Προσωπικά Δεδομένα: Δείτε τι αλλάζει από Μάιο (Εκδήλωση)

Οι αλλαγές που θα φέρουν οι νέοι κανόνες προστασίας δεδομένων από τις 25 Μαΐου του 2018 στη ζωή των πολιτών, θα είναι το αντικείμενο σημερινής εκδήλωσης στο Αμφιθέατρο UNESCO του Πανεπιστημίου Λευκωσίας στις 18:30. Η συζήτηση θα διεξαχθεί με αφορμή το νέο βιβλίο του δικηγόρου Βασίλη Σωτηρόπουλου, με τίτλο «Υπεύθυνος Προστασίας Δεδομένων: Εργαλειοθήκη για τον νέο θεσμό σε δημόσιο και ιδιωτικό τομέα», και θα συμμετέχουν η Επίτροπός Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Ειρήνη Λοϊζίδου Νικολαΐδου, ο Αχιλλεύς Αιμιλιανίδης, Κοσμήτορας της Νομικής Σχολής του Πανεπιστημίου Λευκωσίας, και η Αναπληρώτρια Καθηγήτρια και υπεύθυνη του Μεταπτυχιακού Προγράμματος Σπουδών «Επικοινωνία και Νέα Δημοσιογραφία» του Ανοιχτού Πανεπιστημίου Κύπρου Σοφία Ιορδανίδου.

Μέχρι τώρα, όλη η Ευρωπαϊκή Ένωση είχε υποχρέωση να εφαρμόζει την Οδηγία 1995/46, για την προστασία προσωπικών δεδομένων. Όλα τα κράτη μέλη έχουν εθνική νομοθεσία που την ενσωματώνει και μια ανεξάρτητη διοικητική αρχή που παρακολουθεί την εφαρμογή της, βάζει πρόστιμα σε παραβάτες και δίνει άδειες όταν κάποια οντότητα ζητά να επεξεργαστεί ευαίσθητα δεδομένα. Στην Κύπρο, η ανεξάρτητη αρχή είναι μονοπρόσωπη: η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. 20 χρόνια μετά, η Ευρωπαϊκή Ένωση αναγνωρίζει ότι η Οδηγία του 1995 πάλιωσε. Έτσι, από το 2012 ξεκίνησε τη διαβούλευση για την αντικατάστασή της. Αποτέλεσμα της αντικατάστασης είναι ο Γενικός Κανονισμός Προστασίας Δεδομένων (General Data Protection Regulation). Ο νέος κανονισμός δεν χρειάζεται να "ενσωματωθεί" με ειδικό νόμο, αλλά έχει άμεση εφαρμογή από τις 25.5.2018 σε ΟΛΑ τα κράτη μέλη.

Οι αλλαγές

- Προστασία παιδιών: Τα παιδιά κάτω των 16 ετών δεν μπορούν να δώσουν συγκατάθεση για την επεξεργασία των προσωπικών δεδομένων τους από διαδικτυακές υπηρεσίες, εκτός αν υπάρχει η συγκατάθεση των γονέων τους.

- Κατάρτιση προφίλ: Όταν τα προσωπικά δεδομένα υποβάλλονται σε αυτοματοποιημένη επεξεργασία για να εξαχθούν συμπεράσματα σχετικά με την απόδοση του ατόμου στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις, το άτομο πρέπει να ενημερώνεται εκ των προτέρων και έχει το “δικαίωμα ανθρώπινης παρέμβασης”, δηλαδή να ζητήσει να εφαρμοστούν εις βάρος του τυχόν αρνητικές αποφάσεις, μόνο αφού τα δεδομένα εξεταστούν και από άνθρωπο.

- Δικαίωμα στη λήθη: Το άτομο έχει δικαίωμα να ζητήσει διαγραφή των προσωπικών δεδομένων του, όταν δεν υπάρχει νόμιμος λόγος να διατηρούνται και τότε ο υπεύθυνος έχει υποχρέωση όχι μόνο να τα διαγράψει, αλλά και να ενημερώσει όλους τους άλλους υπεύθυνους που επεξεργάζονται τα ίδια δεδομένα ότι το άτομο ζήτησε τη διαγραφή τους, ώστε να αφαιρεθούν κι από αυτούς.

- Δικαίωμα στη φορητότητα των δεδομένων: Το άτομο έχει δικαίωμα να λάβει αντίγραφα των προσωπικών δεδομένων του που τηρούνται σ’ ένα αρχείο, ενώ ο υπεύθυνος έχει υποχρέωση να του δώσει αντίγραφα σε “κοινώς αναγνώσιμο και χρησιμοποιούμενο μορφότυπο”, δηλαδή σε ψηφιακή μορφή που χρησιμοποιείται εκτεταμένα από υπολογιστικές συσκευές. Επίσης, αν το ζητήσει το άτομο, ο υπεύθυνος έχει υποχρέωση να στείλει τα προσωπικά δεδομένα σε άλλον υπεύθυνο, χωρίς να προβάλει αντιρρήσεις.

- Υποχρέωση εφαρμογής και από εταιρίες εκτός Ε.Ε.: Όταν μια εταιρία έχει την έδρα της εκτός της Ε.Ε., αλλά παρέχει υπηρεσίες επεξεργασίας δεδομένων στην Ε.Ε., έχει υποχρέωση να ορίσει έναν εκπρόσωπο με έδρα στην Ε.Ε., ώστε να εφαρμόζουν και αυτές οι εταιρίες τον Γενικό Κανονισμό.

- Αρχεία δραστηριοτήτων: Κάθε υπεύθυνος έχει την υποχρέωση, για λόγους διαφάνειας, να τηρεί ένα μητρώο, στο οποίο θα αναφέρει ποιες κατηγορίες προσωπικών δεδομένων τηρεί, για ποιους σκοπούς, για πόσο χρονικό διάστημα και με ποιους αποδέκτες.

- Γνωστοποίηση παραβιάσεων: Κάθε υπεύθυνος, εφόσον διαπιστώσει παραβίαση προσωπικών δεδομένων που τηρεί, έχει υποχρέωση εντός 72 ωρών να ενημερώσει την ανεξάρτητη Αρχή Προστασίας Δεδομένων (λ.χ. την Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) και, εφόσον διακυβεύονται σημαντικοί κίνδυνοι για δικαιώματα ατόμων, να ενημερώσει και τα ίδια τα άτομα στα οποία αναφέρονται τα προσωπικά δεδομένα.

- Εκτίμηση αντικτύπου: Όταν μια συγκεκριμένη περίπτωση επεξεργασίας προσωπικών δεδομένων είναι ιδιαίτερα επικίνδυνη για τα δικαιώματα των ατόμων, ο υπεύθυνος έχει την υποχρέωση να διεξάγει “εκτίμηση αντικτύπου”, δηλαδή να προβλέψει τυχόν κινδύνους και να συντάξει ένα έγγραφο στο οποίο θα αναφέρει ποια μέτρα θα λάβει για να τους αποτρέψει. Εάν δεν γνωρίζει ποια μέτρα είναι επαρκή, οφείλει να γνωστοποιήσει την εκτίμηση αντικτύπου στην ανεξάρτητη Αρχή, η οποία οφείλει να του δώσει σχετικές συμβουλές εντός 8 εβδομάδων.

- Ορισμός “Υπεύθυνου Προστασίας Δεδομένων”: Κάθε δημόσια αρχή και κάθε ιδιωτικός φορέας που ως κύρια δραστηριότητά του ασκεί συστηματική παρακολούθηση προσώπων ή επεξεργασία ευαίσθητων προσωπικών δεδομένων σε μεγάλη κλίμακα, οφείλει να ορίσει ένα πρόσωπο ως Υπεύθυνο Επεξεργασίας Δεδομένων, το οποίο έχει αποστολή να ενημερώνει εσωτερικά για τους κανόνες προστασίας προσωπικών δεδομένων, να παρακολουθεί τη συμμόρφωση προς τους κανόνες αυτούς, να συμβουλεύει τον υπεύθυνο για την ορθή εφαρμογή των κανόνων, να συνεργάζεται με την ανεξάρτητη Αρχή Προστασίας Δεδομένων για όλα τα θέματα που αφορούν την επεξεργασία προσωπικών δεδομένων.

- Φορείς πιστοποίησης: Θα δημιουργηθούν υπηρεσίες που πιστοποιούν με σφραγίδες και σήματα προστασίας δεδομένων, ότι έχει επέλθει συμμόρφωση του υπεύθυνου με τους κανόνες προστασίας προσωπικών δεδομένων.

- Αυστηρές κυρώσεις: Οι κυρώσεις που μπορεί να επιβληθούν για παραβάσεις προσωπικών δεδομένων μπορεί να φτάσουν έως τα 20.000.000 ευρώ ή το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών μιας πολυεθνικής επιχείρησης.