Δικαιώματα σε περίπτωση παραβίασης Προσωπικών Δεδομένων από Δημόσια Αρχή

Γράφει ο Χρήστος Ηλ. Τσίχλης Δικηγόρος Αθηνών-Συνταγματολόγος-Συνήγορος Αμερικανικού Δημοκρατικού Κόμματος στην Ελλάδα-Νομικός συνεργάτης Οικουμενικού Πατριαρχείου στην Ελλάδα-ΔΣ Πρωτοβάθμιας εκπαίδευσης Δήμου Αθηναίων-ΔΣ Ιδρύματος Μπότσαρη-Νομικός σύμβουλος Βορειοηπειρωτών Ελλάδος.

Σε κάποιες περιπτώσεις, όταν απευθυνόμαστε σε δημόσια υπηρεσία, γνωστοποιώντας τα πλήρη στοιχεία μας, δεν ακολουθεί η προβλεπόμενη εκ του νόμου διαγραφή των στοιχείων που εμπίπτουν στα προσωπικά μας δεδομένα (μετά το πέρας της διαδικασίας) ή στα στοιχεία μας ενδέχεται να έχουν πρόσβαση και άλλοι αναρμόδιοι υπάλληλοι.
Όταν υπουργεία,εφορίες, ασφαλιστικά ταμεία, δήμοι,Νοσοκομεία,δημόσιες τράπεζες,φορείς του δημοσίου παραβιάζουν το απόρρητο,την διαθεσιμότητα ή την ακεραιότητα ,με αποτέλεσμα να τίθενται σε κίνδυνο τα δικαιώματα και οι ελευθερίες φυσικού προσώπου,τότε προβλέπονται αυστηρές ποινές με βάση τον πρόσφατο Γενικό κανονισμό για την προστασία δεδομένων της ευρωπαϊκής ένωσης και την εθνική νομοθεσία. Η Αρχή Προστασίας Δεδομένων προσωπικού χαρακτήρα ή ο Ευρωπαίος Επίτροπος προστασίας δεδομένων προσωπικού χαρακτήρα ή ο Εισαγγελέας, επιλαμβάνονται είτε αυτεπάγγελτα είτε κατόπιν καταγγελίας. O πρόσφατος Γενικός Κανονισμός (ΕΕ) 2016/679 δημιουργεί ένα αυστηρότερο θεσμικό πλαίσιο επεξεργασίας των προσωπικών δεδομένων και κατ’ επέκταση προστασίας τους. Οι χρηματικές ποινές που δύναται η Επίτροπος ευρωπαϊκής ένωσης να επιβάλει,κατόπιν καταγγελίας ή έρευνας, εκτοξεύονται από τις €30,000 (με το προγενέστερο νομοθετικό πλαίσιο), στα €10,000,000 και σε ορισμένες περιπτώσεις στα €20,000,000..Σε περίπτωση παραβίασης προσωπικών δεδομένων,απευθυνόμαστε στην Αρχή προστασίας δεδομένων προσωπικού χαρακτήρα ή στον Εισαγγελέα Πρωτοδικών ή υποβάλουμε μήνυση ή καταθέτουμε καταγγελία στον ευρωπαίο επίτροπο.
Όποιος με πρόθεση επεµβαίνει χωρίς δικαίωµα µε οποιονδήποτε τρόπο σε αρχείο δεδοµένων προσωπικού χαρακτήρα και με την επέμβαση αυτή λαµβάνει γνώση των δεδοµένων αυτών ή τα αφαιρεί, αλλοιώνει, βλάπτει, καταστρέφει, επεξεργάζεται, µεταδίδει, ανακοινώνει, τα καθιστά προσιτά σε µη δικαιούµενα πρόσωπα ή επιτρέπει στα πρόσωπα αυτά να λάβουν γνώση των εν λόγω δεδοµένων, ή τα εκµεταλλεύεται µε οποιονδήποτε τρόπο, τιµωρείται µε φυλάκιση.
Εάν οι αξιόποινες πράξεις αφορούν ειδικές κατηγορίες δεδομένων ή δεδομένα που αναφέρονται σε ποινικές διώξεις, μέτρα ασφαλείας ή ποινικές καταδίκες τιμωρούνται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηµατική ποινή από δέκα χιλιάδες ευρώ (10.000) έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιµωρείται βαρύτερα από άλλες διατάξεις.

Αν ο υπαίτιος των πράξεων είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον, τιμωρείται με φυλάκιση τουλάχιστον τριών ετών και χρηματική ποινή από εκατό χιλιάδες ευρώ (100.000) έως τριακόσιες χιλιάδες ευρώ (300.000), εάν η πράξη δεν τιµωρείται βαρύτερα από άλλες διατάξεις.


Αν από τις πράξεις αυτές προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δηµοκρατικού πολιτεύµατος ή για την εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηµατική ποινή από εκατό χιλιάδες ευρώ (100.000) έως τριακόσιες χιλιάδες ευρώ (300.000).
Υπεύθυνος προστασίας δεδομένων που παραβιάζει την υποχρέωση εχεμύθειας που τον βαρύνει στο πλαίσιο του επαγγελματικού απορρήτου ανακοινώνοντας ή αποκαλύπτοντας σε άλλον γεγονότα ή πληροφορίες που περιήλθαν σε γνώση του από τη θέση του κατά την εκτέλεση των καθηκόντων του ή επ’ ευκαιρία αυτών, με σκοπό να ωφεληθεί ο ίδιος ή τρίτος, ή για να βλάψει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ή το υποκείμενο των δεδομένων ή οποιονδήποτε τρίτο τιμωρείται με ποινή φυλάκισης τουλάχιστον ενός (1) έτους και χρηματική ποινή από δέκα χιλιάδες (10.000) ευρώ έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιμωρείται βαρύτερα από άλλες διατάξεις.
Ο Ευρωπαίος Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα είναι η αρμόδια Ανεξάρτητη Αρχή της Δημοκρατίας που εποπτεύει την εφαρμογή της νομοθεσίας για την προστασία από την επεξεργασία των προσωπικών δεδομένων τόσο στο δημόσιο όσο και στον ιδιωτικό τομέα.Κάποιες από τις αρμοδιότητες του, είναι η εξέταση παραπόνων, η διενέργεια ελέγχων, η παροχή συμβουλών και καθοδήγησης σε υπεύθυνους επεξεργασίας και η ενημέρωση και ευαισθητοποίηση του κοινού σε θέματα προστασίας των δεδομένων τους.
Προσωπικά δεδομένα είναι οποιαδήποτε πληροφορία ταυτοποιεί ή μπορεί να ταυτοποιήσει ένα φυσικό πρόσωπο εν ζωή.

Επεξεργασία είναι η κάθε ξεχωριστή πράξη από την συλλογή, την διάθεση, την διανομή, την αποθήκευση μέχρι και την καταστροφή προσωπικών δεδομένων.

Ο κανονισμός ενισχύει υφιστάμενα δικαιώματα και δημιουργεί νέα με σκοπό να θωρακίσει τα προσωπικά δεδομένα στη νέα τεχνολογική εποχή της διάχυσης πληροφοριών και της αυτοματοποίησης.

Την ίδια ώρα εισάγει την νέα Αρχή της Λογοδοσίας που επιβάλλει την συνεχή υπόδειξη συμμόρφωσης με τον Κανονισμό από τους υπεύθυνους και εκτελούντες την επεξεργασία.

Αυτό, πρακτικά σημαίνει ότι, όποιος επεξεργάζεται προσωπικά δεδομένα θα πρέπει να αποδεικνύει την συμμόρφωση με τις πρόνοιες του Κανονισμού. Αφορά όλους όσοι τηρούν και επεξεργάζονται αρχεία προσωπικών δεδομένων πέραν από προσωπική και οικιακή χρήση. Αφορά σε όλους μας ως χρήστες έξυπνων συσκευών και καθημερινά, χρήστες του διαδικτύου.

Οι κυρώσεις που αφορούν στις χρηματικές ποινές που δύναται η Επίτροπος να επιβάλει εκτοξεύονται από τις €30,000 που είναι σήμερα στα €10,000,000 και €20,000,000 σε κάποιες περιπτώσεις και στο 2% και 4% αντίστοιχα της ετήσιας δραστηριότητας της εταιρείας κατά τον προηγούμενο χρόνο ότι κάθε φορά είναι ψηλότερο.

Βεβαίως κάποια από τα αδικήματα που αφορούν σε παραβιάσεις προσωπικών δεδομένων έχουν ποινική χρειά και οδηγούνται στο Δικαστήριο.

Σύμφωνα με το άρθρο 33 του Γενικού Κανονισμού Προστασίας Δεδομένων, «σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και αν είναι δυνατόν, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος, την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.

Πρόστιμο ύψους 385.000 λιρών (~433.000 ευρώ) επέβαλε στην Uber το Γραφείο της Ευρωπαίας Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα του Ηνωμένου Βασιλείου (ICO) για την ανεπαρκή προστασία των προσωπικών δεδομένων πελατών της κατά τη διάρκεια κυβερνοεπίθεσης.Σύμφωνα με την βρετανική αρχή, μια σειρά κενών ασφαλείας που μπορούσαν να έχουν αποφευχθεί, επέτρεψε την πρόσβαση και τη λήψη προσωπικών δεδομένων περίπου 2.7 εκατομμυρίων πελατών από ένα σύστημα που λειτουργούσε σε cloud και διαχειριζόταν η αμερικανική μητρική εταιρεία της Uber. Τα αρχεία περιλαμβάναν πλήρη ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου.
Παράλληλα, και η αρχή προστασίας δεδομένων της Ολλανδίας επέβαλε πρόστιμο ύψους 600.000 ευρώ στην Uber για το ίδιο περιστατικό.

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ), εισάγει την υποχρέωση γνωστοποίησης στον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ή σε περίπτωση διασυνοριακής παραβίασης στην Επικεφαλής Αρχή) της παραβίασης των προσωπικών δεδομένων και, σε ορισμένες περιπτώσεις, την γνωστοποίηση της παραβίασης στο υποκείμενο των δεδομένων, των οποίων τα προσωπικά δεδομένα έχουν επηρεαστεί από την παραβίαση.

Παρόμοιες υποχρεώσεις γνωστοποίησης υφίστανται για τους πάροχους δημόσια διαθέσιμων υπηρεσιών ηλεκτρονικών επικοινωνιών, όπως ορίζονται στον Περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμος του 2004 (112(I)/2004), άρθρο 98Α.

Η νέα απαίτηση γνωστοποίησης έχει πολλά οφέλη. Οι υπεύθυνοι επεξεργασίας μπορούν, κατά την γνωστοποίηση στον Επίτροπο, να λάβουν συμβουλές σχετικά με το εάν τα επηρεαζόμενα άτομα πρέπει να ενημερωθούν. Πράγματι, ο Επίτροπος μπορεί να συμβουλέψει ή να διατάξει τον υπεύθυνο επεξεργασίας να ενημερώσει το υποκείμενο των δεδομένων για την παραβίαση. Η γνωστοποίηση παραβίασης στο υποκείμενο των δεδομένων επιτρέπει στον υπεύθυνο επεξεργασίας να παρέχει πληροφορίες σχετικά με τους κινδύνους που παρουσιάζονται ως αποτέλεσμα της παραβίασης και τα βήματα που μπορούν να λάβουν τα άτομα για να προστατευθούν από τις πιθανές συνέπειες. Για το λόγο αυτό, η γνωστοποίηση παραβίασης πρέπει να θεωρείται ως ένα εργαλείο που ενισχύει τη συμμόρφωση σε σχέση με την προστασία των προσωπικών δεδομένων. Ταυτόχρονα, πρέπει να σημειωθεί ότι η παράλειψη γνωστοποίησης της παραβίασης στο υποκείμενο των δεδομένων ή στον Επίτροπο μπορεί να οδηγήσει στην επιβολή κυρώσεων στον υπεύθυνο επεξεργασίας σύμφωνα με το άρθρο 83 του ΓΚΠΔ.

Χρήσιμες πληροφορίες ή υποβολή καταγγελίας:

www.dpa.gr

Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, Γραφεία: Κηφισίας 1-3, Τ.Κ. 115 23, Αθήνα.

Τηλεφωνικό Κέντρο: +30-210 6475600,Fax: +30-210 6475628

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.