-
Αγοράζονται συχνά μαζί
Συνδυαστική Προσφορά
X1ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (GDPR)++Βιβλίο (Έντυπο)THE GDPR HANDBOOKΈκδοση 2020Για DPOs, Επιχειρήσεις & Οργανισμούς
Κυκλοφορεί 10 Απριλίου
Τιμή 85,00 €X1THE GDPR HANDBOOK=Σύνολο:από 190,00 €
161,34 €
έκπτωση 15.08%
ΟΔΗΓΟΣ ΕΦΑΡΜΟΓΗΣ GDPR
- Έκδοση: 2020
- Σχήμα: 17x24
- Βιβλιοδεσία: Εύκαμπτη
- Σελίδες: 312
- ISBN: 978-960-654-233-6
- Black friday εκδόσεις: 10%
Το έργο «Οδηγός εφαρμογής GDPR» περιλαμβάνει 315 πρακτικά ζητήματα με απαντήσεις σχετικά με ζητήματα συμμόρφωσης Ομίλων, μεγάλων εταιρειών, μικρομεσαίων και μικρών επιχειρήσεων με τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων της ΕΕ 679/2016 (GDPR). Ο Οδηγός φιλοδοξεί να αποτελέσει ένα χρήσιμο εργαλείο στα χέρια δικηγόρων, Υπεύθυνων Προστασίας Δεδομένων (DPO) και στελεχών επιχειρήσεων που ασχολούνται με την συμμόρφωση εταιρειών με τον GDPR. Περιλαμβάνει, μεταξύ άλλων, πρακτικά θέματα συμμόρφωσης δικηγορικών γραφείων, ζητήματα προσωπικών δεδομένων εν μέσω κορωνοϊού, καθώς και υποδείγματα συμβάσεων επεξεργασίας δεδομένων δικηγορικών γραφείων.
Πρόλογος | Σελ. VII |
Ακρωνύμια / Πηγές | Σελ. XXIX |
Kεφάλαιο 1 | |
Γλωσσάρι/Ορισμοί | |
Ορισμοί | Σελ. 1 |
Κεφάλαιο 2 | |
Πρακτικά βήματα συμμόρφωσης | |
1. Διαμόρφωση συνείδησης προστασίας προσωπικών δεδομένων στην επιχείρηση (Awareness) | Σελ. 7 |
1. Ποιο είναι το ρυθμιστικό πλαίσιο του Κανονισμού και από πότε ισχύει; | Σελ. 7 |
2. Σε ποιους εφαρμόζεται ο GDPR, όπως εξειδικεύεται με τον Νόμο 4624/2019; | Σελ. 7 |
3. Πότε εφαρμόζεται ο GDPR μέσω ενός πρακτικού παραδείγματος; | Σελ. 8 |
4. Πότε δεν εφαρμόζεται ο GDPR μέσω ενός πρακτικού παραδείγματος; | Σελ. 8 |
5. Μερικά παραδείγματα Δεδομένων; | Σελ. 8 |
6. Ποια Δεδομένα μπορούν να υποβληθούν σε επεξεργασία και υπό ποιες προϋποθέσεις; | Σελ. 9 |
7. Ποια είναι δεδομένα υγείας | Σελ. 10 |
8. Ως προς τους Υπεύθυνους Ειδικών Κατηγοριών Δεδομένων | Σελ. 10 |
9. Αντιμετωπίζεται ο ΑΜΚΑ ως δεδομένο ειδικής κατηγορίας; | Σελ. 10 |
10. Τι σημαίνει η προστασία Δεδομένων «ήδη από τον σχεδιασμό» και «εξ’ ορισμού»; | Σελ. 11 |
11. Με ποιον πρακτικό τρόπο υλοποιείται η προστασία Δεδομένων «ήδη από τον σχεδιασμό»; | Σελ. 12 |
12. Με ποιον πρακτικό τρόπο υλοποιείται η προστασία Δεδομένων «εξ ορισμού»; | Σελ. 13 |
13. Επηρεάζονται οι μικρές επιχειρήσεις από την εφαρμογή του GDPR; | Σελ. 13 |
14. Γιατί είναι σημαντικό οι επιχειρήσεις που δεν έχουν ακόμα συμμορφωθεί στις επιταγές του GDPR να ξεκινήσουν έναν προγραμματισμό προς αυτή την κατεύθυνση; | Σελ. 13 |
15. Τι πρέπει να κάνουν οι μικρές και μεσαίες επιχειρήσεις για να συμμορφωθούν με τον GDPR; | Σελ. 14 |
16. Πώς αποδεικνύεται ότι εταιρεία ή φορέας συμμορφώνονται με τον GDPR; | Σελ. 15 |
17. Τί είδους κυρώσεις δύναται να επιβάλει η ΑΠΔΠΧ όταν διαπιστώσει παραβάσεις διατάξεων του GDPR; | Σελ. 16 |
18. Για τι πρόστιμα μιλάμε; | Σελ. 17 |
19. Δύναται να επιβληθεί πρόστιμο για παραβιάσεις ελάσσονος σημασίας; | Σελ. 17 |
20. Έχουν επιβληθεί πρόστιμα στην Ελλάδα; | Σελ. 18 |
21. Πέραν των χρηματικών προστίμων έχουν επιβληθεί και άλλου είδους κυρώσεις; | Σελ. 23 |
22. Πέραν των διοικητικών κυρώσεων που επιβάλλει η ΑΠΔΠΧ, υπάρχουν και άλλου είδους αξιώσεις του Υποκειμένου των Δεδομένων που παρανόμως έτυχαν επεξεργασίας κατά του Υπεύθυνου Επεξεργασίας, αλλά και του Εκτελούντος την Επεξεργασία; | Σελ. 27 |
2. Σύσταση ομάδας εργασίας στην επιχείρηση που θα συμμορφωθεί | Σελ. 28 |
23. Ποιος ο ρόλος του νομικού συμβούλου για θέματα GDPR σε μία επιχείρηση; | Σελ. 28 |
24. Οι εταιρείες μπορούν να ζητούν τη γνώμη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την εφαρμογή του GDPR; | Σελ. 28 |
25. Τι πληροφορίες πρέπει να παρέχονται στα άτομα των οποίων Δεδομένα συλλέγονται; | Σελ. 29 |
26. Ισχύουν οι κανόνες προστασίας δεδομένων για τα Δεδομένα εταιρείας; | Σελ. 29 |
3. Ορισμός DPO | Σελ. 30 |
27. Ποιοι οργανισμοί πρέπει να ορίζουν Υπεύθυνο Προστασίας Δεδομένων (DPO); | Σελ. 30 |
28. Μπορούν οι οργανισμοί να ορίζουν από κοινού Υπεύθυνο προστασίας Δεδομένων (DPO); Αν ναι, υπό ποιους όρους; | Σελ. 31 |
29. Πού θα πρέπει να είναι εγκατεστημένος ο DPO; | Σελ. 31 |
30. Είναι δυνατός ο ορισμός εξωτερικού DPO; | Σελ. 32 |
31. Πρέπει η εταιρεία/ο οργανισμός να διαθέτει DPO; | Σελ. 32 |
32. Αν ορίσει ένας ραδιοτηλεοπτικός σταθμός DPO, πρέπει να γνωστοποιήσει τα στοιχεία του και στο ΕΣΡ; | Σελ. 33 |
33. Τι επαγγελματικά προσόντα θα πρέπει να έχει ο DPO; | Σελ. 33 |
34. Ποια είναι τα καθήκοντα ενός υπεύθυνου προστασίας Δεδομένων (DPO); | Σελ. 34 |
35. Τι πόρους θα πρέπει να θέτει στη διάθεση του DPO ο Υπεύθυνος Επεξεργασίας ή ο εκτελών την επεξεργασία; | Σελ. 35 |
36. Ποιες εγγυήσεις απαιτούνται προκειμένου να είναι σε θέση ο DPO να εκτελεί τα καθήκοντά του με ανεξάρτητο τρόπο; Τι σημαίνει «σύγκρουση συμφερόντων»; | Σελ. 35 |
37. Δύναται νομικός σύμβουλος της Εταιρείας να είναι παράλληλα και DPO; | Σελ. 36 |
38. Ο DPO φέρει προσωπική ευθύνη για περιπτώσεις μη συμμόρφωσης με τις απαιτήσεις περί προστασίας των δεδομένων; | Σελ. 37 |
39. Ποιος είναι ο ρόλος του DPO όσον αφορά τις εκτιμήσεις αντικτύπου σχετικά με την προστασία των Δεδομένων και τα αρχεία των δραστηριοτήτων επεξεργασίας; | Σελ. 37 |
40. Ανακοίνωση στοιχείων DPO σε θυγατρικές εταιρείες | Σελ. 38 |
41. Εταιρεία, μικρή σε μέγεθος, με έδρα εντός Ε.Ε., που εμπορεύεται σκευάσματα/είδη νοσοκομείου θέλει DPO; | Σελ. 38 |
4. Αρχές νομιμότητας επεξεργασίας (προϋποθέσεις νόμιμης επεξεργασίας & συγκατάθεσης) | Σελ. 40 |
42. Ποιες είναι οι νόμιμες βάσεις επεξεργασίας των δεδομένων; | Σελ. 40 |
43. Ποιες είναι οι νόμιμες βάσεις επεξεργασίας των Δεδομένων ειδικών κατηγοριών; | Σελ. 40 |
44. Πώς επιλέγεται η νόμιμη βάση; | Σελ. 42 |
45. Ποιοι είναι οι νόμιμοι σκοποί της περαιτέρω επεξεργασίας; | Σελ. 44 |
46. Μπορούν να υποβληθούν Δεδομένα σε επεξεργασία για οποιονδήποτε σκοπό; | Σελ. 45 |
47. Μπορούν να χρησιμοποιηθούν Δεδομένα για άλλον σκοπό; | Σελ. 45 |
48. Αναφέρετε ένα πρακτικό παράδειγμα σύννομης περαιτέρω επεξεργασίας | Σελ. 46 |
49. Επεξεργασία δεδομένων για τη σύναψη ασφαλιστικής σύμβασης | Σελ. 46 |
50. Πώς δίδεται η συγκατάθεση; Απαιτείται ξεχωριστή συγκατάθεση για κάθε σκοπό; | Σελ. 46 |
51. Πότε είναι έγκυρη η συγκατάθεση; | Σελ. 48 |
52. Μπορεί συγκατάθεση δοθείσα πριν από τις 25 Μαΐου 2018 να παραμείνει έγκυρη αφού τεθεί σε ισχύ ο GDPR κατά την ίδια ημερομηνία; | Σελ. 50 |
53. Τι ισχύει με τη νομική βάση της συγκατάθεσης των εργαζομένων; | Σελ. 50 |
54. Τι γίνεται αν κάποιος αποσύρει τη συγκατάθεσή του; | Σελ. 51 |
55. Πώς λαμβάνεται συγκατάθεση για επεξεργασία όσον αφορά επιστημονική έρευνα; | Σελ. 52 |
56. Μπορούν να χρησιμοποιηθούν για εμπορική προώθηση Δεδομένα που έχουν δοθεί από τρίτο; | Σελ. 53 |
57. Ποιες είναι οι προϋποθέσεις νόμιμης ηλεκτρονικής συγκατάθεσης; | Σελ. 54 |
58. Χρειάζεται συγκατάθεση σε δομές υγείας με σκοπό την παροχή υπηρεσιών υγείας; | Σελ. 55 |
59. Παροχή από καταναλωτή δεδομένων τρίτου προσώπου, μόνο με συγκατάθεση του τελευταίου | Σελ. 55 |
60. Τι κάνει μια εταιρεία σε περίπτωση απόσυρσης συγκατάθεσης υποκειμένου επεξεργασίας δεδομένων | Σελ. 55 |
61. Χρειάζεται συγκατάθεση για τήρηση βιογραφικού στην περίπτωση που τελικώς υπογραφεί σύμβαση, είτε εργασίας είτε συνεργασίας; | Σελ. 56 |
62. Η συγκατάθεση, όπου απαιτείται, καλύπτει και επόμενα από την παροχή της συμβόλαια; | Σελ. 56 |
63. Απαιτείται συγκατάθεση ειδικής κατηγορίας Δεδομένων για στατιστικούς σκοπούς ή αρκεί η ενημέρωση; | Σελ. 56 |
64. Εταιρεία ζητά με εξουσιοδότηση από τα Μέλη ΔΣ να λαμβάνει ποινικά μητρώα για τη συμμετοχή της εταιρείας σε έργα μέσω διαγωνισμών. Η νομική βάση ως προς την επεξεργασία αυτή είναι η συγκατάθεση του ΦΠ ή το έννομο συμφέρον της εταιρείας; | Σελ. 57 |
5. Xαρτογράφηση | Σελ. 57 |
65. Τι είναι τα αρχεία δραστηριοτήτων επεξεργασίας; | Σελ. 57 |
66. Ποιοι οφείλουν να τηρούν αρχεία δραστηριοτήτων; | Σελ. 57 |
67. Ποια στοιχεία πρέπει να περιέχει το αρχείο δραστηριοτήτων; | Σελ. 58 |
68. Υπάρχει συγκεκριμένος μορφότυπος για το αρχείο δραστηριοτήτων; | Σελ. 58 |
69. Υφίσταται υποχρέωση γνωστοποίησης αρχείου ή επεξεργασίας στην Αρχή; | Σελ. 58 |
70. Οι υποχρεώσεις παραμένουν οι ίδιες ανεξάρτητα από τον όγκο των Δεδομένων που χειρίζεται μια εταιρεία; | Σελ. 59 |
71. Τι σημαίνει «βασικές δραστηριότητες»; | Σελ. 59 |
72. Τι είναι η επιχειρησιακή συνέχεια (business continuity); | Σελ. 60 |
6. Έκθεση ελλείψεων (GAP Analysis) | Σελ. 60 |
73. GDPR GAP Analysis: Τι είναι; | Σελ. 60 |
7. Εκτίμηση αντικτύπου | Σελ. 61 |
74 . Ποιος οφείλει και πότε να διενεργεί την Εκτίμηση Αντικτύπου; | Σελ. 61 |
75. Τι αφορά η Εκτίμηση Αντικτύπου; Μία επιμέρους πράξη επεξεργασίας ή ένα σύνολο παρόμοιων πράξεων επεξεργασίας; | Σελ. 65 |
76. Πότε θα πρέπει να διενεργείται η Εκτίμηση Αντικτύπου; | Σελ. 67 |
77. Τι σημαίνει «μεγάλη κλίμακα»; | Σελ. 67 |
78. Τι σημαίνει «τακτική και συστηματική παρακολούθηση»; | Σελ. 68 |
79. Είναι υποχρεωτική η δημοσίευση της Εκτίμησης Αντικτύπου; | Σελ. 69 |
80. Πότε ένα είδος επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο, ούτως ώστε να απαιτείται Εκτίμηση Αντικτύπου του άρθρου 35 του Κανονισμού; | Σελ. 70 |
81. Τι ισχύει στις ήδη υφιστάμενες πράξεις επεξεργασίας που έχουν εγκριθεί από την εποπτική αρχή πριν το Μάιο 2018; | Σελ. 73 |
82. Ποια είναι τα κριτήρια για μια αποδεκτή Εκτίμηση Αντικτύπου; | Σελ. 74 |
83. Πότε πρέπει να γίνεται εκτίμηση αντίκτυπου σχετικά με την προστασία Δεδομένων(ΕΑΠΔ); | Σελ. 76 |
8. Υπεύθυνος επεξεργασίας & εκτελών την επεξεργασία | Σελ. 77 |
84. Ποιος είναι ο Υπεύθυνος Επεξεργασίας των δεδομένων; | Σελ. 77 |
85. Ποιος είναι ο Εκτελών την Επεξεργασία; | Σελ. 78 |
86. Με ποιο τρόπο συμβάλλονται ο Υπεύθυνος Επεξεργασίας και ο Εκτελών την Επεξεργασία; | Σελ. 78 |
87. Πώς πρέπει να διαχειρίζεται ο Υπεύθυνος Επεξεργασίας μια παραβίαση Δεδομένων, αν δεν είναι δυνατό να παράσχει όλες τις απαιτούμενες πληροφορίες εντός 72 ωρών; | Σελ. 78 |
88. Πώς αξιολογείται ο βαθμός ευθύνης του Υπευθύνου Επεξεργασίας κατά την επιβολή προστίμου; | Σελ. 80 |
89. Πώς μπορεί ο Υπεύθυνος Επεξεργασίας να ταυτοποιήσει το Υποκείμενο των Δεδομένων πριν απαντήσει στο αίτημά τους; | Σελ. 81 |
90. Σε περίπτωση που δύο εταιρείες είναι από κοινού Υπεύθυνοι Επεξεργασίας (joint controllers) ποιο είναι το πλαίσιο συνεργασίας; | Σελ. 82 |
91. Πρακτικό 1 μέσω του οποίου διευκρινίζεται ο ρόλος των συμβαλλομένων όσον αφορά τον GDPR | Σελ. 83 |
92. Πρακτικό 2 μέσω του οποίου διευκρινίζεται ο ρόλος των συμβαλλομένων όσον αφορά τον GDPR | Σελ. 83 |
93. Ναυτιλιακή Εταιρεία με έδρα την Ελλάδα στέλνει Δεδομένα των υπαλλήλων της σε Προξενεία χωρών υπηκοότητας των υπαλλήλων της για έκδοση βίζας. Ποιος είναι ο ρόλος τους; | Σελ. 84 |
94. Ποια είναι η αρμόδια Εποπτική αρχή όταν ο Υπεύθυνος Επεξεργασίας και ο Εκτελών την Επεξεργασία είναι διαφορετικής εθνικότητας; | Σελ. 84 |
95. Θέματα αποζημίωσης μεταξύ Υπευθύνου και Εκτελούντος την Επεξεργασία | Σελ. 85 |
9. Τροποποίηση συμβάσεων με πελάτες/προμηθευτές/εργαζόμενους και δημιουργία/αναθεώρηση πολιτικών & διαδικασιών | Σελ. 85 |
96. Η τροποποίηση Συμβάσεων της επιχείρησης με πελάτες/προμηθευτές/ εργαζόμενους, τι πρέπει να περιλαμβάνει; | Σελ. 85 |
97. Μετά την επικαιροποίηση των συμβάσεων, ποιο κείμενο πρέπει να συνταχθεί ή να τροποποιηθεί; | Σελ. 86 |
10. Τεχνικά και οργανωτικά μέτρα | Σελ. 86 |
98. Ποια είναι η έννοια της ασφάλειας δικτύων και πληροφοριών; | Σελ. 86 |
99. Τι νέο εισάγει ο GDPR ως προς την ασφάλεια; | Σελ. 87 |
100. Παραδείγματα Οργανωτικών & Τεχνικών μέτρων ασφάλειας | Σελ. 87 |
101. Τι είναι η κρυπτογράφηση ως μέσο ασφάλειας; | Σελ. 88 |
102. Τι είναι η ψευδωνυμοποίηση ως μέσο ασφάλειας; | Σελ. 88 |
103. H ψευδωνυμοποίηση ταυτίζεται με την ανωνυμοποίηση; | Σελ. 88 |
104. Ο GDPR ποια μέτρα ασφαλείας παροτρύνει και δημιουργεί κίνητρα για τους Yπεύθυνους Eπεξεργασίας να εφαρμόζουν; | Σελ. 89 |
105. Ποιο είναι το συχνό λάθος κατά τη διαδικασία ανωνυμοποίησης των δεδομένων; | Σελ. 91 |
106. Πότε μπορεί να αναγνωριστεί η ταυτότητα ενός προσώπου; | Σελ. 91 |
107. Με ποιον τρόπο μπορεί ο Υπεύθυνος Επεξεργασίας να χρησιμοποιήσει κατάλληλα την τεχνική της ανωνυμοποίησης; | Σελ. 92 |
11. Εκπαίδευση προσωπικού & διαρκής παρακολούθηση συμμόρφωσης | Σελ. 92 |
108. Ποιο είναι το βασικό καθήκον του DPO μετά τη συμμόφωση με τον GDPR; | Σελ. 92 |
109. Γιατί είναι πολύ σημαντική η εκπαίδευση του προσωπικού; | Σελ. 92 |
110. Μετά την συμμόρφωση της επιχείρησης με τον GDPR το αρχείο δραστηριοτήτων πρέπει να επικαιροποιηθεί; | Σελ. 93 |
Κεφάλαιο 3 | |
Ειδικά θέματα συμμόρφωσης | |
1. Cookies | Σελ. 95 |
111. Τι είναι τα cookies; | Σελ. 95 |
112. Για ποιο λόγο χρησιμοποιούνται τα cookies; | Σελ. 95 |
113. Ποια νομοθεσία εφαρμόζεται για τα cookies; | Σελ. 96 |
114. Πότε δημιουργείται υποχρέωση των διαχειριστών ιστοσελίδων να συμμορφωθούν προς την Νομοθεσία για την προστασία των προσωπικών δεδομένων; | Σελ. 96 |
115. Τι ισχύει για τις εφαρμογές (mobile applications); | Σελ. 97 |
116. Σε ποιες κατηγορίες διακρίνονται τα cookies; | Σελ. 97 |
117. Πώς μπορούν οι χρήστες ιστοσελίδων να ελέγξουν τα cookies; | Σελ. 99 |
118. Αρκούν τα προσυμπληρωμένα τετραγωνίδια για την παροχή συγκατάθεσης ως προς τη χρήση των cookies; | Σελ. 100 |
119. Συστάσεις της ΑΠΔΠΧ στους Υπεύθυνους Επεξεργασίας για τη συμμόρφωσή τους με την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες. | Σελ. 101 |
120. Υπάρχει εξαίρεση από την υποχρέωση λήψης της συγκατάθεσης του συνδρομητή ή χρήστη υφίσταται; | Σελ. 105 |
121. Τι συμβαίνει με τα cookies που εγκαθίστανται με σκοπό τη διαφήμιση; | Σελ. 106 |
122. Τι ισχύει για τα cookies που εγκαθίστανται με σκοπό την στατιστική ανάλυση (web analytics); | Σελ. 106 |
123. Πώς μπορεί ο χρήστης μιας ιστοσελίδας να ελέγχει τα cookies που εγκαθίστανται στον υπολογιστή του; | Σελ. 108 |
2. Βιντεοεπιτήρηση | Σελ. 108 |
124. Στην περίπτωση που κάποιος επιθυμεί να εγκαταστήσει σύστημα βιντεοεπιτήρησης, είναι υποχρεωμένος να υποβάλει γνωστοποίηση στην Αρχή; | Σελ. 108 |
125. Η εγκατάσταση καμερών ασφαλείας σε μονοκατοικία επιτρέπεται; και με τι όρους; | Σελ. 109 |
126. Η τοποθέτηση κάμερας ασφαλείας σε διαμέρισμα πολυκατοικίας σε ποια σημεία επιτρέπεται; Είναι δυνατή η τοποθέτηση κάμερας που να επιβλέπει τον χώρο μπροστά από την εξώπορτα του διαμερίσματος; | Σελ. 109 |
127. Τοποθέτηση κάμερας ασφαλείας σε διαμέρισμα πολυκατοικίας· συναίνεση ενοίκων όμορων διαμερισμάτων | Σελ. 110 |
128. Αν διαθέτει κάποιος κατάστημα ή γραφείο σε όροφο πολυκατοικίας, μπορεί να τοποθετήσει κάμερα που να επιβλέπει την είσοδό του; | Σελ. 111 |
129. Απαιτείται ομοφωνία των ενοίκων για την εγκατάσταση συστήματος βιντεοεπιτήρησης σε κοινόχρηστους χώρους πολυκατοικίας; | Σελ. 111 |
130. Πού μπορούν να τοποθετηθούν κάμερες σε εμπορικό κατάστημα; | Σελ. 112 |
131. Σε ποια σημεία εστιατορίου/μπαρ μπορούν να τοποθετηθούν κάμερες και σε ποια όχι; | Σελ. 112 |
132. Μπορούν να τοποθετηθούν κάμερες έξω από κάποια επιχείρησή μου, σε δημόσιο χώρο; | Σελ. 112 |
133. Υπό ποιες προϋποθέσεις επιτρέπεται η τοποθέτηση καμερών σε σχολεία/σχολικά συγκροτήματα; | Σελ. 113 |
134. Τι μπορεί να κάνει εργαζόμενος, όταν ο εργοδότης του έχει τοποθετήσει κάμερες με τις οποίες μπορεί και παρακολουθεί το προσωπικό; | Σελ. 113 |
135. Σε ποια σημεία ιδιωτικού ιατρείου σε πολυκατοικία, μπορούν να τοποθετηθούν κάμερες για λόγους ασφαλείας και σε ποια όχι; | Σελ. 114 |
136. Για πόσο χρονικό διάστημα επιτρέπεται να τηρούνται τα Δεδομένα που καταγράφονται από το σύστημα βιντεοεπιτήρησης; | Σελ. 114 |
137. Παρατηρώ (π.χ. σε κατάστημα ή σε καφετέρια) κάμερες, για τις οποίες δεν γνωρίζω αν είναι νόμιμες και δεν ξέρω ακριβώς εάν και τι καταγράφουν. Τι πρέπει να κάνω; | Σελ. 116 |
138. Γείτονάς μου έχει βάλει κάμερα και πιστεύω ότι καταγράφει και το σπίτι μου. Τι μπορώ να κάνω; | Σελ. 116 |
139. Τι απαγορεύεται να καταγράφει ένα σύστημα βιντεοεπιτήρησης; | Σελ. 117 |
140. Επιτρέπεται η χρήση συστήματος βιντεοεπιτήρησης εντός των χώρων εργασίας; | Σελ. 117 |
141. Είναι απαραίτητη η ενημέρωση των εργαζομένων για την βιντεοεπιτήρηση; | Σελ. 118 |
142. Τι ισχύει αναφορικά με επαγγελματικούς και άλλους χώρους; | Σελ. 118 |
143. Είναι επιτρεπτή η εγκατάσταση οθόνης παρακολούθησης σε γραφείο της Διεύθυνσης; | Σελ. 121 |
144. Τι ισχύει με την χρήση συστημάτων επιτήρησης με τη λήψη ή καταγραφή ήχου ή εικόνας σε δημόσιους χώρους από τις δημόσιες αρχές που είναι αρμόδιες για την πρόληψη, διερεύνηση, ανίχνευση ή δίωξη των εγκλημάτων ή την εκτέλεση των ποινικών κυρώσεων (Ελληνική Αστυνομία, Πυροσβεστικό Σώμα και Λιμενικό Σώμα - Ελληνική Ακτοφυλακή) | Σελ. 121 |
145. Επιτρέπονται οι συσκευές εντοπισμού (GPS) εταιρικών οχημάτων; Υπό ποιες προϋποθέσεις; | Σελ. 124 |
146. Τι ισχύει για τις ψεύτικες κάμερες; | Σελ. 127 |
147. Νομιμοποιείται η χρήση καμερών από εταιρεία παραγωγής στρωμάτων στο χώρο της παραγωγής για λόγους ασφάλειας προσωπικού (οδηγία 1/2011 άρθρο 2); | Σελ. 127 |
148. Tι ισχύει για τη χρήση εφαρμογών Video Banking και Voice Biometrics; | Σελ. 128 |
149. Διαφημιστική εταιρεία κάνει γυρίσματα σε δημόσιο χώρο για διαφημίσεις ή για διαγωνισμούς. Πώς μπορεί να χειριστεί τους περαστικούς; Πώς καλύπτεται για τη χρήση της εικόνας ενός φυσικού προσώπου; | Σελ. 129 |
150. Εταιρεία πραγματοποιεί εκδήλωση με έντυπη πρόσκληση. Η εκδήλωση θα βιντεοσκοπηθεί και φωτογραφίες θα αναρτηθούν στην ιστοσελίδα της. Χρειάζεται να αναφέρεται κάτι συγκεκριμένο στην πρόσκληση; Είναι αρκετό το ότι αναγράφεται ότι η εκδήλωση θα βιντεοσκοπηθεί; | Σελ. 129 |
151. Σε έντυπο συναίνεσης για λήψη φωτογραφιών προσωπικού σε εκδήλωση, πρέπει να υπάρχει και η κατάλληλη πληροφόρηση. Πώς γίνεται η ενημέρωση των Υποκειμένων. Δικαίωμα διαγραφής | Σελ. 130 |
3. Προωθητικές ενέργειες | Σελ. 130 |
152. Πώς μπορώ να στέλνω έντυπο διαφημιστικό υλικό; | Σελ. 130 |
153. Συμμετοχή σε διαγωνισμό. Συναίνεση διαγωνιζομένων για βιντεοσκόπησή τους σε περίπτωση νίκης τους | Σελ. 132 |
154. Πώς μπορώ να διενεργώ προώθηση των προϊόντων και των υπηρεσιών μου με τηλεφωνικές κλήσεις; | Σελ. 132 |
155. Πώς μπορώ να στέλνω διαφημιστικά μηνύματα με ηλεκτρονικό ταχυδρομείο ή SMS; | Σελ. 134 |
156. Πώς μπορώ να λαμβάνω συγκατάθεση για επικοινωνίες με ηλεκτρονικά μέσα; | Σελ. 135 |
157. Πώς μπορώ να λαμβάνω στοιχεία νέων μητέρων από τα μαιευτήρια για προωθητικές ενέργειες; | Σελ. 135 |
158. Μπορεί μια εταιρεία να μου στέλνει διαφημιστικό υλικό χωρίς τη συγκατάθεσή μου; | Σελ. 136 |
159. Πώς γίνεται η προώθηση προϊόντων και υπηρεσιών μέσω τηλεφωνικών κλήσεων με ανθρώπινη παρέμβαση; | Σελ. 137 |
160. Τί πρέπει να κάνουν οι εταιρείες προκειμένου να στέλνουν νόμιμα προωθητικό υλικό (newsletter) μέσω e-mail; | Σελ. 138 |
161. Τι μπορώ να κάνω για να προστατευτώ από την αποστολή έντυπου διαφημιστικού υλικού; | Σελ. 138 |
162. Τι μπορώ να κάνω για να μη με ενοχλούν άλλο στο τηλέφωνό μου για διαφημιστικούς σκοπούς; | Σελ. 138 |
163. Δέχομαι τηλεφώνημα από αυτόματο τηλεφωνητή και δεν μπορώ να μιλήσω με κάποιον άνθρωπο. Τι ισχύει; | Σελ. 139 |
164. Τι γίνεται με τα ενοχλητικά μηνύματα που λαμβάνω στο email μου; | Σελ. 139 |
165. Τι είναι το SPAM; | Σελ. 139 |
166. Το SPAM περιλαμβάνει μόνο μηνύματα ηλεκτρονικού ταχυδρομείου; | Σελ. 139 |
167. Tα μηνύματα SPAM έχουν πάντα εμπορικό περιεχόμενο; | Σελ. 139 |
168. Ποιο είναι το ισχύον θεσμικό πλαίσιο για το SPAM στην Ελλάδα; | Σελ. 139 |
169. Τι ισχύει με τα διαφημιστικά SMS ή MMS; | Σελ. 141 |
170. Υπό ποιες προϋποθέσεις επιτρέπονται οι τηλεφωνικές κλήσεις για προωθητικές ενέργειες; | Σελ. 142 |
171. Επιτρέπεται στα πλαίσια διεξαγωγής ερευνών (ικανοποίησης και lost customers) να επικοινωνήσει η Εταιρεία με πελάτες της που έχουν αγοράσει προϊόντα της; | Σελ. 142 |
172. Μετά τον GDPR συνεχίζει να ισχύει το Μητρώο του άρθρου 13 του Ν 2472/1997; | Σελ. 142 |
173. Λήξη ασφαλιστικού συμβολαίου. Συγκατάθεση ασφαλισμένων για προωθητικές ενέργειες. Τι γίνεται όταν συνεχίζονται και μετά την λήξη; | Σελ. 143 |
174. Τρόποι απόσπασης συγκατάθεσης καταναλωτών σχετικά με προωθητικές ενέργειες | Σελ. 144 |
175. Τηλεφωνικός διαγωνισμός από ραδιοφωνικό σταθμό. Είναι νόμιμη αυτή η πρακτική; | Σελ. 144 |
4. Χρόνος τήρησης των δεδομένων | Σελ. 144 |
176. Ποιος είναι ο αποδεκτός χρόνος τήρησης για Δεδομένα με σκοπό επεξεργασίας τις προωθητικές ενέργειες; | Σελ. 144 |
177. Μια Εταιρεία παρέχει υπηρεσίες ή/και προϊόντα σε εταιρικούς πελάτες (B2B) και διατηρεί Δεδομένα στελεχών των εταιρικών πελατών της στο CRM της. Θα πρέπει να οριστεί χρόνος τήρησης και για τα Δεδομένα αυτά σε αυτό το σύστημα; | Σελ. 145 |
178. Για πόσο χρονικό διάστημα μπορούν να φυλάσσονται Δεδομένα; | Σελ. 145 |
179. Ποιος είναι ο χρόνος αποθήκευσης των ηχογραφημένων κλήσεων δήλωσης συναίνεσης σε ένα call center για αποστολή προωθητικών υλικών; | Σελ. 146 |
5. Διαβίβαση δεδομένων | Σελ. 146 |
180. Τι κανόνες ισχύουν για τη διαβίβαση Δεδομένων εκτός της ΕΕ; | Σελ. 146 |
181. Τι είναι η Ασπίδα Προστασίας ΕΕ-ΗΠΑ; | Σελ. 150 |
182. Παραμένει σε ισχύ σήμερα η Ασπίδα Προστασίας ΕΕ-ΗΠΑ; | Σελ. 152 |
183. Μπορούν τα άτομα να ζητούν τη διαβίβαση των Δεδομένων τους σε άλλον οργανισμό; | Σελ. 153 |
184. Επιστημονικός εκδοτικός οίκος αποστέλλει σε χώρες εκτός ΕΕ, για μορφοποίηση, άρθρα επιστημόνων και στοιχεία τους. Πρόκειται για διαβίβαση προσωπικών δεδομένων; | Σελ. 154 |
185. Oι εταιρείες που κάνουν χρήση του SEPA (= Ενιαίος Χώρος Πληρωμών σε Ευρώ) νομιμοποιούνται για τις διαβιβάσεις στο Σαν Μαρίνο & Μονακό; | Σελ. 154 |
186. Οι εταιρείες Α & Β είναι μέλη Ομίλου εταιρειών. Η εταιρεία Α είναι εντός ΕΕ, λειτουργεί ως Εκτελούσα την Επεξεργασία για λογαριασμό της εταιρείας Β που βρίσκεται εκτός ΕΕ και σε χώρα χωρίς επάρκεια. Για τη νόμιμη διαβίβαση των Δεδομένων από την Α στη Β τι χρειαζόμαστε; | Σελ. 155 |
187. Ταξιδιωτικό Γραφείο προχωρεί σε κράτηση δωματίων για πελάτες του σε ξενοδοχείο χώρας εκτός ΕΕ και συγκεκριμένα σε χώρα που δεν διαθέτει επάρκεια (π.χ. Ταϊλάνδη). Τι οφείλει να κάνει το Ταξιδιωτικό Γραφείο για να είναι συμμορφούμενο με τον GDPR; | Σελ. 155 |
6. Social Media | Σελ. 155 |
188. Πώς σχετίζεται η δημοσίευση Δεδομένων σε φόρουμ και υπηρεσίες κοινωνικής δικτύωσης με το δικαίωμα στην ιδιωτικότητα ; | Σελ. 155 |
189. Τι οδηγίες πρέπει να ακολουθούν οι πάροχοι υπηρεσιών κοινωνικής δικτύωσης ή φόρουμ ώστε να είναι συμμορφωμένοι προς τον GDPR; | Σελ. 156 |
190. Τι πρέπει να προσέχουμε ως προς τη δημοσιοποίηση Δεδομένων σε υπηρεσίες κοινωνικής δικτύωσης ή φόρουμ; | Σελ. 158 |
191. Πώς μπορώ να διαγράψω τα Δεδομένα μου που έχουν αναρτηθεί στο διαδίκτυο; | Σελ. 159 |
192. Διαφήμιση στο Facebook | Σελ. 160 |
193. Ο διαχειριστής σελίδας (fan page) στο Facebook είναι υπεύθυνος από κοινού με το Facebook για την επεξεργασία των δεδομένων των επισκεπτών της σελίδας του; | Σελ. 160 |
7. Νewsletters | Σελ. 161 |
194. Εταιρεία θέλει να στείλει newsletter σε εταιρείες μέσω του γενικού τους e-mail. Xρειάζεται κάποιου είδους συγκατάθεση (είναι b2b προσέγγιση); | Σελ. 161 |
195. Εταιρεία που έχει βάση με 3.000 πελάτες από παλαιότερη συναλλακτική σχέση (π.χ. πριν 3 χρόνια) και δεν έχει κάνει ποτέ προώθηση newsletter, μπορεί να κάνει τώρα με απλή ενημέρωση της επεξεργασίας που διενεργεί και δυνατότητα opt-out; | Σελ. 162 |
196. Αποχώρηση μετόχου από εταιρεία και ίδρυση νέας με χρησιμοποίηση της λίστας πελατολογίου της παλιάς εταιρείας. Τι μπορεί να κάνει η τελευταία για την παραβίαση Δεδομένων των πελατών της; | Σελ. 163 |
197. Ενδιαφέρον άρθρο μέλους της ΑΠΔΠΧ, για τα emails «συγκατάθεσης» που έστελναν κατά χιλιάδες, ενόψει της ισχύς του GDPR, εταιρείες από όλο τον κόσμο σε αποδέκτες newsletters με σκοπό την «νομιμοποίηση» των λιστών τους | Σελ. 164 |
8. Βιογραφικά | Σελ. 165 |
198. Τι προβλέπει ο GDPR σχετικά με τη λήψη και τήρηση βιογραφικών; | Σελ. 165 |
9. Εργαζόμενοι | Σελ. 165 |
199. Τι ισχύει γενικά για την επεξεργασία Δεδομένων εργαζομένων. | Σελ. 165 |
200. Τι ισχύει με τη νομική βάση της συγκατάθεσης των εργαζομένων; | Σελ. 166 |
201. Ποινικό Μητρώο και GDPR. | Σελ. 167 |
202. Εργαζόμενοι και προσωπικά δεδομένα τρίτων | Σελ. 169 |
203. Συλλογή Ποινικών Μητρών εργαζομένων | Σελ. 169 |
204. Εργαζόμενοι και απολυτήριο στρατού/πιστοποιητικό απαλλαγής | Σελ. 169 |
10. Παραβίαση δεδομένων | Σελ. 170 |
205. Τι είναι η παραβίαση Δεδομένων και τι πρέπει να κάνουμε σε τέτοια περίπτωση; | Σελ. 170 |
206. Ποιες είναι οι κατηγορίες των παραβιάσεων; | Σελ. 171 |
207. Μερικά παραδείγματα παραβίασης διαθεσιμότητας | Σελ. 172 |
208. Είναι παραβίαση η μη διαθεσιμότητα Δεδομένων για ένα περιορισμένο χρονικό διάστημα; | Σελ. 172 |
209. Γιατί είναι σημαντικό ο Υπεύθυνος Επεξεργασίας να υιοθετήσει Διαδικασία Αντιμετώπισης Περιστατικών Ασφάλειας & Γνωστοποίησης Παραβιάσεων; | Σελ. 173 |
210. Πότε πρέπει να ενημερωθεί η ΑΠΔΠΧ για το συμβάν της παραβίασης; | Σελ. 173 |
211. Παράδειγμα, όπου δικαιολογείται καθυστέρηση στην γνωστοποίηση της παραβίασης; | Σελ. 174 |
212. Υπάρχει ειδική διαδικασία γνωστοποίησης παραβίασης Δεδομένων για τους φορείς παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών; | Σελ. 175 |
213. Πότε είναι υποχρεωμένος ο Υπεύθυνος Επεξεργασίας να ενημερώνει τα Υποκείμενα; | Σελ. 175 |
214. Πρέπει ο Υπεύθυνος Επεξεργασίας να τηρεί αρχεία για όλες τις παραβιάσεις; | Σελ. 176 |
215. Τι κάνουμε αν υπάρχει παραβίαση Δεδομένων (data breach) ή υποψία παραβίασης Δεδομένων; Πρέπει να ενημερώσουμε την Αρχή ακόμα και όταν υπάρχει μόνο υποψία; | Σελ. 177 |
216. Αντικαθιστά η γνωστοποίηση της παραβίασης Δεδομένων προσωπικού χαρακτήρα στην Εποπτική Αρχή την γνωστοποίηση στα επηρεαζόμενα φυσικά πρόσωπα; | Σελ. 178 |
217. Από πότε μετράει ο χρόνος των 72 ωρών; Από τη στιγμή που επιβεβαιωθεί το περιστατικό ή από τη στιγμή που είχα την πρώτη ένδειξη; | Σελ. 178 |
218. Ένας πελάτης έλαβε ένα mail που έλεγε ότι σας έχουμε χακάρει και θέλουμε λύτρα. Αρκεί αυτό για να ενημερώσουμε την ΑΠΔΠΧ; Πρέπει να συμπληρώσει έντυπο γνωστοποίησης; Σε τέτοια περίπτωση θα πρέπει να ενημερώσουμε και τη Δίωξη Ηλεκτρονικού Εγκλήματος; | Σελ. 179 |
219. Θα πρέπει πρώτα να επιβεβαιώσουμε ότι έχει γίνει hacking και μετά να το πούμε; | Σελ. 179 |
220. Αν το πούμε στον ένα (π.χ. Δίωξη) και όχι στον άλλο μπορεί να υπάρξουν επιπτώσεις στην εταιρία; | Σελ. 179 |
Κεφάλαιο 4 | |
Δικαιώματα υποκειμένων | |
1. Γενικές ερωτήσεις | Σελ. 181 |
221. Ποια είναι τα δικαιώματα των Υποκειμένων; | Σελ. 181 |
222. Με ποιον τρόπο ασκούν τα δικαιώματά τους τα Υποκείμενα; | Σελ. 182 |
223. Ποιος είναι ο χρόνος συμμόρφωσης του Υπευθύνου Επεξεργασίας ως προς τα αιτήματα των Υποκειμένων για την ικανοποίηση των δικαιωμάτων τους; | Σελ. 182 |
224. Ποια είναι η επιβάρυνση των Υποκειμένων ως προς την ικανοποίηση των αιτημάτων τους; | Σελ. 182 |
225. Σε περίπτωση μη ικανοποίησης αιτήματος Υποκειμένων από τον Υπεύθυνο Επεξεργασίας σε ποια άλλη ενέργεια δύνανται να προβούν τα Υποκείμενα; | Σελ. 182 |
2. Δικαίωμα πρόσβασης | Σελ. 183 |
226. Πώς μπορούν τα Yποκείμενα να έχουν πρόσβαση στα Δεδομένα τους που κατέχει μια εταιρεία/ένας φορέας; | Σελ. 183 |
227. Η αρχή της διαφάνειας πώς διαμορφώνει το περιεχόμενο του δικαιώματος πρόσβασης των Υποκειμένων; | Σελ. 184 |
228. Πότε πρέπει να γίνεται η ενημέρωση από τον Υπεύθυνο Επεξεργασίας; | Σελ. 185 |
3. Δικαίωμα διόρθωσης | Σελ. 185 |
229. Τα Δεδομένα ενός Υποκειμένου είναι εσφαλμένα. Μπορεί να τα διορθώσει; | Σελ. 185 |
230. Πώς αναλύεται το δικαίωμα διόρθωσης; | Σελ. 185 |
231. Πότε τα Δεδομένα είναι ανακριβή; | Σελ. 186 |
232. Πότε τα Δεδομένα είναι ελλιπή; | Σελ. 186 |
4. Δικαίωμα διαγραφής – Δικαίωμα στη λήθη | Σελ. 186 |
233. Τι είναι το δικαίωμα διαγραφής των Δεδομένων; | Σελ. 186 |
234. Μπορεί το Υποκείμενο να ζητήσει από μια εταιρεία να διαγράψει τα Δεδομένα του; | Σελ. 187 |
235. Πρέπει πάντα να διαγράφουμε Δεδομένα εάν ένα άτομο το ζητά; | Σελ. 189 |
5. Δικαίωμα περιορισμού της επεξεργασίας | Σελ. 190 |
236. Ποιο είναι το περιεχόμενο του δικαιώματος περιορισμού της επεξεργασίας; | Σελ. 190 |
237. Πότε το Yποκείμενο των Δεδομένων έχει αυτό το δικαίωμα; | Σελ. 190 |
238. Το δικαίωμα αυτό μπορεί να ασκηθεί συνδυαστικά με το δικαίωμα διόρθωσης και το δικαίωμα εναντίωσης; | Σελ. 191 |
239. Πώς περιορίζεται η επεξεργασία; | Σελ. 191 |
240. Πότε θα πρέπει το Υποκείμενο να ασκήσει το δικαίωμά του για περιορισμό της επεξεργασίας Δεδομένων του; | Σελ. 191 |
6. Δικαίωμα στη φορητότητα | Σελ. 192 |
241. Ποιο είναι το ουσιαστικό περιεχόμενο του δικαιώματος στη φορητότητα των Δεδομένων; | Σελ. 192 |
242. Πότε έχει εφαρμογή το δικαίωμα στη φορητότητα των Δεδομένων; | Σελ. 193 |
243. Πώς πρέπει να ενημερώνονται τα Yποκείμενα των Δεδομένων για το νέο αυτό δικαίωμα; | Σελ. 194 |
244. Επηρεάζει η άσκηση του δικαιώματος στη φορητότητα των Δεδομένων την άσκηση των άλλων δικαιωμάτων του Υποκειμένου των Δεδομένων; Διαγράφονται τα Δεδομένα από τον αρχικό Υπεύθυνο Επεξεργασίας; | Σελ. 195 |
245. Ποιος είναι ο σκοπός του δικαιώματος στη φορητότητα των Δεδομένων; | Σελ. 195 |
246. Τι δυνατότητες προσφέρει το δικαίωμα στη φορητότητα των Δεδομένων; | Σελ. 196 |
247. Ποια εργαλεία συνιστώνται για την απάντηση σε αιτήματα φορητότητας Δεδομένων; | Σελ. 196 |
248. Σε ποιο βαθμό ευθύνονται οι Υπεύθυνοι Επεξεργασίας για τα Δεδομένα που μεταφέρονται ή λαμβάνονται κατά την άσκηση του δικαιώματος στη φορητότητα των Δεδομένων; | Σελ. 196 |
249. Ποια είναι η προθεσμία που επιβάλλεται για απάντηση σε αίτημα φορητότητας; | Σελ. 197 |
250. Πώς πρέπει να παρέχονται τα φορητά Δεδομένα; | Σελ. 197 |
7. Δικαίωμα εναντίωσης | Σελ. 198 |
251. Ποιο είναι το ουσιαστικό περιεχόμενο του δικαιώματος εναντίωσης; | Σελ. 198 |
252. Μπορεί το Υποκείμενο να ζητήσει από μια εταιρεία/έναν φορέα να σταματήσει την επεξεργασία των Δεδομένων του; | Σελ. 199 |
8. Δικαίωμα στην ανθρώπινη παρέμβαση (μη κατάρτιση προφίλ) | Σελ. 200 |
253. Ποιο το περιεχόμενο του δικαιώματος στην ανθρώπινη παρέμβαση; | Σελ. 200 |
254. Μπορεί το Υποκείμενο να υπόκειται σε αυτοματοποιημένη ατομική λήψη αποφάσεων (μη χειροκίνητη), συμπεριλαμβανομένης της κατάρτισης προφίλ; | Σελ. 202 |
255. Υπάρχουν περιορισμοί όσον αφορά τη χρήση αυτοματοποιημένης λήψης αποφάσεων; | Σελ. 203 |
256. Οι ψηφιοποιημένες αιτήσεις (σκαναρισμένες) νομικά έχουν την ίδια ισχύ με τις έντυπες μορφές σε περίπτωση που υπάρξει ένσταση από το φυσικό πρόσωπο; | Σελ. 205 |
Κεφάλαιο 5 | |
Πρακτικά θέματα συμμόρφωσης δικηγορικών γραφείων | |
257. Δικηγορικό απόρρητο και όροι εχεμύθειας | Σελ. 207 |
258. Η διαχείριση προσωπικού ενός δικηγορικού γραφείου συνεπάγεται επεξεργασία Δεδομένων; | Σελ. 207 |
259. Ποια Δεδομένα μπορεί να συλλέξει ο Δικηγόρος στο πλαίσιο διαχείρισης του ανθρωπίνου δυναμικού; | Σελ. 207 |
260. Η αρχή της ελαχιστοποίησης των Δεδομένων έχει εφαρμογή και κατά τη διαχείριση ανθρώπινου δυναμικού ενός δικηγορικού γραφείου; | Σελ. 208 |
261. Τι είδους επεξεργασία Δεδομένων κάνει ένα δικηγορικό γραφείο και για ποιο σκοπό; | Σελ. 208 |
262. Για πόσο χρόνο τηρούνται τα Δεδομένα που προκύπτουν από την διαχείριση του προσωπικού; | Σελ. 209 |
263. Πρέπει να ενημερώνονται τα ενδιαφερόμενα Υποκείμενα ως προς την επεξεργασία των Δεδομένων τους; | Σελ. 209 |
264. Ποια Δεδομένα μπορεί να συλλέξει το δικηγορικό γραφείο στο πλαίσιο της διαχείρισης των πελατών του; | Σελ. 210 |
265. Τι ισχύει με το χρόνο τήρησης των Δεδομένων των πελατών ενός δικηγορικού γραφείου; | Σελ. 211 |
266. Υποχρέωση ενημέρωσης πελατών - Υποκειμένων των Δεδομένων | Σελ. 212 |
267. Είναι απαραίτητο να ληφθούν μέτρα ασφάλειας των αρχείων των πελατών; | Σελ. 212 |
268. Τι πρέπει να προσέξει ο Δικηγόρος στα πλαίσια της διαχείρισης του πελατολογίου του; | Σελ. 213 |
269. Βιντεοεπιτήρηση (κάμερες) στο δικηγορικό γραφείο. | Σελ. 213 |
270. Ποιος είναι ο σκοπός της εγκατάστασης καμερών; | Σελ. 214 |
271. Τι είναι απαραίτητο να πράξει δικηγορικό γραφείο που χρησιμοποιεί σύστημα βιντεοεπιτήρησης; | Σελ. 214 |
272. Με ποιους τρόπους δεν πρέπει να χρησιμοποιείται το σύστημα βιντεοεπιτήρησης; | Σελ. 214 |
273. Για πόσο χρονικό διάστημα μπορεί να διατηρηθεί το υλικό των καμερών; | Σελ. 214 |
274. Τι πρέπει να προσέξει ο Δικηγόρος σε σχέση με το σύστημα βιντεοεπιτήρησης; | Σελ. 215 |
275. Ποιοι θεωρούνται Εκτελούντες την Επεξεργασία για ένα δικηγορικό γραφείο; | Σελ. 215 |
276. Τι πρέπει να κάνει το δικηγορικό γραφείο με τους Εκτελούντες; | Σελ. 215 |
277. Με ποιους τρόπους συλλέγουν Δεδομένα τα δικηγορικά γραφεία μέσω των Ιστοσελίδων τους; | Σελ. 215 |
278. Ποιες είναι οι υποχρεώσεις που πρέπει να τηρηθούν αν το δικηγορικό γραφείο συλλέγει Δεδομένα μέσω της ιστοσελίδας του; | Σελ. 216 |
279. Ποιες είναι οι ενημερώσεις που υποχρεωτικώς πρέπει να βρίσκονται στην ιστοσελίδα του Δικηγόρου; | Σελ. 216 |
280. Πρακτικά, τι απαιτείται να προσέξει ένας Δικηγόρος όταν συλλέγει Δεδομένα από την ιστοσελίδα του; | Σελ. 218 |
281. Ποιες θεωρούνται καλές πρακτικές για την ασφάλεια των Δεδομένων; | Σελ. 218 |
282. Ποια είναι η διαδικασία σε περίπτωση παραβίασης της προστασίας των Δεδομένων; | Σελ. 219 |
283. Συνοπτικά σε ποια βήματα πρέπει να προβεί ο Δικηγόρος όταν έρθει αντιμέτωπος με μία ενδεχόμενη παραβίαση Δεδομένων; | Σελ. 220 |
284. Είναι υποχρεωμένο ένα δικηγορικό γραφείο να τηρεί αρχείο δραστηριοτήτων; | Σελ. 221 |
285. Yφίσταται υποχρέωση των δικηγορικών γραφείων να ορίσουν Data Protection Officer (DPO); | Σελ. 221 |
286. Ποιες είναι οι υποχρεώσεις και η αποστολή του DPO; | Σελ. 223 |
287. Δύναται ο Δικηγόρος να ενεργεί ως DPO; | Σελ. 223 |
288. Ικανοποίηση του δικαιώματος πρόσβασης των Υποκειμένων των Δεδομένων που επεξεργάζεται το δικηγορικό γραφείο | Σελ. 224 |
289. Ποια είναι η μεθοδολογία που πρέπει να ακολουθηθεί για τη συμμόρφωση ενός δικηγορικού γραφείου; | Σελ. 225 |
Κεφάλαιο 6 | |
Προσωπικά δεδομένα εν μέσω κορωνοϊού (Covid-19) | |
1. GDPR και δεδομένα υγειονομικού ενδιαφέροντος | Σελ. 227 |
290. Πότε τα Δεδομένα υγειονομικού ενδιαφέροντος προστατεύονται με βάση τον GDPR; | Σελ. 227 |
291. Σε ποιες νομικές βάσεις στηρίζεται η επεξεργασία Δεδομένων υγείας λόγω κορωνοϊού; | Σελ. 228 |
292. Εταιρία μπορεί να προβαίνει σε θερμομέτρηση των εισερχόμενων εργαζομένων στις εγκαταστάσεις της; | Σελ. 229 |
293. Η επεξεργασία των Δεδομένων θανόντων από τον κορωνοϊό προστατεύεται με βάση τον GDPR; | Σελ. 230 |
294. Μπορεί τρίτος να επεξεργαστεί Δεδομένα υγείας που δημοσιοποιούνται οικειοθελώς από τους ήδη νοσούντες; | Σελ. 230 |
295. Κατά την επεξεργασία Δεδομένων υγειονομικού περιεχομένου για δημοσιογραφικούς σκοπούς είναι αναγκαία η δημοσιοποίηση ονοματεπώνυμου ή φωτογραφίας ήδη νοσούντων από τον κορωνοϊό; | Σελ. 230 |
296. Δημοσιοποίηση από περιοδικό λίστας επιβεβαιωμένων ασθενών με Covid-19 | Σελ. 231 |
297. Εντεινόμενη επεξεργασία προσωπικών δεδομένων εργαζομένων λόγω Covid-19. Η επεξεργασία τέτοιου είδους πληροφοριών από τους εργοδότες είναι σύννομη πρακτική; | Σελ. 232 |
298. Τι είδους πληροφορίες είναι δυνατόν να δημοσιοποιηθούν από τους αρμόδιους φορείς αναφορικά με ήδη νοσούντες; | Σελ. 234 |
2. Μέτρα για την αποτροπή διάδοσης της πανδημίας & GDPR | Σελ. 235 |
299. Συσκευές θερμομέτρησης στα δικαστήρια | Σελ. 235 |
300. Θερμοκάμερες σε δημόσιους φορείς και εταιρείες | Σελ. 236 |
301. Τηλεργασία & μέτρα για την προστασία των δεδομένων εργαζομένων | Σελ. 237 |
302. Ελληνικό νομικό πλαίσιο τηλεργασίας ενόψει πανδημίας | Σελ. 238 |
303. Κατευθυντήριες γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφαλείας στο πλαίσιο τηλεργασίας | Σελ. 239 |
304. Τηλεκπαίδευση στα πανεπιστημιακά ιδρύματα | Σελ. 242 |
305. Υπουργική απόφαση για την τηλεκπαίδευση κατά το σχολικό έτος 2020-2021 | Σελ. 245 |
305α. Για πόσο χρονικό διάστημα και σε ποιους παρέχεται η σύγχρονη εξ’ αποστάσεως εκπαίδευση; | Σελ. 245 |
305β. Στο πλαίσιο λειτουργίας της ως άνω πλατφόρμας τί ισχύει ως προς τα Δεδομένα που τυγχάνουν επεξεργασίας από το Υπουργείο Παιδείας και Θρησκευμάτων; | Σελ. 246 |
305γ. Σε περίπτωση που σχολική μονάδα ιδιωτικής εκπαίδευσης επιλέξει άλλη ψηφιακή πλατφόρμα από αυτήν που διατίθεται δωρεάν από το Υπουργείο Παιδείας και Θρησκευμάτων, πρέπει να συμμορφώνεται με τις κείμενες διατάξεις περί προστασίας προσωπικών δεδομένων; | Σελ. 247 |
305δ. Ποιος είναι ο σκοπός επεξεργασίας των ανωτέρω Δεδομένων; | Σελ. 247 |
305ε. Ποια είναι τα δικαιώματα των Υποκειμένων στα πλαίσια της εξ αποστάσεως εκπαίδευσης; | Σελ. 247 |
305στ. Ποιος έχει υποχρέωση ενημέρωσης των Υποκειμένων για την επεξεργασία των Δεδομένων τους στα πλαίσια της τηλεκπαίδευσης; | Σελ. 248 |
305ζ. Είναι υποχρεωμένες τόσο οι δημόσιες όσο και οι ιδιωτικές σχολικές μονάδες κατά την υλοποίηση της τηλεκπαίδευσης να συμμορφώνονται προς τις υποχρεώσεις της κείμενης νομοθεσίας περί προστασίας Δεδομένων; | Σελ. 248 |
3. Διαδικτυακές εξετάσεις-επιτήρηση | Σελ. 248 |
306. Είναι θεμιτή η χρήση της διαδικτυακής εξέτασης σύμφωνα με το νομοθετικό πλαίσιο της προστασίας των προσωπικών Δεδομένων που επιτάσσει ο GDPR; | Σελ. 248 |
4. Ιχνηλάτηση ασθενών Covid-19 | Σελ. 249 |
307. Είναι υποχρεωτική ή προαιρετική η τήρηση του Εθνικού Μητρώου ασθενών COVID-19 στη χώρα μας; | Σελ. 249 |
308. Ποιοί είναι οι σκοποί σύστασης και λειτουργίας του Εθνικού Μητρώου Ασθενών COVID-19; | Σελ. 250 |
309. Η ανάθεση εκτέλεσης επεξεργασίας στην ΗΔΙΚΑ ΑΕ την καθιστά Εκτελούσα την Επεξεργασία για λογαριασμό του Υπουργείου Υγείας; | Σελ. 251 |
310. Πώς γίνεται η καταγραφή των ασθενών COVID-19 στο Μητρώο και τι στοιχεία διατηρούνται; | Σελ. 252 |
311. Ποιοι έχουν πρόσβαση στα Δεδομένα υγείας που καταχωρούνται στο Μητρώο ασθενών COVID-19; | Σελ. 253 |
312. Για πόσο χρονικό διάστημα διατηρούνται τα Δεδομένα των ασθενών COVID-19 στο Μητρώο; | Σελ. 253 |
313. Ποια από τις χρησιμοποιούμενες μεθόδους ιχνηλάτησης φορέων κορωνοϊού είναι εκείνη που συνιστά τη λιγότερο δυνατή προσβολή των Δεδομένων των Υποκειμένων ; | Σελ. 254 |
314. Πώς θα δουλεύει το σύστημα των Google/Apple; | Σελ. 254 |
315. Η χρήση τέτοιου είδους εφαρμογών ιχνηλάτησης φορέων κορωνοϊού είναι αποδεκτή; | Σελ. 255 |
Υποδείγματα | |
1. Υπόδειγμα αρχείου επεξεργασίας δικηγορικού γραφείου | Σελ. 259 |
2. Πολιτική Προστασίας Προσωπικών Δεδομένων | Σελ. 261 |
3. Αίτηση άσκησης δικαιωμάτων | Σελ. 263 |
4. Ρήτρα προστασίας προσωπικών δεδομένων | Σελ. 265 |
5. Παράρτημα στη σύμβαση εργαζομένου (διοικητικού προσωπικού) για τη συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα | Σελ. 267 |
6. Παράρτημα στη σύμβαση δικηγορικού γραφείου με Εκτελούντα την Επεξεργασία | Σελ. 270 |
7. Πρωτόκολλο καταστροφής | Σελ. 273 |
8. Αρχείο καταγραφής παραβιάσεων | Σελ. 274 |
Αλφαβητικό ευρετήριο | Σελ. 277 |
Σελ. 7
Κεφάλαιο 2
Πρακτικά βήματα συμμόρφωσης
1. Διαμόρφωση συνείδησης προστασίας προσωπικών δεδομένων στην επιχείρηση (Awareness)
1 | Ποιο είναι το ρυθμιστικό πλαίσιο του Κανονισμού και από πότε ισχύει;
O Γενικός Κανονισμός για την Προστασία Δεδομένων (εφεξής «Γενικός Κανονισμός» ή «GDPR»), είναι ο Ευρωπαϊκός Κανονισμός που ρυθμίζει τον τρόπο, με τον οποίο οι ιδιωτικές επιχειρήσεις και όλοι οι φορείς του δημοσίου επεξεργάζονται τα προσωπικά Δεδομένα (εφεξής «Δεδομένα») των Ευρωπαίων πολιτών. Είναι γενικής εφαρμογής, υποχρεωτικός και άμεσα εφαρμόσιμος από τις 25.5.2018 σε όλα τα κράτη μέλη της Ε.Ε. και αφορά όλους τους φορείς του δημοσίου και όλες τις ιδιωτικές επιχειρήσεις (μικρές ή μεγάλες) που είναι εγκατεστημένες σε κράτος - μέλος της Ε.Ε. ή διαχειρίζονται Δεδομένα Ευρωπαίων πολιτών. Να γίνει μνεία ότι περιέχει και 28 άρθρα που εισάγουν τις λεγόμενες «ρήτρες ευελιξίας» ή «ρήτρες ανοίγματος», γεγονός που συνεπάγεται την δυνατότητα κάθε κράτους - μέλους να τις εξειδικεύσει ανάλογα με τη δική του δικαιική κουλτούρα, θέτοντας σε ισχύ τα κατάλληλα νομοθετικά μέτρα. Στην περίπτωση της Ελλάδας, οι «ρήτρες ευελιξίας» ή «ρήτρες ανοίγματος» που εισήγαγε ο GDPR, εξειδικεύτηκαν με τον Νόμο 4624/2019, ο οποίος τέθηκε σε ισχύ την 1.9.2019.
2 | Σε ποιους εφαρμόζεται ο GDPR, όπως εξειδικεύεται με τον Νόμο 4624/2019;
Ο GDPR, όπως εξειδικεύεται με τον Νόμο 4624/2019, εφαρμόζεται: α) σε εταιρείες ή φορείς που επεξεργάζονται Δεδομένα στο πλαίσιο των δραστηριοτήτων τους και έχουν εγκατάσταση σε κράτος μέλος της Ε.Ε., ανεξάρτητα από το πού γίνεται η επεξεργασία των Δεδομένων ή β) σε εταιρείες ή φορείς που έχουν έδρα εκτός της Ε.Ε. και προσφέρουν αγαθά/υπηρεσίες (επί πληρωμή ή δωρεάν) ή παρακολουθούν τη συμπεριφορά φυσικών προσώπων στην Ε.Ε.
Για παράδειγμα, εάν μια μικρομεσαία επιχείρηση με έδρα σε κράτος - μέλος της Ε.Ε. επεξεργάζεται Δεδομένα μη Ευρωπαίων πολιτών πρέπει να συμμορφώνεται με τον GDPR. Την ίδια υποχρέωση συμμόρφωσης με τον GDPR έχει και μια αντίστοιχη επιχείρηση που εδρεύει εκτός Ε.Ε., πλην όμως επεξεργάζεται Δεδομένα Ευρωπαίων πολιτών. Ωστόσο, εάν η επεξεργασία Δεδομένων δεν αποτελεί βασικό μέρος της επιχειρηματικής δραστηριότητάς της και η δραστηριότητα δεν δημιουργεί κινδύνους για φυσικά πρόσωπα, τότε ορισμένες από τις υποχρεώσεις
Σελ. 8
του GDPR δεν ισχύουν για αυτήν [π.χ. ο διορισμός υπεύθυνου προστασίας Δεδομένων(DPO)].
3 | Πότε εφαρμόζεται ο GDPR μέσω ενός πρακτικού παραδείγματος;
Μικρή εταιρεία που δραστηριοποιείται ως πάροχος λογισμικού, κατασκευής & συντήρησης ιστοσελίδων, έχει έδρα εκτός της Ε.Ε. και συνεργάζεται κυρίως με ισπανόφωνα και πορτογαλόφωνα Πανεπιστήμια στην Ε.Ε.. Η εν λόγω εταιρεία παρέχει δωρεάν συμβουλές στα Πανεπιστήμια για την υλοποίηση του προγράμματος σπουδών τους και περαιτέρω, χορηγεί το όνομα χρήστη αλλά και τον κωδικό πρόσβασης κάθε φοιτητή, εφόσον οι τελευταίοι συμπληρώσουν τη φόρμα εγγραφής στην αντίστοιχη ιστοσελίδα. Η συγκεκριμένη εταιρεία, μολονότι δεν έχει επαγγελματική εγκατάσταση εντός Ε.Ε., συνεργάζεται με Πανεπιστήμια στην Ε.Ε. και προκειμένου να χορηγήσει το όνομα χρήστη αλλά και τον κωδικό πρόσβασης κάθε φοιτητή στο αντίστοιχο Πανεπιστήμιο επεξεργάζεται Δεδομένα μεγάλου αριθμού φοιτητών των ευρωπαϊκών πανεπιστημιακών ιδρυμάτων. Επομένως, η εταιρεία με την ιδιότητα του Εκτελούντος την Επεξεργασία προβαίνει στην συγκεκριμένη συλλογή Δεδομένων των φοιτητών που είναι απαραίτητη για να εκτελέσει τη σύμβαση παροχής λογισμικού ως προς τα Πανεπιστήμια. Εξάλλου, τα Πανεπιστήμια είναι οι Υπεύθυνοι Επεξεργασίας υπό τις οδηγίες των οποίων παρέχει τις υπηρεσίες λογισμικού η εταιρεία και επομένως τόσο η εταιρεία όσο και τα Πανεπιστήμια είναι υποχρεωμένοι να συμμορφώνονται με τις επιταγές του GDPR.
4 | Πότε δεν εφαρμόζεται ο GDPR μέσω ενός πρακτικού παραδείγματος;
Εταιρεία - πάροχος υπηρεσιών με έδρα εκτός της Ε.Ε. που παρέχει υπηρεσίες σε πελάτες εκτός της Ε.Ε. Οι πελάτες της μπορούν να χρησιμοποιούν τις υπηρεσίες της όταν ταξιδεύουν σε άλλες χώρες, συμπεριλαμβανομένης της Ε.Ε.. Εφόσον η εταιρεία δεν απευθύνει ειδικά τις υπηρεσίες της σε φυσικά πρόσωπα στην Ε.Ε., δεν υπόκειται στους κανόνες του GDPR.
5 | Μερικά παραδείγματα Δεδομένων;
Μερικά παραδείγματα Δεδομένων είναι τα εξής:
1. Βασικά Δεδομένα (π.χ. όνομα, επώνυμο, διεύθυνση, αριθμός τηλεφώνου κ.λπ.)
2. Μοναδικά Δεδομένα ταυτοποίησης (π.χ. αριθμός ταυτότητας, αριθμός διαβατηρίου, ΑΜΚΑ, ΑΦΜ)
3. Οικονομικά Στοιχεία (π.χ IBAN)
Σελ. 9
6 | Ποια Δεδομένα μπορούν να υποβληθούν σε επεξεργασία και υπό ποιες προϋποθέσεις;
– Το είδος και ο όγκος των Δεδομένων που μπορεί να επεξεργάζεται η εταιρεία ή ο φορέας εξαρτώνται από τον λόγο της επεξεργασίας (νομικός λόγος που χρησιμοποιείται) και από τη σκοπούμενη χρήση. Η εταιρεία ή ο φορέας πρέπει να τηρεί διάφορους βασικούς κανόνες, όπως τους εξής:
– τα Δεδομένα πρέπει να υποβάλλονται σε επεξεργασία με νόμιμο και διαφανή τρόπο, διασφαλίζοντας την αντικειμενικότητα προς τα άτομα των οποίων τα Δεδομένα υποβάλλονται σε επεξεργασία («νομιμότητα, αντικειμενικότητα και διαφάνεια»)·
– να υπάρχουν συγκεκριμένοι σκοποί για την επεξεργασία των Δεδομένων και η εταιρεία ή ο φορέας πρέπει να υποδεικνύει τους εν λόγω σκοπούς στα άτομα όταν συλλέγει τα Δεδομένα τους. Δεν μπορεί απλώς να συλλέγει Δεδομένα για απροσδιόριστους σκοπούς («περιορισμός του σκοπού»)·
– η εταιρεία ή ο φορέας πρέπει να συλλέγει και να επεξεργάζεται μόνο τα Δεδομένα που είναι απαραίτητα για την επίτευξη του εν λόγω σκοπού («ελαχιστοποίηση των δεδομένων»)·
– η εταιρεία ή ο φορέας πρέπει να διασφαλίζει ότι τα Δεδομένα είναι ακριβή και ενημερωμένα, λαμβάνοντας υπόψη τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία και να τα διορθώνει στην αντίθετη περίπτωση («ακρίβεια»)·
– η εταιρεία ή ο φορέας δεν μπορεί να κάνει περαιτέρω χρήση των Δεδομένων για άλλους σκοπούς που δεν είναι συμβατοί με τον αρχικό σκοπό·
– η εταιρεία ή ο φορέας πρέπει να διασφαλίζει ότι τα Δεδομένα δεν αποθηκεύονται για διάστημα μεγαλύτερο από αυτό που είναι απαραίτητο για τους σκοπούς για τα οποία συλλέχθηκαν («περιορισμός της περιόδου αποθήκευσης»)·
– η εταιρεία ή ο φορέας πρέπει να υλοποιήσει κατάλληλες τεχνικές και οργανωτικές εγγυήσεις που εξασφαλίζουν την ασφάλεια των Δεδομένων, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή φθορά, χρησιμοποιώντας κατάλληλη τεχνολογία («ακεραιότητα και εμπιστευτικότητα»).
Σελ. 10
7 | Η θεωρία αναφέρει ότι δεδομένο υγείας αποτελεί όποιο δεδομένο αφορά την κατάσταση της υγείας ενός ατόμου, ήτοι ακόμα ότι αυτός είναι υγιής ή καπνιστής κ.λπ. Σε περίπτωση προωθητικής ενέργειας καπνικών προϊόντων ο καταναλωτής ερωτάται εάν είναι καπνιστής και ποια μάρκα τσιγάρων προτιμά. Αυτό αποτελεί προσωπικό δεδομένο υγείας; Στο ίδιο πλαίσιο, αποτελεί δεδομένο υγείας η βεβαίωση ιατρού, που αποδεικνύει ότι κάποιος είναι υγιής, προκειμένου να συμμετάσχει σε αθλητικό event;
Ως δεδομένα υγείας είναι αυτά που αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας ενός προσώπου όπως αναφέρεται στους ορισμούς του άρθρου 4 του Κανονισμού GDPR. Το γεγονός ότι κάποιος καπνίζει ή καταναλώνει αλκοόλ δεν οδηγεί σε συμπεράσματα για την υγεία του και δεν πρέπει να θεωρείται δεδομένο υγείας, εκτός αν ορίζεται διαφορετικά από το εθνικό δίκαιο. Όμως, η βεβαίωση του γιατρού ότι κάποιος είναι υγιής για να συμμετάσχει σε αθλητική εκδήλωση αποκαλύπτει ότι η κατάσταση της υγείας του είναι καλή και αντιμετωπίζεται ως δεδομένο υγείας.
8 | Τα ηλεκτρονικά καταστήματα πώλησης ειδών που σχετίζονται με ειδικές κατηγορίες Δεδομένων, όπως θρησκευτικές απόψεις (κατάστημα εμπορίας εικόνων και εκκλησιαστικών ειδών) ή σεξουαλικές προτιμήσεις (sex shop) θεωρούνται ως Υπεύθυνοι Επεξεργασίας ειδικών κατηγοριών Δεδομένων; Και αν ναι, τι υποχρεώσεις έχουν προς την ΑΠΔΠΧ;
Η αγορά τέτοιων αντικειμένων δεν μπορεί να οδηγήσει σε συμπεράσματα για τις προσωπικές επιλογές του αγοραστή περί θρησκευτικών πεποιθήσεων και γενετήσιου προσανατολισμού. Ως εκ τούτου δεν θεωρούνται οι έμποροι των συγκεκριμένων ειδών ως Υπεύθυνοι ειδικών κατηγοριών Δεδομένων.
9 | Αντιμετωπίζεται ο ΑΜΚΑ ως δεδομένο ειδικής κατηγορίας;
Ο ΑΜΚΑ δεν ανήκει στα δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση ούτε στα γενετικά δεδομένα, βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία, τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό του. Εκ του ΑΜΚΑ και μόνο εξ αυτού ως αριθμού δεν δύναται να εξαχθούν συμπεράσματα για την υγεία του προσώπου.
Σελ. 11
10 | Τι σημαίνει η προστασία Δεδομένων «ήδη από τον σχεδιασμό» και «εξ’ ορισμού»;
Η προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας Δεδομένων απαιτεί την αποτελεσματική λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε να διασφαλίζεται ότι τηρούνται οι απαιτήσεις του GDPR.
Παράγοντες που πρέπει να λαμβάνονται υπόψη είναι: οι τελευταίες εξελίξεις της τεχνολογίας, το κόστος εφαρμογής των μέτρων, η φύση, το πεδίο εφαρμογής, το πλαίσιο και οι σκοποί της επεξεργασίας, καθώς και οι κίνδυνοι, –των οποίων ο βαθμός πιθανότητας και σοβαρότητας ποικίλλει− για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία.
Προκειμένου, λοιπόν, ο Υπεύθυνος Επεξεργασίας να μπορεί να αποδείξει συμμόρφωση προς τον Κανονισμό, θα πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει μέτρα τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, ανταποκρινόμενος έτσι, μεταξύ άλλων, στις αρχές της προστασίας των Δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού.
Σύμφωνα με την αρχή της προστασίας των Δεδομένων ήδη από τον σχεδιασμό, κατά τη στιγμή του σχεδιασμού των συστημάτων επεξεργασίας και του καθορισμού των μέσων επεξεργασίας, ο Υπεύθυνος Επεξεργασίας πρέπει να ενσωματώνει και να εφαρμόζει κατάλληλα μέτρα και να χρησιμοποιεί τεχνολογίες ενίσχυσης της ιδιωτικότητας, όπως ψευδωνυμοποίηση Δεδομένων το συντομότερο δυνατόν (δηλ. αντικατάσταση προσωπικά ταυτοποιήσιμων πληροφοριών με τεχνητά αναγνωριστικά στοιχεία), κρυπτογράφηση (κωδικοποίηση Δεδομένων έτσι ώστε μόνο όσοι είναι εξουσιοδοτημένοι να μπορούν να τα διαβάζουν), ελαχιστοποίηση της επεξεργασίας των Δεδομένων και ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία, κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του GDPR και να προστατεύονται τα δικαιώματα των Υποκειμένων των δεδομένων.
Προστασία Δεδομένων «ήδη από τον σχεδιασμό» σημαίνει ότι οι εταιρείες/φορείς πρέπει να εφαρμόζουν τεχνικά και οργανωτικά μέτρα, στα αρχικά στάδια του σχεδιασμού των πράξεων επεξεργασίας, με τέτοιον τρόπο ώστε να διασφαλίζονται οι αρχές ιδιωτικού απορρήτου και προστασίας Δεδομένων ήδη από την αρχή.
Κατά την ανάπτυξη, τον σχεδιασμό, την επιλογή και τη χρήση εφαρμογών, υπηρεσιών και προϊόντων που βασίζονται στην επεξεργασία Δεδομένων ή όταν επεξεργάζονται Δεδομένα για την εκπλήρωση του έργου τους, οι παραγωγοί προϊόντων, υπηρεσιών και εφαρμογών πρέπει να λαμβάνουν υπόψη τους το δικαίωμα προστασίας των Δεδομένων, ώστε, συνεκτιμώντας τις τελευταίες εξελίξεις της τεχνολογίας, να διασφαλίζεται ότι οι Υπεύθυνοι Επεξεργασίας και οι Εκτελούντες την
Σελ. 12
Επεξεργασία θα είναι σε θέση να εκπληρώνουν τις υποχρεώσεις τους όσον αφορά την προστασία των Δεδομένων.
Προστασία Δεδομένων «εξ’ ορισμού» σημαίνει ότι οι εταιρείες/ φορείς θα πρέπει να διασφαλίζουν ότι τα Δεδομένα υποβάλλονται σε επεξεργασία με το υψηλότερο επίπεδο προστασίας της ιδιωτικής ζωής (π.χ. μόνο τα απαραίτητα Δεδομένα πρέπει να υποβάλλονται σε επεξεργασία, σύντομη περίοδος αποθήκευσης, περιορισμένη προσβασιμότητα) έτσι ώστε εξ ορισμού τα Δεδομένα να μην είναι προσβάσιμα από αόριστο αριθμό φυσικών προσώπων.
Σύμφωνα με την αρχή της προστασίας των Δεδομένων εξ ορισμού, ο Υπεύθυνος Επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, εξασφαλίζεται η ιδιωτικότητα και υφίστανται επεξεργασία μόνο τα Δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των Δεδομένων που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα Δεδομένα δεν καθίστανται προσβάσιμα, χωρίς την παρέμβαση φυσικού προσώπου, σε αόριστο αριθμό φυσικών προσώπων.
Για παράδειγμα, μια πλατφόρμα κοινωνικής δικτύωσης θα πρέπει να ενθαρρύνεται να ορίζει τις ρυθμίσεις των προφίλ των χρηστών έτσι ώστε να προστατεύεται, όσο το δυνατόν περισσότερο, το ιδιωτικό απόρρητο, όπως όταν περιορίζεται από την αρχή η προσβασιμότητα στα προφίλ των χρηστών για να μην είναι προσβάσιμα εξ ορισμού από αόριστο αριθμό ατόμων.
Τέλος, ένα μέτρο το οποίο ανταποκρίνεται στις αρχές της προστασίας των Δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού είναι και η διαφάνεια όσον αφορά τις λειτουργίες και την επεξεργασία των Δεδομένων, ώστε να μπορεί το Υποκείμενο να παρακολουθεί την επεξεργασία των Δεδομένων του και να είναι σε θέση ο Υπεύθυνος Επεξεργασίας να δημιουργεί και να βελτιώνει τα χαρακτηριστικά ασφάλειας.
11 | Με ποιον πρακτικό τρόπο υλοποιείται η προστασία Δεδομένων «ήδη από τον σχεδιασμό»;
Με τη χρήση ψευδωνυμοποίησης (αντικατάσταση προσωπικά ταυτοποιήσιμου υλικού με τεχνητά αναγνωριστικά στοιχεία) και κρυπτογράφησης (κωδικοποίηση μηνυμάτων έτσι ώστε μόνο όσοι είναι εξουσιοδοτημένοι να μπορούν να τα διαβάζουν)
[Άρθρο 25 παρ. 1 και αιτιολογική σκέψη 78 του GDPR].
Σελ. 13
12 | Με ποιον πρακτικό τρόπο υλοποιείται η προστασία Δεδομένων «εξ ορισμού»;
Πλατφόρμα κοινωνικής δικτύωσης ενθαρρύνεται να ορίζει τις ρυθμίσεις των προφίλ των χρηστών με τέτοιον τρόπο ώστε να προστατεύουν όσο το δυνατόν περισσότερο το ιδιωτικό απόρρητο περιορίζοντας από την αρχή την προσβασιμότητα στα προφίλ των χρηστών έτσι ώστε να μην είναι προσβάσιμα εξ ορισμού από αόριστο αριθμό ατόμων και προβλέποντας μια σύντομη περίοδο αποθήκευσης των εν λόγω δεδομένων. Αυτό συνεπάγεται ότι μόνο τα απαραίτητα Δεδομένα υποβάλλονται σε επεξεργασία, υπάρχει σύντομη περίοδος αποθήκευσής τους και περιορισμένη προσβασιμότητα σε αυτά.
[Άρθρο 25 παρ. 2 και αιτιολογική σκέψη 78 του GDPR].
13 | Επηρεάζονται οι μικρές επιχειρήσεις από την εφαρμογή του GDPR;
Όλες οι επιχειρήσεις, ακόμα και οι μικρές, που επεξεργάζονται Δεδομένα φυσικών προσώπων οφείλουν να συμμορφώνονται με τον Κανονισμό.
14 | Γιατί είναι σημαντικό οι επιχειρήσεις που δεν έχουν ακόμα συμμορφωθεί στις επιταγές του GDPR να ξεκινήσουν έναν προγραμματισμό προς αυτή την κατεύθυνση;
Κάνοντας το επόμενο βήμα στη συμμόρφωση με τον Κανονισμό, οι επιχειρήσεις δείχνουν ότι σέβονται τα Δεδομένα των πελατών τους και αποκτούν ανταγωνιστικό πλεονέκτημα.
Από την άλλη, αν δεν επιχειρήσουν αυτό το βήμα ενδέχεται να έρθουν αντιμέτωπες με άμεσες απώλειες, όπως πρόστιμα, αλλά και μακροπρόθεσμες, όπως ο κλονισμός της εμπιστοσύνης των πελατών τους και κατ’ επέκταση ζημίες στις πωλήσεις και στη φήμη τους.
Εξάλλου, ο σεβασμός στην προστασία των Δεδομένων σχετίζεται άμεσα με την εμπιστοσύνη πελατών, προμηθευτών και εργαζομένων και κατ’ επέκταση με τη φήμη της επιχείρησης.
Σελ. 14
15 | Τι πρέπει να κάνουν οι μικρές και μεσαίες επιχειρήσεις για να συμμορφωθούν με τον GDPR; Τι συστήνεται να ακολουθήσουν προκειμένου να αποφύγουν «περιπέτειες» σε περίπτωση που τους γίνει έλεγχος από την αρμόδια εποπτική αρχή ή υπάρξουν καταγγελίες σε βάρος τους από εργαζόμενους ή πελάτες τους;
Οι μικρές και μεσαίες επιχειρήσεις ως υπεύθυνες επεξεργασίας συστήνεται να προβούν στα εξής:
1) Διαμόρφωση συνείδησης προστασίας Δεδομένων στην επιχείρηση (awareness). Τούτο προϋποθέτει ενημέρωση όχι μόνο της διοίκησης (management) αλλά και όλου του προσωπικού για το ότι ο Κανονισμός επιφέρει αλλαγές στην προστασία των Δεδομένων και κατ’ επέκταση, ενδεχομένως, και στη λειτουργία της επιχείρησης. Συνεπώς, όλοι οι εργαζόμενοι επιβάλλεται να γνωρίζουν, στο βαθμό που είναι αναγκαίο για την ορθή άσκηση των καθηκόντων τους, τί επιτρέπεται και τί απαγορεύεται, τί είναι υποχρεωτικό και τί προαιρετικό, με βάση τον Κανονισμό. Ακόμη και αν όλα τα τεχνικά μέτρα προστασίας που η επιχείρηση εφαρμόζει είναι άψογα, εφόσον δεν υπάρξει ευαισθητοποίηση και κινητοποίηση του ανθρώπινου δυναμικού της, θα ανακύπτουν συνεχώς προβλήματα συμμόρφωσης.
2) Χαρτογράφηση των δεδομένων, τα οποία η επιχείρηση επεξεργάζεται, τις πηγές από τις οποίες τα αντλεί και τους αποδέκτες τους.
3) Αναθεώρηση της πολιτικής απορρήτου (γνωστή και ως πολιτική προστασίας δεδομένων, privacy notice) ώστε να είναι συμβατή με τις διατάξεις του Κανονισμού.
4) Έλεγχος των υφιστάμενων διαδικασιών της επιχείρησης ώστε να εξακριβωθεί αν και κατά πόσο διασφαλίζουν την υλοποίηση των νέων καθώς και των ήδη υφιστάμενων αλλά ενισχυμένων πλέον από τον Κανονισμό δικαιωμάτων των Υποκειμένων των δεδομένων. Πρόκειται για τα:
– δικαίωμα ενημέρωσης
– δικαίωμα πρόσβασης
– δικαίωμα διόρθωσης
– δικαίωμα διαγραφής («δικαίωμα στη λήθη»)
– δικαίωμα στον περιορισμό της επεξεργασίας
– δικαίωμα στη φορητότητα των δεδομένων
– δικαίωμα εναντίωσης.
Εφίσταται η προσοχή στην άσκηση του δικαιώματος πρόσβασης του Υποκειμένου διότι η προθεσμία απάντησης είναι μόνο ένας μήνας. Σε περίπτωση άρνησης ικανοποίησης των δικαιωμάτων των Υποκειμένων, το Υποκείμενο των Δεδομένων
Σελ. 15
έχει το δικαίωμα να υποβάλει καταγγελία στην αρμόδια εποπτική αρχή (ΑΠΔΠΧ) και να προσφύγει δικαστικά κατά του υπευθύνου επεξεργασίας, ζητώντας αποζημίωση.
5) Έλεγχος αν έχουν υιοθετηθεί τα κατάλληλα οργανωτικά και τεχνικά μέτρα προκειμένου η επιχείρηση να μπορεί αμέσως και ευχερώς να ανταποκρίνεται σε αιτήματα των Υποκειμένων των Δεδομένων για πρόσβαση σ’ αυτά, ιδίως μάλιστα αν αναμένονται πολλά τέτοια αιτήματα.
16 | Πώς αποδεικνύεται ότι εταιρεία ή φορέας συμμορφώνονται με τον GDPR;
Η αρχή της λογοδοσίας συνιστά ακρογωνιαίο λίθο του GDPR. Σύμφωνα με το υφιστάμενο νομικό πλαίσιο, εταιρείες και φορείς οφείλουν να συμμορφώνονται με όλες τις αρχές προστασίας Δεδομένων καθώς και να αποδεικνύουν τη συμμόρφωση αυτή. Ο GDPR παρέχει μια σειρά εργαλείων για να βοηθά να αποδεικνύεται η λογοδοσία των εταιρειών ή φορέων, ορισμένα εκ των οποίων πρέπει να τίθενται σε εφαρμογή υποχρεωτικά.
Για παράδειγμα, σε ορισμένες περιπτώσεις ο διορισμός DPO ή η διεξαγωγή εκτιμήσεων αντικτύπου σχετικά με την προστασία Δεδομένων (DPIA) μπορεί να είναι υποχρεωτικά. Οι Υπεύθυνοι Επεξεργασίας και οι Εκτελούντες την Επεξεργασία μπορούν να επιλέξουν να χρησιμοποιήσουν άλλα εργαλεία, π.χ. κώδικες δεοντολογίας και μηχανισμούς πιστοποίησης, για την απόδειξη της συμμόρφωσης με τις αρχές προστασίας δεδομένων.
Εργαλείο λογοδοσίας μπορεί να συνιστά ένας κώδικας δεοντολογίας που έχει καταρτισθεί από επιχειρηματική ένωση και έχει εγκριθεί από μια Αρχή Προστασίας Δεδομένων. Ένας κώδικας δεοντολογίας μπορεί να τεθεί σε ισχύ σε όλη την Ε.Ε. μέσω αντίστοιχης εκτελεστικής πράξης της Επιτροπής. Επί παραδείγματι, ο γενικός ασφαλιστικός φορέας στο κράτος μέλος της Ε.Ε. στο οποίο εδρεύει η εταιρεία ή ο φορέας διαθέτει κώδικα δεοντολογίας που έχει εγκριθεί από την εποπτική αρχή. Ορισμένες ανταγωνίστριες ασφαλιστικές εταιρείες έχουν υιοθετήσει τον εν λόγω κώδικα. Παρόλο που η τήρηση του κώδικα είναι προαιρετική, συμβάλλει στην απόδειξη της συμμόρφωσής τους με τον GDPR.
Ένα άλλο εργαλείο λογοδοσίας που προβλέπεται στον GDPR είναι ο μηχανισμός πιστοποίησης που θα εφαρμόζεται από έναν από τους φορείς πιστοποίησης που θα λάβουν διαπίστευση από Αρχή Προστασίας Δεδομένων ή εθνικό οργανισμό διαπίστευσης ή και τα δύο, όπως ορίζεται στη νομοθεσία κάθε κράτους μέλους της Ε.Ε. Το άρθρο 42 παράγραφος 1 GDPR προβλέπει ότι μηχανισμοί πιστοποίησης θεσπίζονται «με σκοπό την απόδειξη της συμμόρφωσης προς τον παρόντα
Σελ. 16
κανονισμό των πράξεων επεξεργασίας από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία».
Τόσο οι κώδικες δεοντολογίας όσο και η πιστοποίηση είναι προαιρετικά μέσα και για αυτόν τον λόγο εξαρτάται από την εταιρεία ή τον φορέα να αποφασίσει εάν θα τηρεί έναν συγκεκριμένο κώδικα δεοντολογίας ή εάν θα ζητήσει πιστοποίηση.
Να τονιστεί ότι, παρόλο που η εταιρεία ή ο φορέας οφείλουν και πάλι να τηρούν και να συμμορφώνονται με τον GDPR, η τήρηση τέτοιων μέσων μπορεί να λαμβάνεται υπόψη στην περίπτωση λήψης μέτρου επιβολής του νόμου εναντίον τους σε περίπτωση παραβίαση του GDPR.
17 | Τί είδους κυρώσεις δύναται να επιβάλει η ΑΠΔΠΧ όταν διαπιστώσει παραβάσεις διατάξεων του GDPR;
Σύμφωνα με το άρθρο 58 παρ. 2 του GDPR: «Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες:
α) να απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν διατάξεις του παρόντος κανονισμού,
β) να απευθύνει επιπλήξεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του παρόντος κανονισμού,
γ) να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφώνεται προς τα αιτήματα του υποκειμένου των Δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τον παρόντα κανονισμό,
δ) να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να καθιστούν τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του παρόντος κανονισμού, εάν χρειάζεται, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας,
ε) να δίνει εντολή στον υπεύθυνο επεξεργασίας να ανακοινώνει την παραβίαση Δεδομένων στο Υποκείμενο,
στ) να επιβάλλει προσωρινό ή οριστικό περιορισμό, περιλαμβανομένης της απαγόρευσης της επεξεργασίας,
ζ) να δίνει εντολή διόρθωσης ή διαγραφής Δεδομένων ή περιορισμού της επεξεργασίας δυνάμει των άρθρων 16, 17 και 18 και εντολή κοινοποίησης των ενεργειών αυτών σε αποδέκτες στους οποίους τα Δεδομένα προσωπικού χαρακτήρα γνωστοποιήθηκαν δυνάμει του άρθρου 17 παράγραφος 2 και του άρθρου 19,
Σελ. 17
η) να αποσύρει την πιστοποίηση ή να διατάξει τον οργανισμό πιστοποίησης να αποσύρει ένα πιστοποιητικό εκδοθέν σύμφωνα με τα άρθρα 42 και 43 ή να διατάξει τον οργανισμό πιστοποίησης να μην εκδώσει πιστοποίηση, εφόσον οι απαιτήσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον,
θ) να επιβάλλει διοικητικό πρόστιμο δυνάμει του άρθρου 83, επιπλέον ή αντί των μέτρων που αναφέρονται στην παρούσα παράγραφο, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης,
ι) να δίνει εντολή για αναστολή της κυκλοφορίας Δεδομένων σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό».
18 | Για τι πρόστιμα μιλάμε;
Ο GDPR επιτρέπει πρόστιμα έως 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου τζίρου της επιχείρησης.
Εξαρτάται πάντα από το μέγεθος της επιχείρησης, το μέγεθος της παραβίασης και την επίπτωση που η εν λόγω παραβίαση είχε στα Δεδομένα των Υποκειμένων καθώς και τις κινήσεις που έκανε ο Υπεύθυνος Επεξεργασίας για να μετριάσει ή να σταματήσει την παραβίαση.
Ειδικότερα, τα διοικητικά πρόστιμα κατά το άρθρο 83 του GDPR, φτάνουν, στις ελαφρότερες παραβάσεις (παραβιάσεις κυρίως ως προς τις υποχρεώσεις του Yπευθύνου Eπεξεργασίας και του Eκτελούντος την Eπεξεργασία), έως 10.000.000 ευρώ ή, σε περίπτωση επιχειρήσεων, το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο, ενώ σε βαρύτερες παραβάσεις (όπως αυτές που έχουν να κάνουν με τα δικαιώματα των υποκειμένων των δεδομένων, καθώς με την, όπου απαιτείται, απαραίτητη συναίνεσή τους για την επεξεργασία) τα διοικητικά πρόστιμα φτάνουν έως 20.000.000 ευρώ ή, σε περίπτωση επιχειρήσεων, το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.
Σύμφωνα δε, με το άρθρο 39 παρ. 1 του νέου Ν 4624/2019, η Αρχή μπορεί να επιβάλει στους φορείς του δημοσίου τομέα, για παραβάσεις υπό την ιδιότητά τους ως υπεύθυνων επεξεργασίας Δεδομένων, διοικητικό πρόστιμο έως δέκα εκατομμύρια (10.000.000) ευρώ.
19 | Δύναται να επιβληθεί πρόστιμο για παραβιάσεις ελάσσονος σημασίας;
Η αιτιολογική σκέψη 148 εισάγει την έννοια των «παραβάσεων ελάσσονος σημασίας». Τέτοιες παραβάσεις ενδέχεται να συνιστούν παράβαση μίας ή περισσότερων
Σελ. 18
από τις διατάξεις του κανονισμού που απαριθμούνται στο άρθρο 83 παράγραφος 4 ή 5. Η αξιολόγηση των κριτηρίων στο άρθρο 83 παράγραφος 2 μπορεί ωστόσο να οδηγήσει την εποπτική αρχή στο συμπέρασμα ότι στις συγκεκριμένες περιστάσεις, η παράβαση π.χ. δεν συνιστά σημαντικό κίνδυνο για τα δικαιώματα των οικείων Υποκειμένων των Δεδομένων και δεν επηρεάζει την ουσία της εν λόγω υποχρέωσης. Σε τέτοιες περιπτώσεις, το πρόστιμο μπορεί να αντικατασταθεί με επίπληξη (ωστόσο όχι πάντα).
Η αιτιολογική σκέψη 148 δεν περιέχει υποχρέωση των εποπτικών αρχών να αντικαθιστούν πάντα το πρόστιμο με επίπληξη σε περίπτωση παράβασης ελάσσονος σημασίας («θα μπορούσε να επιβληθεί επίπληξη αντί προστίμου»), αλλά προβλέπει τη δυνατότητα αντικατάστασης, ύστερα από συγκεκριμένη αξιολόγηση όλων των περιστατικών της υπόθεσης.
Η αιτιολογική σκέψη 148 προβλέπει την ίδια δυνατότητα αντικατάστασης του προστίμου με επίπληξη, σε περίπτωση που ο Υπεύθυνος Επεξεργασίας των Δεδομένων είναι φυσικό πρόσωπο και το πρόστιμο που ενδέχεται να επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση. Σημείο εκκίνησης είναι η αξιολόγηση από την εποπτική αρχή του κατά πόσο είναι απαραίτητη η επιβολή προστίμου, λαμβανομένων υπόψη των περιστάσεων της περίπτωσης. Αν η εποπτική αρχή αποφανθεί υπέρ της επιβολής προστίμου, τότε πρέπει επίσης να αξιολογήσει κατά πόσο το πρόστιμο που θα επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση για ένα φυσικό πρόσωπο.
(Κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του Κανονισμού 2016/679, Wp253)
20 | Έχουν επιβληθεί πρόστιμα στην Ελλάδα;
Βεβαίως έχουν επιβληθεί πρόστιμα και αναμένονται να επιβληθούν και στο άμεσο μέλλον. Μάλιστα, το συνολικό ποσό των προστίμων που επιβλήθηκαν από την Αρχή στο χρονικό διάστημα 25/5/2018 – 3/2/2020 ανέρχεται σε 1.397.000 ευρώ. Εξ αυτών τα πρόστιμα που αφορούν αυστηρά διατάξεις του GDPR ανέρχονται στο ποσό των 715.000 ευρώ.
Για παράδειγμα ήδη κατά την έναρξη ισχύος του GDPR, το 2018, αναφέρονται ενδεικτικά ότι έχουν επιβληθεί τα εξής πρόστιμα: σε μεγάλη δικηγορική εταιρεία επιβλήθηκε πρόστιμο 50.000 ευρώ για παράνομη λειτουργία συστήματος βιντεοεπιτήρησης στις εγκαταστάσεις της με βάση την υπ’ αρ. 41/2018 απόφαση ΑΠΔΠΧ ενώ την ίδια χρονιά, με τις υπ’ αρ. 60, 61, 62 και 63/2018 αποφάσεις της ΑΠΔΠΧ, είχαν επιβληθεί πρόστιμα ύψους εκατόν πενήντα χιλιάδων (150.000) Ευρώ σε κάθε έναν από τους παρόχους Τηλεπικοινωνιών για την πραγματοποίηση μη νόμιμων
Σελ. 19
τηλεφωνικών κλήσεων. Η Αρχή, για το σύνολο των ανωτέρω παραβάσεων, επέβαλε στην κάθε εταιρεία πρόστιμο εκατόν πενήντα χιλιάδων (150.000), το οποίο αποτελεί το μέγιστο δυνατό πρόστιμο σύμφωνα με την προ του GDPR νομοθεσία, με δεδομένο ότι οι συγκεκριμένες παραβάσεις ανάγονται στην περίοδο πριν την εφαρμογή του.
Το 2019 σε Υπεύθυνο Επεξεργασίας επιβλήθηκε πρόστιμο ύψους είκοσι χιλιάδων (20.000) Ευρώ και δέκα χιλιάδων (10.000) Ευρώ στον Εκτελούντα την Επεξεργασία για λογαριασμό του Υπεύθυνου Επεξεργασίας για παράνομη επεξεργασία ευαίσθητων προσωπικών Δεδομένων και διαρροή στο διαδίκτυο αφού δεν λήφθηκαν τα απαιτούμενα από το νόμο μέτρα ασφαλείας δυνάμει της υπ’ αρ. 7/2019 απόφασης της ΑΠΔΠΧ.
Την ίδια χρονιά η Αρχή με την υπ’ αρ. 19/2019 απόφασή της επέβαλε πρόστιμο δύο χιλιάδων (2.000) Ευρώ σε υποψήφιο ευρωβουλευτή, για παραβίαση του άρθρου 11 του Ν 3471/2006 λόγω αποστολής αζήτητης πολιτικής επικοινωνίας, μέσω ηλεκτρονικού ταχυδρομείου, χωρίς να συντρέχει καμία εκ των προϋποθέσεων νομιμότητας για την εν λόγω επεξεργασία. Συγκεκριμένα, ο καταγγελλόμενος συνέλεξε την ηλεκτρονική διεύθυνση της παραλήπτριας από το διαδίκτυο, χωρίς να έχει προϋπάρξει καμία επικοινωνία μαζί της.
Η Αρχή έγινε αποδέκτης καταγγελιών συνδρομητών τηλεφωνίας Παρόχου Τηλεπικοινωνιών οι οποίοι, αν και είχαν εγγραφεί στο μητρώο αντιρρήσεων («opt-out») του άρθρου 11 του Ν 3471/2006 του παρόχου τους, είχαν λάβει τηλεφωνικές κλήσεις από τρίτες εταιρείες για σκοπούς προώθησης προϊόντων και υπηρεσιών. Όπως διαπιστώθηκε, οι εν λόγω συνδρομητές είχαν υποβάλει αίτημα φορητότητας για τη μεταφορά της τηλεφωνικής τους σύνδεσης σε άλλο πάροχο. Στο πλαίσιο της ενέργειας αυτής, ο ελεγχόμενος Πάροχος Τηλεπικοινωνιών διέγραψε τα στοιχεία τους από το μητρώο. Ωστόσο, όταν οι συγκεκριμένοι συνδρομητές ακύρωσαν το αίτημα φορητότητας, δεν υπήρχε ορθή διαδικασία για την ακύρωση της διαγραφής τους. Οι συνδρομητές εμφανίζονταν μεν ως εγγεγραμμένοι στο μητρώο στην εσωτερική εφαρμογή πελατειακών σχέσεων, αλλά οι τηλεφωνικοί αριθμοί τους δεν περιλαμβάνονταν στο μητρώο που έστελνε ο Πάροχος Τηλεπικοινωνιών στις διαφημιζόμενες εταιρείες. Η Αρχή διαπίστωσε ότι το περιστατικό αυτό επηρέασε μεγάλο αριθμό φυσικών προσώπων συνδρομητών και, με την υπ’ αρ. 31/2019 απόφασή της, επέβαλε στον Πάροχο Τηλεπικοινωνιών διοικητικό πρόστιμο ύψους 200.000 ευρώ.
Η Αρχή, με την υπ’ αρ. 26/2019 απόφασή της, διερεύνησε αυτεπαγγέλτως τη νομιμότητα της επεξεργασίας των προσωπικών Δεδομένων των εργαζομένων ανώνυμης εταιρείας, με αφορμή καταγγελία σύμφωνα με την οποία οι εργαζόμενοι εξαναγκάσθηκαν στην παροχή συγκατάθεσης προκειμένου να λάβει χώρα επεξεργασία
Σελ. 20
προσωπικών Δεδομένων για τρεις σκοπούς. Η Αρχή έκρινε ότι η εταιρεία: α) υπέβαλε σε μη σύννομη επεξεργασία τα Δεδομένα προσωπικού χαρακτήρα των εργαζομένων της, καθώς εφάρμοσε ακατάλληλη νομική βάση (συγκατάθεση) αντί των κατάλληλων νομικών βάσεων της εκτέλεσης της σύμβασης, της συμμόρφωσης με έννομη υποχρέωση και του υπέρτερου έννομου συμφέροντος, β) υπέβαλε σε μη θεμιτή επεξεργασία τα προσωπικά Δεδομένα των εργαζομένων της, καθώς τους δημιούργησε την εσφαλμένη εντύπωση ότι τα επεξεργάζεται κατ’ εφαρμογή της νομικής βάσης της συγκατάθεσης, ενώ στην πράξη τα επεξεργάσθηκε με άλλη νομική βάση, για την οποία ουδέποτε ενημερώθηκαν οι εργαζόμενοι, γ) ως Υπεύθυνος Επεξεργασίας, αν και έφερε την ευθύνη, δεν ήταν σε θέση να τηρήσει και να αποδείξει τη συμμόρφωση με τις αρχές της επεξεργασίας δεδομένων, επιπλέον δε, μετέφερε το βάρος της συμμόρφωσης στους εργαζομένους. Η Αρχή αποφάσισε να ασκήσει τις διορθωτικές της εξουσίες με την επιβολή διορθωτικών μέτρων κι συγκεκριμένα, όπως εντός τριών (3) μηνών από την παραλαβή της απόφασης, ενημερώνοντας την Αρχή: i. να καταστήσει τις πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της σύμφωνες με τις διατάξεις του GDPR και ii. να αποκαταστήσει την ορθή εφαρμογή των διατάξεων του GDPR που παραβίασε. Περαιτέρω, επέβαλε και χρηματικό πρόστιμο ύψους εκατόν πενήντα (150.000) Ευρώ ως αποτελεσματική, αναλογική και αποτρεπτική διοικητική κύρωση.
Στην υπ’ αρ. 38/2019 απόφαση, η Αρχή συνεξέτασε 6 καταγγελίες σχετικά με τη λήψη αζήτητων τηλεφωνικών κλήσεων με σκοπό την προώθηση προϊόντων και υπηρεσιών από Πάροχο Τηλεπικοινωνιών. Έκρινε ότι ο Πάροχος Τηλεπικοινωνιών αποτελεί τον υπεύθυνο επεξεργασίας για τις δραστηριότητες των τηλεφωνικών κλήσεων που διενεργούνται από συνεργαζόμενες εταιρείες (call center) ακόμα κι αν αυτή δεν παρέχει τους προς κλήση αριθμούς, καθώς καθορίζει πλήρως τον σκοπό της επεξεργασίας και τα ουσιώδη στοιχεία του τρόπου επεξεργασίας. Περαιτέρω, με την απόφαση κρίθηκε ότι η δραστηριότητα έρευνας αγοράς μέσω τηλεφωνικών κλήσεων, που καταλήγει σε ερώτημα σχετικά με συγκατάθεση στη μελλοντική λήψη διαφημιστικών κλήσεων, με τον τρόπο που έχει υλοποιηθεί, αποτελεί και αυτή δραστηριότητα για σκοπό προώθησης προϊόντων και υπηρεσιών, συνεπώς ως προς αυτή εφαρμόζονται οι διατάξεις του άρθρου 11 του Ν 3471/2006. Η Αρχή επέβαλε τις κυρώσεις της επίπληξης, προειδοποίησης και προστίμου (συνολικού ύψους είκοσι (20.000) χιλιάδων Ευρώ για δύο παραβάσεις) στον Πάροχο Τηλεπικοινωνιών και την κύρωση της επίπληξης στην εκτελούσα την επεξεργασία εταιρεία.
Σύμφωνα με την υπ’ αρ. 43/2019 απόφαση ΑΠΔΠΧ, εργοδότρια εταιρεία, έχουσα υπόνοιες ότι ανώτερο στέλεχος της διοίκησής της προέβη σε παράνομες πράξεις σε βάρος των συμφερόντων της, διενήργησε έλεγχο και ανέκτησε διαγραμμένα
Σελ. 21
e-mails από τον διακομιστή (server) της. Η εταιρεία είχε συμμορφωθεί προς τις επιταγές του GDPR και προβλεπόταν, από τις εσωτερικές πολιτικές και κανονισμούς της, η απαγόρευση χρήσης των εταιρικών μέσων ηλεκτρονικών επικοινωνιών και δικτύων για ιδιωτικούς σκοπούς, καθώς και η δυνατότητα διενέργειας εσωτερικών ελέγχων. Αντίθετα, το κλειστό κύκλωμα βιντεοεπιτήρησης είχε εγκατασταθεί και λειτουργούσε παράνομα, το δε καταγραφέν υλικό που προσκομίσθηκε στην Αρχή δεν ελήφθη υπόψη σύμφωνα με το άρθρο 19 παρ. 3 Σ. Εξάλλου, η εταιρεία δεν ικανοποίησε το δικαίωμα πρόσβασης του εργαζομένου στα Δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονταν στον εταιρικό προσωπικό υπολογιστή που χρησιμοποιούσε. Η Αρχή επέβαλε στην εταιρεία πρόστιμο 15.000 ευρώ για μη νόμιμη εγκατάσταση και λειτουργία συστήματος βιντεοεπιτήρησης και για περαιτέρω επεξεργασία του σχετικού υλικού.
Η ΑΠΔΠΧ, με την υπ’ αρ. 44/2019 απόφαση, έκρινε ότι ναυτιλιακή εταιρεία προέβη σε παράνομη πρόσβαση και αντιγραφή του συνόλου του περιεχομένου διακομιστή (server) που περιελάμβανε Δεδομένα προσωπικού χαρακτήρα και τον οποίο χρησιμοποιούσαν από κοινού εργαζόμενοι τόσο της ανωτέρω εταιρείας αλλά και άλλων εταιρειών του ίδιου Ομίλου όσο και εργαζόμενοι εταιρειών εκτός Ομίλου. Στο πλαίσιο αυτό, έδωσε εντολή στην εταιρεία όπως εντός τριών (3) μηνών από την παραλαβή της απόφασης, ενημερώνοντας την Αρχή:
i. να καταστήσει σύμφωνες με τις διατάξεις του GDPR τις πράξεις επεξεργασίας των Δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται τόσο στη χρησιμοποιούμενη όσο και στην αντιγραφείσα υπολογιστική υποδομή.
ii. να λάβει όλα τα αναγκαία μέτρα εσωτερικής συμμόρφωσης και λογοδοσίας προς τις αρχές του άρθρου 5 παρ. 1 και παρ. 2 σε συνδυασμό με το άρθρο 6 παρ. 1 GDPR.
Επιπλέον των ανωτέρω, επέβαλε στην εταιρεία διοικητικό χρηματικό πρόστιμο ύψους εκατόν πενήντα χιλιάδων (150.000) Ευρώ.
Περαιτέρω, δυνάμει της υπ’ αρ. 2/2020 απόφασης ΑΠΔΠΧ, επεβλήθη σε Εταιρεία Ενέργειας, διοικητικό χρηματικό πρόστιμο ύψους πέντε χιλιάδων (5.000,00) ευρώ, για την μη ικανοποίηση δικαιώματος πρόσβασης Υποκειμένου καθώς δεν απάντησε στην καταγγέλλουσα εντός μηνός από την παραλαβή του αιτήματος και δεν ενημέρωσε, ως όφειλε, την καταγγέλλουσα εντός μηνός από την παραλαβή του αιτήματος, για την αδυναμία άμεσης ανταπόκρισης και ικανοποίησης του αιτήματός της καθώς και για τους λόγους καθυστέρησης, ζητώντας περαιτέρω παράταση της προθεσμίας, κατά παράβαση των διατάξεων του άρθρου 12 παρ. 3 και 4 του ΓΚΠ∆. Η ίδια παράβαση, δηλαδή της καθυστερημένης απάντησης της Εταιρείας Ενέργειας ως υπευθύνου επεξεργασίας μετά την παρέλευση ενός μηνός
Σελ. 22
από την παραλαβή του αιτήματος διαπιστώθηκε με την προγενέστερη υπ’ αρ. 15/2019 απόφαση της Αρχής.
Σε εταιρεία επεβλήθη διοικητικό χρηματικό πρόστιμο ύψους πέντε χιλιάδων (5.000,00) ευρώ, με βάση την υπ’ αρ. 3/2020 απόφαση της Αρχής, για την μη ικανοποίηση δικαιώματος πρόσβασης του Υποκειμένου στο σύστημα βιντεοεπιτήρησης, δεδομένου ότι ακόμα κι αν το καταγραφικό του συστήματος ήταν εκτός λειτουργίας, ο Υπεύθυνος Επεξεργασίας όφειλε, με βάση τη διάταξη του άρθρου 12 παρ. 1 του Ν 2472/1997 να απαντήσει στον καταγγέλλοντα εάν Δεδομένα προσωπικού χαρακτήρα που τον αφορούν αποτέλεσαν αντικείμενο επεξεργασίας, έστω και αρνητικά, εντός της προθεσμίας των δεκαπέντε ημερών, πράγμα το οποίο η Εταιρεία έπραξε ετεροχρονισμένα. Η Αρχή έκρινε ότι εφαρμοστέος εν προκειμένω δεν είναι ο GDPR, καθώς η πιθανολογούμενη παράβαση τελέστηκε σε προγενέστερο της εφαρμογής του χρόνο, και εφαρμοστέος είναι ο Ν 2472/1997 του οποίου το δικαίωμα πρόσβασης παραβιάστηκε με την πάροδο του 15ημέρου απάντησης.
Το 2020 επεβλήθη επίσης πρόστιμο ύψους δύο χιλιάδων πεντακοσίων (2.500) Ευρώ σε υποψήφια δημοτική σύμβουλο με την υπ’ αρ. 10/2020 απόφαση της ΑΠΔΠΧ καθώς και πρόστιμο χιλίων (1.000) Ευρώ σε υποψήφιο Ευρωβουλευτή δυνάμει της 17/2020 απόφασης της ΑΠΔΠΧ.
Με την υπ’ αρ. 18/2020 απόφαση, επεβλήθη πρόστιμο ύψους πέντε χιλιάδων (5.000,00) ευρώ για μη σύννομη επεξεργασία και μη τήρηση της υποχρέωσης λογοδοσίας σε κολλέγιο, σε συνέχεια καταγγελίας για στοχευμένη τηλεφωνική επικοινωνία με την οποία πρότεινε στον καταγγέλλοντα τη συμμετοχή του σε επιδοτούμενο από τον ΟΑΕΔ σεμινάριο που απευθύνεται σε ανέργους.
Τέλος, πρόστιμο 8.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε ιδιώτη για μη σύννομη επεξεργασία δεδομένων μέσω συστήματος βιντεοεπιτήρησης εγκατεστημένο σε κατοικία. Με την υπ’ αριθμ. 30/2020 απόφασή της η Αρχή έδωσε εντολή να καταστούν οι πράξεις επεξεργασίας σύμφωνες με τις σχετικές διατάξεις περί προστασίας δεδομένων. Η υπόθεση έφτασε ενώπιον της Αρχής έπειτα από καταγγελία τριών φυσικών προσώπων και μίας εταιρείας, οι οποίοι κατήγγειλαν στην Αρχή την παρακολούθηση επί 24ώρου της ιδιοκτησίας τους καθώς και του δρόμου προς την ιδιοκτησία τους με παράνομα οπτικοακουστικά μέσα και ειδικότερα μέσω περιστροφικής κάμερας συστήματος βιντεοεπιτήρησης από τον Ε, ιδιοκτήτη όμορης ιδιοκτησίας.
Σελ. 23
21 | Πέραν των χρηματικών προστίμων έχουν επιβληθεί και άλλου είδους κυρώσεις;
Φυσικά και έχουν επιβληθεί και άλλου είδους κυρώσεις, πέραν των χρηματικών προστίμων από την ΑΠΔΠΧ, οι οποίες κυμαίνονται από προειδοποιήσεις, επιπλήξεις μέχρι και επιβολή διορθωτικών μέτρων, όπως είναι οι συστάσεις, ώστε οι Υπεύθυνοι Επεξεργασίας, μέσα σε εύλογο χρόνο να συμμορφωθούν προς τις υποδείξεις της Αρχής για νόμιμη επεξεργασία των Δεδομένων των Υποκειμένων που επηρεάστηκαν από την μη σύννομη πρότερη δραστηριότητά τους.
Ενδεικτικά, αναφέρονται οι κάτωθι αποφάσεις, δυνάμει των οποίων είτε σωρευτικά με το χρηματικό πρόστιμο είτε αυτούσια επεβλήθησαν τέτοιες κυρώσεις σε Υπεύθυνους επεξεργασίας:
Ουσιαστικής σημασίας είναι οι αποφάσεις 18/2016 και 80/2016 της ΑΠΔΠΧ, σύμφωνα με τις οποίες η Αρχή απηύθυνε προειδοποίηση σε εταιρείες παροχής τηλεπικοινωνιών, όπως τροποποιήσουν τη διαδικασία δήλωσης ένταξης συνδρομητών στο Μητρώο του άρθρου 11 παρ. 2 του Ν 3471/2006 και επιβεβαιώσουν εντός εξαμήνου τις υπάρχουσες δηλώσεις ένταξης στο Μητρώο, καθώς επίσης και να ενημερώσουν σχετικά την Αρχή. Ειδικότερα, οι ως άνω δύο εταιρείες θα πρέπει αμελλητί να προσαρμόσουν κατάλληλα τις διαδικασίες που ακολουθούν για την εγγραφή των συνδρομητών τους στο Μητρώο, ώστε να αποδεικνύεται ότι η ένταξη των συνδρομητών στο Μητρώο είναι επιλογή των ιδίων και γίνεται κατόπιν δικής τους ειδικής προς τούτο αίτησης. Περαιτέρω, οι δύο εταιρείες θα πρέπει να επιβεβαιώσουν τις υπάρχουσες δηλώσεις ένταξης των συνδρομητών τους στο Μητρώο εντός εύλογου χρονικού διαστήματος, όχι μεγαλύτερου του εξαμήνου. Προς τούτο, θα πρέπει να ενημερώσουν κατάλληλα, με κάθε πρόσφορο τρόπο [π.χ. μέσω των μηνιαίων λογαριασμών ή/και μέσω σύντομων γραπτών μηνυμάτων (SMS)], όλους τους συνδρομητές τους των οποίων οι αριθμοί είναι εγγεγραμμένοι στο Μητρώο, ότι θα πρέπει εντός συγκεκριμένου χρονικού διαστήματος – το οποίο δεν θα ξεπερνά τους δύο (2) μήνες – να δηλώσουν οι ίδιοι ρητώς και αυτοβούλως αν πράγματι επιθυμούν την καταχώρηση του αριθμού τους στο Μητρώο (με παράλληλη σαφή ενημέρωσή τους για τις συνέπειες της καταχώρησης αλλά και της μη υποβολής της ως άνω επιβεβαιωτικής δήλωσης για ένταξη στο Μητρώο). Επισημαίνεται ιδιαίτερα ότι, προκειμένου η δήλωση του συνδρομητή για εγγραφή του στο Μητρώο να έχει τα χαρακτηριστικά της σαφούς, ρητής και ειδικής δήλωσης βουλήσεως, τυχόν μη επιβεβαίωση του συνδρομητή – με ειδική δική του ενέργεια (αυτοτελή αίτηση του ιδίου) – ως προς την επιθυμία του να εξακολουθήσει ο αριθμός του να είναι εγγεγραμμένος στο Μητρώο (κατόπιν της ως άνω ενημέρωσης), θα πρέπει να συνεπάγεται τη διαγραφή του αριθμού αυτού από το Μητρώο.
Σελ. 24
Η Αρχή, με την απόφαση 48/2018, εξέτασε το ζήτημα της επεξεργασίας Δεδομένων μέσω ανέπαφων συναλλαγών με χρεωστικές/πιστωτικές κάρτες, κατόπιν σχετικών καταγγελιών που αφορούσαν την Εθνική Τράπεζα και την Τράπεζα Πειραιώς. Η Αρχή, αφού εξέτασε ζητήματα ασφάλειας της εν λόγω επεξεργασίας, καθώς επίσης και τους σχετικούς κινδύνους, και λαμβάνοντας υπόψη και τις διεθνείς προδιαγραφές που ακολουθούνται αναφορικά με τις ανέπαφες χρεωστικές ή/και πιστωτικές κάρτες, απηύθυνε σύσταση στις ως άνω τράπεζες προκειμένου είτε να παρέχουν τη δυνατότητα απενεργοποίησης της ανέπαφης λειτουργίας μιας τέτοιας κάρτας είτε να χορηγούν νέα, μη ανέπαφη κάρτα, εφόσον ο πελάτης δηλώσει ότι δεν επιθυμεί να έχει κάρτα με δυνατότητα πραγματοποίησης ανέπαφων συναλλαγών.
Περαιτέρω, την ίδια χρονιά, η Αρχή πραγματοποίησε επιτόπιο διοικητικό έλεγχο στο πληροφοριακό σύστημα N.SIS II στις εγκαταστάσεις της Ελληνικής Αστυνομίας. Ο έλεγχος εστίασε στην προστασία και την ασφάλεια των προσωπικών Δεδομένων που υφίστανται επεξεργασία στο πλαίσιο της λειτουργίας του εν λόγω συστήματος. Η Αρχή ενέκρινε τις προτάσεις της ομάδας ελέγχου, οι οποίες αποτυπώνονται σε σχετικό πόρισμα, απευθύνοντας, με την υπ’ αρ. 50/2018 απόφαση, προειδοποίηση στο Αρχηγείο Ελληνικής Αστυνομίας να συμμορφωθεί με τις συστάσεις που αναφέρονται στο πόρισμα του ελέγχου και να ενημερώσει σχετικά την Αρχή εντός ενός έτους από τη λήψη αυτού.
Κατόπιν καταγγελίας στην Αρχή αναφορικά με διαφημιστικό SMS που έλαβε ο καταγγέλλων από τον Υπεύθυνο Επεξεργασίας μέσω κινητού τηλεφώνου για τον σκοπό της πολιτικής επικοινωνίας, χωρίς να έχει εξασφαλίσει την προηγούμενη συγκατάθεσή του. Επίσης, κατήγγειλε ότι δεν ικανοποίησε πλήρως το δικαίωμα πρόσβασης που αυτός άσκησε. Η Αρχή απηύθυνε με την υπ’ αρ. 51/2018 απόφασή της στον υπεύθυνο επεξεργασίας προειδοποίηση για την παράνομη επεξεργασία προσωπικών Δεδομένων για τον σκοπό της πολιτικής επικοινωνίας μέσω της αποστολής αζήτητης ηλεκτρονικής επικοινωνίας, καθώς και για μη προσήκουσα ικανοποίηση του δικαιώματος πρόσβασης των Υποκειμένων των προσωπικών Δεδομένων, τα οποία επεξεργάζεται. Επιπλέον, του απηύθυνε σύσταση για τη μη υποβολή γνωστοποίησης για το αρχείο που τηρούσε με σκοπό την πολιτική επικοινωνία.
Η Αρχή με την υπ’ αρ. 11/2019 απόφασή της απηύθυνε αυστηρή προειδοποίηση σε γυμναστήριο να στέλνει διαφημιστικά μηνύματα στους πελάτες του, οι οποίοι ήταν παραλήπτες του από 24/5/2018 μηνύματος, με το οποίο ζητήθηκε η συγκατάθεσή τους, μόνο εφόσον έχουν παράσχει τη συγκατάθεση αυτή. Επιπλέον, να μεριμνήσει, εφόσον στέλνει μηνύματα στους υπόλοιπους πελάτες του βάσει της εξαίρεσης του άρθρου 11 παρ. 3 του Ν 3471/2006, ώστε να πληρούνται όλες οι προϋποθέσεις που τίθενται στο άρθρο αυτό, ήτοι κατάλληλη ενημέρωση κατά
Σελ. 25
το στάδιο της συλλογής των προσωπικών δεδομένων για το σκοπό της επεξεργασίας και παροχή δυνατότητας αντίταξης τόσο κατά το στάδιο αυτό όσο και σε κάθε μήνυμα, με σαφή και ευδιάκριτο τρόπο. Τέλος να μεριμνήσει ώστε να διακόπτει αμέσως την αποστολή διαφημιστικών μηνυμάτων σε όσους εκφράσουν αντίρρηση και να λειτουργεί απρόσκοπτα τυχόν διεύθυνση ηλεκτρονικού ταχυδρομείου, μέσω και της οποίας παρέχεται η δυνατότητα στα υποκείμενα των δεδομένων να αντιταχθούν.
Το 2019, κατόπιν καταγγελίας στην Αρχή ότι η εταιρεία ενέργειας δεν ικανοποίησε το δικαίωμα πρόσβασης Υποκειμένου των Δεδομένων, η Αρχή, με την απόφαση 15/2019, απηύθυνε στην εταιρεία ενέργειας επίπληξη για την καθυστερημένη – λόγω παρέλευσης ενός μηνός από την παραλαβή του αιτήματος– απάντησή της ως υπευθύνου επεξεργασίας προς τον καταγγέλλοντα σχετικά με την αδυναμία άμεσης ικανοποίησης του αιτήματός του.
Την ίδια χρονιά, κατόπιν καταγγελίας στην Αρχή ότι ο ΕΦΚΑ δεν ενημέρωσε τον καταγγέλλοντα, ο οποίος είχε προσφύγει κατά απόφασης υγειονομικής επιτροπής, για την ταυτότητα των ιατρών μελών της επιτροπής καθώς και για το δικαίωμά του να προσφύγει στην Αρχή, η Αρχή απηύθυνε την με την υπ’ αρ. 20/2019 απόφασή της, στον ΕΦΚΑ προειδοποίηση για τη μη τήρηση της ως άνω υποχρέωσης προηγούμενης ενημέρωσης του καταγγέλλοντος και μη κοινοποίησης της απάντησής του στην Αρχή, επισημαίνοντας ότι εφεξής θα πρέπει να ενημερώνει τους προσφεύγοντες κατά των αποφάσεων των υγειονομικών επιτροπών για την ταυτότητα των ιατρών μελών των εν λόγω επιτροπών καθώς και για το δικαίωμά τους να προσφύγουν στην Αρχή.
Η Αρχή εξέτασε προσφυγή κατά της Google αναφορικά με άρνησή της να απαλείψει συγκεκριμένους συνδέσμους που εμφανίζονται στα αποτελέσματα αναζήτησης με βάση το ονοματεπώνυμο προσφεύγοντος. Με την υπ’ αρ. 25/2019 απόφαση έκρινε ότι τρεις εκ των συνδέσμων, που παραπέμπουν σε ιστοτόπους με περιεχόμενο το οποίο έχει κριθεί ανακριβές από δικαστικές αποφάσεις, δεν πρέπει να εμφανίζονται ως αποτελέσματα της αναζήτησης, λόγω του ότι οι πληροφορίες αυτές δημιουργούν ανακριβή/παραπλανητική εντύπωση για τον προσφεύγοντα. Ωστόσο, η Αρχή, λαμβάνοντας υπόψη ότι ο προσφεύγων είναι επιχειρηματίας που έχει κάποιο ρόλο στη δημόσια ζωή και οι εν λόγω πληροφορίες αφορούν αποκλειστικά την επαγγελματική του δραστηριότητα, έκρινε ότι δεν επιβάλλεται να απαλειφθούν οι λοιποί σύνδεσμοι που παραπέμπουν σε ιστότοπους με πληροφορίες των οποίων δεν προκύπτει η ανακρίβεια από τις δικαστικές αποφάσεις ή οι οποίες κρίθηκαν αληθείς από τις αποφάσεις αυτές. Ως προς τους ισχυρισμούς του προσφεύγοντος ότι το περιεχόμενο πολλών εκ των επίμαχων ιστοτόπων συνιστά είτε ρητορική μίσους είτε συκοφαντία ή/και δυσφήμηση, η Αρχή έκρινε ότι δεν έχει αρμοδιότητα να επιληφθεί, οι ισχυρισμοί δε αυτοί
Σελ. 26
μπορούν να κριθούν από τα αρμόδια δικαστήρια. Τέλος, η Αρχή απηύθυνε επίπληξη στην Google για παραβίαση των διατάξεων του άρθρου 12 του GDPR, επειδή η εταιρεία, σε ένα εκ των αιτημάτων του προσφεύγοντος, καθυστέρησε να απαντήσει.
Κατόπιν υποβολής σχετικής καταγγελίας, η Αρχή επέβαλε με την υπ’ αρ. 27/2019 απόφαση στο Υπουργείο Παιδείας, για τη μη τήρηση της υποχρέωσης προηγούμενης ενημέρωσης του καταγγέλλοντος και τη μη ικανοποίηση του δικαιώματος πρόσβασής του στα Δεδομένα που τον αφορούν, την κύρωση της προειδοποίησης, επισημαίνοντας ότι στο εξής θα πρέπει να ενημερώνει σχετικά τα Υποκείμενα των Δεδομένων τόσο κατά τη συλλογή όσο και πριν από τη διαβίβαση των Δεδομένων τους σε τρίτους, καθώς και να ικανοποιεί άμεσα το δικαίωμα πρόσβασής τους στα Δεδομένα που τα αφορούν, χορηγώντας τους πλήρη πρόσβαση σε όλα τα σχετικά στοιχεία.
Η Αρχή, κατόπιν σχετικών καταγγελιών, έκρινε με την υπ’ αρ. 28/2019 απόφαση, ότι η αναγραφή του θρησκεύματος και της ιθαγένειας στα στοιχεία που τηρούνται στο σχολείο, στους τίτλους και τα πιστοποιητικά σπουδών της δευτεροβάθμιας εκπαίδευσης και στο πληροφοριακό σύστημα «myschool» και η δήλωση ότι ο μαθητής δεν είναι Χριστιανός Ορθόδοξος για την απαλλαγή του από το μάθημα των θρησκευτικών, δεν είναι νόμιμες, διότι αντιβαίνουν προς τη θεμελιώδη αρχή της αναγκαιότητας της επεξεργασίας Δεδομένων. Για τον λόγο αυτό καλεί το Υπουργείο Παιδείας να μεριμνήσει για την άμεση τροποποίηση των σχετικών ρυθμίσεων και να λάβει κάθε αναγκαίο μέτρο για τη μη αναγραφή του θρησκεύματος και της ιθαγένειας στα ανωτέρω στοιχεία και πιστοποιητικά, καθώς και στο πληροφοριακό σύστημα «myschool», και να εκδώσει κάθε αναγκαία οδηγία προς τις οικείες εκπαιδευτικές αρχές ώστε, εφεξής, το δικαίωμα στην απαλλαγή από το μάθημα των θρησκευτικών να ασκείται κατ’ επίκληση αποκλειστικά λόγων συνείδησης.
H Αρχή με την υπ’ αρ. 37/2019 απόφασή της, εξέτασε καταγγελία πρώην εργαζομένου σχετικά με παράνομη λειτουργία συστήματος γεωντοπισμού σε οχήματα που χρησιμοποιούσε ως εργαζόμενος, καθώς και παράνομη λειτουργία συστήματος βιντεοεπιτήρησης. Διαπιστώθηκε ότι κατά τον χρόνο που ο καταγγέλλων εργαζόταν στην καταγγελλόμενη εταιρεία η λειτουργία του συστήματος γεωεντοπισμού δεν είχε περιοριστεί αυστηρά εντός του ωραρίου εργασίας, δεν υπήρξε επαρκής προηγούμενη ενημέρωση του καταγγέλλοντος και το σύστημα βιντεοεπιτήρησης ελάμβανε εικόνα και από το πεζοδρόμιο και τον δημόσιο δρόμο. Η Αρχή απηύθυνε συστάσεις στον Υπεύθυνο Επεξεργασίας-εργοδότη για τη νόμιμη λειτουργία των συστημάτων βιντεοεπιτήρησης και γεωεντοπισμού.
Με βάση την υπ’ αρ. 41/2019 απόφαση η Αρχή επέβαλε επίπληξη στο Υπουργείο Ναυτιλίας και Νησιωτικής Πολιτικής για παραβίαση του δικαιώματος πρόσβασης.
Σελ. 27
Κατόπιν καταγγελίας στην Αρχή ότι το Υπουργείο Ναυτιλίας και Νησιωτικής Πολιτικής δεν ικανοποίησε τα δικαιώματα πρόσβασης και διόρθωσης του υποκειμένου των δεδομένων, η Αρχή, μετά από διερεύνηση της υπόθεσης, απηύθυνε στο Υπουργείο επίπληξη για τη μη ικανοποίηση του δικαιώματος πρόσβασης του Υποκειμένου στην αναλυτική του μοριοδότηση.
Το έτος 2020, η Αρχή με την υπ’ αρ. 6/2020 απόφασή της έκρινε ότι ασφαλιστική εταιρεία, ως Υπεύθυνος Επεξεργασίας, παραβίασε την άσκηση του δικαιώματος διαγραφής του Α σύμφωνα με τις διατάξεις των άρθρων 5 και 17 του ΓΚΠ∆ και απευθύνει, δυνάμει του άρθρου 58 παρ. 2 στοιχ. β΄ του ΓΚΠ∆, επίπληξη στην εν λόγω ασφαλιστική εταιρεία για την παραβίαση των διατάξεων αυτών και επιφυλάχθηκε να κρίνει τη νομιμότητα της διατήρησης των προσωπικών δεδομένων των υποψήφιων ασφαλισμένων για μία πενταετία από τη συλλογή τους κατά το προσυμβατικό στάδιο για το σκοπό της αποφυγής και καταπολέμησης της ασφαλιστικής απάτης στο πλαίσιο της εξέτασης του σχεδίου Κώδικα ∆εοντολογίας της Ένωσης Ασφαλιστικών Εταιρειών που έχει υποβληθεί προς έγκριση στην Αρχή, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 40 παρ. 5 του ΓΚΠ∆.
Κατά το ίδιο έτος, η Αρχή με βάση την υπ’ αρ. 27/2020 απόφασή της, πραγματοποίησε επιτόπιο διοικητικό έλεγχο στο εθνικό πληροφοριακό σύστημα N-VIS αναφορικά με την προστασία και την ασφάλεια των προσωπικών Δεδομένων που υφίστανται επεξεργασία στο πλαίσιο της λειτουργίας του εν λόγω συστήματος και έδωσε εντολή, σύμφωνα με το άρθρο 58 παρ. 2 δ΄ του GDPR, στο Υπουργείο Εξωτερικών (Γ4 Διεύθυνση – Δικαιοσύνης, Εσωτερικών Υποθέσεων, Μετανάστευσης και Schengen, καθώς και ΣΤ2 Διεύθυνση – Επικοινωνιών και Πληροφορικής), ως υπεύθυνο επεξεργασίας κατά την έννοια του άρθρου 4 στοιχ. 7 του GDPR, να συμμορφωθεί με τις συστάσεις που αναφέρονται στο τελικό Πόρισμα του ελέγχου και να ενημερώσει σχετικά την Αρχή εντός ενός έτους από τη λήψη της παρούσας.
22 | Πέραν των διοικητικών κυρώσεων που επιβάλλει η ΑΠΔΠΧ, υπάρχουν και άλλου είδους αξιώσεις του Υποκειμένου των Δεδομένων που παρανόμως έτυχαν επεξεργασίας κατά του Υπεύθυνου Επεξεργασίας, αλλά και του Εκτελούντος την Επεξεργασία;
Σε περίπτωση παραβίασης των δεδομένων, τα Υποκείμενα μπορούν να προσφύγουν στα πολιτικά Δικαστήρια και να ζητήσουν αποζημίωση από τον Υπεύθυνο Επεξεργασίας ή/και τον Εκτελούντα την Επεξεργασία, οι οποίοι ευθύνονται αλληλεγγύως και εις ολόκληρον για την αποκατάσταση της ζημίας του Υποκειμένου, εφόσον αποδεικνύεται ότι από την επεξεργασία στην οποία εμπλέκονται έχει προκύψει η ζημία, προκειμένου να διασφαλιστεί αποτελεσματική αποζημίωση των Υποκειμένων.