Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων

Αγαπητοί συνάδελφοι,

   Το τελευταίο διάστημα είναι διάχυτη η ανησυχία και ανασφάλεια όλων μας για την επαγγελματική μας υπόσταση και τους κινδύνους που ελλοχεύουν στο μέλλον. Έχοντας ως δεδομένο πως βασική αρχή για την αντιμετώπιση των απειλών είναι να τις γνωρίζουμε και να κατανοούμε το αντίκτυπο τους, με το παρόν άρθρο εγκαινιάζουμε μια σειρά δημοσιεύσεων που έχουν ως στόχο την εξοικείωση των συναδέλφων με τις προκλήσεις του μέλλοντος και σκοπό: α) την ενημέρωση τους, β) την επαγρύπνηση τους και γ) να καταστούν κοινωνοί του προβλήματος και ει δυνατόν να συμβάλλουν στην αντιμετώπιση του.

  Κύριος παράγοντας για την επιλογή του θέματος του παρόντος άρθρου είναι το γεγονός ότι ο νέος Γενικός Κανονισμός Προσωπικών Δεδομένων ( εφεξής ΓΚΠΔ ) ή αλλιώς Ευρωπαϊκός Κανονισμός 679/2016 ( ευρύτερα γνωστός ως G.D.P.R. – General Data Protection Regulation ) , τίθεται σε εφαρμογή την 25η Μαΐου του 2018, ως εκ τούτου είναι η εγγύτερη χρονικά πρόκληση που θα κληθεί ν΄ αντιμετωπίσει ο Κλάδος μας.

Γιατί ένας νέος κανονισμός;

   Οι λόγοι θέσπισης του νέου Κανονισμού ουσιαστικά είναι δύο:

Α) Την προστασία Προσωπικών Δεδομένων έως σήμερα ρύθμιζε η οδηγία 95/46/ΕΚ. Στο Κανονιστικό πλαίσιο της Ευρωπαϊκής Ένωσης ο όρος “οδηγία” υποδηλώνει σύσταση προς τα κράτη μέλη στα οποία επαφίεται ο τρόπος και ο βαθμός ενσωμάτωσης της στο Εθνικό τους Δίκαιο. Αντίθετα ο όρος “κανονισμός” υποδηλώνει υποχρέωση συμμόρφωσης των κρατών μελών, είναι δεσμευτικός σε όλα τα μέρη του, υπερισχύει του Εθνικού Δικαίου και ισχύει άμεσα σε κάθε κράτος μέλος. Υπήρξε λοιπόν η ανάγκη ενός ισχυρού θεσμικού πλαισίου, κοινά και καθολικά εφαρμοστέου στο σύνολο των χωρών της Ε.Ε.

Β) Το 1995 που θεσπίστηκε η οδηγία 95/46/ΕΚ,  οι τεχνολογίες πληροφορίας κι επικοινωνίας ( εφεξής ΤΠΕ ) ήταν σε πρώιμο στάδιο, το διαδίκτυο δεν είχε εισχωρήσει τόσο έντονα στη ζωή μας, δεν υπήρχαν έξυπνα κινητά, ηλεκτρονικές τραπεζικές συναλλαγές, ηλεκτρονικό εμπόριο, ενώ και το ηλεκτρονικό έγκλημα ήταν ακόμα σε νηπιακή μορφή. Ως εκ τούτου κατέστη αναγκαία η διαμόρφωση ενός Κανονισμού που θα ενσωματώνει τις εξελίξεις στις ΤΠΕ.

Μας αφορά ο νέος κανονισμός;

   Θα μπορούσε κάποιος ν’ αναρωτηθεί για ποιο λόγο ο ΓΚΠΔ ενδιαφέρει τον κλάδο μας αφού εμείς δεν χρησιμοποιούμε ΤΠΕ στη δουλειά μας; Στους δε σκεπτικιστές – αρνητές των νέων τεχνολογιών θα μπορούσε να δοθεί ένα “πάτημα” ενάντια στην ψηφιοποίηση του επαγγέλματος. Δυστυχώς για όλους τους παραπάνω, το άρθρο 2,παρ. 1 του ΓΚΠΔ δεν αφήνει το παραμικρό περιθώριο παρερμηνείας υπέρ των σκέψεων τους και το παραθέτουμε αυτούσιο ( όπου στο κείμενο χρησιμοποιείται πλάγια γραφή, σημαίνει ότι το συγκεκριμένο σημείο έχει ληφθεί αυτούσιο από τον ΓΚΠΔ )

Άρθρο 2 Ουσιαστικό πεδίο εφαρμογής 1.Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

Όποιες δε εξαιρέσεις απ’ την εφαρμογή του κανονισμού περιγράφονται με σαφήνεια στην παράγραφο 2 του ιδίου άρθρου, την οποία επίσης παραθέτουμε:

2.Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:

α) στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης,

 β) από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του κεφαλαίου 2 του τίτλου V της ΣΕΕ, ( σ.σ. Αναφέρεται στις πολιτικές για τους ελέγχους στα σύνορα, το άσυλο και τη μετανάστευση )

γ) από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας,

δ) από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.

 

Τι περιλαμβάνει η επεξεργασία δεδομένων;

 

Αφού λοιπόν ξεκαθαρίστηκε το πεδίο εφαρμογής του κανονισμού, θα ήταν χρήσιμο να αποσαφηνίσουμε ορισμένες έννοιες που μας αφορούν, όπως αυτές περιγράφονται στο άρθρο 4 (Ορισμοί) του ΓΚΠΔ:

• «Δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
• «Επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
• «Υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.
• «Εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
• «Αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας.
• «Τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα.
• «Παραβίαση δεδομένων προσωπικού χαρακτήρα»: ή παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.

  Από τους παραπάνω ορισμούς θα μπορούσαμε να πούμε ότι ο Δικαστικός Επιμελητής είναι ο εκτελών την επεξεργασία, λαμβάνοντας παράλληλα υπ’ όψιν το αυτοπρόσωπο των ενεργειών μας και την αυτόνομη φύση του λειτουργήματος μας, ο ίδιος θεωρείται πως έχει και την ευθύνη επεξεργασίας, ενώ ως τρίτος μπορεί να εκληφθεί είτε ο υπάλληλος του γραφείου μας, είτε ο συμπράττων μάρτυρας, οι οποίοι έχουν πρόσβαση στα προσωπικά δεδομένα που διαχειρίζεται ο Δικαστικός Επιμελητής.

 Τι νέο φέρνει ο ΓΚΠΔ;

 Σημαντικότατη καινοτομία του ΓΚΠΔ είναι τα δικαιώματα που παρέχει στον πολίτη σε ό,τι  αφορά την διαχείριση των προσωπικών του δεδομένων. Ενδεικτικά το δικαίωμα στην ενημέρωση, στην πρόσβαση, στην διόρθωση και διαγραφή, στον περιορισμό της επεξεργασίας και αρκετά άλλα που δεν άπτονται άμεσα της αρμοδιότητάς μας.

  Για να μην υπεισέλθουμε σε λεπτομέρειες που ίσως κουράσουν ή και μπερδέψουν τον αναγνώστη, ως γενική και θεμελιώδης αρχή για το νέο ΓΚΠΔ είναι η πρόληψη κυρίως μέσω της οργάνωσης του οργανισμού ή φορέα που υποχρεούται σε συμμόρφωση προς τον κανονισμό, αφού ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση με τον κανονισμό (αρχή της λογοδοσίας, άρθρο 5, παρ. 2 ΓΚΠΔ).

  Σε ό,τι αφορά τις γενικές υποχρεώσεις του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία, είναι τα πρόσωπα κλειδιά στην όλη διαδικασία αφού αφ’ ενός είναι υπόχρεοι στην τήρηση του κανονισμού, αφ’ ετέρου έχουν την ευθύνη σχεδιασμού και υλοποίησης των μέτρων που απαιτούνται για την ασφαλή επεξεργασία των δεδομένων καθώς  είναι τα πρόσωπα που λογοδοτούν για αυτό. Ο δε υπεύθυνος επεξεργασίας έχει την ευθύνη για την λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφαλείας έναντι των κινδύνων.

  Υποχρεούται εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος της παραβίασης των  δεδομένων προσωπικού χαρακτήρα, στην γνωστοποίηση του στην αρμόδια εποπτική αρχή και εφ’ όσον συντρέχουν μια σειρά από προϋποθέσεις και στο υποκείμενο των δεδομένων.

  Ένας ακόμα νέος θεσμός του ΓΚΠΔ είναι ο ορισμός του Υπεύθυνου Προστασίας Δεδομένων (εφεξής ΥΠΔ). Η ευθύνη για τον ορισμό του ΥΠΔ ανήκει στον υπεύθυνο επεξεργασίας και τον εκτελούντα την  επεξεργασία – ειδικά αν η επεξεργασία διενεργείται από Δημόσια αρχή ή φορέα – εκτός από τα Δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας. Ο ΥΠΔ έχει κατ’ αρχήν συμβουλευτικό ρόλο, παρακολουθεί τη συμμόρφωση με τον ΓΚΠΔ, συνεργάζεται και επικοινωνεί με την εποπτική αρχή.

  Μία επιπλέον δυνατότητα που προβλέπει ο ΓΚΠΔ είναι η θέσπιση Κωδίκων Δεοντολογίας ειδικά σε Ενώσεις ή άλλους φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία, οι οποίοι εγκρίνονται από αρμόδια επιτροπή.  Η καθιέρωση τέτοιων Κωδίκων δεν είναι μεν υποχρεωτική, θεωρείται δε βέλτιστη πρακτική για την ορθή κι ασφαλή διαχείριση των δεδομένων κι ως τέτοια ενθαρρύνεται. Επίσης προβλέπεται η δυνατότητα πιστοποίησης σύμφωνα με διεθνή πρότυπα για την παροχή κατάλληλων εγγυήσεων για την ασφαλή επεξεργασία των δεδομένων από τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία. Βασικότατη παράμετρος που εισάγει ο νέος κανονισμός είναι τα αυστηρά πρόστιμα που προβλέπει και οι αυξημένες αρμοδιότητες των εποπτικών αρχών στην επιβολή κυρώσεων.

Στα καθ’ υμάς;

  Η Ευρωπαϊκή Ένωση Δικαστικών Επιμελητών αντιλαμβανόμενη τη σοβαρότητα του νέου κανονισμού και τις επιπτώσεις που αυτός θα έχει στο περιβάλλον εργασίας του Ευρωπαίου Δικαστικού Επιμελητή, στην συνάντηση των Προέδρων των Ευρωπαϊκών Ομοσπονδιών που έλαβε χώρα στις 22 Νοεμβρίου 2017 στο Παρίσι (η Ελλάδα εκπροσωπήθηκε από τον Πρόεδρο και τον Αντιπρόεδρο της ΟΔΕΕ κ.κ. Γεώργιο Μήτση και Δημήτριο Τσιτσώνη – ο κ. Τσιτσώνης και υπό την ιδιότητα του μέλους της Εκτελεστικής Επιτροπής της Ε.Ε.Δ.Ε.) κάλεσε τον Βέλγο Δικηγόρο, ειδικό επί Ευρωπαϊκών θεμάτων κ. Ramon Garcia Gallardo, ο οποίος έκανε μια εκτενή παρουσίαση του ΓΚΠΔ και ανέλυσε όλες τις κρίσιμες παραμέτρους του. Ως βασική και άμεση ενέργεια ο κ. Garcia πρότεινε την πρόσληψη – είτε ως οργανική θέση, είτε ως εξωτερικού συνεργάτη – Υπεύθυνου Προστασίας Δεδομένων είτε στις Εθνικές Ομοσπονδίες, είτε στους κατά τόπους Συλλόγους, προκειμένου ο ΥΠΔ να καθορίσει τις πολιτικές και τις ενέργειες του κλάδου στον τομέα της προστασίας δεδομένων σε κάθε χώρα.

  Σήμερα, με λίγες εβδομάδες ν’ απομένουν μέχρι την έναρξη ισχύος του ΓΚΠΔ στη χώρα μας και προκύπτουν τα παρακάτω ερωτήματα:

• Έχει προβεί η Ομοσπονδία στις απαραίτητες ενέργειες για την κάλυψη της θέσης του Υπεύθυνου Προστασίας Δεδομένων, όπως εγκαίρως προτάθηκε από την Ε.Ε.Δ.Ε.;
• Έχουν ενημερωθεί επαρκώς οι Σύλλογοι και τα μέλη τους για την έλευση του νέου κανονισμού και τις υποχρεώσεις που απορρέουν από αυτόν;
• Έχει ληφθεί μέριμνα στους προϋπολογισμούς των Συλλόγων και της Ομοσπονδίας για την πρόβλεψη πιστώσεων για ενδεχόμενες δαπάνες που θα αφορούν την εφαρμογή του κανονισμού;
• Υπάρχει σχεδιασμός ενεργειών αντίδρασης σε περίπτωση που μεγάλοι εντολείς ζητήσουν συμμόρφωση με τον ΓΚΠΔ;
• Υπάρχει πρόβλεψη ούτως ώστε στην αναθεώρηση του Κώδικα μας να ενσωματώνονται οι διατάξεις του ΓΚΠΔ όπου απαιτείται;
• Προβλέπεται ενδεχόμενο υιοθέτησης διεθνών προτύπων πιστοποίησης ασφάλειας προσωπικών δεδομένων από τον κλάδο;
• Προβλέπεται σύνταξη Κώδικα Δεοντολογίας σύμφωνα με το άρθρο 40 του ΓΚΠΔ;

  Με την ελπίδα ότι το διάστημα έως τις 25/05/2018 μπορεί να επαρκεί για ουσιαστικές θετικές απαντήσεις στα παραπάνω ερωτήματα, δεσμευόμαστε για την παρουσίαση στο προσεχές διάστημα ενός πακέτου ενεργειών που θα μπορούσε ένα μικρό ή μεσαίο γραφείο Δικαστικών Επιμελητών να υιοθετήσει σε πρώτη φάση, ούτως ώστε να έχει μια κατ’ αρχήν συμβατότητα με τα οριζόμενα στον ΓΚΠΔ.

Για την ΠΡΟ.ΣΥ.ΔΕ.

Γεώργιος Α. Γρηγόρης

Δικαστικός Επιμελητής Περιφέρειας Εφετείου Αθηνών

Βιβλιογραφία – πηγές: α) Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης , τεύχος L 119/04/05/2016, β) «Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων νέο δίκαιο – νέες υποχρεώσεις – νέα δικαιώματα» Λίλιαν Μήτρου, εκδόσεις Σάκκουλα, 2017, γ) «Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (GDPR) Νομική διάσταση και πρακτική εφαρμογή» Λεωνίδα Κοτσαλή και Κων/νου Μενουδάκου, Νομική Βιβλιοθήκη, 2018.