Σήμερα στο Ευρωπαϊκό Κοινοβούλιο ψηφίστηκε ένα σύνολο νέων διατάξεων που μεταβάλλει εκ βάθρων την προστασία προσωπικών δεδομένων στην Ευρωπαϊκή Ένωση. Τα νομοθετήματα είναι τρία: ο Γενικός Κανονισμός Προστασίας Δεδομένων και η Οδηγία για την επεξεργασία προσωπικών δεδομένων για σκοπούς καταπολέμησης του εγκλήματος (τομείς αστυνομίας και δικαιοσύνης). Αυτά τα δύο κείμενα είναι το "νομοθετικό πακέτο για την μεταρρύθμιση της προστασίας δεδομένων" (data protection reform package) που πρότεινε η Ευρωπαϊκή Επιτροπή, αρχικά, το 2012.
Tί αλλάζει;
Ο Γενικός Κανονισμός Προστασίας δεδομένων είναι ένα νομοθέτημα άμεσης εφαρμογής: κατισχύει των εθνικών νομοθεσιών των κρατών μελών για την προστασία προσωπικών δεδομένων, χωρίς να χρειάζεται να εισαχθεί με νόμο στην εσωτερική έννομη τάξη. Αυτό σημαίνει ότι η θέση σε ισχύ του Κανονισμού εκτοπίζει ουσιαστικά τον δικό μας Ν.2472/1997, τουλάχιστον ως προς το πεδίο εφαρμογής του Κανονισμού και ως προς τις διατάξεις του που βρίσκονται τυχόν σε αντίθεση με τις διατάξεις του Κανονισμού. Ο Κανονισμός θα αποκτήσει τυπική ισχύ 20 ημέρες μετά την δημοσίευσή του στην Επίσημη Εφημερίδα της ΕΕ και θα ισχύει στα κράτη μέλη 2 χρόνια μετά, δηλαδή το 2018. Καταργεί επίσης την Οδηγία 95/46 που ήταν εδώ και 20 χρόνια το βασικό νομοθέτημα για την προστασία προσωπικών δεδομένων σε επίπεδο Ευρωπαϊκών Κοινοτήτων.
Η Οδηγία όμως που αφορά την επεξεργασία δεδομένων για την αποτροπή του εγκλήματος (αντικαθιστώντας την σχετική Απόφαση - Πλαίσιο του 2008), πρέπει να εισαχθεί στα κράτη μέλη με την εθνική νομοθεσία, 2 χρόνια μετά την δημοσίευση της στην Επίσημη Εφημερίδα. Για την Ελλάδα, η συγκεκριμένη Οδηγία παίζει σημαντικό ρόλο, καθώς ο ισχύων Ν.2472/1997, όπως τροποποιήθηκε το 2008, εξαιρεί από την προστασία προσωπικών δεδομένων τις δικαστικές - εισαγγελικές αρχές και τις αστυνομικές και άλλες αντίστοιχες υπηρεσίες. Έτσι, με την Οδηγία, η ελληνική νομοθεσία θα πρέπει να επαναφέρει την εφαρμογή της προστασίας προσωπικών δεδομένων και στις αστυνομικές και εισαγγελικές υπηρεσίες.
Ποια είναι τα νέα δικαιώματα;
- Προστασία των δικαιωμάτων των παιδιών: για τους κάτω των 16 ετών δεν αρκεί η συγκατάθεσή τους για την επεξεργασία προσωπικών δεδομένων, αλλά χρειάζεται και η συγκατάθεση της/του κηδεμόνα
- Δικαίωμα στην λήθη: όταν εκλείπει ο λόγος της επεξεργασίας των δεδομένων ή το υποκείμενο αίρει την συγκατάθεσή του (σε περίπτωση που αυτή είναι αναγκαία), ή όταν τα δεδομένα υποβλήθηκαν σε παράνομη επεξεργασία κ.τ.λ. το υποκείμενο έχει δικαίωμα να ζητήσει την διαγραφή των δεδομένων και ο υπεύθυνος επεξεργασίας έχει υποχρέωση άμεσα να τα διαγράψει και, αν τα έχει δημοσιοποιήσει, να ενημερώσει και όλους τους άλλους που τα έχουν αναδημοσιεύσει ότι το υποκείμενο ζήτησε την διαγραφή τους.
- Δικαίωμα φορητότητας των δεδομένων: το υποκείμενο έχει δικαίωμα να ζητά από τον υπεύθυνο επεξεργασίας να λαμβάνει τα δεδομένα σε κοινώς αναγνωρίσιμο μορφότυπο, καθώς και την απευθείας διαβίβαση των δεδομένων του σε άλλον υπεύθυνο επεξεργασίας.
Νέα προστασία στην αστυνομική και δικαστική επεξεργασία δεδομένων
- Διάκριση προσωπικών δεδομένων που βασίζονται σε γεγονότα από αυτά που βασίζονται σε εκτιμήσεις (αυτό ίσχυε και με την Απόφαση - πλαίσιο αλλά ουδέποτε υλοποιήθηκε μέχρι τώρα στην Ελλάδα).
- Εφαρμογή των κανόνων και στις αρχές που είναι υπεύθυνες για την δίωξη των εγκλημάτων - αυτό σημαίνει ότι και η Εισαγγελία δεσμεύεται από τις διατάξεις της Οδηγίας, ενώ ο ισχύων Ν.2472/1997 την έχει εξαιρέσει από το πεδίο εφαρμογής, με αποτέλεσμα τους γνωστούς τραγέλαφους που ισχυριζόταν η Αρχή Προστασίας Δεδομένων στην υπόθεση των οροθετικών ("δεν ελέγχουμε την απόφαση του εισαγγελέα για την δημοσιοποίηση γιατί είναι αντίθετη στην διάκριση των εξουσιών"). Τώρα η Αρχή θα έχει ευρωπαϊκού δικαίου αρμοδιότητα, όταν φυσικά ενσωματωθεί η Οδηγία, να εποπτεύει και την Εισαγγελία ως διωκτική αρχή.
Πώς θα επιτευχθούν οι νέοι νομικοί στόχοι για την προστασία δεδομένων;
Προστασία δεδομένων ήδη από τον σχεδιασμό και "εξ ορισμού προστασία δεδομένων": οι υπεύθυνοι επεξεργασίας πρέπει ήδη από τον σχεδιασμό ενός συστήματος συλλογής δεδομένων να επιλέγουν εκείνα τα οργανωτικά και τεχνικά μέτρα που θα ακολουθούν τις διατάξεις του Κανονισμού
Υποχρέωση γνωστοποίησης παραβιάσεων ασφάλειας: όταν ο υπεύθυνος λάβει γνώση την παραβίαση της ασφάλειας του συστήματος οφείλει να ειδοποιήσει την ανεξάρτητη αρχή που είναι υπεύθυνη για την προστασία προσωπικών δεδομένων. (Αυτό ήταν ένα ευαίσθητο νομικό σημείο στην υπόθεση της Vodafone την περασμένη δεκαετία, εάν δηλαδή η εταιρία όταν ενημερώθηκε για τις μυστικές παρακολουθήσεις είχε υποχρέωση να ενημερώσει την αρμόδια αρχή ή όχι). Η γνωστοποίηση πρέπει να γίνεται και στο ίδιο το υποκείμενο των δεδομένων
Υπεύθυνος Προστασίας Δεδομένων: Σε κάθε δημόσιο φορέα (εκτός από τα δικαστήρια στο πλαίσιο των δικαιοδοτικών τους αρμοδιοτήτων, εάν τα κράτη επιλέξουν να τα εξαιρέσουν) και σε κάθε ιδιωτικό φορέα που λόγω της φύσης των δραστηριοτήτων τους παρακολουθούν υποκείμενα δεδομένων σε μεγάλη κλίμακα ή επεξεργάζονται ευαίσθητα δεδομένα, ορίζεται ένα πρόσωπο ως ΥΠΔ. Αυτή/αυτός είναι μια εσωτερική Αρχή Προστασίας Δεδομένων που διασφαλίζει ότι η δημόσια υπηρεσία ή ο ιδιωτικός φορέας τηρεί τις διατάξεις του Κανονισμού και συνεργάζεται με την Εθνική Αρχη Προστασίας για την τήρηση των διατάξεων.
1 σχόλιο:
Όσο υπάρχουν σε ισχύ οι νόμοι 3783/09 και 3917/2011, είναι δώρον άδωρο να μιλάμε για προστασία δεδομένων. Ότι νόμοι προστασίας και να ψηφιστούν
Δημοσίευση σχολίου