Publications

ΣΥΜΜΟΡΦΩΣΗ ΜΕ ΤΟ ΝΕΟ ΚΑΝΟΝΙΣΜΟ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (GDPR)

By: ANDREA NICOLAOU Jul. 10, 2018

Σημεία που ηγέρθησαν και απαντήθηκαν στη συνάντηση που διοργάνωσε ο Δικηγορικός Σύλλογος Λευκωσίας με την Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, κα Ειρήνη Λοϊζίδου σχετικά με την εφαρμογή του GDPR

Με το νέο κανονισμό συνεχίζουν να ισχύουν οι ίδιες αρχές, ήτοι αρχή της αναλογικότητας, της νομιμότητας και του σκοπού. Το μόνο που αλλάζει στις αρχές είναι ότι πλέον ισχύει και η αρχή της λογοδοσίας, δηλαδή ότι θα πρέπει να αποδεικνύεται τόσο στην εποπτική αρχή όσο και στους πελάτες γιατί γίνεται η κατακράτηση και η καταγραφή των προσωπικών δεδομένων.

Οι δικηγόροι (συμπεριλαμβανομένων των υπαλλήλων ενός δικηγορικού γραφείου) θεωρούνται για σκοπούς του κανονισμού υπεύθυνοι επεξεργασίας και όχι εκτελούντες την επεξεργασία. Οι τελευταίοι διενεργούν δραστηριότητα για λογαριασμό τρίτου π.χ. οι εξωτερικοί λογιστές μιας εταιρείας είναι εκτελούντες την επεξεργασία.  Σημαντική σε αυτές τις περιπτώσεις είναι η σύμβαση ανάθεσης και η όροι αυτής – πρέπει να επιλέγεται ο «σωστός τρίτος» ο οποίος θα διακρίνεται από εχεμύθεια. Έχει ευθύνη αυτός που του αναθέτει σε περίπτωση που ο τρίτος αυτός υποκλέψει στοιχεία.

Οι δικηγόροι οφείλουν να διορίσουν DPO, αφ’ ης στιγμής ενεργούν και σαν service providers. Συνίσταται να είναι άτομο από την εταιρεία, ο οποίος θα ενεργεί αποκλειστικά για το σκοπό αυτό.

Σύμφωνα με το γενικό κανόνα, απαιτείται η συγκατάθεση του υποκειμένου σε κάθε περίπτωση. Υπάρχουν όμως εξαιρέσεις, όπως: α) σε περίπτωση που υπάρχει έννομη υποχρέωση π.χ. ο πτωχεύσας δε χρειάζεται να συγκατατεθεί για τη δημοσιοποίηση των στοιχείων του στο μητρώο πτωχευσάντων. β) όταν υπάρχει συμβατική σχέση. Σε περίπτωση που υπάρχει συμβατική σχέση η ευθύνη του υπευθύνου επεξεργασίες περιορίζεται στην ενημέρωση του υποκειμένου, όχι στην αναζήτηση συγκατάθεσης κάθε φορά που γίνεται επεξεργασία. Η εν λόγω ενημέρωση πρέπει να είναι σαφής και προσιτή.

Όσον αφορά στη δημοσίευση αποφάσεων, σύμφωνα με τον Κανονισμό η εποπτική αρχή δεν μπορεί να επέμβει στα πλαίσια άσκησης της δικαστικής δικαιοδοσίας (αποδοχή μαρτυρίας, έκδοση απόφασης κλπ- δηλαδή επαφίεται στο δικαστήριο κατά πόσο θα δεχτεί μαρτυρία ή τι θα περιλάβει στην απόφασή του). Το έργο του Δικαστηρίου όμως τελειώνει με την έκδοση της απόφασης. Όπου η εν λόγω απόφαση δημοσιοποιείται, π.χ. στο cylaw ή σε εφημερίδες από δημοσιογράφους κλπ., τότε οι τελευταίοι θεωρούνται ως υπεύθυνοι επεξεργασίας και υπόκεινται στις πρόνοιες του GDPR και συνεπώς τον έλεγχο από την εποπτική αρχή.

Το privacy policy μιας εταιρείας θα πρέπει να ορίζει μεταξύ άλλων ως προς την διατήρηση και την καταστροφή δεδομένων μετά την πάροδο εύλογου χρονικού διαστήματος. Το εύλογο εξαρτάται και από το μέγεθος του γραφείου και τις εργασίες αυτού. Εξαρτάται από την κατηγορία των δεδομένων, π.χ. ιατρικά (15 χρόνια), τραπεζικά (10 χρόνια) – υπάρχουν ειδικές νομοθεσίες για το καθένα. Όπου υπάρχει ειδική νομοθετική πρόνοια επί της κράτησης προσωπικών δεδομένων, τότε τηρείται/υπερισχύει αυτή. Σε περίπτωση παραγραφής, δηλ. που  παρέλθει η εύλογη αυτή περίοδος, πρέπει να ζητηθεί και εξασφαλιστεί η συγκατάθεση του υποκειμένου (είτε πελάτη είτε υπαλλήλου) για να διατηρηθούν για συγκεκριμένη περαιτέρω περίοδο π.χ. 6 μηνών και να εξειδικεύεται ο λόγος που ζητείται η παράταση αυτή. Η περίοδος παραγραφής ξεκινά να μετρά μετά την τέλος της συμβατικής σχέσης.