Προστασία των δεδομένων: Ενισχύονται τα δικαιώματα των πολιτών

 

Της Μαρίνας Κουρμπέλα (marinakourbela@gmail.com)

Ολοκληρώνεται, σύντομα η διαδικασία έκδοσης της νομικής δέσμης για τη μεταρρύθμιση της προστασίας των δεδομένων, η οποία, σύμφωνα με τον Υπουργό Δικαιοσύνης του Λουξεμβούργου κ. Félix Braz και Προεδρεύοντα του Συμβουλίου της Λουξεμβουριανής Προεδρίας, (Ιούνιο-Δεκέμβριο 2015) όχι μόνον θα ενισχύσει τα δικαιώματα των πολιτών, αλλά και θα προσαρμόσει τους κανόνες για τις εταιρίες στην ψηφιακή εποχή, ενώ, παράλληλα, θα μειώσει την διοικητική επιβάρυνση. Όπως δήλωσε, πρόκειται για φιλόδοξα και μακρόπνοα κείμενα.

Σημειώνεται, πως έχει, ήδη συμφωνηθεί ένα συμβιβαστικό κείμενο μεταξύ των τριών θεσμικών οργάνων, Κοινοβουλίου, Συμβουλίου και Επιτροπής, στις 15 Δεκεμβρίου, κάτι που ανταποκρίνεται στο αίτημα των Ευρωπαίων Ηγετών να περατωθούν έως τα τέλη του 2015 οι διαπραγματεύσεις σχετικά με τη μεταρρύθμιση της προστασίας των δεδομένων.

 

Δύο νομοθετικές πράξεις

Σημειώνεται, πως η μεταρρύθμιση της προστασίας των δεδομένων αποτελεί νομοθετική δέσμη την οποία πρότεινε η Επιτροπή το 2012 για να επικαιροποιηθούν και να εκσυγχρονισθούν οι κανόνες της προστασίας των δεδομένων. Αφορά δύο νομοθετικές πράξεις: 1)τον γενικό κανονισμό προστασίας των δεδομένων (που θα αντικαταστήσει την οδηγία 95/46/ΕΚ) και 2)την οδηγία προστασίας των δεδομένων στον τομέα της επιβολής του νόμου (που θα αντικαταστήσει την απόφαση-πλαίσιο του 2008 για την προστασία των δεδομένων).

 

Τα σχετικά κείμενα, μετά την εξέτασή τους από τους γλωσσομαθείς νομικούς, θα υποβληθούν προς έγκριση στο Συμβούλιο και, στη συνέχεια στο Κοινοβούλιο. Ο κανονισμός και η οδηγία αναμένεται να τεθούν σε ισχύ την άνοιξη του 2018

Επισημαίνεται, πως με τη νέα νομοθεσία, οι δημόσιες αρχές και οι εταιρείες που εκτελούν ορισμένες επισφαλείς πράξεις επεξεργασίας δεδομένων πρέπει να ορίζουν υπεύθυνο προστασίας δεδομένων, προκειμένου να εξασφαλίζεται πλήρης συμμόρφωση προς τους κανόνες Στους υπευθύνους επεξεργασίας των δεδομένων μπορεί να επιβληθεί πρόστιμο έως και 20 εκατομμύρια € ή 4% του συνολικού ετήσιου κύκλου εργασιών τους

 

Ο Γενικός Κανονισμός για την προστασία των δεδομένων

Ο γενικός κανονισμός για την προστασία των δεδομένων έχει σκοπό να ενισχύσει το επίπεδο προστασίας των δεδομένων για τα πρόσωπα των οποίων τα προσωπικά δεδομένα υφίστανται επεξεργασία και να αυξήσει τις επιχειρηματικές δυνατότητες στην ψηφιακή ενιαία αγορά, μεταξύ άλλων με τη μείωση της διοικητικής επιβάρυνσης.

 

Ενισχυμένο επίπεδο προστασίας των δεδομένων

Οι αρχές και οι κανόνες της επεξεργασίας των προσωπικών δεδομένων των προσώπων πρέπει να σέβονται τα θεμελιώδη δικαιώματα και ελευθερίες, ιδίως δε το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα. Αυτά τα ενισχυμένα δικαιώματα προστασίας των δεδομένων δίνουν στα υποκείμενα των δεδομένων (τα πρόσωπα των οποίων τα προσωπικά δεδομένα υφίστανται επεξεργασία) περισσότερο έλεγχο επί των προσωπικών τους δεδομένων:

πιο εξειδικευμένους κανόνες που θα επιτρέπουν στους υπευθύνους επεξεργασίας των δεδομένων να επεξεργάζονται τα προσωπικά δεδομένα, μεταξύ άλλων με την απαίτηση συγκατάθεσης των ενδιαφερομένων.

 

Ευκολότερη πρόσβαση στα προσωπικά δεδομένα

Καλύτερη ενημέρωση για την πορεία των προσωπικών δεδομένων μετά την ανταλλαγή των σχετικών πληροφοριών. Περιλαμβάνεται η ενημέρωση των προσώπων για την πολιτική περί ιδιωτικής ζωής σε σαφή και κατανοητή γλώσσα, πράγμα που μπορεί να γίνει και με τυποποιημένα εικονίδια.

Δικαίωμα διαγραφής των προσωπικών δεδομένων και «δικαίωμα λήθης». Αυτό δίνει τη δυνατότητα, επί παραδείγματι, στα υποκείμενα να απαιτήσουν την χωρίς καθυστέρηση διαγραφή των προσωπικών δεδομένων που συνελέγησαν ή δημοσιεύθηκαν σε κοινωνικό δίκτυο όταν το εν λόγω πρόσωπο ήταν ακόμη παιδί.

Εάν ένας έφηβος ηλικίας κάτω των 16 ετών επιθυμεί να χρησιμοποιήσει διαδικτυακές υπηρεσίες, ο πάροχος της υπηρεσίας οφείλει να προσπαθήσει να εξακριβώσει εάν έχει δοθεί η συγκατάθεση των γονέων. Τα κράτη μέλη μπορούν να μειώσουν το όριο ηλικίας όχι όμως κάτω των 13 ετών.

Δικαίωμα στην δυνατότητα μεταφοράς που διευκολύνει τη διαβίβαση προσωπικών δεδομένων από έναν πάροχο υπηρεσίας, όπως π.χ. κοινωνικό δίκτυο, σε άλλον. Αυτό όχι μόνον θα ενισχύσει τα δικαιώματα προστασίας των δεδομένων, αλλά θα βελτιώσει και τον ανταγωνισμό μεταξύ των παρόχων υπηρεσιών.δικαίωμα εναντίωσης στην επεξεργασία προσωπικών δεδομένων για λόγους δημοσίου συμφέροντος ή εννόμου συμφέροντος του υπευθύνου επεξεργασίας. Αυτό το δικαίωμα καλύπτει τη χρησιμοποίηση των προσωπικών δεδομένων για την «κατάρτιση προφίλ».

Κοινές διασφαλίσεις που καλύπτουν την επεξεργασία προσωπικών δεδομένων για λόγους αρχειοθέτησης, είτε προς το δημόσιο συμφέρον και για λόγους επιστημονικής και ιστορικής έρευνας είτε για λόγους κατάρτισης στατιστικών στοιχείων.

Προκειμένου να διασφαλιστεί η εγγύτητα πρόσβασης σε δικαστική προσφυγή, τα υποκείμενα των δεδομένων έχουν το δικαίωμα να ζητούν επανεξέταση κάθε απόφασης της δικής τους αρχής προστασίας των δεδομένων από εθνικό δικαστήριό τους, ανεξαρτήτως του κράτους μέλους στο οποίο είναι εγκατεστημένος ο υπεύθυνος επεξεργασίας.

 

Μεγαλύτερες επιχειρηματικές ευκαιρίες στην ψηφιακή ενιαία αγορά

Ο κανονισμός προβλέπει ενιαία δέσμη κανόνων, που θα ισχύουν σε ολόκληρη την ΕΕ και θα εφαρμόζονται στις ευρωπαϊκές και μη ευρωπαϊκές εταιρίες οι οποίες παρέχουν επιγραμμικές διαδικτυακές υπηρεσίες στην ΕΕ. Έτσι αποφεύγονται καταστάσεις κατά τις οποίες αντικρουόμενοι εθνικοί κανόνες περί προστασίας των δεδομένων μπορεί να παρακωλύσουν την διασυνοριακή ανταλλαγή δεδομένων. Επίσης, προβλέπει αυξημένη συνεργασία μεταξύ των κρατών μελών ώστε να εξασφαλίζεται συνεκτική εφαρμογή των κανόνων προστασίας των δεδομένων σε ολόκληρη την ΕΕ. Αυτό θα δημιουργήσει θεμιτό ανταγωνισμό και θα ενθαρρύνει τις επιχειρήσεις, ιδίως δε τις μικρομεσαίες, να αξιοποιήσουν τα μέγιστα την ψηφιακή ενιαία αγορά.

Για να μειωθεί το κόστος και να υπάρξει ασφάλεια δικαίου, σε σημαντικές διασυνοριακές υποθέσεις όπου εμπλέκονται διάφορες εθνικές εποπτικές αρχές, λαμβάνεται μία και μόνη εποπτική απόφαση. Ο μηχανισμός υπηρεσίας μιας στάσης επιτρέπει σε εταιρία που δραστηριοποιείται σε διάφορα κράτη μέλη να συνομιλεί μόνον με την αρχή προστασίας δεδομένων στο κράτος μέλος της κύριας έδρας της. Ο μηχανισμός αυτός προβλέπει, επίσης, ενιαία απόφαση που θα ισχύει σε ολόκληρο το έδαφος της ΕΕ σε περίπτωση διαφοράς.

 

Προκειμένου να μειωθούν οι διοικητικές δαπάνες, ο κανονισμός εφαρμόζει προσέγγιση βάσει κινδύνου: οι υπεύθυνοι επεξεργασίας των δεδομένων μπορούν να εφαρμόζουν μέτρα ανάλογα με τον κίνδυνο τον οποίον συνεπάγονται οι πράξεις επεξεργασίας δεδομένων τις οποίες εκτελούν. Οι διάφορες επιχειρήσεις ασκούν διάφορες δραστηριότητες, οπότε ποικίλλουν οι κίνδυνοι των δραστηριοτήτων ως προς αφορά τον σεβασμό της ιδιωτικής ζωής. Ο κανονισμός δεν προβλέπει μία λύση για όλες τις περιπτώσεις: όσο μεγαλύτερο κίνδυνο συνεπάγονται οι δραστηριότητες κατά των προσωπικών δεδομένων, τόσο αυστηρότερες είναι οι υποχρεώσεις.

 

Περισσότερα και καλύτερα εργαλεία για την επιβολή της συμμόρφωσης προς τους κανόνες προστασίας των δεδομένων

Ο κανονισμός προβλέπει διάφορα μέτρα που αυξάνουν την ευθύνη και τη λογοδοσία των υπευθύνων επεξεργασίας των δεδομένων, προκειμένου να εξασφαλισθεί πλήρης συμμόρφωση προς τους νέους κανόνες προστασίας των δεδομένων. Οι υπεύθυνοι επεξεργασίας των δεδομένων πρέπει να εφαρμόζουν διάφορα μέτρα ασφαλείας, μεταξύ των οποίων και η απαίτηση, σε ορισμένες περιπτώσεις, να κοινοποιούνται οι παραβιάσεις προσωπικών δεδομένων. Για να εξασφαλιστεί η διαχρονικότητα του κανονισμού, εισάγονται οι αρχές προστασίας των δεδομένων εκ σχεδιασμού και εκ προεπιλογής.

Οι δημόσιες αρχές και οι εταιρείες που εκτελούν ορισμένες επισφαλείς πράξεις επεξεργασίας δεδομένων πρέπει να ορίζουν υπεύθυνο προστασίας δεδομένων, προκειμένου να εξασφαλίζεται πλήρης συμμόρφωση προς τους κανόνες.

Τα υποκείμενα των δεδομένων και, υπό ορισμένους όρους, οι οργανισμοί προστασίας δεδομένων μπορούν να υποβάλλουν καταγγελία στην εποπτική αρχή ή να προσφεύγουν στη δικαιοσύνη σε περιπτώσεις όπου δεν τηρούνται οι κανόνες προστασίας των δεδομένων. Στους υπευθύνους επεξεργασίας των δεδομένων μπορεί να επιβληθεί πρόστιμο έως και 20 εκατομμύρια € ή 4% του συνολικού ετήσιου κύκλου εργασιών τους.

Εγγυήσεις σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός ΕΕ

Ο κανονισμός ορίζει τους κανόνες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες και διεθνείς οργανισμούς. Οι διαβιβάσεις επιτρέπονται εφόσον συντρέχουν ορισμένες προϋποθέσεις και διασφαλίσεις, ιδίως όπου η Επιτροπή έχει αποφανθεί ότι διασφαλίζεται κατάλληλο επίπεδο προστασίας. Οι νέες αποφάσεις καταλληλότητας πρέπει να επανεξετάζονται τουλάχιστον ανά τετραετία. Οι ισχύουσες αποφάσεις καταλληλότητας και οι άδειες παραμένουν εν ισχύι μέχρι να τροποποιηθούν, να αντικατασταθούν ή να καταργηθούν.

 

Οδηγία για την προστασία των δεδομένων στον τομέα της επιβολής του νόμου

Η οδηγία αποσκοπεί στην προστασία των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας από τις απειλές κατά της δημόσιας ασφαλείας καθώς και της αποτροπής τους.

Είναι αναγκαίο να εξασφαλισθεί συνεπές και υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα, ενώ παράλληλα θα διευκολύνεται η ανταλλαγή των δεδομένων αυτών μεταξύ των αρχών επιβολής του νόμου στα διάφορα κράτη μέλη.

Ευρύτερο πεδίο εφαρμογής

Η νέα οδηγία αφενός καλύπτει τις δραστηριότητες της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων και, αφετέρου, διευρύνεται ώστε να καλύπτει την προστασία από τις απειλές κατά της δημόσιας ασφαλείας καθώς και την αποτροπή τους.

Η νέα οδηγία θα ισχύει τόσο για τη διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα όσο και για την επεξεργασία των δεδομένων αυτών από τις αστυνομικές και δικαστικές αρχές σε αποκλειστικά εθνικό επίπεδο. Η απόφαση-πλαίσιο, η οποία πρόκειται να αντικατασταθεί, κάλυπτε μόνον την διασυνοριακή ανταλλαγή δεδομένων.

 

Δικαιώματα των υποκειμένων των δεδομένων

Οι κανόνες εξισορροπούν το δικαίωμα στην ιδιωτική ζωή με την ανάγκη να μην αποκαλύπτει η αστυνομία, σε αρχική φάση των ερευνών, ότι γίνεται επεξεργασία των δεδομένων. Ωστόσο, το κείμενο καταγράφει τις πληροφορίες τις οποίες δικαιούται πάντα να λαμβάνει το υποκείμενο των δεδομένων προκειμένου να προστατεύσει τα δικαιώματά του, εάν υπάρχουν φόβοι ότι μπορεί να παραβιάσθηκαν τα δεδομένα του. Οι νέοι κανόνες θα καλύπτουν επίσης τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες και διεθνείς οργανισμούς.

 

Συμμόρφωση

Η νέα οδηγία προβλέπει ότι ορίζεται υπεύθυνος προστασίας των δεδομένων για να βοηθά τις αρμόδιες αρχές να εξασφαλίζουν τη συμμόρφωση προς τους κανόνες προστασίας των δεδομένων.

Ένα άλλο εργαλείο για την εξασφάλιση της συμμόρφωσης είναι η εκτίμηση των επιπτώσεων. Σε περίπτωση που ένα είδος επεξεργασίας ενδέχεται να δημιουργήσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των προσώπων, οι αρμόδιες αρχές πρέπει να προβαίνουν σε εκτίμηση των πιθανών επιπτώσεων συγκεκριμένης επεξεργασίας, ιδίως κατά την χρήση νέας τεχνολογίας.

 

Παρακολούθηση και αποζημίωση

Το κείμενο της οδηγίας ευθυγραμμίζεται προς το κείμενο του κανονισμού προκειμένου να εξασφαλίζεται ότι, σε γενικές γραμμές, ισχύουν οι ίδιες γενικές αρχές. Επίσης, οι κανόνες για την εποπτική αρχή είναι κατά μεγάλο μέρος παρόμοιοι επειδή η εποπτική αρχή που έχει συσταθεί στο πλαίσιο του γενικού κανονισμού για την προστασία των δεδομένων μπορεί να ασχοληθεί και με θέματα που εμπίπτουν στο πεδίο εφαρμογής της οδηγίας. Η νέα οδηγία θα παρέχει επίσης στα υποκείμενα των δεδομένων το δικαίωμα αποζημίωσης εάν έχουν υποστεί ζημία λόγω της αθέτησης των κανόνων κατά την επεξεργασία.