δεδομένων που παρανόμως έτυχαν επεξεργασίας κατά του Υπεύθυνου Επεξεργασίας, αλλά και του Εκτελούντος την Επεξεργασία;

Σε περίπτωση παραβίασης των δεδομένων, τα Υποκείμενα μπορούν να προσφύγουν στα πολιτικά Δικαστήρια και να ζητήσουν αποζημίωση από τον Υπεύθυνο Επεξεργασίας ή/και τον Εκτελούντα την Επεξεργασία, οι οποίοι ευθύνονται αλληλεγγύως και εις ολόκληρον για την αποκατάσταση της ζημίας του Υποκειμένου, εφόσον αποδεικνύεται ότι από την επεξεργασία στην οποία εμπλέκονται έχει προκύψει η ζημία, προκειμένου να διασφαλιστεί αποτελεσματική αποζημίωση των Υποκειμένων.