Loading...
Διεθνές και Ευρωπαϊκό Δίκαιο

Ο Κανονισμός 679/2016/ΕΕ και οι αρχές επεξεργασίας των Προσωπικών Δεδομένων

Γράφει ο Ανδρέας Σιδέρης

Ο κόσμος βρίσκεται αντιμέτωπος με μια ραγδαία τεχνολογική πρόοδο, η οποία έχει ως αντίκτυπο την μεταβολή των συναλλαγών, της δραστηριότητας των ατόμων, αλλά ακόμα και των ανθρωπίνων σχέσεων. Σε αυτό το πλαίσιο δράσης, τα κράτη πρέπει να εξασφαλίσουν την πρόοδο της έρευνας και της τεχνολογίας, ωστόσο καλούνται  να προστατεύσουν και τους πολίτες. Κάτω από αυτές τις συνθήκες, το Ευρωπαϊκό Κοινοβούλιο και η Επιτροπή προχώρησαν στην θέσπιση του κανονισμού 679/2016/ΕΕ, ο οποίος ήρθε να αντικαταστήσει με άμεση ισχύ την προϋπάρχουσα οδηγία 95/46/ΕΚ.

Η προστασία των Προσωπικών Δεδομένων ήταν ένα ζήτημα, το οποίο απασχόλησε την Ένωση, γεγονός που ολοφάνερα το μαρτυρά η θέσπιση, ήδη απο το 1995, της οδηγίας 95/46/ΕΚ. Όπως προκύπτει από την μελέτη της, η συγκεκριμένη οδηγία ήταν ξεκάθαρα μια πρωτοποριακή οδηγία, η οποία είχε διττή κατεύθυνση. Αφενός, στόχευε στην ελεύθερη διάδοση της πληροφορίας και αφετέρου κατευθυνόταν στην προστασία της πληροφορίας. Όμως, είχε και ένα σημαντικό πρόβλημα. Παρόλο που δέσμευε τα κράτη μέλη, άφηνε στην διακριτική ευχέρεια του κάθε κράτους-μέλους και στον εκάστοτε εθνικό νομοθέτη να εφαρμόσει και να ρυθμίσει το θέμα, όπως έκρινε. Με λίγα λόγια, η Ένωση όριζε ένα πλαίσιο, το οποίο κινούνταν τα κράτη μέλη, γεγονός το οποίο ενείχε τον κίνδυνο να μην ρυθμίζεται το ίδιο το θέμα, όπως συνέβη και στην περίπτωση της Ελλάδας, όπου ρυθμίζονταν το ζήτημα μόνο ως προς την ελεύθερη ροή της πληροφορίας.

Έτσι, η Ευρωπαΐκή Ένωση στην προσπάθειά της να υπάρχει μια πιο κοινή αντιμετώπιση στην προστασία των προσωπικών δεδομένων θέσπισε τον κανονισμό για την προστασία των προσωπικών δεδομένων. Ο κανονισμός είχε το πλεονέκτημα να ρυθμίζει το θέμα άμεσα και όμοια στα κράτη μέλη. Εκτός, όμως, από αυτό ο κανονισμός αύξησε τα δικαιώματα, κυρίως τα δικαιώματα προστασίας των παιδιών, όρισε ποιοι θα κάνουν την επεξεργασία των προσωπικών δεδομένων καθώς και τις υποχρεώσεις τους, έθεσε συγκεκριμένες αρχές, σύμφωνα με τις οποίες οι δρώντες την επεξεργασία ακολουθούν κατά την διάρκεια επεξεργασίας των δεδομένων, θέσπισε την αρχή της εξωεδαφικότητας και της λογοδοσίας και πολλά άλλα. Να σημειωθεί ότι, ο κανονισμός, αν και θεσπίστηκε το 2016, άρχισε να εφαρμόζεται το 2018 καθώς υπήρξε ανάγκη προσαρμογής.

Πριν την παρουσίαση των αρχών, η οποία ακολουθεί, πρέπει να γίνει και ο ορισμός κάποιων εννοιών όπως τις ορίζει και ο κανονισμός στο άρθρο 4. Τι είναι, λοιπόν, τα προσωπικά δεδομένα και τι η επεξεργασία των δεδομένων; Σύμφωνα με τα όσα αναφέρει ο κανονισμός, Προσωπικά Δεδομένα είναι τα στοιχεία, τα οποία δύναται να οδηγήσουν στην ταυτοποίηση ενός προσώπου, όπως θρησκευτικές ,πολιτικές πεποιθήσεις ή στοιχεία που έχουν να κάνουν με την ψυχολογική, σωματική, πολιτιστική, οικονομική ταυτότητα ενός προσώπου. Όσον αφορά, τώρα, στην επεξεργασία των δεδομένων, αυτή είναι η κάθε χρήση, μεταβολή ή καταστροφή των στοιχείων-δεδομένων ενός ατόμου.

Επίσης, στην παρούσα ανάλυση θα γίνει αναφορά στις αρχές, οι οποίες ισχύουν κατά την διάρκεια επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, όπως χαρακτηριστικά τις  παραθέτει ο κανονισμός 679/2016/ΕΕ στο άρθρο 5.Στο εν λόγω άρθρο αναφέρονται οι ακόλουθες αρχές: 1) η αρχή της νομιμότητας, της αντικειμενικότητας και της διαφάνειας, 2) η αρχή του  περιορισμού του σκοπού, 3) η αρχή ελαχιστοποιήσεως των δεδομένων επεξεργασίας, 4) η αρχή της ακρίβειας, 5) η αρχή του περιορισμού της περιόδου αποθήκευσης των δεδομένων και 6) η αρχή της ακεραιότητας και της εμπιστευτικότητας .

Αρχικά, λοιπόν, η παρούσα ανάλυση θα εκκινήσει από τις αρχές της νομιμότητας, της αντικειμενικότητας και διαφάνειας. Για την αρχή της νομιμότητας μεν νοείται ότι, η επεξεργασία πρέπει να οφείλεται σε κάποια νόμιμη βάση, όπως για παράδειγμα το έννομο συμφέρον. Για τις αρχές της αντικειμενικότητας και διαφάνειας δε ορίζεται ότι, η επεξεργασία γίνεται με αντικειμενικά κριτήρια και με προηγούμενη ενημέρωση του υποκειμένου σε οτιδήποτε σχετίζεται με το ίδιο καθώς και με την παροχή της δυνατότητας προσβάσεως και έκφρασης αντιρρήσεως.

Όσον αφορά, τώρα, στην δεύτερη αρχή, η οποία είναι η αρχή του περιορισμού του σκοπού, ορίζεται ότι η επεξεργασία διενεργείται για χάρη κάποιου συγκεκριμένου σκοπού και όχι για διάφορους σκοπούς. Με την αλλαγή του σκοπού, κατ αρχήν η επεξεργασία κρίνεται παράνομη, ενώ δεν θεωρείται μη συμβατή με τον σκοπό η επέκταση της επεξεργασίας, όταν συντρέχουν κάποιοι ειδικοί λόγοι, λ.χ. επιστημονική-ιστορική έρευνα, όπως αναφέρεται στο άρθρο 89 παράγραφος 1. Ακολούθως, η αρχή της ελαχιστοποιήσεως των στοιχείων, η οποία απορρέει απο την συνταγματική αρχή της αναλογικότητας, προβλέπει ότι πρέπει να συλλέγονται για χάρη της επεξεργασίας τόσα δεδομένα όσα χρειάζονται κατά τη διαδικασία.

Εν συνεχεία, αναφορικά με την αρχή της ακρίβειας, τα συστήματα οφείλουν να αναγράφουν τα ακριβή στοιχεία. Αντιθέτως, η αρχή του περιορισμού αποθήκευσης των προσωπικών δεδομένων υπαγορεύει και δεσμεύει τους φορείς να τηρούν τα αρχεία για ορισμένα χρόνια (όπως για παράδειγμα τα νοσοκομεία τηρούν τα δεδομένα για μια εικοσαετία) και ύστερα να προχωρούν στην ασφαλή και βέβαιη καταστροφή τους.

Τελευταίες αλλά εξίσου σημαντικές αρχές είναι αυτές της ακεραιότητας και εμπιστευτικότητας, οι οποίες ορίζουν ότι κατά την επεξεργασία θα πρέπει να ληφθούν όλα εκείνα τα μέτρα, τα οποία είναι ικανά να διαφυλάξουν την ασφάλεια σε περίπτωση αλλαγών, απώλειας δεδομένων και τη λήψη τεχνικών και οργανωτικών μέτρων ασφαλείας. Επίσης, θα πρέπει να υπάρχει εγγύηση για την προστασία των δεδομένων από τους μη εξουσιοδοτημένους και παρανόμως εμπλεκομένους στην επεξεργασία.

Αξίζει να αναφερθεί ότι, σύμφωνα με την παράγραφο 2 του άρθρου 5, ο υπεύθυνος επεξεργασίας αναλαμβάνει την ευθύνη αποδείξεως της συμμορφώσεως στην αρχή της λογοδοσίας, σύμφωνα με την οποία πρέπει οι ίδιοι να αποδεικνύουν στα πλαίσια της αυτορρυθμίσεως την ορθότητα των ενεργειών τους μέσω της χαρτογράφησης, του σχεδιασμού πολιτικών προστασίας, του ελέγχου αποτελεσματικότητας και με την ύπαρξη εσωτερικού μηχανισμού χειρισμού καταγγελιών και υποδοχής αιτημάτων.

Καταληκτικά, θα πρέπει να αναφερθεί για μια ακόμη φορά ότι ο κανονισμός επέκτεινε την ρύθμιση του ζητήματος της προστασίας των Προσωπικών Δεδομένων μέσω των καινοτόμων προβλέψεων του. Τέλος, οι αναφερόμενες αρχές, οι οποίες με την ισχύ του κανονισμού έθεσαν το πλαίσιο σύμφωνα με το οποίο ασκούν οι δρώντες (δηλαδή ο υπεύθυνος επεξεργασίας, οι εκτελούντες την επεξεργασία και ο υπεύθυνος προστασίας των προσωπικών δεδομένων) την επεξεργασία των προσωπικών δεδομένων, ήταν και θα είναι ιδιαίτερα σημαντικές στην ομοιότροπη επεξεργασία των δεδομένων και συντελούν, επίσης, στην προστασία των υποκειμένων επεξεργασίας μέσω των δεσμεύσεων, τις οποίες επιβάλλουν όσο εκείνη διαρκεί.

Βιβλιογραφία

Κριάρη-Κατράνη Ι. (2001): Τεχνολογία και Κοινοβούλιο, ο θεσμικός ρόλος και το έργο των κοινοβουλευτικών επιτροπών και των γραφείων αποτίμησης τεχνολογίας. Εκδόσεις Σάκκουλας

Eur-lex (1995). Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Διαθέσιμο σε:       https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=celex%3A31995L0046

Eur-lex (2016). Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων). Διαθέσιμο σε: https://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CELEX:32016R0679&from=HR

Πηγή εικόνας εξωφύλλου

Monnappa A. (2022). Data Science vs. Big Data vs. Data Analytics. simplilearn.com. Διαθέσιμο σε: https://www.simplilearn.com/data-science-vs-big-data-vs-data-analytics-article?fbclid=IwAR0P3p7FOVZaQ-OukVZspJqPtvO00zIPvn7ID1St7sCerkWIM_O-k5VqqCQ