GDPR: Ο νέος Νόμος για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα σε εφαρμογή του Κανονισμού (ΕΕ) 2016/679
Σημαντική σημείωση: Η δημόσια διαβούλευση για τον Νόμο για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα ολοκληρώθηκε στις 5 Μαρτίου.
Σε δημόσια διαβούλευση τέθηκε πριν λίγο το πολυαναμενόμενο σχέδιο του Υπουργείου Δικαιοσύνης για τον Νόμο για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα σε εφαρμογή του Κανονισμού (ΕΕ) 2016/679.
Αντικείμενο του νόμου είναι η θέσπιση των προϋποθέσεων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα προς προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων και ιδίως του δικαιώματος προστασίας προσωπικών δεδομένων.
Διατάξεις που ξεχωρίζουν:
Συγκατάθεση παιδιού[ για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της προσφοράς υπηρεσίας κοινωνίας της πληροφορίας ]
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού στο πλαίσιο της προσφοράς υπηρεσίας κοινωνίας της πληροφορίας απευθείας σε αυτό που θεμελιώνεται σε συγκατάθεση είναι σύννομη, εάν το παιδί που παρέχει τη συγκατάθεση για την επεξεργασία αυτή έχει συμπληρώσει το 15ο έτος. Εάν το παιδί είναι ηλικίας κάτω των 15 ετών, η επεξεργασία αυτή είναι σύννομη μόνο εάν και στον βαθμό που η εν λόγω συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού.
Ορισμός Υπευθύνου Προστασίας Δεδομένων
1. Εκτός από τις περιπτώσεις που αναφέρονται στο άρθρο 37 παρ. 1 του Κανονισμού υποχρέωση ορισμού υπευθύνου προστασίας έχουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες επεξεργασία οι οποίοι εκτελούν πράξεις επεξεργασίας οι οποίες, σύμφωνα με τον κατάλογο που έχει καταρτίσει η Αρχή απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους.
2. Τα δικαστήρια και οι εισαγγελικές αρχές δεν έχουν υποχρέωση ορισμού υπευθύνου προστασίας δεδομένων.
3. Ο ορισμός υπευθύνου προστασίας δεδομένων γίνεται εγγράφως. Κατά τον ορισμό προσδιορίζονται ειδικότερα ιδίως η θέση και τα καθήκοντα που έχει ο υπεύθυνος προστασίας δεδομένων σύμφωνα με τα οριζόμενα στα άρθρα 28 και 39 του Κανονισμού και ο τρόπος με τον οποίο θα τα ασκεί, λαμβανομένων υπόψη της φύσης και των λειτουργιών κάθε υπευθύνου επεξεργασίας ή εκτελούντος επεξεργασία. Ο ορισμός γίνεται για ορισμένο χρονικό διάστημα , εκτός αν συντρέχει σοβαρός λόγος για την ανάκληση του ορισμού ή την παύση του υπευθύνου προστασίας προσωπικών δεδομένων. Ο ορισμός μπορεί να ανανεώνεται.
4. Ο υπεύθυνος επεξεργασίας και ο εκτελών επεξεργασία κοινοποιούν στην Αρχή το όνομα και την ιδιότητα του υπευθύνου προστασίας δεδομένων.
5. Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από υποχρέωση εχεμύθειας και οφείλει να μην ανακοινώνει ή αποκαλύπτει σε οποιονδήποτε τρίτο γεγονότα ή πληροφορίες που περιήλθαν σε γνώση του από τη θέση του κατά την εκτέλεση των καθηκόντων του ή επ’ ευκαιρία αυτών.
Συγκατάθεση του υποκειμένου
1. Όταν η επεξεργασία βασίζεται, σύμφωνα με ρητή διάταξη νόμου, στη συγκατάθεση του υποκειμένου των δεδομένων ή αφορά μέτρα που έχει ζητήσει το ίδιο το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα ή αιτήθηκε μέτρα που συνεπάγονται τέτοια επεξεργασία.
2. Πριν την παροχή της συγκατάθεσης, το υποκείμενο των δεδομένων ενημερώνεται σχετικά με τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα που υπόκειται σε επεξεργασία και ιδίως για την περίπτωση που η επεξεργασία αφορά ειδικές κατηγορίες δεδομένων, τον υπεύθυνο επεξεργασίας, την προβλεπόμενη διάρκεια αυτής και τους συνήθεις αποδέκτες των δεδομένων. Το υποκείμενο των δεδομένων ενημερώνεται επίσης για τις κατά νόμο συνέπειες της συγκατάθεσης ή της μη παροχής της καθώς και για το δικαίωμα ανάκλησης αυτής.
3. Η συγκατάθεση είναι σαφής, συγκεκριμένη, έγγραφη και εν πλήρει επιγνώσει, δήλωση, με την οποία το υποκείμενο των δεδομένων δηλώνει ότι συμφωνεί, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν. Η συγκατάθεση θεωρείται έγκυρη μόνο όταν βασίζεται στην ελεύθερη απόφαση του υποκειμένου, ενώ αξιολογούνται οι συνθήκες υπό τις οποίες δόθηκε.
4. Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της
5. Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης, η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση.
6. Εάν πρόκειται για επεξεργασία ειδικών κατηγοριών δεδομένων , η συγκατάθεση πρέπει διακριτά και ευκρινώς να αναφέρεται σε αυτά τα δεδομένα.
Διαβάστε επίσης: Η έννοια της συγκατάθεσης στον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR)
Πιστοποίηση και Διαπίστευση φορέων πιστοποίησης
1. Οι φορείς πιστοποίησης χορηγούν πιστοποιήσεις προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της συμμόρφωσης προς τον Κανονισμό και το Κεφάλαιο Β’ του παρόντος νόμου από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία.
2. Με την επιφύλαξη του άρθρου 43 του Κανονισμού οι πιστοποιήσεις, σφραγίδες και σήματα προστασίας εκδίδονται βάσει των κριτηρίων που ορίζει η Αρχή, η οποία δημοσιοποιεί τον κατάλογο των κριτηρίων.
3. Η Αρχή μπορεί να ορίζει συμπληρωματικές απαιτήσεις και κριτήρια για τη διαπίστευση φορέων πιστοποίησης. Η Αρχή δημοσιοποιεί τον κατάλογο των πρόσθετων απαιτήσεων για την διαπίστευση των φορέων πιστοποίησης.
4. Η διαπίστευση των φορέων που χορηγούν πιστοποιήσεις σύμφωνα με το άρθρο 42 του Κανονισμού πραγματοποιείται από το Εθνικό Σύστημα Διαπίστευσης Α.Ε.» – ΕΣΥΔ σύμφωνα με το πρότυπο EN-ISO/IEC 17065/2012 και σύμφωνα με τις συμπληρωματικές απαιτήσεις που έχουν οριστεί από την Αρχή σύμφωνα με την παράγραφο 3 του παρόντος.
5. Η Αρχή υποδεικνύει ή κοινοποιεί στο Eθνικό Σύστημα Διαπίστευσης Α.Ε. τις περιπτώσεις όπου οι προϋποθέσεις διαπίστευσης δεν πληρούνται ή δεν πληρούνται πλέον ή εφόσον οι ενέργειες του φορέα πιστοποίησης παραβαίνουν τον Κανονισμό και τον παρόντα νόμο.
6. Η ανάκληση των διαπιστεύσεων γίνεται από το Eθνικό Σύστημα Διαπίστευσης Α.Ε., το οποίο ζητά τη γνώμη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Ποινικές κυρώσεις
1. Όποιος με πρόθεση επεµβαίνει χωρίς δικαίωµα µε οποιονδήποτε τρόπο σε αρχείο δεδοµένων προσωπικού χαρακτήρα και με την επέμβαση αυτή λαµβάνει γνώση των δεδοµένων αυτών ή τα αφαιρεί, αλλοιώνει, βλάπτει, καταστρέφει, επεξεργάζεται, µεταδίδει, ανακοινώνει, τα καθιστά προσιτά σε µη δικαιούµενα πρόσωπα ή επιτρέπει στα πρόσωπα αυτά να λάβουν γνώση των εν λόγω δεδοµένων, ή τα εκµεταλλεύεται µε οποιονδήποτε τρόπο, τιµωρείται µε φυλάκιση.
2. Εάν οι αξιόποινες πράξεις της παραγράφου 1 αφορούν ειδικές κατηγορίες δεδομένων ή δεδομένα που αναφέρονται σε ποινικές διώξεις, μέτρα ασφαλείας ή ποινικές καταδίκες τιμωρούνται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηµατική ποινή από δέκα χιλιάδες ευρώ (10.000) έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιµωρείται βαρύτερα από άλλες διατάξεις.
3. Αν ο υπαίτιος των πράξεων των προηγούμενων παραγράφων είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον, τιμωρείται με φυλάκιση τουλάχιστον τριών ετών και χρηματική ποινή από εκατό χιλιάδες ευρώ (100.000) έως τριακόσιες χιλιάδες ευρώ (300.000), εάν η πράξη δεν τιµωρείται βαρύτερα από άλλες διατάξεις.
4. Αν από τις πράξεις των παραγράφων 1 έως και 3 του παρόντος άρθρου προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δηµοκρατικού πολιτεύµατος ή για την εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηµατική ποινή από εκατό χιλιάδες ευρώ (100.000) έως τριακόσιες χιλιάδες ευρώ (300.000).
5. Υπεύθυνος προστασίας δεδομένων που παραβιάζει την υποχρέωση εχεμύθειας που τον βαρύνει στο πλαίσιο του επαγγελματικού απορρήτου ανακοινώνοντας ή αποκαλύπτοντας σε άλλον γεγονότα ή πληροφορίες που περιήλθαν σε γνώση του από τη θέση του κατά την εκτέλεση των καθηκόντων του ή επ’ ευκαιρία αυτών, με σκοπό να ωφεληθεί ο ίδιος ή τρίτος, ή για να βλάψει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ή το υποκείμενο των δεδομένων ή οποιονδήποτε τρίτο τιμωρείται με ποινή φυλάκισης τουλάχιστον ενός (1) έτους και χρηματική ποινή από δέκα χιλιάδες (10.000) ευρώ έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιμωρείται βαρύτερα από άλλες διατάξεις.
6. Οι πράξεις των παραγράφων 1,2,3 και 5 διώκονται ύστερα από έγκληση.
7. Τα κακουργήματα που προβλέπονται στο παρόν άρθρο υπάγονται στην αρμοδιότητα του Τριμελούς Εφετείου Κακουργημάτων.
Μπορείτε να δείτε αναλυτικά το σχέδιο νόμου εδώ και να συμμετέχετε στη διαβούλευση, η οποία λήγει στις 5 Μαρτίου, εδώ.