GDPR και Νόμοι
Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (2016/679) (GDPR) είναι ο νέος νόμος της Ευρωπαϊκής Ένωσης που αντικαθιστά πανευρωπαϊκά κάθε προηγούμενη νομοθεσία.
GDPR και Νόμοι – Τι πρέπει να γνωρίζουμε
- Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης προστατεύει τα θεμελιώδη δικαιώματα και την ελευθερία των φυσικών προσώπων. Περισσότερες πληροφορίες για GDPR και Νόμοι δείτε ΕΔΩ.
- Ο νέος Κανονισμός 2016/679 έχει τεθεί σε ισχύ από τις 25 Μαΐου 2018 σε όλες τις ευρωπαϊκές χώρες, χωρίς να απαιτείται η ψήφιση αντίστοιχου εθνικού νόμου.
- Έχει σχεδιαστεί ώστε να επιτρέπει σε μεμονωμένα άτομα να έχουν μεγαλύτερο έλεγχο των προσωπικών τους δεδομένων και να επιβάλλει νέες υποχρεώσεις σε οργανισμούς που συλλέγουν, διαχειρίζονται ή αναλύουν τέτοιου είδους δεδομένα. Συνεπώς απαιτείται από όλους τους φορείς στην Ευρώπη, μια ολοκληρωμένη διαδικασία υιοθέτησης του κανονισμού που καταλήγει σε θετική δήλωση συμμόρφωσης.
- Για την Ελλάδα η αρμόδια εποπτεύουσα αρχή είναι η «ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ» (ΑΠΔΠΧ)
Βασικοί Ορισμοί (Άρθρο 4)
«Επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
«Υπεύθυνος Επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους – μέλους,
«Εκτελών Την Επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
«Σύστημα Αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση
Δεδομένα Προσωπικού Χαρακτήρα:
Είναι κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων») το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως σε όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας, σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου. Τι είναι τα ευαίσθητα δεδομένα προσωπικού χαρακτήρα; Οι οργανισμοί και οι εταιρείες που παρέχουν υπηρεσίες υγείας και κοινωνικής υποστήριξης, καθώς και όλοι οι επαγγελματίες του τομέα της Υγείας, έχουν αυξημένες υποχρεώσεις από την εφαρμογή του Κανονισμού. Ευαίσθητα προσωπικά δεδομένα ορίζονται τα δεδομένα που αφορούν :
- Ιατρικό ιστορικό (Διαγνώσεις, συνταγές, παραπομπές, παραπεμπτικά, γνωματεύσεις, αποτελέσματα εργαστηριακών και απεικονιστικών εξετάσεων),
- Φυλετική ή εθνική προέλευση,
- Πολιτικά φρονήματα και θρησκευτικές πεποιθήσεις,
- Πληροφορίες σχετικές με την ερωτική ζωή,
- Ποινικές διώξεις ή καταδίκες.
Δικαίωμα Διαγραφής
Το δικαίωμα διαγραφής (ή δικαίωμα στη λήθη), παρέχει στο πρόσωπο των δεδομένων τη δυνατότητα να διαγράψει τα προσωπικά του δεδομένα ο υπεύθυνος δεδομένων και έτσι να σταματήσει την περαιτέρω διάδοσή τους και ενδεχομένως την επεξεργασία τους από τρίτους. Το άρθρο 17 αναφέρει, ότι το πρόσωπο των δεδομένων έχει το δικαίωμα να ζητήσει τη διαγραφή δεδομένων προσωπικού χαρακτήρα που τον αφορούν χωρίς αδικαιολόγητη καθυστέρηση.
Ο Υπεύθυνος Επεξεργασίας κατόπιν σχετικού αιτήματος, υποχρεούται να διαγράψει δεδομένα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:
- τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,
- το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία,
- το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία,
- τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,
- τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους – μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας,
- τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών.
Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα
Τα «δεδομένα προσωπικού χαρακτήρα»:
- Υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων(«νομιμότητα, αντικειμενικότητα και διαφάνεια»)
- Συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς. Η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»)
- Είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»)
- Είναι ακριβή και – όταν είναι αναγκαίο – επικαιροποιούνται. Πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»),
- Διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων, μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας, ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»),
- Υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
- Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»).
GDPR και Νόμοι
Γιατί δημιουργήθηκε το GDPR και τι αλλάζει στην καθημερινότητά μας;
- Καταργεί ως ξεπερασμένη πλέον, την Ευρωπαϊκή Οδηγία 95/46/ΕΚ
- Το GDPR αποτελεί εξέλιξη των υφιστάμενων κανόνων δεδομένων της ΕΕ, της οδηγίας για την προστασία δεδομένων (DPD).
- Αντιμετωπίζει πολλές από τις ελλείψεις της DPD, προσθέτοντας απαιτήσεις για την τεκμηρίωση των διαδικασιών ΙΤ (Information Technology), την εκτίμηση κινδύνου υπό ορισμένες προϋποθέσεις, την κοινοποίηση στον καταναλωτή και τις αρχές όταν υπάρχει παραβίαση καθώς και την ενίσχυση των κανόνων για την ελαχιστοποίηση των δεδομένων.
- Ένας τρόπος για να περιγράψουμε το GDPR, είναι ότι νομοθετεί απλώς πολλές ιδέες για την ασφάλεια των δεδομένων, την ελαχιστοποίηση συλλογής προσωπικών δεδομένων, τη διαγραφή προσωπικών δεδομένων που δεν είναι πλέον απαραίτητα και τον περιορισμό της πρόσβασης στα δεδομένα.
- Έχει πλέον, εκτεταμένη αρμοδιότητα καθώς ισχύει για ΌΛΕΣ τις εταιρείες και οργανισμούς που επεξεργάζονται προσωπικά δεδομένα.
- Οι όροι για τη συναίνεση έχουν ενισχυθεί και οι εταιρείες δεν θα μπορούν πλέον να χρησιμοποιούν δυσανάγνωστες και γεμάτους νομικούς όρους προϋποθέσεις, καθώς η αίτηση συναίνεσης πρέπει να παρέχεται με κατανοητό και εύκολο τρόπο.
- Μπορεί να επιβληθεί πρόστιμο μέχρι 4% του ετήσιου συνολικού κύκλου εργασιών ή έως 20 εκατομμύρια ευρώ (Όποιο είναι μεγαλύτερο).
- Παρέχει περιθώρια χειρισμού στα κράτη – μέλη, ώστε να εξειδικεύσουν τους κανόνες τους, συμπεριλαμβανομένων αυτών που αφορούν την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα («ευαίσθητα δεδομένα»).
Κοινοποίηση παραβίασης:
Σύμφωνα με το GDPR, η κοινοποίηση παραβίασης θα καταστεί υποχρεωτική σε όλα τα κράτη – μέλη όπου μια παραβίαση δεδομένων ενδέχεται να “οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων”. Αυτό πρέπει να γίνει εντός 72 ωρών από την στιγμή που η παραβίαση γίνει αντιληπτή. Οι υπεύθυνοι επεξεργασίας δεδομένων, θα υποχρεούνται επίσης να ειδοποιούν τους πελάτες τους και τους ελεγκτές, «χωρίς αδικαιολόγητη καθυστέρηση», μόλις καταλάβουν την παραβίαση δεδομένων.
Δικαίωμα πρόσβασης:
Μέρος των διευρυμένων δικαιωμάτων των προσώπων, είναι το δικαίωμά τους να λαμβάνουν από τον υπεύθυνο επεξεργασίας δεδομένων την επιβεβαίωση του κατά πόσον τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν υποβάλλονται σε επεξεργασία, που και για ποιο σκοπό. Επιπλέον, πρέπει να παρέχεται δωρεάν αντίγραφο των δεδομένων προσωπικού χαρακτήρα σε ηλεκτρονική μορφή. Αυτή η αλλαγή είναι μια δραματική αλλαγή στη διαφάνεια των δεδομένων.
Άρση υποχρέωσης γνωστοποίησης:
- Η υποχρέωση αυτή δεν συνέβαλε αρκετά στη βελτίωση της προστασίας των δεδομένων προσωπικού χαρακτήρα.
- Γενικές υποχρεώσεις γνωστοποίησης τέτοιου είδους, χωρίς διαφοροποιήσεις, θα πρέπει να καταργηθούν και να αντικατασταθούν με αποτελεσματικές διαδικασίες και μηχανισμούς.
- Αυτά τα είδη ενεργειών επεξεργασίας ενδέχεται να είναι εκείνα που, ιδίως, περιλαμβάνουν τη χρήση νέων τεχνολογιών.
Υπεύθυνος Προστασίας Δεδομένων (DPO) – Άρθρο 37:
Ο διορισμός του κρίνεται απαραίτητος για τον υπεύθυνο επεξεργασίας και τον εκτελών την επεξεργασία σε κάθε περίπτωση όπου:
- η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
- οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων σε μεγάλη κλίμακα,
- οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως γενετικά ή βιομετρικά δεδομένα, δεδομένα υγείας, καθώς και δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα.
Στην έννοια των δραστηριοτήτων «μεγάλης κλίμακας» υπάγονται τα νοσοκομεία, οι ασφαλιστικές, όπως και οι φαρμακευτικές εταιρείες που δύνανται να επεξεργάζονται πληθώρα προσωπικών δεδομένων και δη ευαίσθητων, όπως δεδομένα υγείας ασθενών.
Ανάθεση & Υποχρεώσεις Υπεύθυνου Προστασίας Δεδομένων (DPO):
- Διορισμός βάσει επαγγελματικών προσόντων, και ιδίως με βάσει την εμπειρογνωσία που διαθέτει στον τομέα του δικαίου προστασίας προσωπικών δεδομένων και των αντίστοιχων πρακτικών, και την ικανότητα εκπλήρωσης των καθηκόντων.
- Ο ορισμός «Υπευθύνου Προστασίας Δεδομένων» γίνεται εγγράφως.
- Ο «Υπεύθυνος Επεξεργασίας» και ο «Εκτελών Επεξεργασία», κοινοποιούν στην Αρχή το όνομα και την ιδιότητα του υπευθύνου προστασίας δεδομένων.
- Ο «Yπεύθυνος Προστασίας Δεδομένων» δεσμεύεται από «υποχρέωση εχεμύθειας» και οφείλει να μην αποκαλύπτει σε οποιονδήποτε τρίτο, γεγονότα ή πληροφορίες που περιήλθαν σε γνώση του από τη θέση του, κατά την εκτέλεση των καθηκόντων του ή επ’ ευκαιρία αυτών.
Ο Ρόλος του υπεύθυνου προστασίας δεδομένων DPO:
- είναι πρωτίστως συμβουλευτικός και υποστηρικτικός
- λειτουργεί ως σύνδεσμος επικοινωνίας με τις αρμόδιες αρχές
Λαμβάνοντας υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ο υπεύθυνος προστασίας δεδομένων οφείλει να ενημερώνει και να συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία σχετικά με τις προβλεπόμενες νομοθετικές επιταγές για την προστασία δεδομένων, καθώς επίσης να παρακολουθεί τη συμμόρφωση με τον Κανονισμό με σκοπό την ελαχιστοποίηση του κινδύνου παραβίασης. Το άρθρο 38 του GDPR ορίζει πως ο DPO λογοδοτεί στο ανώτατο επίπεδο της διοίκησης, δεν λαμβάνει εντολές για την άσκηση των καθηκόντων του, δεν ευθύνεται για την μη συμμόρφωση του υπεύθυνου/εκτελούντος την επεξεργασία, δεν απολύεται, ούτε του επιβάλλονται κυρώσεις επειδή άσκησε το καθήκον του.
Καθήκοντα του υπεύθυνου προστασίας δεδομένων (DPO):
- να ενημερώνει και να συμβουλεύει τον «Υπεύθυνο επεξεργασίας» και τους υπαλλήλους που διενεργούν επεξεργασία για τις υποχρεώσεις τους, σύμφωνα με τον παρόντα νόμο και άλλες διατάξεις του εθνικού δικαίου ή του δικαίου της Ένωσης,
- να παρακολουθεί τη συμμόρφωση σχετικά με την προστασία των δεδομένων και με τις πολιτικές του υπεύθυνου, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας και των σχετικών ελέγχων,
- να παρέχει συμβουλές, έπειτα από σχετικό αίτημα, όσον αφορά στην εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων και να παρακολουθεί τη συμμόρφωση,
- να συνεργάζεται με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,
- να ενεργεί ως σημείο επικοινωνίας για την Αρχή, για ζητήματα που σχετίζονται με την επεξεργασία.
Σε κάθε περίπτωση, προκειμένου να διασφαλιστεί η συμμόρφωση με τις απαιτήσεις του παρόντος κανονισμού:
- Ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί μόνο εκτελούντες την επεξεργασία, οι οποίοι παρέχουν επαρκείς διαβεβαιώσεις, ιδίως από πλευράς εμπειρογνωμοσύνης, αξιοπιστίας και πόρων, για την εφαρμογή τεχνικών και οργανωτικών μέτρων που θα ανταποκρίνονται στις απαιτήσεις του παρόντος κανονισμού, συμπεριλαμβανομένων εκείνων που αφορούν την ασφάλεια της επεξεργασίας.
- Η προσχώρηση του εκτελούντος την επεξεργασία σε εγκεκριμένο κώδικα συμπεριφοράς ή εγκεκριμένο μηχανισμό πιστοποίησης, μπορεί να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί η συμμόρφωσή του με τις υποχρεώσεις του υπευθύνου επεξεργασίας.
- Η εκτέλεση της επεξεργασίας από εκτελούντα την επεξεργασία θα πρέπει να διέπεται από σύμβαση ή άλλη νομική πράξη, βασιζόμενη στο ενωσιακό δίκαιο ή στο δίκαιο των κρατών – μελών, που συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας, στην οποία καθορίζονται το αντικείμενο και η διάρκεια της επεξεργασίας, η φύση και οι σκοποί της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και οι κατηγορίες των υποκειμένων των δεδομένων.
Δικαίωμα Διαγραφής
Το δικαίωμα διαγραφής (ή δικαίωμα στη λήθη), παρέχει στο πρόσωπο των δεδομένων τη δυνατότητα να διαγράψει τα προσωπικά του δεδομένα ο υπεύθυνος δεδομένων και έτσι να σταματήσει την περαιτέρω διάδοσή τους και ενδεχομένως την επεξεργασία τους από τρίτους. Το άρθρο 17 αναφέρει, ότι το πρόσωπο των δεδομένων έχει το δικαίωμα να ζητήσει τη διαγραφή δεδομένων προσωπικού χαρακτήρα που τον αφορούν χωρίς αδικαιολόγητη καθυστέρηση.
Ο Υπεύθυνος Επεξεργασίας κατόπιν σχετικού αιτήματος, υποχρεούται να διαγράψει δεδομένα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:
- τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,
- το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία,
- το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία,
- τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,
- τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους – μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας,
- τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών.
Νομικό Πλαίσιο
Η παραβίαση προσωπικών δεδομένων μπορεί να έχει, αναλόγως την πράξη, μέχρι και Ποινικές Κυρώσεις βάσει των Άρθρων 370 και 371.
Κληρικοί, δικηγόροι και κάθε είδους νομικοί παραστάτες, συμβολαιογράφοι, γιατροί, μαίες, νοσοκόμοι, φαρμακοποιοί και άλλοι λειτουργοί ή επαγγελματίες, στους οποίους κάποιοι εμπιστεύονται συνήθως λόγω του επαγγέλματός τους ή της ιδιότητάς τους ιδιωτικά απόρρητα, καθώς και οι βοηθοί των προσώπων αυτών, οι οποίοι φανερώνουν ιδιωτικά απόρρητα, που τους τα εμπιστεύτηκαν ή που τα έμαθαν λόγω του επαγγέλματός τους ή της ιδιότητάς τους, τιμωρούνται με φυλάκιση ως ένα έτος ή χρηματική ποινή. Ποινικός Κώδικας άρθρο 371 παρ. 1.
Η αρχή προστασίας δεδομένων έχει εκδώσει αρκετές οδηγίες σχετικά με τις πρακτικές για την προστασία αλλά και καταστροφή προσωπικών δεδομένων.
– Οδηγία Ασφαλούς Καταστροφής Προσωπικών Δεδομένων 2005
Άλλες Ευρωπαϊκές διατάξεις που ασχολούνται με το θέμα είναι η “Συνθήκη για την Ευρωπαϊκή Ένωση (Άρθρο 6), η “Ευρωπαϊκή Σύμβαση των Δικαιωμάτων του Ανθρώπου (Άρθρο 8)” και ο “Χάρτης των Θεμελιωδών Δικαιωμάτων Της Ευρωπαϊκής Ένωσης (Άρθρο 8)”.
Για περισσότερες πληροφορίες επισκεφθείτε την ιστοσελίδα της “Ελληνικής Αρχής Προστασίας Δεδομένων”