Παρασκευή, 4 Οκτωβρίου 2019

Αποζημίωση και κυρώσεις σε περίπτωση παραβίασης προσωπικών δεδομένων



Δικαίωμα αποζημίωσης

Ο πολυαναμενόμενος ν. 4624/2019, με τον οποίο ρυθμίζεται το νέο πλαίσιο για την προστασία των προσωπικών δεδομένων ορίζει στο άρθρο 40 τη δικαστική προστασία κατά υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία λόγω παραβίασης των διατάξεών του εντός του πεδίου εφαρμογής του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (ΓΚΠΔ) ή των δικαιωμάτων του υποκειμένου που περιέχονται σε αυτόν.
Η νέα διάταξη είναι διαφορετική από την προηγούμενη του άρθρου 23 του ν. 2472/1997, η οποία όριζε  ότι χρηματική ικανοποίηση λόγω ηθικής βλάβης για παράβαση του παρόντος νόμου ορίζεται κατ` ελάχιστο στο ποσό των 5.869,40 ευρώ, εκτός αν είχε ζητηθεί από τον ενάγοντα μικρότερο ποσό ή η παράβαση οφείλεται σε αμέλεια.
Ωστόσο, σε κάθε περίπτωση υπό το νέο αυστηρότερο καθεστώς τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν πλήρη και ουσιαστική αποζημίωση για τη ζημία που υπέστησαν με την προσφυγή τους στα πολιτικά δικαστήρια σύμφωνα με το άρθρο 82 του ΓΚΠΔ.

Ποινικές κυρώσεις

Στη διάταξη του άρθρου 38 του ν. 4624/2019 υπάρχει αναλυτική περιγραφή των αδικημάτων που σχετίζονται με την παραβίαση των διατάξεων για την προστασία προσωπικών δεδομένων. Ειδικότερα, αναφέρονται τα εξής:
1. Όποιος, χωρίς δικαίωμα: α) επεμβαίνει με οποιονδήποτε τρόπο σε σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα, και με την πράξη του αυτή λαμβάνει γνώση των δεδομένων αυτών· β) τα αντιγράφει, αφαιρεί, αλλοιώνει, βλάπτει, συλλέγει, καταχωρεί, οργανώνει, διαρθρώνει, αποθηκεύει, προσαρμόζει, μεταβάλλει, ανακτά, αναζητεί πληροφορίες, συσχετίζει, συνδυάζει, περιορίζει, διαγράφει, καταστρέφει, τιμωρείται με φυλάκιση μέχρι ενός (1) έτους, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
2. Όποιος χρησιμοποιεί, μεταδίδει, διαδίδει, κοινολογεί με διαβίβαση, διαθέτει, ανακοινώνει ή καθιστά προσιτά σε μη δικαιούμενα πρόσωπα δεδομένα προσωπικού χαρακτήρα, τα οποία απέκτησε σύμφωνα με την περίπτωση α΄ της παραγράφου 1 ή επιτρέπει σε μη δικαιούμενα πρόσωπα να λάβουν γνώση των δεδομένων αυτών, τιμωρείται με φυλάκιση, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
3. Εάν η πράξη της παραγράφου 2 αφορά ειδικών κατηγοριών δεδομένα προσωπικού χαρακτήρα του άρθρου 9 παράγραφος 1 του ΓΚΠΔ ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα ή τα σχετικά με αυτά μέτρα ασφαλείας του άρθρου 10 του ΓΚΠΔ, ο υπαίτιος τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηματική ποινή έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
4. Με κάθειρξη μέχρι δέκα (10) ετών τιμωρείται ο υπαίτιος των πράξεων των προηγούμενων παραγράφων, εάν είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον και το συνολικό όφελος ή η συνολική ζημία υπερβαίνει το ποσό των εκατόν είκοσι χιλιάδων (120.000) ευρώ.
5. Εάν από τις πράξεις των παραγράφων 1 έως και 3 προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δημοκρατικού πολιτεύματος ή για την εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηματική ποινή έως τριακόσιες χιλιάδες (300.000) ευρώ.
6. Τα κακουργήματα που προβλέπονται στο παρόν άρθρο υπάγονται στην αρμοδιότητα του Τριμελούς Εφετείου Κακουργημάτων.

Διοικητικές κυρώσεις

Στις διατάξεις των άρθρων 39 και 82 του ν. 4624/2019 και του άρθρου 82 του ΓΚΠΔ αναφέρονται οι διοικητικές κυρώσεις, που επιβάλλονται στο στενό δημόσιο τομέα, τις Αρμόδιες Αρχές και τους ιδιώτες, επιχειρήσεις και μη. Τα διοικητικά πρόστιμα τονίζουμε ότι σύμφωνα με τις διατάξεις του ΓΚΠΔ, μπορούν φθάσουν τα 20.000.0000 ευρώ ή σε περίπτωση επιχειρήσεων το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο ποσό είναι υψηλότερο.
Ειδικότερα, στο άρθρο 82 αναφέρονται τα εξής:
1. Με την επιφύλαξη των εξουσιών ελέγχου της Αρχής σύμφωνα με το άρθρο 15 του παρόντος, η Αρχή με ειδικά αιτιολογημένη απόφασή της και κατόπιν προηγούμενης κλήσης για παροχή εξηγήσεων των ενδιαφερομένων μπορεί να επιβάλει σε αρμόδιες Αρχές για παραβάσεις των υποχρεώσεών τους ως υπεύθυνων επεξεργασίας δεδομένων προσωπικού χαρακτήρα τα παρακάτω διοικητικά πρόστιμα:
α) για παραβάσεις των άρθρων 6 έως 8 και των άρθρων 60 έως 78 διοικητικό πρόστιμο έως ένα εκατομμύριο (1.000.000) ευρώ,
β) για παραβάσεις των άρθρων 45 έως 57, διοικητικό πρόστιμο έως δύο εκατομμύρια (2.000.000) ευρώ και
γ) για μη συμμόρφωση προς εντολή της Αρχής σύμφωνα με το άρθρο 15 παράγραφος 4 διοικητικό πρόστιμο έως δύο εκατομμύρια (2.000.000) ευρώ.
2. Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και για το ύψος αυτού, για κάθε εξατομικευμένη περίπτωση λαμβάνονται υπόψη τα ακόλουθα:
α) η φύση, η βαρύτητα, η διάρκεια της παράβασης, η έκταση ή ο σκοπός της σχετικής επεξεργασίας, καθώς και ο αριθμός των υποκειμένων των δεδομένων που έθιξε η παράβαση και το μέγεθος της ζημίας που αυτά υπέστησαν,
β) οποιεσδήποτε ενέργειες στις οποίες προέβη η αρμόδια Αρχή για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα,
γ) τυχόν σχετικές προηγούμενες παραβάσεις της αρμόδιας Αρχής,
δ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που θίγει η παράβαση,
ε) ο τρόπος με τον οποίο η Αρχή πληροφορήθηκε την παράβαση, ειδικότερα αν και κατά πόσον η αρμόδια Αρχή κοινοποίησε την παράβαση και
στ) εάν έχουν ήδη διαταχθεί σε βάρος της αρμόδιας αρχής για την ίδια παράβαση, τα μέτρα που αναφέρονται στο άρθρο 15 παράγραφος 4, ο βαθμός συμμόρφωσής της με αυτά.

Επίλογος

Κατά την εφαρμογή του νόμου 4624/2019 από την Αρχή ΠΔΠΧ, οι διατάξεις του θα ερμηνεύονται στο πλαίσιο του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) και το κύρος τους θα εξετάζεται από την άποψη της συμμόρφωσης προς τον ΓΚΠΔ και την ορθή ενσωμάτωση της Οδηγίας.
Αξίζει να σημειωθεί, ότι προσφάτως και πριν τη δημοσίευση του νέου νόμου επιβλήθηκε από την Αρχή ΠΔΠΧ διοικητικό πρόστιμο ύψους 150.000 ευρώ, ποσό που αποτελούσε το μέγιστο πρόστιμο που μπορούσε να επιβληθεί με το προηγούμενο καθεστώς προστασίας των προσωπικών δεδομένων, δηλαδή το ν. 2472/1997.