Γράφει η Μυρτώ Σακελλαροπούλου, Financial Consultant & Analyst specializing in GDPR
Στις 27 Απριλίου 2016 θεσπίστηκε ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (Γενικός Κανονισμός για την Προστασία Δεδομένων ή ΓΚΠΔ) και η Οδηγία 2016/680, με αντικείμενο και στόχο την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και της ελεύθερης κυκλοφορίας των δεδομένων με άμεση εφαρμογή από 25 Μαΐου του 2018.
Mε την ψήφιση του Ν. 4624/2019 για την προστασία των Προσωπικών Δεδομένων στη χώρα μας Η ΠΕΡΙΟΔΟΣ ΧΑΡΙΤΟΣ ΕΧΕΙ ΤΕΛΙΩΣΕΙ.
Από το Δελτίο Τύπου της Αρχής Προστασίας, του Οκτωβρίου, έχουν ξεκινήσει οι αυτεπάγγελτοι έλεγχοι σε εταιρίες του ελεγκτικολογιστικού χώρου, ενώ εκκρεμούν πάνω από 1000 καταγγελίες.
Βασικός στόχος της Αρχής Προστασίας Προσωπικών Δεδομένων και των μελών που την απαρτίζουν αποτελεί η εφαρμογή της σχετικής νομοθεσίας που επιβάλλει η Ευρωπαϊκή Ένωση, έχοντας ήδη επιβάλλει πρόστιμα και προειδοποιήσεις όπως για παράδειγμα:
- Πρόστιμο 150.000 ευρώ σε εταιρεία στον ελεγκτικό/συμβουλευτικό τομέα για παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων της.
- Πρόστιμα σε εταιρείες τηλεπικοινωνιών από 20.000 έως και 200.000 ευρώ.
- Πρόστιμο 30.000 ευρώ σε εταιρεία στον ενεργειακό τομέα.
- Προειδοποίηση σε δημόσιο νοσοκομείο για μη ενημέρωση ασθενούς του σχετικά με διαβίβαση δεδομένων ιατρικού του φακέλου σε τρίτον.
- Προειδοποίηση στη ΔΕΗ για μη εμπρόθεσμη ενημέρωση υποκειμένου δεδομένων.
ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΕΛΛΑΔΑ (Ν. 4624/2019)
Ο Νόμος 4624/2019 για το GDPR θεσπίζει μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων, καταργεί την Οδηγία 95/46/ΕΚ και ενσωματώνει στην εθνική νομοθεσία την Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και α) ρυθμίζει την Αρχή Προστασίας Προσωπικών Δεδομένων, β) ορίζει την Ασφάλεια της Επεξεργασίας, γ) ορίζει Διοικητικές Κυρώσεις και δ) ορίζει Ποινικές Κυρώσεις.
Α) ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Η Αρχή εξετάζει τις καταγγελίες που υποβάλλονται για την προστασία των Προσωπικών Δεδομένων των ατόμων ενώ ενδέχεται να: α) απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι οι σκοποί επεξεργασίας προσωπικών δεδομένων είναι πιθανόν να παραβιάζουν τις διατάξεις του ΓΚΠΔ, β) δίνει εντολή στον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να συμμορφωθεί με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας με τις διατάξεις του ΓΚΠΔ, γ) δίνει εντολή και επιβάλλει προσωρινό ή οριστικό περιορισμό ή και απαγόρευση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, δ) δίνει εντολή και επιβάλλει την παράδοση σε αυτήν εγγράφων, συστημάτων αρχειοθέτησης, εξοπλισμού ή μέσου επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και του περιεχομένου αυτών ή προβαίνει στην κατάσχεση των ανωτέρω μέχρι να αποφανθούν οι αρμόδιες δικαστικές και εισαγγελικές αρχές. Η Αρχή τέλος επιβάλλει τις διοικητικές κυρώσεις που προβλέπονται στο άρθρο 83 του Ν.4624/2019 και στο άρθρο 39 του παρόντος.
Β) ΑΣΦΑΛΕΙΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ
Τόσο ο υπεύθυνος επεξεργασίας όσο και ο εκτελών την επεξεργασία θα πρέπει να λαμβάνουν κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίσουν την ορθή επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Γ) ΔΙΟΙΚΗΤΙΚΕΣ ΚΥΡΩΣΕΙΣ
Η Αρχή με ειδικά αιτιολογημένη απόφασή της και ύστερα από προηγούμενη κλήση για παροχή εξηγήσεων των ενδιαφερομένων μπορεί να επιβάλει
α) στους φορείς του δημόσιου τομέα ως υπεύθυνων επεξεργασίας για παραβάσεις του ΓΚΠΔ διοικητικό πρόστιμο έως δέκα εκατομμύρια (10.000.000) ευρώ.
β) σε αρμόδιες Αρχές για παραβάσεις των υποχρεώσεών τους ως υπεύθυνων επεξεργασίας δεδομένων προσωπικού χαρακτήρα διοικητικό πρόστιμο έως ένα εκατομμύριο (1.000.000) ευρώ ενώ για παραβάσεις των γενικών αρχών που διέπουν τα δεδομένα προσωπικού χαρακτήρα, τις νομικές βάσεις επεξεργασίας καθώς και των δικαιωμάτων των φυσικών προσώπων διοικητικό πρόστιμο έως δύο εκατομμύρια (2.000.000) ευρώ. Επιπλέον για μη συμμόρφωση προς εντολή της Αρχής μπορεί να επιβάλλει διοικητικό πρόστιμο έως δύο εκατομμύρια (2.000.000) ευρώ.
Δ) ΠΟΙΝΙΚΕΣ ΚΥΡΩΣΕΙΣ
α) Μέχρι ενός (1) έτος: Όποιος, χωρίς δικαίωμα, επεμβαίνει με οποιονδήποτε τρόπο σε σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα και λαμβάνει γνώση των δεδομένων αυτών, τα αντιγράφει, αφαιρεί, αλλοιώνει, αποθηκεύει, μεταβάλλει κλπ. ή επιτρέπει σε μη δικαιούμενα πρόσωπα να λάβουν γνώση των δεδομένων αυτών.
β) Μέχρι 1 έτος και χρηματική ποινή έως εκατό χιλιάδες ευρώ (100.000): αν η παραβίαση αφορά ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα.
γ) Με κάθειρξη μέχρι δέκα (10) ετών: εάν ο υπαίτιος είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον και το συνολικό όφελος ή η συνολική ζημία υπερβαίνει το ποσό των εκατόν είκοσι χιλιάδων (120.000) ευρώ.
δ) Κάθειρξη και χρηματική ποινή έως τριακόσιες χιλιάδες (300.000) ευρώ: εάν προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δημοκρατικού πολιτεύματος ή για την εθνική ασφάλεια.
Τρόποι προστασίας έναντι του Νόμου 4624/2019 και της λογοδοσίας στην Αρχή, αναφέρονται στο άρθρο με τίτλο «ΠΩΣ Η BSS ΘΩΡΑΚΙΖΕΙ ΤΙΣ ΕΠΙΧΕΙΡΗΣΕΙΣ ΜΕ ΤΟΝ ΝΟΜΟ 4624/2019»