GDPR (ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ- ΔΙΚΑΙΩΜΑΤΑ – ΥΠΟΧΡΕΩΣΕΙΣ)


O Κανονισμός GDPR ξεκίνησε να εφαρμόζεται στην Ευρώπη από τις 28 Μαϊου του 2018 και αντικατέστησε την Ευρωπαϊκή Οδηγία προστασίας δεδομένων που ίσχυε από το 1995. Η τελευταία δεν ανταποκρινόταν πλέον στα σύγχρονα δεδομένα της ψηφιακής κοινωνίας, διότι επικεντρωνόταν στην προστασία των δεδομένων στα πλαίσια εμπορικών συναλλαγών και στην ευκολότερη διακίνηση τους προκειμένου να ενδυναμωθεί η εσωτερική αγορά της Ευρώπης.

Το GDPR κάθε άλλο από επιτομή της παρθενογένεσης μπορεί να χαρακτηριστεί. Προπομποί του μπορούν να θεωρηθούν τόσο το άρθρ.16(1) της Συνθήκης για την λειτουργία της Ευρωπαϊκής Ένωσης όσο και το άρθρ.8 του Χάρτη Θεμελειωδών Δικαιωμάτων της Ε.Ε.  

ΔΙΑΦΟΡΕΣ ΚΑΙ ΟΜΟΙΟΤΗΤΕΣ ΜΕΤΑΞΥ GDPR & DPD 1995

1. GDPR συνιστά Κανονισμό ενώ το DPD 1995 Οδηγία. Αυτή η διαφορά έχει μεγάλη αξία τόσο από σκοπιά εδαφικής όσο και ουσιαστικής εφαρμογής του GDPR.

Κανονισμός σημαίνει απευθείας εφαρμογή και εκτελεστότητα, χωρίς να είναι επιδεκτικός ερμηνείας εκ των εκάστοτε ευρωπαϊκών κρατών.

Τί επιτυγχάνει αυτό; Βοηθά στην ομοιόμορφη και ενιαία εφαρμογή των κανόνων επί προσωπικών δεδομένων από όλα τα κράτη-μέλη της Ε.Ε. Έτσι, οι πολίτες της Ε.Ε. απολαμβάνουν σε όποια ευρωπαϊκή χώρα και αν βρίσκονται της ίδιας προστασίας. Το GDPR λόγω της νομικής του φύσεως δε δεσμεύει μόνο τις ευρωπαϊκές επιχειρήσεις ή όσες μη ευρωπαϊκες επιχειρήσεις εδράζονται επί Ε.Ε. άλλα και όσες επεξεργάζονται προσωπικά δεδομένα Ευρωπαίων πολιτών ανεξαρτήτως του αν οι πρώτες βρίσκονται ή όχι στην Ευρώπη.

Το GDPR ξεπερνά, με άλλα λόγια, τα προσκόμματα της υπηκόοτητας και τυγχάνει καθολικής εφαρμογής. Με το ίδιο σκεπτικό, πολίτες μη ευρωπαϊκών κρατών τυγχάνουν της προστασίας που παρέχεται μέσω GDPR αν βρίσκονται για λ.χ. επαγγελματικούς λόγους εντός Ε.Ε. αλλά και ευρωπαίοι πολίτες προστατεύονται από το GDPR όταν βρίσκονται εκτός Ε.Ε.

Η Οδηγία από την άλλη τυγχάνει πιο ευέλικτης εφαρμογής, μίας και περιέχει τους σκοπούς/οδηγίες προς τα κράτη και τα τελευταία καλούνται να την ενσωματώσουν μέσα από τους νόμους που αυτά διαμορφώνουν ούτως ώστε να επιτύχουν τους επιδιωκόμενους σκοπούς.

2. Διεύρυνση του ορισμού προσωπικών δεδομένων:

Με το GDPR προστατεύονται περισσότερες κατηγορίες προσωπικών δεδομένων των χρηστών, όπως γενετήσιες πληροφορίες και διεύθυνση IP. To GDPR στην αιτία 26 και 28 επεκτείνει την προστασία των προσωπικών δεδομένων πέρα από τα καθιερωμένα όπως όνομα, διεύθυνση, φωτογραφίες, αριθμός πιστωτικών και στην ψευδωνυμοποίηση δεδομένων, άρθρ.4(5).

3. Συγκατάθεση:

Mία από τις βασικότερες διαφορές μεταξύ GDPR και DPD έγκειται στα ζητήματα συγκατάθεσης των χρηστών στην επεξεργασία των προσωπικών δεδομένων. Πλέον, με το GDPR δεν μας ενδιαφέρει μόνο η παροχή συγκατάθεσης αλλά και η διατήρηση της σε κατοπινότερα στάδια επεξεργασίας προσωπικών δεδομένων.

Το GDPR θέτει πιο ξεκάθαρα όρια στους όρους και τις προϋποθέσεις υπό τις όποιες παρέχεται συγκατάθεση ενώ δίνει το δικαίωμα στους χρήστες να αποσύρουν την παρασχεθείσα συγκατάθεση οποιαδήποτε στιγμή. Η συγκατάθεση πρέπει να είναι ξεκάθαρη, ελεύθερη από κάθε επιφύλαξη και να παρέχεται ύστερα από σαφή και πλήρη ενημέρωση η οποία πρέπει να γίνεται σε απλή, κατανοητή γλώσσα και να εξηγεί πώς και για ποίους λόγους τα δεδομένα θα χρησιμοποιηθούν.

Εδώ αξίζει να σημειωθεί ότι το GDPR αποσαφηνίζει ευαίσθητες κατηγορίες προσωπικών δεδομένων, όπως είναι εκείνες που αφορούν τα παιδιά, όπου και απαιτείται η γονική συναίνεση έως ένα όριο ηλικίας. Ζητήματα που δεν ήταν επαρκώς ρυθμισμένα υπό την Οδηγία Προσωπικών Δεδομένων και θίγονταν μόνο στο COPPA (Children’s Online Privacy Protection Act). Τα θετικά των νέων ρυθμίσεων σχετικά με τη συγκατάθεση είναι ότι αντιμετωπίζονται παλαιότερες προβληματικές καταστάσεις. Συγκεκριμένα, συνηθίζονταν οι  επιχειρήσεις να λάμβαναν την συγκατάθεση των χρηστών για ορισμένα ζητήματα σε ένα ορισμένο χρονικό σημείο, και να τα χρησιμοποιήσουν επ’αόριστον για σκοπούς άσχετους από τους αρχικούς. Πλέον, με το GDPR οι επιχειρήσεις πρέπει να ελέγχουν τακτικά το αν η αρχικώς παρασχεθείσα συγκατάθεση διατηρείται σε όλα τα μετέπειτα στάδια επεξεργασίας δεδομένων.

4. Ευθύνη και υποχρέωση προς αποζημίωση:

To GDPR επιβάλλει υποχρεώσεις τόσο για data controllers όσο και για data processors. Το DPD αντιθέτως αφορούσε μόνο data controllers.

Σε αυτό το σημείο κρίνω χρήσιμο να αποσαφηνίσουμε την διαφορά μεταξύ του data controller και data processor, υπό του Αρθρ.4(7) και (8) του GDPR. Συγκεκριμένα, data controller είναι οποιοσδήποτε οργανισμός από μικρό κατάστημα μέχρι και μεγάλη εταιρία ή φιλανθρωπικός οργανισμός. Ο data controller δεν χρειάζεται να συλλέγει τα δεδομένα αυτά μόνος του αλλά μπορεί να έχει τον data processor για αυτή την λειτουργία. Δεν απαιτείται όλες οι επιχειρήσεις να έχουν ξεχωριστό data processor, εξαρτάται από τους σκοπούς της επιχείρησης και από το αν η λειτουργία της επιχείρησης περιστρέφεται γύρω από την επεξεργασία των δεδομένων πελατών της, λ.χ. μία εταιρία τηλεπικοινωνιών Vodafone, Cosmote, κλπ.

Βάσει των καινούργιων ρυθμίσεων, οι χρήστες μπορούν να αιτηθούν αποζημίωσης τόσο από τον data controller όσο και από τον data processor για υλικές και ηθικές ζημίες, ενώ η προηγούμενη οδηγία περιοριζόταν μόνο στις υλικές ζημίες και μόνο στην ευθύνη του data controller.

5. Υποχρέωση γνωστοποίησης παραβίασης προσωπικών δεδομένων:

Ο Κανονισμός GDPR καθιερώνει υποχρεωτική ευθύνη των επιχειρήσεων που επεξεργάζονται δεδομένα να ενημερώνουν τους πελάτες τους και τις αρμόδιες υπηρεσίες, σχετικά με ζητήματα παραβίασης προσωπικών δεδομένων. Η ενημέρωση αυτή πρέπει να παρασχεθεί το λιγότερο εντός 72 ωρών από τότε που η επιχείρηση έλαβε γνώση της παραβίασης. Αποτυχία στην έγκαιρη ενημέρωση των άμεσα ενδιαφερομένων επιφέρει πρόστιμα για τις επιχειρήσεις που δεν τηρούν τον Κανονισμό.

Προ του GDPR ίσχυαν τα εξής: Η ευθύνη ενημέρωσης για παραβάσεις προσωπικών δεδομένων βάραινε μία επιχείρηση μόνο αν καλυπτόταν από το “Privacy and Electronic Communications Regulation 2011 (PECR)”,  το οποίο σχετιζόταν με τις παραβιάσεις προσωπικών δεδομένων σχετικά με τους παρόχους τηλεπικοινωνιών ή ISP (Internet Service Provider). Yπό την προϊσχύουσα οδηγία κάθε κράτος-μέλος μπορούσε να εφαρμόσει τους δικούς του κανόνες σχετικά με τις υποχρεώσεις ενημέρωσης χρηστών σε περιπτώσεις παραβιάσεων. Αυτή η ρύθμιση ήταν ένα αγκάθι για τις επιχειρήσεις οι οποίες έπρεπε να συμμορφώνονται και να είναι ενήμερες για τους διάφρορους ισχύοντες κανόνες ενημέρωσης σε κάθε κράτος-μέλος.

Τί πέτυχε εν προκειμένω το GDPR; Την απλοποίηση των διαδικασιών ενώ δημιούργησε κοινές βάσεις συνεργασίας μεταξύ των ευρωπαϊκών κρατών-μελών, ώστε να περιοριστεί ο αριθμός των παραβιάσεων αλλά και των μη συμμορφούμενων επιχειρήσεων.

Τα πρόστιμα σε περιπτώσεις παραβιάσεων είναι σημαντικά υψηλότερα υπό το GDPR, συκεκριμένα 20 εκατομμύρια ευρώ ή στο 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ενώ κατά την προηγούμενη οδηγία τα πρόστιμα δεν ξεπερνούσαν αντίστοιχα το 1% και με τον όρο ότι η παραβίαση είχε προκαλέσει ζημία ή οικονομική απώλεια στο θύμα της παραβίασης.

Κάποιο από τα μεγαλύτερα πρόστιμα που είχαν επιβληθεί υπό το προϊσχύσαν καθεστώς και συγκεριμένα υπό την αγγλική εκδοχή του DPD, δηλ. από το DPA 1998 και το ICO, ήταν 385,000 λίρες ως πρόστιμο για την εφαρμογή Uber, εξαιτίας της οποίας παραβιάσθηκαν τα δεδομένα όχι ενός, όχι δύο αλλά 35 εκατομμυρίων χρηστών εκ των 2.7 ήταν Βρετανοί υπήκοοι.

Μία ακόμη παραβίαση που ήταν και εκείνη που πυροδότησε τις προσπάθειες για ανανέωση των κανόνων περί προστασίας προσωπικών δεδομένων ήταν το σκάνδαλο Cambridge Analytica, όπου επιβλήθηκε πρόστιμο της τάξεως των 500.000 λιρών το έτος 2018. Έτσι, το GDPR έρχεται μέσω των υψηλών του προστίμων να περιορίσει την κατάχρηση των προσωπικών δεδομένων.

6. Δικαίωμα ενημέρωσης:

Προϋπήρχε στην Οδηγία του 1995 αλλά ισχυροποιήθηκε υπό το νέο Κανονισμό. Βάσει του άρθρ.14 του GDPR οι χρήστες έχουν το δικαίωμα να πληροφορούνται σε απλή και κατανοητή γλώσσα τους λόγους και τους σκοπούς για τους οποίους συλλέγονται τα προσωπικά τους δεδομένα καθώς και τον χρόνο για τον οποίο αυτά θα χρησιμοποιηθούν. Η ενδυνάμωση αυτού του δικαιώματος χαρίζει μεγαλύτερη διαφάνεια στον χώρο επεξεργασίας προσωπικών δεδομένων.

7. Δικαίωμα πρόσβασης:

Αυτό το δικαίωμα επίσης δεν είναι καινοτομία του GDPR, άρθρ.15, αλλά προϋπήρχε και στο DPD 1995. Ωστόσο, στην οδηγία του 1995 ήταν περιορισμένο συγκριτικά με το GDPR όπου διευρύνεται και επεκτείνεται στην δυνατότητα πρόσβασης των χρηστών στα δεδομένα τους καθόλη την περίοδο που αυτά διατηρούνται καθώς και τον αντίκτυπο που μπορεί να έχει η τυχόν επεξεργασία αυτών των δεδομένων σε αυτούς. Η πρόσβαση στα δεδομένα γίνεται ευκολότερη, μίας και οι επιχειρήσεις είναι υποχρεωμένες να αναταποκριθούν στο αίτημα πρόσβασης των χρηστών (Subject Access Request – SAR), και να παράσχουν ηλεκτρονικό αντίγραφο χωρίς καμία οικονομική επιβάρυνση των χρηστών.

8. Δικαίωμα περιορισμού της επεξεργασίας:

Στο άρθ.18 του Κανονισμού παρέχεται λεπτομερώς και πιο εξειδικευμένα σε σχέση με την προϊσχύουσα Ευρωπαϊκή Οδηγία του 1995 (αρθ.12) το δικαίωμα των χρηστών να περιορίσουν την επεξεργασία των δεδομένων τους.

9. Δικαίωμα εναντίωσης:

Ένα ακόμα δικαίωμα που διατηρείται υπό το GDPR και εδραιώνεται στο αρθρ.21. Η αλλαγή που παρουσιάζει εντοπίζεται στο ότι το βάρος απόδειξης σχετικά με το αν η επεξεργασία δεδομένων είναι νόμιμη ή όχι μετακυλίεται από το υποκείμενο των δεδομένων στον data controller. Συγκεκριμένα, το υποκείμενο μπορεί να εναντιωθεί στην επεξεργασία των δεδομένων. Η εναντίωση αυτή πρέπει να γίνει σεβαστή εκτός και αν η επιχείρηση αποδείξει ότι υπάρχουν υπέρτερα συμφέροντα σε σχέση με το ατομικά συμφέροντα του χρήστη που δικαιολογούν την επεξεργασία αυτή των δεδομένων.

10. Δικαίωμα διόρθωσης:

Και αυτό το δικαίωμα παραμένει υπό το άρθ.16 του GDPR, χωρίς αξιοσημείωτες αλλαγές. Συγκεκριμένα είναι το δικαίωμα των χρηστών να ζητήσουν την διόρθωση ανακριβών δεδομένων, όπως η ηλ.ταχυδρομική διεύθυνση, το όνομα, κλπ., μίας και η ακρίβεια τέτοιων δεδομένων εξασφαλίζει την καταλληλότερη προστασία της δικής τους ταυτότητας.  

11. Οι ρυθμίσεις περί «αυτοματοποιημένης ατομικής λήψης αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ», GDPR άρθρ.22, παραμένουν ίδιες σε γενικές γραμμές. Αυτές σχετίζονται με την αυτοματοποιημένη επεξεργασία που γίνεται από ηλ.υπολογιστές, smartphones, κλπ., για σκοπούς profiling.

Profiling, είναι η ενέργεια μέσω της οποίας τα συλλεχθέντα και αναλυμένα προσωπικά δεδομένα οδηγούν στην κατηγοριοποίηση των πληροφοριών αυτών κατά τέτοιο τρόπο ώστε αυτά να συνδέονται με ένα άτομο ή με μία ομάδα ατόμων. Αυτή η ενέργεια είναι υψηλής αξίας μίας και παρέχει όχι μόνο την ταυτοποίηση ενός υποκειμένου αλλά και τη δυνατότητα πρόβλεψης μελλοντικών συμπεριφορών βάσει του δημιουργηθέντος προφίλ.

Αυτή η αυτόματης μορφής επεξεργασίας επιτρέπεται μόνο όταν έχει παρασχεθεί ειδική συναίνεση του ατόμου ή η επεξεργασία δικαιολογείται από λόγους δημοσίου συμφέροντος και υπό την προϋπόθεση ότι τα κράτη-μέλη έχουν θέσει τα απαραίτητα προστατευτικά νομικά πλαίσια.

Αυτό βέβαια δε σημαίνει ότι οι πολίτες μένουν απροστάτευτοι. Εξακολουθούν να έχουν το δικαίωμα γνώσης επί όλων των αυτόματοποιημένων αποφάσεων λαμβάνονται επί των προσωπικών τους δεδομένων. Το άρθρο αυτό δεν εφαρμόζεται στα παιδιά (GDPR, αιτία 71).

12. Δικαίωμα στην λήθη, (άρθ.17):

Σύμφωνα με το δικαίωμα αυτό οι χρήστες μπορούν να ζητήσουν από μία επιχείρηση να διαγράψει τις προσωπικές τους πληροφορίες που έχουν συλλέχθεί , αν δεν επιθυμούν πλέον τα δεδομένα τους να τυγχάνουν επεξεργασίας.

Ωστόσο, η άσκηση αυτού του δικαίωματος μπορεί να γίνεται για ορισμένους λόγος, μίας και δεν πρόκειται περί δικαίωματος με απόλυτο χαρακτήρα, π.χ. όταν τα δεδομένα δεν είναι πλέον απαραίτητα για τους προορισμένους σκοπούς, όταν οι σκοποί αυτοί έχουν εκλείψει, όταν η συναίνεση έχει αρθεί, αν υπάρχει νόμιμο δικαίωμα που δικαιολογεί το αίτημα αυτό όπως το άρθ.8 που αφορά την προστασία των προσωπικών δεδομένων των παιδιών.

Υπό το καθεστώς της προηγούμενης οδηγίας τέτοιο δικαίωμα οριζόταν κατά τρόπο αφηρημένο και αφορούσε κυρίως περιπτώσεις που τα δεδομένα ήταν ανακριβή ή μη πλήρη, άρ.12- DPD 1995.

Υπό το GDPR το δικαίωμα αυτό λαμβάνει ξεκάθαρης κατοχύρωσης με ειδικό άρθρο. Σε καμία περίπτωση το δικαίωμα στη λήθη δεν αντιτίθεται σε δημοκρατικές αρχές, όπως η αρχή της ελευθερίας τύπου. Αντιθέτως τις ενδυναμώνει, προσπαθώντας να αποτρέψει την κατάχρηση των προσωπικών δεδομένων.

13. Δικαίωμα στη φορητότητα των δεδομένων:

Είναι ένα νέο δικαίωμα που ορίζεται στο άρθ.20, το οποίο δεν ήταν διαθέσιμο υπό τους προηγούμενους νόμους προστασίας δεδομένων. Αυτό σημαινει ότι τα άτομα μπορούν να χρησιμοποιήσουν και να διακινήσουν τα δεδομένα τους για προσωπικούς σκοπούς σε διαφορετικές υπηρεσίες.

Το δικαίωμα διακίνησης διαφέρει από το δικαίωμα πρόσβασης. Πιο αναλυτικά, με την άσκηση του δικαίωματος διακίνησης το άτομο μπορεί να λάβει τα δεδομένα που παρείχε από τον data controller ώστε να τα επαναχρησιμοποιήσει ή να τα μεταφέρει σε διαφορετικά ΙΤ περιβάλλοντα, χωρίς προσκόμματα από την εταιρεία που υπέβαλε το σχετικό αίτημα.

Οι εταιρίες που δέχονται το αίτημα αυτό οφείλουν να διαθέσουν τις απαιτουμένες πληροφορίες κατά τρόπο δομημένο, όπως υπαγορεύει η συνήθης χρήση και σε μέσο ώστε οι πληροφόριες να είναι επεξεργάσιμες και αξιοποιήσιμες από ηλ.μηχάνημα εντός μήνα από την στιγμή που έχουν λάβει το σχετικό αίτημα. Επίσης, αν τους ζητηθεί από τους χρήστες οφείλουν να στείλουν τις πληροφορίες αυτές σε άλλον data controller.

Μέσω αυτού του δικαιώματος το άτομα αποκτούν μεγαλύτερο έλεγχο σε σχέση με τα δεδομένα τους.

14. “Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού”(data protection by design and default):

Αυτό είναι ένα ακόμα νέο δικαίωμα που μας συστήνεται στο άρθ.25 του GDPR (Art 25) και δημιουργεί νέες υποχρεώσεις προς τις επιχείρησεις. Αυτό σημαίνει ότι οι επιχειρήσεις πρέπει να λαμβάνουν υπόψη όλα τα απαραίτητα μέτρα κατά τον σχεδιασμό των ηλεκρονικών τους συστημάτων ασφαλείας, αναφορικά με τις υπηρεσίες και τις εφαρμοζόμενες πολιτικές και τα προϊόντα τους ούτως ώστε να τελούν σε συμφωνία με τους κανόνες του GDPR.

“Data by default” σημαίνει ότι μία επιχείρηση επεξεργάζεται τα δεδομένα για ορισμένους λόγους και όταν αυτό είναι απαραίτητο. Αυτό το νέο σκηνικό στην επεξεργασία δεδομένων αυξάνει την ασφάλεια στην επεξεργασία των δεδομένων.

15. Αρχεία των δραστηριοτήτων επεξεργασίας (Records of data processing):

Ο Κανονισμός GDPR καθιερώνει στο άρθ.30 την υποχρέωση των data controllers και processors να διατηρούν αρχεία των δραστηριοτήτων τους επεξεργασίας δεδομένων ώστε να είναι σε θέση να αποδείξουν εφόσον αυτό σταθεί αναγκαίο ότι τηρούν τους κανονισμούς του GDPR. Αυτή η υποχρέωση αφορά επιχειρήσεις που απασχολούν τουλάχιστον 250 υπαλλήλους και δεν απαιτούνταν από τους προηγούμενος νόμους περί προστασίας δεδομένων.

Αυτό το μέτρο αποδεικνύει την προόδο που έχει σημειωθεί στον τομέα επεξεργασίας προσωπικών δεδομένων, μίας και αυξάνει το φόρτο ευθυνών και υπερθεματίζει ζητήματα υπαιτιότητας των εταιριών που χειρίζονται δεδομένα των πολιτών.

16. Ρόλος του Data Protection Officer (DPO):

Aνεξάρτητος senior manager που είναι υπεύθυνος να εποπτεύει τις πολιτικές προστασίας δεδομένων μίας επιχείρησεις και να βοηθά τους data controllers και processors ώστε η δράση τους να είναι σύμφωνη με το γράμμα του Κανονισμού.

Η διαφορά του GDPR σε σχέση με τους προϊσχύσαντες νόμους προστασίας δεδομένων είναι ότι είναι υποχρεωτικό, σύμφωνα με το άρ.37 για κάθε επιχείρηση να ορίσει DPO, ενώ στο παρελθόν αυτό δεν απαιτούταν.

17. Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων – Data Privacy Impact Assessment (DPIA):

Μία ενέργεια που δεν ήταν υποχρεωτική κατά αρ.20 του DPD, είναι όμως υποχρεωτική υπό τους όρους του GDPR, διότι βοηθά τις επιχειρήσεις να επιτύχουν πλήρη συμμόρφωση τους προς τις αρχές του Κανονισμού.

Συγκεκριμένα, αν υπάρχει κάποια δράση επεξεργασίας δεδομένων που επιφυλάσσει αρκετά ρίσκα για τα δικαίωματα και τις ελευθερίες των χρηστών και θα μπορούσε να οδηγήσει σε παραβίαση των προσωπικών δεδομένων τότε απαιτείται να γίνει πριν μία εκτίμηση του αντικτύπου της ενέργειας αυτής ανάφορικά με τα υπό εξέταση προσωπικά δεδομένά, κατά το άρθ.35 του Κανονισμού.

Ο νέος Κανονισμός είναι αρκετά επεξηγηματικός ως προς τους όρους και τις προϋποθέσεις για τις οποίες χρειάζεται να διεξαχθεί αυτή η αξιολόγηση (DPIA), όπως όταν το προσωπικά δεδομένα σχετίζονται με ποινικές κυρώσεις και η επεξεργασία τους γίνεται μέσω αυτοματοποιημένων ενεργειών.

ΣΥΜΠΕΡΑΣΜΑΤΑ

Είναι ξεκάθαρο ότι το DPD 1995 και το GDPR επικεντρώνονται σε διαφορετικούς στόχους και σε άλλα ζητήματα επίλυσης εξαιτίας των διαφορετικών απαιτήσεων και των δεδομένων των εποχών υπό τις οποίες διαμορφώθηκαν και τέθηκαν σε εφαρμογή.

Το DPD 1995 δεν μπορούσε να καλύψει πλέον τις σύγχρονες ανάγκες προστασίας δεδομένων και η αντικατάσταση του ήταν αναγκαία. Το GDPR, από την άλλη, όχι μόνο αναθέωρησε και εμπλούτισε παλαιότερες ρυθμίσεις αλλά και εισήγαγε νέες, με τόνο πιο επεξηγηματικό και ξεκάθαρο.

Μία αξιοσημείωτη προσφορά του GDPR στην προστασία προσωπικών δεδομένων είναι ότι καθιέρωσε το δικαίωμα στη λήθη (right to be forgotten), καθώς και το δικαίωμα διακίνησης πληροφοριών (right to portability).

Συμπληρωματικά, ενδυνάμωσε τις προϋποθέσεις παροχής συναίνεσης και επέβαλε αυξημένη ευθύνη και υποχρέωση για αποζημίωση τόσο για τους data processors όσο και του controllers, διευρύνοντας τον ορισμό των προσωπικών δεδομένων μέσω ενός Κανονισμού με ευρεία ουσιαστική και τοπική εφαρμογή.

Με αυτό τον τρόπο ενίσχυσε την ασφάλεια, την διαφάνεια και αύξησε την παρεχόμενη προστασία επί των προσωπικών δεδομένων.

Μαριάντζελα Φραγγή, Δικηγόρος LLM Eμπορικού και Εταιρικού Δικαίου-με εξειδίκευση στον Κανονισμό Προστασίας Προσωπικών Δεδομένων (GDPR)

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *