ΚΑΝΟΝΙΣΜΟΣ (GDPR) ΚΑΙ ΔΗΜΟΣΙΑ ΔΙΟΙΚΗΣΗ
Ερώτηση 1: Ποια είναι τα κύρια σημεία του Γενικού Κανονισμού για την Προστασία των Δεδομένων (GDPR) που πρέπει να γνωρίζει κάθε δημόσια διοίκηση;
Απάντηση (με βάση τα Κεφάλαια II και IV του GDPR)
Κάθε δημόσια διοίκηση υπόκειται στους κανόνες του GDPR όταν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα που αφορούν φυσικό πρόσωπο. Οι εθνικές αρχές είναι υπεύθυνες για την υποστήριξη των περιφερειακών και τοπικών αρχών κατά την προετοιμασία τους για την εφαρμογή του GDPR.
Η πλειονότητα των δεδομένων προσωπικού χαρακτήρα που τηρούνται από δημόσιες διοικήσεις συνήθως τίθενται σε επεξεργασία με βάση μια νομική υποχρέωση ή στον βαθμό που τούτο είναι απαραίτητο για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί σε αυτές.
Κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, κάθε δημόσια διοίκηση οφείλει να τηρεί ορισμένες βασικές αρχές (άρθρο 5), στις οποίες περιλαμβάνονται οι εξής:
1. Τα δεδομένα προσωπικού χαρακτήρα:
α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),
β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»),
γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),
δ) είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»),
ε) διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»),
στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
2. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»).
Σε περίπτωση επεξεργασίας με βάση το δίκαιο, το εν λόγω δίκαιο θα πρέπει ήδη να διασφαλίζει ότι αυτές οι αρχές τηρούνται (π.χ. είδη δεδομένων, περίοδος αποθήκευσης και κατάλληλες εγγυήσεις).
Πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, πρέπει να ενημερώνονται τα φυσικά πρόσωπα σχετικά με την επεξεργασία, π.χ. για τους σκοπούς της, τα είδη δεδομένων που συλλέγονται, τους αποδέκτες, καθώς και για τα δικαιώματά τους όσον αφορά την προστασία των δεδομένων.
Κάθε δημόσια διοίκηση πρέπει να διορίσει έναν υπεύθυνο προστασίας δεδομένων (ΥΠΔ), ωστόσο, μπορεί να διορίζεται ένας και μοναδικός υπεύθυνος προστασίας δεδομένων για πολλούς δημόσιους φορείς και ως εκ τούτου να τον μοιράζονται ή μπορούν να αναθέτουν αυτά τα καθήκοντα σε έναν εξωτερικό ΥΠΔ.
Πρέπει επίσης να διασφαλίζει ότι έχει εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα τα οποία καθιστούν ασφαλή τα δεδομένα προσωπικού χαρακτήρα.
Σε περίπτωση εξωτερικής ανάθεσης μέρους της επεξεργασίας σε οργανισμό (που αποκαλείται «εκτελών την επεξεργασία»), πρέπει να υφίσταται σύμβαση ή άλλη νομική πράξη που να εγγυάται ότι ο εκτελών την επεξεργασία παρέχει επαρκείς εγγυήσεις για την υλοποίηση κατάλληλων τεχνικών και οργανωτικών μέτρων που να ανταποκρίνονται στα πρότυπα του GDPR.
Σε περίπτωση που δεδομένα προσωπικού χαρακτήρα που κατέχει μια δημόσια διοίκηση κοινολογηθούν τυχαία ή παράνομα σε μη εξουσιοδοτημένους αποδέκτες ή είναι προσωρινά μη διαθέσιμα ή έχουν αλλοιωθεί, πρέπει να ειδοποιηθεί η αρχή προστασίας δεδομένων (ΑΠΔ) σχετικά με την παραβίαση χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός 72 ωρών από τη στιγμή που διαπιστώνεται η παραβίαση.
Επίσης, ενδέχεται να πρέπει η δημόσια διοίκηση να ενημερώσει τα άτομα σχετικά με την παραβίαση.
Ερώτηση 2: Πώς πρέπει να διεκπεραιώνονται τα αιτήματα φυσικών προσώπων;
Απάντηση (με βάση το Κεφάλαιο III του GDPR )
Φυσικά πρόσωπα μπορούν να επικοινωνήσουν με μια δημόσια διοίκηση για να ασκήσουν δικαιώματά τους σύμφωνα με τον GDPR (δικαιώματα πρόσβασης, διόρθωσης, διαγραφής, περιορισμού, ένστασης, δικαίωμα να μην υπόκεινται σε αυτοματοποιημένη λήψη αποφάσεων).
Επίσης τα φυσικά πρόσωπα έχουν δικαίωμα να εναντιωθούν στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσια διοίκηση για λόγους δημόσιου συμφέροντος.
Στην περίπτωση αυτή, πρέπει να ενημερώσουν τη δημόσια διοίκηση σχετικά με τους λόγους που αφορούν την ιδιαίτερη κατάστασή τους.
Η δημόσια διοίκηση μπορεί να συνεχίσει να επεξεργάζεται τα δεδομένα, και επομένως να απορρίψει το αίτημά τους, εάν αποδεικνύει ότι έχει επιτακτικούς και νόμιμους λόγους για την επεξεργασία που υπερισχύουν των συμφερόντων και των δικαιωμάτων του ατόμου ή εάν τα δεδομένα είναι απαραίτητα για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων.
Τα άτομα δεν έχουν δικαίωμα διαβίβασης δεδομένων που τα αφορούν τα οποία είναι απαραίτητα για την εκτέλεση καθήκοντος που ασκείται για το δημόσιο συμφέρον ή στο πλαίσιο άσκησης δημόσιας εξουσίας που έχει ανατεθεί σε αυτά.
Μια δημόσια διοίκηση πρέπει να απαντά στα αιτήματα που υποβάλλονται από φυσικά πρόσωπα χωρίς αδικαιολόγητη καθυστέρηση και καταρχήν εντός ενός μηνός από τη λήψη του αιτήματος. Έχει το δικαίωμα να τους ζητήσει περαιτέρω πληροφορίες για να επαληθεύσει την ταυτότητα του προσώπου που υποβάλλει το αίτημα.
Σε περίπτωση απόρριψης του αιτήματος, είναι υποχρεωτικό να ενημερώνεται το άτομο σχετικά με τους λόγους και σχετικά με το δικαίωμά του να υποβάλει καταγγελία ενώπιον της ΑΠΔ και να επιδιώξει έννομη προστασία.
Ερώτηση 3: Τι γίνεται σε περίπτωση που μια δημόσια διοίκηση δεν συμμορφώνεται με τους κανόνες προστασίας δεδομένων;
Απάντηση (με βάση τα Άρθρα 58, 82, 83 και 84 και αιτιολογικές σκέψεις 129, 146, 147, 148, 150, 151 του GDPR)
Οι Αρχές Προστασίας Δεδομένων έχουν διαφορετικά εργαλεία στη διάθεσή τους σε περιπτώσεις μη συμμόρφωσης.
Σε περίπτωση πιθανής παράβασης, μπορεί να εκδοθεί προειδοποίηση.
Σε περίπτωση διαπιστωμένης παράβασης, ενδέχεται να επιβληθεί, π.χ., επίπληξη ή προσωρινή ή οριστική απαγόρευση της επεξεργασίας .
Επίσης οι φορείς μπορεί επίσης να υπόκεινται σε διοικητικά πρόστιμα. Κάθε δημόσια διοίκηση θα πρέπει να ελέγξει την οικεία εθνική νομοθεσία για την προστασία των δεδομένων.
Τα φυσικά πρόσωπα μπορούν να ζητήσουν αποζημίωση εάν ένας δημόσιος φορέας έχει παραβιάσει τον GDPR με αποτέλεσμα να υποστούν υλική ζημία (π.χ. οικονομική απώλεια) ή μη υλική ζημία (π.χ. δυσφήμιση ή ψυχική οδύνη).
Ο GDPR διασφαλίζει ότι θα τους καταβληθεί αποζημίωση, ανεξάρτητα από τον αριθμό των οργανισμών που συμμετείχαν στην επεξεργασία των δεδομένων τους.
Η αξίωση αποζημίωσης μπορεί να εγερθεί είτε άμεσα στον υπαίτιο δημόσιο φορέα είτε ενώπιον των αρμόδιων εθνικών δικαστηρίων του οικείου κράτους μέλους της ΕΕ.
Ερώτηση 4: Πώς πρέπει να διεκπεραιώνονται τα αιτήματα ατόμων που ασκούν τα δικαιώματά τους σχετικά με την προστασία των δεδομένων;
Απάντηση (με βάση τα Άρθρα 12 και 15 έως 22 και αιτιολογικές σκέψεις 59 και 63 έως 71 του GDPR)
Φυσικά πρόσωπα μπορούν να επικοινωνήσουν με την εταιρεία ή τον οργανισμό σας με σκοπό την άσκηση των δικαιωμάτων τους σύμφωνα με τον GDPR (δικαιώματα πρόσβασης, διόρθωσης, διαγραφής, φορητότητας κ.λπ.).
Όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με ηλεκτρονικά μέσα, η εταιρεία ή ο οργανισμός σας θα πρέπει να παρέχει μέσα για την υποβολή ηλεκτρονικών αιτημάτων.
Επιπλέον, πρέπει να απαντά στα αιτήματα που λαμβάνει χωρίς αδικαιολόγητη καθυστέρηση και κατ’ αρχή εντός ενός μηνός από τη λήψη του αιτήματος.
Η δημόσια διοίκηση μπορεί να ζητά περαιτέρω πληροφορίες από τα πρόσωπα που έχουν υποβάλει αίτημα, για να επιβεβαιώσει την ταυτότητά τους.
Εάν ο οργανισμός σας απορρίψει το αίτημα, πρέπει να ενημερώσει το άτομο σχετικά με τους λόγους για τους οποίους το έκανε και σχετικά με το δικαίωμα του ατόμου να υποβάλει καταγγελία ενώπιον της αρχής προστασίας δεδομένων και να επιδιώξει έννομη προστασία.
Η επεξεργασία αιτημάτων φυσικών προσώπων θα πρέπει να γίνεται δωρεάν. Όταν τα αιτήματα είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, μπορείτε να χρεώσετε εύλογο τέλος ή να αρνηθείτε να δώσετε συνέχεια.
Παράδειγμα
Ένα φυσικό πρόσωπο που απέκτησε πρόσβαση σε όλα του τα δεδομένα προσωπικού χαρακτήρα τον περασμένο μήνα υποβάλλει ξανά το ίδιο αίτημα για πρόσβαση στα ίδια δεδομένα. Μπορείτε είτε να το ενημερώσετε ότι απορρίπτετε το αίτημά του είτε να απαιτήσετε την καταβολή εύλογου τέλους.
