ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΕΙΣΑΓΩΓΗ ΣΤΟΝ ΓΚΠΔ - ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ

Επιστέγασμα της σύγχρονης ευρωπαϊκής νομοθεσίας για την προστασία των προσωπικών δεδομένων αποτελεί ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ, GDPR), ο οποίος, με την ενδυνάμωση των υποχρεώσεων και δικαιωμάτων και με την εκτόξευση των προστίμων που προβλέπει, ευαισθητοποίησε περισσότερο από ποτέ και κινητροδότησε τη συμμόρφωση με τις θεμελιώδεις ευρωπαϊκές, αλλά και πανανθρώπινες αξίες και αρχές που

ενσωματώνουν οι διατάξεις του: λογοδοσία, διαφάνεια, ασφάλεια, αναλογικότητα κ.ά.

ΕΙΣ.1. Από την Οδηγία 1995/46 στον ΓΚΠΔ

Στον ευρωπαϊκό χώρο η προϊσχύουσα Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών αποτελεί ορόσημο στην ιστορία της νομικής προστασίας των προσωπικών δεδομένων. Οι βασικές της αρχές, που αποσκοπούν στην εξασφάλιση μιας ικανοποιητικής προστασίας των προσωπικών δεδομένων, αλλά και μιας λειτουργικής εσωτερικής αγοράς στον χώρο της Ευρωπαϊκής Ένωσης, εξακολουθούν να ισχύουν και σήμερα, παρά την κατάργησή της από τον Γενικό Κανονισμό Προστασίας Δεδομένων.

Ωστόσο, από την εποχή που άρχισε να ισχύει η Οδηγία 95/46 μεσολάβησαν ραγδαίες τεχνολογικές εξελίξεις: η θεαματική ανάπτυξη του διαδικτύου και της κοινωνικής δικτύωσης, με την απίστευτη έκθεση των ατόμων στα κοινωνικά δίκτυα και τη μαζική δημιουργία προφίλ από συλλεγόμενα προσωπικά δεδομένα σε μεγάλη κλίμακα, το υπολογιστικό νέφος, η τεχνολογία RFID

και το Διαδίκτυο των πραγμάτων (IoT), οι μη επανδρωμένες ιπτάμενες -και όχι μόνο- συσκευές (drones), η αλματωδώς εξελισσόμενη τεχνητή νοημοσύνη και τα νέα δεδομένα της παγκοσμιοποίησης, όπου η χρήση των προσφερόμενων προϊόντων και υπηρεσιών προϋποθέτουν την εγκαθίδρυση κλίματος εμπιστοσύνης ως προς την ασφάλεια των συναλλαγών. Οι παραπάνω διαπιστώσεις ανέδειξαν την ανάγκη για μεταρρύθμιση του νομοθετικού καθεστώτος, αποκαλύπτοντας τα θεσμικά κενά στην εφαρμογή της Οδηγίας 95/46, και την προσαρμογή του στην ψηφιακή εποχή, με ενίσχυση της ομοιόμορφης ρύθμισης στα κράτη-μέλη της Ε.Ε. (Κανονισμός στη θέση της Οδηγίας) και με επαναπροσδιορισμό των σχετικών υποχρεώσεων και δικαιωμάτων. Τον Ιανουάριο 2012 ήρθε στη δημοσιότητα η Πρόταση Κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (Γενικός Κανονισμός για την Προστασία Δεδομένων). Αφού μεσολάβησαν τα απαιτούμενα από το Ευρωπα-

ϊκό Δίκαιο διαδικαστικά στάδια για διάστημα μεγαλύτερο της τετραετίας, στη διάρκεια του οποίου το Ευρωπαϊκό Κοινοβούλιο επεξεργάστηκε 3.999 τροπολογίες, στις 4 Μαϊου του 2016 δημοσιεύθηκε στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης ο Κανονισμός 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων). Η έναρξη εφαρμογής του Κανονισμού ορίσθηκε στις 25 Μαΐου 2018, ημερομηνία κατάργησης της Οδηγίας 95/46. Την 29/8/2019 δημοσιεύθηκε ο ν. 4624/2019 (ΦΕΚ Α΄ 137/29.8.2019) «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις».

ΕΙΣ.2. Γενική θεώρηση του ΓΚΠΔ

Ο Γενικός Κανονισμός Προστασίας Δεδομένων είναι το αποτέλεσμα πολυετούς διαλόγου μεταξύ των χωρών μελών της ΕΕ που, ανταποκρινόμενες στην ιλιγγιώδη τεχνολογική εξέλιξη των τελευταίων ετών, έθεσαν ως προτεραιότητά τους τη συνεκτική εφαρμογή ενός ενιαίου ρυθμιστικού πλαισίου στο πεδίο της προστασίας της ιδιωτικής ζωής του ατόμου, με ενίσχυση της ασφάλειας δικαίου και της επιταγής τα υποκείμενα των δεδομένων να έχουν τον έλεγχο των δεδομένων τους.

O Κανονισμός θεσπίζει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των προσωπικών τους δεδομένων και κανόνες που αφορούν την ελεύθερη κυκλοφορία των προσωπικών δεδομένων. Στηρίζεται στο άρθρο 16 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ, πρώην άρθρο 286 της ΣΕΚ), σύμφωνα με το οποίο «Κάθε πρόσωπο έχει δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτή-

ρα που το αφορούν», αλλά και στο αντίστοιχο άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.

Όπως αναφέρεται στην υπ’ αριθ. 6 αιτιολογική σκέψη του Κανονισμού, Η τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την επιδίωξη των δραστηριοτήτων τους. Τα φυσικά πρόσωπα ολοένα και περισσότερο δημοσιοποιούν προσωπικές πληροφορίες και τις καθιστούν διαθέσιμες σε παγκόσμιο επίπεδο. Η τεχνολογία έχει αλλάξει τόσο την οικονομία όσο και την κοινωνική ζωή και θα πρέπει να διευκολύνει περαιτέρω την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης και τη διαβίβαση σε τρίτες χώρες και διεθνείς οργανισμούς, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα.

Ο Κανονισμός εφαρμόζεται στον Ευρωπαϊκό Οικονομικό Χώρο, δηλ. στην Ευρωπαϊκή Ένωση και σε Λιχτενστάιν, Νορβηγία και Ισλανδία. Είναι ένα εκτενές λεπτομερές κείμενο 99 άρθρων (έναντι 34 της προϊσχύουσας Οδηγίας 95/46/ΕΚ) με 173 αιτιολογικές σκέψεις Προοιμίου (έναντι 72 της Οδηγίας 95/46/ΕΚ). Έχει χαρακτηριστικά Οδηγίας, καθώς αναγνωρίζεται στον εθνικό νομοθέτη η υιοθέτηση συγκεκριμένων επιλογών/μέτρων εφαρμογής του ΓΚΠΔ. Στα θέματα που απόκεινται σε ρύθμιση από τον εθνικό νομοθέτη περιλαμβάνονται η δυνητική μείωση του ηλικιακού ορίου για τη συγκάθεση ανηλίκου (άρθρο 8 ΓΚΠΔ), η δυνητική πρόβλεψη για διενέργεια εκτίμησης αντικτύπου και όταν βάση επεξεργασίας είναι η εκπληρωση νόμιμης υποχρέωσης ή το δημόσιο συμφέρον/άσκηση δημόσιας εξουσίας (άρθρο 35 παρ.10 ΓΚΠΔ), η πρόβλεψη για κατ’εξαίρεση διαβούλευση και άδεια από την Εποπτική Αρχή για επεξεργασία προς το δημόσιο συμφέρον, π.χ. κοινωνική προστασία και δημόσια υγεία (άρθρο 36 παρ. 5 ΓΚΠΔ), η ενθάρρυνση κατάρτισης κωδίκων

δεοντολογίας (άρθρο 40 ΓΚΠΔ), μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων (άρθρο 42 ΓΚΠΔ), η διασφάλιση πιστοποίησης από φορείς πιστοποίησης (άρθρο 43 ΓΚΠΔ), δυνητική πρόβλεψη για περιορισμούς στη διαβίβαση ειδικών κατηγοριών δεδομένων (άρθρο 49 παρ. 5 ΓΚΠΔ), η συγκρότηση και λειτουργία (Εθνικής) Εποπτικής Αρχής (άρθρο 51 επ. ΓΚΠΔ), ο δυνητικός καθορισμός κανόνων για το εάν και σε ποιο βαθμό διοικητικά πρόστιμα μπορεί να επιβάλλονται σε δημόσιες αρχές και φορείς (άρθρο 83 παρ. 7 ΓΚΠΔ), (άλλες) κυρώσεις που επιβάλλονται για παραβάσεις του Κανονισμού, ιδίως για τις παραβάσεις που δεν αποτελούν αντικείμενο διοικητικών προστίμων (άρθρο 84 ΓΚΠΔ), εθνική ρύθμιση για συμβιβασμό ανάμεσα στο δικαίωμα στην προστασία των δεδομένων και στο δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς και για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, καθώς και σχετικές εξαιρέσεις/παρεκκλίσεις από τον Κανονισμό (άρθρο 85 ΓΚΠΔ), δυνητική πρόβλεψη ειδικών προϋποθέσεων για την επεξεργασία εθνικού αριθμού ταυτότητας ή άλλου αναγνωριστικού στοιχείου ταυτότητας γενικής εφαρμογής (άρθρο 87 ΓΚΠΔ), δυνητικοί κανόνες προστασίας στο πλαίσιο της απασχόλησης (άρθρο 88 ΓΚΠΔ), επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, με δυνητική πρόβλεψη παρεκκλίσεων (άρθρο 89 ΓΚΠΔ), δυνητικοί κανόνες για τον καθορισμό των ειδικών εξουσιών των ελεγκτικών αρχών, οι οποίες προβλέπονται στο άρθρο 58 παρ.1 στοιχεία ε) και στ), σε σχέση με υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία οι οποίοι έχουν υποχρέωση τήρησης του επαγγελματικού απορρήτου ή άλλες αντίστοιχες υποχρεώσεις τήρησης του απορρήτου (άρθρο 90 ΓΚΠΔ).

Ο Κανονισμός διατηρεί τις κύριες έννοιες και ρυθμίσεις της Οδηγίας 95/46, όπως η έννοια των προσωπικών δεδομένων, του υποκειμένου των δεδομένων, του υπευθύνου επεξεργασίας, του εκτελούντος την επεξεργασία, του αποδέκτη, της επεξεργασίας, του αρχείου (συστήματος αρχειοθέτησης), της συγκατάθεσης. Επιπλέον εμπλουτίζει τις ρυθμίσεις της καταργηθείσας Οδηγίας και προσθέτει νέες, ενισχύοντας τις υποχρεώσεις των υπευθύνων επεξεργασίας και ενδυναμώνοντας τα δικαιώματα των υποκειμένων των δεδομένων. Είναι χαρακτηριστικό ότι το άρθρο 2 της Οδηγίας, που αφορούσε τους ορισμούς, περιείχε οκτώ ορισμούς, έναντι 26 του αντίστοιχου άρθρου 4 του Κανονισμού.

ΕΙΣ.3. Η στάθμιση συμφερόντων και οι νομοθετικές επιλογές

Ο ΓΚΠΔ, όπως κάθε νομοθέτημα, είναι προϊόν σταθμίσεων συμφερόντων και συνακόλουθα επιλογών. Ανάμεσα στη χαλαρότερη επιλογή του νομοθετικού εργαλείου της Οδηγίας, που αφήνει περιθώρια στην εθνική έννομη τάξη να προσαρμόσει τις ευρωπαϊκές επιταγές στο περιβάλλον της και στην αυστηρότερη/συνεκτικότερη επιλογή του Κανονισμού, προκρίθηκε ο τελευταίος, που εξυπηρετεί περισσότερο την ομοιόμορφη εφαρμογή στα κράτη-μέλη της ΕΕ. Κρίθηκε ότι είναι σημαντικό να δημιουργηθεί η αναγκαία εμπιστοσύνη που θα επιτρέψει στην ψηφιακή οικονομία να αναπτυχθεί στο σύνολο της εσωτερικής αγοράς, επιλογή την οποία υλοποιεί η συνεκτική ρύθμιση του ΓΚΠΔ, παρά τις ρήτρες ευελιξίας που αυτός περιλαμβάνει. Με τον τρόπο αυτό δημιουργείται ασφάλεια δικαίου: Αφενός προς το συμφέρον των εμπλεκόμενων προσώπων, για τα οποία ισχύουν ίδιοι κανόνες επεξεργασίας στις χώρες εδαφικής εμβέλειας του ΓΚΠΔ, με συνέπεια την πιο ελεύθερη κυκλοφορία δεδομένων, που, πέρα από την ελεύθερη ανάπτυξη της προσωπικότητας του ατόμου, συνεπάγεται ελεύθερη οικονομική ανάπτυξη. Αφετέρου προς το συμφέρον αυτών που επεξεργάζονται δεδομένα, διότι από τη μια πλευρά εδραιώνεται η εμπιστοσύνη των αντισυμβαλλομένων τους προς τις παρεχόμενες υπηρεσίες, απόρροια της προαναφερθείσας ασφάλειας δικαίου, από την άλλη μειώνεται το κόστος επεξεργασίας, το οποίο -ως γνωστό- περιλαμβάνει και τη νομική συμπαράσταση.

Ο ίδιος ο τίτλος του ΓΚΠΔ «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών» φανερώνει ότι ο ΓΚΠΔ επιχειρεί τη στάθμιση και εξισορρόπηση δύο βασικών στοχεύσεων της ΕΕ: της αρχικής στόχευσης που είναι η άρση των οικονομικών περιορισμών μεταξύ των κρατών μελών για τη διευκόλυνση του διασυνοριακού εμπορίου (που λαμβάνει ιδιαίτερη αξία και διάσταση στην ηλεκτρονική μορφή του) και της ελεύθερης ροής δεδομένων -η ΕΕ ξεκίνησε ως Κοινότητες οικονομικού χαρακτήρα (ΕΚΑΧ, ΕΥΡΑΤΟΜ, ΕΟΚ)-, και της «εμπλουτισμένης»/πολυδιάστατης στόχευσης που αναδείχθηκε αργότερα μέσω και της σταδιακής πολιτικής ένωσης με ενισχυμένη προστασία των θεμελιωδών δικαιωμάτων και της ασφάλειας των πολιτών και της μετονομασίας σε «Ευρωπαϊκή Ένωση».

Εξάλλου, το ίδιο το δικαίωμα στα προσωπικά δεδομένα δεν είναι απόλυτο δικαίωμα. Ανταγωνίζεται με άλλα δικαιώματα και συνεπώς η ρύθμιση για την προστασία του είναι προϊόν στάθμισης του δικαιώματος αυτού με άλλα δικαιώματα, όπως το δικαίωμα στην πληροφόρηση -στην ενεργητική και παθητική της έκφραση- και τη συμμετοχή στην Κοινωνία της Πληροφορίας, το δικαίωμα στη δημόσια ασφάλεια και στην πρόληψη και καταστολή της εγκληματικότητας -ιδίως του οργανωμένου εγκλήματος και της τρομοκρατίας-, στην ελευθερία της έκφρασης, του λόγου και του τύπου, στην επιχειρηματική ελευθερία, στη διαφάνεια, στην επιστημονική έρευνα, στην

ελευθερία των τεχνών και των επιστημών, στο δικαίωμα στη διανοητική ιδιοκτησία κ.ά.

Αυτή η αντιπαλότητα και η επιχείρηση συγκερασμού και εξισορρόπησης συμφερόντων, με εργαλείο την αρχή της αναλογικότητας, αντανακλάται στις επιμέρους ρυθμίσεις του ΓΚΠΔ και ενδεικτικά στη διεύρυνση της εδαφικής εμβέλειας της προστασίας, στις υποχρεώσεις και στα δικαιώματα, στις ειδικότερες ρυθμίσεις για την προστασία των προσωπικών δεδομένων παιδιών, στην αλματώδη αύξηση των προβλεπόμενων προστίμων, στη διασυνοριακή ροή δεδομένων, αλλά και στη ρύθμιση του άρθρου 6 παρ. 1 στ΄ του ΓΚΠΔ, κατά την οποία τα έννομα συμφέροντα του υπευθύνου επεξεργασίας ή τρίτου ανάγονται σε νομική βάση επεξεργασίας, με την προϋπόθεση ότι δεν υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου, που επιβάλλουν την προστασία των προσωπικών δεδομένων.

ΕΙΣ.4. Καινοτομίες του ΓΚΠΔ

Τις σημαντικότερες καινοτομίες του Κανονισμού αποτελούν, πρώτα από όλα η διεύρυνση του εδαφικού πεδίου εφαρμογής, σε σχέση με την καταργηθείσα Οδηγία 95/46: Η εδαφική εμβέλεια της Οδηγίας 95/46 αφορούσε τους υπευθύνους επεξεργασίας που είχαν εγκατάσταση στην Ευρωπαϊκή Ένωση ή προσέφευγαν σε μέσα επεξεργασίας που βρίσκονταν στην ΕΕ (άρθρο 4 Οδηγίας 95/46). Πλέον, υπόκεινται στις ρυθμίσεις του Κανονισμού όχι μόνο οι επεξεργαζόμενοι προσωπικά δεδομένα που είναι εγκατεστημένοι στην Ευρωπαϊκή Ένωση ή χρησιμοποιούν μέσα επεξεργασίας που είναι στην ΕΕ, αλλά

και εκείνοι που, παρότι δεν έχουν εγκατάσταση στην ΕΕ, παρέχουν αγαθά ή υπηρεσίες σε φυσικά πρόσωπα ευρισκόμενα στην ΕΕ ή παρακολουθούν τη συμπεριφορά των προσώπων αυτών από απόσταση π.χ. στο πλαίσιο συμπεριφορικής διαφήμισης (δημιουργία καταναλωτικών μορφοτύπων, για τη στόχευση της προσφοράς προϊόντων ή υπηρεσιών). Αυτή η διεύρυνση του πεδίου εφαρμογής συνεπάγεται μεγαλύτερη προστασία του φυσικού προσώπου και των προσωπικών του δεδομένων.

Ως καινοτομίες του Κανονισμού αναφέρονται επίσης η εισαγωγή νέων δικαιωμάτων του υποκειμένου (π.χ. δικαίωμα διαγραφής /δικαίωμα στη λήθη, στη φορητότητα), η προσθήκη νέων αρχών επεξεργασίας (όπως της διαφάνειας, της λογοδοσίας, της ακεραιότητας και εμπιστευτικότητας), το ενισχυμένο πλέγμα υποχρεώσεων του υπευθύνου επεξεργασίας (όπως η λογοδοσία, η τήρηση αρχείων, η γνωστοποίηση παραβιάσεων προσωπικών δεδομένων στην Εποπτική Αρχή και στο υποκείμενο, η προστασία των δεδομένων ήδη από το σχεδιασμό της επεξεργασίας και εξ ορισμού: privacy by design/privacy by default, η εκτίμηση αντικτύπου όταν η επεξεργασία ενέχει σοβαρούς κινδύνους για τα προσωπικά δεδομένα), η αύξηση των υποχρεώσεων του εκτελούντος την επεξεργασία, ο θεσμός του υπευθύνου προστασίας δεδομένων, οι ειδικές προστατευτικές ρυθμίσεις για τα προσωπικά δεδομένα των παιδιών, η ρητή δυνατότητα ανάκλησης της συγκατάθεσης του υποκειμένου, η απάλειψη της γενικής υποχρέωσης δήλωσης της επεξεργασίας στην Εποπτική Αρχή ή λήψης της σχετικής άδειας, η θέσπιση του Ευρωπαϊκού Συμβουλίου Προστασίας δεδομένων, ο μηχανισμός συνεργασίας και συνεκτικότητας, η ενθάρρυνση για θέσπιση μηχανισμών πιστοποίησης, η αυστηροποίηση των κυρώσεων. Από τα παραπάνω αναφερόμενα, και με την παραδοχή ότι δεν περιλαμβάνεται στην έννοια της καινοτομίας η ενδυνάμωση ήδη υπαρχουσών υποχρεώσεων, κυρώσεων, δικαιωμάτων και οργάνων, στις καινοτομίες συγκαταλέγονται η ειδική προστασία των προσωπικών δεδομένων των παιδιών, η απάλειψη της γενικής υποχρέωσης γνωστοποίησης

της επεξεργασίας και της λήψης άδειας από την Εποπτική Αρχή, δικονομικοί κανόνες, με το οικονομικό ενδιαφέρον να εστιάζεται στην αυστηροποίηση των κυρώσεων και συγκεκριμένα στα υψηλά πρόστιμα έως 20.000.000 ευρώ ή –αν είναι μεγαλύτερο- έως το 4% του παγκόσμιου ετήσιου τζίρου της επιχείρησης που επεξεργάζεται δεδομένα, .

Έχουμε τη γνώμη ότι οι λοιπές «καινοτομίες» αποτελούν επεκτάσεις ρυθμίσεων που υπήρχαν στην Οδηγία είτε είχαν νομολογηθεί από αποφάσεις-σταθμούς του Δικαστηρίου της Ευρωπαϊκής Ένωσης στο πλαίσιο της κυρίαρχης ερμηνευτικής αρμοδιότητάς του είτε είχαν εκφρασθεί από την Ομάδα του άρθρου 29 της Οδηγίας 95/46 στο πλαίσιο της γνωμοδοτικής της αρμοδιότητας, είτε είχαν ήδη αναπτυχθεί από τη θεωρία, πάντως δεν πρόκειται για παντελώς άγνωστες ρυθμίσεις, οι οποίες εισήχθησαν πρώτη φορά με τον ΓΚΠΔ. Έτσι και το δικαίωμα στη λήθη, διαπλασμένο από τη θεωρία, είχε νομολογηθεί ως έκφανση του δικαιώματος αντίταξης, το δικαίωμα στη φορητότητα αριθμού ήταν ήδη γνωστό από την Οδηγία 2002/22 στον χώρο των

ηλεκτρονικών επικοινωνιών, η αρχή της διαφάνειας είχε ήδη ως έκφανσή της το δικαίωμα ενημέρωσης και πρόσβασης των άρθρων 10, 11 και 12 της Οδηγίας 95/46, η αρχή της λογοδοσίας είχε ήδη καλλιεργηθεί, όπως φαίνεται από τη Γνώμη 3/2010 της Ομάδας Εργασίας του άρθρου 29, η αρχή της ακεραιότητας και της εμπιστευτικότητας ήταν προαπαιτούμενα για την υποχρέωση ασφάλειας των δεδομένων του άρθρου 16 και 17 της Οδηγίας 95/46, η γνωστοποίηση παραβιάσεων προσωπικών δεδομένων στην Εποπτική Αρχή και στο υποκείμενο προβλεπόταν ήδη στον χώρο των ηλεκτρονικών επικοινωνιών από την Οδηγία 2002/58 (άρθρο 4 παρ. 2 και 3) και τον Κανονισμό 611/2013, καθώς και από άλλα ευρωπαϊκά νομοθετήματα, η προστασία των δεδομένων ήδη από το σχεδιασμό της επεξεργασίας και εξ ορισμού:privacy by design/privacy by default αποτελούσε έκφανση της τεχνολογικής προστασίας των προσωπικών δεδομένων, η εκτίμηση αντικτύπου όταν η επεξεργασία ενέχει σοβαρούς κινδύνους για τα προσωπικά δεδομένα προβλεπόταν ήδη από την υπ’ αριθ. 3/2010 Γνώμη της Ομάδας Εργασίας του άρθρου 29 σχετικά με την αρχή της λογοδοσίας, και είχε ήδη επισημανθεί η σχετική αναγκαιότητα από αποφάσεις και της Ελληνικής Αρχής Προστασίας Δεδομένων ως «μελέτη επικινδυνότητας», ο θεσμός του υπευθύνου προστασίας δεδομένων προβλεπόταν ως προαιρετικός στην Οδηγία 95/46 (άρθρο 18 παρ. 2) και εφαρμοζόταν ήδη σε Κράτη της Ευρωπαϊκής Ένωσης, όπως στη Γαλλία και τη Γερμανία, αλλά συναντώνταν ήδη και σε άλλες περιπτώσεις, η δυνατότητα ανάκλησης της συγκατάθεσης του υποκειμένου εξυπακουόταν, το Ευρωπαϊκό Συμβούλιο Προστασίας

δεδομένων αποτελεί διάδοχο της Ομάδας Εργασίας του άρθρου 29 της Οδηγίας 95/46, ο μηχανισμός συνεργασίας και συνεκτικότητας αποτελεί ενδυνάμωση αντίστοιχου μηχανισμού που ήδη λειτουργούσε υπό την ισχύ της Οδηγίας, όπως και η ενθάρρυνση για θέσπιση κωδίκων δεοντολογίας.

Ιδιαίτερη αναφορά πρέπει να γίνει στη λογοδοσία, στη συμμόρφωση. Πλέον, ο επεξεργαζόμενος προσωπικά δεδομένα οφείλει ανά πάσα στιγμή να επιδεικνύει και να αποδεικνύει συμμόρφωση με τον Κανονισμό.

ΕΙΣ.5. Δυσκολίες και οφέλη συμμόρφωσης

Η συμμόρφωση προς τον Κανονισμό αποτελεί σε πολλές περιπτώσεις πραγματική πρόκληση. Αυτό οφείλεται πρώτα στην πολυπλοκότητα του Κανονισμού. Είναι ένα μακροσκελές κείμενο με μακροπερίοδο λόγο, κάποιες φορές «φλύαρο», αντανακλώντας την αγωνία των συντακτών του να περιλάβουν ρυθμιστικές λεπτομέρειες, απόρροια αποφάσεων-σταθμών του Δικαστηρίου της Ευρωπαϊκής Ένωσης ή Γνωμών της Ομάδας Εργασίας του άρθρου 29 της Οδηγίας 95/46 ή άλλων θεσμοθετημένων οντοτήτων. Από την άλλη πλευρά η παγιωμένη σε πολλούς φορείς επιχειρησιακή «κουλτούρα», που για πολλά χρόνια δεν απέδιδε την προσήκουσα σημασία στην οργανωμένη και αποτελεσματική προστασία των προσωπικών δεδομένων γεννά εσωτερικές αντιδράσεις στην προσπάθεια ανταπόκρισης στις υποχρεώσεις που επιβάλλει ο Κανονισμός. Επίσης, παράγοντας που δυσχεραίνει τη συμμόρφωση είναι το ότι η συμμόρφωση επαφίεται σε κάθε υπεύθυνο επεξεργασίας μέσω της λήψης επιχειρηματικών αποφάσεων και επιλογών (π.χ. ως προς το ποιο τμήμα της επιχείρησης θα είναι ο ταγός στο έργο της συμμόρφωσης, ποιες οι συγκεκριμένες επιλογές συμμόρφωσης, χάραξη σχετικής στρατηγικής και πολιτικών κ.λπ.), δεδομένης της εστίασης του Κανονισμού στο επιδιωκόμενο αποτέλεσμα και όχι στον τρόπο συμμόρφωσης. Στις δυσκολίες συμμόρφωσης προστίθενται και πολλά ανοιχτά θέματα ερμηνείας και εφαρμογής.

Ωστόσο οι δυσκολίες συμμόρφωσης με τον Κανονισμό εξισορροπούνται με τα οφέλη που αποκομίζει ο υπεύθυνος επεξεργασίας από το εγχείρημα αυτό. Η εναρμόνιση με τις επιταγές του Κανονισμού αποτελεί ευκαιρία να εξορθολογισθούν εταιρικές πρακτικές και διαδικασίες, να αλλάξει η εταιρική νοοτροπία και στάση, να αναβαθμισθούν τα συστήματα ασφαλείας.

Η εφαρμογή του Κανονισμού, είτε πρόκειται για κανονιστική συμμόρφωση είτε για ορθή επιχειρησιακή πρακτική, αποτελεί προστιθέμενη αξία για έναν οργανισμό στην παρεχομένη ποιότητα υπηρεσιών και παράλληλα ανταγωνιστικό πλεονέκτημα. Ο Κανονισμός είναι σύμμαχος της ψηφιακής οικονομίας, γιατί με τη συνεκτικότητα της εφαρμογής του δημιουργεί ισότιμους όρους ανταγωνισμού και ασφάλεια δικαίου, απαραίτητη προϋπόθεση για την απρόσκοπτη και ασφαλή ροή δεδομένων, στην οποία ερείδεται το ηλεκτρονικό εμπόριο, ως μοχλός ανάπτυξης, με τον διαρκώς αυξανόμενο διεθνή του χαρακτήρα.

ΕΙΣ.6. Πεδίο εφαρμογής

Το πεδίο εφαρμογής του ΓΚΠΔ οριοθετείται θετικά με τον καθορισμό των επεξεργασιών που ρυθμίζονται με τον ΓΚΠΔ και αρνητικά με τον καθορισμό των επεξεργασιών που εκφεύγουν του πεδίου εφαρμογής του.

ΕΙΣ.6.1.Θετική οριοθέτηση πεδίου εφαρμογής

Η θετική οριοθέτηση του πεδίου εφαρμογής του ΓΚΠΔ αφορά τον προσδιορισμό αφενός του ουσιαστικού και αφετέρου του εδαφικού πεδίου εφαρμογής του.

ΕΙΣ.6.1.1. Ουσιαστικό πεδίο εφαρμογής

Ο Κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων, καθώς και στη μη αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο (σύστημα αρχειοθέτησης), δηλ. σε διαρθρωμένο σύνολο δεδομένων, τα οποία είναι προσιτά με γνώμονα συγκεκριμένα κριτήρια. Συνεπώς κάθε αυτοματοποιημένη επεξεργασία δεδομένων μέσω π.χ. προσωπικού υπολογιστή, κινητής συσκευής ή δρομολογητή εμπίπτει στη νομική ρύθμιση της επεξεργασίας προσωπικών δεδομένων. Στην ίδια νομική ρύθμιση εμπίπτει και κάθε μη αυτοματοποιημένη επεξεργασία δεδομένων σε χειροκίνητο σύστημα αρχειοθέτησης, δηλ. σε ειδικά διαρθρωμένο έντυπο αρχείο.

Ο Κανονισμός εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων ατόμων που βρίσκονται στην Ε.Ε., ανεξάρτητα ιθαγένειας (υπηκοότητας) ή τόπου κατοικίας ή διαμονής. Η προστασία δηλ. του Κανονισμού ισχύει για όλους όσους βρίσκονται στην Ε.Ε., ανεξάρτητα αν είναι ή όχι πολίτες κράτους μέλους της Ε.Ε.

ΕΙΣ.6.1.2. Εδαφικό πεδίο εφαρμογής

Ο Κανονισμός εφαρμόζεται για την προστασία των προσωπικών δεδομένων είτε ο υπεύθυνος επεξεργασίας (ή ο εκτελών την επεξεργασία) είναι εγκατεστημένος (κριτήριο της εγκατάστασης) στην Ευρωπαϊκή Ένωση είτε όχι (κριτήριο της στόχευσης). Συνεπώς εφαρμόζονται διαζευκτικά τα παρακάτω δύο κριτήρια. Η εδαφική εφαρμογή του Κανονισμού αφορά συγκεκριμένη επεξεργασία και όχι το πρόσωπο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία. Επομένως είναι δυνατόν από τις επεξεργασίες προσωπικών δεδομένων που ενεργεί ο ίδιος υπεύθυνος επεξεργασίας, άλλες να εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ και άλλες όχι.

ΕΙΣ.6.1.2.1 Κριτήριο της εγκατάστασης

Σύμφωνα με το κριτήριο της εγκατάστασης, ο Κανονισμός εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων υποκειμένων των δεδομένων που βρίσκονται στην Ένωση στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το κατά πόσο η ίδια η επεξεργασία πραγματοποιείται εντός της Ένωσης.

Η εγκατάσταση προϋποθέτει την ουσιαστική και πραγματική άσκηση δραστηριότητας μέσω σταθερών ρυθμίσεων. Από αυτή την άποψη, ο νομικός τύπος των ρυθμίσεων αυτών, είτε πρόκειται για παράρτημα, υποκατάστημα, είτε για θυγατρική με νομική προσωπικότητα, δεν είναι καθοριστικής σημασίας. Συνεπώς δεν εφαρμόζεται η τυπολατρική προσέγγιση κατά την οποία μια εταιρεία λογίζεται εγκατεστημένη αποκλειστικά στον τόπο στα μητρώα εταιρειών του οποίου είναι καταχωρισμένη. Παρότι η έννοια της εγκατάστασης είναι ευρεία, υπόκειται σε περιορισμούς. Δεν είναι δυνατόν να συναχθεί το συμπέρασμα ότι μια οντότητα εκτός ΕΕ διαθέτει εγκατάσταση στην Ένωση επειδή έχει εργαζομένους στην ΕΕ ή τα κράτη της ΕΕ έχουν πρόσβαση στον ιστότοπο της οντότητας αυτής. Επίσης ένας εκτελών την επεξεργασία στην ΕΕ δεν θα πρέπει να θεωρείται εγκατάσταση ενός υπευθύνου επεξεργασίας δεδομένων από το γεγονός και μόνο ότι διενεργεί επεξεργασία για λογαριασμό υπευθύνου επεξεργασίας.

Προκειμένου να εφαρμοσθεί το κριτήριο της εγκατάστασης για να διαγνωσθεί αν συγκεκριμένη επεξεργασία δεδομένων εμπίπτει στον ΓΚΠΔ, θα πρέπει πρώτα να διαπιστώνεται αν ο ενεργών την επεξεργασία έχει εγκατάσταση στην ΕΕ και κατόπιν αν η επεξεργασία διενεργείται στο πλαίσιο της δραστηριότητας της εγκατάστασης αυτής.

Ο Κανονισμός εφαρμόζεται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας μη εγκατεστημένο στην Ένωση, αλλά σε τόπο όπου εφαρμόζεται το δίκαιο κράτους μέλους δυνάμει του δημόσιου διεθνούς δικαίου, όπως στην περίπτωση διπλωματικής αποστολής ή προξενικής Αρχής κράτους μέλους. Για παράδειγμα στην περίπτωση ελληνικού προξενείου σε χώρα της Ασίας που επεξεργάζεται αιτήσεις για την πρόσληψη τοπικού προσωπικού διοικητικής υποστήριξης εφαρμόζονται οι διατάξεις του ΓΚΠΔ, όπως και στην περίπτωση γαλλικού κρουαζιερόπλοιου σε διεθνή ύδατα που επεξεργάζεται δεδομένα των επιβατών για τους σκοπούς της ειδικά προσαρμοσμένης προσφοράς ψυχαγωγίας.

ΕΙΣ.6.1.2.2. Κριτήριο της στόχευσης

Σύμφωνα με το κριτήριο της στόχευσης, ο Kανονισμός εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται διαζευκτικά με:

i. την προσφορά αγαθών ή υπηρεσιών στα υποκείμενα των δεδομένων που βρίσκονται στην Ένωση, ανεξάρτητα αν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων ή όχι. Πρόκειται για δραστηριότητες που στοχεύουν δηλ. αποσκοπούν εκ προθέσεως και όχι ακούσια ή συμπτωματικά, σε πρόσωπα που βρίσκονται στην ΕΕ. Έτσι εάν μια υπηρεσία (π.χ. τηλεπικοινωνιακή) παρέχεται αποκλειστικά σε πρόσωπα εκτός ΕΕ, τα οποία συμπτωματικά

βρίσκονται π.χ. για διακοπές στην ΕΕ, και η υπηρεσία αυτή δεν ανακαλείται όταν το πρόσωπο εισέλθει στην ΕΕ, η σχετική επεξεργασία δεν θα υπόκειται στις διατάξεις του ΓΚΠΔ. Το ίδιο συμβαίνει και όταν Τράπεζα που δραστηριοποιείται μόνο εκτός ΕΕ επεξεργάζεται προσωπικά δεδομένα ευρωπαίων πολιτών που βρίσκονται στη χώρα της.

ή

ii. την παρακολούθηση της συμπεριφοράς υποκειμένων των δεδομένων που βρίσκονται στην Ένωση, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης. Για τον καθορισμό του κατά πόσον μια δραστηριότητα επεξεργασίας μπορεί να θεωρηθεί ότι παρακολουθεί τη συμπεριφορά υποκειμένου δεδομένων, θα πρέπει να εξακριβωθεί κατά πόσον φυσικά πρόσωπα παρακολουθούνται στο Διαδίκτυο, ή μέσω άλλων τύπων δικτύου ή τεχνολογίας, συμπεριλαμβανομένης της δυνητικής μετέπειτα χρήσης τεχνικών επεξεργασίας δεδομένων, οι οποίες συνίστανται στη διαμόρφωση του μορφοτύπου («προφίλ») ενός φυσικού προσώπου, ιδίως με σκοπό να ληφθούν αποφάσεις που το αφορούν ή να αναλυθούν ή να προβλεφθούν οι προσωπικές προτιμήσεις, οι συμπεριφορές και οι νοοτροπίες του.

Η παρακολούθηση αυτή, που επίσης εμπεριέχει σχετική πρόθεση, θα μπορούσε να αφορά ευρύ φάσμα δραστηριοτήτων, όπως συμπεριφορική διαφήμιση, δραστηριότητες γεωγραφικού εντοπισμού θέσης, διαδικτυακή παρακολούθηση μέσω της χρήσης cookies ή άλλων τεχνικών παρακολούθησης, όπως το ψηφιακό αποτύπωμα, εξατομικευμένες υπηρεσίες ανάλυσης διατροφικών συνηθειών και υγείας μέσω του διαδικτύου, κλειστό κύκλωμα τηλεόρασης (CCTV), υπηρεσίες αναγνώρισης προσώπου μέσω αντιστοίχισης φωτογραφιών που υπάρχουν στο διαδίκτυο κ.ά.

ΕΙΣ.6.1.3. Ορισμός εκπροσώπου υπευθύνου επεξεργασίας (ή εκτελούντος την επεξεργασία) μη εγκατεστημένου στην ΕΕ

Σε περίπτωση που ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεν είναι εγκατεστημένος στην Ένωση, οφείλει να ορίσει γραπτώς εκπρόσωπό του στην Ένωση. Ο εκπρόσωπος πρέπει να είναι εγκατεστημένος σε ένα από τα κράτη μέλη όπου βρίσκονται τα υποκείμενα των δεδομένων. Ο εκπρό-

σωπος λαμβάνει εντολή από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να απευθύνονται σε εκείνον οι Εποπτικές Αρχές και τα υποκείμενα των δεδομένων, επιπρόσθετα ή αντί του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία. Ο ορισμός εκπροσώπου από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία δεν εμποδίζει την άσκηση ένδικων μέσων απευθείας προς αυτούς και όχι μέσω των ορισθέντων εκπροσώπων.

Ο εκπρόσωπος αυτός πρέπει να είναι διακριτό πρόσωπο σε σχέση με τον υπεύθυνο προστασίας δεδομένων, λόγω της ανεξαρτησίας της θέσης του τελευταίου. Τα καθήκοντα του εκπροσώπου στην Ένωση δεν είναι συμβατά με τον ρόλο ενός εξωτερικού υπευθύνου προστασίας δεδομένων (DPO) που είναι εγκατεστημένος στην Ένωση.

Παρότι ο ΓΚΠΔ δεν επιβάλλει υποχρέωση στον υπεύθυνο επεξεργασίας (ή στον εκτελούντα την επεξεργασία) για ανακοίνωση του εκπροσώπου στην Εποπτική Αρχή, αυτό επιβάλλεται για λόγους καλής συνεργασίας και διευκόλυνσης του έργου της Εποπτικής Αρχής. Το ίδιο επιβάλλεται να γίνει και προς τα υποκείμενα των δεδομένων, π.χ. μέσω του ιστοτόπου του υπευθύνου επεξεργασίας, στο πλαίσιο της υποχρέωσης διαφάνειας, που πρέπει να διέπει την επεξεργασία.

Ο υπεύθυνος επεξεργασίας (ή ο εκτελών την επεξεργασία) που δεν είναι εγκατεστημένος στην ΕΕ, απαλλάσσεται από την υποχρέωση ορισμού εκπροσώπου εγκατεστημένου στην ΕΕ διαζευκτικά σε δύο περιπτώσεις: στην περίπτωση που είναι δημόσια αρχή (ή φορέας) ή στην περίπτωση που η επεξεργασία είναι περιστασιακή, δεν περιλαμβάνει, σε μεγάλο βαθμό, επεξεργασία ευαίσθητων δεδομένων ή δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα και δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, λαμβάνοντας υπόψη τη φύση, το πλαίσιο, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας.

ΕΙΣ.6.2. Αρνητική οριοθέτηση πεδίου εφαρμογής

Ο Κανονισμός δεν εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων:

α. στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης, όπως δραστηριότητες που αφορούν την εθνική ασφάλεια, β. στην επεξεργασία δεδομένων από τα κράτη μέλη όταν αυτά εκτελούν δραστηριότητες συναφείς με την κοινή εξωτερική πολιτική και πολιτική ασφάλειας της Ένωσης,

γ. από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας και άρα χωρίς σύνδεση με κάποια επαγγελματική ή εμπορική δραστηριότητα.