Κυριακή, Μαρτίου 04, 2018

Συμμόρφωση δικηγόρων με τον Γενικό Κανονισμό Προστασίας Δεδομένων

Πολύ συχνά τίθεται το ερώτημα εάν ο δικηγόρος ως υπεύθυνος επεξεργασίας ή ως εκτελών την επεξεργασία έχει την υποχρέωση να τηρεί τον Γενικό Κανονισμό Προστασίας Δεδομένων. Στις "Κατευθυντήριες γραμμές για τους Υπεύθυνους Προστασίας Δεδομένων", η Oμάδα εργασίας για την προστασία προσωπικών δεδομένων έχει γνωμοδοτήσει ότι ο "ιδιώτης δικηγόρος" δεν εμπίπτει στην κατηγορία όσων επεξεργάζονται ως βασική δραστηριότητα με τακτική και συστηματική παρακολούθηση προσωπικά δεδομένα σε μεγάλη κλίμακα. Αυτό όμως σημαίνει απλά ότι οι δικηγόροι δεν έχουν υποχρέωση ορισμού ΥΠΔ. Το ίδιο έκρινε και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στις "Ερωτήσεις & Απαντήσεις" για τους ΥΠΔ που έδωσε στην δημοσιότητα στις 27.2.2018.

Την απάντηση για την συμμόρφωση των δικηγόρων προς τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων δίνει το Συμβούλιο των Δικηγορικών Συλλόγων και Ενώσεων της Ευρώπης (CCBE), στο έγγραφό  που δημοσίευσε στις 19.5.2017 του με τίτλο:


Το έγγραφο αναφέρει από την αρχή ότι απευθύνεται κατά κύριο λόγο σε δικηγορικά γραφεία που απασχολούν λιγότερους από 250 εργαζόμενους (το όριο βάσει του οποίου η Σύσταση 2003 της Ευρωπαϊκής Επιτροπής καθορίζει εάν μια επιχείρηση είναι μεσαία, μικρή ή πολύ μικρή, οπότε και απαλλάσσεται κατά κανόνα από την υποχρέωση του άρθρου 30 για την τήρηση αρχείων δραστηριοτήτων επεξεργασιών, με εξαιρέσεις). Το CCBE εστιάζει στα εξής κεφάλαια συμμόρφωσης:

Α. Γνωστοποίηση παραβίασης προσωπικών δεδομένων στην Αρχή 

Είναι η υποχρέωση που έχει ο υπεύθυνος επεξεργασίας να γνωστοποιεί μια παραβίαση δεδομένων στην Αρχή, εκτός αν συντρέχουν μια σειρά από εξαιρέσεις. Το CCBE αναφέρει ότι τα δικηγορικά γραφεία πρέπει να έχουν εσωτερική διαδικασία για τον χειρισμό παραβιάσεων προσωπικών δεδομένων και μηχανισμό για την γνωστοποίηση τους στην Αρχή. Υπό ορισμένες προϋποθέσεις, το δικηγορικό γραφείο πρέπει να ενημερώσει απευθείας τον πελάτη (άρθρο 34). Το CCBE αναφέρει επίσης ότι αναμένονται και οι κατευθυντήριες γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων κατά το άρθρο 70 (1) (ζ) και (η) όσον αφορά συστάσεις και καλές πρακτικές για την α) τεκμηρίωση παραβάσεων, β) καθορισμό του "αμελλητί", γ) περιστάσεις υπό τις οποίες επιβάλλεται η γνωστοποίηση στην Αρχή ή στους πελάτες. 

Β. Δικαίωμα στην λήθη

Είναι το δικαίωμα που έχει το υποκείμενο των δεδομένων για διαγραφή των στοιχείων του, χωρίς καθυστέρηση. Το CCBE αναφέρει ότι αυτό προφανώς δεν κατισχύει των νομικών υποχρεώσεων για διατήρηση δεδομένων για μια καθορισμένη χρονική περίοδο, για παράδειγμα για λόγους συμμόρφωσης προς φορολογικές υποχρεώσεις. 

Γ. Υπεύθυνος Προστασίας Δεδομένων

Το CCBE επισημαίνει ότι κατά το άρθρο 9 του ΓΚΠΔ επιτρέπεται η επεξεργασία ευαίσθητων δεδομένων για την απόδειξη, την ενάσκηση και την υπεράσπιση έννομων αξιώσεων ή στο πλαίσιο ενάσκησης δικαιοδοτικών αρμοδιοτήτων από τα διακστήρια. Ωστόσο, η επεξεργασία αυτών των δεδομένων σε μεγάλη κλίμακα, επιβάλει τον ορισμο του ΥΠΔ. Το CCBE θεωρεί ότι οι μικρότερες δικηγορικές εταιρίες μπορεί να έχουν υποθέσεις με μεγάλο αριθμό δεδομένων, αλλά σίγουρα οι μεμονωμένοι δικηγόροι δεν θα εμπίπτουν στην υποχρέωση ορισμού ΥΠΔ.

Δικηγόροι ως ΥΠΔ

Το CCBE αναφέρει ότι ένας δικηγόρος μπορεί να θεωρείται το πιο κατάλληλο πρόσωπο ως ΥΠΔ, αλλά σημειώνει ότι έχοντας υπόψη την ποικιλία καθηκόντων που επιβάλει στον ΥΠΔ ο Κανονισμός, το πρόσωπο που θα οριστεί ως ΥΠΔ θα πρέπει να έχει κι άλλα προσόντα πέραν της νομικής κατάρτισης. 

Έπειτα το CCBE επισημαίνει την σύγκροση συμφερόντων που μπορεί να προκύψει αν ο πελάτης ορίσει ως ΥΠΔ τον δικηγόρο του. Η ιδιότητα του ΥΠΔ ως "σημείου επικοινωνίας" της Αρχής με τον υπεύθυνο επεξεργασίας, είναι ένας ρόλος που επιβάλλει ακόμη κι ενημέρωση της Αρχής για θέματα που μπορεί να είναι εναντίον των συμφερόντων του υπεύθυνου επεξεργασίας, ενώ ταυτόχρονα οφείλει να εκπροσωπεί πλήρως ως δικηγόρος τα συμφέροντα του πελάτη. Γι' αυτό το CCBE συνιστά στους δικηγόρους να αναλαμβάνουν την αποστολή του ΥΠΔ για κάποιον ανεξάρτητο πελάτη εφόσον δεν έχουν ενεργήσει ως δικηγόροι τους σε υποθέσεις που μπορεί να έχουν σχέση με την σφαίρα ευθύνης του ΥΠΔ, αλλά και ούτε ως ΥΠΔ να ενεργούν ως δικηγόροι του πελάτη σε υποθέσεις στις οποίες εμπλέκονται και ως ΥΠΔ.

Δ. Εκτίμηση επιπτώσεων

Το CCBE αναφέρει ότι καθώς δεν υπάρχουν ακόμη πρότυπα πλαισίων εκτίμησης επιπτώσεων σε ειδικούς τομείς, αυτή η διαδικασία μπορεί να είναι ανέφικτη για μικρά δικηγορικά γραφεία. Γενικά, τα μικρά δικηγορικά γραφεία με λίγους εργαζόμενους γενικά δεν θα μπορούν να συμμορφωθούν με υποχρεώσεις που θα επέβαλαν π.χ. την απεγκατάσταση διαχείρισης πληροφοριακών συστημάτων. Το CCBE αναφέρει ότι δεν υπάρχουν ακόμη οδηγίες για την διεξαγωγή εκτίμησης επιπτώσεων, μια διαδικασία που είναι συνηθέστερη σε χώρες με κοινοδίκαιο, αναφέροντας ως παράδειγμα τον Κώδικα Εκτίμησης Επιπτώσεων Ιδιωτικότητας του 2014 που δημοσίευσε ο Επίτροπος Πληροφοριών του Ηνωμένου Βασιλείου, καθώς και το Εγχειρίδιο Εκτίμησης Επιπτώσεων Ιδιωτικότητας που δημοσίευσε το 2015 η γαλλική Αρχή Προστασίας Προσωικών Δεδομένων. Η Ομάδα Εργασίας του άρθρου 29 θεωρεί ως πρότυπο εκτίμησης αντικτύπου το "Πλαίσιο Εκτίμησης Επιπτώσεων για Ιδιωτικότητα και Προστασία Δεδομένων σε εφαρμογές RFID" του 2011, μια συμφωνία επιχειρήσεων κατόπιν σύστασης της Ευρωπαϊκής Επιτροπής. Αυτά όμως αναφέρει το CCBE δεν προσφέρονται για χρήση από δικηγόρους και αναμένονται πιο αναλυτικοί κανόνες σε εθνικό επίπεδο. 


Ε. Φορητότητα των δεδομένων 

Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να λάβουν από τον υπεύθυνο επεξεργασίας αντίγραφα των προσωπικών δεδομένων τους που υποβάλλονται σε επεξεργασία. Το άρθρο 20 του Κανονισμού αναφέρει ότι αυτά χορηγούναι σε ένα κοινά αναγνώσιμο μορφότυπο, ενώ η Ομάδα Εργασίας του άρθρου 29 έχει δημοσιεύσει κατευθυντήριες γραμμές για το δικαίωμα στην φορητότητα. Το CCBE αναγνωρίζει ότι οι δικηγόροι χρησιμοποιούν ως μορφότυπους το Microsoft Word και το pdf. Αναφέρει όμως ότι μερικές φορές ο ακριβής μορφότυπος μεταφοράς μιας δικογραφίας από το ένα γραφείο στο άλλο είναι ήδη εστία διαφωνιών ανάμεσα σε δικηγόρους. Γι' αυτό το θέμα χρειάζεται ειδικότερη ρύθμιση από τους δικηγορικούς συλλόγους. 

ΣΤ. Παρακολούθηση παραλαβής προσωπικών δεδομένων 

Οι υπεύθυνοι επεξεργασίας δεδομένων υποχρεούνται να μπορούν να παρακολουθούν τους παραλήπτες προσωπικών δεδομένων που αφορούν συγκεκριμένο άτομο (τουλάχιστον, όνομα και ηλεκτρονικά στοιχεία επικοινωνίας). Πρόκειται επίσης για μια υποχρέωση που συχνά μπορεί να καλυφθεί από δικηγορικά γραφεία μόνον εάν γίνουν ορισμένες αλλαγές στα συστήματα πληροφορικής τους (για παράδειγμα, η διαμόρφωση του συστήματος με τέτοιο τρόπο ώστε να υπάρχει αξιόπιστη καταγραφή των αποδεκτών προσωπικών πληροφοριών).






















Σάββατο, Μαρτίου 03, 2018

The greek courts case law on gender identity

There are some members of Parliament who ignore or underestimate the greek courts' case law on gender identity. At the same time, the explanatory report to the draft statute on legal recognition of gender identity refers to only the first relevant judgment. Therefore I hereby publish a list of the FINAL courts' judgments on the alteration of identity documents without surgical reassignment of genitals.

Judgment Nr. 418/2016 of the Athens Magistrate's Court 
This is the first judgment on a trans man case (female to male) who had undergone mastectomy and hormone treatment, without reassignment of female genitals. The court found that the obligatory sterilisation consists a violation of the right to respect private life (article 8 to ECHR) and the rights to equal treatments and non discrimination (articles 2 and 26 International Covenant on Civil and Political Rights). 

Judgment Nr. 1572/2016 of the Athens Magistrate's Court
This is the first judgment which includes a definition of "gender identity", as the "personal and inner experience of gender that may be not in line with the sex assigned at birth and may include the personal feeling of the body and gender (i.e. the gender expression which may be expressed with the dressing style, the manner of speaking, the manners of behaviour). This is a case of a trans man (female to male) without mastectomy, without surgical reassignment of genitals. The court found that even the hormone treatment is an excessive demand. Since the age of 4 years old the applicant's personality developed with the characteristics that are closer to male individuals and his preferences in appearance and in free time activities where similar to the choices of male individuals that the ones of the females. "Further, from adolescence the applicant feels attracted to female individuals without feeling homosexual rather than a male".

Judgment Nr. 1479E/2016 of the Thessaloniki Magistrate's Court
This is the first judgment of the Thessaloniki Magistrate's Court on a trans man case (female to male). "Sine the age of 9, the manner that the applicant was experiencing her gender did not correspond to her appearance, while from the attached photos it is obvious that her preferences from her youth (dressing, shoes, appearance etc.) was closer to a male's choice. [...] Official documents that identify the applicant as a female cause several serious problems, namely the barriers to confirm identifying data at several transactions with public services as well as with other entities (i.e. tax authorities, banks, post offices). Furthermore the access to medical services is a constant cause of stress and misunderstanding since the person is obliged to illustrate that its real identity is not in conformity with its official documents. Lastly, the incompetence of having issued new identity and travel documents consists a serious barrier in case of travelling abroad while this is crucial for the applicant due to medical reasons. The registration of the applicant status as a female causes serious damage to its legal interests and has important impact to its transactions and its personality rights. 

Judgment Nr. 572/2017 of the Athens Magistrate's Court

This is the first Greek judgment on a trans woman case (male to female) that had undergone only hormone treatment, without breast or genitals surgery.

Judgment Nr. 604/2017 of  the Athens Magistrate's Court

A case of a trans woman (female to male) without homorne treatment or surgery. From the age of 17 the applicant had made known to persons close to her that the way she understands her gender does not correspond with her appearance, while the photographs she attached demonstrate that from early years her choices in clothing, attitude etc. were feminine.

Judgment Nr. 281E/2017 of the Thessaloniki Magistrate's Court

This is a case of a male-to-female citizen. The court applies all the above mentioned case-law plus article 2 of the International Covenant on Economic, Social and Cultural Rights.  The court accepts its jurisdiction notwithstanding
the relevant registry was not that of Thessaloniki but of Chalkida.

Judgment Nr. 146/2017 of the Amarousion Magistrate's Court

The court in this female-to-male judgment refers to the Charter of Fundamental Rights of the European Union (right to health).

Judgment Nr. 1147/2017 of the Thessaloniki Magistrate's Court

This is the first  northern Greece case of a male-to-female  with just a breast surgery.

Judgment Nr. 1708/2017 of the Athens Magistrate's Court

This is the first case of gender identity legal recognition of a female to male citizen. The novelty is that the judgment does no refer to the previous relevant case law, while it follows its very wording.

Judgment Nr. 672018 of the Amarousion Magistrate's Court

This is the first case on legal recognition of a non binary person. The court recognised the non - binary identity and accepted the modification of its birth certificate with regard the person's name (Jason - Antogone). Nevertheless it rejected the request for deletion of the gender sign from the registry. The case is pending before the appeals court.

Μεταβολή στοιχείων τρανς ατόμων σε υπηρεσίες ιδιωτικού τομέα

Μετά την ληξιαρχική μεταβολή στοιχείων φύλου και ονοματεπωνύμου κατά τον Ν.4491/2017, τα διεφυλικά άτομα αναμένουν την μεταβολή στοιχείων δ...