Δεδομένα προσωπικού χαρακτήρα.Ψηφίστηκε ο νομός 4624/ 2019 για την  Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, το Γενικό Κανονισμό για την προστασία δεδομένων προσωπικού χαρακτήρα   2016/679 (GDPR)  και  την Οδηγία (ΕΕ) 2016/68.

 

Σκοπός του  νόμου, με βάση   τα αναφερόμενα στο  πρώτο του άρθρο  είναι: α) η αντικατάσταση του νομοθετικού πλαισίου που ρυθμίζει τη συγκρότηση και λειτουργία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, β) η λήψη μέτρων εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων Προσωπικού Χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, εφεξής: ΓΚΠΔ), γ) η ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων Προσωπικού Χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης - πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου.

 

Σύμφωνα με την αιτιολογική έκθεση του νόμου 4624/2019 στις 6 Απριλίου 2016 η ΕΕ πραγματοποίησε μια σημαντική νομοθετική μεταρρύθμιση του πλαισίου προστασίας των δεδομένων προσωπικού χαρακτήρα, εγκρίνοντας τη νομοθετική δέσμη μέτρων, που περιλαμβάνει: α) τον ΓΚΠΔ (GDPR), ο οποίος αντικατέστησε την από εικοσαετίας ισχύουσα οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών(ΕΕ L της 23.11.1995, σελ. 31) («Οδηγία για την προστασία των δεδομένων») και β) την Οδηγία για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τις αρχές επιβολής του νόμου, τα ποινικά δικαστήρια, τις ανακριτικές και εισαγγελικές αρχές. Ο ΓΚΠΔ(GDPR) ενισχύει την προστασία των φυσικών προσώπων όσον αφορά το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα, αντικατοπτρίζοντας τη φύση της προστασίας των δεδομένων ως θεμελιώδους δικαιώματος για την Ευρωπαϊκή Ένωση.

Εξάλλου στην ίδια ως άνω έκθεση επισημαίνεται ότι οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της συλλογής και της ανταλλαγής δεδομένων προσωπικού χαρακτήρα αυξήθηκε σημαντικά. Η τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την επιδίωξη των δραστηριοτήτων τους.(Για να δείτε το κείμενο της αιτιολογικής έκθεσης, όπως δημοσιεύθηκε στο www.hellenicparliament.gr πατήστε εδώ

Ακολούθως στο κείμενο της αιτιολογικής έκθεση τονίζεται :

- η αναγκαιότητα που προκύπτει  η τεχνολογία να διευκολύνει περαιτέρω την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης και τη διαβίβαση σε   τρίτες χώρες και διεθνείς οργανισμούς, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα.

 - ότι τα φυσικά πρόσωπα ολοένα και περισσότερο δημοσιοποιούν προσωπικές πληροφορίες και τις καθιστούν διαθέσιμες σε παγκόσμιο επίπεδο. Οι εξελίξεις αυτές απαιτούν ένα ισχυρό και πιο συνεκτικό πλαίσιο.

Περαιτέρω γίνεται αναφορά :

  -στη δυνατότητα που διαθέτουν τα κράτη μέλη , οσάκις ο  ΓΚΠΔ (GDPR) προβλέπει προδιαγραφές ή περιορισμούς των κανόνων του από το δίκαιο των κρατών μελών, να ενσωματώσουν στοιχεία του  ΓΚΠΔ (GDPR) στο εθνικό τους δίκαιο, στην έκταση που απαιτείται για λόγους συνεκτικότητας και για να είναι κατανοητές οι εθνικές διατάξεις στα πρόσωπα για τα οποία αυτές εφαρμόζονται.

 - στο  ότι ενώ οι στόχοι και οι αρχές της οδηγίας 95/46/ΕΚ παραμένουν ισχυρές, η οδηγία αυτή δεν κατόρθωσε να αποτρέψει τον κατακερματισμό της εφαρμογής της προστασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση, την ανασφάλεια δικαίου ή τη διαδεδομένη στο κοινό αντίληψη ότι υπάρχουν σημαντικοί κίνδυνοι για την προστασία των φυσικών προσώπων, ιδίως όσον αφορά την επιγραμμική δραστηριότητα(on line).

- στο ότι οι  διαφορές στο επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων, ιδίως του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα όσον αφορά την επεξεργασία αυτών στα κράτη μέλη, ενδέχεται να εμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων αυτών σε ολόκληρη την Ένωση. Σύμφωνα με τα διαλαμβανόμενα στη αιτιολογική έκθεση , οι διαφορές αυτές μπορεί να συνιστούν εμπόδιο για την άσκηση οικονομικών δραστηριοτήτων στο επίπεδο της Ένωσης, να στρεβλώνουν τον ανταγωνισμό και να εμποδίζουν τις αρχές στην εκτέλεση των αρμοδιοτήτων τους, όπως αυτές απορρέουν από το δίκαιο της Ένωσης. Αυτή η διαφορά ως προς τα επίπεδα προστασίας οφείλεται στην ύπαρξη αποκλίσεων κατά την εκτέλεση και εφαρμογή της Οδηγίας 95/46/ΕΚ. Εξάλλου, αν και η Οδηγία 95/46/ΕΚ εφαρμόζεται σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη της Ευρωπαϊκής Ένωσης, τόσο στο δημόσιο όσο και στον ιδιωτικό τομέα, δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία πραγματοποιείται στο πλαίσιο εφαρμογής του ενωσιακού δικαίου, όπως δραστηριότητες στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας

Υπό την παραδοχή των προαναφερομένων   για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης  στην έκθεση επισημαίνεται ότι:

-το επίπεδο προστασίας των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη.

- θα πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση.

Ειδική μνεία  γίνεται στο πλαίσιο εφαρμογής του GDPR  και ειδικότερα :

- αφενός στο ότι   ο  ΓΚΠΔ (GDPR) , λόγω της νομικής φύσης του, δεν απαιτεί την έκδοση ιδιαίτερης νομικής πράξης εφαρμογής από τα κράτη μέλη, δεσμεύοντας άμεσα τα κρατικά όργανα, τις δημόσιες αρχές και τα δικαστήρια, καθώς και όλα τα πρόσωπα, φυσικά και νομικά, που εμπίπτουν στο πεδίο εφαρμογής του αφετέρου στο  ότι  περιέχει αρκετές «ρήτρες ευελιξίας» και «ρήτρες ανοίγματος», αναγνωρίζοντας στα κράτη μέλη την ευχέρεια να εξειδικεύσουν τους κανόνες του,  συμπεριλαμβανομένων και εκείνων που αφορούν την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, και να προσδιορίσουν τις περιστάσεις ειδικών καταστάσεων επεξεργασίας, μεταξύ άλλων τον ακριβέστερο καθορισμό των προϋποθέσεων υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι νόμιμη.

  -    στο ότι  ο εθνικός νομοθέτης αξιοποιεί την ευχέρεια που παρέχει ο ΓΚΠΔ ως προς την έκταση των εξαιρέσεων (άρθρο 23 παράγραφος 1) αλλά και ως προς τη ρύθμιση ειδικών περιπτώσεων επεξεργασίας, όπως η επεξεργασία των δεδομένων στο πλαίσιο της απασχόλησης ή για τους σκοπούς της επιστημονικής έρευνας, για να εξειδικεύσει και να συμπληρώσει τις ρυθμίσεις του ενωσιακού δικαίου, κατά τρόπο ώστε να ενισχύει την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

Εξάλλου και  σχετικά με την ενσωμάτωση  της Οδηγίας 2016/680 επισημαίνεται στην αιτιολογική έκθεση του νόμου 4624/2019  η αντίστοιχη  κανονιστική επιλογή ως προς την ενσωμάτωση της Οδηγίας, οι ρυθμίσεις της οποίας επιτρέπουν την οικοδόμηση ενός ισχυρού και συνεκτικότερου πλαισίου προστασίας των δεδομένων προσωπικού χαρακτήρα, όταν αυτά γίνονται αντικείμενο επεξεργασίας από τις αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, διακρίβωσης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους. Συναφώς διευκρινίζεται ότι η Οδηγία 2016/680  δεν εμποδίζει τα κράτη μέλη να θεσπίσουν ισχυρότερες διασφαλίσεις από αυτές που προβλέπονται στην Οδηγία για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων (αιτιολογική σκέψη 15 της Οδηγίας), η επεξεργασία των δεδομένων προσωπικού χαρακτήρα ρυθμίζεται με τρόπο ώστε να προδιαγράφεται ένα υψηλό επίπεδο προστασίας, το οποίο ωστόσο εναρμονίζεται με τη δυνατότητα επίτευξης των νόμιμων στόχων αναφορικά με την πρόληψη, διερεύνηση, ανίχνευση ή δίωξη ποινικών αδικημάτων και της εκτέλεσης ποινικών κυρώσεων και την προστασία της δημόσιας ασφάλειας.

Επιπρόσθετα, στην αιτιολογική έκθεση διατυπώνεται η  άποψη  ότι ο ΓΚΠΔ (GDPR) αποτελεί ένα «ατυπικό υβρίδιο» κανονισμού και οδηγίας, γεγονός που αποδεικνύεται από την πρόβλεψη σε αυτόν άνω των 70 ρητρών ανοίγματος ενώ διευκρινίζεται ότι  και για λόγους ασφάλειας δικαίου, σαφήνειας και συνεκτικότητας των ρυθμίσεων, ο ν.2472/1997 (Α΄50) για την προστασία του ατόμου έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ο οποίος ήταν γενικής εφαρμογής, καταργείται με την επιφύλαξη ωστόσο διατήρησης σε ισχύ ορισμένων διατάξεών του.

Επισημαίνεται τέλος, ότι οι ρυθμίσεις του νόμου 4624/2019 θα πρέπει να ερμηνεύονται υπό το πρίσμα του γράμματος και του πνεύματος της ενωσιακής νομοθεσίας, ειδικότερα δε, υπό το φως της παραγράφου 1 του άρθρου 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και της παραγράφου 1 του άρθρου 16 της Συνθήκης για τη Λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) που ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, αλλά και της σχετικής νομολογίας του ΕΔΔΑ, του ΔΕΕ και των εθνικών δικαστηρίων. Αντίστοιχη οριοθέτηση της ευχέρειας του εθνικού νομοθέτη, αλλά και του ερμηνευτή και εφαρμοστή των  κανόνων του νόμου 4624/2019  συνιστά ιδίως το άρθρο 9Α του ελληνικού Συντάγματος

Με το νέο νόμο 4624/2019, σύμφωνα με τα ειδικότερα διαλαμβανόμενα στην έκθεση αξιολόγησης συνεπειών ρυθμίσεων, επισημαίνεται ότι υιοθετούνται  μέτρα για την προσαρμογή της εθνικής νομοθεσίας για την προστασία δεδομένων στον Κανονισμό (ΕΕ) 2016 /679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου  της 27ης Απριλίου 2016 (ΓΚΠΔ-GDPR)  σε συμμόρφωση με τις «ρήτρες ευελιξίας» και «ρήτρες ανοίγματος» που παρέχει ο ΓΚΠΔ  προκειμένου να λειτουργήσει απρόσκοπτα ο δημόσιος και ιδιωτικός τομέας.(Για να δείτε ο κείμενο της έκθεσης  αξιολόγησης συνεπειών ρυθμίσεων, όπως δημοσιεύθηκε στο www.hellenicparliament . gr   πατήστε εδώ) .

Συγκεκριμένα στην ως άνω  έκθεση σημειώνεται ότι:

-Οριοθετείται το πεδίο εφαρμογής των  διατάξεων το νόμου

-Δίνεται  ο ορισμός του δημοσίου και ιδιωτικού φορέα

-Προβλέπονται για  λόγους σαφήνειας ρυθμίσεις για τον ορισμό Υπεύθυνου Προστασίας Δεδομένων(Data Protection Officer- DPO) σε δημόσιους φορείς.

-Λαμβάνεται πρόνοια για τις ειδικότερες προϋποθέσεις  συμμετοχής των ανηλίκων στο πλαίσιο προσφοράς υπηρεσίας στην κοινωνία της πληροφορίας (άρθρο 8 ΓΚΠΔ)

-Για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα  από δημόσιους φορείς (άρθρο 9 ΓΚΠΔ, ευαίσθητα δεδομένα), απαραίτητο  για την επεξεργασία δεδομένων που  αφορούν την υγεία για την απρόσκοπτη λειτουργία των τομέων της παροχής υγείας ή κοινωνικής περίθαλψης για την αντιμετώπιση διασυνοριακών απειλών υγείας, για τα φάρμακα, για τις μετανεστευτικές ροές

-Απαγορεύεται η επεξεργασία γενετικών δεδομένων για σκοπούς ασφάλισης  και υγείας

-Για τους περιορισμούς στα δικαιώματα του υποκειμένου των δεδομένων (αρθρο 23 ΓΚΠΔ –GDPR)

-Για την αυτοματοιημένη λήψη αποφάσεως (profiling) ειδικά σε σχέση με τις ασφαλιστικές επιχειρήσεις .

-Για την  περίπτωση επεξεργασίας για άλλους σκοπούς( άρθρο 6 του ΓΚΠΔ-GDPR)

-Για την διαβίβαση δεδομένων μεταξύ δημοσίων φορέων.

Όσον αφορά τις διατάξεις που αφορούν ειδικές περιπτώσεις επεξεργασίας σύμφωνα με το Κεφάλαιο ΙΧ του ΓΚΠΔ(GDPR) προβλέφθηκαν εθνικές  ρυθμίσεις για την επεξεργασία  στο πλαίσιο της απασχόλησης (εργαζόμενοι) τόσο στο δημόσιο, όσο και στον ιδιωτικό τομέα, προς το συμφέρον εργοδοτών και εργαζομένων , για την αρχειοθέτηση προς το δημόσιο συμφέρον , για την επεξεργασία  για επιστημονικούς και στατιστικούς σκοπούς  και για το δικαίωμα έκφρασης και ενημέρωσης, όπου ελήφθη υπόψη η διαμορφωμένη νομολογία του ΔΕΕ και ΕΔΔΑ (υπόθεση ΔΕΕ Google Spain κ.α)

Προβλέπει σύστημα ποινικών κυρώσεων καθώς και ειδικό σύστημα διοικητικών κυρώσεων , προκειμένου για δημόσιους φορείς ,κατά ρητή πρόβλεψη του ΓΚΠΔ (GDPR).

Ρυθμίζονται ζητήματα δωσιδικίας των ελληνικών δικαστηρίων (άρθρο 79 παρ.2 ΓΚΠΔ- GDPR)  και εκπροσώπησης του υποκειμένου από μη κερδοσκοπικούς φορείς, οργανισμούς, οργάνωση ή σωματείο ή ένωση προσώπων χωρίς νομική προσωπικότητα μη κερδοσκοπικού χαρακτήρα που έχει συσταθεί και λειτουργεί νομίμως στην Ελληνική Επικράτεια (άρθρο 80 ΓΚΠΔ -GDPR).

Για να δείτε το σύνολο του νόμου  όπως δημοσιεύθηκε στο www.hellenicparliment.gr πατήστε εδώ.