fbpx

Tag Archives: gdpr

building-camera-stefanos-bagdatoglou-dikigoros

Κάμερες και προσωπικά δεδομένα: Πώς πρέπει να γίνεται η ενημέρωση για τη χρήση συστημάτων βιντεοεπιτήρησης

Νέα υποδείγματα και συστάσεις για την ικανοποίηση του δικαιώματος ενημέρωσης κατά την επεξεργασία δεδομένων μέσω συστημάτων βιντεοεπιτήρησης δημοσίευσε η Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Μεταξύ άλλων, η Αρχή επισημαίνει ιδιαίτερα την υποχρέωση για αυξημένη διαφάνεια, όπως απορρέει από τον Γενικό Κανονισμό Προστασίας Δεδομένων.

Οι υπεύθυνοι επεξεργασίας που χρησιμοποιούν συστήματα βιντεοεπιτήρησης οφείλουν να παρέχουν πλήρη ενημέρωση για τη λειτουργία καμερών, πριν κάποιος εισέλθει στον επιτηρούμενο χώρο.

Για τον σκοπό αυτό είναι, κατά κανόνα, προσφορότερο να ακολουθείται πολυεπίπεδη προσέγγιση, δηλαδή να υπάρχουν ενημερωτικές πινακίδες για την άμεση ενημέρωση όσων εισέρχονται στον χώρο, οι οποίες να παραπέμπουν σε εύκολα προσβάσιμη αναλυτική ενημέρωση.

Αναλυτικά το Δελτίο Tύπου της Αρχής αναφέρει:

Ικανοποίηση του δικαιώματος ενημέρωσης κατά την επεξεργασία δεδομένων μέσω συστημάτων βιντεοεπιτήρησης – Νέα υποδείγματα ενημέρωσης

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) εξέδωσε πρόσφατα το τελικό κείμενο των κατευθυντήριων γραμμών 3/2019 σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, μέσω συσκευών λήψης βίντεο. Το κείμενο αυτό αποσκοπεί στο να παρέχει καθοδήγηση για το πώς εφαρμόζεται ο Κανονισμός (ΕΕ) 2016/679 (ΓΚΠΔ) σε σχέση με τη χρήση καμερών για διαφόρους σκοπούς.

Η Αρχή επισημαίνει ότι έχει εκδώσει την οδηγία 1/2011 (διαθέσιμη στο www.dpa.gr), οι διατάξεις της οποίας πρέπει να εφαρμόζονται σε συνδυασμό με τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) και του ν. 4624/2019. Τούτο ισχύει ιδίως για τις υποχρεώσεις του υπευθύνου επεξεργασίας που περιλαμβάνονται στο κεφάλαιο Γ’ αυτής (άρθρα 10 έως 13 της οδηγίας 1/2011). Για παράδειγμα, οι υπεύθυνοι επεξεργασίας δεν έχουν πλέον υποχρέωση γνωστοποίησης της επεξεργασίας στην Αρχή, αλλά οφείλουν να φροντίζουν για την ικανοποίηση των επαυξημένων δικαιωμάτων που προβλέπει ο ΓΚΠΔ. Για τον σκοπό αυτό, το νέο κείμενο κατευθυντήριων γραμμών του ΕΣΠΔ αποτελεί πολύτιμο οδηγό.

Η Αρχή επισημαίνει ιδιαίτερα την υποχρέωση για αυξημένη διαφάνεια, όπως απορρέει από τον ΓΚΠΔ. Οι υπεύθυνοι επεξεργασίας που χρησιμοποιούν συστήματα βιντεοεπιτήρησης οφείλουν να παρέχουν πλήρη ενημέρωση για τη λειτουργία καμερών, πριν κάποιος εισέλθει στον επιτηρούμενο χώρο. Για τον σκοπό αυτό είναι, κατά κανόνα, προσφορότερο να ακολουθείται πολυεπίπεδη προσέγγιση, δηλαδή να υπάρχουν ενημερωτικές πινακίδες για την άμεση ενημέρωση όσων εισέρχονται στον χώρο, οι οποίες να παραπέμπουν σε εύκολα προσβάσιμη αναλυτική ενημέρωση.

Η Αρχή παρέχει νέα υποδείγματα ενημέρωσης, επιπλέον του υποδείγματος που παρατίθεται στο κείμενο του ΕΣΠΔ. Τα υποδείγματα αυτά προτείνονται για χρήση από υπεύθυνους επεξεργασίας εγκατεστημένους στην Ελλάδα, οι οποίοι χρησιμοποιούν σύστημα βιντεοεπιτήρησης για σκοπούς προστασίας προσώπων και αγαθών. Τα νέα υποδείγματα αντικαθιστούν το υπόδειγμα ενημερωτικής πινακίδας που ήταν συνημμένο στην οδηγία 1/2011 της Αρχής και πρέπει να προσαρμόζονται κατάλληλα.

Αναγνωρίζοντας ότι απαιτείται κάποιος χρόνος προσαρμογής των ενημερωτικών πινακίδων και κειμένων, καθώς και των διαδικασιών χειρισμού των αιτημάτων άσκησης των δικαιωμάτων τα οποία απορρέουν από τον ΓΚΠΔ, η Αρχή καλεί όλους τους υπευθύνους επεξεργασίας να προσαρμοστούν εντός διμήνου το αργότερο.

Tα νέα υποδείγματα καθώς και οι συστάσεις για την ικανοποίηση του δικαιώματος ενημέρωσης κατά την επεξεργασία δεδομένων μέσω συστημάτων βιντεοεπιτήρησης είναι διαθέσιμα εδώ.

Πηγή: lawspot

Δελτίο Τύπου της ΑΠΔΠΧ σχετικά με την εξ αποστάσεως εκπαίδευση των μαθητών

ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

ΔΕΛΤΙΟ ΤΥΠΟΥ

Πραγματοποίηση τηλεδιασκέψεων του Προέδρου της Αρχής με τη Διδασκαλική Ομοσπονδία Ελλάδας, την ΟΛΜΕ και τον Πανελλήνιο Σύλλογο Αναπληρωτών Δασκάλων, κατόπιν σχετικών αιτημάτων τους

Ο Πρόεδρος καθώς και μέλη της Αρχής πραγματοποίησαν σήμερα τηλεδιασκέψεις με το Προεδρείο και τη νομική σύμβουλο της Διδασκαλικής Ομοσπονδίας Ελλάδας, με μέλη του Δ.Σ. της ΟΛΜΕ και εκπροσώπους του Πανελλήνιου Συλλόγου Αναπληρωτών Δασκάλων, μετά από σχετικά αιτήματά τους.

Με αφορμή την πραγματοποίηση των εν λόγω τηλεδιασκέψεων, η Αρχή παρατηρεί επί του θέματος της πρόσφατης νομοθετικής διάταξης του Υπουργείου Παιδείας τα εξής:

Με πρόσφατη νομοθετική διάταξη προβλέπεται, στην ειδική περίπτωση επιδημικών νόσων, η ταυτόχρονη διδασκαλία σε μαθητές με φυσική παρουσία και σε άλλους μαθητές με τη μέθοδο της εξ αποστάσεως εκπαίδευσης. Ο σκοπός της συγκεκριμένης επεξεργασίας που συνίσταται στην παροχή εκπαίδευσης είναι κατ’ αρχήν νόμιμος και μπορεί να αποτελέσει, υπό προϋποθέσεις, τη βάση για τη σύννομη επεξεργασία των προσωπικών δεδομένων των διδασκόντων και των μαθητών στο πλαίσιο της εξ αποστάσεως εκπαίδευσης.

Πέραν της απαγόρευσης της καταγραφής και αποθήκευσης του μαθήματος, μετά από συμβουλευτική σύσταση της Αρχής, ορίστηκε ο υπεύθυνος επεξεργασίας, περιορίστηκε ο σκοπός χρήσης των μεταδεδομένων (πληροφορίες που παράγονται κατά τη λειτουργία των συστημάτων τηλεκπαίδευσης, π.χ. δεδομένα για τους χρόνους διάσκεψης ενός χρήστη) και θεσπίσθηκε η υποχρέωση καταστροφής τους. Περαιτέρω ετέθη, ως προϋπόθεση για την έκδοση της Υπουργικής Απόφασης που θα εξειδικεύσει τη σχετική νομοθετική ρύθμιση, η διενέργεια εκτίμησης αντικτύπου. Με την Υπουργική Απόφαση θα οριστούν, πλην άλλων, και οργανωτικά και τεχνικά μέτρα για τη διασφάλιση της προστασίας των προσωπικών δεδομένων των συμμετεχόντων. Με την απόφαση αυτή θα ολοκληρωθεί ο σχεδιασμός του νέου τρόπου διδακτικής και θα είναι δυνατή η συνολική αξιολόγησή του από την άποψη της αρχής της αναλογικότητας που διέπει το δίκαιο των προσωπικών δεδομένων.

Η Αρχή αναγνωρίζει ότι η ταυτόχρονη διδασκαλία συνεπάγεται περισσότερους κινδύνους στα δικαιώματα των εκπαιδευτικών και των μαθητών εν συγκρίσει με τη διδασκαλία στην τάξη. Για τον λόγο αυτό, άλλωστε, προβλέπεται μόνο κατ’ εξαίρεση σε περίπτωση επιδημικής νόσου. Τονίζεται, όμως, ότι η εφαρμογή της διάταξης εξαρτάται από τη διενέργεια εκτίμησης αντικτύπου των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα, η οποία διενεργείται με συγκεκριμένη μεθοδολογία, ώστε να προσδιοριστούν τα κατάλληλα μέτρα αντιμετώπισης των κινδύνων, μεταξύ των οποίων περιλαμβάνονται οι εγγυήσεις, τα μέτρα και οι μηχανισμοί ασφάλειας μέσω των οποίων διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των εκπαιδευτικών, των μαθητών, ανάλογα με τα ιδιαίτερα χαρακτηριστικά τους, και άλλων ενδιαφερόμενων προσώπων.

Επισημαίνουμε ότι, εάν μετά την εκπόνηση της εκτίμησης αντικτύπου και τον προσδιορισμό των μέτρων, η επεξεργασία θα προκαλούσε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας οφείλει να ζητήσει τη γνώμη της Αρχής πριν από την έναρξη της επεξεργασίας (βλ. άρθρο 36 Γενικού Κανονισμού Προστασίας Δεδομένων).

building-camera-stefanos-bagdatoglou-dikigoros

Εισαγγελία Εφετών Αθηνών: Η παράνομη εγκατάσταση καμερών αποτελεί ποινικό αδίκημα

Ένα από τα σημαντικότερα ζητήματα που έχουν τεθεί μετά την έναρξη ισχύος του Γενικού Κανονισμού Προστασίας Δεδομένων είναι το νομικό πλαίσιο που διέπει την εγκατάσταση και λειτουργία συστημάτων βιντεοεπιτήρησης για το σκοπό της προστασίας προσώπων και αγαθών.

Υπενθυμίζεται ότι υπό το προϊσχύσαν καθεστώς της Οδηγίας 95/46/ΕΚ και του Ν.2472/1997, η εγκατάσταση καμερών γινόταν υπό τους όρους και προϋποθέσεις της Οδηγίας 1/2011 της Αρχής Προστασίας Προσωπικών Δεδομένων, όπως η Οδηγία αυτή είχε εκδοθεί βάσει της εξουσιοδότησης της παρ.5 του άρθρου 14 Ν.3917/2011. Βασικότερη από τις προϋποθέσεις αυτές (και εκείνη που συχνά διαπιστωνόταν η μη τήρησή της) ήταν η υποχρέωση όσων προτίθενται να εγκαταστήσουν κάμερες να ενημερώνουν προς τούτο την Αρχή και δη πριν την έναρξη λειτουργίας του συστήματος.

Σημαντική καινοτομία του Γενικού Κανονισμού Προστασίας Δεδομένων υπήρξε η εισαγωγή της περίφημης αρχής της λογοδοσίας των υπευθύνων επεξεργασίας, στο πλαίσιο της οποίας καταργήθηκαν όλες οι προβλεπόμενες μέχρι τότε υποχρεώσεις ενημέρωσης της Αρχής, μεταξύ των οποίων και εκείνη που αφορούσε στα συστήματα βιντεοεπιτήρησης.

Προς αποφυγή παρερμηνειών ως προς την τύχη των υπολοίπων διατάξεων που ρύθμιζαν την εγκατάσταση και λειτουργία των συστημάτων αυτών, η Αρχή Προστασίας Προσωπικών Δεδομένων έγκαιρα διευκρίνισε ότι η έναρξη ισχύος του ΓΚΠΔ δεν επηρεάζει την Οδηγία 1/2011 (στο βαθμό φυσικά που οι διατάξεις της δεν έρχονται σε αντίθεση με τις ρυθμίσεις του Γενικού Κανονισμού), ενώ αντιθέτως «η εν λόγω οδηγία (και οι σχετικές αποφάσεις και γνωμοδοτήσεις της Αρχής) αποτελούν τη βασική νομολογία που πρέπει να αξιοποιούν οι υπεύθυνοι επεξεργασίας για την αξιολόγηση της νόμιμης χρήσης ενός συστήματος βιντεοεπιτήρησης».

Διάταξη Εισαγγελίας Εφετών Αθηνών: Ποινικό αδίκημα η παράνομη εγκατάσταση καμερών

Με την από 20-5-2019 έγκλησή του, πρόσωπο, το οποίο κατηγορήθηκε για το αδίκημα της κλοπής που τελέστηκε στο χώρο καταστήματος εστίασης, ζήτησε την ποινική δίωξη των νομίμων εκπροσώπων του καταστήματος αυτού για παράβαση του νόμου περί προσωπικών δεδομένων.

Σύμφωνα με τον εγκαλούντα, η παράβαση αυτή συνίσταται στο ότι στο κατάστημα λειτουργούσε παρανόμως κύκλωμα βιντεοεπιτήρησης, του οποίου οι κάμερες λάμβαναν εικόνα από τα τραπεζοκαθίσματα. Με ευθύνη των υπευθύνων του καταστήματος, το υλικό αυτό χρησιμοποιήθηκε, με αποτέλεσμα ο εγκαλών να παραπεμφθεί στο Αυτόφωρο Μονομελές Πλημμελειοδικείο Αθηνών.

Διαβάστε επίσης: Ευρωπαϊκό Δικαστήριο: Νόμιμη η παρακολούθηση εργαζομένων με κρυφές κάμερες υπό προϋποθέσεις

Μετά την αρχική απόρριψη της έγκλησής του και την άσκηση προσφυγής, το ζήτημα ετέθη ενώπιον της Εισαγγελίας Εφετών Αθηνών προκειμένου να κριθεί εκ νέου.

Με την από 21-1-2020 Διάταξη του Αντιεισαγγελέα Εφετών διαπιστώθηκε ότι:

● «Η τοποθέτηση καμερών που να καταγράφουν ευκρινώς μάλιστα τα πρόσωπα στα τραπεζοκαθίσματα που υπήρχαν εντός του καταστήματος» δεν ήταν επιτρεπτή, αφού είναι αντίθετη με το άρ. 19 παρ. 4 της υπ’ αριθμ. 1/2011 Οδηγίας της Αρχής Προστασίας Δεδομένων. Το ζήτημα αυτό είναι ανεξάρτητο της υποχρέωσης ή μη γνωστοποίησης χρήσης καμερών, καθώς σε κάθε περίπτωση η τυχόν γνωστοποίηση αυτή και πάλι «δεν θα νομιμοποιούσε την χρήση τους».

● Η τοποθέτηση καμερών, με τον τρόπο αυτό, στοιχειοθετεί τη διάπραξη του ποινικού αδικήματος του άρθρου 22 παρ.4 του Ν.2472/1997 και ήδη άρθρου 38 παρ.1 Ν.4624/2019 (επέμβαση σε αρχείο), συνεπώς αποτελεί ποινική παράβαση, για την οποία πρέπει να ασκηθεί ποινική δίωξη κατά των υπευθύνων της επιχείρησης.

Είναι αξιοσημείωτο ότι ως ποινικά κολάσιμη συμπεριφορά – και δη για την αντικειμενική θεμελίωση του αδικήματος του άρθρου 22 παρ.4 του Ν. 2472/1997 – αξιολογείται όχι η τυχόν πρόσβαση και περαιτέρω επεξεργασία του υλικού από τις παρανόμως εγκατασταθείσες κάμερες, αλλά η ίδια η αρχική μη νόμιμη εγκατάστασή τους, εφόσον αυτή δεν ήταν σύμφωνη με τις προβλέψεις του άρθρου 19 της Οδηγίας.

Σύμφωνα με την Εισαγγελία, εν προκειμένω εφαρμοστέα είναι η διάταξη του άρθρου 38 παρ. 1 Ν. 4624/2019, κατ’ άρθρον 2 ΠΚ, διότι είναι επιεικέστερη, αφού προβλέπει ποινή φυλάκισης μέχρι ενός έτους ενώ στην διάταξη του άρθρου 22 παρ. 4 Ν. 2472/1997 προβλεπόταν ποινή φυλάκισης και χρηματική ποινή.

Ζήτημα που θα κριθεί στο μέλλον είναι το κατά πόσον η ερμηνεία αυτή θα μπορούσε να ανοίξει το δρόμο για την υπαγωγή κάθε συμπεριφοράς που συνιστά παράνομη επεξεργασία στο ειδικό ποινικό αδίκημα του άρθρου 38 του νέου νόμου.

Η Διάταξη έχει δημοσιευτεί στο nomotelia.gr

Πηγή: lawspot

building-camera-stefanos-bagdatoglou-dikigoros

Κάμερες: Πρόστιμο 5.000 σε εταιρεία για μη ικανοποίηση δικαιώματος πρόσβασης σε σύστημα βιντεοεπιτήρησης

Πρόστιμο 5.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε εταιρεία για τη μη ικανοποίηση δικαιώματος πρόσβασης σε σύστημα βιντεοεπιτήρησης.

Αξίζει να σημειωθεί ότι το πρόστιμο επιβλήθηκε με βάση τις διατάξεις του προϊσχύοντος Νόμου 2472/1997, καθώς η δραστηριότητα επεξεργασίας δεν αφορά σε χρονικό διάστημα κατά το οποίο εφαρμοζόταν ο ΓΚΠΔ και η, σύμφωνα με το αντικείμενο της καταγγελίας, πιθανή παράβαση δικαιώματος πρόσβασης δεν αποτελεί «διαρκή» παράβαση.

Η υπόθεση έφτασε ενώπιον της Αρχής έπειτα από καταγγελία του A, σύμφωνα με την οποία ζήτησε μέσω μηνύματος ηλεκτρονικού ταχυδρομείου και παράλληλα με αποστολή fax, για το οποίο έλαβε αποδεικτικό παράδοσης, τη χορήγηση αντιγράφου από το σύστημα βιντεοσκόπησης των χώρων του Γκολφ Γλυφάδας, το οποίο περιλαμβάνει συμβάν με εμπλεκόμενους τον καταγγέλλοντα και υπάλληλο της εταιρείας.

Το αίτημα αυτό επαναλήφθηκε χωρίς η εταιρεία να απαντήσει.

Ο καταγγέλλων κατέθεσε εκ νέου αίτημα, με το οποίο ζήτησε επίσης αντίγραφα εγγράφων που τον αφορούν, όπως παράπονο τρίτου για αυτόν, έγγραφα διερεύνησης, απόφαση ΔΣ, χωρίς και πάλι να λάβει απάντηση.

Η απόφαση της Αρχής

Σύμφωνα με την απόφαση της Αρχής, ο υπεύθυνος επεξεργασίας στην προκειμένη περίπτωση δηλώνει ότι τη χρονική περίοδο που έγινε το περιστατικό και ασκήθηκε το δικαίωμα πρόσβασης δεν ήταν σε λειτουργία το καταγραφικό του συστήματος βιντεοεπιτήρησης. Αυτό δεν επιβεβαιώνεται από τη δήλωση της εταιρείας που διεξήγαγε σχετικό έλεγχο, η οποία αναφέρει ότι ήταν χαλασμένο διαφορετικό υποσύστημα και δεν έλεγξε το υποσύστημα του χώρου της Γραμματείας.

Η καταγγελλόμενη εταιρεία δεν προσκόμισε κανένα έγγραφο, είτε της εταιρείας εγκατάστασης είτε εσωτερική αναφορά, όπως έγγραφο του τεχνικού ασφάλειας, ή έγγραφο του Δ.Σ. από το οποίο να προκύπτει ότι το υποσύστημα του χώρου της Γραμματείας ήταν μη λειτουργικό.

Μάλιστα, στην γνωστοποίηση, την οποία κατέθεσε στην Αρχή με καθυστέρηση, δήλωσε ότι τηρεί αρχεία για διάστημα πέντε (5) ημερών

Συνεπώς, η Αρχή έκρινε πως η θέση της καταγγελλόμενης εταιρείας, ότι το επίμαχο καταγραφικό ήταν εκτός λειτουργίας, δεν αποδεικνύεται.

Η Αρχή επισημαίνει ότι σε κάθε περίπτωση, ακόμα κι αν το καταγραφικό του συστήματος ήταν εκτός λειτουργίας, ο υπεύθυνος επεξεργασίας όφειλε, με βάση τη διάταξη του άρθρου 12 παρ. 1 του ν. 2472/1997 να απαντήσει στον καταγγέλλοντα εάν δεδομένα προσωπικού χαρακτήρα που τον αφορούν αποτέλεσαν αντικείμενο επεξεργασίας, έστω και αρνητικά, εντός της προθεσμίας των δεκαπέντε ημερών.

Στην προκειμένη περίπτωση προκύπτει, ότι ο υπεύθυνος επεξεργασίας δεν απάντησε εντός της προβλεπόμενης προθεσμίας στα αιτήματα του υποκειμένου των δεδομένων.

Η απάντηση που αναφέρει ο υπεύθυνος επεξεργασίας ότι ετοιμάστηκε και ήταν στη διάθεση του υποκειμένου των δεδομένων, δεν κοινοποιήθηκε σε αυτόν, παρά μόνο μετά την παρέμβαση δύο δημόσιων αρχών και μετά από μεγάλη χρονική καθυστέρηση.

Από τα στοιχεία του φακέλου της υπόθεσης προκύπτει ότι ο υπεύθυνος επεξεργασίας παραβίασε τη διάταξη του άρθρου 12 του ν. 2472/1997, σε σχέση με την άσκηση δικαιώματος πρόσβασης του καταγγέλλοντος σε υλικό συστήματος βιντεοεπιτήρησης το οποίο περιλάμβανε την εικόνα του.

Περαιτέρω, η Αρχή έλαβε ιδίως υπόψη, ότι ο υπεύθυνος επεξεργασίας επέδειξε ελλιπή συμμόρφωση σε σχέση με την τότε εφαρμοζόμενη νομοθεσία, καθώς κατά το χρόνο της παράβασης το σύστημα βιντεοεπιτήρησης δεν είχε γνωστοποιηθεί στην Αρχή, και ότι η συνεργασία του υπευθύνου επεξεργασίας με την Αρχή ήταν ιδιαίτερα δυσχερής.

Με βάση τα παραπάνω, η Αρχή επέβαλε στη «ΜΟΝΟΜΕΤΟΧΙΚΗ ΔΗΜΟΤΙΚΗ ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ ΓΚΟΛΦ ΔΗΜΟΥ ΓΛΥΦΑΔΑΣ Α.Ε.» πρόστιμο πέντε χιλιάδων ευρώ.

Δείτε αναλυτικά την απόφαση στο dpa.gr

Πηγή: lawspot

GDPR-prosopika-dedomena

GDPR: Δημοσιεύθηκε ο νόμος 4624/2019 για την προστασία προσωπικών δεδομένων

Δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως ο Νόμος 4624/2019“Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις”.

Ο νόμος αφορά:

α) στην αντικατάσταση του νομοθετικού πλαισίου που ρυθμίζει τη συγκρότηση και λειτουργία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,

β) τη λήψη μέτρων εφαρμογής του Κανονισμού 2016/679 (ΓΚΠΔ/GDPR)

γ) την ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων.

Ο νόμος περιλαμβάνει πολλές ενδιαφέρουσες διατάξεις, μεταξύ των οποίων:

Συγκατάθεση ανηλίκου

1. Όταν εφαρμόζεται το άρθρο 6 παράγραφος 1 στοιχείο α) του ΓΚΠΔ, η επεξεργασία δεδομένων προσωπικού χαρακτήρα ανηλίκου, κατά την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε αυτόν, είναι σύννομη, εφόσον ο ανήλικος έχει συμπληρώσει το 15ο έτος της ηλικίας του και παρέχει τη συγκατάθεσή του.

2. Εάν ο ανήλικος είναι κάτω των 15 ετών η επεξεργασία της παραγράφου 1 είναι σύννομη μόνο μετά την παροχή συγκατάθεσης του νομίμου αντιπροσώπου του.

Επεξεργασία γενετικών δεδομένων

Κατ’ εφαρμογή της παραγράφου 4 του άρθρου 9 του ΓΚΠΔ απαγορεύεται η επεξεργασία γενετικών δεδομένων για σκοπούς ασφάλισης υγείας και ζωής.

Επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των σχέσεων απασχόλησης

1. Δεδομένα προσωπικού χαρακτήρα των εργαζομένων μπορούν να υποβάλλονται σε επεξεργασία για σκοπούς της σύμβασης εργασίας, εφόσον είναι απολύτως απαραίτητο για την απόφαση σύναψης σύμβασης εργασίας ή μετά τη σύναψη της σύμβασης εργασίας για την εκτέλεσή της.

2. Στην περίπτωση που η επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένου έχει κατ’ εξαίρεση ως νομική βάση τη συγκατάθεσή του, για την κρίση ότι αυτή ήταν αποτέλεσμα ελεύθερης επιλογής, πρέπει να λαμβάνονται υπόψη κυρίως: α) η υφιστάμενη στη σύμβαση εργασίας εξάρτηση του εργαζομένου και β) οι περιστάσεις κάτω από τις οποίες χορηγήθηκε η συγκατάθεση. Η συγκατάθεση παρέχεται είτε σε έγγραφη είτε σε ηλεκτρονική μορφή και πρέπει να διακρίνεται σαφώς από τη σύμβαση εργασίας. Ο εργοδότης πρέπει να ενημερώνει τον εργαζόμενο είτε σε έγγραφη είτε σε ηλεκτρονική μορφή σχετικά με τον σκοπό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και το δικαίωμά του να ανακαλέσει τη συγκατάθεση σύμφωνα με το άρθρο 7 παράγραφος 3 του ΓΚΠΔ.

3. Κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα με την έννοια του άρθρου 9 παράγραφος 1 του ΓΚΠΔ για τους σκοπούς της σύμβασης εργασίας επιτρέπεται, εάν είναι απαραίτητη για την άσκηση των δικαιωμάτων ή την εκπλήρωση νόμιμων υποχρεώσεων που απορρέουν από το εργατικό δίκαιο, το δίκαιο της κοινωνικής ασφάλισης και της κοινωνικής προστασίας και δεν υπάρχει κανένας λόγος να θεωρηθεί ότι το έννομο συμφέρον του υποκειμένου των δεδομένων σε σχέση με την επεξεργασία υπερτερεί. Η παράγραφος 2 ισχύει επίσης για τη συγκατάθεση στην επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα. Η συγκατάθεση πρέπει να αναφέρεται ρητά στα δεδομένα αυτά. Το άρθρο 22 παράγραφος 3 εδάφιο β΄ εφαρμόζεται ανάλογα.

4. Επιτρέπεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των ειδικών κατηγοριών δεδομένων Προσωπικού Χαρακτήρα των εργαζομένων για τους σκοπούς της σύμβασης εργασίας βάσει συλλογικών συμβάσεων εργασίας. Τα διαπραγματευόμενα μέρη συμμορφώνονται με το άρθρο 88 παράγραφος 2 του ΓΚΠΔ.

5. Ο υπεύθυνος επεξεργασίας λαμβάνει τα ενδεδειγμένα μέτρα για να εξασφαλίσει ότι τηρούνται ιδίως οι αρχές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που ορίζονται στο άρθρο 5 του ΓΚΠΔ.

6. Οι παράγραφοι 1 έως 5 εφαρμόζονται επίσης, όταν δεδομένα προσωπικού χαρακτήρα, συμπεριλαμβανομένων των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα των εργαζομένων, υπόκεινται σε επεξεργασία, χωρίς αυτά να αποθηκεύονται ή να προορίζονται να αποθηκευτούν σε ένα σύστημα αρχειοθέτησης.

7. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας, είτε είναι δημοσίως προσβάσιμοι είτε μη, επιτρέπεται μόνο εάν είναι απαραίτητη για την προστασία προσώπων και αγαθών. Τα δεδομένα που συλλέγονται μέσω κλειστού κυκλώματος οπτικής καταγραφής δεν επιτρέπεται να χρησιμοποιηθούν ως κριτήριο για την αξιολόγηση της αποδοτικότητας των εργαζομένων. Οι εργαζόμενοι ενημερώνονται εγγράφως, είτε σε γραπτή είτε σε ηλεκτρονική μορφή για την εγκατάσταση και λειτουργία κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας.

8. Για τους σκοπούς του παρόντος νόμου ως εργαζόμενοι νοούνται οι απασχολούμενοι με οποιαδήποτε σχέση εργασίας ή σύμβαση έργου ή παροχής υπηρεσιών στο δημόσιο και στον ιδιωτικό φορέα, ανεξαρτήτως του κύρους της σύμβασης, οι υποψήφιοι για εργασία και οι πρώην απασχολούμενοι.

Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης

1. Στον βαθμό που είναι αναγκαίο να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς και για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, η επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται όταν:

α) το υποκείμενο των δεδομένων έχει παράσχει τη ρητή συγκατάθεσή του,

β) αφορά δεδομένα προσωπικού χαρακτήρα που έχουν προδήλως δημοσιοποιηθεί από το ίδιο το υποκείμενο,

γ) υπερέχει το δικαίωμα στην ελευθερία της έκφρασης και το δικαίωμα της πληροφόρησης έναντι του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα του υποκειμένου, ιδίως για θέματα γενικότερου ενδιαφέροντος ή όταν αφορά δεδομένα προσωπικού χαρακτήρα δημοσίων προσώπων και

δ) όταν περιορίζεται στο αναγκαίο μέτρο για την εξασφάλιση της ελευθερίας της έκφρασης και του δικαιώματος ενημέρωσης, ιδίως όταν αφορά ειδικών κατηγοριών δεδομένα Προσωπικού Χαρακτήρα, καθώς και ποινικές διώξεις, καταδίκες και τα σχετικά με αυτές μέτρα ασφαλείας, λαμβάνοντας υπόψη το δικαίωμα του υποκειμένου στην ιδιωτική και οικογενειακή του ζωή.

2. Στον βαθμό που είναι αναγκαίο να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς, και για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης δεν εφαρμόζεται:

α) το Κεφάλαιο ΙΙ του ΓΚΠΔ «Αρχές», εκτός από το άρθρο 5,

β) το Κεφάλαιο ΙΙΙ του ΓΚΠΔ «Δικαιώματα του Υποκειμένου»,

γ) το Κεφάλαιο ΙV του ΓΚΠΔ «Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία», εκτός από τα άρθρα 28, 29 και 32,

δ) το Κεφάλαιο V του ΓΚΠΔ «Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς»,

ε) το Κεφάλαιο VII του ΓΚΠΔ «Συνεργασία και συνεκτικότητα και

στ) το Κεφάλαιο IX του ΓΚΠΔ «Διατάξεις που αφορούν ειδικές περιπτώσεις επεξεργασίας».

Πηγή: lawspot.gr

prostasia-dedomenon-gdpr

Το πρώτο πρόστιμο επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR)

Πρόστιμο 150.000 ευρώ επιβλήθηκε στην εταιρεία «PWC» για παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων της. Πρόκειται για το πρώτο πρόστιμο, και μάλιστα τσουχτερό, που επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR).

Η καταγγελία

Η υπόθεση έφτασε ενώπιον της Αρχής μετά την καταγγελία της Ένωσης Λογιστών Ελεγκτών Περιφέρειας Αττικής (ΕΛΕΠΑ) κατά της εταιρείας Price Waterhouse Coopers Business Α.Ε. (PWC BS) για παράνοµη επεξεργασία δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων της.

Σύμφωνα με την καταγγελία, οι υπεύθυνοι της καταγγελλόµενης εταιρείας διένειµαν στο προσωπικό της «∆ήλωση Αποδοχής όρων Επεξεργασίας Προσωπικών ∆εδοµένων» καθώς και νέες ατοµικές συµβάσεις (που επισυνάφθηκαν στην καταγγελία), οι οποίες περιελάµβαναν εδάφια που αναφέρονται στην επεξεργασία προσωπικών δεδοµένων, ζητώντας επιτακτικά να τις υπογράψουν, κατά παράβαση του ν. 2472/1997, δεδοµένης µάλιστα της πλεονεκτικής θέσης της εργοδοσίας έναντι των εργαζοµένων, ώστε εµµέσως να εξαναγκαστούν προς υπογραφή αυτών.

Ειδικότερα, στην καταγγελία αναφέρεται ότι:

α) µε τη συγκεκριµένη δήλωση ζητείτο από το προσωπικό να δώσει τη συγκατάθεσή του και να επιτρέψει ρητά και ανεπιφύλακτα στην εταιρεία να καταχωρήσει και να χρησιµοποιεί τα προσωπικά του στοιχεία, τόσο τα ήδη κατατεθέντα όσο και τα µελλοντικά, στις βάσεις δεδοµένων που διατηρεί, αν και από τον χαρακτήρα των επιχειρηµατικών δραστηριοτήτων της εταιρείας δεν προκύπτει οποιοσδήποτε λόγος ασφάλειας, που θα καθιστούσε ανεκτή µια τέτοια καταχώρηση και επεξεργασία των προσωπικών δεδοµένων των εργαζοµένων.

β) ζητείτο από τους εργαζόµενους να συναινέσουν µε τη δήλωσή τους αυτή στην περαιτέρω διοχέτευση των προσωπικών τους δεδοµένων σε τρίτα πρόσωπα ακόµη και σε πελάτες της εταιρείας, ζητώντας την εν λευκώ στην ουσία συγκατάθεση των εργαζοµένων να χρησιµοποιεί και να κοινοποιεί σε οποιονδήποτε τρίτο τα προσωπικά τους στοιχεία, όπου και µε όποιο τρόπο κρίνει ότι εξυπηρετούνται τα επιχειρηµατικά της συµφέροντα και

γ) µε τον τρόπο αυτό δροµολογείται και η περαιτέρω παρακολούθησή τους στον χώρο εργασίας όπως µε κάµερες κ.ά.

Η καταγγελόμενη εταιρεία

Η PWC υποστήριξε ότι η επίµαχη «∆ήλωση Αποδοχής όρων Επεξεργασίας Προσωπικών ∆εδοµένων» έχει τροποποιηθεί πλέον σε συµµόρφωση προς τον Γενικό Κανονισµό Προστασίας ∆εδοµένων υπ’ αρ. 679/16 («ΓΚΠ∆») και έχει ήδη γίνει «αποδεκτή» από 390 εργαζόµενους σε σύνολο 415, ώστε ούτως ή άλλως η συγκεκριµένη δήλωση να µην βρίσκεται σήµερα σε ισχύ.

Παράλληλα, η εταιρεία υποστήριξε, μεταξύ άλλων, ότι ουδέποτε ζήτησε επιτακτικά και ουδέποτε εξανάγκασε άµεσα ή έµµεσα τους εργαζομένους της να παράσχουν τη συγκατάθεσή τους στην επεξεργασία των προσωπικών δεδοµένων τους, υπογράφοντας την ανωτέρω δήλωση, επιπλέον δε, ουδεµία κύρωση επιβλήθηκε σε όσους δεν την υπέγραψαν.

Η απόφαση της Αρχής

Εντέλει, η Αρχή έκρινε ότι η εταιρεία PWC BS ως υπεύθυνος επεξεργασίας:

1) υπέβαλε σε µη σύννοµη επεξεργασία κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. α’ ΓΚΠ∆ τα δεδοµένα προσωπικού χαρακτήρα των εργαζοµένων της, καθώς εφάρµοσε εν προκειµένω, αρχικά την ακατάλληλη νοµική βάση της συγκατάθεσης και εν συνεχεία την ακατάλληλη (εν µέρει) νοµική βάση της εκτέλεσης της σύµβασης και για τους τρείς (3) σκοπούς επεξεργασίας.

2) υπέβαλε σε µη θεµιτή και χωρίς διαφανή τρόπο κατά παράβαση των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ περ. β’ και γ’ ΓΚΠ∆ τα δεδοµένα προσωπικού χαρακτήρα των εργαζοµένων της, καθώς τους δηµιούργησε την εσφαλµένη εντύπωση ότι τα επεξεργάζεται κατ’ εφαρµογή της νοµικής βάσης της συγκατάθεσης κατ’ αρ. 6 παρ. 1 εδ. α’ ΓΚΠ∆, ενώ στην πραγµατικότητα τα επεξεργάσθηκε µε άλλη νοµική βάση, για την οποία ουδέποτε ενηµερώθηκαν οι εργαζόµενοι, κατά παράβαση της υποχρέωσης.

3) ως υπεύθυνος επεξεργασίας αν και έφερε την ευθύνη, δεν ήταν σε θέση να τηρήσει και να αποδείξει τη συµµόρφωση µε την παράγραφο 1 του άρθρου 5 ΓΚΠ∆ σύµφωνα µε τα προεκτεθέντα υπό i και ii και παραβίασε την προβλεπόµενη από τη διάταξη του άρθρου 5 παρ. 2 ΓΚΠ∆ αρχή της λογοδοσίας, µεταφέροντας το βάρος της απόδειξης της συµµόρφωσης στα υποκείµενα των δεδοµένων σύµφωνα µε τα προεκτεθέντα στην υπ’ αρ. 18 ii σκέψη της απόφασης.

Η εντολή

Στο πλαίσιο αυτό, η Αρχή έδωσε εντολή στην εταιρεία «PRICEWATERHOUSECOOPERS BUSINESS SOLUTIONS Α.Ε.» όπως εντός τριών (3) µηνών από την παραλαβή της παρούσας, ενηµερώνοντας την Αρχή

1) να καταστήσει τις πράξεις επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων της σύµφωνες µε τις διατάξεις του ΓΚΠ∆.

2) να αποκαταστήσει την ορθή εφαρµογή των διατάξεων του άρθρου 5 παρ. 1 εδ. α’ και παρ. 2 σε συνδυασµό µε το άρθρο 6 παρ. 1 ΓΚΠ∆ σύµφωνα µε τα διαλαµβανόµενα στο σκεπτικό της απόφασης,

3) να αποκαταστήσει και την ορθή εφαρµογή των λοιπών διατάξεων του άρθρου 5 παρ. 1 εδ. β-στ’ ΓΚΠ∆ στο µέτρο που η διαπιστωθείσα παραβίαση επηρεάζει την εσωτερική οργάνωση και συµµόρφωση προς τις διατάξεις του ΓΚΠ∆ λαµβάνοντας κάθε αναγκαίο µέτρο στο πλαίσιο της αρχής της λογοδοσίας.

Το πρόστιμο

Παράλληλα, επέβαλε στην εταιρεία «PRICEWATERHOUSECOOPERS BUSINESS SOLUTIONS Α.Ε.» το αποτελεσµατικό, αναλογικό και αποτρεπτικό διοικητικό χρηµατικό πρόστιµο που αρµόζει στη συγκεκριµένη περίπτωση σύµφωνα µε τις ειδικότερες περιστάσεις αυτής, ύψους εκατόν πενήντα χιλιάδων (150.000,00) ευρώ.

Για τον υπολογισμό του προστίμου, η Αρχή έλαβε υπόψη τις διατάξεις του άρθρου 83 ΓΚΠ∆ στο µέτρο που εφαρµόζονται στη συγκεκριµένη περίπτωση και ειδικότερα όσα από τα προβλεπόµενα από την παράγραφο 2 του ίδιου άρθρου κριτήρια αφορούν την συγκεκριµένη περίπτωση.

Παράλληλα, αναγνώρισε ως επιπλέον ελαφρυντικό στοιχείο ότι από τα στοιχεία που τέθηκαν υπόψη της και µε βάση τα οποία διαπίστωσε την παραβίαση του ΓΚΠ∆, ο υπεύθυνος επεξεργασίας δεν αποκόµισε οικονοµικό όφελος, ούτε προκάλεσε υλική ζηµία στους εργαζόµενους.

Πηγή: www.in.gr

GDPR-prosopika-dedomena

Συμμόρφωση ιστοσελίδων με τον GDPR: Έγιναν οι πρώτοι έλεγχοι από την ΑΠΔΠΧ

Με επιτυχία διοργανώθηκε τη Δευτέρα, 28 Ιανουαρίου, στο Εθνικό Ίδρυμα Ερευνών, η επιστημονική ημερίδα της Αρχής Προστασίας Δεδομένων «Γενικός Κανονισμός Προστασίας Δεδομένων: Χρήσιμες επισημάνσεις 8 μήνες μετά», με αφορμή τον εορτασμό της 13ης Ευρωπαϊκής Ημέρας Προστασίας Δεδομένων.

Στην ημερίδα, η οποία πραγματοποιήθηκε με την υποστήριξη της Αντιπροσωπείας της Ευρωπαϊκής Επιτροπής στην Ελλάδα, πραγματοποιήθηκαν ενδιαφέρουσες εισηγήσεις επί διαφόρων θεματικών, όπως το εδαφικό πεδίο εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), ο εκσυγχρονισμός των δικαιωμάτων των υποκειμένων των δεδομένων, η έννοια της συγκατάθεσης, ο θεσμός του Υπευθύνου Προστασίας Δεδομένων (DPO) και η εκτίμηση αντικτύπου (DPIA).

Ωστόσο, ιδιαίτερο ενδιαφέρον εμφάνισε η παρουσίαση της κυρίας Γεωργίας Παναγοπούλου, σχετικά με τη συμμόρφωση υπευθύνων επεξεργασίας που παρέχουν διαδικτυακές υπηρεσίες με το ΓΚΠΔ αλλά και την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες.

Στην εισήγησή της παρουσίασε τα πρώτα συμπεράσματα καθώς και στατιστικά στοιχεία που προέκυψαν ως αποτέλεσμα πολύ πρόσφατης δράσης της Αρχής, κατά την οποία ελέγχθηκε ο τρόπος ικανοποίησης συγκεκριμένων απαιτήσεων μέσω ενδεικτικών σημείων, αντιληπτών στον πολίτη κατά την πλοήγησή του στο διαδίκτυο και κατά τη χρήση των διαδικτυακών υπηρεσιών.

Οι 65 ιστοσελίδες που αποτέλεσαν αντικείμενο έρευνας ανήκουν σε ποικίλους τομείς, όπως ασφαλιστικές εταιρείες, χρηματοπιστωτικά ιδρύματα, ηλεκτρονικό εμπόριο, υπηρεσίες εισιτηρίων και δημόσιες υπηρεσίες, ενώ η επιλογή έγινε με κριτήριο την επισκεψιμότητα και την παροχή ηλεκτρονικών υπηρεσιών.

Σύμφωνα με την έρευνα, τα σημεία συμμόρφωσης με το ΓΚΠΔ και την οδηγία e-Privacy, τα οποία ελέγχθηκαν ήταν τα εξής:

Διαφάνεια – ενημέρωση υποκειμένων (ΓΚΠΔ άρθρα 1314)

  • Στοιχεία υπευθύνου επεξεργασίας
  • Δικαιώματα υποκειμένων
  • Άσκηση δικαιωμάτων υποκειμένων
  • Στοιχεία υπευθύνου προστασίας δεδομένων
  • Δυνατότητα προσφυγής στην ΑΠΔΠΧ
  • Σκοποί, νομική βάση επεξεργασιών
  • Αποδέκτες δεδομένων
  • Δυνατότητα ανάκλησης συγκατάθεσης

Διαβάστε επίσης: Ο GDPR σε αριθμούς (infographic)Μέτρα ασφάλειας της επεξεργασίας (ΓΚΠΔ άρθρo 32)

  • Ψηφιακό πιστοποιητικό – υλοποίηση https
  • Ισχυρός μηχανισμός εγγραφής
  • Πολιτική συνθηματικών
  • Διαδικασία ανάκτησης συνθηματικού

Αποστολή ηλεκτρονικών μηνυμάτων διαφημιστικού περιεχομένου (N. 3471/2006 άρθρο 11)

  • Λήψη συγκατάθεσης
  • Συμμόρφωση με την οδηγία 2/2011
  • Δυνατότητα διαγραφής

Εγκατάσταση και χρήση cookies (N. 3471/2006 άρθρο 4, παρ. 5)

  • Ενημέρωση
  • Συγκατάθεση όπου απαιτείται

Ικανοποιητικό επίπεδο συμμόρφωσης σε ορισμένους τομείς

Τα αποτελέσματα της έρευνας ήταν αρκετά ικανοποιητικά σε ορισμένους τομείς, όπως η διαφάνεια και η ενημέρωση των υποκειμένων, ιδιαιτέρως σε ό,τι αφορά στην ενημέρωση για τα δικαιώματά τους, αλλά και την ασφάλεια της επεξεργασίας, με την Αρχή να διαπιστώνει ικανοποιητικό βασικό επίπεδο ασφάλειας.

Στον αντίποδα, αρκετές ελλείψεις παρατηρήθηκαν στην εγκατάσταση και χρήση cookies, καθώς και στην αποστολή ηλεκτρονικών μηνυμάτων διαφημιστικού περιεχομένου.

Ως προς τις κατηγορίες των υπευθύνων, διαπιστώθηκε ότι οι ασφαλιστικές εταιρείες, τα χρηματοπιστωτικά ιδρύματα και το ηλεκτρονικό εμπόριο επιδεικνύουν υψηλά ποσοστά συμμόρφωσης, σε αντίθεση με το Δημόσιο.

Οι σημαντικότερες ελλείψεις, το Δημόσιο και ο πονοκέφαλος των cookies

Σύμφωνα με τα στοιχεία της Αρχής, παρατηρήθηκε, μεταξύ άλλων, σημαντική έλλειψη συμμόρφωσης με τη νομοθεσία για τα cookies, ελλιπής ενημέρωση για τις πράξεις επεξεργασίας και τους αποδέκτες, καθώς και μεγάλη υστέρηση του Δημοσίου στη διαφάνεια.

Ειδικότερα, σε σχέση με τη διαφάνεια, σημαντικές ελλείψεις παρατηρήθηκαν, μεταξύ άλλων, στην αναφορά των σκοπών και της νομικής βάσης της επεξεργασίας.

Σε σχέση με τα μέτρα ασφάλειας της επεξεργασίας, διαπιστώθηκε ότι δεν υπάρχει στις περισσότερες περιπτώσεις έλεγχος για την πολυπλοκότητα των συνθηματικών των χρηστών και βέλτιστη υλοποίηση ασφαλούς σύνδεσης https.

Αναφορικά με την αποστολή ηλεκτρονικών μηνυμάτων διαφημιστικού περιεχομένου, σε καμία (από τις ελεγχόμενες) περίπτωση δεν υπήρχε επιβεβαίωση του email μέσω της προβλεπόμενης διαδικασίας double opt-in.

Τέλος, σε σχέση με τα cookies, τα κυριότερα προβλήματα επικεντρώνονται στη μη επαρκή ενημέρωση των χρηστών, καθώς και στη συγκατάθεση μέσω browser ή στην παροχή μόνο της δυνατότητας opt-out.

Τα cookies εξακολουθούν να αποτελούν “πονοκέφαλο” στη συμμόρφωση των ιστοσελίδων και στην Ελλάδα. Υπενθυμίζεται ότι κατά τους τελευταίους μήνες του 2018, η αυστριακή και η βρετανική αρχή προστασίας δεδομένων εξέδωσαν σχετικές αποφάσεις, ακολουθώντας διαφορετικές προσεγγίσεις σε σχέση με τη συγκατάθεση.

Πηγή: lawspot.gr

Skip to content