Τι συμβαίνει όταν επεξεργάζονται τα προσωπικά μας δεδομένα

Τα προσωπικά δεδομένα κάποιου είναι κάθε πληροφορία που αναφέρεται σε και περιγράφει ένα άτομο, όπως: στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση κλπ.), φυσικά χαρακτηριστικά, εκπαίδευση, εργασία (προϋπηρεσία, εργασιακή συμπεριφορά κλπ), οικονομική κατάσταση.

Τα προσωπικά δεδομένα τυγχάνουν φυσικά επεξεργασίας σε πολλές περιπτώσεις και ιδίως στο Διαδίκτυο και στις διάφορες ιστοσελίδες που επισκεπτόμαστε είτε για ν’ αγοράσουμε κάτι είτε για να ζητήσουμε να μας αποσταλεί ένα ενημερωτικό φυλλάδιο (newsletter) οπότε  σε αυτές τις περιπτώσεις, εισάγουμε στον σχετικό ιστότοπο τα προσωπικά μας δεδομένα- συνήθως ονοματεπώνυμο και e-mail – κι έτσι ο αρμόδιος διαχείρισης του ιστότοπου είτε ο ίδιος είτε κάποιος άλλος συνεργάτης του, είναι ο υπεύθυνος επεξεργασίας του αρχείου προσωπικώνδεδομένων που έχει τις ακόλουθες υποχρεώσεις:

1. Να συλλέγει τα προσωπικάδεδομένα κατά τρόπο θεμιτό και νόμιμο.

2. Να επεξεργάζεται μόνο τα απαραίτητα προσωπικάδεδομένα για το/τους σκοπό/ούς που έχει γνωστοποιήσει.

3. Να φροντίζει τα δεδομένα να είναι ακριβή και ενημερωμένα.

4. Να διατηρεί τα δεδομένα μόνο για τη χρονική διάρκεια που απαιτείται για την πραγματοποίηση των σκοπών της συλλογής και επεξεργασίας τους.

5. Να επιλέγει για τη διεξαγωγή της επεξεργασίας πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και  ικανότητας τήρησης του απορρήτου.

6. Να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, και κάθε άλλη μορφή αθέμιτης επεξεργασίας.

7. Αν η επεξεργασία διεξάγεται για λογαριασμό του υπεύθυνου από πρόσωπο μη εξαρτώμενο από αυτόν, να πραγματοποιεί τη σχετική ανάθεση εγγράφως.

8. Να σέβεται τα δικαιώματα ενημέρωσης, πρόσβασης και αντίρρησης των υποκειμένων των δεδομένων (των φυσικών δηλαδή προσώπων που έχουν δώσει τα προσωπικά τους δεδομένα)

9. Να είναι συνεπής στις υποχρεώσεις του απέναντι στην Αρχή (γνωστοποίηση, λήψη άδειας).

10. Να ενημερώνεται ανά τακτά διαστήματα για τις Αποφάσεις, Οδηγίες, Συστάσεις της Αρχής που τον αφορούν.

Κάθε υπεύθυνος επεξεργασίας προσωπικώνδεδομένων υποχρεούται να γνωστοποιήσει στην Αρχή τη σύσταση και λειτουργία αρχείου ή την έναρξη της επεξεργασίας.

Τα αρχεία που εξαιρούνται από την υποχρέωση αυτή αναφέρονται στο αρ. 7A του Ν. 2472/1997.Ενδεικτικά, αναφέρουμε ορισμένα βασικά σημεία του άρθρου:

"α) Όταν η επεξεργασία πραγματοποιείται αποκλειστικά για σκοπούς που

συνδέονται άμεσα με σχέση εργασίας ή έργου ή με παροχή υπηρεσιών στο

δημόσιο τομέα και είναι αναγκαία για την εκπλήρωση υποχρέωσης που

επιβάλλει ο νόμος ή για την εκτέλεση των υποχρεώσεων από τις παραπάνω

σχέσεις και το υποκείμενο έχει προηγουμένως ενημερωθεί."

 

 *** Η περ.α`αντικαταστάθηκε ως άνω με την παρ.3

     άρθρ.34 Ν.2915/2001,ΦΕΚ Α 109/29.5.2001.

 

  β) Όταν η επεξεργασία αφορά πελάτες ή προμηθευτές, εφόσον τα

δεδομένα δεν διαβιβάζονται ούτε κοινοποιούνται σε τρίτους. Για την

εφαρμογή της παρούσας διάταξης τα δικαστήρια και οι δημόσιες αρχές δεν

λογίζονται ως τρίτοι, εφόσον τη διαβίβαση ή κοινοποίηση επιβάλλει νόμος

ή δικαστική απόφαση. Δεν απαλλάσσονται από την υποχρέωση Γνωστοποίησης

οι ασφαλιστικές εταιρίες για όλους τους κλάδους ασφάλισης, οι

φαρμακευτικές εταιρίες, οι εταιρίες εμπορίας πληροφοριών και τα

χρηματοπιστωτικά νομικά πρόσωπα, όπως οι τράπεζες και οι εταιρίες

έκδοσης πιστωτικών καρτών.

γ) Όταν η επεξεργασία γίνεται από σωματεία, εταιρείες, ενώσεις

προσώπων και πολιτικά κόμματα και αφορά δεδομένα των μελών ή εταιρειών

τους, εφόσον αυτοί έχουν δώσει τη συγκατάθεσή τους και τα δεδομένα δεν

διαβιβάζονται ούτε κοινοποιούνται σε τρίτους. Δεν λογίζονται τρίτοι τα

μέλη ή εταίροι, εφόσον η διαβίβαση γίνεται προς αυτούς για τους σκοπούς

των ως άνω νομικών προσώπων ή ενώσεων, ούτε τα δικαστήρια και οι

δημόσιες αρχές, εφόσον τη διαβίβαση επιβάλλει νόμος ή δικαστική

απόφαση.

δ) "Όταν η επεξεργασία αφορά δεδομένα υγείας και γίνεται από ιατρούς ή άλλα

πρόσωπα που παρέχουν υπηρεσίες υγείας, εφόσον ο υπεύθυνος επεξεργασίας

δεσμεύεται από το ιατρικό απόρρητο ή άλλο απόρρητο που προβλέπει νόμος ή

κώδικας δεοντολογίας, και τα δεδομένα δεν διαβιβάζονται ούτε κοινοποιούνται

σε τρίτους." Για την εφαρμογή της παρούσας διάταξης τα δικαστήρια και οι

δημόσιες αρχές δεν λογίζονται ως τρίτοι, εφόσον τη διαβίβαση ή κοινοποίηση

επιβάλλει νόμος ή δικαστική απόφαση. Δεν εμπίπτουν στην απαλλαγή της

παρούσας διάταξης τα νομικά πρόσωπα ή οργανισμοί που παρέχουν υπηρεσίες

υγείας, όπως κλινικές, νοσοκομεία, κέντρα υγείας, κέντρα αποθεραπείας και

αποτοξίνωσης ,ασφαλιστικά ταμεία και ασφαλιστικές εταιρίες, καθώς και οι

υπεύθυνοι επεξεργασίας δεδομένων προσωπικού χαρακτήρα όταν η επεξεργασία

διεξάγεται στο πλαίσιο προγραμμάτων τηλεϊατρικής ή παροχής ιατρικών

υπηρεσιών μέσω δικτύου".

Για την υποβολή γνωστοποίησης /αίτησης για άδεια τήρησης αρχείου  χρειάζεται να γίνει η αποστολή των σχετικών εντύπων που μπορεί να γίνει ηλεκτρονικά, μέσω ταχυδρομείου-φαξ-email ή με φυσική υποβολή. Ενδείκνυται η συμπλήρωση της σχετικής φόρμας να γίνεται με τη συνδρομή εξειδικευμένου νομικού συμβούλου προκειμένου να επιτευχθεί η καλύτερη δυνατή διατύπωση και περιγραφή του αντικειμένου της επεξεργασίας.

Σε περίπτωση που αυτός που χειρίζεται ένα αρχείο, επιθυμεί να διαβιβάσει δεδομένα σε χώρα εκτός της Ευρωπαϊκής Ένωσης θα πρέπει:

Α. Για να υποβάλλει γνωστοποίηση διαβίβασης, να έχει εκ των προτέρων υποβάλλει ή να συνυποβάλλει την γνωστοποίηση  τήρησης αρχείου για τον σκοπό επεξεργασίας που αφορά η διαβίβαση.

Β. Η κάθε γνωστοποίηση διαβίβασηςν’ αφορά αποκλειστικά έναν αποδέκτη δεδομένων σε χώρα εκτός Ε.Ε. Αν υπάρχουν πολλοί αποδέκτες διαβίβασης των δεδομένων, θα πρέπει να υποβληθούν ξεχωριστές γνωστοποιήσεις διαβίβασης για κάθε έναν από αυτούς τους αποδέκτες.

Γ. Η διαβίβαση μπορεί να πραγματοποιηθεί χωρίς άδεια της Αρχής: α) αν  γίνεται προς χώρα που έχει κριθεί από την Ε.Ε. ότι εξασφαλίζει ικανοποιητικό επίπεδο ασφαλείας, όπως π.χ η Ανδόρα, η Αργεντινή, Αυστραλία, Ισραήλ, IsleofMan, NewZealand, U.S.A β) αν ακολουθείται το σύστημα συμβατικών ρητρών της Ε.Ε., γ) αν αφορά διαβίβαση προς τις Η.Π.Α και ο υπεύθυνος επεξεργασίας έχει εγγραφεί στο σύστημα Safe Harbor.  [1]

Χρύσα Τσιώτση

Δικηγόρος

LL.M in Information Technology and Telecommunications Law

(University of Strathclyde- Glasgow, U.K)

[email protected]