Παρασκευή, 4 Οκτωβρίου 2019

Αποζημίωση και κυρώσεις σε περίπτωση παραβίασης προσωπικών δεδομένων



Δικαίωμα αποζημίωσης

Ο πολυαναμενόμενος ν. 4624/2019, με τον οποίο ρυθμίζεται το νέο πλαίσιο για την προστασία των προσωπικών δεδομένων ορίζει στο άρθρο 40 τη δικαστική προστασία κατά υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία λόγω παραβίασης των διατάξεών του εντός του πεδίου εφαρμογής του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (ΓΚΠΔ) ή των δικαιωμάτων του υποκειμένου που περιέχονται σε αυτόν.
Η νέα διάταξη είναι διαφορετική από την προηγούμενη του άρθρου 23 του ν. 2472/1997, η οποία όριζε  ότι χρηματική ικανοποίηση λόγω ηθικής βλάβης για παράβαση του παρόντος νόμου ορίζεται κατ` ελάχιστο στο ποσό των 5.869,40 ευρώ, εκτός αν είχε ζητηθεί από τον ενάγοντα μικρότερο ποσό ή η παράβαση οφείλεται σε αμέλεια.
Ωστόσο, σε κάθε περίπτωση υπό το νέο αυστηρότερο καθεστώς τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν πλήρη και ουσιαστική αποζημίωση για τη ζημία που υπέστησαν με την προσφυγή τους στα πολιτικά δικαστήρια σύμφωνα με το άρθρο 82 του ΓΚΠΔ.

Ποινικές κυρώσεις

Στη διάταξη του άρθρου 38 του ν. 4624/2019 υπάρχει αναλυτική περιγραφή των αδικημάτων που σχετίζονται με την παραβίαση των διατάξεων για την προστασία προσωπικών δεδομένων. Ειδικότερα, αναφέρονται τα εξής:
1. Όποιος, χωρίς δικαίωμα: α) επεμβαίνει με οποιονδήποτε τρόπο σε σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα, και με την πράξη του αυτή λαμβάνει γνώση των δεδομένων αυτών· β) τα αντιγράφει, αφαιρεί, αλλοιώνει, βλάπτει, συλλέγει, καταχωρεί, οργανώνει, διαρθρώνει, αποθηκεύει, προσαρμόζει, μεταβάλλει, ανακτά, αναζητεί πληροφορίες, συσχετίζει, συνδυάζει, περιορίζει, διαγράφει, καταστρέφει, τιμωρείται με φυλάκιση μέχρι ενός (1) έτους, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
2. Όποιος χρησιμοποιεί, μεταδίδει, διαδίδει, κοινολογεί με διαβίβαση, διαθέτει, ανακοινώνει ή καθιστά προσιτά σε μη δικαιούμενα πρόσωπα δεδομένα προσωπικού χαρακτήρα, τα οποία απέκτησε σύμφωνα με την περίπτωση α΄ της παραγράφου 1 ή επιτρέπει σε μη δικαιούμενα πρόσωπα να λάβουν γνώση των δεδομένων αυτών, τιμωρείται με φυλάκιση, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
3. Εάν η πράξη της παραγράφου 2 αφορά ειδικών κατηγοριών δεδομένα προσωπικού χαρακτήρα του άρθρου 9 παράγραφος 1 του ΓΚΠΔ ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα ή τα σχετικά με αυτά μέτρα ασφαλείας του άρθρου 10 του ΓΚΠΔ, ο υπαίτιος τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηματική ποινή έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
4. Με κάθειρξη μέχρι δέκα (10) ετών τιμωρείται ο υπαίτιος των πράξεων των προηγούμενων παραγράφων, εάν είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον και το συνολικό όφελος ή η συνολική ζημία υπερβαίνει το ποσό των εκατόν είκοσι χιλιάδων (120.000) ευρώ.
5. Εάν από τις πράξεις των παραγράφων 1 έως και 3 προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δημοκρατικού πολιτεύματος ή για την εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηματική ποινή έως τριακόσιες χιλιάδες (300.000) ευρώ.
6. Τα κακουργήματα που προβλέπονται στο παρόν άρθρο υπάγονται στην αρμοδιότητα του Τριμελούς Εφετείου Κακουργημάτων.

Διοικητικές κυρώσεις

Στις διατάξεις των άρθρων 39 και 82 του ν. 4624/2019 και του άρθρου 82 του ΓΚΠΔ αναφέρονται οι διοικητικές κυρώσεις, που επιβάλλονται στο στενό δημόσιο τομέα, τις Αρμόδιες Αρχές και τους ιδιώτες, επιχειρήσεις και μη. Τα διοικητικά πρόστιμα τονίζουμε ότι σύμφωνα με τις διατάξεις του ΓΚΠΔ, μπορούν φθάσουν τα 20.000.0000 ευρώ ή σε περίπτωση επιχειρήσεων το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο ποσό είναι υψηλότερο.
Ειδικότερα, στο άρθρο 82 αναφέρονται τα εξής:
1. Με την επιφύλαξη των εξουσιών ελέγχου της Αρχής σύμφωνα με το άρθρο 15 του παρόντος, η Αρχή με ειδικά αιτιολογημένη απόφασή της και κατόπιν προηγούμενης κλήσης για παροχή εξηγήσεων των ενδιαφερομένων μπορεί να επιβάλει σε αρμόδιες Αρχές για παραβάσεις των υποχρεώσεών τους ως υπεύθυνων επεξεργασίας δεδομένων προσωπικού χαρακτήρα τα παρακάτω διοικητικά πρόστιμα:
α) για παραβάσεις των άρθρων 6 έως 8 και των άρθρων 60 έως 78 διοικητικό πρόστιμο έως ένα εκατομμύριο (1.000.000) ευρώ,
β) για παραβάσεις των άρθρων 45 έως 57, διοικητικό πρόστιμο έως δύο εκατομμύρια (2.000.000) ευρώ και
γ) για μη συμμόρφωση προς εντολή της Αρχής σύμφωνα με το άρθρο 15 παράγραφος 4 διοικητικό πρόστιμο έως δύο εκατομμύρια (2.000.000) ευρώ.
2. Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και για το ύψος αυτού, για κάθε εξατομικευμένη περίπτωση λαμβάνονται υπόψη τα ακόλουθα:
α) η φύση, η βαρύτητα, η διάρκεια της παράβασης, η έκταση ή ο σκοπός της σχετικής επεξεργασίας, καθώς και ο αριθμός των υποκειμένων των δεδομένων που έθιξε η παράβαση και το μέγεθος της ζημίας που αυτά υπέστησαν,
β) οποιεσδήποτε ενέργειες στις οποίες προέβη η αρμόδια Αρχή για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα,
γ) τυχόν σχετικές προηγούμενες παραβάσεις της αρμόδιας Αρχής,
δ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που θίγει η παράβαση,
ε) ο τρόπος με τον οποίο η Αρχή πληροφορήθηκε την παράβαση, ειδικότερα αν και κατά πόσον η αρμόδια Αρχή κοινοποίησε την παράβαση και
στ) εάν έχουν ήδη διαταχθεί σε βάρος της αρμόδιας αρχής για την ίδια παράβαση, τα μέτρα που αναφέρονται στο άρθρο 15 παράγραφος 4, ο βαθμός συμμόρφωσής της με αυτά.

Επίλογος

Κατά την εφαρμογή του νόμου 4624/2019 από την Αρχή ΠΔΠΧ, οι διατάξεις του θα ερμηνεύονται στο πλαίσιο του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) και το κύρος τους θα εξετάζεται από την άποψη της συμμόρφωσης προς τον ΓΚΠΔ και την ορθή ενσωμάτωση της Οδηγίας.
Αξίζει να σημειωθεί, ότι προσφάτως και πριν τη δημοσίευση του νέου νόμου επιβλήθηκε από την Αρχή ΠΔΠΧ διοικητικό πρόστιμο ύψους 150.000 ευρώ, ποσό που αποτελούσε το μέγιστο πρόστιμο που μπορούσε να επιβληθεί με το προηγούμενο καθεστώς προστασίας των προσωπικών δεδομένων, δηλαδή το ν. 2472/1997.

Τετάρτη, 20 Μαρτίου 2019

Αρχικά συμπεράσματα από τους ελέγχους της Αρχής Προστασίας Προσωπικών Δεδομένων

Αρχικά συμπεράσματα από την αυτεπάγγελτη δράση της Αρχής με σκοπό
τον έλεγχο της συμμόρφωσης υπευθύνων επεξεργασίας δεδομένων

Η Αρχή, με σκοπό α) τη διερεύνηση του επιπέδου συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων -μετά την πάροδο εξαμήνου από την έναρξη ισχύος του- και την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες, β) την ευαισθητοποίηση υπευθύνων επεξεργασίας και υποκειμένων των δεδομένων με τις εν λόγω διατάξεις, αλλά και γ) την άσκηση των προβλεπόμενων αρμοδιοτήτων της, προέβη στην ακόλουθη αυτεπάγγελτη  δράση, η οποία ξεκίνησε τον Δεκέμβριο του 2018 και βρίσκεται σε εξέλιξη:

Σε σύνολο 65 υπευθύνων επεξεργασίας δεδομένων, που δραστηριοποιούνται διαδικτυακά στους τομείς των χρηματοπιστωτικών υπηρεσιών, υπηρεσιών ασφάλισης, ηλεκτρονικού εμπορίου, υπηρεσιών εισιτηρίων και των υπηρεσιών δημοσίου τομέα ελέγχθηκε ο τρόπος ικανοποίησης συγκεκριμένων απαιτήσεων στους τομείς της διαφάνειας, της χρήσης cookies, της αποστολής διαφημιστικών ηλεκτρονικών μηνυμάτων και της ασφάλειας των διαδικτυακών τόπων μέσω ενδεικτικών σημείων ελέγχου, αντιληπτών στον πολίτη κατά την πλοήγησή του στο διαδίκτυο και τη χρήση διαδικτυακών υπηρεσιών.

1. Τα αρχικά συμπεράσματα που προέκυψαν ως αποτέλεσμα της δράσης αυτής αναδεικνύουν, σε γενικές γραμμές, την έλλειψη συμμόρφωσης με τη νομοθεσία για τα cookies και τις συναφείς τεχνολογίες, στο σύνολο σχεδόν των υπευθύνων επεξεργασίας.
2. Παρατηρήθηκε, επίσης, ελλιπής ενημέρωση για τις πράξεις επεξεργασίας και τους αποδέκτες των δεδομένων σε ποσοστό 40% περίπου των υπευθύνων.  Αισθητή είναι η υστέρηση του Δημοσίου στη συμμόρφωση, κυρίως στον τομέα της διαφάνειας στο σύνολο σχεδόν των φορέων που ελέγχθηκαν.
3. Αντίθετα, σε υψηλό ποσοστό, άνω του 80% των υπευθύνων επεξεργασίας δεδομένων, παρατηρήθηκε ικανοποιητικό βασικό επίπεδο ασφάλειας.
4. Επιπλέον, παρατηρήθηκε επαρκής βαθμός δημοσιοποίησης στοιχείων υπευθύνου προστασίας δεδομένων στον ιδιωτικό τομέα, σε ποσοστό άνω του 70% των υπευθύνων επεξεργασίας.

Σημειώνεται ότι με βάση τα τελικά πορίσματα της πρώτης αυτής ευρείας κλίμακας δράσης για τον έλεγχο της συμμόρφωσης των υπευθύνων επεξεργασίας δεδομένων, μετά την έναρξη ισχύος του Κανονισμού, θα ασκηθούν οι προβλεπόμενες από τις οικείες διατάξεις αρμοδιότητες της Αρχής.