ΟΔΗΓΟΣ ΕΦΑΡΜΟΓΗΣ GDPR

Συνδυάστε Βιβλίο (έντυπο) + e-book και κερδίστε 13.5€
Δωρεάν μεταφορικά σε όλη την Ελλάδα για αγορές άνω των 30€
credit-card

Πληρώστε σε έως άτοκες δόσεις των /μήνα με πιστωτική κάρτα.

Σε απόθεμα

Τιμή: 31,50 €

* Απαιτούμενα πεδία

Κωδικός Προϊόντος: 17967
Τιντζογλίδου Ν.
  • Έκδοση: 2020
  • Σχήμα: 17x24
  • Βιβλιοδεσία: Εύκαμπτη
  • Σελίδες: 312
  • ISBN: 978-960-654-233-6
  • Black friday εκδόσεις: 10%
Αποκτήστε τη συνδυαστική προσφορά
  • Αγοράζονται συχνά μαζί

    Συνδυαστική Προσφορά

    X1
    ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (GDPR)
    +
    Βιβλίο (Έντυπο)
    Τιμή 42,00 €
    X1
    ΟΔΗΓΟΣ ΕΦΑΡΜΟΓΗΣ GDPR
    +
    Βιβλίο (Έντυπο)
    THE GDPR HANDBOOK
    Έκδοση 2020

    Για DPOs, Επιχειρήσεις & Οργανισμούς

    Κυκλοφορεί 10 Απριλίου

    Τιμή 85,00 €
    X1
    THE GDPR HANDBOOK
    =
    Σύνολο:

    από 190,00 €

    161,34 €

    έκπτωση 15.08%

Το έργο «Οδηγός εφαρμογής GDPR» περιλαμβάνει 315 πρακτικά ζητήματα με απαντήσεις σχετικά με ζητήματα συμμόρφωσης Ομίλων, μεγάλων εταιρειών, μικρομεσαίων και μικρών επιχειρήσεων με τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων της ΕΕ 679/2016 (GDPR). Ο Οδηγός φιλοδοξεί να αποτελέσει ένα χρήσιμο εργαλείο στα χέρια δικηγόρων, Υπεύθυνων Προστασίας Δεδομένων (DPO) και στελεχών επιχειρήσεων που ασχολούνται με την συμμόρφωση εταιρειών με τον GDPR. Περιλαμβάνει, μεταξύ άλλων, πρακτικά θέματα συμμόρφωσης δικηγορικών γραφείων, ζητήματα προσωπικών δεδομένων εν μέσω κορωνοϊού, καθώς και υποδείγματα συμβάσεων επεξεργασίας δεδομένων δικηγορικών γραφείων.

Πρόλογος Σελ. VII
Ακρωνύμια / Πηγές Σελ. XXIX
Kεφάλαιο 1
Γλωσσάρι/Ορισμοί
Ορισμοί Σελ. 1
Κεφάλαιο 2
Πρακτικά βήματα συμμόρφωσης
1. Διαμόρφωση συνείδησης προστασίας προσωπικών δεδομένων στην επιχείρηση (Awareness) Σελ. 7
1. Ποιο είναι το ρυθμιστικό πλαίσιο του Κανονισμού και από πότε ισχύει; Σελ. 7
2. Σε ποιους εφαρμόζεται ο GDPR, όπως εξειδικεύεται με τον Νόμο 4624/2019; Σελ. 7
3. Πότε εφαρμόζεται ο GDPR μέσω ενός πρακτικού παραδείγματος; Σελ. 8
4. Πότε δεν εφαρμόζεται ο GDPR μέσω ενός πρακτικού παραδείγματος; Σελ. 8
5. Μερικά παραδείγματα Δεδομένων; Σελ. 8
6. Ποια Δεδομένα μπορούν να υποβληθούν σε επεξεργασία και υπό ποιες προϋποθέσεις; Σελ. 9
7. Ποια είναι δεδομένα υγείας Σελ. 10
8. Ως προς τους Υπεύθυνους Ειδικών Κατηγοριών Δεδομένων Σελ. 10
9. Αντιμετωπίζεται ο ΑΜΚΑ ως δεδομένο ειδικής κατηγορίας; Σελ. 10
10. Τι σημαίνει η προστασία Δεδομένων «ήδη από τον σχεδιασμό» και «εξ’ ορισμού»; Σελ. 11
11. Με ποιον πρακτικό τρόπο υλοποιείται η προστασία Δεδομένων «ήδη από τον σχεδιασμό»; Σελ. 12
12. Με ποιον πρακτικό τρόπο υλοποιείται η προστασία Δεδομένων «εξ ορισμού»; Σελ. 13
13. Επηρεάζονται οι μικρές επιχειρήσεις από την εφαρμογή του GDPR; Σελ. 13
14. Γιατί είναι σημαντικό οι επιχειρήσεις που δεν έχουν ακόμα συμμορφωθεί στις επιταγές του GDPR να ξεκινήσουν έναν προγραμματισμό προς αυτή την κατεύθυνση; Σελ. 13
15. Τι πρέπει να κάνουν οι μικρές και μεσαίες επιχειρήσεις για να συμμορφωθούν με τον GDPR; Σελ. 14
16. Πώς αποδεικνύεται ότι εταιρεία ή φορέας συμμορφώνονται με τον GDPR; Σελ. 15
17. Τί είδους κυρώσεις δύναται να επιβάλει η ΑΠΔΠΧ όταν διαπιστώσει παραβάσεις διατάξεων του GDPR; Σελ. 16
18. Για τι πρόστιμα μιλάμε; Σελ. 17
19. Δύναται να επιβληθεί πρόστιμο για παραβιάσεις ελάσσονος σημασίας; Σελ. 17
20. Έχουν επιβληθεί πρόστιμα στην Ελλάδα; Σελ. 18
21. Πέραν των χρηματικών προστίμων έχουν επιβληθεί και άλλου είδους κυρώσεις; Σελ. 23
22. Πέραν των διοικητικών κυρώσεων που επιβάλλει η ΑΠΔΠΧ, υπάρχουν και άλλου είδους αξιώσεις του Υποκειμένου των Δεδομένων που παρανόμως έτυχαν επεξεργασίας κατά του Υπεύθυνου Επεξεργασίας, αλλά και του Εκτελούντος την Επεξεργασία; Σελ. 27
2. Σύσταση ομάδας εργασίας στην επιχείρηση που θα συμμορφωθεί Σελ. 28
23. Ποιος ο ρόλος του νομικού συμβούλου για θέματα GDPR σε μία επιχείρηση; Σελ. 28
24. Οι εταιρείες μπορούν να ζητούν τη γνώμη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την εφαρμογή του GDPR; Σελ. 28
25. Τι πληροφορίες πρέπει να παρέχονται στα άτομα των οποίων Δεδομένα συλλέγονται; Σελ. 29
26. Ισχύουν οι κανόνες προστασίας δεδομένων για τα Δεδομένα εταιρείας; Σελ. 29
3. Ορισμός DPO Σελ. 30
27. Ποιοι οργανισμοί πρέπει να ορίζουν Υπεύθυνο Προστασίας Δεδομένων (DPO); Σελ. 30
28. Μπορούν οι οργανισμοί να ορίζουν από κοινού Υπεύθυνο προστασίας Δεδομένων (DPO); Αν ναι, υπό ποιους όρους; Σελ. 31
29. Πού θα πρέπει να είναι εγκατεστημένος ο DPO; Σελ. 31
30. Είναι δυνατός ο ορισμός εξωτερικού DPO; Σελ. 32
31. Πρέπει η εταιρεία/ο οργανισμός να διαθέτει DPO; Σελ. 32
32. Αν ορίσει ένας ραδιοτηλεοπτικός σταθμός DPO, πρέπει να γνωστοποιήσει τα στοιχεία του και στο ΕΣΡ; Σελ. 33
33. Τι επαγγελματικά προσόντα θα πρέπει να έχει ο DPO; Σελ. 33
34. Ποια είναι τα καθήκοντα ενός υπεύθυνου προστασίας Δεδομένων (DPO); Σελ. 34
35. Τι πόρους θα πρέπει να θέτει στη διάθεση του DPO ο Υπεύθυνος Επεξεργασίας ή ο εκτελών την επεξεργασία; Σελ. 35
36. Ποιες εγγυήσεις απαιτούνται προκειμένου να είναι σε θέση ο DPO να εκτελεί τα καθήκοντά του με ανεξάρτητο τρόπο; Τι σημαίνει «σύγκρουση συμφερόντων»; Σελ. 35
37. Δύναται νομικός σύμβουλος της Εταιρείας να είναι παράλληλα και DPO; Σελ. 36
38. Ο DPO φέρει προσωπική ευθύνη για περιπτώσεις μη συμμόρφωσης με τις απαιτήσεις περί προστασίας των δεδομένων; Σελ. 37
39. Ποιος είναι ο ρόλος του DPO όσον αφορά τις εκτιμήσεις αντικτύπου σχετικά με την προστασία των Δεδομένων και τα αρχεία των δραστηριοτήτων επεξεργασίας; Σελ. 37
40. Ανακοίνωση στοιχείων DPO σε θυγατρικές εταιρείες Σελ. 38
41. Εταιρεία, μικρή σε μέγεθος, με έδρα εντός Ε.Ε., που εμπορεύεται σκευάσματα/είδη νοσοκομείου θέλει DPO; Σελ. 38
4. Αρχές νομιμότητας επεξεργασίας (προϋποθέσεις νόμιμης επεξεργασίας & συγκατάθεσης) Σελ. 40
42. Ποιες είναι οι νόμιμες βάσεις επεξεργασίας των δεδομένων; Σελ. 40
43. Ποιες είναι οι νόμιμες βάσεις επεξεργασίας των Δεδομένων ειδικών κατηγοριών; Σελ. 40
44. Πώς επιλέγεται η νόμιμη βάση; Σελ. 42
45. Ποιοι είναι οι νόμιμοι σκοποί της περαιτέρω επεξεργασίας; Σελ. 44
46. Μπορούν να υποβληθούν Δεδομένα σε επεξεργασία για οποιονδήποτε σκοπό; Σελ. 45
47. Μπορούν να χρησιμοποιηθούν Δεδομένα για άλλον σκοπό; Σελ. 45
48. Αναφέρετε ένα πρακτικό παράδειγμα σύννομης περαιτέρω επεξεργασίας Σελ. 46
49. Επεξεργασία δεδομένων για τη σύναψη ασφαλιστικής σύμβασης Σελ. 46
50. Πώς δίδεται η συγκατάθεση; Απαιτείται ξεχωριστή συγκατάθεση για κάθε σκοπό; Σελ. 46
51. Πότε είναι έγκυρη η συγκατάθεση; Σελ. 48
52. Μπορεί συγκατάθεση δοθείσα πριν από τις 25 Μαΐου 2018 να παραμείνει έγκυρη αφού τεθεί σε ισχύ ο GDPR κατά την ίδια ημερομηνία; Σελ. 50
53. Τι ισχύει με τη νομική βάση της συγκατάθεσης των εργαζομένων; Σελ. 50
54. Τι γίνεται αν κάποιος αποσύρει τη συγκατάθεσή του; Σελ. 51
55. Πώς λαμβάνεται συγκατάθεση για επεξεργασία όσον αφορά επιστημονική έρευνα; Σελ. 52
56. Μπορούν να χρησιμοποιηθούν για εμπορική προώθηση Δεδομένα που έχουν δοθεί από τρίτο; Σελ. 53
57. Ποιες είναι οι προϋποθέσεις νόμιμης ηλεκτρονικής συγκατάθεσης; Σελ. 54
58. Χρειάζεται συγκατάθεση σε δομές υγείας με σκοπό την παροχή υπηρεσιών υγείας; Σελ. 55
59. Παροχή από καταναλωτή δεδομένων τρίτου προσώπου, μόνο με συγκατάθεση του τελευταίου Σελ. 55
60. Τι κάνει μια εταιρεία σε περίπτωση απόσυρσης συγκατάθεσης υποκειμένου επεξεργασίας δεδομένων Σελ. 55
61. Χρειάζεται συγκατάθεση για τήρηση βιογραφικού στην περίπτωση που τελικώς υπογραφεί σύμβαση, είτε εργασίας είτε συνεργασίας; Σελ. 56
62. Η συγκατάθεση, όπου απαιτείται, καλύπτει και επόμενα από την παροχή της συμβόλαια; Σελ. 56
63. Απαιτείται συγκατάθεση ειδικής κατηγορίας Δεδομένων για στατιστικούς σκοπούς ή αρκεί η ενημέρωση; Σελ. 56
64. Εταιρεία ζητά με εξουσιοδότηση από τα Μέλη ΔΣ να λαμβάνει ποινικά μητρώα για τη συμμετοχή της εταιρείας σε έργα μέσω διαγωνισμών. Η νομική βάση ως προς την επεξεργασία αυτή είναι η συγκατάθεση του ΦΠ ή το έννομο συμφέρον της εταιρείας; Σελ. 57
5. Xαρτογράφηση Σελ. 57
65. Τι είναι τα αρχεία δραστηριοτήτων επεξεργασίας; Σελ. 57
66. Ποιοι οφείλουν να τηρούν αρχεία δραστηριοτήτων; Σελ. 57
67. Ποια στοιχεία πρέπει να περιέχει το αρχείο δραστηριοτήτων; Σελ. 58
68. Υπάρχει συγκεκριμένος μορφότυπος για το αρχείο δραστηριοτήτων; Σελ. 58
69. Υφίσταται υποχρέωση γνωστοποίησης αρχείου ή επεξεργασίας στην Αρχή; Σελ. 58
70. Οι υποχρεώσεις παραμένουν οι ίδιες ανεξάρτητα από τον όγκο των Δεδομένων που χειρίζεται μια εταιρεία; Σελ. 59
71. Τι σημαίνει «βασικές δραστηριότητες»; Σελ. 59
72. Τι είναι η επιχειρησιακή συνέχεια (business continuity); Σελ. 60
6. Έκθεση ελλείψεων (GAP Analysis) Σελ. 60
73. GDPR GAP Analysis: Τι είναι; Σελ. 60
7. Εκτίμηση αντικτύπου Σελ. 61
74 . Ποιος οφείλει και πότε να διενεργεί την Εκτίμηση Αντικτύπου; Σελ. 61
75. Τι αφορά η Εκτίμηση Αντικτύπου; Μία επιμέρους πράξη επεξεργασίας ή ένα σύνολο παρόμοιων πράξεων επεξεργασίας; Σελ. 65
76. Πότε θα πρέπει να διενεργείται η Εκτίμηση Αντικτύπου; Σελ. 67
77. Τι σημαίνει «μεγάλη κλίμακα»; Σελ. 67
78. Τι σημαίνει «τακτική και συστηματική παρακολούθηση»; Σελ. 68
79. Είναι υποχρεωτική η δημοσίευση της Εκτίμησης Αντικτύπου; Σελ. 69
80. Πότε ένα είδος επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο, ούτως ώστε να απαιτείται Εκτίμηση Αντικτύπου του άρθρου 35 του Κανονισμού; Σελ. 70
81. Τι ισχύει στις ήδη υφιστάμενες πράξεις επεξεργασίας που έχουν εγκριθεί από την εποπτική αρχή πριν το Μάιο 2018; Σελ. 73
82. Ποια είναι τα κριτήρια για μια αποδεκτή Εκτίμηση Αντικτύπου; Σελ. 74
83. Πότε πρέπει να γίνεται εκτίμηση αντίκτυπου σχετικά με την προστασία Δεδομένων(ΕΑΠΔ); Σελ. 76
8. Υπεύθυνος επεξεργασίας & εκτελών την επεξεργασία Σελ. 77
84. Ποιος είναι ο Υπεύθυνος Επεξεργασίας των δεδομένων; Σελ. 77
85. Ποιος είναι ο Εκτελών την Επεξεργασία; Σελ. 78
86. Με ποιο τρόπο συμβάλλονται ο Υπεύθυνος Επεξεργασίας και ο Εκτελών την Επεξεργασία; Σελ. 78
87. Πώς πρέπει να διαχειρίζεται ο Υπεύθυνος Επεξεργασίας μια παραβίαση Δεδομένων, αν δεν είναι δυνατό να παράσχει όλες τις απαιτούμενες πληροφορίες εντός 72 ωρών; Σελ. 78
88. Πώς αξιολογείται ο βαθμός ευθύνης του Υπευθύνου Επεξεργασίας κατά την επιβολή προστίμου; Σελ. 80
89. Πώς μπορεί ο Υπεύθυνος Επεξεργασίας να ταυτοποιήσει το Υποκείμενο των Δεδομένων πριν απαντήσει στο αίτημά τους; Σελ. 81
90. Σε περίπτωση που δύο εταιρείες είναι από κοινού Υπεύθυνοι Επεξεργασίας (joint controllers) ποιο είναι το πλαίσιο συνεργασίας; Σελ. 82
91. Πρακτικό 1 μέσω του οποίου διευκρινίζεται ο ρόλος των συμβαλλομένων όσον αφορά τον GDPR Σελ. 83
92. Πρακτικό 2 μέσω του οποίου διευκρινίζεται ο ρόλος των συμβαλλομένων όσον αφορά τον GDPR Σελ. 83
93. Ναυτιλιακή Εταιρεία με έδρα την Ελλάδα στέλνει Δεδομένα των υπαλλήλων της σε Προξενεία χωρών υπηκοότητας των υπαλλήλων της για έκδοση βίζας. Ποιος είναι ο ρόλος τους; Σελ. 84
94. Ποια είναι η αρμόδια Εποπτική αρχή όταν ο Υπεύθυνος Επεξεργασίας και ο Εκτελών την Επεξεργασία είναι διαφορετικής εθνικότητας; Σελ. 84
95. Θέματα αποζημίωσης μεταξύ Υπευθύνου και Εκτελούντος την Επεξεργασία Σελ. 85
9. Τροποποίηση συμβάσεων με πελάτες/προμηθευτές/εργαζόμενους και δημιουργία/αναθεώρηση πολιτικών & διαδικασιών Σελ. 85
96. Η τροποποίηση Συμβάσεων της επιχείρησης με πελάτες/προμηθευτές/ εργαζόμενους, τι πρέπει να περιλαμβάνει; Σελ. 85
97. Μετά την επικαιροποίηση των συμβάσεων, ποιο κείμενο πρέπει να συνταχθεί ή να τροποποιηθεί; Σελ. 86
10. Τεχνικά και οργανωτικά μέτρα Σελ. 86
98. Ποια είναι η έννοια της ασφάλειας δικτύων και πληροφοριών; Σελ. 86
99. Τι νέο εισάγει ο GDPR ως προς την ασφάλεια; Σελ. 87
100. Παραδείγματα Οργανωτικών & Τεχνικών μέτρων ασφάλειας Σελ. 87
101. Τι είναι η κρυπτογράφηση ως μέσο ασφάλειας; Σελ. 88
102. Τι είναι η ψευδωνυμοποίηση ως μέσο ασφάλειας; Σελ. 88
103. H ψευδωνυμοποίηση ταυτίζεται με την ανωνυμοποίηση; Σελ. 88
104. Ο GDPR ποια μέτρα ασφαλείας παροτρύνει και δημιουργεί κίνητρα για τους Yπεύθυνους Eπεξεργασίας να εφαρμόζουν; Σελ. 89
105. Ποιο είναι το συχνό λάθος κατά τη διαδικασία ανωνυμοποίησης των δεδομένων; Σελ. 91
106. Πότε μπορεί να αναγνωριστεί η ταυτότητα ενός προσώπου; Σελ. 91
107. Με ποιον τρόπο μπορεί ο Υπεύθυνος Επεξεργασίας να χρησιμοποιήσει κατάλληλα την τεχνική της ανωνυμοποίησης; Σελ. 92
11. Εκπαίδευση προσωπικού & διαρκής παρακολούθηση συμμόρφωσης Σελ. 92
108. Ποιο είναι το βασικό καθήκον του DPO μετά τη συμμόφωση με τον GDPR; Σελ. 92
109. Γιατί είναι πολύ σημαντική η εκπαίδευση του προσωπικού; Σελ. 92
110. Μετά την συμμόρφωση της επιχείρησης με τον GDPR το αρχείο δραστηριοτήτων πρέπει να επικαιροποιηθεί; Σελ. 93
Κεφάλαιο 3
Ειδικά θέματα συμμόρφωσης
1. Cookies Σελ. 95
111. Τι είναι τα cookies; Σελ. 95
112. Για ποιο λόγο χρησιμοποιούνται τα cookies; Σελ. 95
113. Ποια νομοθεσία εφαρμόζεται για τα cookies; Σελ. 96
114. Πότε δημιουργείται υποχρέωση των διαχειριστών ιστοσελίδων να συμμορφωθούν προς την Νομοθεσία για την προστασία των προσωπικών δεδομένων; Σελ. 96
115. Τι ισχύει για τις εφαρμογές (mobile applications); Σελ. 97
116. Σε ποιες κατηγορίες διακρίνονται τα cookies; Σελ. 97
117. Πώς μπορούν οι χρήστες ιστοσελίδων να ελέγξουν τα cookies; Σελ. 99
118. Αρκούν τα προσυμπληρωμένα τετραγωνίδια για την παροχή συγκατάθεσης ως προς τη χρήση των cookies; Σελ. 100
119. Συστάσεις της ΑΠΔΠΧ στους Υπεύθυνους Επεξεργασίας για τη συμμόρφωσή τους με την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες. Σελ. 101
120. Υπάρχει εξαίρεση από την υποχρέωση λήψης της συγκατάθεσης του συνδρομητή ή χρήστη υφίσταται; Σελ. 105
121. Τι συμβαίνει με τα cookies που εγκαθίστανται με σκοπό τη διαφήμιση; Σελ. 106
122. Τι ισχύει για τα cookies που εγκαθίστανται με σκοπό την στατιστική ανάλυση (web analytics); Σελ. 106
123. Πώς μπορεί ο χρήστης μιας ιστοσελίδας να ελέγχει τα cookies που εγκαθίστανται στον υπολογιστή του; Σελ. 108
2. Βιντεοεπιτήρηση Σελ. 108
124. Στην περίπτωση που κάποιος επιθυμεί να εγκαταστήσει σύστημα βιντεοεπιτήρησης, είναι υποχρεωμένος να υποβάλει γνωστοποίηση στην Αρχή; Σελ. 108
125. Η εγκατάσταση καμερών ασφαλείας σε μονοκατοικία επιτρέπεται; και με τι όρους; Σελ. 109
126. Η τοποθέτηση κάμερας ασφαλείας σε διαμέρισμα πολυκατοικίας σε ποια σημεία επιτρέπεται; Είναι δυνατή η τοποθέτηση κάμερας που να επιβλέπει τον χώρο μπροστά από την εξώπορτα του διαμερίσματος; Σελ. 109
127. Τοποθέτηση κάμερας ασφαλείας σε διαμέρισμα πολυκατοικίας· συναίνεση ενοίκων όμορων διαμερισμάτων Σελ. 110
128. Αν διαθέτει κάποιος κατάστημα ή γραφείο σε όροφο πολυκατοικίας, μπορεί να τοποθετήσει κάμερα που να επιβλέπει την είσοδό του; Σελ. 111
129. Απαιτείται ομοφωνία των ενοίκων για την εγκατάσταση συστήματος βιντεοεπιτήρησης σε κοινόχρηστους χώρους πολυκατοικίας; Σελ. 111
130. Πού μπορούν να τοποθετηθούν κάμερες σε εμπορικό κατάστημα; Σελ. 112
131. Σε ποια σημεία εστιατορίου/μπαρ μπορούν να τοποθετηθούν κάμερες και σε ποια όχι; Σελ. 112
132. Μπορούν να τοποθετηθούν κάμερες έξω από κάποια επιχείρησή μου, σε δημόσιο χώρο; Σελ. 112
133. Υπό ποιες προϋποθέσεις επιτρέπεται η τοποθέτηση καμερών σε σχολεία/σχολικά συγκροτήματα; Σελ. 113
134. Τι μπορεί να κάνει εργαζόμενος, όταν ο εργοδότης του έχει τοποθετήσει κάμερες με τις οποίες μπορεί και παρακολουθεί το προσωπικό; Σελ. 113
135. Σε ποια σημεία ιδιωτικού ιατρείου σε πολυκατοικία, μπορούν να τοποθετηθούν κάμερες για λόγους ασφαλείας και σε ποια όχι; Σελ. 114
136. Για πόσο χρονικό διάστημα επιτρέπεται να τηρούνται τα Δεδομένα που καταγράφονται από το σύστημα βιντεοεπιτήρησης; Σελ. 114
137. Παρατηρώ (π.χ. σε κατάστημα ή σε καφετέρια) κάμερες, για τις οποίες δεν γνωρίζω αν είναι νόμιμες και δεν ξέρω ακριβώς εάν και τι καταγράφουν. Τι πρέπει να κάνω; Σελ. 116
138. Γείτονάς μου έχει βάλει κάμερα και πιστεύω ότι καταγράφει και το σπίτι μου. Τι μπορώ να κάνω; Σελ. 116
139. Τι απαγορεύεται να καταγράφει ένα σύστημα βιντεοεπιτήρησης; Σελ. 117
140. Επιτρέπεται η χρήση συστήματος βιντεοεπιτήρησης εντός των χώρων εργασίας; Σελ. 117
141. Είναι απαραίτητη η ενημέρωση των εργαζομένων για την βιντεοεπιτήρηση; Σελ. 118
142. Τι ισχύει αναφορικά με επαγγελματικούς και άλλους χώρους; Σελ. 118
143. Είναι επιτρεπτή η εγκατάσταση οθόνης παρακολούθησης σε γραφείο της Διεύθυνσης; Σελ. 121
144. Τι ισχύει με την χρήση συστημάτων επιτήρησης με τη λήψη ή καταγραφή ήχου ή εικόνας σε δημόσιους χώρους από τις δημόσιες αρχές που είναι αρμόδιες για την πρόληψη, διερεύνηση, ανίχνευση ή δίωξη των εγκλημάτων ή την εκτέλεση των ποινικών κυρώσεων (Ελληνική Αστυνομία, Πυροσβεστικό Σώμα και Λιμενικό Σώμα - Ελληνική Ακτοφυλακή) Σελ. 121
145. Επιτρέπονται οι συσκευές εντοπισμού (GPS) εταιρικών οχημάτων; Υπό ποιες προϋποθέσεις; Σελ. 124
146. Τι ισχύει για τις ψεύτικες κάμερες; Σελ. 127
147. Νομιμοποιείται η χρήση καμερών από εταιρεία παραγωγής στρωμάτων στο χώρο της παραγωγής για λόγους ασφάλειας προσωπικού (οδηγία 1/2011 άρθρο 2); Σελ. 127
148. Tι ισχύει για τη χρήση εφαρμογών Video Banking και Voice Biometrics; Σελ. 128
149. Διαφημιστική εταιρεία κάνει γυρίσματα σε δημόσιο χώρο για διαφημίσεις ή για διαγωνισμούς. Πώς μπορεί να χειριστεί τους περαστικούς; Πώς καλύπτεται για τη χρήση της εικόνας ενός φυσικού προσώπου; Σελ. 129
150. Εταιρεία πραγματοποιεί εκδήλωση με έντυπη πρόσκληση. Η εκδήλωση θα βιντεοσκοπηθεί και φωτογραφίες θα αναρτηθούν στην ιστοσελίδα της. Χρειάζεται να αναφέρεται κάτι συγκεκριμένο στην πρόσκληση; Είναι αρκετό το ότι αναγράφεται ότι η εκδήλωση θα βιντεοσκοπηθεί; Σελ. 129
151. Σε έντυπο συναίνεσης για λήψη φωτογραφιών προσωπικού σε εκδήλωση, πρέπει να υπάρχει και η κατάλληλη πληροφόρηση. Πώς γίνεται η ενημέρωση των Υποκειμένων. Δικαίωμα διαγραφής Σελ. 130
3. Προωθητικές ενέργειες Σελ. 130
152. Πώς μπορώ να στέλνω έντυπο διαφημιστικό υλικό; Σελ. 130
153. Συμμετοχή σε διαγωνισμό. Συναίνεση διαγωνιζομένων για βιντεοσκόπησή τους σε περίπτωση νίκης τους Σελ. 132
154. Πώς μπορώ να διενεργώ προώθηση των προϊόντων και των υπηρεσιών μου με τηλεφωνικές κλήσεις; Σελ. 132
155. Πώς μπορώ να στέλνω διαφημιστικά μηνύματα με ηλεκτρονικό ταχυδρομείο ή SMS; Σελ. 134
156. Πώς μπορώ να λαμβάνω συγκατάθεση για επικοινωνίες με ηλεκτρονικά μέσα; Σελ. 135
157. Πώς μπορώ να λαμβάνω στοιχεία νέων μητέρων από τα μαιευτήρια για προωθητικές ενέργειες; Σελ. 135
158. Μπορεί μια εταιρεία να μου στέλνει διαφημιστικό υλικό χωρίς τη συγκατάθεσή μου; Σελ. 136
159. Πώς γίνεται η προώθηση προϊόντων και υπηρεσιών μέσω τηλεφωνικών κλήσεων με ανθρώπινη παρέμβαση; Σελ. 137
160. Τί πρέπει να κάνουν οι εταιρείες προκειμένου να στέλνουν νόμιμα προωθητικό υλικό (newsletter) μέσω e-mail; Σελ. 138
161. Τι μπορώ να κάνω για να προστατευτώ από την αποστολή έντυπου διαφημιστικού υλικού; Σελ. 138
162. Τι μπορώ να κάνω για να μη με ενοχλούν άλλο στο τηλέφωνό μου για διαφημιστικούς σκοπούς; Σελ. 138
163. Δέχομαι τηλεφώνημα από αυτόματο τηλεφωνητή και δεν μπορώ να μιλήσω με κάποιον άνθρωπο. Τι ισχύει; Σελ. 139
164. Τι γίνεται με τα ενοχλητικά μηνύματα που λαμβάνω στο email μου; Σελ. 139
165. Τι είναι το SPAM; Σελ. 139
166. Το SPAM περιλαμβάνει μόνο μηνύματα ηλεκτρονικού ταχυδρομείου; Σελ. 139
167. Tα μηνύματα SPAM έχουν πάντα εμπορικό περιεχόμενο; Σελ. 139
168. Ποιο είναι το ισχύον θεσμικό πλαίσιο για το SPAM στην Ελλάδα; Σελ. 139
169. Τι ισχύει με τα διαφημιστικά SMS ή MMS; Σελ. 141
170. Υπό ποιες προϋποθέσεις επιτρέπονται οι τηλεφωνικές κλήσεις για προωθητικές ενέργειες; Σελ. 142
171. Επιτρέπεται στα πλαίσια διεξαγωγής ερευνών (ικανοποίησης και lost customers) να επικοινωνήσει η Εταιρεία με πελάτες της που έχουν αγοράσει προϊόντα της; Σελ. 142
172. Μετά τον GDPR συνεχίζει να ισχύει το Μητρώο του άρθρου 13 του Ν 2472/1997; Σελ. 142
173. Λήξη ασφαλιστικού συμβολαίου. Συγκατάθεση ασφαλισμένων για προωθητικές ενέργειες. Τι γίνεται όταν συνεχίζονται και μετά την λήξη; Σελ. 143
174. Τρόποι απόσπασης συγκατάθεσης καταναλωτών σχετικά με προωθητικές ενέργειες Σελ. 144
175. Τηλεφωνικός διαγωνισμός από ραδιοφωνικό σταθμό. Είναι νόμιμη αυτή η πρακτική; Σελ. 144
4. Χρόνος τήρησης των δεδομένων Σελ. 144
176. Ποιος είναι ο αποδεκτός χρόνος τήρησης για Δεδομένα με σκοπό επεξεργασίας τις προωθητικές ενέργειες; Σελ. 144
177. Μια Εταιρεία παρέχει υπηρεσίες ή/και προϊόντα σε εταιρικούς πελάτες (B2B) και διατηρεί Δεδομένα στελεχών των εταιρικών πελατών της στο CRM της. Θα πρέπει να οριστεί χρόνος τήρησης και για τα Δεδομένα αυτά σε αυτό το σύστημα; Σελ. 145
178. Για πόσο χρονικό διάστημα μπορούν να φυλάσσονται Δεδομένα; Σελ. 145
179. Ποιος είναι ο χρόνος αποθήκευσης των ηχογραφημένων κλήσεων δήλωσης συναίνεσης σε ένα call center για αποστολή προωθητικών υλικών; Σελ. 146
5. Διαβίβαση δεδομένων Σελ. 146
180. Τι κανόνες ισχύουν για τη διαβίβαση Δεδομένων εκτός της ΕΕ; Σελ. 146
181. Τι είναι η Ασπίδα Προστασίας ΕΕ-ΗΠΑ; Σελ. 150
182. Παραμένει σε ισχύ σήμερα η Ασπίδα Προστασίας ΕΕ-ΗΠΑ; Σελ. 152
183. Μπορούν τα άτομα να ζητούν τη διαβίβαση των Δεδομένων τους σε άλλον οργανισμό; Σελ. 153
184. Επιστημονικός εκδοτικός οίκος αποστέλλει σε χώρες εκτός ΕΕ, για μορφοποίηση, άρθρα επιστημόνων και στοιχεία τους. Πρόκειται για διαβίβαση προσωπικών δεδομένων; Σελ. 154
185. Oι εταιρείες που κάνουν χρήση του SEPA (= Ενιαίος Χώρος Πληρωμών σε Ευρώ) νομιμοποιούνται για τις διαβιβάσεις στο Σαν Μαρίνο & Μονακό; Σελ. 154
186. Οι εταιρείες Α & Β είναι μέλη Ομίλου εταιρειών. Η εταιρεία Α είναι εντός ΕΕ, λειτουργεί ως Εκτελούσα την Επεξεργασία για λογαριασμό της εταιρείας Β που βρίσκεται εκτός ΕΕ και σε χώρα χωρίς επάρκεια. Για τη νόμιμη διαβίβαση των Δεδομένων από την Α στη Β τι χρειαζόμαστε; Σελ. 155
187. Ταξιδιωτικό Γραφείο προχωρεί σε κράτηση δωματίων για πελάτες του σε ξενοδοχείο χώρας εκτός ΕΕ και συγκεκριμένα σε χώρα που δεν διαθέτει επάρκεια (π.χ. Ταϊλάνδη). Τι οφείλει να κάνει το Ταξιδιωτικό Γραφείο για να είναι συμμορφούμενο με τον GDPR; Σελ. 155
6. Social Media Σελ. 155
188. Πώς σχετίζεται η δημοσίευση Δεδομένων σε φόρουμ και υπηρεσίες κοινωνικής δικτύωσης με το δικαίωμα στην ιδιωτικότητα ; Σελ. 155
189. Τι οδηγίες πρέπει να ακολουθούν οι πάροχοι υπηρεσιών κοινωνικής δικτύωσης ή φόρουμ ώστε να είναι συμμορφωμένοι προς τον GDPR; Σελ. 156
190. Τι πρέπει να προσέχουμε ως προς τη δημοσιοποίηση Δεδομένων σε υπηρεσίες κοινωνικής δικτύωσης ή φόρουμ; Σελ. 158
191. Πώς μπορώ να διαγράψω τα Δεδομένα μου που έχουν αναρτηθεί στο διαδίκτυο; Σελ. 159
192. Διαφήμιση στο Facebook Σελ. 160
193. Ο διαχειριστής σελίδας (fan page) στο Facebook είναι υπεύθυνος από κοινού με το Facebook για την επεξεργασία των δεδομένων των επισκεπτών της σελίδας του; Σελ. 160
7. Νewsletters Σελ. 161
194. Εταιρεία θέλει να στείλει newsletter σε εταιρείες μέσω του γενικού τους e-mail. Xρειάζεται κάποιου είδους συγκατάθεση (είναι b2b προσέγγιση); Σελ. 161
195. Εταιρεία που έχει βάση με 3.000 πελάτες από παλαιότερη συναλλακτική σχέση (π.χ. πριν 3 χρόνια) και δεν έχει κάνει ποτέ προώθηση newsletter, μπορεί να κάνει τώρα με απλή ενημέρωση της επεξεργασίας που διενεργεί και δυνατότητα opt-out; Σελ. 162
196. Αποχώρηση μετόχου από εταιρεία και ίδρυση νέας με χρησιμοποίηση της λίστας πελατολογίου της παλιάς εταιρείας. Τι μπορεί να κάνει η τελευταία για την παραβίαση Δεδομένων των πελατών της; Σελ. 163
197. Ενδιαφέρον άρθρο μέλους της ΑΠΔΠΧ, για τα emails «συγκατάθεσης» που έστελναν κατά χιλιάδες, ενόψει της ισχύς του GDPR, εταιρείες από όλο τον κόσμο σε αποδέκτες newsletters με σκοπό την «νομιμοποίηση» των λιστών τους Σελ. 164
8. Βιογραφικά Σελ. 165
198. Τι προβλέπει ο GDPR σχετικά με τη λήψη και τήρηση βιογραφικών; Σελ. 165
9. Εργαζόμενοι Σελ. 165
199. Τι ισχύει γενικά για την επεξεργασία Δεδομένων εργαζομένων. Σελ. 165
200. Τι ισχύει με τη νομική βάση της συγκατάθεσης των εργαζομένων; Σελ. 166
201. Ποινικό Μητρώο και GDPR. Σελ. 167
202. Εργαζόμενοι και προσωπικά δεδομένα τρίτων Σελ. 169
203. Συλλογή Ποινικών Μητρών εργαζομένων Σελ. 169
204. Εργαζόμενοι και απολυτήριο στρατού/πιστοποιητικό απαλλαγής Σελ. 169
10. Παραβίαση δεδομένων Σελ. 170
205. Τι είναι η παραβίαση Δεδομένων και τι πρέπει να κάνουμε σε τέτοια περίπτωση; Σελ. 170
206. Ποιες είναι οι κατηγορίες των παραβιάσεων; Σελ. 171
207. Μερικά παραδείγματα παραβίασης διαθεσιμότητας Σελ. 172
208. Είναι παραβίαση η μη διαθεσιμότητα Δεδομένων για ένα περιορισμένο χρονικό διάστημα; Σελ. 172
209. Γιατί είναι σημαντικό ο Υπεύθυνος Επεξεργασίας να υιοθετήσει Διαδικασία Αντιμετώπισης Περιστατικών Ασφάλειας & Γνωστοποίησης Παραβιάσεων; Σελ. 173
210. Πότε πρέπει να ενημερωθεί η ΑΠΔΠΧ για το συμβάν της παραβίασης; Σελ. 173
211. Παράδειγμα, όπου δικαιολογείται καθυστέρηση στην γνωστοποίηση της παραβίασης; Σελ. 174
212. Υπάρχει ειδική διαδικασία γνωστοποίησης παραβίασης Δεδομένων για τους φορείς παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών; Σελ. 175
213. Πότε είναι υποχρεωμένος ο Υπεύθυνος Επεξεργασίας να ενημερώνει τα Υποκείμενα; Σελ. 175
214. Πρέπει ο Υπεύθυνος Επεξεργασίας να τηρεί αρχεία για όλες τις παραβιάσεις; Σελ. 176
215. Τι κάνουμε αν υπάρχει παραβίαση Δεδομένων (data breach) ή υποψία παραβίασης Δεδομένων; Πρέπει να ενημερώσουμε την Αρχή ακόμα και όταν υπάρχει μόνο υποψία; Σελ. 177
216. Αντικαθιστά η γνωστοποίηση της παραβίασης Δεδομένων προσωπικού χαρακτήρα στην Εποπτική Αρχή την γνωστοποίηση στα επηρεαζόμενα φυσικά πρόσωπα; Σελ. 178
217. Από πότε μετράει ο χρόνος των 72 ωρών; Από τη στιγμή που επιβεβαιωθεί το περιστατικό ή από τη στιγμή που είχα την πρώτη ένδειξη; Σελ. 178
218. Ένας πελάτης έλαβε ένα mail που έλεγε ότι σας έχουμε χακάρει και θέλουμε λύτρα. Αρκεί αυτό για να ενημερώσουμε την ΑΠΔΠΧ; Πρέπει να συμπληρώσει έντυπο γνωστοποίησης; Σε τέτοια περίπτωση θα πρέπει να ενημερώσουμε και τη Δίωξη Ηλεκτρονικού Εγκλήματος; Σελ. 179
219. Θα πρέπει πρώτα να επιβεβαιώσουμε ότι έχει γίνει hacking και μετά να το πούμε; Σελ. 179
220. Αν το πούμε στον ένα (π.χ. Δίωξη) και όχι στον άλλο μπορεί να υπάρξουν επιπτώσεις στην εταιρία; Σελ. 179
Κεφάλαιο 4
Δικαιώματα υποκειμένων
1. Γενικές ερωτήσεις Σελ. 181
221. Ποια είναι τα δικαιώματα των Υποκειμένων; Σελ. 181
222. Με ποιον τρόπο ασκούν τα δικαιώματά τους τα Υποκείμενα; Σελ. 182
223. Ποιος είναι ο χρόνος συμμόρφωσης του Υπευθύνου Επεξεργασίας ως προς τα αιτήματα των Υποκειμένων για την ικανοποίηση των δικαιωμάτων τους; Σελ. 182
224. Ποια είναι η επιβάρυνση των Υποκειμένων ως προς την ικανοποίηση των αιτημάτων τους; Σελ. 182
225. Σε περίπτωση μη ικανοποίησης αιτήματος Υποκειμένων από τον Υπεύθυνο Επεξεργασίας σε ποια άλλη ενέργεια δύνανται να προβούν τα Υποκείμενα; Σελ. 182
2. Δικαίωμα πρόσβασης Σελ. 183
226. Πώς μπορούν τα Yποκείμενα να έχουν πρόσβαση στα Δεδομένα τους που κατέχει μια εταιρεία/ένας φορέας; Σελ. 183
227. Η αρχή της διαφάνειας πώς διαμορφώνει το περιεχόμενο του δικαιώματος πρόσβασης των Υποκειμένων; Σελ. 184
228. Πότε πρέπει να γίνεται η ενημέρωση από τον Υπεύθυνο Επεξεργασίας; Σελ. 185
3. Δικαίωμα διόρθωσης Σελ. 185
229. Τα Δεδομένα ενός Υποκειμένου είναι εσφαλμένα. Μπορεί να τα διορθώσει; Σελ. 185
230. Πώς αναλύεται το δικαίωμα διόρθωσης; Σελ. 185
231. Πότε τα Δεδομένα είναι ανακριβή; Σελ. 186
232. Πότε τα Δεδομένα είναι ελλιπή; Σελ. 186
4. Δικαίωμα διαγραφής – Δικαίωμα στη λήθη Σελ. 186
233. Τι είναι το δικαίωμα διαγραφής των Δεδομένων; Σελ. 186
234. Μπορεί το Υποκείμενο να ζητήσει από μια εταιρεία να διαγράψει τα Δεδομένα του; Σελ. 187
235. Πρέπει πάντα να διαγράφουμε Δεδομένα εάν ένα άτομο το ζητά; Σελ. 189
5. Δικαίωμα περιορισμού της επεξεργασίας Σελ. 190
236. Ποιο είναι το περιεχόμενο του δικαιώματος περιορισμού της επεξεργασίας; Σελ. 190
237. Πότε το Yποκείμενο των Δεδομένων έχει αυτό το δικαίωμα; Σελ. 190
238. Το δικαίωμα αυτό μπορεί να ασκηθεί συνδυαστικά με το δικαίωμα διόρθωσης και το δικαίωμα εναντίωσης; Σελ. 191
239. Πώς περιορίζεται η επεξεργασία; Σελ. 191
240. Πότε θα πρέπει το Υποκείμενο να ασκήσει το δικαίωμά του για περιορισμό της επεξεργασίας Δεδομένων του; Σελ. 191
6. Δικαίωμα στη φορητότητα Σελ. 192
241. Ποιο είναι το ουσιαστικό περιεχόμενο του δικαιώματος στη φορητότητα των Δεδομένων; Σελ. 192
242. Πότε έχει εφαρμογή το δικαίωμα στη φορητότητα των Δεδομένων; Σελ. 193
243. Πώς πρέπει να ενημερώνονται τα Yποκείμενα των Δεδομένων για το νέο αυτό δικαίωμα; Σελ. 194
244. Επηρεάζει η άσκηση του δικαιώματος στη φορητότητα των Δεδομένων την άσκηση των άλλων δικαιωμάτων του Υποκειμένου των Δεδομένων; Διαγράφονται τα Δεδομένα από τον αρχικό Υπεύθυνο Επεξεργασίας; Σελ. 195
245. Ποιος είναι ο σκοπός του δικαιώματος στη φορητότητα των Δεδομένων; Σελ. 195
246. Τι δυνατότητες προσφέρει το δικαίωμα στη φορητότητα των Δεδομένων; Σελ. 196
247. Ποια εργαλεία συνιστώνται για την απάντηση σε αιτήματα φορητότητας Δεδομένων; Σελ. 196
248. Σε ποιο βαθμό ευθύνονται οι Υπεύθυνοι Επεξεργασίας για τα Δεδομένα που μεταφέρονται ή λαμβάνονται κατά την άσκηση του δικαιώματος στη φορητότητα των Δεδομένων; Σελ. 196
249. Ποια είναι η προθεσμία που επιβάλλεται για απάντηση σε αίτημα φορητότητας; Σελ. 197
250. Πώς πρέπει να παρέχονται τα φορητά Δεδομένα; Σελ. 197
7. Δικαίωμα εναντίωσης Σελ. 198
251. Ποιο είναι το ουσιαστικό περιεχόμενο του δικαιώματος εναντίωσης; Σελ. 198
252. Μπορεί το Υποκείμενο να ζητήσει από μια εταιρεία/έναν φορέα να σταματήσει την επεξεργασία των Δεδομένων του; Σελ. 199
8. Δικαίωμα στην ανθρώπινη παρέμβαση (μη κατάρτιση προφίλ) Σελ. 200
253. Ποιο το περιεχόμενο του δικαιώματος στην ανθρώπινη παρέμβαση; Σελ. 200
254. Μπορεί το Υποκείμενο να υπόκειται σε αυτοματοποιημένη ατομική λήψη αποφάσεων (μη χειροκίνητη), συμπεριλαμβανομένης της κατάρτισης προφίλ; Σελ. 202
255. Υπάρχουν περιορισμοί όσον αφορά τη χρήση αυτοματοποιημένης λήψης αποφάσεων; Σελ. 203
256. Οι ψηφιοποιημένες αιτήσεις (σκαναρισμένες) νομικά έχουν την ίδια ισχύ με τις έντυπες μορφές σε περίπτωση που υπάρξει ένσταση από το φυσικό πρόσωπο; Σελ. 205
Κεφάλαιο 5
Πρακτικά θέματα συμμόρφωσης δικηγορικών γραφείων
257. Δικηγορικό απόρρητο και όροι εχεμύθειας Σελ. 207
258. Η διαχείριση προσωπικού ενός δικηγορικού γραφείου συνεπάγεται επεξεργασία Δεδομένων; Σελ. 207
259. Ποια Δεδομένα μπορεί να συλλέξει ο Δικηγόρος στο πλαίσιο διαχείρισης του ανθρωπίνου δυναμικού; Σελ. 207
260. Η αρχή της ελαχιστοποίησης των Δεδομένων έχει εφαρμογή και κατά τη διαχείριση ανθρώπινου δυναμικού ενός δικηγορικού γραφείου; Σελ. 208
261. Τι είδους επεξεργασία Δεδομένων κάνει ένα δικηγορικό γραφείο και για ποιο σκοπό; Σελ. 208
262. Για πόσο χρόνο τηρούνται τα Δεδομένα που προκύπτουν από την διαχείριση του προσωπικού; Σελ. 209
263. Πρέπει να ενημερώνονται τα ενδιαφερόμενα Υποκείμενα ως προς την επεξεργασία των Δεδομένων τους; Σελ. 209
264. Ποια Δεδομένα μπορεί να συλλέξει το δικηγορικό γραφείο στο πλαίσιο της διαχείρισης των πελατών του; Σελ. 210
265. Τι ισχύει με το χρόνο τήρησης των Δεδομένων των πελατών ενός δικηγορικού γραφείου; Σελ. 211
266. Υποχρέωση ενημέρωσης πελατών - Υποκειμένων των Δεδομένων Σελ. 212
267. Είναι απαραίτητο να ληφθούν μέτρα ασφάλειας των αρχείων των πελατών; Σελ. 212
268. Τι πρέπει να προσέξει ο Δικηγόρος στα πλαίσια της διαχείρισης του πελατολογίου του; Σελ. 213
269. Βιντεοεπιτήρηση (κάμερες) στο δικηγορικό γραφείο. Σελ. 213
270. Ποιος είναι ο σκοπός της εγκατάστασης καμερών; Σελ. 214
271. Τι είναι απαραίτητο να πράξει δικηγορικό γραφείο που χρησιμοποιεί σύστημα βιντεοεπιτήρησης; Σελ. 214
272. Με ποιους τρόπους δεν πρέπει να χρησιμοποιείται το σύστημα βιντεοεπιτήρησης; Σελ. 214
273. Για πόσο χρονικό διάστημα μπορεί να διατηρηθεί το υλικό των καμερών; Σελ. 214
274. Τι πρέπει να προσέξει ο Δικηγόρος σε σχέση με το σύστημα βιντεοεπιτήρησης; Σελ. 215
275. Ποιοι θεωρούνται Εκτελούντες την Επεξεργασία για ένα δικηγορικό γραφείο; Σελ. 215
276. Τι πρέπει να κάνει το δικηγορικό γραφείο με τους Εκτελούντες; Σελ. 215
277. Με ποιους τρόπους συλλέγουν Δεδομένα τα δικηγορικά γραφεία μέσω των Ιστοσελίδων τους; Σελ. 215
278. Ποιες είναι οι υποχρεώσεις που πρέπει να τηρηθούν αν το δικηγορικό γραφείο συλλέγει Δεδομένα μέσω της ιστοσελίδας του; Σελ. 216
279. Ποιες είναι οι ενημερώσεις που υποχρεωτικώς πρέπει να βρίσκονται στην ιστοσελίδα του Δικηγόρου; Σελ. 216
280. Πρακτικά, τι απαιτείται να προσέξει ένας Δικηγόρος όταν συλλέγει Δεδομένα από την ιστοσελίδα του; Σελ. 218
281. Ποιες θεωρούνται καλές πρακτικές για την ασφάλεια των Δεδομένων; Σελ. 218
282. Ποια είναι η διαδικασία σε περίπτωση παραβίασης της προστασίας των Δεδομένων; Σελ. 219
283. Συνοπτικά σε ποια βήματα πρέπει να προβεί ο Δικηγόρος όταν έρθει αντιμέτωπος με μία ενδεχόμενη παραβίαση Δεδομένων; Σελ. 220
284. Είναι υποχρεωμένο ένα δικηγορικό γραφείο να τηρεί αρχείο δραστηριοτήτων; Σελ. 221
285. Yφίσταται υποχρέωση των δικηγορικών γραφείων να ορίσουν Data Protection Officer (DPO); Σελ. 221
286. Ποιες είναι οι υποχρεώσεις και η αποστολή του DPO; Σελ. 223
287. Δύναται ο Δικηγόρος να ενεργεί ως DPO; Σελ. 223
288. Ικανοποίηση του δικαιώματος πρόσβασης των Υποκειμένων των Δεδομένων που επεξεργάζεται το δικηγορικό γραφείο Σελ. 224
289. Ποια είναι η μεθοδολογία που πρέπει να ακολουθηθεί για τη συμμόρφωση ενός δικηγορικού γραφείου; Σελ. 225
Κεφάλαιο 6
Προσωπικά δεδομένα εν μέσω κορωνοϊού (Covid-19)
1. GDPR και δεδομένα υγειονομικού ενδιαφέροντος Σελ. 227
290. Πότε τα Δεδομένα υγειονομικού ενδιαφέροντος προστατεύονται με βάση τον GDPR; Σελ. 227
291. Σε ποιες νομικές βάσεις στηρίζεται η επεξεργασία Δεδομένων υγείας λόγω κορωνοϊού; Σελ. 228
292. Εταιρία μπορεί να προβαίνει σε θερμομέτρηση των εισερχόμενων εργαζομένων στις εγκαταστάσεις της; Σελ. 229
293. Η επεξεργασία των Δεδομένων θανόντων από τον κορωνοϊό προστατεύεται με βάση τον GDPR; Σελ. 230
294. Μπορεί τρίτος να επεξεργαστεί Δεδομένα υγείας που δημοσιοποιούνται οικειοθελώς από τους ήδη νοσούντες; Σελ. 230
295. Κατά την επεξεργασία Δεδομένων υγειονομικού περιεχομένου για δημοσιογραφικούς σκοπούς είναι αναγκαία η δημοσιοποίηση ονοματεπώνυμου ή φωτογραφίας ήδη νοσούντων από τον κορωνοϊό; Σελ. 230
296. Δημοσιοποίηση από περιοδικό λίστας επιβεβαιωμένων ασθενών με Covid-19 Σελ. 231
297. Εντεινόμενη επεξεργασία προσωπικών δεδομένων εργαζομένων λόγω Covid-19. Η επεξεργασία τέτοιου είδους πληροφοριών από τους εργοδότες είναι σύννομη πρακτική; Σελ. 232
298. Τι είδους πληροφορίες είναι δυνατόν να δημοσιοποιηθούν από τους αρμόδιους φορείς αναφορικά με ήδη νοσούντες; Σελ. 234
2. Μέτρα για την αποτροπή διάδοσης της πανδημίας & GDPR Σελ. 235
299. Συσκευές θερμομέτρησης στα δικαστήρια Σελ. 235
300. Θερμοκάμερες σε δημόσιους φορείς και εταιρείες Σελ. 236
301. Τηλεργασία & μέτρα για την προστασία των δεδομένων εργαζομένων Σελ. 237
302. Ελληνικό νομικό πλαίσιο τηλεργασίας ενόψει πανδημίας Σελ. 238
303. Κατευθυντήριες γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφαλείας στο πλαίσιο τηλεργασίας Σελ. 239
304. Τηλεκπαίδευση στα πανεπιστημιακά ιδρύματα Σελ. 242
305. Υπουργική απόφαση για την τηλεκπαίδευση κατά το σχολικό έτος 2020-2021 Σελ. 245
305α. Για πόσο χρονικό διάστημα και σε ποιους παρέχεται η σύγχρονη εξ’ αποστάσεως εκπαίδευση; Σελ. 245
305β. Στο πλαίσιο λειτουργίας της ως άνω πλατφόρμας τί ισχύει ως προς τα Δεδομένα που τυγχάνουν επεξεργασίας από το Υπουργείο Παιδείας και Θρησκευμάτων; Σελ. 246
305γ. Σε περίπτωση που σχολική μονάδα ιδιωτικής εκπαίδευσης επιλέξει άλλη ψηφιακή πλατφόρμα από αυτήν που διατίθεται δωρεάν από το Υπουργείο Παιδείας και Θρησκευμάτων, πρέπει να συμμορφώνεται με τις κείμενες διατάξεις περί προστασίας προσωπικών δεδομένων; Σελ. 247
305δ. Ποιος είναι ο σκοπός επεξεργασίας των ανωτέρω Δεδομένων; Σελ. 247
305ε. Ποια είναι τα δικαιώματα των Υποκειμένων στα πλαίσια της εξ αποστάσεως εκπαίδευσης; Σελ. 247
305στ. Ποιος έχει υποχρέωση ενημέρωσης των Υποκειμένων για την επεξεργασία των Δεδομένων τους στα πλαίσια της τηλεκπαίδευσης; Σελ. 248
305ζ. Είναι υποχρεωμένες τόσο οι δημόσιες όσο και οι ιδιωτικές σχολικές μονάδες κατά την υλοποίηση της τηλεκπαίδευσης να συμμορφώνονται προς τις υποχρεώσεις της κείμενης νομοθεσίας περί προστασίας Δεδομένων; Σελ. 248
3. Διαδικτυακές εξετάσεις-επιτήρηση Σελ. 248
306. Είναι θεμιτή η χρήση της διαδικτυακής εξέτασης σύμφωνα με το νομοθετικό πλαίσιο της προστασίας των προσωπικών Δεδομένων που επιτάσσει ο GDPR; Σελ. 248
4. Ιχνηλάτηση ασθενών Covid-19 Σελ. 249
307. Είναι υποχρεωτική ή προαιρετική η τήρηση του Εθνικού Μητρώου ασθενών COVID-19 στη χώρα μας; Σελ. 249
308. Ποιοί είναι οι σκοποί σύστασης και λειτουργίας του Εθνικού Μητρώου Ασθενών COVID-19; Σελ. 250
309. Η ανάθεση εκτέλεσης επεξεργασίας στην ΗΔΙΚΑ ΑΕ την καθιστά Εκτελούσα την Επεξεργασία για λογαριασμό του Υπουργείου Υγείας; Σελ. 251
310. Πώς γίνεται η καταγραφή των ασθενών COVID-19 στο Μητρώο και τι στοιχεία διατηρούνται; Σελ. 252
311. Ποιοι έχουν πρόσβαση στα Δεδομένα υγείας που καταχωρούνται στο Μητρώο ασθενών COVID-19; Σελ. 253
312. Για πόσο χρονικό διάστημα διατηρούνται τα Δεδομένα των ασθενών COVID-19 στο Μητρώο; Σελ. 253
313. Ποια από τις χρησιμοποιούμενες μεθόδους ιχνηλάτησης φορέων κορω­νοϊού είναι εκείνη που συνιστά τη λιγότερο δυνατή προσβολή των Δεδομένων των Υποκειμένων ; Σελ. 254
314. Πώς θα δουλεύει το σύστημα των Google/Apple; Σελ. 254
315. Η χρήση τέτοιου είδους εφαρμογών ιχνηλάτησης φορέων κορωνοϊού είναι αποδεκτή; Σελ. 255
Υποδείγματα
1. Υπόδειγμα αρχείου επεξεργασίας δικηγορικού γραφείου Σελ. 259
2. Πολιτική Προστασίας Προσωπικών Δεδομένων Σελ. 261
3. Αίτηση άσκησης δικαιωμάτων Σελ. 263
4. Ρήτρα προστασίας προσωπικών δεδομένων Σελ. 265
5. Παράρτημα στη σύμβαση εργαζομένου (διοικητικού προσωπικού) για τη συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα Σελ. 267
6. Παράρτημα στη σύμβαση δικηγορικού γραφείου με Εκτελούντα την Επεξεργασία Σελ. 270
7. Πρωτόκολλο καταστροφής Σελ. 273
8. Αρχείο καταγραφής παραβιάσεων Σελ. 274
Αλφαβητικό ευρετήριο Σελ. 277

Σελ. 7

Κεφάλαιο 2

Πρακτικά βήματα συμμόρφωσης

1. Διαμόρφωση συνείδησης προστασίας προσωπικών δεδομένων στην επιχείρηση (Awareness)

1 | Ποιο είναι το ρυθμιστικό πλαίσιο του Κανονισμού και από πότε ισχύει;

O Γενικός Κανονισμός για την Προστασία Δεδομένων (εφεξής «Γενικός Κανονισμός» ή «GDPR»), είναι ο Ευρωπαϊκός Κανονισμός που ρυθμίζει τον τρόπο, με τον οποίο οι ιδιωτικές επιχειρήσεις και όλοι οι φορείς του δημοσίου επεξεργάζονται τα προσωπικά Δεδομένα (εφεξής «Δεδομένα») των Ευρωπαίων πολιτών. Είναι γενικής εφαρμογής, υποχρεωτικός και άμεσα εφαρμόσιμος από τις 25.5.2018 σε όλα τα κράτη μέλη της Ε.Ε. και αφορά όλους τους φορείς του δημοσίου και όλες τις ιδιωτικές επιχειρήσεις (μικρές ή μεγάλες) που είναι εγκατεστημένες σε κράτος - μέλος της Ε.Ε. ή διαχειρίζονται Δεδομένα Ευρωπαίων πολιτών. Να γίνει μνεία ότι περιέχει και 28 άρθρα που εισάγουν τις λεγόμενες «ρήτρες ευελιξίας» ή «ρήτρες ανοίγματος», γεγονός που συνεπάγεται την δυνατότητα κάθε κράτους - μέλους να τις εξειδικεύσει ανάλογα με τη δική του δικαιική κουλτούρα, θέτοντας σε ισχύ τα κατάλληλα νομοθετικά μέτρα. Στην περίπτωση της Ελλάδας, οι «ρήτρες ευελιξίας» ή «ρήτρες ανοίγματος» που εισήγαγε ο GDPR, εξειδικεύτηκαν με τον Νόμο 4624/2019, ο οποίος τέθηκε σε ισχύ την 1.9.2019.

2 | Σε ποιους εφαρμόζεται ο GDPR, όπως εξειδικεύεται με τον Νόμο 4624/2019;

Ο GDPR, όπως εξειδικεύεται με τον Νόμο 4624/2019, εφαρμόζεται: α) σε εταιρείες ή φορείς που επεξεργάζονται Δεδομένα στο πλαίσιο των δραστηριοτήτων τους και έχουν εγκατάσταση σε κράτος μέλος της Ε.Ε., ανεξάρτητα από το πού γίνεται η επεξεργασία των Δεδομένων ή β) σε εταιρείες ή φορείς που έχουν έδρα εκτός της Ε.Ε. και προσφέρουν αγαθά/υπηρεσίες (επί πληρωμή ή δωρεάν) ή παρακολουθούν τη συμπεριφορά φυσικών προσώπων στην Ε.Ε.

Για παράδειγμα, εάν μια μικρομεσαία επιχείρηση με έδρα σε κράτος - μέλος της Ε.Ε. επεξεργάζεται Δεδομένα μη Ευρωπαίων πολιτών πρέπει να συμμορφώνεται με τον GDPR. Την ίδια υποχρέωση συμμόρφωσης με τον GDPR έχει και μια αντίστοιχη επιχείρηση που εδρεύει εκτός Ε.Ε., πλην όμως επεξεργάζεται Δεδομένα Ευρωπαίων πολιτών. Ωστόσο, εάν η επεξεργασία Δεδομένων δεν αποτελεί βασικό μέρος της επιχειρηματικής δραστηριότητάς της και η δραστηριότητα δεν δημιουργεί κινδύνους για φυσικά πρόσωπα, τότε ορισμένες από τις υποχρεώσεις

Σελ. 8

του GDPR δεν ισχύουν για αυτήν [π.χ. ο διορισμός υπεύθυνου προστασίας Δεδομένων(DPO)].

3 | Πότε εφαρμόζεται ο GDPR μέσω ενός πρακτικού παραδείγματος;

Μικρή εταιρεία που δραστηριοποιείται ως πάροχος λογισμικού, κατασκευής & συντήρησης ιστοσελίδων, έχει έδρα εκτός της Ε.Ε. και συνεργάζεται κυρίως με ισπανόφωνα και πορτογαλόφωνα Πανεπιστήμια στην Ε.Ε.. Η εν λόγω εταιρεία παρέχει δωρεάν συμβουλές στα Πανεπιστήμια για την υλοποίηση του προγράμματος σπουδών τους και περαιτέρω, χορηγεί το όνομα χρήστη αλλά και τον κωδικό πρόσβασης κάθε φοιτητή, εφόσον οι τελευταίοι συμπληρώσουν τη φόρμα εγγραφής στην αντίστοιχη ιστοσελίδα. Η συγκεκριμένη εταιρεία, μολονότι δεν έχει επαγγελματική εγκατάσταση εντός Ε.Ε., συνεργάζεται με Πανεπιστήμια στην Ε.Ε. και προκειμένου να χορηγήσει το όνομα χρήστη αλλά και τον κωδικό πρόσβασης κάθε φοιτητή στο αντίστοιχο Πανεπιστήμιο επεξεργάζεται Δεδομένα μεγάλου αριθμού φοιτητών των ευρωπαϊκών πανεπιστημιακών ιδρυμάτων. Επομένως, η εταιρεία με την ιδιότητα του Εκτελούντος την Επεξεργασία προβαίνει στην συγκεκριμένη συλλογή Δεδομένων των φοιτητών που είναι απαραίτητη για να εκτελέσει τη σύμβαση παροχής λογισμικού ως προς τα Πανεπιστήμια. Εξάλλου, τα Πανεπιστήμια είναι οι Υπεύθυνοι Επεξεργασίας υπό τις οδηγίες των οποίων παρέχει τις υπηρεσίες λογισμικού η εταιρεία και επομένως τόσο η εταιρεία όσο και τα Πανεπιστήμια είναι υποχρεωμένοι να συμμορφώνονται με τις επιταγές του GDPR.

4 | Πότε δεν εφαρμόζεται ο GDPR μέσω ενός πρακτικού παραδείγματος;

Εταιρεία - πάροχος υπηρεσιών με έδρα εκτός της Ε.Ε. που παρέχει υπηρεσίες σε πελάτες εκτός της Ε.Ε. Οι πελάτες της μπορούν να χρησιμοποιούν τις υπηρεσίες της όταν ταξιδεύουν σε άλλες χώρες, συμπεριλαμβανομένης της Ε.Ε.. Εφόσον η εταιρεία δεν απευθύνει ειδικά τις υπηρεσίες της σε φυσικά πρόσωπα στην Ε.Ε., δεν υπόκειται στους κανόνες του GDPR.

5 | Μερικά παραδείγματα Δεδομένων;

Μερικά παραδείγματα Δεδομένων είναι τα εξής:

1. Βασικά Δεδομένα (π.χ. όνομα, επώνυμο, διεύθυνση, αριθμός τηλεφώνου κ.λπ.)

2. Μοναδικά Δεδομένα ταυτοποίησης (π.χ. αριθμός ταυτότητας, αριθμός διαβατηρίου, ΑΜΚΑ, ΑΦΜ)

3. Οικονομικά Στοιχεία (π.χ IBAN)

Σελ. 9

6 | Ποια Δεδομένα μπορούν να υποβληθούν σε επεξεργασία και υπό ποιες προϋποθέσεις;

Το είδος και ο όγκος των Δεδομένων που μπορεί να επεξεργάζεται η εταιρεία ή ο φορέας εξαρτώνται από τον λόγο της επεξεργασίας (νομικός λόγος που χρησιμοποιείται) και από τη σκοπούμενη χρήση. Η εταιρεία ή ο φορέας πρέπει να τηρεί διάφορους βασικούς κανόνες, όπως τους εξής:

τα Δεδομένα πρέπει να υποβάλλονται σε επεξεργασία με νόμιμο και διαφανή τρόπο, διασφαλίζοντας την αντικειμενικότητα προς τα άτομα των οποίων τα Δεδομένα υποβάλλονται σε επεξεργασία («νομιμότητα, αντικειμενικότητα και διαφάνεια»)·

να υπάρχουν συγκεκριμένοι σκοποί για την επεξεργασία των Δεδομένων και η εταιρεία ή ο φορέας πρέπει να υποδεικνύει τους εν λόγω σκοπούς στα άτομα όταν συλλέγει τα Δεδομένα τους. Δεν μπορεί απλώς να συλλέγει Δεδομένα για απροσδιόριστους σκοπούς («περιορισμός του σκοπού»)·

η εταιρεία ή ο φορέας πρέπει να συλλέγει και να επεξεργάζεται μόνο τα Δεδομένα που είναι απαραίτητα για την επίτευξη του εν λόγω σκοπού («ελαχιστοποίηση των δεδομένων»)·

η εταιρεία ή ο φορέας πρέπει να διασφαλίζει ότι τα Δεδομένα είναι ακριβή και ενημερωμένα, λαμβάνοντας υπόψη τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία και να τα διορθώνει στην αντίθετη περίπτωση («ακρίβεια»)·

η εταιρεία ή ο φορέας δεν μπορεί να κάνει περαιτέρω χρήση των Δεδομένων για άλλους σκοπούς που δεν είναι συμβατοί με τον αρχικό σκοπό·

η εταιρεία ή ο φορέας πρέπει να διασφαλίζει ότι τα Δεδομένα δεν αποθηκεύονται για διάστημα μεγαλύτερο από αυτό που είναι απαραίτητο για τους σκοπούς για τα οποία συλλέχθηκαν («περιορισμός της περιόδου αποθήκευσης»)·

η εταιρεία ή ο φορέας πρέπει να υλοποιήσει κατάλληλες τεχνικές και οργανωτικές εγγυήσεις που εξασφαλίζουν την ασφάλεια των Δεδομένων, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή φθορά, χρησιμοποιώντας κατάλληλη τεχνολογία («ακεραιότητα και εμπιστευτικότητα»).

Σελ. 10

7 | Η θεωρία αναφέρει ότι δεδομένο υγείας αποτελεί όποιο δεδομένο αφορά την κατάσταση της υγείας ενός ατόμου, ήτοι ακόμα ότι αυτός είναι υγιής ή καπνιστής κ.λπ. Σε περίπτωση προωθητικής ενέργειας καπνικών προϊόντων ο καταναλωτής ερωτάται εάν είναι καπνιστής και ποια μάρκα τσιγάρων προτιμά. Αυτό αποτελεί προσωπικό δεδομένο υγείας; Στο ίδιο πλαίσιο, αποτελεί δεδομένο υγείας η βεβαίωση ιατρού, που αποδεικνύει ότι κάποιος είναι υγιής, προκειμένου να συμμετάσχει σε αθλητικό event;

Ως δεδομένα υγείας είναι αυτά που αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας ενός προσώπου όπως αναφέρεται στους ορισμούς του άρθρου 4 του Κανονισμού GDPR. Το γεγονός ότι κάποιος καπνίζει ή καταναλώνει αλκοόλ δεν οδηγεί σε συμπεράσματα για την υγεία του και δεν πρέπει να θεωρείται δεδομένο υγείας, εκτός αν ορίζεται διαφορετικά από το εθνικό δίκαιο. Όμως, η βεβαίωση του γιατρού ότι κάποιος είναι υγιής για να συμμετάσχει σε αθλητική εκδήλωση αποκαλύπτει ότι η κατάσταση της υγείας του είναι καλή και αντιμετωπίζεται ως δεδομένο υγείας.

8 | Τα ηλεκτρονικά καταστήματα πώλησης ειδών που σχετίζονται με ειδικές κατηγορίες Δεδομένων, όπως θρησκευτικές απόψεις (κατάστημα εμπορίας εικόνων και εκκλησιαστικών ειδών) ή σεξουαλικές προτιμήσεις (sex shop) θεωρούνται ως Υπεύθυνοι Επεξεργασίας ειδικών κατηγοριών Δεδομένων; Και αν ναι, τι υποχρεώσεις έχουν προς την ΑΠΔΠΧ;

Η αγορά τέτοιων αντικειμένων δεν μπορεί να οδηγήσει σε συμπεράσματα για τις προσωπικές επιλογές του αγοραστή περί θρησκευτικών πεποιθήσεων και γενετήσιου προσανατολισμού. Ως εκ τούτου δεν θεωρούνται οι έμποροι των συγκεκριμένων ειδών ως Υπεύθυνοι ειδικών κατηγοριών Δεδομένων.

9 | Αντιμετωπίζεται ο ΑΜΚΑ ως δεδομένο ειδικής κατηγορίας;

Ο ΑΜΚΑ δεν ανήκει στα δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση ούτε στα γενετικά δεδομένα, βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία, τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό του. Εκ του ΑΜΚΑ και μόνο εξ αυτού ως αριθμού δεν δύναται να εξαχθούν συμπεράσματα για την υγεία του προσώπου.

Σελ. 11

10 | Τι σημαίνει η προστασία Δεδομένων «ήδη από τον σχεδιασμό» και «εξ’ ορισμού»;

Η προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας Δεδομένων απαιτεί την αποτελεσματική λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε να διασφαλίζεται ότι τηρούνται οι απαιτήσεις του GDPR.

Παράγοντες που πρέπει να λαμβάνονται υπόψη είναι: οι τελευταίες εξελίξεις της τεχνολογίας, το κόστος εφαρμογής των μέτρων, η φύση, το πεδίο εφαρμογής, το πλαίσιο και οι σκοποί της επεξεργασίας, καθώς και οι κίνδυνοι, –των οποίων ο βαθμός πιθανότητας και σοβαρότητας ποικίλλει− για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία.

Προκειμένου, λοιπόν, ο Υπεύθυνος Επεξεργασίας να μπορεί να αποδείξει συμμόρφωση προς τον Κανονισμό, θα πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει μέτρα τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, ανταποκρινόμενος έτσι, μεταξύ άλλων, στις αρχές της προστασίας των Δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού.

Σύμφωνα με την αρχή της προστασίας των Δεδομένων ήδη από τον σχεδιασμό, κατά τη στιγμή του σχεδιασμού των συστημάτων επεξεργασίας και του καθορισμού των μέσων επεξεργασίας, ο Υπεύθυνος Επεξεργασίας πρέπει να ενσωματώνει και να εφαρμόζει κατάλληλα μέτρα και να χρησιμοποιεί τεχνολογίες ενίσχυσης της ιδιωτικότητας, όπως ψευδωνυμοποίηση Δεδομένων το συντομότερο δυνατόν (δηλ. αντικατάσταση προσωπικά ταυτοποιήσιμων πληροφοριών με τεχνητά αναγνωριστικά στοιχεία), κρυπτογράφηση (κωδικοποίηση Δεδομένων έτσι ώστε μόνο όσοι είναι εξουσιοδοτημένοι να μπορούν να τα διαβάζουν), ελαχιστοποίηση της επεξεργασίας των Δεδομένων και ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία, κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του GDPR και να προστατεύονται τα δικαιώματα των Υποκειμένων των δεδομένων.

Προστασία Δεδομένων «ήδη από τον σχεδιασμό» σημαίνει ότι οι εταιρείες/φορείς πρέπει να εφαρμόζουν τεχνικά και οργανωτικά μέτρα, στα αρχικά στάδια του σχεδιασμού των πράξεων επεξεργασίας, με τέτοιον τρόπο ώστε να διασφαλίζονται οι αρχές ιδιωτικού απορρήτου και προστασίας Δεδομένων ήδη από την αρχή.

Κατά την ανάπτυξη, τον σχεδιασμό, την επιλογή και τη χρήση εφαρμογών, υπηρεσιών και προϊόντων που βασίζονται στην επεξεργασία Δεδομένων ή όταν επεξεργάζονται Δεδομένα για την εκπλήρωση του έργου τους, οι παραγωγοί προϊόντων, υπηρεσιών και εφαρμογών πρέπει να λαμβάνουν υπόψη τους το δικαίωμα προστασίας των Δεδομένων, ώστε, συνεκτιμώντας τις τελευταίες εξελίξεις της τεχνολογίας, να διασφαλίζεται ότι οι Υπεύθυνοι Επεξεργασίας και οι Εκτελούντες την

Σελ. 12

Επεξεργασία θα είναι σε θέση να εκπληρώνουν τις υποχρεώσεις τους όσον αφορά την προστασία των Δεδομένων.

Προστασία Δεδομένων «εξ’ ορισμού» σημαίνει ότι οι εταιρείες/ φορείς θα πρέπει να διασφαλίζουν ότι τα Δεδομένα υποβάλλονται σε επεξεργασία με το υψηλότερο επίπεδο προστασίας της ιδιωτικής ζωής (π.χ. μόνο τα απαραίτητα Δεδομένα πρέπει να υποβάλλονται σε επεξεργασία, σύντομη περίοδος αποθήκευσης, περιορισμένη προσβασιμότητα) έτσι ώστε εξ ορισμού τα Δεδομένα να μην είναι προσβάσιμα από αόριστο αριθμό φυσικών προσώπων.

Σύμφωνα με την αρχή της προστασίας των Δεδομένων εξ ορισμού, ο Υπεύθυνος Επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, εξασφαλίζεται η ιδιωτικότητα και υφίστανται επεξεργασία μόνο τα Δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των Δεδομένων που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα Δεδομένα δεν καθίστανται προσβάσιμα, χωρίς την παρέμβαση φυσικού προσώπου, σε αόριστο αριθμό φυσικών προσώπων.

Για παράδειγμα, μια πλατφόρμα κοινωνικής δικτύωσης θα πρέπει να ενθαρρύνεται να ορίζει τις ρυθμίσεις των προφίλ των χρηστών έτσι ώστε να προστατεύεται, όσο το δυνατόν περισσότερο, το ιδιωτικό απόρρητο, όπως όταν περιορίζεται από την αρχή η προσβασιμότητα στα προφίλ των χρηστών για να μην είναι προσβάσιμα εξ ορισμού από αόριστο αριθμό ατόμων.

Τέλος, ένα μέτρο το οποίο ανταποκρίνεται στις αρχές της προστασίας των Δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού είναι και η διαφάνεια όσον αφορά τις λειτουργίες και την επεξεργασία των Δεδομένων, ώστε να μπορεί το Υποκείμενο να παρακολουθεί την επεξεργασία των Δεδομένων του και να είναι σε θέση ο Υπεύθυνος Επεξεργασίας να δημιουργεί και να βελτιώνει τα χαρακτηριστικά ασφάλειας.

11 | Με ποιον πρακτικό τρόπο υλοποιείται η προστασία Δεδομένων «ήδη από τον σχεδιασμό»;

Με τη χρήση ψευδωνυμοποίησης (αντικατάσταση προσωπικά ταυτοποιήσιμου υλικού με τεχνητά αναγνωριστικά στοιχεία) και κρυπτογράφησης (κωδικοποίηση μηνυμάτων έτσι ώστε μόνο όσοι είναι εξουσιοδοτημένοι να μπορούν να τα διαβάζουν)

[Άρθρο 25 παρ. 1 και αιτιολογική σκέψη 78 του GDPR].

Σελ. 13

12 | Με ποιον πρακτικό τρόπο υλοποιείται η προστασία Δεδομένων «εξ ορισμού»;

Πλατφόρμα κοινωνικής δικτύωσης ενθαρρύνεται να ορίζει τις ρυθμίσεις των προφίλ των χρηστών με τέτοιον τρόπο ώστε να προστατεύουν όσο το δυνατόν περισσότερο το ιδιωτικό απόρρητο περιορίζοντας από την αρχή την προσβασιμότητα στα προφίλ των χρηστών έτσι ώστε να μην είναι προσβάσιμα εξ ορισμού από αόριστο αριθμό ατόμων και προβλέποντας μια σύντομη περίοδο αποθήκευσης των εν λόγω δεδομένων. Αυτό συνεπάγεται ότι μόνο τα απαραίτητα Δεδομένα υποβάλλονται σε επεξεργασία, υπάρχει σύντομη περίοδος αποθήκευσής τους και περιορισμένη προσβασιμότητα σε αυτά.

[Άρθρο 25 παρ. 2 και αιτιολογική σκέψη 78 του GDPR].

13 | Επηρεάζονται οι μικρές επιχειρήσεις από την εφαρμογή του GDPR;

Όλες οι επιχειρήσεις, ακόμα και οι μικρές, που επεξεργάζονται Δεδομένα φυσικών προσώπων οφείλουν να συμμορφώνονται με τον Κανονισμό.

14 | Γιατί είναι σημαντικό οι επιχειρήσεις που δεν έχουν ακόμα συμμορφωθεί στις επιταγές του GDPR να ξεκινήσουν έναν προγραμματισμό προς αυτή την κατεύθυνση;

Κάνοντας το επόμενο βήμα στη συμμόρφωση με τον Κανονισμό, οι επιχειρήσεις δείχνουν ότι σέβονται τα Δεδομένα των πελατών τους και αποκτούν ανταγωνιστικό πλεονέκτημα.

Από την άλλη, αν δεν επιχειρήσουν αυτό το βήμα ενδέχεται να έρθουν αντιμέτωπες με άμεσες απώλειες, όπως πρόστιμα, αλλά και μακροπρόθεσμες, όπως ο κλονισμός της εμπιστοσύνης των πελατών τους και κατ’ επέκταση ζημίες στις πωλήσεις και στη φήμη τους.

Εξάλλου, ο σεβασμός στην προστασία των Δεδομένων σχετίζεται άμεσα με την εμπιστοσύνη πελατών, προμηθευτών και εργαζομένων και κατ’ επέκταση με τη φήμη της επιχείρησης.

Σελ. 14

15 | Τι πρέπει να κάνουν οι μικρές και μεσαίες επιχειρήσεις για να συμμορφωθούν με τον GDPR; Τι συστήνεται να ακολουθήσουν προκειμένου να αποφύγουν «περιπέτειες» σε περίπτωση που τους γίνει έλεγχος από την αρμόδια εποπτική αρχή ή υπάρξουν καταγγελίες σε βάρος τους από εργαζόμενους ή πελάτες τους;

Οι μικρές και μεσαίες επιχειρήσεις ως υπεύθυνες επεξεργασίας συστήνεται να προβούν στα εξής:

1) Διαμόρφωση συνείδησης προστασίας Δεδομένων στην επιχείρηση (awareness). Τούτο προϋποθέτει ενημέρωση όχι μόνο της διοίκησης (management) αλλά και όλου του προσωπικού για το ότι ο Κανονισμός επιφέρει αλλαγές στην προστασία των Δεδομένων και κατ’ επέκταση, ενδεχομένως, και στη λειτουργία της επιχείρησης. Συνεπώς, όλοι οι εργαζόμενοι επιβάλλεται να γνωρίζουν, στο βαθμό που είναι αναγκαίο για την ορθή άσκηση των καθηκόντων τους, τί επιτρέπεται και τί απαγορεύεται, τί είναι υποχρεωτικό και τί προαιρετικό, με βάση τον Κανονισμό. Ακόμη και αν όλα τα τεχνικά μέτρα προστασίας που η επιχείρηση εφαρμόζει είναι άψογα, εφόσον δεν υπάρξει ευαισθητοποίηση και κινητοποίηση του ανθρώπινου δυναμικού της, θα ανακύπτουν συνεχώς προβλήματα συμμόρφωσης.

2) Χαρτογράφηση των δεδομένων, τα οποία η επιχείρηση επεξεργάζεται, τις πηγές από τις οποίες τα αντλεί και τους αποδέκτες τους.

3) Αναθεώρηση της πολιτικής απορρήτου (γνωστή και ως πολιτική προστασίας δεδομένων, privacy notice) ώστε να είναι συμβατή με τις διατάξεις του Κανονισμού.

4) Έλεγχος των υφιστάμενων διαδικασιών της επιχείρησης ώστε να εξακριβωθεί αν και κατά πόσο διασφαλίζουν την υλοποίηση των νέων καθώς και των ήδη υφιστάμενων αλλά ενισχυμένων πλέον από τον Κανονισμό δικαιωμάτων των Υποκειμένων των δεδομένων. Πρόκειται για τα:

δικαίωμα ενημέρωσης

δικαίωμα πρόσβασης

δικαίωμα διόρθωσης

δικαίωμα διαγραφής («δικαίωμα στη λήθη»)

δικαίωμα στον περιορισμό της επεξεργασίας

δικαίωμα στη φορητότητα των δεδομένων

δικαίωμα εναντίωσης.

Εφίσταται η προσοχή στην άσκηση του δικαιώματος πρόσβασης του Υποκειμένου διότι η προθεσμία απάντησης είναι μόνο ένας μήνας. Σε περίπτωση άρνησης ικανοποίησης των δικαιωμάτων των Υποκειμένων, το Υποκείμενο των Δεδομένων

Σελ. 15

έχει το δικαίωμα να υποβάλει καταγγελία στην αρμόδια εποπτική αρχή (ΑΠΔΠΧ) και να προσφύγει δικαστικά κατά του υπευθύνου επεξεργασίας, ζητώντας αποζημίωση.

5) Έλεγχος αν έχουν υιοθετηθεί τα κατάλληλα οργανωτικά και τεχνικά μέτρα προκειμένου η επιχείρηση να μπορεί αμέσως και ευχερώς να ανταποκρίνεται σε αιτήματα των Υποκειμένων των Δεδομένων για πρόσβαση σ’ αυτά, ιδίως μάλιστα αν αναμένονται πολλά τέτοια αιτήματα.

16 | Πώς αποδεικνύεται ότι εταιρεία ή φορέας συμμορφώνονται με τον GDPR;

Η αρχή της λογοδοσίας συνιστά ακρογωνιαίο λίθο του GDPR. Σύμφωνα με το υφιστάμενο νομικό πλαίσιο, εταιρείες και φορείς οφείλουν να συμμορφώνονται με όλες τις αρχές προστασίας Δεδομένων καθώς και να αποδεικνύουν τη συμμόρφωση αυτή. Ο GDPR παρέχει μια σειρά εργαλείων για να βοηθά να αποδεικνύεται η λογοδοσία των εταιρειών ή φορέων, ορισμένα εκ των οποίων πρέπει να τίθενται σε εφαρμογή υποχρεωτικά.

Για παράδειγμα, σε ορισμένες περιπτώσεις ο διορισμός DPO ή η διεξαγωγή εκτιμήσεων αντικτύπου σχετικά με την προστασία Δεδομένων (DPIA) μπορεί να είναι υποχρεωτικά. Οι Υπεύθυνοι Επεξεργασίας και οι Εκτελούντες την Επεξεργασία μπορούν να επιλέξουν να χρησιμοποιήσουν άλλα εργαλεία, π.χ. κώδικες δεοντολογίας και μηχανισμούς πιστοποίησης, για την απόδειξη της συμμόρφωσης με τις αρχές προστασίας δεδομένων.

Εργαλείο λογοδοσίας μπορεί να συνιστά ένας κώδικας δεοντολογίας που έχει καταρτισθεί από επιχειρηματική ένωση και έχει εγκριθεί από μια Αρχή Προστασίας Δεδομένων. Ένας κώδικας δεοντολογίας μπορεί να τεθεί σε ισχύ σε όλη την Ε.Ε. μέσω αντίστοιχης εκτελεστικής πράξης της Επιτροπής. Επί παραδείγματι, ο γενικός ασφαλιστικός φορέας στο κράτος μέλος της Ε.Ε. στο οποίο εδρεύει η εταιρεία ή ο φορέας διαθέτει κώδικα δεοντολογίας που έχει εγκριθεί από την εποπτική αρχή. Ορισμένες ανταγωνίστριες ασφαλιστικές εταιρείες έχουν υιοθετήσει τον εν λόγω κώδικα. Παρόλο που η τήρηση του κώδικα είναι προαιρετική, συμβάλλει στην απόδειξη της συμμόρφωσής τους με τον GDPR.

Ένα άλλο εργαλείο λογοδοσίας που προβλέπεται στον GDPR είναι ο μηχανισμός πιστοποίησης που θα εφαρμόζεται από έναν από τους φορείς πιστοποίησης που θα λάβουν διαπίστευση από Αρχή Προστασίας Δεδομένων ή εθνικό οργανισμό διαπίστευσης ή και τα δύο, όπως ορίζεται στη νομοθεσία κάθε κράτους μέλους της Ε.Ε. Το άρθρο 42 παράγραφος 1 GDPR προβλέπει ότι μηχανισμοί πιστοποίησης θεσπίζονται «με σκοπό την απόδειξη της συμμόρφωσης προς τον παρόντα

Σελ. 16

κανονισμό των πράξεων επεξεργασίας από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία».

Τόσο οι κώδικες δεοντολογίας όσο και η πιστοποίηση είναι προαιρετικά μέσα και για αυτόν τον λόγο εξαρτάται από την εταιρεία ή τον φορέα να αποφασίσει εάν θα τηρεί έναν συγκεκριμένο κώδικα δεοντολογίας ή εάν θα ζητήσει πιστοποίηση.

Να τονιστεί ότι, παρόλο που η εταιρεία ή ο φορέας οφείλουν και πάλι να τηρούν και να συμμορφώνονται με τον GDPR, η τήρηση τέτοιων μέσων μπορεί να λαμβάνεται υπόψη στην περίπτωση λήψης μέτρου επιβολής του νόμου εναντίον τους σε περίπτωση παραβίαση του GDPR.

17 | Τί είδους κυρώσεις δύναται να επιβάλει η ΑΠΔΠΧ όταν διαπιστώσει παραβάσεις διατάξεων του GDPR;

Σύμφωνα με το άρθρο 58 παρ. 2 του GDPR: «Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες:

α) να απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν διατάξεις του παρόντος κανονισμού,

β) να απευθύνει επιπλήξεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του παρόντος κανονισμού,

γ) να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφώνεται προς τα αιτήματα του υποκειμένου των Δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τον παρόντα κανονισμό,

δ) να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να καθιστούν τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του παρόντος κανονισμού, εάν χρειάζεται, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας,

ε) να δίνει εντολή στον υπεύθυνο επεξεργασίας να ανακοινώνει την παραβίαση Δεδομένων στο Υποκείμενο,

στ) να επιβάλλει προσωρινό ή οριστικό περιορισμό, περιλαμβανομένης της απαγόρευσης της επεξεργασίας,

ζ) να δίνει εντολή διόρθωσης ή διαγραφής Δεδομένων ή περιορισμού της επεξεργασίας δυνάμει των άρθρων 16, 17 και 18 και εντολή κοινοποίησης των ενεργειών αυτών σε αποδέκτες στους οποίους τα Δεδομένα προσωπικού χαρακτήρα γνωστοποιήθηκαν δυνάμει του άρθρου 17 παράγραφος 2 και του άρθρου 19,

Σελ. 17

η) να αποσύρει την πιστοποίηση ή να διατάξει τον οργανισμό πιστοποίησης να αποσύρει ένα πιστοποιητικό εκδοθέν σύμφωνα με τα άρθρα 42 και 43 ή να διατάξει τον οργανισμό πιστοποίησης να μην εκδώσει πιστοποίηση, εφόσον οι απαιτήσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον,

θ) να επιβάλλει διοικητικό πρόστιμο δυνάμει του άρθρου 83, επιπλέον ή αντί των μέτρων που αναφέρονται στην παρούσα παράγραφο, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης,

ι) να δίνει εντολή για αναστολή της κυκλοφορίας Δεδομένων σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό».

18 | Για τι πρόστιμα μιλάμε;

Ο GDPR επιτρέπει πρόστιμα έως 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου τζίρου της επιχείρησης.

Εξαρτάται πάντα από το μέγεθος της επιχείρησης, το μέγεθος της παραβίασης και την επίπτωση που η εν λόγω παραβίαση είχε στα Δεδομένα των Υποκειμένων καθώς και τις κινήσεις που έκανε ο Υπεύθυνος Επεξεργασίας για να μετριάσει ή να σταματήσει την παραβίαση.

Ειδικότερα, τα διοικητικά πρόστιμα κατά το άρθρο 83 του GDPR, φτάνουν, στις ελαφρότερες παραβάσεις (παραβιάσεις κυρίως ως προς τις υποχρεώσεις του Yπευθύνου Eπεξεργασίας και του Eκτελούντος την Eπεξεργασία), έως 10.000.000 ευρώ ή, σε περίπτωση επιχειρήσεων, το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο, ενώ σε βαρύτερες παραβάσεις (όπως αυτές που έχουν να κάνουν με τα δικαιώματα των υποκειμένων των δεδομένων, καθώς με την, όπου απαιτείται, απαραίτητη συναίνεσή τους για την επεξεργασία) τα διοικητικά πρόστιμα φτάνουν έως 20.000.000 ευρώ ή, σε περίπτωση επιχειρήσεων, το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

Σύμφωνα δε, με το άρθρο 39 παρ. 1 του νέου Ν 4624/2019, η Αρχή μπορεί να επιβάλει στους φορείς του δημοσίου τομέα, για παραβάσεις υπό την ιδιότητά τους ως υπεύθυνων επεξεργασίας Δεδομένων, διοικητικό πρόστιμο έως δέκα εκατομμύρια (10.000.000) ευρώ.

19 | Δύναται να επιβληθεί πρόστιμο για παραβιάσεις ελάσσονος σημασίας;

Η αιτιολογική σκέψη 148 εισάγει την έννοια των «παραβάσεων ελάσσονος σημασίας». Τέτοιες παραβάσεις ενδέχεται να συνιστούν παράβαση μίας ή περισσότερων

Σελ. 18

από τις διατάξεις του κανονισμού που απαριθμούνται στο άρθρο 83 παράγραφος 4 ή 5. Η αξιολόγηση των κριτηρίων στο άρθρο 83 παράγραφος 2 μπορεί ωστόσο να οδηγήσει την εποπτική αρχή στο συμπέρασμα ότι στις συγκεκριμένες περιστάσεις, η παράβαση π.χ. δεν συνιστά σημαντικό κίνδυνο για τα δικαιώματα των οικείων Υποκειμένων των Δεδομένων και δεν επηρεάζει την ουσία της εν λόγω υποχρέωσης. Σε τέτοιες περιπτώσεις, το πρόστιμο μπορεί να αντικατασταθεί με επίπληξη (ωστόσο όχι πάντα).

Η αιτιολογική σκέψη 148 δεν περιέχει υποχρέωση των εποπτικών αρχών να αντικαθιστούν πάντα το πρόστιμο με επίπληξη σε περίπτωση παράβασης ελάσσονος σημασίας («θα μπορούσε να επιβληθεί επίπληξη αντί προστίμου»), αλλά προβλέπει τη δυνατότητα αντικατάστασης, ύστερα από συγκεκριμένη αξιολόγηση όλων των περιστατικών της υπόθεσης.

Η αιτιολογική σκέψη 148 προβλέπει την ίδια δυνατότητα αντικατάστασης του προστίμου με επίπληξη, σε περίπτωση που ο Υπεύθυνος Επεξεργασίας των Δεδομένων είναι φυσικό πρόσωπο και το πρόστιμο που ενδέχεται να επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση. Σημείο εκκίνησης είναι η αξιολόγηση από την εποπτική αρχή του κατά πόσο είναι απαραίτητη η επιβολή προστίμου, λαμβανομένων υπόψη των περιστάσεων της περίπτωσης. Αν η εποπτική αρχή αποφανθεί υπέρ της επιβολής προστίμου, τότε πρέπει επίσης να αξιολογήσει κατά πόσο το πρόστιμο που θα επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση για ένα φυσικό πρόσωπο.

(Κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του Κανονισμού 2016/679, Wp253)

20 | Έχουν επιβληθεί πρόστιμα στην Ελλάδα;

Βεβαίως έχουν επιβληθεί πρόστιμα και αναμένονται να επιβληθούν και στο άμεσο μέλλον. Μάλιστα, το συνολικό ποσό των προστίμων που επιβλήθηκαν από την Αρχή στο χρονικό διάστημα 25/5/2018 – 3/2/2020 ανέρχεται σε 1.397.000 ευρώ. Εξ αυτών τα πρόστιμα που αφορούν αυστηρά διατάξεις του GDPR ανέρχονται στο ποσό των 715.000 ευρώ.

Για παράδειγμα ήδη κατά την έναρξη ισχύος του GDPR, το 2018, αναφέρονται ενδεικτικά ότι έχουν επιβληθεί τα εξής πρόστιμα: σε μεγάλη δικηγορική εταιρεία επιβλήθηκε πρόστιμο 50.000 ευρώ για παράνομη λειτουργία συστήματος βιντεοεπιτήρησης στις εγκαταστάσεις της με βάση την υπ’ αρ. 41/2018 απόφαση ΑΠΔΠΧ ενώ την ίδια χρονιά, με τις υπ’ αρ. 60, 61, 62 και 63/2018 αποφάσεις της ΑΠΔΠΧ, είχαν επιβληθεί πρόστιμα ύψους εκατόν πενήντα χιλιάδων (150.000) Ευρώ σε κάθε έναν από τους παρόχους Τηλεπικοινωνιών για την πραγματοποίηση μη νόμιμων

Σελ. 19

τηλεφωνικών κλήσεων. Η Αρχή, για το σύνολο των ανωτέρω παραβάσεων, επέβαλε στην κάθε εταιρεία πρόστιμο εκατόν πενήντα χιλιάδων (150.000), το οποίο αποτελεί το μέγιστο δυνατό πρόστιμο σύμφωνα με την προ του GDPR νομοθεσία, με δεδομένο ότι οι συγκεκριμένες παραβάσεις ανάγονται στην περίοδο πριν την εφαρμογή του.

Το 2019 σε Υπεύθυνο Επεξεργασίας επιβλήθηκε πρόστιμο ύψους είκοσι χιλιάδων (20.000) Ευρώ και δέκα χιλιάδων (10.000) Ευρώ στον Εκτελούντα την Επεξεργασία για λογαριασμό του Υπεύθυνου Επεξεργασίας για παράνομη επεξεργασία ευαίσθητων προσωπικών Δεδομένων και διαρροή στο διαδίκτυο αφού δεν λήφθηκαν τα απαιτούμενα από το νόμο μέτρα ασφαλείας δυνάμει της υπ’ αρ. 7/2019 απόφασης της ΑΠΔΠΧ.

Την ίδια χρονιά η Αρχή με την υπ’ αρ. 19/2019 απόφασή της επέβαλε πρόστιμο δύο χιλιάδων (2.000) Ευρώ σε υποψήφιο ευρωβουλευτή, για παραβίαση του άρθρου 11 του Ν 3471/2006 λόγω αποστολής αζήτητης πολιτικής επικοινωνίας, μέσω ηλεκτρονικού ταχυδρομείου, χωρίς να συντρέχει καμία εκ των προϋποθέσεων νομιμότητας για την εν λόγω επεξεργασία. Συγκεκριμένα, ο καταγγελλόμενος συνέλεξε την ηλεκτρονική διεύθυνση της παραλήπτριας από το διαδίκτυο, χωρίς να έχει προϋπάρξει καμία επικοινωνία μαζί της.

Η Αρχή έγινε αποδέκτης καταγγελιών συνδρομητών τηλεφωνίας Παρόχου Τηλεπικοινωνιών οι οποίοι, αν και είχαν εγγραφεί στο μητρώο αντιρρήσεων («opt-out») του άρθρου 11 του Ν 3471/2006 του παρόχου τους, είχαν λάβει τηλεφωνικές κλήσεις από τρίτες εταιρείες για σκοπούς προώθησης προϊόντων και υπηρεσιών. Όπως διαπιστώθηκε, οι εν λόγω συνδρομητές είχαν υποβάλει αίτημα φορητότητας για τη μεταφορά της τηλεφωνικής τους σύνδεσης σε άλλο πάροχο. Στο πλαίσιο της ενέργειας αυτής, ο ελεγχόμενος Πάροχος Τηλεπικοινωνιών διέγραψε τα στοιχεία τους από το μητρώο. Ωστόσο, όταν οι συγκεκριμένοι συνδρομητές ακύρωσαν το αίτημα φορητότητας, δεν υπήρχε ορθή διαδικασία για την ακύρωση της διαγραφής τους. Οι συνδρομητές εμφανίζονταν μεν ως εγγεγραμμένοι στο μητρώο στην εσωτερική εφαρμογή πελατειακών σχέσεων, αλλά οι τηλεφωνικοί αριθμοί τους δεν περιλαμβάνονταν στο μητρώο που έστελνε ο Πάροχος Τηλεπικοινωνιών στις διαφημιζόμενες εταιρείες. Η Αρχή διαπίστωσε ότι το περιστατικό αυτό επηρέασε μεγάλο αριθμό φυσικών προσώπων συνδρομητών και, με την υπ’ αρ. 31/2019 απόφασή της, επέβαλε στον Πάροχο Τηλεπικοινωνιών διοικητικό πρόστιμο ύψους 200.000 ευρώ.

Η Αρχή, με την υπ’ αρ. 26/2019 απόφασή της, διερεύνησε αυτεπαγγέλτως τη νομιμότητα της επεξεργασίας των προσωπικών Δεδομένων των εργαζομένων ανώνυμης εταιρείας, με αφορμή καταγγελία σύμφωνα με την οποία οι εργαζόμενοι εξαναγκάσθηκαν στην παροχή συγκατάθεσης προκειμένου να λάβει χώρα επεξεργασία

Σελ. 20

προσωπικών Δεδομένων για τρεις σκοπούς. Η Αρχή έκρινε ότι η εταιρεία: α) υπέβαλε σε μη σύννομη επεξεργασία τα Δεδομένα προσωπικού χαρακτήρα των εργαζομένων της, καθώς εφάρμοσε ακατάλληλη νομική βάση (συγκατάθεση) αντί των κατάλληλων νομικών βάσεων της εκτέλεσης της σύμβασης, της συμμόρφωσης με έννομη υποχρέωση και του υπέρτερου έννομου συμφέροντος, β) υπέβαλε σε μη θεμιτή επεξεργασία τα προσωπικά Δεδομένα των εργαζομένων της, καθώς τους δημιούργησε την εσφαλμένη εντύπωση ότι τα επεξεργάζεται κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης, ενώ στην πράξη τα επεξεργάσθηκε με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι, γ) ως Υπεύθυνος Επεξεργασίας, αν και έφερε την ευθύνη, δεν ήταν σε θέση να τηρήσει και να αποδείξει τη συμμόρφωση με τις αρχές της επεξεργασίας δεδομένων, επιπλέον δε, μετέφερε το βάρος της συμμόρφωσης στους εργαζομένους. Η Αρχή αποφάσισε να ασκήσει τις διορθωτικές της εξουσίες με την επιβολή διορθωτικών μέτρων κι συγκεκριμένα, όπως εντός τριών (3) μηνών από την παραλαβή της απόφασης, ενημερώνοντας την Αρχή: i. να καταστήσει τις πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της σύμφωνες με τις διατάξεις του GDPR και ii. να αποκαταστήσει την ορθή εφαρμογή των διατάξεων του GDPR που παραβίασε. Περαιτέρω, επέβαλε και χρηματικό πρόστιμο ύψους εκατόν πενήντα (150.000) Ευρώ ως αποτελεσματική, αναλογική και αποτρεπτική διοικητική κύρωση.

Στην υπ’ αρ. 38/2019 απόφαση, η Αρχή συνεξέτασε 6 καταγγελίες σχετικά με τη λήψη αζήτητων τηλεφωνικών κλήσεων με σκοπό την προώθηση προϊόντων και υπηρεσιών από Πάροχο Τηλεπικοινωνιών. Έκρινε ότι ο Πάροχος Τηλεπικοινωνιών αποτελεί τον υπεύθυνο επεξεργασίας για τις δραστηριότητες των τηλεφωνικών κλήσεων που διενεργούνται από συνεργαζόμενες εταιρείες (call center) ακόμα κι αν αυτή δεν παρέχει τους προς κλήση αριθμούς, καθώς καθορίζει πλήρως τον σκοπό της επεξεργασίας και τα ουσιώδη στοιχεία του τρόπου επεξεργασίας. Περαιτέρω, με την απόφαση κρίθηκε ότι η δραστηριότητα έρευνας αγοράς μέσω τηλεφωνικών κλήσεων, που καταλήγει σε ερώτημα σχετικά με συγκατάθεση στη μελλοντική λήψη διαφημιστικών κλήσεων, με τον τρόπο που έχει υλοποιηθεί, αποτελεί και αυτή δραστηριότητα για σκοπό προώθησης προϊόντων και υπηρεσιών, συνεπώς ως προς αυτή εφαρμόζονται οι διατάξεις του άρθρου 11 του Ν 3471/2006. Η Αρχή επέβαλε τις κυρώσεις της επίπληξης, προειδοποίησης και προστίμου (συνολικού ύψους είκοσι (20.000) χιλιάδων Ευρώ για δύο παραβάσεις) στον Πάροχο Τηλεπικοινωνιών και την κύρωση της επίπληξης στην εκτελούσα την επεξεργασία εταιρεία.

Σύμφωνα με την υπ’ αρ. 43/2019 απόφαση ΑΠΔΠΧ, εργοδότρια εταιρεία, έχουσα υπόνοιες ότι ανώτερο στέλεχος της διοίκησής της προέβη σε παράνομες πράξεις σε βάρος των συμφερόντων της, διενήργησε έλεγχο και ανέκτησε διαγραμμένα

Σελ. 21

e-mails από τον διακομιστή (server) της. Η εταιρεία είχε συμμορφωθεί προς τις επιταγές του GDPR και προβλεπόταν, από τις εσωτερικές πολιτικές και κανονισμούς της, η απαγόρευση χρήσης των εταιρικών μέσων ηλεκτρονικών επικοινωνιών και δικτύων για ιδιωτικούς σκοπούς, καθώς και η δυνατότητα διενέργειας εσωτερικών ελέγχων. Αντίθετα, το κλειστό κύκλωμα βιντεοεπιτήρησης είχε εγκατασταθεί και λειτουργούσε παράνομα, το δε καταγραφέν υλικό που προσκομίσθηκε στην Αρχή δεν ελήφθη υπόψη σύμφωνα με το άρθρο 19 παρ. 3 Σ. Εξάλλου, η εταιρεία δεν ικανοποίησε το δικαίωμα πρόσβασης του εργαζομένου στα Δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονταν στον εταιρικό προσωπικό υπολογιστή που χρησιμοποιούσε. Η Αρχή επέβαλε στην εταιρεία πρόστιμο 15.000 ευρώ για μη νόμιμη εγκατάσταση και λειτουργία συστήματος βιντεοεπιτήρησης και για περαιτέρω επεξεργασία του σχετικού υλικού.

Η ΑΠΔΠΧ, με την υπ’ αρ. 44/2019 απόφαση, έκρινε ότι ναυτιλιακή εταιρεία προέβη σε παράνομη πρόσβαση και αντιγραφή του συνόλου του περιεχομένου ­διακομιστή (server) που περιελάμβανε Δεδομένα προσωπικού χαρακτήρα και τον οποίο χρησιμοποιούσαν από κοινού εργαζόμενοι τόσο της ανωτέρω εταιρείας αλλά και άλλων εταιρειών του ίδιου Ομίλου όσο και εργαζόμενοι εταιρειών εκτός Ομίλου. Στο πλαίσιο αυτό, έδωσε εντολή στην εταιρεία όπως εντός τριών (3) μηνών από την παραλαβή της απόφασης, ενημερώνοντας την Αρχή:

i. να καταστήσει σύμφωνες με τις διατάξεις του GDPR τις πράξεις επεξεργασίας των Δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται τόσο στη χρησιμοποιούμενη όσο και στην αντιγραφείσα υπολογιστική υποδομή.

ii. να λάβει όλα τα αναγκαία μέτρα εσωτερικής συμμόρφωσης και λογοδοσίας προς τις αρχές του άρθρου 5 παρ. 1 και παρ. 2 σε συνδυασμό με το άρθρο 6 παρ. 1 GDPR.

Επιπλέον των ανωτέρω, επέβαλε στην εταιρεία διοικητικό χρηματικό πρόστιμο ύψους εκατόν πενήντα χιλιάδων (150.000) Ευρώ.

Περαιτέρω, δυνάμει της υπ’ αρ. 2/2020 απόφασης ΑΠΔΠΧ, επεβλήθη σε Εταιρεία Ενέργειας, διοικητικό χρηματικό πρόστιμο ύψους πέντε χιλιάδων (5.000,00) ευρώ, για την μη ικανοποίηση δικαιώματος πρόσβασης Υποκειμένου καθώς δεν απάντησε στην καταγγέλλουσα εντός μηνός από την παραλαβή του αιτήματος και δεν ενημέρωσε, ως όφειλε, την καταγγέλλουσα εντός μηνός από την παραλαβή του αιτήματος, για την αδυναμία άμεσης ανταπόκρισης και ικανοποίησης του αιτήματός της καθώς και για τους λόγους καθυστέρησης, ζητώντας περαιτέρω παράταση της προθεσμίας, κατά παράβαση των διατάξεων του άρθρου 12 παρ. 3 και 4 του ΓΚΠ∆. Η ίδια παράβαση, δηλαδή της καθυστερημένης απάντησης της Εταιρείας Ενέργειας ως υπευθύνου επεξεργασίας μετά την παρέλευση ενός μηνός

Σελ. 22

από την παραλαβή του αιτήματος διαπιστώθηκε με την προγενέστερη υπ’ αρ. 15/2019 απόφαση της Αρχής.

Σε εταιρεία επεβλήθη διοικητικό χρηματικό πρόστιμο ύψους πέντε χιλιάδων (5.000,00) ευρώ, με βάση την υπ’ αρ. 3/2020 απόφαση της Αρχής, για την μη ικανοποίηση δικαιώματος πρόσβασης του Υποκειμένου στο σύστημα βιντεοεπιτήρησης, δεδομένου ότι ακόμα κι αν το καταγραφικό του συστήματος ήταν εκτός λειτουργίας, ο Υπεύθυνος Επεξεργασίας όφειλε, με βάση τη διάταξη του άρθρου 12 παρ. 1 του Ν 2472/1997 να απαντήσει στον καταγγέλλοντα εάν Δεδομένα προσωπικού χαρακτήρα που τον αφορούν αποτέλεσαν αντικείμενο επεξεργασίας, έστω και αρνητικά, εντός της προθεσμίας των δεκαπέντε ημερών, πράγμα το οποίο η Εταιρεία έπραξε ετεροχρονισμένα. Η Αρχή έκρινε ότι εφαρμοστέος εν προκειμένω δεν είναι ο GDPR, καθώς η πιθανολογούμενη παράβαση τελέστηκε σε προγενέστερο της εφαρμογής του χρόνο, και εφαρμοστέος είναι ο Ν 2472/1997 του οποίου το δικαίωμα πρόσβασης παραβιάστηκε με την πάροδο του 15ημέρου απάντησης.

Το 2020 επεβλήθη επίσης πρόστιμο ύψους δύο χιλιάδων πεντακοσίων (2.500) Ευρώ σε υποψήφια δημοτική σύμβουλο με την υπ’ αρ. 10/2020 απόφαση της ΑΠΔΠΧ καθώς και πρόστιμο χιλίων (1.000) Ευρώ σε υποψήφιο Ευρωβουλευτή δυνάμει της 17/2020 απόφασης της ΑΠΔΠΧ.

Με την υπ’ αρ. 18/2020 απόφαση, επεβλήθη πρόστιμο ύψους πέντε χιλιάδων (5.000,00) ευρώ για μη σύννομη επεξεργασία και μη τήρηση της υποχρέωσης λογοδοσίας σε κολλέγιο, σε συνέχεια καταγγελίας για στοχευμένη τηλεφωνική επικοινωνία με την οποία πρότεινε στον καταγγέλλοντα τη συμμετοχή του σε επιδοτούμενο από τον ΟΑΕΔ σεμινάριο που απευθύνεται σε ανέργους.

Τέλος, πρόστιμο 8.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε ιδιώτη για μη σύννομη επεξεργασία δεδομένων μέσω συστήματος βιντεοεπιτήρησης εγκατεστημένο σε κατοικία. Με την υπ’ αριθμ. 30/2020 απόφασή της η Αρχή έδωσε εντολή να καταστούν οι πράξεις επεξεργασίας σύμφωνες με τις σχετικές διατάξεις περί προστασίας δεδομένων. Η υπόθεση έφτασε ενώπιον της Αρχής έπειτα από καταγγελία τριών φυσικών προσώπων και μίας εταιρείας, οι οποίοι κατήγγειλαν στην Αρχή την παρακολούθηση επί 24ώρου της ιδιοκτησίας τους καθώς και του δρόμου προς την ιδιοκτησία τους με παράνομα οπτικοακουστικά μέσα και ειδικότερα μέσω περιστροφικής κάμερας συστήματος βιντεοεπιτήρησης από τον Ε, ιδιοκτήτη όμορης ιδιοκτησίας.

Σελ. 23

21 | Πέραν των χρηματικών προστίμων έχουν επιβληθεί και άλλου είδους κυρώσεις;

Φυσικά και έχουν επιβληθεί και άλλου είδους κυρώσεις, πέραν των χρηματικών προστίμων από την ΑΠΔΠΧ, οι οποίες κυμαίνονται από προειδοποιήσεις, επιπλήξεις μέχρι και επιβολή διορθωτικών μέτρων, όπως είναι οι συστάσεις, ώστε οι Υπεύθυνοι Επεξεργασίας, μέσα σε εύλογο χρόνο να συμμορφωθούν προς τις υποδείξεις της Αρχής για νόμιμη επεξεργασία των Δεδομένων των Υποκειμένων που επηρεάστηκαν από την μη σύννομη πρότερη δραστηριότητά τους.

Ενδεικτικά, αναφέρονται οι κάτωθι αποφάσεις, δυνάμει των οποίων είτε σωρευτικά με το χρηματικό πρόστιμο είτε αυτούσια επεβλήθησαν τέτοιες κυρώσεις σε Υπεύθυνους επεξεργασίας:

Ουσιαστικής σημασίας είναι οι αποφάσεις 18/2016 και 80/2016 της ΑΠΔΠΧ, σύμφωνα με τις οποίες η Αρχή απηύθυνε προειδοποίηση σε εταιρείες παροχής τηλεπικοινωνιών, όπως τροποποιήσουν τη διαδικασία δήλωσης ένταξης συνδρομητών στο Μητρώο του άρθρου 11 παρ. 2 του Ν 3471/2006 και επιβεβαιώσουν εντός εξαμήνου τις υπάρχουσες δηλώσεις ένταξης στο Μητρώο, καθώς επίσης και να ενημερώσουν σχετικά την Αρχή. Ειδικότερα, οι ως άνω δύο εταιρείες θα πρέπει αμελλητί να προσαρμόσουν κατάλληλα τις διαδικασίες που ακολουθούν για την εγγραφή των συνδρομητών τους στο Μητρώο, ώστε να αποδεικνύεται ότι η ένταξη των συνδρομητών στο Μητρώο είναι επιλογή των ιδίων και γίνεται κατόπιν δικής τους ειδικής προς τούτο αίτησης. Περαιτέρω, οι δύο εταιρείες θα πρέπει να επιβεβαιώσουν τις υπάρχουσες δηλώσεις ένταξης των συνδρομητών τους στο Μητρώο εντός εύλογου χρονικού διαστήματος, όχι μεγαλύτερου του εξαμήνου. Προς τούτο, θα πρέπει να ενημερώσουν κατάλληλα, με κάθε πρόσφορο τρόπο [π.χ. μέσω των μηνιαίων λογαριασμών ή/και μέσω σύντομων γραπτών μηνυμάτων (SMS)], όλους τους συνδρομητές τους των οποίων οι αριθμοί είναι εγγεγραμμένοι στο Μητρώο, ότι θα πρέπει εντός συγκεκριμένου χρονικού διαστήματος – το οποίο δεν θα ξεπερνά τους δύο (2) μήνες – να δηλώσουν οι ίδιοι ρητώς και αυτοβούλως αν πράγματι επιθυμούν την καταχώρηση του αριθμού τους στο Μητρώο (με παράλληλη σαφή ενημέρωσή τους για τις συνέπειες της καταχώρησης αλλά και της μη υποβολής της ως άνω επιβεβαιωτικής δήλωσης για ένταξη στο Μητρώο). Επισημαίνεται ιδιαίτερα ότι, προκειμένου η δήλωση του συνδρομητή για εγγραφή του στο Μητρώο να έχει τα χαρακτηριστικά της σαφούς, ρητής και ειδικής δήλωσης βουλήσεως, τυχόν μη επιβεβαίωση του συνδρομητή – με ειδική δική του ενέργεια (αυτοτελή αίτηση του ιδίου) – ως προς την επιθυμία του να εξακολουθήσει ο αριθμός του να είναι εγγεγραμμένος στο Μητρώο (κατόπιν της ως άνω ενημέρωσης), θα πρέπει να συνεπάγεται τη διαγραφή του αριθμού αυτού από το Μητρώο.

Σελ. 24

Η Αρχή, με την απόφαση 48/2018, εξέτασε το ζήτημα της επεξεργασίας Δεδομένων μέσω ανέπαφων συναλλαγών με χρεωστικές/πιστωτικές κάρτες, κατόπιν σχετικών καταγγελιών που αφορούσαν την Εθνική Τράπεζα και την Τράπεζα Πειραιώς. Η Αρχή, αφού εξέτασε ζητήματα ασφάλειας της εν λόγω επεξεργασίας, καθώς επίσης και τους σχετικούς κινδύνους, και λαμβάνοντας υπόψη και τις διεθνείς προδιαγραφές που ακολουθούνται αναφορικά με τις ανέπαφες χρεωστικές ή/και πιστωτικές κάρτες, απηύθυνε σύσταση στις ως άνω τράπεζες προκειμένου είτε να παρέχουν τη δυνατότητα απενεργοποίησης της ανέπαφης λειτουργίας μιας τέτοιας κάρτας είτε να χορηγούν νέα, μη ανέπαφη κάρτα, εφόσον ο πελάτης δηλώσει ότι δεν επιθυμεί να έχει κάρτα με δυνατότητα πραγματοποίησης ανέπαφων συναλλαγών.

Περαιτέρω, την ίδια χρονιά, η Αρχή πραγματοποίησε επιτόπιο διοικητικό έλεγχο στο πληροφοριακό σύστημα N.SIS II στις εγκαταστάσεις της Ελληνικής Αστυνομίας. Ο έλεγχος εστίασε στην προστασία και την ασφάλεια των προσωπικών Δεδομένων που υφίστανται επεξεργασία στο πλαίσιο της λειτουργίας του εν λόγω συστήματος. Η Αρχή ενέκρινε τις προτάσεις της ομάδας ελέγχου, οι οποίες αποτυπώνονται σε σχετικό πόρισμα, απευθύνοντας, με την υπ’ αρ. 50/2018 απόφαση, προειδοποίηση στο Αρχηγείο Ελληνικής Αστυνομίας να συμμορφωθεί με τις συστάσεις που αναφέρονται στο πόρισμα του ελέγχου και να ενημερώσει σχετικά την Αρχή εντός ενός έτους από τη λήψη αυτού.

Κατόπιν καταγγελίας στην Αρχή αναφορικά με διαφημιστικό SMS που έλαβε ο καταγγέλλων από τον Υπεύθυνο Επεξεργασίας μέσω κινητού τηλεφώνου για τον σκοπό της πολιτικής επικοινωνίας, χωρίς να έχει εξασφαλίσει την προηγούμενη συγκατάθεσή του. Επίσης, κατήγγειλε ότι δεν ικανοποίησε πλήρως το δικαίωμα πρόσβασης που αυτός άσκησε. Η Αρχή απηύθυνε με την υπ’ αρ. 51/2018 απόφασή της στον υπεύθυνο επεξεργασίας προειδοποίηση για την παράνομη επεξεργασία προσωπικών Δεδομένων για τον σκοπό της πολιτικής επικοινωνίας μέσω της αποστολής αζήτητης ηλεκτρονικής επικοινωνίας, καθώς και για μη προσήκουσα ικανοποίηση του δικαιώματος πρόσβασης των Υποκειμένων των προσωπικών Δεδομένων, τα οποία επεξεργάζεται. Επιπλέον, του απηύθυνε σύσταση για τη μη υποβολή γνωστοποίησης για το αρχείο που τηρούσε με σκοπό την πολιτική επικοινωνία.

Η Αρχή με την υπ’ αρ. 11/2019 απόφασή της απηύθυνε αυστηρή προειδοποίηση σε γυμναστήριο να στέλνει διαφημιστικά μηνύματα στους πελάτες του, οι οποίοι ήταν παραλήπτες του από 24/5/2018 μηνύματος, με το οποίο ζητήθηκε η συγκατάθεσή τους, μόνο εφόσον έχουν παράσχει τη συγκατάθεση αυτή. Επιπλέον, να μεριμνήσει, εφόσον στέλνει μηνύματα στους υπόλοιπους πελάτες του βάσει της εξαίρεσης του άρθρου 11 παρ. 3 του Ν 3471/2006, ώστε να πληρούνται όλες οι προϋποθέσεις που τίθενται στο άρθρο αυτό, ήτοι κατάλληλη ενημέρωση κατά

Σελ. 25

το στάδιο της συλλογής των προσωπικών δεδομένων για το σκοπό της επεξεργασίας και παροχή δυνατότητας αντίταξης τόσο κατά το στάδιο αυτό όσο και σε κάθε μήνυμα, με σαφή και ευδιάκριτο τρόπο. Τέλος να μεριμνήσει ώστε να διακόπτει αμέσως την αποστολή διαφημιστικών μηνυμάτων σε όσους εκφράσουν αντίρρηση και να λειτουργεί απρόσκοπτα τυχόν διεύθυνση ηλεκτρονικού ταχυδρομείου, μέσω και της οποίας παρέχεται η δυνατότητα στα υποκείμενα των δεδομένων να αντιταχθούν.

Το 2019, κατόπιν καταγγελίας στην Αρχή ότι η εταιρεία ενέργειας δεν ικανοποίησε το δικαίωμα πρόσβασης Υποκειμένου των Δεδομένων, η Αρχή, με την απόφαση 15/2019, απηύθυνε στην εταιρεία ενέργειας επίπληξη για την καθυστερημένη – λόγω παρέλευσης ενός μηνός από την παραλαβή του αιτήματος– απάντησή της ως υπευθύνου επεξεργασίας προς τον καταγγέλλοντα σχετικά με την αδυναμία άμεσης ικανοποίησης του αιτήματός του.

Την ίδια χρονιά, κατόπιν καταγγελίας στην Αρχή ότι ο ΕΦΚΑ δεν ενημέρωσε τον καταγγέλλοντα, ο οποίος είχε προσφύγει κατά απόφασης υγειονομικής επιτροπής, για την ταυτότητα των ιατρών μελών της επιτροπής καθώς και για το δικαίωμά του να προσφύγει στην Αρχή, η Αρχή απηύθυνε την με την υπ’ αρ. 20/2019 απόφασή της, στον ΕΦΚΑ προειδοποίηση για τη μη τήρηση της ως άνω υποχρέωσης προηγούμενης ενημέρωσης του καταγγέλλοντος και μη κοινοποίησης της απάντησής του στην Αρχή, επισημαίνοντας ότι εφεξής θα πρέπει να ενημερώνει τους προσφεύγοντες κατά των αποφάσεων των υγειονομικών επιτροπών για την ταυτότητα των ιατρών μελών των εν λόγω επιτροπών καθώς και για το δικαίωμά τους να προσφύγουν στην Αρχή.

Η Αρχή εξέτασε προσφυγή κατά της Google αναφορικά με άρνησή της να απαλείψει συγκεκριμένους συνδέσμους που εμφανίζονται στα αποτελέσματα αναζήτησης με βάση το ονοματεπώνυμο προσφεύγοντος. Με την υπ’ αρ. 25/2019 απόφαση έκρινε ότι τρεις εκ των συνδέσμων, που παραπέμπουν σε ιστοτόπους με περιεχόμενο το οποίο έχει κριθεί ανακριβές από δικαστικές αποφάσεις, δεν πρέπει να εμφανίζονται ως αποτελέσματα της αναζήτησης, λόγω του ότι οι πληροφορίες αυτές δημιουργούν ανακριβή/παραπλανητική εντύπωση για τον προσφεύγοντα. Ωστόσο, η Αρχή, λαμβάνοντας υπόψη ότι ο προσφεύγων είναι επιχειρηματίας που έχει κάποιο ρόλο στη δημόσια ζωή και οι εν λόγω πληροφορίες αφορούν αποκλειστικά την επαγγελματική του δραστηριότητα, έκρινε ότι δεν επιβάλλεται να απαλειφθούν οι λοιποί σύνδεσμοι που παραπέμπουν σε ιστότοπους με πληροφορίες των οποίων δεν προκύπτει η ανακρίβεια από τις δικαστικές αποφάσεις ή οι οποίες κρίθηκαν αληθείς από τις αποφάσεις αυτές. Ως προς τους ισχυρισμούς του προσφεύγοντος ότι το περιεχόμενο πολλών εκ των επίμαχων ιστοτόπων συνιστά είτε ρητορική μίσους είτε συκοφαντία ή/και δυσφήμηση, η Αρχή έκρινε ότι δεν έχει αρμοδιότητα να επιληφθεί, οι ισχυρισμοί δε αυτοί

Σελ. 26

μπορούν να κριθούν από τα αρμόδια δικαστήρια. Τέλος, η Αρχή απηύθυνε επίπληξη στην Google για παραβίαση των διατάξεων του άρθρου 12 του GDPR, επειδή η εταιρεία, σε ένα εκ των αιτημάτων του προσφεύγοντος, καθυστέρησε να απαντήσει.

Κατόπιν υποβολής σχετικής καταγγελίας, η Αρχή επέβαλε με την υπ’ αρ. 27/2019 απόφαση στο Υπουργείο Παιδείας, για τη μη τήρηση της υποχρέωσης προηγούμενης ενημέρωσης του καταγγέλλοντος και τη μη ικανοποίηση του δικαιώματος πρόσβασής του στα Δεδομένα που τον αφορούν, την κύρωση της προειδοποίησης, επισημαίνοντας ότι στο εξής θα πρέπει να ενημερώνει σχετικά τα Υποκείμενα των Δεδομένων τόσο κατά τη συλλογή όσο και πριν από τη διαβίβαση των Δεδομένων τους σε τρίτους, καθώς και να ικανοποιεί άμεσα το δικαίωμα πρόσβασής τους στα Δεδομένα που τα αφορούν, χορηγώντας τους πλήρη πρόσβαση σε όλα τα σχετικά στοιχεία.

Η Αρχή, κατόπιν σχετικών καταγγελιών, έκρινε με την υπ’ αρ. 28/2019 απόφαση, ότι η αναγραφή του θρησκεύματος και της ιθαγένειας στα στοιχεία που τηρούνται στο σχολείο, στους τίτλους και τα πιστοποιητικά σπουδών της δευτεροβάθμιας εκπαίδευσης και στο πληροφοριακό σύστημα «myschool» και η δήλωση ότι ο μαθητής δεν είναι Χριστιανός Ορθόδοξος για την απαλλαγή του από το μάθημα των θρησκευτικών, δεν είναι νόμιμες, διότι αντιβαίνουν προς τη θεμελιώδη αρχή της αναγκαιότητας της επεξεργασίας Δεδομένων. Για τον λόγο αυτό καλεί το Υπουργείο Παιδείας να μεριμνήσει για την άμεση τροποποίηση των σχετικών ρυθμίσεων και να λάβει κάθε αναγκαίο μέτρο για τη μη αναγραφή του θρησκεύματος και της ιθαγένειας στα ανωτέρω στοιχεία και πιστοποιητικά, καθώς και στο πληροφοριακό σύστημα «myschool», και να εκδώσει κάθε αναγκαία οδηγία προς τις οικείες εκπαιδευτικές αρχές ώστε, εφεξής, το δικαίωμα στην απαλλαγή από το μάθημα των θρησκευτικών να ασκείται κατ’ επίκληση αποκλειστικά λόγων συνείδησης.

H Αρχή με την υπ’ αρ. 37/2019 απόφασή της, εξέτασε καταγγελία πρώην εργαζομένου σχετικά με παράνομη λειτουργία συστήματος γεωντοπισμού σε οχήματα που χρησιμοποιούσε ως εργαζόμενος, καθώς και παράνομη λειτουργία συστήματος βιντεοεπιτήρησης. Διαπιστώθηκε ότι κατά τον χρόνο που ο καταγγέλλων εργαζόταν στην καταγγελλόμενη εταιρεία η λειτουργία του συστήματος γεωεντοπισμού δεν είχε περιοριστεί αυστηρά εντός του ωραρίου εργασίας, δεν υπήρξε επαρκής προηγούμενη ενημέρωση του καταγγέλλοντος και το σύστημα βιντεοεπιτήρησης ελάμβανε εικόνα και από το πεζοδρόμιο και τον δημόσιο δρόμο. Η Αρχή απηύθυνε συστάσεις στον Υπεύθυνο Επεξεργασίας-εργοδότη για τη νόμιμη λειτουργία των συστημάτων βιντεοεπιτήρησης και γεωεντοπισμού.

Με βάση την υπ’ αρ. 41/2019 απόφαση η Αρχή επέβαλε επίπληξη στο Υπουργείο Ναυτιλίας και Νησιωτικής Πολιτικής για παραβίαση του δικαιώματος πρόσβασης.

Σελ. 27

Κατόπιν καταγγελίας στην Αρχή ότι το Υπουργείο Ναυτιλίας και Νησιωτικής Πολιτικής δεν ικανοποίησε τα δικαιώματα πρόσβασης και διόρθωσης του υποκειμένου των δεδομένων, η Αρχή, μετά από διερεύνηση της υπόθεσης, απηύθυνε στο Υπουργείο επίπληξη για τη μη ικανοποίηση του δικαιώματος πρόσβασης του Υποκειμένου στην αναλυτική του μοριοδότηση.

Το έτος 2020, η Αρχή με την υπ’ αρ. 6/2020 απόφασή της έκρινε ότι ασφαλιστική εταιρεία, ως Υπεύθυνος Επεξεργασίας, παραβίασε την άσκηση του δικαιώματος διαγραφής του Α σύμφωνα με τις διατάξεις των άρθρων 5 και 17 του ΓΚΠ∆ και απευθύνει, δυνάμει του άρθρου 58 παρ. 2 στοιχ. β΄ του ΓΚΠ∆, επίπληξη στην εν λόγω ασφαλιστική εταιρεία για την παραβίαση των διατάξεων αυτών και επιφυλάχθηκε να κρίνει τη νομιμότητα της διατήρησης των προσωπικών δεδομένων των υποψήφιων ασφαλισμένων για μία πενταετία από τη συλλογή τους κατά το προσυμβατικό στάδιο για το σκοπό της αποφυγής και καταπολέμησης της ασφαλιστικής απάτης στο πλαίσιο της εξέτασης του σχεδίου Κώδικα ∆εοντολογίας της Ένωσης Ασφαλιστικών Εταιρειών που έχει υποβληθεί προς έγκριση στην Αρχή, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 40 παρ. 5 του ΓΚΠ∆.

Κατά το ίδιο έτος, η Αρχή με βάση την υπ’ αρ. 27/2020 απόφασή της, πραγματοποίησε επιτόπιο διοικητικό έλεγχο στο εθνικό πληροφοριακό σύστημα N-VIS αναφορικά με την προστασία και την ασφάλεια των προσωπικών Δεδομένων που υφίστανται επεξεργασία στο πλαίσιο της λειτουργίας του εν λόγω συστήματος και έδωσε εντολή, σύμφωνα με το άρθρο 58 παρ. 2 δ΄ του GDPR, στο Υπουργείο Εξωτερικών (Γ4 Διεύθυνση – Δικαιοσύνης, Εσωτερικών Υποθέσεων, Μετανάστευσης και Schengen, καθώς και ΣΤ2 Διεύθυνση – Επικοινωνιών και Πληροφορικής), ως υπεύθυνο επεξεργασίας κατά την έννοια του άρθρου 4 στοιχ. 7 του GDPR, να συμμορφωθεί με τις συστάσεις που αναφέρονται στο τελικό Πόρισμα του ελέγχου και να ενημερώσει σχετικά την Αρχή εντός ενός έτους από τη λήψη της παρούσας.

22 | Πέραν των διοικητικών κυρώσεων που επιβάλλει η ΑΠΔΠΧ, υπάρχουν και άλλου είδους αξιώσεις του Υποκειμένου των Δεδομένων που παρανόμως έτυχαν επεξεργασίας κατά του Υπεύθυνου Επεξεργασίας, αλλά και του Εκτελούντος την Επεξεργασία;

Σε περίπτωση παραβίασης των δεδομένων, τα Υποκείμενα μπορούν να προσφύγουν στα πολιτικά Δικαστήρια και να ζητήσουν αποζημίωση από τον Υπεύθυνο Επεξεργασίας ή/και τον Εκτελούντα την Επεξεργασία, οι οποίοι ευθύνονται αλληλεγγύως και εις ολόκληρον για την αποκατάσταση της ζημίας του Υποκειμένου, εφόσον αποδεικνύεται ότι από την επεξεργασία στην οποία εμπλέκονται έχει προκύψει η ζημία, προκειμένου να διασφαλιστεί αποτελεσματική αποζημίωση των Υποκειμένων.

Back to Top