1. Για τους σκοπούς του Κανονισμού, της Οδηγίας 2016/680/ΕΕ και του παρόντος νόμου νοούνται ως
α) «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου
β) «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή
γ) «περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον
δ) «κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου,
ε) «ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο,
στ) «σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση,
ζ) «υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους
η) «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,
θ) «αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,
ι) «παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία
ια) «ειδικές κατηγορίες δεδομένων»: δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα , βιομετρικά δεδομένα, δεδομένα που αφορούν την υγεία, δεδομένα που αφορούν τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό φυσικού προσώπου.
ιβ) «γενετικά δεδομένα»: τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με την φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου,
ιγ) «βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα,
ιδ) δεδομένα που αφορούν την υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του
ιε) εποπτική αρχή: η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής Αρχή), με την επιφύλαξη του άρθρου 65 που αναφέρεται στα εποπτικά όργανα των δικαστηρίων και των εισαγγελικών αρχών.
ιε) διεθνής οργανισμός»: οργανισμός και οι υπαγόμενοι σε αυτόν φορείς που διέπονται από το δημόσιο διεθνές δίκαιο ή οποιοσδήποτε άλλος φορέας που έχει ιδρυθεί δυνάμει ή επί τη βάσει συμφωνίας μεταξύ δύο ή περισσότερων χωρών.
2. Για τους σκοπούς του Κανονισμού και των Κεφαλαίων Β’ , Δ΄ και Ε’ του παρόντος νόμου νοούνται ως
α) συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,
β) κύρια εγκατάσταση»: αα) όταν πρόκειται για υπεύθυνο επεξεργασίας με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση, εκτός εάν οι αποφάσεις όσον αφορά τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα λαμβάνονται σε άλλη εγκατάσταση του υπευθύνου επεξεργασίας στην Ένωση και η εγκατάσταση αυτή έχει την εξουσία εφαρμογής των αποφάσεων αυτών, οπότε ως κύρια εγκατάσταση θεωρείται η εγκατάσταση στην οποία έλαβε τις αποφάσεις αυτές, ββ) όταν πρόκειται για εκτελούντα την επεξεργασία με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση ή, εάν ο εκτελών την επεξεργασία δεν έχει κεντρική διοίκηση στην Ένωση, η εγκατάσταση του εκτελούντος την επεξεργασία στην Ένωση στην οποία εκτελούνται οι κύριες δραστηριότητες επεξεργασίας στο πλαίσιο των δραστηριοτήτων εγκατάστασης του εκτελούντος την επεξεργασία, στον βαθμό που ο εκτελών την επεξεργασία υπόκειται σε ειδικές υποχρεώσεις δυνάμει του παρόντος κανονισμού
γ) εκπρόσωπος»: φυσικό ή νομικό πρόσωπο εγκατεστημένο στην Ένωση, το οποίο ορίζεται εγγράφως από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία βάσει του άρθρου 27 του Κανονισμού και εκπροσωπεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ως προς τις αντίστοιχες υποχρεώσεις τους δυνάμει του παρόντος κανονισμού,
δ) επιχείρηση»: φυσικό ή νομικό πρόσωπο που ασκεί οικονομική δραστηριότητα, ανεξάρτητα από τη νομική του μορφή, περιλαμβανομένων των προσωπικών εταιρειών ή των ενώσεων που ασκούν τακτικά οικονομική δραστηριότητα,
ε) όμιλος επιχειρήσεων»: μια ελέγχουσα επιχείρηση και οι ελεγχόμενες από αυτήν επιχειρήσεις,
στ) δεσμευτικοί εταιρικοί κανόνες»: οι πολιτικές προστασίας δεδομένων προσωπικού χαρακτήρα τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις ή δέσμη διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα,
ζ) «ενδιαφερόμενη εποπτική αρχή»: εποπτική αρχή την οποία αφορά η επεξεργασία δεδομένων προσωπικού χαρακτήρα, διότι: αα) ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος στο έδαφος του κράτους μέλους της εν λόγω εποπτικής αρχής, ββ) τα υποκείμενα των δεδομένων που διαμένουν στο κράτος μέλος της εν λόγω εποπτικής αρχής επηρεάζονται ή ενδέχεται να επηρεαστούν ουσιωδώς από την επεξεργασία ή γγ) έχει υποβληθεί καταγγελία στην εν λόγω εποπτική αρχή,
η) «διασυνοριακή επεξεργασία»: αα) η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκαταστάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη ή ββ) η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων μίας μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση αλλά που επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη,
θ) «σχετική και αιτιολογημένη ένσταση»: ένσταση σε ένα σχέδιο απόφασης ως προς την ύπαρξη παράβασης του παρόντος κανονισμού, ή ως προς τη συμφωνία με τον παρόντα κανονισμό της προβλεπόμενης ενέργειας σε σχέση με τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, η οποία καταδεικνύει σαφώς τη σημασία των κινδύνων που εγκυμονεί το σχέδιο απόφασης όσον αφορά τα θεμελιώδη δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και, κατά περίπτωση, την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης,
ι) «υπηρεσία της κοινωνίας των πληροφοριών»: υπηρεσία κατά την έννοια του άρθρου 1 παράγραφος 1 στοιχείο β) της οδηγίας (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (1),
ια) «δημόσιος φορέας»: οι κρατικές ή δημόσιες αρχές, κεντρικές και περιφερειακές, αυτοτελείς δημόσιες υπηρεσίες, νομικά πρόσωπα δημοσίου δικαίου, ανεξάρτητες και ρυθμιστικές διοικητικές αρχές, οι κρατικές ή δημόσιες επιχειρήσεις και οργανισμοί, τα νομικά πρόσωπα ιδιωτικού δικαίου που ανήκουν στο κράτος ή επιχορηγούνται από κατά 50% τουλάχιστον του ετήσιου προυπολογισμού τους ή η διοίκησή τους ορίζεται από αυτό, οι οργανισμοί τοπικής αυτοδιοίκησης πρώτου και δευτέρου βαθμού και τα νομικά πρόσωπα και επιχειρήσεις αυτών .
3. Για τους σκοπούς της Οδηγίας 2016/680/ΕΕ και των Κεφαλαίων Γ’, Δ’ και Ε’ του παρόντος νόμου νοείται ως
α) «αρμόδια αρχή»: αα) κάθε δημόσια αρχή αρμόδια για τη διερεύνηση, τη διακρίβωση, βεβαίωση ή τη δίωξη εγκλημάτων ββ) κάθε δημόσια αρχή αρμόδια για την εκτέλεση ποινικών κυρώσεων γγ) κάθε δημόσια αρχή αρμόδια για την πρόληψη εγκλημάτων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους· δδ) κάθε άλλος οργανισμός ή φορέας, στον οποίο ο νόμος αναθέτει ρόλο δημόσιας αρχής και την εκτέλεση δημόσιων εξουσιών για τους σκοπούς της πρόληψης, της διερεύνησης, της διακρίβωσης,βεβαίωσης ή της δίωξης εγκλημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους.
β) «υπεύθυνος επεξεργασίας»: η αρμόδια αρχή η οποία, μόνη ή από κοινού με άλλους, καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Οι όροι εθνική άμυνα και εθνική ασφάλεια, ενώ συναντώνται στο κείμενο του νόμου (π.χ. άρθρα 10, 12) δεν ορίζονται στο εν λόγω άρθρο. Επειδή υπάρχει γενικότερη σύγχυση ως προς τη διάκριση των δύο εννοιών, και ποιες ακριβώς δραστηριότητες καταλαμβάνονται από το σχέδιο νόμου (και ποιες ενδεχομένως καταλείπονται εκτός), προτείνεται ένας εργαλειακός ορισμός.
Σχετικά με την ενημέρωση που ορίζεται στην παράγραφο 6, πως θα γίνεται; Δεδομένου ότι πλέον δεν είναι υποχρεωτική η γνωστοποίηση της λειτουργίας κλειστού κυκλώματος βιντεοεπιτήρησης;
Θα ενημερώνονται και τα υποκείμενα που επηρεάζονται; Τι θα ισχύει με την διαγραφή των δεδομένων αυτών;
και σχετικά με την παράγραφο 9, δεν θα έπρεπε να ενημερώνεται και για τον τρόπο με τον οποίο μπορεί να ασκήσει τα δικαιώματα του;
π.χ. να έχει τις πληροφορίες επικοινωνίας του Υπεύθυνου Προστασίας Δεδομένων ή άλλου αρμόδιου;
Στο Νομοσχέδιο δεν υπάρχει πρόβλεψη για τις ατομικές επιχειρήσεις, οι οποίες αντιμετωπίζονται ως φυσικά πρόσωπα. Πλην όμως, οι εν λόγω επιχειρήσεις είναι η μεγαλύτερη πλειοψηφία των Ελληνικών Επιχειρήσεων, εγγράφονται κανονικά στο ΓΕΜΗ και στα σχετικά Επιμελητήρια κλπ. και απασχολούν προσωπικό.
Η ένταξη των δεδομένων τους στα δεδομένα φυσικών προσώπων θα δημιουργήσει πλείστες όσες αναταράξεις στον τρόπο τήρησης των αρχείων των υπολοίπων επιχειρήσεων αλλά και των Επιμελητηρίων και πολύ περισσότερο του Βιοτεχνικού Επιμελητηρίου Θεσσαλονίκης, το οποίο έχει 23.000 Ατομικές επιχειρήσεις μέλη σε σύνολο 30.000 Επιχειρήσεων – μελών, που έχουν άλλη νομική μορφή.
Παρακαλούμε να γίνει ειδική πρόβλεψη, ώστε οι ατομικές επιχειρήσεις να λογίζονται και να αντιμετωπίζονται ως προς την τήρηση και επεξεργασία των δεδομένων τους, ως επιχειρήσεις και όχι ως φυσικά πρόσωπα. Όταν μάλιστα, ως υπόχρεοι τήρησης στοιχείων άλλων, λογίζονται ως επιχειρήσεις και εμπίπτουν στις ίδιες υποχρεώσεις με τις επιχειρήσεις άλλων νομικών μορφών και μεγεθών.
Να διαβαθμιστεί με ακρίβεια η σημαντικότητα των διαφορετικών ειδών επεξεργασίας των δεδομένων. Για παράδειγμα η τήρηση αρχείου με παλαιά δεδομένα πελατολογίου σε μια ΜΜΕ που είναι σύνηθες φαινόμενο, δεν θα πρέπει να χαρακτηρίζεται ως επεξεργασία, αλλά ως εν δυνάμει επεξεργασία δεδομένων. Γενικά δεδομένα που έχουν κάποια παλαιότητα θα πρέπει να εξαιρούνται της παρούσας νομοθεσίας, λόγω του ότι μπορεί να αποτελέσουν κίνδυνο επιβολής προστίμου χωρίς πραγματικά να έχουν την παραμικρή αξία ή χρήση από την ΜΜΕ.
Θα ηταν χρήσιμο να προστεθει ορισμος για το παιδί, οπως στην Προταση του κανονισμου
Παιδί: οποιοδήποτε φυσικό πρόσωπο κάτω των δεκαοκτώ ετών.
Άρθρο 3: Ο Νόμος 4072/2012 στο άρθρο 1 παράγραφος 2 ορίζει ότι : “Αν µεταβληθεί η επωνυµία του φορέα της επιχείρησης ή µεταβιβασθεί για οποιαδήποτε αιτία µέρος ή το σύνολο των εταιρικών µεριδίων ή µετοχών µίας εταιρείας, ανάλογα µε τη φύση της επιχείρησης ως ατοµικής ή οποιουδήποτε είδους εταιρείας, η άδεια που έχει εκδοθεί ελέγχεται και τροποποιείται µόνον όσον αφορά στα στοιχεία του φορέα που διαφοροποιήθηκαν. Πιστοποιητικά, αποφάσεις, εγκρίσεις, που έχουν εκδοθεί για την επιχείρηση, εξακολουθούν να ισχύουν µέχρι τη λήξη τους και δεν απαιτείται η προσκόµιση νέων.”
Περαιτέρω, ο Νόμος 3419/2005 ως ισχύει (Γενικό Εμπορικό Μητρώο (Γ.Ε.ΜΗ.) και Εκσυγχρονισμός της Επιμελητηριακής Νομοθεσίας), ορίζει στο άρθρο 1: “Καθιερώνεται Γενικό Εμπορικό Μητρώο (Γ.Ε.ΜΗ.), στο οποίο εγγράφονται υποχρεωτικά τα κατωτέρω πρόσωπα και ενώσεις προσώπων (εφεξής «οι υπόχρεοι»). α. Τα φυσικά πρόσωπα που είναι έμποροι και διαθέτουν επαγγελματική κατοικία ή εγκατάσταση ή ασκούν εμπορία μέσω κύριας ή δευτερεύουσας εγκατάστασης στην ημεδαπή.”
Ομοίως δεν υπάρχει σαφής διάκριση για την εξαίρεση ειδικών επαγγελματικών κατηγοριών όπως οι δικηγόροι, συμβολαιογράφοι κτλ που προβλεπόταν στο άρθρο 7Α παρ. 1 ε του Ν.2472/1997, το οποίο θα πρέπει να προβλεφθεί.
Συνεπώς, ο Νομοθέτης κάνει διαχωρισμό των φυσικών προσώπων υπό την εμπορική τους ιδιότητα και ενόψει της σπουδαιότητας του υπό διαβούλευση Νομοθετήματος και του Κανονισμού, θα ήταν σκόπιμο να προβλεφθεί και σε αυτό το νομοθέτημα ειδικός ορισμός. Ειδικότερα,να γίνει διαχωρισμός των φυσικών προσώπων που ενεργούν υπό την εμπορική τους ιδιότητα, δεδομένου ότι υπόκεινται στην υποχρέωση δημοσίευσης των στοιχείων της επιχείρησής τους, στο ΓΕΜΗ (δημόσια προσβάσιμη πηγή), όπως ακριβώς και οι εταιρείες. Ως εκ τούτου τα δεδομένα που αφορούν την εμπορική τους ιδιότητα (ενδεικτικά: επωνυμία της ατομικής επιχείρησης, έδρα) να εξαιρεθούν της εφαρμογής του Κανονισμού.
Τόσο ο Κανονισμός (αιτιολογική σκέψη 18) όσο και ο εφαρμοστικός νόμος (άρθρο 2 παράγραφος 7), ρυθμίζουν ρητά ότι δεν εμπίπτει στο πεδίο εφαρμογής τους η επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας . Περαιτέρω, στην αιτιολογική σκέψη 14 του Κανονισμού αναφέρεται ότι δεν καλύπτεται από τον Κανονισμό η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν νομικά πρόσωπα και ιδίως επιχειρήσεις συσταθείσες ως νομικά πρόσωπα, περιλαμβανομένων της επωνυμίας, του τύπου και των στοιχείων επικοινωνίας του νομικού προσώπου.
Θεωρούμε, λοιπόν, ότι στα πλαίσια της εμπορικής πίστης, της πρόληψης της απάτης, της αξιοπιστίας και ασφάλειας των συναλλαγών, ο νόμος θα πρέπει αντίστοιχα, να εισαγάγει ένα διαχωρισμό ως προς τα δεδομένα των φυσικών προσώπων που άπτονται της ιδιωτικής τους σφαίρας και ως προς τα δεδομένα των ατομικών επιχειρήσεων που άπτονται της εμπορικής τους ιδιότητας. Συνεπώς, τα δεδομένα που άπτονται της εμπορικής τους ιδιότητας θα πρέπει να εξαιρούνται ρητά της εφαρμογής του Κανονισμού, όπως ισχύει και για τις προσωπικές εταιρείες ως νομικά πρόσωπα.
Η επιβολή τυχόν περιορισμών ή υποχρεώσεων στην επεξεργασία και στην κυκλοφορία δεδομένων των φυσικών προσώπων που αφορούν τη εμπορική τους ιδιότητα ως ατομικών επιχειρήσεων, δε συνάδει :
▪ Με την ιδιότητα του φυσικού προσώπου εκ του νόμου, να ασκεί εμπορικές πράξεις κατά σύνηθες επάγγελμα ως ατομική επιχείρηση και κατά συνέπεια να έχει και πτωχευτική ικανότητα βάσει του Άρθρου 2 , παρ.1 του Πτωχευτικού Κώδικα (Νόμος 3588/2007, ως ισχύει).
▪ Την υφιστάμενη πρόβλεψη του Νομοθέτη να εμπεριέχονται στις εγγεγραμμένες εμπορικές επιχειρήσεις στο Γενικό Εμπορικό Μητρώο (Γ.Ε.ΜΗ.), καθώς εμπίπτουν στην αρχή της δημοσιότητας.
Σημειώνεται ότι σε περίπτωση μη διάκρισης των ατομικών επιχειρήσεων, λαμβάνοντας υπόψιν τα μεγάλα ποσοστά της ατομικής εμπορικής δραστηριότητας στη χώρα θα επιφέρει συνέπειες:
▪ Στη διαφάνεια και στην ασφάλεια των εμπορικών συναλλαγών,
▪ Στην ορθή διαχείριση του πιστωτικού κινδύνου,
▪ Στην υγιή επιχειρηματικότητα και
▪ Στη χρηματοπιστωτική σταθερότητα εν γένει.
Στα πλαίσια της εφαρμογής των διατάξεων του νέου Κανονισμού θα πρέπει να διασαφηνιστεί ο ορισμός της ατομικής επιχείρησης και να γίνει διαχωρισμός των δεδομένων που αφορούν την επιχειρηματική από την προσωπική δραστηριότητα του φορέα/ιδιοκτήτη.
Η λειτουργία των ατομικών επιχειρήσεων θα πρέπει να διέπεται από τους ίδιους κανόνες λειτουργίας, όπως γίνεται και με λοιπά νομικά πρόσωπα που ασκούν εμπορική δραστηριότητα (π.χ. Ο.Ε., Ε.Ε.)
Εξάλλου, η πλειοψηφία των ατομικών επιχειρήσεων, σύμφωνα με την παρ. 1 του άρθρου 1 του Ν.3419/2005, είναι υπόχρεες εγγραφής στο ΓΕΜΗ και πιο συγκεκριμένα είναι (μεταξύ άλλων που αναφέρονται αναλυτικά στη σχετική παράγραφο) τα φυσικά πρόσωπα που είναι έμποροι και διαθέτουν επαγγελματική κατοικία ή εγκατάσταση ή ασκούν εμπορία μέσω κύριας ή δευτερεύουσας εγκατάστασης στην ημεδαπή.
Τα παραπάνω φυσικά πρόσωπα – εφόσον ασκούν εμπορική δραστηριότητα – έχουν τις ίδιες υποχρεώσεις εγγραφής με τα νομικά πρόσωπα και κατά συνέπεια θα πρέπει να λογίζονται ως τέτοια.
Το μοντέλο της ατομικής επιχείρησης αποτέλεσε και αποτελεί τη ραχοκοκαλιά της ελληνικής οικονομίας, αριθμώντας πλεονεκτήματα που βασίζονται στην εύκολη, γρήγορη και ανέξοδη σύσταση της, τη μη υποχρεωτική συνεχή λογιστική παρακολούθηση, την ευελιξία στη λήψη / εκτέλεση αποφάσεων.
Για τους παραπάνω λόγους αποτελούν τον κύριο τρόπο άσκησης επιχειρηματικότητας στην Ελλάδα (σύμφωνα με το ΓΕΜΗ, ποσοστό άνω του 70% των εγγεγραμμένων εμπορικών επιχειρήσεων).
Επιπρόσθετα, σύμφωνα με μετρήσεις επίσημων φορέων για το έτος 2015 περίπου 125.000 Ατομικές επιχειρήσεις απασχολούσαν προσωπικό με σχέση εργασίας ιδιωτικού δικαίου, αποτελώντας 50% του συνόλου των επιχειρήσεων που απασχολούν προσωπικό.
Ο περιορισμός της διαφάνειας των δεδομένων, δε συνάδει με την ορθή λειτουργία των διαδικασιών αξιολόγησης πιστοληπτικής ικανότητας και άλλων κινδύνων που διενεργούνται από φορείς που συναλλάσσονται με τις προαναφερόμενες επιχειρήσεις ή από τρίτους (π.χ. προμηθευτές, πελάτες, τράπεζες, δημόσιο, εταιρίες επιχειρηματικής πληροφόρησης) για τη λήψη αποφάσεων που είναι πιθανό να επηρεάσουν καίρια τη βιωσιμότητά επιχειρήσεων
Είναι εξαιρετικά σημαντικό να γίνει διάκριση των Ατομικών Επιχειρήσεων και να εξαιρεθούν από τον εν λόγω Κανονισμό τα δεδομένα των εμπορικών Ατομικών Επιχειρήσεων που άπτονται της εμπορικής τους δραστηριότητας. Να αντιμετωπιστούν δηλαδή όπως οι επιχειρήσεις με νομική μορφή Ο.Ε., Ε.Ε.
Οι εν λόγω Ατομικές επιχειρήσεις αποτελούν τον κύριο τρόπο άσκησης επιχειρηματικότητας στην Ελλάδα (σύμφωνα με το ΓΕΜΗ, αποτελούν το 72,30% των εγγεγραμμένων εμπορικών επιχειρήσεων), αποκτούν εισόδημα από εμπορική, βιομηχανική, βιοτεχνική δραστηριότητα ή δραστηριότητα παροχής υπηρεσιών, η οποία δεν υπάγεται στα Ελευθέρια Επαγγέλματα, ελέγχονται μεν από φυσικό πρόσωπο, το πρόσωπο αυτό όμως έχει εμπορική ιδιότητα και κατά συνέπεια και πτωχευτική ικανότητα, χρηματοδοτούνται από πιστωτικά ιδρύματα, συναλλάσσονται με τρίτα νομικά πρόσωπα και απασχολούν προσωπικό.
Σύμφωνα με μετρήσεις από την «Εργάνη», το 2015 περίπου 125.000 Ατομικές επιχειρήσεις απασχολούσαν προσωπικό με σχέση εργασίας ιδιωτικού δικαίου, αποτελώντας 50% του συνόλου των επιχειρήσεων που απασχολούν προσωπικό.
Επισημαίνεται δε πως σε πολλά Κράτη Μέλη της Ευρωπαϊκής Ένωσης, οι Ατομικές Επιχειρήσεις δεν αντιμετωπίζονται ως Φυσικά Πρόσωπα και δεν εμπίπτουν σε Κανονισμούς Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Εν κατακλείδι, ο περιορισμός της διαφάνειας των δεδομένων, αποτρέπει την ορθή λειτουργία των διαδικασιών αξιολόγησης πιστοληπτικής ικανότητας και άλλων κινδύνων που διενεργούνται από φορείς που συναλλάσσονται με τις εν λόγω επιχειρήσεις ή από τρίτους (π.χ. χρηματοπιστωτικά ιδρύματα, προμηθευτές, συνεργάτες, πελάτες, φορείς του ευρύτερου δημοσίου, οίκοι αξιολόγησης, εταιρίες επιχειρηματικής πληροφόρησης) με σκοπό λήψη κρίσιμων αποφάσεων που μπορεί να επηρεάσει τη βιωσιμότητά επιχειρήσεων, τη διαχείριση κόκκινων δανείων και την ανεργία.
Τόσο ο Κανονισμός (αιτιολογική σκέψη 18) όσο και ο εφαρμοστικός νόμος (άρθρο 2 παράγραφος 7), ρυθμίζουν ρητά ότι δεν εμπίπτει στο πεδίο εφαρμογής τους η επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας . Περαιτέρω, στην αιτιολογική σκέψη 14 του Κανονισμού αναφέρεται ότι δεν καλύπτεται από τον Κανονισμό η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν νομικά πρόσωπα και ιδίως επιχειρήσεις συσταθείσες ως νομικά πρόσωπα, περιλαμβανομένων της επωνυμίας, του τύπου και των στοιχείων επικοινωνίας του νομικού προσώπου.
Θεωρούμε, λοιπόν, ότι στα πλαίσια της εμπορικής πίστης, της πρόληψης της απάτης, της αξιοπιστίας και ασφάλειας των συναλλαγών, ο νόμος θα πρέπει αντίστοιχα, να εισαγάγει ένα διαχωρισμό ως προς τα δεδομένα των φυσικών προσώπων που άπτονται της ιδιωτικής τους σφαίρας και ως προς τα δεδομένα των ατομικών επιχειρήσεων που άπτονται της εμπορικής τους ιδιότητας.
Συνεπώς, τα δεδομένα που άπτονται της εμπορικής τους ιδιότητας θα πρέπει να εξαιρούνται ρητά της εφαρμογής του Κανονισμού, όπως ισχύει και για τις προσωπικές εταιρείες ως νομικά πρόσωπα.
Η επιβολή τυχόν περιορισμών ή υποχρεώσεων στην επεξεργασία και στην κυκλοφορία δεδομένων των φυσικών προσώπων που αφορούν τη εμπορική τους ιδιότητα ως ατομικών επιχειρήσεων, δε συνάδει :
▪ Με την ιδιότητα του φυσικού προσώπου εκ του νόμου, να ασκεί εμπορικές πράξεις κατά σύνηθες επάγγελμα ως ατομική επιχείρηση και κατά συνέπεια να έχει και πτωχευτική ικανότητα βάσει του Άρθρου 2 , παρ.1 του Πτωχευτικού Κώδικα (Νόμος 3588/2007, ως ισχύει).
▪ Την υφιστάμενη πρόβλεψη του Νομοθέτη να εμπεριέχονται στις εγγεγραμμένες εμπορικές επιχειρήσεις στο Γενικό Εμπορικό Μητρώο (Γ.Ε.ΜΗ.), καθώς εμπίπτουν στην αρχή της δημοσιότητας.
Σημειώνεται ότι σε περίπτωση μη διάκρισης των ατομικών επιχειρήσεων, λαμβάνοντας υπόψιν τα μεγάλα ποσοστά της ατομικής εμπορικής δραστηριότητας στη χώρα θα επιφέρει συνέπειες:
▪ Στη διαφάνεια και στην ασφάλεια των εμπορικών συναλλαγών,
▪ Στην ορθή διαχείριση του πιστωτικού κινδύνου,
▪ Στην υγιή επιχειρηματικότητα και
▪ Στη χρηματοπιστωτική σταθερότητα εν γένει.
Στους ορισμούς καλό είναι να αποσαφηνιστούν και να δοθούν συγκρκιμένα παραδείγματα για το εάν ένα στοιχείο απο μόνο του μπορεί να αποτελέσει κάτω απο το GDPR χαρακτηριστικό προσδιορισμού προσωπικών δεδομένων. π.χ IP Address, MAC address. Αυτή η επεξήγηση θα βοηθήσει και στην μετέπειτα DPIA.