Γενικός Kανονισμός για την Προστασία των Δεδομένων

21/04/2016 10:48

Ο πυρήνας της δέσμης μέτρων της Επιτροπής είναι ένας γενικός κανονισμός για την προστασία των δεδομένων. Το εν λόγω σχέδιο κανονισμού επικαιροποιεί και εκσυγχρονίζει τις αρχές που θεσπίστηκαν με την οδηγία του 1995 για την προστασία των δεδομένων. Καθορίζει τα δικαιώματα κάθε ατόμου και τις υποχρεώσεις εκείνων που εκτελούν την επεξεργασία των δεδομένων και εκείνων που είναι υπεύθυνοι για αυτήν. Καθορίζει επίσης τις μεθόδους για τη διασφάλιση της συμμόρφωσης, καθώς και το φάσμα των κυρώσεων για όσους παραβιάζουν τους κανόνες.

Στις 14 Απριλίου 2016, το Ευρωπαϊκό Κοινοβούλιο ενέκρινε τo Γενικό Κανονισμό για τα Προσωπικά δεδομένα.

Ο κανονισμός αναμένεται να τεθεί σε ισχύ την άνοιξη του 2016 και θα αρχίσει να εφαρμόζεται την άνοιξη του 2018.

Αναλυτικότερα

Στο σχέδιο κανονισμού εξετάζονται διάφορα θεμελιώδη ζητήματα.

Δικαιώματα των υποκειμένων των δεδομένων

Ο κανονισμός απαριθμεί τα δικαιώματα του υποκειμένου των δεδομένων, δηλαδή του ατόμου του οποίου τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία. Αυτά τα ενισχυμένα δικαιώματα παρέχουν στα άτομα μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων, μεταξύ άλλων μέσω:

  • την ανάγκη ύπαρξης  σαφής συγκατάθεσης του ενδιαφερομένου για την επεξεργασία των προσωπικών του δεδομένων
  • της ευκολότερης πρόσβασης του ενδιαφερομένου στα προσωπικά του δεδομένα
  • των δικαιωμάτων διόρθωσης, διαγραφής και «λήθης»
  • του δικαιώματος εναντίωσης, μεταξύ άλλων στη χρησιμοποίηση των δεδομένων προσωπικού χαρακτήρα για την «κατάρτιση προφίλ»
  • του δικαιώματος φορητότητας των δεδομένων από πάροχο σε πάροχο

 

Θεσπίζει επίσης την υποχρέωση των υπεύθυνων επεξεργασίας των δεδομένων να παρέχουν διαφανείς και εύκολα προσβάσιμες πληροφορίες στα υποκείμενα των δεδομένων όσον αφορά την επεξεργασία των δεδομένων τους.

Συμμόρφωση

Ο κανονισμός περιγράφει αναλυτικά τις γενικές υποχρεώσεις των υπεύθυνων επεξεργασίας και των εκτελούντων την επεξεργασία των δεδομένων προσωπικού χαρακτήρα για λογαριασμό αυτών.

Οι εν λόγω υποχρεώσεις περιλαμβάνουν την υποχρέωση εφαρμογής κατάλληλων μέτρων ασφαλείας ανάλογα με τον κίνδυνο τον οποίον ενέχουν οι πράξεις επεξεργασίας δεδομένων τις οποίες εκτελούν (προσέγγιση βάσει κινδύνου). Από τους υπεύθυνους επεξεργασίας απαιτείται επίσης, σε ορισμένες περιπτώσεις, η κοινοποίηση της παραβίασης δεδομένων προσωπικού χαρακτήρα.

Όλες οι δημόσιες αρχές και οι εταιρείες που εκτελούν ορισμένες πράξεις επεξεργασίας δεδομένων που ενέχουν κινδύνους θα πρέπει επίσης να διορίζουν υπεύθυνο προστασίας δεδομένων.

Παρακολούθηση και αποζημίωση

Το σχέδιο κανονισμού επιβεβαιώνει την ισχύουσα υποχρέωση των κρατών μελών να ορίζουν ανεξάρτητη εποπτική αρχή σε εθνικό επίπεδο. Προβλέπει επίσης τη δημιουργία μηχανισμών, ώστε να διασφαλίζεται η συνεκτική εφαρμογή της νομοθεσίας για την προστασία των δεδομένων στο σύνολο της ΕΕ. Ειδικότερα, σε σημαντικές διασυνοριακές υποθέσεις όπου εμπλέκονται διάφορες εθνικές εποπτικές αρχές, λαμβάνεται μία και μόνη εποπτική απόφαση. Η αρχή αυτή, η οποία είναι γνωστή ως μηχανισμός μίας στάσης, σημαίνει ότι μια εταιρεία με θυγατρικές σε διάφορα κράτη μέλη θα συνομιλεί μόνον με την αρχή προστασίας δεδομένων στο κράτος μέλος όπου έχει την κύρια εγκατάστασή της

Το σχέδιο συμφωνίας προβλέπει επίσης τη σύσταση Ευρωπαϊκού Συμβουλίου Προστασίας των Δεδομένων. Το Συμβούλιο αυτό θα απαρτίζεται από εκπροσώπους από το σύνολο των 28 ανεξάρτητων εποπτικών αρχών και θα αντικαταστήσει την υφιστάμενη επιτροπή του άρθρου 29.

Ο κανονισμός αναγνωρίζει το δικαίωμα των υποκειμένων των δεδομένων να υποβάλλουν καταγγελία σε εποπτική αρχή καθώς και το δικαίωμά τους για δικαστική προσφυγή και αποζημίωση. Προκειμένου να διασφαλιστεί η εγγύτητα των φυσικών προσώπων στις αποφάσεις που τα αφορούν, τα υποκείμενα των δεδομένων θα έχουν το δικαίωμα να ζητούν επανεξέταση κάθε απόφασης της αρχής προστασίας των δεδομένων από το εθνικό τους δικαστήριο. Αυτό δε ανεξάρτητα από το κράτος μέλος στο οποίο είναι εγκατεστημένος ο υπεύθυνος της επεξεργασίας των δεδομένων.

Για τους υπεύθυνους επεξεργασίας ή τους εκτελούντες την επεξεργασία δεδομένων οι οποίοι παραβιάζουν τους κανόνες για την προστασία των δεδομένων προβλέπονται πολύ αυστηρές κυρώσεις.

 

Στους υπευθύνους επεξεργασίας δεδομένων μπορεί να επιβληθεί πρόστιμο που μπορεί να ανέλθει σε 20 εκατ. € ή στο 4% του συνολικού ετήσιου κύκλου εργασιών τους. Αυτές οι διοικητικές κυρώσεις θα επιβάλλονται από τις εθνικές αρχές προστασίας δεδομένων.

 

Για την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται υπόψη τα ακόλουθα:

  • η φύση, η βαρύτητα και η διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση, την έκταση ή το σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων των δεδομένων που έθιξε η παράβαση και το βαθμό ζημίας που υπέστησαν,

  • ο δόλος ή η αμέλεια που προκάλεσε την παράβαση,

  • οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων,

  • ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν,

  • τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία,

  • ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της,

  • οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση,

  • ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση,

  • σε περίπτωση που διατάχθηκε προηγουμένως η λήψη των μέτρων που αναφέρονται κατά του εμπλεκόμενου υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα,

  • η τήρηση εγκεκριμένων κωδίκων δεοντολογίας ή εγκεκριμένων μηχανισμών πιστοποίησης σύμφωνα και

  • κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.


Διαβιβάσεις σε τρίτες χώρες

Ο κανονισμός αναφέρεται επίσης στη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες και διεθνείς οργανισμούς. Για τον σκοπό αυτό, αναθέτει στην Επιτροπή να αξιολογήσει το επίπεδο προστασίας που παρέχει ένα έδαφος ή ένας τομέας επεξεργασίας σε τρίτη χώρα. Εάν η Επιτροπή δεν έχει αποφανθεί σχετικά με την επάρκεια του επιπέδου προστασίας σε ένα έδαφος ή έναν τομέα, η διαβίβαση δεδομένων προσωπικού χαρακτήρα μπορεί να πραγματοποιηθεί μόνον σε ειδικές περιπτώσεις ή εφόσον προσφέρονται κατάλληλες διασφαλίσεις (τυποποιημένες ρήτρες προστασίας δεδομένων, δεσμευτικοί εταιρικοί κανόνες, συμβατικές ρήτρες).

Ο κανονισμός για την προστασία των δεδομένων καθορίζει τα δικαιώματα των φυσικών προσώπων και τις υποχρεώσεις αυτών που εκτελούν την επεξεργασία και αυτών που είναι υπεύθυνοι για την επεξεργασία των δεδομένων

Πηγή¨https://www.consilium.europa.eu/