THE GDPR HANDBOOK

Για DPOs, Eπιχειρήσεις & Οργανισμούς

Συνδυάστε Βιβλίο (έντυπο) + e-book και κερδίστε 34.3€
Δωρεάν μεταφορικά σε όλη την Ελλάδα για αγορές άνω των 30€
credit-card

Πληρώστε σε έως άτοκες δόσεις των /μήνα με πιστωτική κάρτα.

Σε απόθεμα

Τιμή: 83,30 €

* Απαιτούμενα πεδία

Κωδικός Προϊόντος: 18823
Κανέλλος Λ.
  • Εκδοση: 2η 2023
  • Σχήμα: 17x24
  • Βιβλιοδεσία: Σκληρόδετη
  • Σελίδες: 1000
  • ISBN: 978-618-08-0080-7

Η πρώτη έκδοση του παρόντος εγχειριδίου κανονιστικής συμμόρφωσης με τον Ευρωπαϊκό Γενικό Κανονισμό περί προστασίας προσωπικών δεδομένων (2016/679) και την Οδηγία επιβολής του νόμου (2016/680) συνάντησε ενθουσιώδη υποδοχή από ένα τετραψήφιο αριθμό αναγνωστών.

Με στόχο να συνεχίσει να συνδράμει, με χρήση πρακτικών παραδειγμάτων και 50 υποδειγμάτων, DPOs, οργανισμούς και επιχειρήσεις στο δύσκολο έργο τους, το παρόν επικαιροποιημένο έργο "THE GDPR HANDBOOK" εξετάζει τις προκλήσεις πρακτικής εφαρμογής, σε δημόσιο και ιδιωτικό τομέα, του τροποποιημένου Ν 4624/2019 από τις Αρχές Ιδιωτικότητας και τα δικαστήρια.

Μεταξύ άλλων, η θεματολογία του περιλαμβάνει ζητήματα προστασίας δικαιωμάτων υποκειμένων, προστασίας ανηλίκων, εργαζομένων, επεξεργασίας δεδομένων υγείας, βιομετρικής ταυτοποίησης πελατών, χρήσης συστημάτων βιντεοεπιτήρησης και τεχνητής νοημοσύνης.

Αναλύονται επίσης οι υποχρεώσεις σεβασμού της ιδιωτικότητας μαρτύρων, υπόπτων και κατηγορουμένων από τις διωκτικές αρχές κατά την ποινική διαδικασία, το νέο πλαίσιο περί άρσης του απορρήτου (Ν 5002/2022), η επεξεργασία διαβαθμισμένων δεδομένων εθνικής ασφάλειας, η χρήση κατασκοπευτικών λογισμικών, καθώς και το νέο καθεστώς διεθνών διαβιβάσεων δεδομένων προσωπικού χαρακτήρα, μετά την απόφαση Schrems II του ΔΕΕ.

Εκτός από τα πρόστιμα και τις κυρώσεις, ο συγγραφέας προσεγγίζει, με κριτική σκέψη, τις νεότερες ρυθμίσεις για τις αναδυόμενες τεχνολογίες (Ν 4961/2022), τις ευρωπαϊκές πρωτοβουλίες για τις ψηφιακές αγορές και υπηρεσίες, τις κρυπτοσυναλλαγές, την κυβερνοασφάλεια, το Διαδίκτυο των Πραγμάτων, την ψηφιακή ανθεκτικότητα, τα πρότυπα και την πιστοποίηση αλλά και το αναδυόμενο Μετασύμπαν (Metaverse).

Πρόλογος 2ης έκδοσης XI

Σημείωμα Συγγραφέα 1ης έκδοσης XV

Περιεχόμενα XXIII

Συντομογραφίες XLIII

Εισαγωγή 1

Μέρος Πρώτο

H ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΨΗΦΙΑΚΗ
ΟΙΚΟΝΟΜΙΑ ΚΑΙ ΚΟΙΝΩΝΙΑ

Κεφάλαιο 1

ΟΙ ΒΑΣΙΚΕΣ ΑΠΑΙΤΗΣΕΙΣ ΤΗΣ ΚΑΝΟΝΙΣΤΙΚΗΣ ΣΥΜΜΟΡΦΩΣΗΣ

Α. ΝΟΜΙΜΟΤΗΤΑ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 24

1. Έννοια δεδομένων προσωπικού χαρακτήρα 24

i. Τα φυσικά πρόσωπα εν ζωή ως υποκείμενα επεξεργασίας 24

ii. Τα νομικά πρόσωπα εκτός πεδίου εφαρμογής ΓΚΠΔ 25

2. Επεξεργασία δεδομένων προσωπικού χαρακτήρα 26

i. Διασυνοριακή επεξεργασία 27

ii. Κατάρτιση Προφίλ 28

iii. Ένταξη σε οργανωμένο σύστημα αρχειοθέτησης 28

iv. Υπεύθυνος επεξεργασίας 29

v. Από κοινού υπεύθυνοι επεξεργασίας 31

vi. Εκτελών επεξεργασία 33

vii. Αποδέκτης των δεδομένων 35

viii. Τρίτος 36

3. Όροι νόμιμης επεξεργασίας 36

4. Δεδομένα ειδικών κατηγοριών 38

5. Ειδικοί όροι επεξεργασίας 41

6. Κύρια εγκατάσταση 43

i. Έδρα στον Ευρωπαϊκό Οικονομικό Χώρο: αυτοδίκαια υπαγωγή 43

ii. Έδρα εκτός Ευρωπαϊκού Οικονομικού Χώρου : διορισμός εκπροσώπου στην Ένωση 44

Β. ΑΣΦΑΛΕΙΑ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 45

1. Εμπιστευτικότητα, Ακεραιότητα και Διαθεσιμότητα 45

i. Εκτίμηση Αντικτύπου Προστασίας Δεδομένων 46

α. Μεθοδολογία εκπόνησης 47

β. Ομαδοποίηση πράξεων επεξεργασίας υψηλού κινδύνου 50

ii. Προστασία ιδιωτικότητας εξ ορισμού και από το σχεδιασμό 51

XXIV

2. Τεχνικά και οργανωτικά μέτρα ασφαλείας 52

i. Ψευδωνυμοποίηση 53

ii. Ανωνυμοποίηση 54

iii. Tokenisation 56

iv. Κρυπτογράφηση 58

3. Παραβίαση ασφάλειας δεδομένων 61

i. Πότε συντρέχει παραβίαση 61

ii. Αναφορά παραβιάσεων εντός 72 ωρών 63

iii. Πρόστιμα επί παραβιάσεων 64

4. Εποπτικές Αρχές 66

i. Εθνικές Αρχές 66

ii. Επικεφαλής Εποπτική Αρχή - Ενδιαφερόμενη Εποπτική Αρχή 67

iii. Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων 68

α. Μηχανισμός συνεργασίας και συνεκτικότητας 69

β. Επίλυση διαφορών μεταξύ εθνικών αρχών 70

γ. Προσβολή αποφάσεων του ΕΣΠΔ ενώπιον του ΔΕΕ 71

δ. Προσβολή αποφάσεων του ΕΣΠΔ ενώπιον εθνικού δικαστηρίου 71

ε. Δεσμευτικές αποφάσεις ΕΣΠΔ 71

στ. Ακυρωτικός έλεγχος αποφάσεων διασυνοριακής εποπτείας της αγοράς 72

iv. Ευρωπαίος Επόπτης Προστασίας Δεδομένων 74

Κεφάλαιο 2

ΓΕΝΙΚΟ ΟΡΓΑΝΩΤΙΚΟ ΠΛΑΙΣΙΟ ΔΙΑΧΕΙΡΙΣΗΣ ΙΔΙΩΤΙKΟΤΗΤΑΣ
ΚΑΙ ΑΣΦΑΛΕΙΑΣ

1. Ενημέρωση και ευαισθητοποίηση 77

i. Εκπαίδευση προσωπικού 77

ii. Πρόγραμμα εκπαίδευσης 77

2. Ανάλυση ελλείψεων 79

i. Μεθοδολογία εκτέλεσης 79

ii. Αναθεώρηση εσωτερικών διαδικασιών 79

3. Ανάθεση υπηρεσιακών ρόλων Ασφάλειας και Ιδιωτικότητας 81

i. Υπεύθυνος Διασφάλισης Απορρήτου 81

ii. Υπεύθυνος Ασφάλειας Δεδομένων 81

iii. Υπεύθυνος Ασφάλειας Πληροφοριών και Δικτύων 82

iv. Υπεύθυνος Προστασίας Δεδομένων 83

v. Υπεύθυνος Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών 84

vi. Υπεύθυνος Παραλαβής και Παρακολούθησης Αναφορών 85

4. Διακυβέρνηση, Διαχείριση Κινδύνου και Κανονιστική Συμμόρφωση 87

5. Καταγραφή επεξεργασιών 89

i. Αρχείο επεξεργασιών 89

ii. Χαρτογράφηση ροής δεδομένων 90

XXV

6. Υλοποίηση Ιδιωτικότητας εξ Αρχής και από τον Σχεδιασμό 91

7. Ανάλυση κινδύνων - Εκτίμηση αντικτύπου ιδιωτικότητας 91

i. Φάσεις εκπόνησης 92

ii. Έλεγχος πληρότητας 92

8. Διαβούλευση με την Εποπτική Αρχή 94

9. Διαχείριση ασφάλειας πληροφοριών – Πολιτική ασφάλειας 95

10. Διαχείριση δικαιωμάτων υποκειμένων 96

i. Πολιτική Ιδιωτικότητας 96

ii. Βέλτιστες πρακτικές διαφανούς επικοινωνίας 98

11. Διαχείριση κινδύνου από τρίτα μέρη 99

i. Σύμβαση επεξεργασίας δεδομένων 99

ii. Δομή και περιεχόμενο 99

12. Αντιμετώπιση και μεταφορά κινδύνου 101

i. Κυβερνοασφάλιση 102

ii. Ασφαλιζόμενοι κίνδυνοι 103

13. Διεθνείς Δραστηριότητες - Μηχανισμοί διασυνοριακών διαβιβάσεων 103

14. Σύστημα διασφάλισης συμμόρφωσης 104

i. Περιοδικοί έλεγχοι συμμόρφωσης 104

ii. Είδη ελέγχων 105

iii. Διαρκής παρακολούθηση 105

Κεφάλαιο 3

ΙΔΙΩΤΙΚΟΤΗΤΑ, ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ
ΚΑΙ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

Α. ΝΟΜΙΚΗ ΠΡΟΣΤΑΣΙΑ ΙΔΙΩΤΙΚΗΣ ΖΩΗΣ 107

1. Δικαίωμα στην ιδιωτικότητα 107

2. Ιδιωτικότητα στον κυβερνοχώρο 109

3. Κίνδυνοι και απειλές 110

4. Aνάγκη προστασίας 112

5. Στάθμιση συνταγματικών δικαιωμάτων 114

Β. ΦΥΣΙΚΗ ΚΑΙ ΛΟΓΙΚΗ ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ 115

1. Διασφάλιση απορρήτου και εμπιστευτικότητας 116

2. Εμπιστευτικές πληροφορίες και προσωπικά δεδομένα 118

3. Νομική προστασία απορρήτου 119

i. Μορφές και είδη απορρήτου 119

ii. Ποινική προστασία απορρήτου 121

4. Προστασία απορρήτου των επικοινωνιών 122

i. Περιεχόμενο και έκταση προστασίας 124

XXVI

ii. Ρόλος της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών 125

iii. Ανάγκη ολιστικής προσέγγισης του επικοινωνιακού απορρήτου 127

iv. Εξουδετέρωση απόκρυψης επί κακόβουλων κλήσεων 132

v. Ελεγκτικές εξουσίες ΑΠΔΠΧ και εξαιρέσεις 133

vi. Αυτοπιστοποίηση υποχρέων συμμόρφωσης 134

5. Άρση απορρήτου επικοινωνιών 135

i. Το νέο νομοθετικό πλαίσιο του Ν 5002/2022 136

α. Άρση απορρήτου επικοινωνιών για λόγους εθνικής ασφάλειας 138

β. Άρση απορρήτου επικοινωνιών προς διακρίβωση σοβαρών εγκλημάτων 139

γ. Άρση απορρήτου επικοινωνιών πολιτικών προσώπων 142

δ. Γνωστοποίηση παρακολούθησης στον θιγόμενο 143

ε. Διαγραφή δεδομένων 146

ii. Λογισμικά και συσκευές παρακολούθησης 147

iii. Νομοτεχνικές αδυναμίες N 5002/2022 149

6. Συνέπειες απώλειας δεδομένων 151

7. Μάρτυρες δημοσίου συμφέροντος (whistleblowers) 152

i. Έννοια μαρτύρων δημοσίου συμφέροντος 152

ii. Νομική προστασία μαρτύρων δημοσίου συμφέροντος 153

iii. Ενσωμάτωση Οδηγίας 2019/1937 154

iv. Υπόχρεοι συμμόρφωσης 154

8. Παραδείγματα παραβιάσεων ασφάλειας, διαθεσιμότητας και ιδιωτικότητας 155

Κεφάλαιο 4

ΤΟ ΘΕΣΜΙΚΟ ΠΛΑΙΣΙΟ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΚΑΙ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ

Α. ΔΙΕΘΝΕΙΣ ΣΥΜΒΑΣΕΙΣ ΚΑΙ ΕΥΡΩΠΑΪΚΕΣ ΣΥΝΘΗΚΕΣ 158

1. Αναθεωρημένη Διεθνής Σύμβαση 108+ Συμβουλίου της Ευρώπης 158

2. Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου 159

3. Συνθήκη Λειτουργίας Ευρωπαϊκής Ένωσης 160

4. Χάρτης Θεμελιωδών Δικαιωμάτων Ευρωπαϊκής ΄Ένωσης 160

Β. ΕΥΡΩΠΑΪΚΟΙ ΚΑΝΟΝΙΣΜΟΙ 161

1. Κανονισμός 2018/1725 για την προστασία δεδομένων
από τα θεσμικά όργανα της ΕΕ 162

2. Κανονισμός 2018/1807 για την ελεύθερη ροή
μη προσωπικών δεδομένων 163

3. Πράξη για τις ψηφιακές υπηρεσίες – Πράξη για την ψηφιακή αγορά 166

4. Σχέδιο Κανονισμού προστασίας ιδιωτικής ζωής στις ηλεκτρονικές
επικοινωνίες 168

i. Σχέση GDPR με κανονισμό ePrivacy 168

ii. Κατοχύρωση του soft opt-in ως υποκατάστατου της συγκατάθεσης 170

iii. Εξέλιξη νομοθετικής διαδικασίας 171

XXVII

iv. Εφαρμογή σε υπηρεσίες ηλεκτρονικών επικοινωνιών 171

v. Εμπιστευτικότητα επικοινωνιών - Προστασία τερματικού εξοπλισμού χρηστών 172

vi. Χρήση cookies με συναίνεση χρήστη 172

vii. Αυτόκλητη εμπορική επικοινωνία 173

5. Πρόταση Κανονισμού για τις απαιτήσεις κυβερνοασφάλειας 175

6. Σχέδιο Κανονισμού για εναρμονισμένους κανόνες δίκαιης πρόσβασης
και χρήσης δεδομένων 175

Γ. ΕΥΡΩΠΑΪΚΕΣ ΟΔΗΓΙΕΣ 177

1. Οδηγία 2006/24/ΕΚ για τη διατήρηση δεδομένων 178

2. Οδηγία 2016/680 για την επιβολή του νόμου 181

3. Οδηγία (EE) 2016/681 για τις υποχρεώσεις των αερομεταφορέων 183

4. Οδηγία 2022/2555 για την ασφάλεια δικτύων και πληροφοριών (NIS II) 184

i. Διαφορές μεταξύ Οδηγιών Κυβερνοασφάλειας 185

ii. Διαφορές μεταξύ Οδηγιών Κυβερνοασφάλειας και Γενικού Κανονισμού 186

iii. Υποχρεώσεις αναφοράς συμβάντων 187

iv. Νομοθεσία για αναδυόμενες τεχνολογίες 188

v. Συγκεντρωτικός πίνακας νομοθετημάτων ασφάλειας και ιδιωτικότητας 190

Κεφάλαιο 5

ΤΗΡΗΣΗ ΑΡΧΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ
ΚΑΙ ΣΕΒΑΣΜΟΣ ΔΙΚΑΙΩΜΑΤΩΝ ΥΠΟΚΕΙΜΕΝΟΥ

Α. Η ΕΛΕΥΘΕΡΗ ΚΥΚΛΟΦΟΡΙΑ ΔΕΔΟΜΕΝΩΝ ΩΣ ΑΝΑΠΤΥΞΙΑΚΗ ΣΤΡΑΤΗΓΙΚΗ 191

1. Κατάργηση προληπτικού ελέγχου 191

2. Αυτοπιστοποίηση υποχρέων συμμόρφωσης 192

3. Συνοπτική αξιολόγηση περιεχομένου άρθρων 193

Β. ΡΥΘΜΙΣΕΙΣ ΜΕ ΠΡΑΚΤΙΚΟ ΕΝΔΙΑΦΕΡΟΝ ΓΙΑ ΤΟ ΧΡΗΣΤΗ 200

1. Κοινή ευθύνη υπευθύνου και εκτελούντος επεξεργασία 200

2. Νόθος αντικειμενική ευθύνη και απαλλαγή ανυπαίτιου μέρους 201

Γ. ΤΗΡΗΣΗ ΑΡΧΩΝ ΣΥΝΝΟΜΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 202

1. Αρχή νομιμότητας, αντικειμενικότητας και διαφάνειας 203

2. Αρχή σκοπού 204

3. Αρχή ελαχιστοποίησης δεδομένων 205

4. Αρχή ακρίβειας 206

5. Αρχή περιορισμού περιόδου αποθήκευσης 206

6. Αρχή ακεραιότητας και εμπιστευτικότητας 207

7. Αρχή αναλογικότητας 207

8. Αρχή λογοδοσίας 208

XXVIII

Δ. ΣΕΒΑΣΜΟΣ ΔΙΚΑΙΩΜΑΤΩΝ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ 209

1. Δικαίωμα ενημέρωσης 209

2. Δικαίωμα πρόσβασης 209

3. Δικαίωμα διόρθωσης 210

4. Δικαίωμα διαγραφής («δικαίωμα στη λήθη») 210

i. Διαγραφή αποτελεσμάτων από μηχανές αναζήτησης 211

ii. Γεωγραφική έκταση δικαιώματος στη διαγραφή 211

5. Δικαίωμα περιορισμού της επεξεργασίας 213

6. Δικαίωμα φορητότητας δεδομένων 213

7. Δικαίωμα εναντίωσης 215

8. Δικαίωμα μη αυτοματοποιημένης λήψης αποφάσεων 215

i. Δικαίωμα υποκειμένου στην παροχή ατομικών εξηγήσεων; 216

ii. Εκτελεστή νομική υποχρέωση επεξεργαστή δεδομένων ; 217

iii. Η αυθεντία του αλγόριθμου 218

Ε. ΔΙΑΣΥΝΟΡΙΑΚΕΣ ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ 219

1. Αποφάσεις Επάρκειας 220

2. Κατάλληλες εγγυήσεις 221

i. Δεσμευτικοί εταιρικοί κανόνες 221

ii. Τυποποιημένες συμβατικές ρήτρες 222

iii. Εγκεκριμένοι κώδικες δεοντολογίας 223

iv. Διαβίβαση βάσει παρεκκλίσεων για ειδικές καταστάσεις 223

v. Διαβιβάσεις δεδομένων βάσει πιστοποίησης 224

vi. Πρακτικά παραδείγματα 224

3. Διαβιβάσεις δεδομένων μεταξύ ΕΕ και Ηνωμένου Βασιλείου 225

i. Αναγνώριση επάρκειας UK GDPR 226

ii. Προτεινόμενες αλλαγές UK GDPR 227

4. Διαβιβάσεις προσωπικών δεδομένων μεταξύ ΕΕ-ΗΠΑ 228

i. Η υπόθεση Schrems I : ακύρωση νομοθεσίας περί «Ασφαλούς Λιμένα» 228

ii. Η υπόθεση Schrems II : ακύρωση νομοθεσίας περί «Ασπίδας Ιδιωτικότητας» 229

iii. Η απόφαση της Ιρλανδικής Αρχής κατά της Meta Ireland 230

5. Διατλαντικό Πλαίσιο Ιδιωτικότητας 231

i. Απόφαση Επάρκειας της 13ης Ιουλίου 2023 (EU-U.S Data Privacy Framework) 232

ii. Αξιολόγηση επιπτώσεων νέου πλαισίου διαβιβάσεων 233

iii. Δεδομένα εθνικής ασφάλειας – US Cloud Act 234

iv. Οι επιπτώσεις της Συμφωνίας στις ποινικές υποθέσεις 235

6. Νέα πλαίσια απορρήτου και κοινής χρήσης δεδομένων 237

7. Εκτιμήσεις Αντικτύπου Διεθνών Διαβιβάσεων 237

XXIX

Κεφάλαιο 6

ΟΡΟΙ ΥΠΑΓΩΓΗΣ ΥΠΕΥΘΥΝΩΝ ΚΑΙ ΕΚΤΕΛΟΥΝΤΩΝ ΣΤΟΝ ΓΚΠΔ

Α. ΕΙΔΟΣ ΚΑΙ ΣΚΟΠΟΣ ΕΠΕΞΕΡΓΑΣΙΑΣ 239

1. Επεξεργασία για επαγγελματικές δραστηριότητες 239

2. Επεξεργασία για προσωπικές ή οικιακές δραστηριότητες 240

Β. ΟΡΓΑΝΩΜΕΝΟ ΣΥΣΤΗΜΑ ΑΡΧΕΙΟΘΕΤΗΣΗΣ 241

1. Έννοια αρχείου 242

2. Αθέμιτη πρόσβαση σε αρχείο 243

3. Αρχειοθέτηση για επιστημονικούς, ερευνητικούς
και στατιστικούς σκοπούς 247

4. Δικαίωμα πρόσβασης του κοινού σε αρχεία 248

Γ. ΕΓΚΑΤΑΣΤΑΣΗ ΣΤΗΝ ΕΕ Ή ΣΤΟΧΕΥΣΗ ΕΥΡΩΠΑΙΩΝ ΠΟΛΙΤΩΝ 249

1. Κριτήριο Εγκατάστασης στην ΕΕ 249

i. Έννοια εγκατάστασης στην ΕΕ 249

ii. Ορισμός εκπροσώπου στην Ένωση 250

iii. Η Ευρωπαϊκή νομολογία περί εγκατάστασης 250

2. Κριτήριο στόχευσης Ευρωπαίων πολιτών 251

i. Έννοια στόχευσης 251

ii. Η Ευρωπαϊκή νομολογία περί στόχευσης 252

iii. Οι εμπορικές επιπτώσεις του ΓΚΠΔ 252

iv. Διάγραμμα εφαρμογής ΓΚΠΔ σε οργανισμούς και εταιρίες 253

Δ. Ο ΡΟΛΟΣ ΤΩΝ ΕΠΟΠΤΙΚΩΝ ΑΡΧΩΝ: ΕΞΟΥΣΙΕΣ, ΚΥΡΩΣΕΙΣ ΚΑΙ ΠΡΟΣΤΙΜΑ 254

1. Ελεγκτικές και διορθωτικές εξουσίες 255

2. Διαχείριση καταγγελιών 255

3. Χρηματοδότηση Εποπτικών Αρχών 256

4. Διοικητικά πρόστιμα 259

i. Κλίμακες διοικητικών προστίμων 259

ii. Μοντέλα υπολογισμού διοικητικών προστίμων 261

iii. Αυξητική τάση διοικητικών προστίμων 263

α. Κυρώσεις κατά μεγάλων τεχνολογικών εταιριών 264

β. Κυρώσεις κατά λοιπών παραβατών 265

iv. Κατανομή προστίμων ανά κλάδο 267

v. Κυρώσεις και πρόστιμα στην Ελλάδα 268

5. Αστική και ποινική ευθύνη παραβατών 270

6. Ερωτήσεις κατανόησης και πρακτικά θέματα 271

XXX

Κεφάλαιο 7

Η ΕΥΡΩΠΑΪΚΗ ΕΜΠΕΙΡΙΑ ΕΝΣΩΜΑΤΩΣΗΣ ΤΟΥ ΓΚΠΔ

Α. ΕΙΣΑΓΩΓΗ ΡΗΤΡΩΝ ΕΥΕΛΙΞΙΑΣ ΓΚΠΔ 274

1. Ειδικές επεξεργασίες δεδομένων 274

2. Ψηφιακή ενηλικίωση παιδιών 275

3. Δεδομένα ειδικών κατηγοριών 275

4. Εξαιρέσεις και περιορισμοί δικαιωμάτων 275

5. Όρια προστίμων κατά δημόσιων αρχών 276

Β. ΟΙ ΑΠΟΚΛΙΣΕΙΣ ΜΕΤΑΞΥ ΕΥΡΩΠΑΪΚΩΝ ΝΟΜΩΝ 276

1. Ευνοϊκή μεταχείριση δημόσιου τομέα 278

2. Προστασία μικρομεσαίων επιχειρήσεων και μη κερδοσκοπικών φορέων 278

3. Προσωπικά δεδομένα εργαζομένων 279

4. Περιορισμοί δικαιωμάτων υποκειμένων 280

5. Νόμιμη ηλικία συναίνεσης ανηλίκων 281

6. Όροι διορισμού Υπευθύνου Προστασίας Δεδομένων 281

7. Marketing και εμπορική επικοινωνία 282

8. Προστασία προσωπικών δεδομένων θανόντων 284

9. Ελευθερία έκφρασης, ακαδημαϊκοί και καλλιτεχνικοί σκοποί 287

Μέρος Δεύτερο

Η ΚΑΝΟΝΙΣΤΙΚΗ ΣΥΜΜΟΡΦΩΣΗ ΣΤΟ ΕΡΓΑΣΙΑΚΟ
ΚΑΙ ΕΠΙΧΕΙΡΗΣΙΑΚΟ ΠΕΡΙΒΑΛΛΟΝ

Κεφάλαιο 8

ΕΘΝΙΚΑ ΜΕΤΡΑ ΕΦΑΡΜΟΓΗΣ ΓΚΠΔ - Ν 4624/2019

Α. ΓΕΝΙΚΕΣ ΠΑΡΑΤΗΡΗΣΕΙΣ ΕΠΙ ΤΟΥ ΝΟΜΟΥ 294

1. Ο τροποποιητικός νόμος 5002/2022 295

i. Πίνακας τροποποιήσεων Ν 4624/2019 297

ii. Δομή και θεματικά περιεχόμενα κεφαλαίων 301

2. Νομοτεχνικές αδυναμίες 305

i. Δομική ασυνέχεια άρθρων 306

ii. Διατήρηση προγενεστέρων διατάξεων 306

iii. Aδόκιμη διάκριση μεταξύ δημοσίων και ιδιωτικών φορέων 308

iv. Λανθασμένη θέσπιση νέων εθνικών νομικών βάσεων επεξεργασίας 308

v. Έλλειψη συμβατότητας με το Γενικό Κανονισμό 309

vi. Έλλειψη ελέγχου πράξεων επεξεργασίας δικαστικών αρχών 310

XXXI

vii. Πλημμελής εναρμόνιση με τη νομοθεσία περί τύπου 311

viii. Έλλειψη οργάνου ελέγχου διαβαθμισμένων δεδομένων εθνικής
ασφάλειας 312

ix. Απουσία ενός συνεκτικού πλαισίου κυρώσεων 312

x. Ανάγκη ενοποίησης των Εποπτικών Αρχών 313

Β. ΕΙΔΙΚΕΣ ΠΑΡΑΤΗΡΗΣΕΙΣ ΕΠΙ ΑΡΘΡΩΝ 315

1. Ουσιαστικό πεδίο εφαρμογής σε δημόσιους και ιδιωτικούς φορείς 315

i. Οριοθέτηση δημοσίου τομέα 316

ii. Ανάγκη αποφυγής διακριτικής μεταχείρισης 317

iii. Δευτερογενείς επεξεργασίες δεδομένων πέραν του αρχικού
σκοπού συλλογής 318

α. Δευτερογενείς επεξεργασίες εκ μέρους δημοσίων φορέων 319

β. Δευτερογενείς επεξεργασίες εκ μέρους ιδιωτικών φορέων 320

2. Εδαφικό πεδίο εφαρμογής 321

3. Ορισμός ΥΠΔ σε δημόσιους φορείς 322

i. Yποχρεωτικός διορισμός 323

ii. Διασφάλιση ανεξαρτησίας 323

Γ. ΝΟΜΙΜΟΤΗΤΑ ΕΠΕΞΕΡΓΑΣΙΑΣ 324

1. Επεξεργασία βάσει δημοσίου συμφέροντος 325

i. Νομικές βάσεις επεξεργασίας 325

ii. Τεκμηρίωση ύπαρξης δημοσίου συμφέροντος 326

α. Ανταλλαγή πληροφοριών μεταξύ δημόσιων αρχών 327

β. Τεκμηρίωση νομιμότητας κάθε επιμέρους επεξεργασίας 328

2. Επεξεργασία δεδομένων εργαζομένων 330

i. Γενικές αρχές συλλογής και επεξεργασίας 332

ii. Συγκατάθεση στη σχέση απασχόλησης 333

iii. Έλεγχος και ηλεκτρονική επιτήρηση εργαζομένων 335

α. Καταγραφή τηλεφωνικών κλήσεων και ηλεκτρονικών μηνυμάτων 335

β. Χρήση συστημάτων βιντεοεπιτήρησης 336

γ. Ορισμός συστημάτων βιντεοεπιτήρησης 338

δ. Εγκατάσταση καμερών σε δημόσιο χώρο 339

ε. Εγκατάσταση καμερών σε ιδιωτικό χώρο 340

στ. Εγκατάσταση καμερών σε χώρους εργασίας 342

ζ. Διαχείριση στόλου οχημάτων 343

η. Η θέση της ΑΠΔΠΧ και των δικαστηρίων 344

iv. Η νομιμότητα της επεξεργασίας βιντεοληπτικού υλικού 347

α. Ενημέρωση των υποκειμένων 347

β. Επιλογή κατάλληλης νομικής βάσης επεξεργασίας 347

γ. Εκτίμηση αντικτύπου χρήσης καμερών 349

δ. Απαγόρευση χρήσης βιντεοεπιτήρησης προς αξιολόγηση εργαζομένων 350

ε. Χρήση καμερών οχημάτων για καταγραφή τροχαίων ατυχημάτων 351

στ. Χρόνος διατήρησης δεδομένων εικόνας και ήχου 352

ζ. Χρήση κοινωνικών δικτύων ως εργαλείων παρακολούθησης 354

XXXII

v. Yγειονομική κρίση και τηλεργασία 354

α. Όροι εφαρμογής ΓΚΠΔ στο πλαίσιο της τηλεργασίας 356

β. Υποχρεώσεις εργοδότη και εργαζομένου 357

γ. Επαρκής ενημέρωση τηλεαπασχολούμενων 358

δ. Ασφαλής χρήση προσωπικών συσκευών 359

ε. Καταγραφή τηλεδιάσκεψης με τρίτα πρόσωπα 360

3. Χρήση τεχνητής νοημοσύνης στη διαδικασία πρόσληψης 361

i. Εισαγωγή ΤΝ σε προσλήψεις στο ελληνικό Δημόσιο 361

ii. Υποχρεώσεις εργοδότη σε δημόσιο και ιδιωτικό τομέα 362

4. Ταυτοποίηση υποκειμένων από απόσταση 363

i. Διαδικασία ταυτοποίησης 363

ii. Ισχυρή βιομετρική ταυτοποίηση πελάτη 364

iii. Νομιμότητα επεξεργασίας βιομετρικών δεδομένων 365

iv. Σχέση 2ης Οδηγίας Πληρωμών με ΓΚΠΔ 366

v. Επεξεργασία δεδομένων «σιωπηλά μετεχόντων» σε υπηρεσίες πληρωμών 368

vi. Βιομετρική εμφύτευση μικροτσίπ σε εργαζομένους 368

α. Οι υπέρμαχοι της εμφύτευσης μικροτσίπ σε ανθρώπους 369

β. Οι πολέμιοι της εμφύτευσης μικροτσίπ σε ανθρώπους 371

5. Γονικός έλεγχος πρόσβασης παιδιών σε ψηφιακές υπηρεσίες 372

i. Έννοια υπηρεσιών Κοινωνίας της Πληροφορίας 372

ii. Διασυνδεδεμένα παιχνίδια 373

iii. Εγκυρότητα λήψης συγκατάθεσης από παιδιά 375

iv. Παροχή υπηρεσιών σε παιδικό κοινό ή και σε ενηλίκους 377

v. Τεχνικές ελέγχου και λήψης γονικής συγκατάθεσης 379

Δ. ΕΞΑΙΡΕΣΕΙΣ ΚΑΙ ΠΕΡΙΟΡΙΣΜΟΙ ΔΙΚΑΙΩΜΑΤΩΝ 380

1. Εθνική ασφάλεια και δίωξη ποινικών αδικημάτων 381

i. Εθνική ασφάλεια και προστασία ιδιωτικής και οικογενειακής ζωής 382

ii. Ειδικοί όροι επεξεργασίας δεδομένων εθνικής ασφάλειας 383

iii. Έλεγχος εκτελούντων επεξεργασία για κρατικές υπηρεσίες 384

2. Επεξεργασία υγειονομικών, κοινωνικοασφαλιστικών
και γενετικών δεδομένων 385

3. Επεξεργασία στατιστικών δεδομένων 386

4. Ελευθερία έκφρασης και ΜΜΕ 387

i. Η εφαρμογή του ΓΚΠΔ στα μέσα μαζικής επικοινωνίας 387

ii. H δημοσιογραφία υπό το πρίσμα του GDPR 388

iii. Η νομολογία της ΑΠΔΠΧ και των δικαστηρίων 389

5. Μη ζητηθείσα πολιτική επικοινωνία 392

Ε. ΕΛΕΓΧΟΣ ΕΦΑΡΜΟΓΗΣ, ΠΡΟΣΤΙΜΑ ΚΑΙ ΚΥΡΩΣΕΙΣ 393

1. Διοικητικά πρόστιμα κατά του Δημοσίου 393

i. Nομοθετικός περιορισμός ύψους προστίμων 394

ii. Ακυρωτικός έλεγχος ΑΠΔΠΧ από το ΣτΕ 395

XXXIII

2. Αστική ευθύνη υπευθύνου επεξεργασίας 396

i. Αποζημίωση υποκειμένου 396

ii. Εκπροσώπηση του υποκειμένου από τρίτο φορέα 397

3. Ποινική ευθύνη παραβατών 399

i. Η νομολογία των ποινικών δικαστηρίων 400

ii. Ηπιότερη ποινική μεταχείριση εγκλημάτων κατά της ιδιωτικότητας 402

Κεφάλαιο 9

ΠΡΟΣΤΑΣΙΑ ΥΠΟΚΕΙΜΕΝΩΝ ΚΑΤΑ ΤΗΝ ΠΟΙΝΙΚΗ ΔΙΑΔΙΚΑΣΙΑ
(ΟΔΗΓΙΑ 680/2016)

Α. Η ΕΥΡΩΠΑΪΚΗ ΠΡΟΣΕΓΓΙΣΗ 403

1. Ομοιότητες και διαφορές μεταξύ Αστυνομικής Οδηγίας
και Γενικού Κανονισμού 404

i. Ταύτιση βασικών αρχών νόμιμης επεξεργασίας 405

ii. Αποκλίσεις της Οδηγίας από τις αρχές νόμιμης επεξεργασίας 406

2. Πεδίο εφαρμογής της Οδηγίας επιβολής του νόμου 407

i. Γεωγραφικό πεδίο εφαρμογής 407

ii. Ουσιαστικό πεδίο εφαρμογής 408

3. Καθυστέρηση ενσωμάτωσης και εθνικές αποκλίσεις 410

i. Έννοια ποινικού αδικήματος 411

ii. Έννοια δημόσιας αρχής 412

iii. Δημόσια ασφάλεια και εθνική ασφάλεια 412

iv. Κατηγοριοποίηση παραβάσεων 413

4. Παράλληλη εφαρμογή Κανονισμού και Οδηγίας 415

i. Ειδικοί κανόνες επεξεργασίας Οδηγίας 415

ii. Μελέτη περίπτωσης 416

iii. Νομική προστασία καταγγέλλοντος και καταγγελλομένου 417

5. Διεθνείς διαβιβάσεις ποινικών δεδομένων 418

i. Διαβιβάσεις προς τρίτες χώρες ή διεθνείς οργανισμούς 418

ii. Διαβιβάσεις μεταξύ Ευρώπης και ΗΠΑ 418

iii. Διαβιβάσεις μεταξύ Ηνωμένου Βασιλείου και ΗΠΑ 420

Β. Η ΕΝΣΩΜΑΤΩΣΗ ΤΗΣ ΟΔΗΓΙΑΣ 2016/680 ΣΤΟ ΕΛΛΗΝΙΚΟ ΔΙΚΑΙΟ 422

1. Οριοθέτηση ελληνικών «αρμόδιων αρχών» 422

i. Τήρηση αρχών επεξεργασίας της Οδηγίας 423

ii. Δημοσιοποίηση στοιχείων ταυτότητας κατηγορουμένου 425

iii. Περιεχόμενο εισαγγελικής διάταξης 426

iv. Προσφυγή κατηγορουμένου ή καταδίκου κατά εισαγγελικής διάταξης 427

2.Τρόπος άσκησης δικαιωμάτων υποκειμένου 428

i. Άμεση άσκηση δικαιωμάτων έναντι του υπευθύνου επεξεργασίας 428

ii. Έμμεση άσκηση δικαιωμάτων μέσω της Εποπτικής Αρχής 429

XXXIV

iii. Διασυνοριακή άσκηση δικαιωμάτων 430

iv. Εξαίρεση άσκησης δικαιωμάτων επί εθνικής ασφάλειας 431

3. Θεσμικός έλεγχος όρων επεξεργασίας εκ μέρους διωκτικών αρχών 432

i. Νομιμότητα διαβίβασης σε αλλοδαπές μυστικές υπηρεσίες 432

ii. Νομιμότητα επεξεργασίας ποινικών και εγκληματολογικών δεδομένων 433

4. Συγκατάθεση υποκειμένου στην ποινική διαδικασία 434

i. Συμμόρφωση προς νομική υποχρέωση 435

ii. Υποχρεωτική λήψη γενετικού υλικού 436

iii. Όροι νόμιμης χρήσης βιομετρικών δεδομένων στην ποινική διαδικασία 438

iv. Hλεκτρονική επιτήρηση κατ’ οίκον κρατουμένων 439

v. Η ανάκληση της συγκατάθεσης στην ποινική διαδικασία 441

Γ. ΕΙΔΙΚΕΣ ΥΠΟΧΡΕΩΣΕΙΣ ΔΙΩΚΤΙΚΩΝ ΑΡΧΩΝ 442

1. Aσφάλεια επεξεργασίας και καταγραφή εισόδου σε συστήματα 443

2. Aπαγόρευση αποκλειστικής χρήσης αυτοματοποιημένων εργαλείων 445

i. Ασφαλιστικές δικλείδες υπέρ του υποκειμένου 446

ii. Απαγόρευση κατάρτισης εγκληματολογικού προφίλ 446

iii. Απαγόρευση κατάρτισης εθνοτικού προφίλ 447

3. Υποχρέωση αντικειμενικής κατηγοριοποίησης των υποκειμένων 448

4. Απευθείας διαβιβάσεις σε αποδέκτες τρίτων χωρών 449

5. Αποζημίωση θιγομένων, κυρώσεις και πρόστιμα κατά διωκτικών αρχών 450

Κεφάλαιο 10

ΠΡΑΚΤΙΚΑ ΘΕΜΑΤΑ ΕΦΑΡΜΟΓΗΣ ΝΟΜΟΥ 4624/2019

1. Δημόσιος τομέας, φορολογικές αρχές, ηλεκτρονική διακυβέρνηση 452

2. Τοπική αυτοδιοίκηση, πολεοδομίες, ληξιαρχεία, δημοτικά κοιμητήρια 454

3. Διωκτικές αρχές, λιμενικό σώμα, τελωνεία, δίωξη ηλεκτρονικού
εγκλήματος 456

4. Τράπεζες, Πιστωτικά ιδρύματα, Φορείς Ηλεκτρονικών πληρωμών 459

5. Διαφήμιση, marketing, εμπορική και πολιτική επικοινωνία 461

6. Ατομικές επιχειρήσεις, Φορολογικά μητρώα 465

7. Ναυτιλιακές εταιρίες 466

8. Ηλεκτρονικά καταστήματα, προγράμματα επιβράβευσης πελατών 467

9. Υγεία, κλινικές δοκιμές φαρμάκων, ιατρικώς υποβοηθούμενη αναπαραγωγή 468

10. Εκπαίδευση 478

11. Δικηγόροι και δικηγορικές εταιρίες 479

12. Δικαστήρια και Εισαγγελίες 482

13. Κοινωνικά δίκτυα, μηχανές αναζήτησης, ιδιωτικά ιστολόγια 486

XXXV

14. Προστασία προσωπικών δεδομένων σε δίκτυα κατανεμημένων κόμβων
(blockchain) 491

15. Μηχανισμός μιας στάσης σε διασυνοριακές επεξεργασίες 492

Κεφάλαιο 11

ΤΕΧΝΟΛΟΓΙΚΟΙ ΚΙΝΔΥΝΟΙ ΚΑΙ ΠΡΟΚΛΗΣΕΙΣ

Α. ΚΡΑΤΙΚΗ ΚΑΙ ΙΔΙΩΤΙΚΗ ΠΑΡΑΚΟΛΟΥΘΗΣΗ 495

1. Επιτήρηση και τιμωρία: Ο ψηφιακός Μεγάλος Αδελφός 496

i. Σύστημα κοινωνικού ελέγχου στην Κίνα 497

ii. Βιομετρικό προφίλ των Ινδών πολιτών 498

iii. Παρακολούθηση πελατών αμερικανικών ταχυδρομείων 499

iv. Συμπράξεις δημόσιου και ιδιωτικού τομέα για κοινές παρακολουθήσεις 500

2. Αυθεντικοποίηση μέσω βιομετρικών χαρακτηριστικών 501

3. Είδη βιομετρικών συστημάτων 501

i. Αναγνώριση βάσει φυσιολογίας 502

ii. Αναγνώριση βάσει ψυχολογίας 503

iii. Συστήματα αναγνώρισης προσώπου 504

iv. Μια χρυσοφόρα διεθνής αγορά 505

4. Οι κίνδυνοι της προληπτικής αστυνόμευσης για τις ατομικές ελευθερίες 506

i. Απειλές και καταχρήσεις 508

ii. Η νομολογία του ΕΔΔΑ περί κρατικών παρακολουθήσεων 510

iii. Οι παρακολουθήσεις υπό το πρίσμα της ΕΣΔΑ 511

Β. ΤΕΧΝΟΛΟΓΙΕΣ ΤΑΥΤΟΠΟΙΗΣΗΣ ΧΡΗΣΤΩΝ 513

1. Bιομετρική ταυτοποίηση 513

2. Ταυτοποίηση μέσω ραδιοσυχνοτήτων 517

3. Ταυτοποίηση μέσω ηλεκτρονικών συσκευών 519

4. Ταυτοποίηση μέσω εξοπλισμού τηλεπικοινωνιών 521

5. Εκτίμηση επιπτώσεων ταυτοποίησης 522

Γ. ΕΓΚΛΗΜΑΤΙΚΟΤΗΤΑ ΣΤΟΝ ΚΥΒΕΡΝΟΧΩΡΟ 524

1. Κυβερνοεπιθέσεις και κυβερνοεγκλήματα 525

2. Ποινική δίωξη κυβερνοεγκλημάτων 529

Δ. ΟΙ ΤΕΧΝΟΛΟΓΙΚΕΣ ΠΡΟΚΛΗΣΕΙΣ 531

1. Υπολογιστικό νέφος (cloud computing) και ιδιωτικότητα 531

i. Πρότυπα χρήσης των νεφοϋπολογιστικών υποδομών 533

ii. Πλεονεκτήματα νεφοϋπολογιστικής τεχνολογίας 534

iii. Μειονεκτήματα νεφοϋπολογιστικής τεχνολογίας 534

iv. Παραβίαση ιδιωτικότητας στο cloud 534

XXXVI

v. Φορητότητα δεδομένων στο cloud 536

vi. Συμφωνίες επιπέδου υπηρεσιών (Cloud SLAs) 536

2. Διαδίκτυο των Πραγμάτων (ΔτΠ) 537

3. Μη επανδρωμένα αεροσκάφη (drones) 540

4. Τεχνολογία αλυσίδας κόμβων (blockchain) 541

i. Πρακτικές εφαρμογές 542

ii. «Έξυπνες συμβάσεις» (smart contracts) 543

iii. Πλεονεκτήματα και μειονεκτήματα blockchain 544

iv. Blockchain και GDPR 545

5. Τεχνητή νοημοσύνη 548

i. Σύγκρουση τεχνητής νοημοσύνης και ΓΚΠΔ 548

α. Αναστροφή ανωνυμοποίησης 550

β. Αδυναμία λήψης συγκατάθεσης υποκειμένου 550

γ. Αδυναμία επεξηγησιμότητας και λογοδοσίας 551

δ. Εγκληματική προσβολή ασφάλειας δεδομένων 552

ii. Πρόταση Κανονισμού Τεχνητής Νοημοσύνης 553

iii. Υποχρεώσεις παρόχων εφαρμογών τεχνητής νοημοσύνης 554

iv. Προς μια ηθική και αξιόπιστη χρήση της τεχνητής νοημοσύνης 555

v. Αναμνήσεις από το μέλλον 556

6. Μετασύμπαν 558

i. Ένα τεχνολογικό χωνευτήρι 559

ii. Νέες προοπτικές κερδών 559

iii. Οι μετασυμπαντικές υποδομές 560

iv. Προκλήσεις και απειλές 561

v. Το τέλος της ιδιωτικότητας; 561

vi. Οι ηθικές προκλήσεις 563

Κεφάλαιο 12

ΕΠΙΧΕΙΡΗΜΑΤΙΚΕΣ ΚΑΙ ΠΟΛΙΤΙΚΕΣ ΑΠΕΙΛΕΣ
ΚΑΤΑ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ

Α. Η ΕΜΠΟΡΙΚΗ ΕΚΜΕΤΑΛΛΕΥΣΗ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 566

1. Τα προσωπικά δεδομένα ως νέο νόμισμα 567

2. Ο έλεγχος της διαδικτυακής κάλυψης ως επιχειρηματική στρατηγική 568

3. Η ολιγοπωλιακή πρόσβαση στο διαδίκτυο 569

4. Τα προσωπικά δεδομένα ως αμοιβή για ηλεκτρονικές υπηρεσίες 570

Β. Η ΧΡΗΣΗ COOKIES ΩΣ ΑΝΑΓΝΩΡΙΣΤΙΚΩΝ ΤΟΥ ΧΡΗΣΤΗ 572

1. Είδη cookies και προσωπικά δεδομένα 573

i. Cookies αναδυομένου ιστοτόπου 573

ii. Cookies τρίτων μερών 574

iii. Mόνιμα cookies 574

XXXVII

iv. Cookies συνεδρίας 574

v. Cookies παρακολούθησης κίνησης 574

vi. Supercookies 575

vii. Deep Packet Inspection 575

2. Οι νομικές συνέπειες της χρήσης cookies 576

i. Ρητή συγκατάθεση υποκειμένου 576

ii. Πολιτική cookies 577

3. Νομιμότητα πρακτικών ιχνηλάτησης των χρηστών 578

i. Δημοπρασίες διαφημίσεων σε πραγματικό χρόνο 578

ii. Όροι χρήσης ιχνηλατών cookies 581

iii. H ευρωπαϊκή νομολογία περί cookies 582

iv. Τα cookies ως αντίτιμο πρόσβασης στο περιεχόμενο των εφημερίδων 584

v. Οδηγίες χρήσης cookies 585

α. Οι οδηγίες των ευρωπαϊκών Αρχών 585

β. Οι οδηγίες της Ελληνικής Αρχής 587

γ. Ιχνηλάτες για σκοπούς διαδικτυακής διαφήμισης 588

δ. Τρόπος λήψης της συγκατάθεσης του χρήστη 588

Γ. ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΚΑΙ ΑΝΤΑΓΩΝΙΣΜΟΣ 589

1. Οι μεγάλες ψηφιακές πλατφόρμες στο εδώλιο 590

2. Τα προσωπικά δεδομένα ως βασική διευκόλυνση 594

3. Το φαινόμενο δικτύου (network effect) 594

4. Καταχρηστική εκμετάλλευση δεσπόζουσας θέσης 596

5. Η δράση των Ευρωπαϊκών Αρχών Ανταγωνισμού 597

6. Η στάση των αμερικανικών Ρυθμιστικών Αρχών 598

Δ. Η ΑΝΥΠΑΡΚΤΗ ΟΥΔΕΤΕΡΟΤΗΤΑ ΤΩΝ ΜΗΧΑΝΩΝ ΑΝΑΖΗΤΗΣΗΣ 600

1. Oι υπέρμαχοι της αντικειμενικότητας και της αμεροληψίας 601

2. Oι πολέμιοι της αντικειμενικότητας και της αμεροληψίας 602

Ε. Η ΧΕΙΡΑΓΩΓΗΣΗ ΤΟΥ ΚΑΤΑΝΑΛΩΤΗ ΣΤΟ ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ 603

1. Θεμιτές και αθέμιτες εμπορικές πρακτικές 604

2. Υποχρεώσεις των ρυθμιστών πρόσβασης 606

3. Νέα Συμφωνία για τους Καταναλωτές 607

ΣΤ. Η ΠΟΛΙΤΙΚΗ ΕΚΜΕΤΑΛΛΕΥΣΗ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 608

1. Η υπερσυγκέντρωση πληροφοριών ως νέα μορφή εξουσίας 608

2. H δυνατότητα επηρεασμού του εκλογικού αποτελέσματος 610

3. Προς νέα ψηφιακά μονοπώλια ; 611

XXXVIII

Κεφάλαιο 13

ΠΙΣΤΟΠΟΙΗΣΗ ΣΥΜΜΟΡΦΩΣΗΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΠΑΡΑΒΙΑΣΕΩΝ

Α. ΕΘΕΛΟΝΤΙΚΗ ΠΙΣΤΟΠΟΙΗΣΗ, ΣΦΡΑΓΙΔΕΣ ΚΑΙ ΣΗΜΑΤΑ ΙΔΙΩΤΙΚΟΤΗΤΑΣ 614

1. Έννοια τεχνικών προτύπων 614

2. Διαπίστευση και Πιστοποίηση 615

3. Συμμόρφωση με πρότυπα ασφάλειας και προστασίας δεδομένων 616

4. Ρόλος εθελοντικής πιστοποίησης 616

5. Ρόλος κωδίκων δεοντολογίας 616

6. Νομική ευθύνη πιστοποιημένου φορέα 618

Β. ΑΝΤΙΚΕΙΜΕΝΑ ΠΙΣΤΟΠΟΙΗΣΗΣ 618

1. Μηχανισμός και διαδικασία διαπίστευσης και πιστοποίησης 619

2. Κριτήρια πιστοποίησης 620

3. Συνολικό Σχήμα Εποπτείας, Διαπίστευσης και Πιστοποίησης
κατά ΓΚΠΔ 620

Γ. ΠΡΟΤΥΠΑ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ ΚΑΙ ΠΡΟΣΤΑΣΙΑ
ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 623

1. Σχέση τεχνικών προτύπων και Κανονισμού 2016/679 623

i. Σχέση προτύπου ISO 27001 και GDPR 623

ii. Tο νέο πρότυπο ISO/IEC 27701:2019 624

iii. Ομάδες προτύπων διαχείρισης Ιδιωτικότητας και Ασφάλειας 625

Δ. ΑΝΙΧΝΕΥΣΗ ΕΠΙΘΕΣΕΩΝ ΚΑΙ ΠΑΡΕΜΠΟΔΙΣΗ ΕΙΣΒΟΛΩΝ 625

1. Συστήματα ανίχνευσης εισβολών 626

i. Εργαλεία Δικτυακής Ασφάλειας 627

ii. Πρόληψη απώλειας δεδομένων 627

2. Παρακολούθηση και έλεγχος ροής πληροφοριών 628

3. Μέτρα έγκαιρης ανίχνευσης κυβερνοεπιθέσεων 628

i. Έλεγχος ιστοσελίδας σε μόνιμη βάση 628

ii. Τακτική παρακολούθηση συναγερμών χρήσης 628

iii. Χρήση λογισμικού ανίχνευσης εισβολών 629

iv. Χρήση της τεχνικής του «βάζου με το μέλι» 629

v. Διδάγματα από το παρελθόν για να πρόβλεψη μελλοντικής επίθεσης 629

vi. Εκπαίδευση προσωπικού 629

4. Πιθανές πηγές διαρροής δεδομένων και τρόποι αποτροπής 629

i. Εντοπισμός διαρροών σε επίπεδο συστημάτων και εφαρμογών 629

ii. Ανταπόκριση σε διαρροές δεδομένων 630

5. Aπλά βήματα για την αντιμετώπιση διαρροών 630

XXXIX

6. Γνωστοποίηση παραβιάσεων στην Εποπτική Αρχή και στα υποκείμενα 631

i. Συλλογή αποδεικτικών στοιχείων και κατηγοριοποίηση παραβίασης 631

α. Τύπος του συμβάντος 631

β. Συνέπειες του συμβάντος 631

γ. Ποιοτικές μεταβλητές του κινδύνου 632

ii. Λήψη διορθωτικών μέτρων περιορισμού του αντικτύπου 632

α. Ενημέρωση της Διοίκησης του Οργανισμού για την παραβίαση 633

β. Καθορισμός της πιθανότητας και του επιπέδου του κινδύνου 633

iii. Στοιχεία αναφοράς 634

iv. Περιεχόμενο αναφοράς 635

7. Επικοινωνία με τα υποκείμενα των δεδομένων 636

8. Επικοινωνιακή διαχείριση παραβιάσεων 637

Κεφάλαιο 14

Ο DPO ΩΣ ΚΑΤΑΛΥΤΗΣ ΚΑΝΟΝΙΣΤΙΚΗΣ ΣΥΜΜΟΡΦΩΣΗΣ

Α. Ο ΘΕΣΜΟΣ ΤΟΥ ΥΠΕΥΘΥΝΟΥ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ 638

1. Προϋποθέσεις διορισμού 641

2. Κατοχύρωση ανεξαρτησίας και ουδετερότητας 642

i. Αυξημένη νομική προστασία 642

ii. Καταγγελία σύμβασης εργασίας 643

iii. Σύγκρουση συμφερόντων 643

iv. Τήρηση εμπιστευτικότητας 645

3. Συμβουλευτικά καθήκοντα και νομική ευθύνη 645

4. Προσόντα πρόσληψης 646

i. Εσωτερικός ή εξωτερικός DPO; 647

ii. Επαγγελματική ιδιότητα 648

iii. Πίνακας επιθυμητών προσόντων 650

iv. Σχέση με την Εποπτική Αρχή 652

5. Ασυμβίβαστα 653

6. Πιστοποίηση επαγγελματικών προσόντων 654

7. Συμμετοχή στη λήψη αποφάσεων και ένταξη στο οργανόγραμμα 657

Β. Ο ΡΟΛΟΣ ΤΟΥ ΥΠΔ ΣΤΗΝ ΠΡΑΞΗ 659

1. Διορισμός σε ομίλους επιχειρήσεων 659

2. Διορισμός σε συλλογικούς φορείς και ενώσεις 659

3. Διορισμός υπαλλήλων 660

4. Διορισμός δικηγόρων 660

5. Διορισμός υπευθύνων κανονιστικής συμμόρφωσης 662

6. Διορισμός τεχνικών πληροφορικής και υπευθύνου ασφαλείας 663

XL

7. Διορισμός του DPO ως whistleblowing officer 663

8. Εργαλεία του DPO 666

9. Ερωτήσεις πιστοποίησης DPOs 667

Επίλογος 669

Πρόσφατη Βιβλιογραφία (Βιβλία, Άρθρα, Μονογραφίες) 673

Ελληνική 673

Αγγλική 675

Γαλλική 676

Γερμανική 677

ΠΑΡΑΡΤΗΜΑ

ΠΡΟΤΥΠΑ ΚΑΙ ΥΠΟΔΕΙΓΜΑΤΑ

I. Αρχεία - Πίνακες 681

01 Αρχείο Δραστηριοτήτων Επεξεργασίας (Υπεύθυνος) 683

02 Αρχείο Δραστηριοτήτων Επεξεργασίας (Εκτελών) 687

03 Πίνακας Διαχείρισης Ιδιωτικότητας – Λογοδοσίας 690

04 Εκτίμηση έννομου συμφέροντος επεξεργασίας 694

05 Μητρώο Διαγραφής/Καταστροφής Δεδομένων 697

06 Εκτίμηση Αντικτύπου προστασίας δεδομένων (ΕΑΠΔ, DPIA) 698

Έλεγχος συμμόρφωσης 701

Ανάλυση - Διαχείριση Κινδύνων 706

07 Κατηγορίες και χρόνοι διατήρησης δεδομένων 708

Νομοθεσία 712

II. Πολιτικές 715

08 Πολιτική ιδιωτικότητας και προστασίας προσωπικών δεδομένων 717

09 Πολιτική Cookies 724

10 Πολιτική ασφαλείας, σχέδιο ασφαλείας και ανάκαμψης από καταστροφές 727

11 Πολιτική βιντεοεπιτήρησης μέσω καμερών 735

12 Πολιτική χρήσης ηλεκτρονικού ταχυδρομείου 740

13 Πολιτική Διακυβέρνησης Εταιρικών Δεδομένων 744

14 Πολιτική επεξεργασίας προσωπικών δεδομένων επισκεπτών (Wi-f i, CCTV) 748

XLI

III. Συμβάσεις 751

15 Σύμβαση υπευθύνου και εκτελούντος επεξεργασία 753

16 Σύμβαση από κοινού υπευθύνων επεξεργασίας 764

17 Παράρτημα ατομικής σύμβασης εργασίας - Συμμόρφωση προς τον ΓΚΠΔ 771

18 Σύμβαση πρόσληψης εσωτερικού Υπευθύνου Προστασίας Δεδομένων 776

19 Σύμβαση πρόσληψης εξωτερικού Υπευθύνου Προστασίας Δεδομένων 783

IV. Διαχείριση αιτημάτων υποκειμένου 791

20 Αίτηση πρόσβασης στα προσωπικά δεδομένα 793

21 Αίτηση διόρθωσης προσωπικών δεδομένων 795

22 Αίτηση διαγραφής προσωπικών δεδομένων 797

23 Αίτηση φορητότητας προσωπικών δεδομένων 799

24 Αίτηση εναντίωσης στην επεξεργασία προσωπικών δεδομένων 801

25 Αίτηση ανάκλησης συγκατάθεσης για επεξεργασία προσωπικών δεδομένων 803

26 Απάντηση ΥΕ/ΕΕ σε αίτημα υποκειμένου 805

27 Αρχείο διαχείρισης αιτημάτων υποκειμένων 806

V. Παραβιάσεις προσωπικών δεδομένων 807

28 Αρχείο περιστατικών παραβιάσεων προσωπικών δεδομένων 809

29 Ενημέρωση υποκειμένου για περιστατικό παραβίασης δεδομένων 811

VI. Έντυπα ΑΠΔΠΧ / ΑΔΑΕ 815

30 Καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα 817

31 Γνωστοποίηση στην Αρχή περιστατικού παραβίασης δεδομένων 822

32 Αίτημα προηγούμενης διαβούλευσης για ΕΑΠΔ 834

33 Έντυπο Ορισμού Υπευθύνου Προστασίας Δεδομένων (DPO) 840

34 Κοινοποίηση παραβίασης από πάροχο ηλεκτρονικών επικοινωνιών 843

VII. Διεθνείς Διαβιβάσεις Δεδομένων 847

35 Δεσμευτικoί Εταιρικοί Κανόνες (BCRs) (Υπεύθυνος) 849

36 Δεσμευτικoί Εταιρικοί Κανόνες (BCRs) (Εκτελών) 863

37 Νέες Τυποποιημένες Συμβατικές Ρήτρες 875

38 Cloud Computing : Εκτίμηση κινδύνου πρόσβασης αλλοδαπών αρχών
στα δεδομένα 877

39 Εκτίμηση Αντικτύπου Διαβίβασης Δεδομένων - Τυποποιημένες
συμβατικές ρήτρες 880

40 Έντυπο υποβολής διασυνοριακής καταγγελίας 884

XLII

VIII. Κατάλογοι αυτοαξιολόγησης & ελέγχου (Compliance Checklists) 889

41 Έλεγχος συμμόρφωσης μικρομεσαίων επιχειρήσεων 891

42 Έλεγχος Νομιμότητας άμεσης εμπορικής προώθησης 894

43 Έλεγχος Ασφάλειας Προσωπικών Δεδομένων 896

IX. Πανόραμα Αποφάσεων Εποπτικών Αρχών και Νομολογίας 901

44 Θεματικός κατάλογος πρόσφατων αποφάσεων ΑΠΔΠΧ 903

45 Κατάλογος Νομολογίας ΑΠ για προσωπικά δεδομένα 912

46 Προδικαστικές παραπομπές στο ΔΕΕ για ερμηνεία ΓΚΠΔ 917

47 Αυτοματοποιημένη λήψη αποφάσεων – Τεχνητή Νοημοσύνη
Αποφάσεις Ρυθμιστικών Αρχών και Δικαστηρίων 926

X. Λοιπά θέματα 933

48 Προστασία Δεδομένων - Σχήματα πιστοποίησης 935

49 Αλγοριθμική εκτίμηση Αντικτύπου (άρθρου 5 Ν 4961/2022) 937

50 Εκτίμηση Αντικτύπου Ιδιωτικότητας από τη χρήση αλγορίθμου 939

Αλφαβητικό Ευρετήριο 941

Σελ. 1

Εισαγωγή

Πέρασαν ήδη πέντε χρόνια από τις 25 Μαΐου 2018, ημερομηνία κατά την οποία τέθηκε σε ενιαία και καθολική εφαρμογή, στα 28 τότε κράτη-μέλη της Ευρωπαϊκής Ένωσης, ύστερα από διετή περίοδο προσαρμογής, ο Ευρωπαϊκός Γενικός Κανονισμός Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (2016/679) της 27ης Απριλίου 2016. Από τις 6 Ιουλίου 2018, ο Κανονισμός ­ισχύει επίσης σε Ισλανδία, Λιχτενστάιν και Νορβηγία, δηλαδή στις τρεις από τις τέσσερις χώρες (πλην Ελβετίας) της πρώην Ευρωπαϊκής Ζώνης Ελευθέρων Συναλλαγών (Ε.Ζ.Ε.Σ). Τα τρία αυτά κράτη απαρτίζουν, μαζί με τα 27 πλέον κράτη-μέλη της Ευρωπαϊκής Ένωσης, μετά την οριστική αποχώρηση του Ηνωμένου Βασιλείου από την Ευρωπαϊκή Ένωση, το λεγόμενο Brexit, τον Ευρωπαϊκό Οικονομικό Χώρο (EOX), ήτοι τα τριάντα (30) συνολικά κράτη όπου εφαρμόζεται, με ενιαίο και συνεκτικό τρόπο, η αναθεωρημένη ευρωπαϊκή νομοθεσία περί ιδιωτικότητας.

Ενδεικτική της σημασίας του Γενικού Κανονισμού, ευρωπαϊκού νομοθετήματος με παγκόσμια εμβέλεια και των τεράστιων εμπορικών συμφερόντων που διακυβεύονται από την ψήφισή του, είναι η δήλωση του έτους 2012 της τότε αρμόδιας Επιτρόπου Δικαιοσύνης και αντιπροέδρου της Ευρωπαϊκής Επιτρο-

Σελ. 2

πής, κυρίας Viviane Redding, σε αγγλική εφημερίδα ότι η διαδικασία ψήφισης του GDPR συνοδεύθηκε από τη μεγαλύτερη εκστρατεία επηρεασμού (lobbying) στην πολιτική ιστορία του Ευρωπαϊκού Κοινοβουλίου.

Όπως προσφυώς επισημαίνεται, η Ευρωπαϊκή Ένωση, ένεκα μεγέθους αγοράς, έχει καταφέρει να αναγορεύσει τις ευρωπαϊκές ρυθμίσεις σε πλήθος τομέων (ανταγωνισμός, εξαγορές και συγκεντρώσεις, εκπομπές ρύπων, προστασία καταναλωτή, πρότυπα ασφάλειας κ.ο.κ.) σε κανόνες παγκόσμιας εμβέλειας, προς τις οποίες προσαρμόζονται αλλοδαπές κυβερνήσεις και πολυεθνικές εταιρίες με εμπορικές δραστηριότητες στην ευρωπαϊκή αγορά. Χαρακτηριστικό παράδειγμα, ο Κανονισμός GDPR, στις ρυθμίσεις του οποίου έχουν προσαρμοστεί εφεξής περίπου 100 εθνικοί νόμοι περί προστασίας δεδομένων ανά τον κόσμο.

Σύμφωνα με το Ευρωπαϊκό δίκαιο, ένας Κανονισμός αποτελεί δεσμευτικό νομοθέτημα με άμεση και καθολική εφαρμογή στα κράτη-μέλη της ΕΕ. Αυτή είναι η σημαντικότερη διαφορά μεταξύ Κανονισμού και Οδηγίας. Ενώ και οι δυο παράγωγες ενωσιακές πράξεις κατατάσσονται στην ίδια ιεραρχική βαθμίδα και είναι ομοίως δεσμευτικές για τα κράτη-μέλη, η Οδηγία δεσμεύει μόνο ως προς το επιδιωκόμενο αποτέλεσμα, χρήζει δε ενσωμάτωσης στο εθνικό δίκαιο. Στη

Σελ. 3

χώρα μας, η ενσωμάτωση των ευρωπαϊκών Οδηγιών γίνεται, κατά περίπτωση, με νόμο, προεδρικό διάταγμα ή υπουργική απόφαση.

Είναι γεγονός ότι η επιλογή του οχήματος του Κανονισμού για την προστασία δεδομένων προσωπικού χαρακτήρα, συνάντησε ισχυρές δικαιοπολιτικές αντιδράσεις από τα κράτη-μέλη της ΕΕ. Θεωρήθηκε ως εξόχως παρεμβατική ρύθμιση που παρέχει στην Ευρωπαϊκή Επιτροπή ευρύτατη κανονιστική αρμοδιότητα, η οποία αγγίζει τα εσωτερικά συνταγματικά και πολιτικά δικαιώματα των πολιτών στα κράτη-μέλη της Ένωσης. Αν και η νομοθετική αυτή πρωτοβουλία επικρίθηκε ως αντίθετη στην αρχή της επικουρικότητας, η ψήφιση του Kανονισμού υπήρξε συνειδητή πολιτική επιλογή του Ευρωπαίου νομοθέτη. Περιορίζοντας τις εθνικές αποκλίσεις υπό το προγενέστερο καθεστώς προληπτικής εποπτείας, σύμφωνα με την καταργηθείσα Οδηγία 95/46/ΕΚ, μέσω έκδοσης αδειών και δηλώσεων τήρησης μητρώου προς τις Εποπτικές Αρχές, ο νομοθέτης θέλησε να θεσπίσει κοινούς συνεκτικούς κανόνες προστασίας προσωπικών δεδομένων, καθολικής και άμεσης εφαρμογής. Μεταθέτοντας στους ίδιους τους φορείς την απόδειξη συμμόρφωσης, αντί του ισχύοντος μέχρι τότε γραφειοκρατικού διοικητικού ελέγχου, εισάγεται ένα ευέλικτο σύστημα αυτοπιστοποίησης φορέων, που διευκολύνει την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα στην ενιαία ψηφιακή αγορά. Απώτερος στόχος της νομοθετικής αυτής παρέμβασης είναι η ενίσχυση της ευρωπαϊκής ψηφιακής οικονομίας, η αξία της οποίας εκτιμάται σε 544 δις ευρώ ή 5,4% του ευρωπαϊκού ΑΕΠ μέχρι το έτος 2025, η δημιουργία νέων θέσεων εργασίας, η ανάπτυξη ψηφιακών δεξιοτήτων, η αξιοποίηση των ανοικτών δεδομένων του δημόσιου τομέα, καθώς και η γεφύρωση του «ψηφιακού χάσματος» μεταξύ κέντρου και περιφέρειας.

Σελ. 4

Προϊόν ισχυρής πολιτικής βούλησης αλλά και ταυτόχρονα συμβιβασμού, σε ένα εξαιρετικά φλέγον ζήτημα που αγγίζει τον σκληρό πυρήνα ατομικών δικαιωμάτων, όπως η προστασία δεδομένων προσωπικού χαρακτήρα, ο Κανονισμός 2016/679 τυγχάνει, όπως προαναφέρθηκε, άμεσης και καθολικής εφαρμογής. Περιέχει, εντούτοις, 28 άρθρα που εισάγουν τις αποκαλούμενες «ρήτρες ευελιξίας» ή «ρήτρες ανοίγματος». Πρόκειται για ρυθμίσεις που αφήνουν στα κράτη-μέλη την ευχέρεια εξειδίκευσης του νομοθετικού στόχου, μέσω λήψης κατάλληλων νομοθετικών μέτρων, συμβατών με τον ΓΚΠΔ, κατά την ενσωμάτωση των εν λόγω διατάξεων στο εθνικό τους δίκαιο. Ως «Κανονοδηγία» υβριδικού χαρακτήρα, ο GDPR επιτρέπει διαφορετική εθνική αντιμετώπιση ειδικών ζητημάτων, χωρίς αποκλίσεις από το πνεύμα του Κανονισμού, σε περίπου 70 περιπτώσεις, ανάλογα με τη νομική παράδοση, τη συνταγματική τάξη και τις ισχύουσες κοινωνικοπολιτικές αντιλήψεις στα κράτη-μέλη. Συνοπτική μνεία των σχετικών άρθρων και στην ευρωπαϊκή εμπειρία ενσωμάτωσης των οικείων διατάξεων του ΓΚΠΔ θα γίνει κατωτέρω στο κεφάλαιο 7 του εγχειριδίου. Ανάλυση των διατάξεων του εθνικού εφαρμοστικού νόμου 4624/2019, όπως αυτός τροποποιήθηκε με το Ν 5002/2022 (σε 14 άρθρα συνολικά), θα γίνει στα κεφάλαια 8 και 9 του παρόντος.

Παρά την ύπαρξη ρητρών ανοικτών σε εθνική ερμηνεία, είναι ανίσχυρες τυχόν εθνικές ρυθμίσεις που αντιβαίνουν στις διατάξεις του Κανονισμού και της Οδηγίας, που, ως ενωσιακές πράξεις, έχουν υπέρτερη τυπική ισχύ από τους εθνικούς νόμους. Από πρακτική άποψη, η κανονιστική προσαρμογή στις νομοθετικές απαιτήσεις περί ιδιωτικότητας αποτελεί μία λεπτή άσκηση ισορροπίας μεταξύ δύο αντίρροπων απαιτήσεων της νομοθεσίας. Αφενός μεν, της ανάγκης διαφάνειας της κρατικής και επιχειρηματικής δράσης και της αναπτυξιακής αξιοποίησης των πληροφοριών του δημοσίου τομέα, αφετέρου δε της υποχρέωσης διατήρησης της μυστικότητας και της εμπιστευτικότητας των πληροφοριών που σχετίζονται με την προστασία της ιδιωτικής ζωής. Από τη μια μεριά, η ανοικτή πρόσβαση και περαιτέρω χρήση εγγράφων, πληροφοριών και δεδο-

Σελ. 5

μένων του δημόσιου τομέα, ως υποσύνολο των μαζικών δεδομένων (big data), η διασύνδεση και η διαλειτουργικότητα μεταξύ πληροφοριακών συστημάτων και εφαρμογών, αποτελεί βασικό πυλώνα του ψηφιακού μετασχηματισμού κράτους και οικονομίας. Στην ίδια προοπτική, η ενίσχυση της δημοσιότητας και της διαφάνειας (disclosure) επιβλήθηκε για λόγους εποπτείας και κοινωνικού ελέγχου της δημόσιας διοίκησης και των επιχειρήσεων.

Η νομοθετική παρέμβαση κατέστη αναγκαία για την αποτροπή απατηλών πρακτικών σε βάρος των πολιτών, των επενδυτών, των καταναλωτών και των μετόχων. Τέτοιες αθέμιτες κερδοσκοπικές ενέργειες εκδηλώθηκαν, κατά την τελευταία εικοσιπενταετία, κυρίως στο χώρο των επιχειρήσεων και των διεθνών αγορών κεφαλαίου, μέσω δημοσίευσης ψευδών ισολογισμών και ετήσιων οικονομικών καταστάσεων εταιριών. Για τους λόγους αυτούς ψηφίστηκε, μεταξύ άλλων νομοθετημάτων, το έτος 2002 στις ΗΠΑ ο νόμος Sarbanes-Oxley Act (SOX) που προβλέπει τον έλεγχο των ισολογισμών των δημόσιων και ιδιωτικών εταιριών. Ακολούθησαν αντίστοιχης στόχευσης νομοθετήματα για τη σταθερότητα του χρηματοπιστωτικού συστήματος, όπως η Dodd-Frank Act το 2010. Ο νόμος αυτός αποσκοπεί στον περιορισμό για το επενδυτικό κοινό του κινδύνου επένδυσης σε σύνθετα χρηματοοικονομικά προϊόντα (credit default swaps, derivatives κ.ο.κ.). Στοχεύει στην αποτροπή εκδήλωσης απατηλών κερδοσκοπικών πρακτικών σε βάρος των καταναλωτών, οι οποίες προκάλεσαν τη διεθνή οικονομική κρίση.

Αντίστοιχες προβλέψεις περί υποχρέωσης δημοσίευσης ειδικών κατηγοριών προσωπικών δεδομένων, κατ’ άρθρο 9 ΓΚΠΔ, υπάρχουν στην ελληνική νομοθεσία περί εταιρικής διαφάνειας. Λόγου χάριν, στη νομοθεσία περί εταιρικής συμμόρφωσης (άρθρο 12 παρ. 5 Ν 4548/2018), προβλέπεται υποχρέωση δημοσίευσης στο διαδίκτυο των στοιχείων νόμιμων εκπροσώπων εισηγμένων εταιριών (έκθεση αποδοχών πάσης φύσεως μελών διοικητικού συμβουλίου, όπως μετοχές, δικαιώματα προαίρεσης και άλλες απολαβές, προς ενίσχυση της λογοδοσίας και της εποπτείας της διοίκησης εκ μέρους των μετόχων). Στην ίδια λογική, προς διασφάλιση της ακεραιότητας του χρηματοπιστωτικού συστήματος (καταπολέμηση φοροδιαφυγής, χρηματοδότησης τρομοκρατίας,

Σελ. 6

ξεπλύματος μαύρου χρήματος) είναι αναγκαία η διασφάλιση διαφάνειας στις χρηματοπιστωτικές συναλλαγές. Προς τούτο, θεσπίζονται νομοθετικά μέτρα όπως η υποχρέωση δημιουργίας μητρώων πραγματικών δικαιούχων εταιριών και λοιπών νομικών οντοτήτων, ο περιορισμός της ανωνυμίας των πελατών (Know Your Customer/KYC), καθώς και μέτρα καταπολέμησης της φοροδιαφυγής και της φοροαποφυγής. Παραδείγματος χάριν, κατ’ εφαρμογή της Αναθεωρημένης Οδηγίας Πληρωμών (2015/2366/ΕΕ- PSD2) (η οποία ενσωματώθηκε με το N 4537/2018) και των νεότερων Ευρωπαϊκών Οδηγιών AML (Anti-Money Laundering) 2018/843 (AML5) και 2018/1673 (AML6), (οι οποίες ενσωματώθηκαν αντίστοιχα στο εθνικό δίκαιο με τους Ν 4557/2018, όπως τροποποιήθηκε με το Ν 4734/2020, και Ν 4816/2021), τράπεζες, επενδυτικές εταιρίες, πάροχοι υπηρεσιών ανταλλαγής εικονικών και παραστατικών περιουσιακών νομισμάτων, καθώς και υπηρεσιών θεματοφυλακής ψηφιακών πορτοφολιών, υπέχουν υποχρέωση ισχυρής ταυτοποίησης των πελατών και αναφοράς στις αρχές ύποπτων χρηματοοικονομικών συναλλαγών. Συναφείς σκοπούς ελέγχου νομιμότητας της κρατικής και επιχειρηματικής δράσης, ενίσχυσης της διαφάνειας και καταπολέμησης της διαφθοράς εξυπηρετούν οι νομικές απαιτήσεις

Σελ. 7

δημοσίευσης, από κάθε αναθέτουσα δημόσια αρχή, των όρων ανάθεσης έργων και προμηθειών. Επίσης, τα μέλη επιτροπών αξιολόγησης δημόσιων διαγωνισμών και εξέτασης ενστάσεων (Ν 4412/2016) υπέχουν υποχρέωση υποβολής δηλώσεων περιουσιακής κατάστασης και οικονομικών συμφερόντων (άρθρου 1 Ν 3213/2003). Στο πλαίσιο ενίσχυσης της διαφάνειας, της ακεραιότητας και της χρηστής διαχείρισης του δημοσίου χρήματος, η Ελληνική Πολιτεία, ενεργώντας στο πλαίσιο εναρμόνισης με την ενωσιακή νομοθεσία, έχει ιδρύσει τα τελευταία χρόνια, με κοινούς νόμους, πλήθος Ανεξάρτητων Αρχών. Σε αυτές συγκαταλέγονται, μεταξύ άλλων, η Εθνική Αρχή Καταπολέμησης της Νομιμοποίησης Εσόδων από Εγκληματικές Δραστηριότητες (άρθρο 7 του Ν 3424/2005), η Ελληνική Στατιστική Αρχή (άρθρο 10 του Ν 3832/2010), η Ενιαία Ανεξάρτητη Αρχή Δημοσίων Συμβάσεων (άρθρο 1 του Ν 4013/2011), η Ανεξάρτητη Αρχή Δημοσίων Εσόδων (άρθρο 1 του Ν 4389/2016) και η Εθνική Αρχή Διαφάνειας (Ν 4622/2019).

Από την άλλη μεριά, προβάλλει επιτακτική η ανάγκη διασφάλισης του απορρήτου και της εμπιστευτικότητας, για λόγους προστασίας ατομικών δικαιωμάτων, τα οποία κατοχυρώνονται στα εθνικά συνταγματικά κείμενα και σε εθνικούς νόμους. Μεταξύ αυτών ανήκουν το δικαίωμα στην ιδιωτική ζωή, η ελεύθερη ανάπτυξη της προσωπικότητας και της επιχειρηματικής δράσης, το επαγγελματικό απόρρητο και το απόρρητο της ταχυδρομικής και ηλεκτρονικής επικοινωνίας. Στην Ελλάδα, για την προάσπιση των παραπάνω δικαιωμάτων, έχουν ιδρυθεί αντίστοιχα συνταγματικά κατοχυρωμένες Ανεξάρτητες Αρχές, σύμφωνα με τα άρθρα 9Α, 15 παρ. 2, 19 παρ. 2, 101Α, 103 παρ. 7 και 9 Συντ., όπως η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε). Για την προστασία της ασφάλειας δικτύων και επικοινωνιών, η οποία αποτελεί προαπαιτούμενο για τη διασφάλιση των ως άνω δικαιωμάτων, είναι αρμόδια η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ). Παρόμοιους σκοπούς εξυπηρετούν διατάξεις κοινών νόμων περί εμπορικού και τραπεζικού απορρήτου, προστασίας των εμπορικών και βιομηχανικών μυστικών, της τεχνολογικής καινοτομίας, των εφευρέσεων, της πνευ-

Σελ. 8

ματικής ιδιοκτησίας και ούτω καθεξής. Ανάλογες υποχρεώσεις σεβασμού της εμπιστευτικότητας των πληροφοριών επιβάλλονται από επαγγελματικούς κώδικες δεοντολογίας, είτε νομικού και δεσμευτικού περιεχομένου, είτε αυτορρυθμιστικού και πειθαρχικού χαρακτήρα (Κώδικας Δικηγόρων, ιατρικής δεοντολογίας, τραπεζικής δεοντολογίας, δεοντολογίας ηλεκτρονικών επικοινωνιών, πολυμεσικής πληροφόρησης, ιατρικώς υποβοηθούμενης αναπαραγωγής κ.λπ.).

Εντούτοις, στην πράξη, οι ως άνω ευρωπαϊκές και εθνικές ρυθμίσεις περί διαφάνειας, ενημέρωσης και ακεραιότητας συγκρούονται, όχι σπάνια, με τις απαιτήσεις ιδιωτικότητας, εμπιστευτικότητας και μυστικότητας, υποβαλλόμενες σε δικαστική αμφισβήτηση με συνέπεια να ανατρέπονται, εν όλω ή εν μέρει. Για παράδειγμα, με πρόσφατη απόφαση του ΔΕΕ (C-649/20), κρίθηκε ότι αίρεται η επιβαλλόμενη στους δικηγόρους υποχρέωση ενημέρωσης των φορολογικών αρχών και των άλλων εμπλεκόμενων ενδιαμέσων, στο πλαίσιο καταπολέμησης του επιθετικού φορολογικού σχεδιασμού, που οδηγεί σε φοροαποφυγή. Ειδικότερα, το Ευρωπαϊκό Δικαστήριο έκρινε ότι η ενημέρωση τρίτων από δικηγόρο για τέτοιες πρακτικές πελατών προσβάλλει το επαγγελματικό απόρρητο και την υποχρέωση σεβασμού της επικοινωνίας του δικηγόρου με τους πελάτες, προς υπεράσπιση των δικαιωμάτων τους. Επιπρόσθετα, με προδικαστική απόφαση του ΔΕΕ, που εκδόθηκε στις 22 Νοεμβρίου 2022, κρίθηκαν ανίσχυρες ορισμένες διατάξεις της Οδηγίας 2018/843, ως μη αναλογικές, κατά παράβα-

Σελ. 9

ση του άρθρου 5 παρ. 4 ΣΕΕ, και των άρθρων 7 και 8 του ΧΘΔΕΕ περί σεβασμού της ιδιωτικής και οικογενειακής ζωής και προστασίας δεδομένων αντίστοιχα. Εν προκειμένω, κρίθηκε ότι η προβλεπόμενη, χάριν διαφάνειας, από τη νομοθεσία του Λουξεμβούργου, πρόσβαση του ευρέος κοινού σε προσωπικά στοιχεία μετόχων, όπως ονοματεπώνυμο, αριθμός ταυτότητας, διεύθυνση κατοικίας κ.λπ, φυσικών προσώπων, ατομικά και ως μελών διοίκησης νομικών προσώπων, εκθέτει τους μετόχους και τις οικογένειές τους σε κίνδυνο απαγωγής, εξαπάτησης, εκφοβισμού, εκβιασμού, και άλλων εγκληματικών πράξεων. Μετά την έκδοση της απόφασης του ΔΕΕ και εν αναμονή της συντονισμένης στάσης των ευρωπαϊκών Εποπτικών αρχών, αρκετές ευρωπαϊκές χώρες ανέστειλαν την πρόσβαση του ευρέος κοινού στα μητρώα πραγματικών δικαιούχων.

Στο εξαιρετικά σύνθετο αυτό επιχειρησιακό και ταχέως μεταβαλλόμενο κοινωνικό και επιχειρηματικό περιβάλλον, η κανονιστική και δεοντολογική συμμόρφωση των επιχειρήσεων απαιτεί στάθμιση και διαρκή εξισορρόπηση αντίρροπων συμφερόντων. Στην προοπτική αναζήτησης των καταλληλότερων λύσεων

Σελ. 10

προσαρμογής στον ΓΚΠΔ (2016/679) και στην Αστυνομική Οδηγία (2016/680), αλλά και στα συναφή κανονιστικά πλαίσια ειδικών τομέων (ηλεκτρονικές επικοινωνίες, χρηματοπιστωτικές υπηρεσίες, κοινωνικά δίκτυα, κρυπτοσυναλλαγές, ηλεκτρονικό εμπόριο, τεχνητή νοημοσύνη) η ανάπτυξη της ύλης του παρόντος εγχειριδίου χωρίζεται σε δύο μέρη.

Στο πρώτο μέρος, εξετάζονται οι βασικές υποχρεώσεις υπευθύνων και εκτελούντων επεξεργασία, δημόσιων και ιδιωτικών φορέων, καθώς και ο μηχανισμός και τα εργαλεία της συμμόρφωσης. Η ανάλυση γίνεται υπό το πρίσμα των επιμέρους προβλέψεων του ΓΚΠΔ 2016/679, της Οδηγίας 2016/680 περί επιβολής του νόμου, και του εθνικού εφαρμοστικού Ν 4624/2019, όπως αυτός τροποποιήθηκε πρόσφατα με το Ν 5002/2022, σε συνδυασμό με εφαρμοστέα νομοθετήματα του ευρύτερου ευρωπαϊκού και διεθνούς θεσμικού πλαισίου περί ασφάλειας και ιδιωτικότητας. Με στόχο την αξιοποίηση της συναφούς ευρωπαϊκής εμπειρίας, επιχειρούμε ταυτόχρονα μια σύντομη συγκριτική επισκόπηση των επιμέρους ευρωπαϊκών νόμων περί προστασίας προσωπικών δεδομένων και κυβερνοασφάλειας. Ιδιαίτερη έμφαση αποδίδεται σε ζητήματα, όπως η νομιμότητα και η ασφάλεια της επεξεργασίας, η προστασία των ανηλίκων, το επαγγελματικό απόρρητο, τα δικαιώματα των εργαζομένων, η διαφήμιση και η εμπορική επικοινωνία καθώς και η μεταθανάτια προστασία δεδομένων προσωπικού χαρακτήρα. Παράλληλα, παραθέτουμε ένα αντιπροσωπευτικό δείγμα σημαντικών αποφάσεων της ΑΠΔΠΧ και των λοιπών Εποπτικών Αρχών στην Ευρώπη, οι οποίες εκδόθηκαν κατά την πρώτη πενταετία εφαρμογής του ΓΚΠΔ.

Στο δεύτερο μέρος του εγχειριδίου επιχειρούμε μια ανάλυση των προκλήσεων της κανονιστικής συμμόρφωσης στο σύγχρονο εργασιακό, επιχειρησιακό και κοινωνικό περιβάλλον. Με τη χρήση πρακτικών παραδειγμάτων και τη μελέτη περιπτώσεων, προσπαθούμε να αναδείξουμε τον αντίκτυπο των τεχνολογικών και επιχειρηματικών απειλών κατά της ιδιωτικότητας. Η προσπάθεια αυτή εντάσσεται στην προοπτική ενίσχυσης της ευαισθητοποίησης του αναγνώστη στις νεότερες τεχνολογικές προκλήσεις, ενόψει της σταδιακής δημιουργίας κουλτούρας προστασίας δεδομένων. Εξετάζουμε ακόμα το ρόλο της πιστοποίησης και της εφαρμογής τεχνικών προτύπων ιδιωτικότητας και ασφάλειας, ως εργαλείων λογοδοσίας. Οι βασικές συνιστώσες του προτεινομένου πλαισίου κανονιστικής συμμόρφωσης αποτυπώνονται σε δεκατέσσερα (14) κεφάλαια με την εξής δομή και επιμέρους θεματικό περιεχόμενο:

• Στο Κεφάλαιο 1 γίνεται μία σύντομη εισαγωγή, με τη συνοδεία πρακτικών παραδειγμάτων, στους ορισμούς και τις βασικές έννοιες του Γενικού Κανονισμού 2016/679, στις υποχρεώσεις και τα εργαλεία συμμόρφωσης υπευθύνων και εκτελούντων επεξεργασία καθώς και στο σύστημα εποπτείας και κυρώσεων.

• Στο Κεφάλαιο 2 παρουσιάζεται το γενικό οργανωτικό πλαίσιο διαχείρισης της ιδιωτικότητας και της ασφάλειας, κατά τις αρχές και τις διαδικασίες της

Σελ. 11

διεθνώς εφαρμοζόμενης μεθοδολογίας Διακυβέρνησης, Κινδύνου & Συμμόρφωσης (γνωστή με το ακρωνύμιο GRC, ήτοι Governance, Risk & Compliance).

• Στο Κεφάλαιο 3 ακολoυθεί η συνοπτική παρουσίαση των εννοιών της ιδιωτικότητας, της εμπιστευτικότητας, του απορρήτου και της ασφάλειας, που αποτελούν τους πυλώνες του μηχανισμού προστασίας δεδομένων προσωπικού χαρακτήρα.

• Στο Κεφάλαιο 4 γίνεται μια επισκόπηση των διεθνών Συμβάσεων και νεότερων ευρωπαϊκών νομοθετημάτων περί ιδιωτικής ζωής και κυβερνοασφάλειας, τα οποία εφαρμόζονται παράλληλα με τον ΓΚΠΔ, εισάγοντας συγκεκριμένες υποχρεώσεις για υπευθύνους και εκτελούντες επεξεργασία ανά κλάδο δραστηριότητας.

• Στο Κεφάλαιο 5 αποτυπώνονται οι υποχρεώσεις τήρησης των αρχών επεξεργασίας και σεβασμού των δικαιωμάτων του υποκειμένου, καθώς και οι μηχανισμοί διεθνών διαβιβάσεων προσωπικών δεδομένων, όπως αποφάσεις επάρκειας, δεσμευτικοί εταιρικοί κανόνες, τυποποιημένες συμβατικές ρήτρες, εγκεκριμένοι κώδικες δεοντολογίας και παρεκκλίσεις για ειδικές καταστάσεις, υπό το πρίσμα των νεότερων νομοθετικών και νομολογιακών εξελίξεων (Brexit για Ηνωμένο Βασίλειο, Ακύρωση από το ΔΕΕ της «Ασπίδας Ιδιωτικότητας» για διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα μεταξύ ΕΕ-ΗΠΑ κ.λπ).

• Στο Κεφάλαιο 6 οριοθετείται το ουσιαστικό και εδαφικό πεδίο εφαρμογής του ΓΚΠΔ, με βάση το είδος της επεξεργασίας και την ένταξη των δεδομένων σε οργανωμένο σύστημα αρχειοθέτησης. Συνεκτιμώνται ακόμα τα εφαρμοστέα κριτήρια της εγκατάστασης υπευθύνων επεξεργασίας στην Ένωση και της στόχευσης Ευρωπαίων πολιτών από φορείς εγκατεστημένους σε τρίτες χώρες. Στην ίδια οπτική, αναδεικνύεται επίσης ο σημαντικός και πολύπλευρος ρόλος των Εποπτικών Αρχών στην εποπτεία της συμμόρφωσης με τη νομοθεσία στην ψηφιακή οικονομία και κοινωνία.

• Στο Κεφάλαιο 7 επιχειρείται μια συνοπτική ανάλυση της ευρωπαϊκής εμπειρίας εφαρμογής, κατ’ εφαρμογή των ρητρών ευελιξίας του ΓΚΠΔ, στο πλαίσιο μιας συγκριτικής επισκόπησης βασικών διατάξεων της ελληνικής νομοθεσίας με αντίστοιχα αλλοδαπά νομοθετήματα. Η άσκηση αυτή κατατείνει στη διερεύνηση, μέσα από τη συσσωρευμένη εμπειρία εφαρμογής του νέου κανονιστικού πλαισίου, του βαθμού συνεκτικότητας μεταξύ εθνικών διατάξεων των κρατών-μελών για το δημόσιο τομέα, το επαγγελματικό απόρρητο, τις κυρώσεις κατά του δημόσιου τομέα, την ηλικία ψηφιακής ενηλικίωσης των παιδιών, τους κανόνες για τη διαφήμιση κ.λπ.

• Στο Κεφάλαιο 8 γίνεται μια κριτική ερμηνευτική προσέγγιση του ελληνικού νόμου 4624/2019, όπως αυτός τροποποιήθηκε πρόσφατα με το Ν 5002/2022. Ιδιαίτερη έμφαση αποδίδεται σε ζητήματα που ανακύπτουν αναφορικά με την εφαρ-

Σελ. 12

μογή του ΓΚΠΔ, σε σχέση με τις εξαιρέσεις του δημοσίου τομέα, με τους όρους λήψης συγκατάθεσης, με τα δικαιώματα των εργαζομένων, με τις ειδικές επεξεργασίες εκτός αρχικού σκοπού, καθώς και με τις κυρώσεις και τα πρόστιμα.

• Στο Κεφάλαιο 9 εξετάζεται η προστασία των δικαιωμάτων των υποκειμένων κατά την ποινική και ανακριτική διαδικασία, σε συνδυασμό με τις ειδικές υποχρεώσεις των διωκτικών αρχών έναντι των υπόπτων, κατηγορουμένων και μαρτύρων κατά τη διερεύνηση και δίωξη ποινικών αδικημάτων. Οι υποχρεώσεις αυτές απορρέουν από την Οδηγία επιβολής του νόμου 2016/680, όπως αυτή μεταφέρθηκε στο εθνικό δίκαιο με το Ν 4624/2019, με τις ελλείψεις που επεσήμανε η Ευρωπαϊκή Επιτροπή, τις οποίες επιχειρεί να διορθώσει ο τροποποιητικός νόμος 5002/2022.

• Στο Κεφάλαιο 10 τίθενται ενδεικτικά, πρακτικά ζητήματα εφαρμογής του νόμου, υπό μορφή ερωτήσεων και απαντήσεων, σε ορισμένους κλάδους, όπως ο δημόσιος τομέας, η τοπική αυτοδιοίκηση, η εκπαίδευση, η τηλεργασία, ο χρηματοπιστωτικός κλάδος, ο κλάδος της υγείας, το σύστημα απονομής της δικαιοσύνης, οι ηλεκτρονικές επικοινωνίες, το ηλεκτρονικό εμπόριο, τα ΜΜΕ, έντυπα και ηλεκτρονικά, οι μηχανές αναζήτησης και τα ιστολόγια.

• Στο Κεφάλαιο 11 διερευνώνται και εντοπίζονται, στο πλαίσιο της ακολουθούμενης μεθοδολογικής προσέγγισης βάσει κινδύνου (risk based approach), οι πηγές και οι τρόποι εκδήλωσης των απειλών κατά της ιδιωτικής ζωής των πολιτών. Εξετάζονται ακόμα οι τεχνολογικές προκλήσεις που θα δοκιμάσουν τα όρια εφαρμογής του νόμου. Μεταξύ αυτών ανήκουν, το υπολογιστικό νέφος (cloud computing), τα μαζικά δεδομένα (big data), η τεχνολογία αλυσίδας κόμβων (blockchain), οι έξυπνες συμβάσεις (smart contracts), το διαδίκτυο των πραγμάτων (ΙοΤ), τα μη επανδρωμένα αεροσκάφη (τετρακόπτερα ή drones), η τεχνητή νοημοσύνη (artificial intelligence) και το αναδυόμενο Μετασύμπαν (Metaverse).

• Στο Κεφάλαιο 12 αναδεικνύεται ο ρόλος των προσωπικών δεδομένων ως νέου νομίσματος προς πληρωμή παρεχομένων φαινομενικά «δωρεάν» υπηρεσιών προβολής και επικοινωνίας από τους λεγόμενους «επιφυείς παρόχους» (Google, Amazon, Meta/Facebook, Microsoft κ.λπ). Επιχειρείται ακόμα μια εκτίμηση των επιπτώσεων για τον πλουραλισμό, τη δημοκρατία και τον ελεύθερο ανταγωνισμό, της συγκέντρωσης προσωπικών δεδομένων, και συνακόλουθα τεράστιας πολιτικής και οικονομικής ισχύος, στα χέρια «ρυθμιστών πρόσβασης» του κοινού σε ψηφιακές πλατφόρμες, τεχνολογικών κολοσσών και πληροφοριακών ολιγοπωλίων.

• Στο Κεφάλαιο 13 εξετάζονται συνοπτικά οι τεχνικές και τα πρότυπα διαχείρισης ασφάλειας και ιδιωτικότητας (ISO 27011), η εθελοντική πιστοποίηση (ISO 17065), οι σφραγίδες και τα σήματα ιδιωτικότητας (privacy seals, privacy marks), οι τεχνολογίες προστασίας ιδιωτικότητας (Privacy Enhancing Τechnologies ή PETs) και ο ρόλος τους ως εργαλείων λογοδοσίας.

Σελ. 13

• Στο Κεφάλαιο 14 αναδεικνύεται ο κομβικός ρόλος του Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ ή DPO) ως καταλύτη κανονιστικής συμμόρφωσης. Αναλύονται τα προσόντα διορισμού, η θέση του στο οργανόγραμμα, τα καθήκοντα, τα ασυμβίβαστα, η οργάνωση του γραφείου του, η συμβολή του στην εκπαίδευση προσωπικού η χρήση λογισμικών εργαλείων καθώς και η, σε βάθος χρόνου, διατήρηση της συμμόρφωσης.

Στο Παράρτημα παρατίθεται, τέλος, ένας εμπλουτισμένος ενδεικτικός κατάλογος υποδειγμάτων συμβάσεων, πολιτικών και διαδικασιών, τεχνικών, νομικών και οργανωτικών, καθώς και εργαλείων ελέγχου συμμόρφωσης (compliance checklists) από πλευράς δημόσιων οργανισμών και ιδιωτικών επιχειρήσεων.

Σελ. 15

Μέρος Πρώτο

H ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΨΗΦΙΑΚΗ ΟΙΚΟΝΟΜΙΑ ΚΑΙ ΚΟΙΝΩΝΙΑ

Σύμφωνα με επίσημα στοιχεία του ΟΗΕ, στα τέλη Δεκεμβρίου 2022, άνω των 157 χωρών από τις 195 συνολικά που αναγνωρίζονται παγκοσμίως διέθεταν κάποιου είδους νομοθεσία περί προστασίας του απορρήτου, της κυβερνοασφάλειας και των προσωπικών δεδομένων των καταναλωτών στις ηλεκτρονικές συναλλαγές. Ενώ οι προηγμένες τεχνολογικά χώρες ή περιοχές του πλανήτη έχουν υιοθετήσει ήδη σχετική νομοθεσία, ο μέσος όρος πέφτει σε ποσοστό 61% στην Αφρική, σε 57% στην Ασία και μόλις σε 48% στον αναπτυσσόμενο κόσμο. Σε ό,τι αφορά τις ΗΠΑ, δεν έχει ακόμα ψηφιστεί η σχεδιαζόμενη ομοσπονδιακή νομοθεσία ιδιωτικότητας καθολικής εφαρμογής (American Data Protection And Privacy Act/ADPPA). Εντούτοις, η διεθνής ακτινοβολία του ΓΚΠΔ ώθησε αρκετές αμερικανικές Πολιτείες, να υιοθετήσουν ήδη ειδικούς νόμους, (Καλιφόρνια, Βιρτζίνια, Κολοράντο, Κοννέκτικατ, Γιούτα), ενώ σε άλλες

Σελ. 16

βρίσκονται υπό ψήφιση αντίστοιχα πολιτειακά νομοσχέδια (Νέα Υόρκη, Μασσαχουσέτη, Ιλλινόι κ.λπ). Είναι αξιοσημείωτο ότι συναφή νομοθεσία, με έμφαση στην προστασία της ιδιωτικότητας του καταναλωτή, έχει υιοθετήσει και η Κίνα. Αν και η κινεζική νομοθεσία είναι εμπνευσμένη από τον GDPR, είναι προσαρμοσμένη στην κυρίαρχη κομμουνιστική ιδεολογία περί κρατικής ασφάλειας. Στο όνομα της προστασίας του κράτους, διενεργείται γενικευμένη επιτήρηση των πολιτών από τις διοικητικές και διωκτικές αρχές, με την εκτεταμένη χρήση καμερών βιντεοεπιτήρησης, ειδικού κατασκοπευτικού λογισμικού και συστημάτων τεχνητής νοημοσύνης.

Ενόψει της μεγάλης πολιτικής και οικονομικής σημασίας του ΓΚΠΔ και της καθολικής εφαρμογής του σε δημόσιο και ιδιωτικό τομέα, μέχρι σήμερα καταβλήθηκαν σημαντικές προσπάθειες ενημέρωσης της κοινής γνώμης και εκπαίδευσης στελεχών από την Ευρωπαϊκή Επιτροπή, από τις εθνικές Εποπτικές Αρχές και από ιδιωτικούς εκπαιδευτικούς οργανισμούς. Σύμφωνα με έρευνα της Ευρωπαϊκής Επιτροπής που δημοσιεύθηκε τον Ιούνιο 2020, ήτοι δυο χρόνια μετά τη θέση του ΓΚΠΔ σε ισχύ, εκτιμάται ότι, κατά μέσο όρο, 69% των Ευρωπαίων πολιτών άνω των 16 ετών γνώριζαν από τότε, σε γενικές γραμμές, την ύπαρξη και το περιεχόμενο του Κανονισμού. Όπως προκύπτει από νεότερα στοιχεία των ευρωπαϊκών Εποπτικών Αρχών, κατά το 2021 υποβλήθηκαν συνολικά 130.000 αναφορές παραβιάσεων, ήτοι 356 αναφορές κατά μέσο όρο ανά ημέρα, οι οποίες μειώνονται σε 300 αναφορές ημερησίως το 2022. Από 25 Μαΐου 2018 μέχρι τα τέλη 2022 είχαν επιβληθεί στην Ευρώπη συνολικά πρόστιμα συνολικού ύψους άνω των 3 δις ευρώ. Στην Ελλάδα, κατά τα πέντε πρώτα χρόνια εφαρμογής του GDPR είχαν υποβληθεί στην ΑΠΔΠΧ 5.508 καταγγελίες και 936 γνωστοποιήσεις παραβίασης δεδομένων. Κατά το ίδιο χρονικό διάστημα, η Αρχή επέβαλε 92 πρόστιμα συνολικού ποσού 31.977.000 ευρώ, ύστερα

Σελ. 17

από εξέταση καταγγελιών ή αυτεπάγγελτους ελέγχους. Τα ομολογουμένως εντυπωσιακά αυτά στοιχεία είναι ενδεικτικά της έκτασης των απειλών που εκδηλώθηκαν, κατά το επίμαχο χρονικό διάστημα, κατά της ιδιωτικής ζωής των πολιτών και των συναφών καταγγελιών πολιτών προς τις Εποπτικές Αρχές.

Σε ό,τι αφορά την ενσωμάτωση των ρυθμίσεων του Κανονισμού από τις επιχειρήσεις, κατά τα τέσσερα πρώτα χρόνια μετά την θέση του σε ισχύ, τα διαθέσιμα στοιχεία δεν ήταν, εντούτοις, εξίσου ενθαρρυντικά. Από πρόσφατες έρευνες, που δημοσιεύθηκαν το 2022 σε επιχειρήσεις 34 χωρών με τζίρο κάτω από 100 εκ. ευρώ προέκυψε ότι 30% περίπου των επιχειρήσεων στην Ευρώπη δεν είχαν ακόμα προσαρμοστεί με τον ΓΚΠΔ. Τα ευρήματα αυτά επιβεβαιώνουν παλαιότερες έρευνες που έφεραν στο φως μεγάλη υστέρηση συμμόρφωσης, ιδίως στις μικρομεσαίες επιχειρήσεις, των οποίων ο συνολικός αριθμός ανέρχεται πανευρωπαϊκά σε περίπου 23 εκατομμύρια. Η σημαντική καθυστέρηση ενσωμάτωσης των κανονιστικών ρυθμίσεων οφείλεται στην πολυπλοκότητα των απαιτήσεων του Κανονισμού, σε συνδυασμό με την ύπαρξη σημαντικών εμποδίων στην αναγκαία τεχνολογική αναβάθμιση των πληροφορικών υποδομών. Χαρακτηριστικά, το μέσο κόστος της διαδικασίας αυτής για οργανισμούς και επιχειρήσεις εκτιμάται, από την εταιρία CISCO σε 2,7 εκ ευρώ, με αυξητική τάση. Είναι πάντως ενθαρρυντικό ότι μεγάλο ποσοστό των επιχειρήσεων που συμμορφώθηκαν δήλωσαν ότι βελτίωσαν τη διαχείριση δεδομένων και ότι αύξησαν τις επενδύσεις στην κυβερνοασφάλεια. Επίσης, η κανονιστική τους συμ-

Σελ. 18

μόρφωση θεωρείται από τη διοίκηση των εταιριών ότι έχει θετικές επιπτώσεις στη φήμη και την εικόνα της επιχείρησης στην αγορά και στην κοινωνία.

Αξίζει να υπογραμμιστεί ότι την άποψη αυτή δεν φαίνεται να συμμερίζεται η πλειοψηφία των καταναλωτών. Διάφορες έρευνες σε Ευρώπη και διεθνώς συγκλίνουν σε ένα κοινό συμπέρασμα. Μόνο ένα μικρό ποσοστό καταναλωτών θεωρεί ότι από την εφαρμογή του ΓΚΠΔ μέχρι σήμερα υπήρξε θεαματική βελτίωση στη διαχείριση της προστασίας προσωπικών δεδομένων τους από τους προμηθευτές. Μια ενδιαφέρουσα μελέτη του αγγλικού Πανεπιστημίου της Οξφόρδης σε 61 χώρες και 34 βιομηχανικούς κλάδους που δημοσιεύθηκε τον Ιανουάριο 2022, καταλήγει ότι από τον Μάιο 2018 και εφεξής, οι μικρομεσαίες επιχειρήσεις που στόχευαν ευρωπαίους καταναλωτές σημείωσαν, ελέω GDPR, μείωση κερδών ύψους 8% και μείωση πωλήσεων ύψους 2%. Αντίθετα, οι μεγάλες τεχνολογικές εταιρίες (big tech) καταγράφουν αύξηση κερδοφορίας, παρά τα σημαντικά πρόστιμα, αν και όχι τα ανώτατα προβλεπόμενα από τον ΓΚΠΔ, τα οποία τους επιβλήθηκαν από τις Εποπτικές Αρχές.

Όπως θα αναφερθεί διεξοδικά παρακάτω, τα περισσότερα πρόστιμα επιβλήθηκαν κυρίως για παράνομη συλλογή και επεξεργασία προσωπικών δεδομένων μέσω ιχνηλατών (cookies) και επιθετικές διαφημιστικές πρακτικές. Σε μια προσπάθεια περιορισμού της δράσης τους, στις αρχές Ιανουαρίου 2023, η Ιρλανδική Αρχή (DPC) ανακοίνωσε, την επιβολή προστίμου συνολικού ύψους 390 εκ. ευρώ κατά της Meta Ireland, σχετικά με τους όρους παροχής υπηρεσιών και εξατομικευμένων διαφημίσεων από τις εταιρίες Facebook (210 εκ. ευρώ) και Instagram (180 εκ. ευρώ), τους οποίους ζήτησε να τροποποιήσουν εντός τριμήνου. Ακολούθησε, στα μέσα Μαΐου 2023, η επιβολή προστίμου-μαμούθ ύψους 1,2 δις ευρώ από την DPC κατά της Meta Ireland για παράνομες διαβιβάσεις δεδομένων στις ΗΠΑ βάσει τυποποιημένων συμβατικών ρητρών (κατά το άρθρο 46 παρ. 1 του GDPR) επιβάλλοντας τη διακοπή τέτοιων διαβιβάσεων εντός δια-

Σελ. 19

στήματος 5 μηνών. Εκτός από τις τεκτονικές επιπτώσεις της απόφασης στο σύστημα διεθνών διαβιβάσεων δεδομένων προσωπικού χαρακτήρα από την την ΕΕ προς τις ΗΠΑ, το μεγαλύτερο μέχρι σήμερα πρόστιμο ανεβάζει το συνολικό ύψος επιβληθέντων προστίμων κατά της συγκεκριμένης εταιρίας σε ποσό ανώτερο των 2,1 δις ευρώ (600 εκ. το 2022 και άνω του 1,5 δις €, ήτοι 1,2 δις συν 340 εκ. μέχρι τέλη Μαΐου του 2023). Στην ίδια λογική, η Amazon, με πωλήσεις 44 δις € τιμωρήθηκε από την Αρχή του Λουξεμβούργου (CNPD), τον Ιούλιο 2021 με πρόστιμο ρεκόρ ύψους 746 εκ. ευρώ, το δεύτερο μεγαλύτερο μέχρι σήμερα, για παράβαση των κανόνων του GDPR περί διαφημίσεων. Στις 29 Δεκεμβρίου 2022, η γαλλική Αρχή CNIL επέβαλε πρόστιμο ύψους 8 εκ. ευρώ κατά της Apple για παράνομη ενσωμάτωση cookies με σκοπό εξατομικευμένες διαφημίσεις. Ομοίως, η γαλλική και η αυστριακή αρχή έχουν επιβάλλει πρόστιμα κατά εταιρειών για παράνομη διαβίβαση στοιχείων επισκεψιμότητας ιστοσελίδων στις ΗΠΑ (Google Analytics) κατά παράβαση της Απόφασης Schrems II του ΔΕΕ για την οποία θα γίνει λόγος κατωτέρω.

Στην Ελλάδα, από έρευνα του ΣΕΒ του 2020 σε ένα δείγμα 76 επιχειρήσεων και συνδέσμων εταιριών προέκυψε σχετικά ικανοποιητικός βαθμός κινητοποίησης, στελέχωσης και λήψης κατάλληλων μέτρων ασφάλειας πληροφοριών και

Σελ. 20

κανονιστικής συμμόρφωσης. Σύμφωνα με την ίδια έρευνα, οι κυριότερες προκλήσεις που απασχολούν τις επιχειρήσεις περιλαμβάνουν την επίδραση της ψηφιακής εποχής και της τεχνητής νοημοσύνης στη συλλογή δεδομένων, την ασφάλεια των πληροφοριακών συστημάτων, τις τεκτονικές αλλαγές καταναλωτικών προτύπων και αναγκών που επέφερε η πανδημία του κορωνοϊού, τις αλλαγές στο ρυθμιστικό πλαίσιο και στη νομολογία των εποπτικών Αρχών. Τα παραπάνω δειγματοληπτικά στοιχεία επιβεβαιώνουν ότι, παρά την πρόοδο που σημειώθηκε, ο δρόμος της κανονιστικής προσαρμογής στον ΓΚΠΔ τόσο του ιδιωτικού, αλλά κυρίως του δημόσιου τομέα στην Ελλάδα, προμηνύεται μακρύς και δύσβατος.

Συνεκτιμώντας τις πολλαπλές ρυθμιστικές προκλήσεις και τις αυξανόμενες τεχνολογικές απειλές στη σημερινή ψηφιακή οικονομία, κανένας δεν αμφιβάλλει πλέον ότι η συζήτηση περί ασφάλειας, προστασίας απορρήτου και προσωπικών δεδομένων δεν είναι θεωρητική. Αντίθετα, η ανάγκη ευαισθητοποίησης της κοινής γνώμης και των υποχρέων συμμόρφωσης παραμένει επιτακτική, επίκαιρη και με μεγάλη πρακτική σημασία. Πράγματι, καθημερινά σχεδόν εκδηλώνονται σε παγκόσμιο επίπεδο κυβερνοεπιθέσεις σε κάθε κλάδο (δημόσια διοίκηση, υγεία, χρηματοπιστωτικός τομέας, βιομηχανία, μεταφορές, επικοινωνίες, τουρισμός). Οι εγκληματικές αυτές ενέργειες συχνά καταλήγουν σε «κλείδωμα» αρχείων οργανισμών και εταιριών, οι οποίες συνοδεύονται με αίτημα παροχής λύτρων (ransomware) από τους εισβολείς, ώστε αυτοί να αποκαταστήσουν την πρόσβαση στα πληροφοριακά και επικοινωνιακά συστήματα των θυμάτων τους. Προς αποφυγή εντοπισμού τους, οι εισβολείς αξιώνουν την καταβολή των σχετικών ποσών σε κρυπτονομίσματα. Στο σκοτεινό διαδίκτυο (dark web) προσφέρεται σήμερα η δυνατότητα αγοράς και χρήσης από κάθε επίδοξο χάκερ κακόβουλου λογισμικού (ransomware as a service/Raas).

Τέτοια παράνομα προγράμματα «λυτρισμικού» διατίθενται εμπορικά από κυβερνοεγκληματίες, συνοδευόμενα μάλιστα από οδηγίες χρήσης για τον τρόπο που μπορούν να αυξήσουν τη βλάβη που προκαλούν. Συνήθης τρόπος εκδήλωσης επιθέσεων είναι η, μέσω κτήσης ελέγχου δικτύων υπολογιστών τρίτων (botnets), δρομολόγηση μεγάλου όγκου πακέτων δεδομένων προς ιστοσελίδες-στόχους, με αποτέλεσμα την κατάρρευσή τους. Εναλλακτικός τρόπος επίθεσης είναι η αποστολή «μολυσμένων» μηνυμάτων ηλεκτρονικού ταχυδρομείου, μέσω των οποίων οι χάκερς παρακινούν τους ανυποψίαστους αποδέκτες να ανοίξουν υπερκειμενικούς συνδέσμους.

Back to Top