Στις 27.04.2016 ψηφίσθηκε στην Ευρωπαϊκή Ένωση ο Κανονισμός ΕΕ 2016/679 για την προστασία των φυσικών προσώπων από την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα καθώς και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Ο Κανονισμός, πουφέρει το όνομα “General Data Protection Regulation’’ (GDPR- Γενικός Κανονισμός για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα), ετέθη σε εφαρμογή στις 25.05.2018 οπότε και οδηγήσε στην αυτόματη κατάργηση της Οδηγίας 95/46/ΕΚ.
Η θέση του GDPR Κανονισμού σε ισχύ είναι άμεση και δεν απαιτείται ψήφιση νόμου για την ενσωμάτωσή του στην ελληνική νομοθεσία. Παρ’ όλ’ αυτά, δίνεται η δυνατότητα θέσπισης εθνικών μέτρων σε ειδικά θέματα («escape clauses»).
Όπως προαναφέρθηκε, ο Γενικός Κανονισμός ετέθη σε εφαρμογή στις 25.05.2018, απαιτώντας από όλους τους φορείς Δημοσίου και Ιδιωτικού τομέα των κρατών μελών της Ε.Ε να εναρμονισθούν και να συμμορφωθούν με τις νέες διατάξεις και το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα.
Αρκετές επιχειρήσεις- άλλες σε μικρότερο και άλλες σε μεγαλύτερο βαθμό- έχουν ήδη ξεκινήσει προσπάθειες συμμόρφωσης με τις διατάξεις του Κανονισμού, λόγω όμως της πολυπλοκότητας των νεοεισαχθέντων διατάξεων και των αλλαγών που επιφέρει ο Κανονισμός, κυρίως ως προς τις υποχρεώσεις των εμπλεκόμενων στην επεξεργασία μερών, δεν αναμένεται άμεσα πλήρης εναρμόνιση με αυτόν.
Το υπάρχον εθνικό νομικό πλαίσιο
Η προστασία των προσωπικών δεδομένων αποτελούσε ανέκαθεν ένα θεμελιώδες ζήτημα και μία ανάγκη της κοινωνίας, η οποία έπρεπε να ικανοποιηθεί.
Στην Ελλάδα, τα προσωπικά δεδομένα προστατεύονται έως σήμερα με το ν. 2472/1997 (Περί Προστασίας του Ατόμου από την Επεξεργασία Προσωπικών Δεδομένων), με τον οποίο υιοθετήθηκε η (πλέον καταργηθείσα) Οδηγία 95/46/ΕΚ (Για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και της ελεύθερης κυκλοφορίας των δεδομένων αυτών).
Η προστασία των προσωπικών δεδομένων μετά τον Κανονισμό GDPR
Μετά ην θέση σε ισχύ του Κανονισμού 679/2016, το πλαίσιο προστασίας των Δεδομένων Προσωπικού
Χαρακτήρα, γίνεται αυστηρότερο καθώς μεταξύ άλλων προβλέπονται τα εξής :
• Λογοδοσία Υπευθύνου Επεξεργασίας και Εκτελούντος την Επεξεργασία,
• συλλογή δεδομένων αυστηρά για συγκεκριμένους σκοπούς,
• απαιτήσεις ιδιωτικότητας από το σχεδιασμό των πληροφοριακών συστημάτων
• γραπτές πολιτικές συλλογής, διαχείρισης, και προστασίας ασφάλειας,
• διεύρυνση των δικαιωμάτων των υποκειμένων των δεδομένων και διαφανείς πολιτικές ικανοποίησης των νέων δικαιωμάτων των υποκειμένων,
• διενέργεια Μελέτης Εκτίμησης Αντίκτυπου για τους πιθανούς κινδύνους και επιπτώσεις που μπορεί να έχει μία επεξεργασία,
• αυστηρότερες ποινικές και διοικητικές κυρώσεις με αυξημένα πρόστιμα επί του κύκλου εργασιών της επιχείρησης,
• ύπαρξη Υπευθύνου Προστασίας Δεδομένων ως ένα εσωτερικό όργανο που θα δρα ανεξάρτητα και θα εξασφαλίζει την τήρηση των διατάξεων του Κανονισμού στα πλαίσια της εκάστοτε επιχείρησης/ Εταιρείας.
• Διαδικασίες ενημέρωσης της Αρμόδιας Αρχής (εντός 72 ωρών) και των ατόμων (όπου απαιτείται) για κάθε περίπτωση παραβίασης προσωπικών δεδομένων
Συνοψίζοντας, θα μπορούσαμε να πούμε ότι ο νέος Κανονισμός δημιουργεί νέες υποχρεώσεις για κάθε επιχείρηση. Περισσότερες από τις υποχρεώσεις αυτές προϋπήρχαν, αλλά πολύ συχνά δεν λαμβάνονταν σοβαρά υπόψη. Πλέον όμως, η ανάγκη να αποφευχθούν δυσάρεστες επιπτώσεις προκύπτουσες από την άγνοια και την αμέλεια των εμπλεκόμενων μερών, έχει κάνει αναπόφευκτη την προσαρμογή στις διατάξεις και τις απαιτήσεις του νέου Κανονισμού.
ΣΥΝΗΘΕΙΣ ΕΡΩΤΗΣΕΙΣ ΓΙΑ GDPR – ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
1. Τι αντιμετωπίζω αν διέρρευσαν τα προσωπικά μου δεδομένα;
Όταν επιχείρηση, τράπεζα, νοσοκομείο ή δημόσιος φορέας επεξεργάζεται παράνομα τα δεδομένα σας ή υφίσταται διαρροή, ενεργοποιείται το πλαίσιο προστασίας του Γενικού Κανονισμού 2016/679 (GDPR) και του ν. 4624/2019. Τα δικαιώματά σας περιλαμβάνουν την ενημέρωση, την πρόσβαση στα δεδομένα, τη διόρθωση, τη διαγραφή («δικαίωμα στη λήθη»), τον περιορισμό επεξεργασίας και την εναντίωση. Παράλληλα, ο υπεύθυνος επεξεργασίας οφείλει να σας ενημερώσει για το περιστατικό παραβίασης όταν υπάρχει υψηλός κίνδυνος για τα δικαιώματά σας. Η παραβίαση γεννά αξίωση αποζημίωσης τόσο για υλική όσο και για ηθική βλάβη, ανεξάρτητα από τυχόν διοικητικές κυρώσεις που θα επιβληθούν στον υπαίτιο φορέα.
2. Τι μπορώ να κάνω όταν παραβιάζονται τα δεδομένα μου;
Αρχικά υποβάλλεται έγγραφο αίτημα προς τον υπεύθυνο επεξεργασίας (εταιρία, φορέα, ιστοσελίδα) με συγκεκριμένο περιεχόμενο, π.χ. διαγραφή, διόρθωση ή ενημέρωση για την επεξεργασία. Αν δεν απαντήσει εντός μηνός ή απορρίψει το αίτημα, υποβάλλεται καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Παράλληλα, ασκείται αγωγή στο Πολυμελές Πρωτοδικείο για επιδίκαση αποζημίωσης. Σε σοβαρές περιπτώσεις, όπως παράνομη παρακολούθηση, υποκλοπή ή χρήση δεδομένων για εκβιασμό, υποβάλλεται και μήνυση στην Εισαγγελία Πρωτοδικών, η οποία στη συνέχεια διαβιβάζεται στη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος. Η σωστή σειρά κινήσεων και η συγκέντρωση αποδεικτικών στοιχείων από την πρώτη στιγμή ενισχύουν σημαντικά την υπόθεση.
3. Σε πόσο χρόνο πρέπει να κινηθώ νομικά;
Η καταγγελία στην Αρχή Προστασίας Δεδομένων υποβάλλεται κατά κανόνα εντός ενός έτους από τότε που λάβατε γνώση της παραβίασης. Η αξίωση αποζημίωσης από αδικοπραξία παραγράφεται σε πέντε έτη από τη γνώση της ζημίας και του υπόχρεου, ενώ σε κάθε περίπτωση μετά από είκοσι έτη από την παραβίαση. Για ποινικά αδικήματα που σχετίζονται με προσωπικά δεδομένα ισχύουν οι κοινές προθεσμίες παραγραφής του Ποινικού Κώδικα. Πάντως, η άμεση αντίδραση είναι κρίσιμη γιατί τα ψηφιακά αποδεικτικά στοιχεία (logs, μηνύματα, αρχεία καταγραφής) διατηρούνται για περιορισμένο διάστημα από τους παρόχους.
4. Τι έγγραφα και αποδείξεις χρειάζομαι;
Συγκεντρώνεται κάθε αλληλογραφία (email, sms, επιστολές) με τον υπεύθυνο επεξεργασίας, στιγμιότυπα οθόνης (screenshots) από ιστοσελίδες ή πλατφόρμες όπου εμφανίστηκαν τα δεδομένα σας, αντίγραφα συμβάσεων ή όρων χρήσης που υπογράψατε, καθώς και κάθε ενημέρωση που λάβατε για διαρροή. Χρήσιμα είναι ιατρικά πιστοποιητικά αν προκλήθηκε ψυχολογική επιβάρυνση, αποδείξεις οικονομικής ζημίας (αναλήψεις, χρεώσεις) και βεβαιώσεις από τράπεζες ή παρόχους. Στις περιπτώσεις διαρροής βάσεων δεδομένων κρίσιμη είναι η επίσημη ανακοίνωση της εταιρίας ή ρεπορτάζ που τεκμηριώνουν το περιστατικό. Όλα τα στοιχεία διατηρούνται σε αρχικά αρχεία χωρίς επεξεργασία.
5. Τι αποζημίωση μπορώ να διεκδικήσω ρεαλιστικά;
Το ύψος της αποζημίωσης εξαρτάται από τη φύση των δεδομένων (απλά ή ευαίσθητα, όπως υγείας, πολιτικών πεποιθήσεων, σεξουαλικού προσανατολισμού), την έκταση της διαρροής, τον αριθμό των τρίτων που έλαβαν γνώση και τις συνέπειες στη ζωή και την υπόληψή σας. Η νομολογία επιδικάζει σημαντικά ποσά για ηθική βλάβη όταν αποδεικνύεται ψυχική ταλαιπωρία, στιγματισμός ή επαγγελματικές επιπτώσεις. Παράλληλα, αν προκλήθηκε υλική ζημία (π.χ. απάτη μετά από διαρροή τραπεζικών στοιχείων) διεκδικείται και αυτή. Η Αρχή Προστασίας μπορεί να επιβάλει στον υπαίτιο φορέα διοικητικά πρόστιμα έως 20 εκατ. ευρώ ή 4% του παγκόσμιου τζίρου, στοιχείο που ενισχύει τη διαπραγματευτική θέση του θύματος για εξώδικη επίλυση.
6. Ποιος είναι ο ρόλος του δικηγόρου σε αυτές τις υποθέσεις;
Ο δικηγόρος αξιολογεί αν συντρέχει παραβίαση των διατάξεων του GDPR, συντάσσει το αρχικό εξώδικο αίτημα προς τον υπεύθυνο επεξεργασίας με ακριβή νομική θεμελίωση, υποβάλλει την καταγγελία στην Αρχή Προστασίας Δεδομένων και εκπροσωπεί τον πελάτη στην ακροαματική διαδικασία ενώπιόν της. Στη συνέχεια ασκεί αγωγή αποζημίωσης και, όπου απαιτείται, υποβάλλει μήνυση στην Εισαγγελία Πρωτοδικών για ποινικά αδικήματα όπως παράνομη πρόσβαση σε σύστημα πληροφοριών ή παράνομη επεξεργασία δεδομένων. Η εμπειρία της Δικηγορικής Εταιρίας ΖΙΑΜΠΑΡΑ Δ. & Συνεργατών στο ηλεκτρονικό έγκλημα και στις παραβιάσεις δεδομένων διασφαλίζει σωστή τεχνική διαχείριση των ψηφιακών αποδείξεων και συντονισμό με ειδικούς πραγματογνώμονες πληροφορικής όπου χρειάζεται.