Σημαντικές αλλαγές στο νόμο περί απορρήτου δεδομένων

Ο νέος κανονισμός της ΕΕ για την προστασία των δεδομένων (ΓΚΠΔ) θα τεθεί σε ισχύ στις 25 Μαΐου 2018 και αποτελεί τη σημαντικότερη αλλαγή στα προσωπικά δεδομένα εντός της ΕΕ.

Ο ΓΚΠΔ θα έχει ως στόχο την εναρμόνιση των νόμων για την προστασία της ιδιωτικής ζωής σε ολόκληρη την Ευρώπη, την προστασία της ιδιωτικής ζωής των πολιτών της ΕΕ και τη μεταρρύθμιση του τρόπου με τον οποίο οι εταιρείες που δραστηριοποιούνται στην ΕΕ επεξεργάζονται προσωπικά δεδομένα. Θα εφαρμόζεται όχι μόνο σε εταιρείες που είναι εγκατεστημένες στην ΕΕ, αλλά και σε επιχειρήσεις εκτός ΕΕ που προσφέρουν αγαθά ή υπηρεσίες στην αγορά της ΕΕ. Θα εφαρμόζεται επίσης σε όλες τις εταιρείες που επεξεργάζονται και κατέχουν δεδομένα προσωπικού χαρακτήρα πολιτών της ΕΕ, ανεξάρτητα από την έδρα/τα γραφεία της εταιρείας.

Σύμφωνα με τον ΓΚΠΔ, κάθε πληροφορία που αφορά ένα φυσικό πρόσωπο και μπορεί να χρησιμοποιηθεί για την ταυτοποίησή του (άμεσα ή μη) θεωρείται δεδομένο προσωπικού χαρακτήρα. Η επεξεργασία τέτοιων δεδομένων απαγορεύεται εκτός από τους λόγους που προβλέπονται στο άρθρο 6 του ΓΚΠΔ. Επιπλέον, ο ΓΚΠΔ αναφέρεται σε μια "κλειστή" κατηγορία δεδομένων προσωπικού χαρακτήρα (πρόκειται για την αντίστοιχη κατηγορία "ευαίσθητων" δεδομένων προσωπικού χαρακτήρα του Ν. 2472/1997 στην Ελλάδα. Αυτά δεν επιτρέπεται να συλλέγονται παρά μόνο κατά τα προβλεπόμενα στο άρθρο 9 ΓΚΠΔ.

Στις εταιρείες που δεν συμμορφώνονται με τον ΓΚΠΔ θα επιβληθεί πρόστιμο έως και 4% του παγκόσμιου ετήσιου κύκλου εργασιών τους ή πρόστιμο έως και 20 εκατομμύρια ευρώ. Σημειώνεται ότι τα πρόστιμα αυτά θα ισχύουν τόσο για τους υπευθύνους προστασίας δεδομένων όσο και για τους εκτελούντες την επεξεργασία.

"Ελεγκτής" είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλη οντότητα που καθορίζει τους σκοπούς και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. "Επεξεργαστής" είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλη οντότητα που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του υπεύθυνου επεξεργασίας. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν Υπεύθυνος προστασίας δεδομένων ("DPO"). Ο ΥΠΔ μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να εκτελεί τα καθήκοντά του βάσει σύμβασης.

Εν κατακλείδι, απαιτείται η συγκατάθεση του προσώπου του οποίου τα δεδομένα συλλέγονται. Η αίτηση συναίνεσης προς το εν λόγω πρόσωπο πρέπει να αναφέρει σαφώς ότι δίνεται η συγκατάθεσή του/της για τους σκοπούς της επεξεργασίας δεδομένων. Τέλος, ρητή συγκατάθεση απαιτείται μόνο για την επεξεργασία της κλειστής κατηγορίας δεδομένων προσωπικού χαρακτήρα. Για τα απλά δεδομένα προσωπικού χαρακτήρα, αρκεί μια απλή συγκατάθεση.

Για περισσότερες πληροφορίες σχετικά με τα προσωπικά δεδομένα, επικοινωνήστε με τον εταίρο Χάρη Μεϊδάνη στο hmeidanis@hmlaw.gr.