1. Οι ρυθμίσεις του Κανονισμού (ΕΕ) 2016/679 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων- εφεξής Κανονισμός) και του παρόντος νόμου εφαρμόζονται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης
2. Οι ρυθμίσεις του Κανονισμού και του Κεφαλαίου Β’ εφαρμόζονται με την επιφύλαξη της εφαρμογής ειδικότερων ρυθμίσεων των άρθρων 16 έως 19 του κεφαλαίου Β’ του παρόντος νόμου.
3. Οι ρυθμίσεις της Οδηγίας 2016/680/ΕΕ και του κεφαλαίου Γ’ του παρόντος εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς για τους σκοπούς της πρόληψης, της διερεύνησης, της διακρίβωσης ή της δίωξης εγκλημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους.
4. Οι ρυθμίσεις του κεφαλαίου Γ΄ τους παρόντος εφαρμόζονται και στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις κατά περίπτωση αρμόδιες αρχές για τους σκοπούς της εθνικής ασφάλειας.
5. Όταν τα δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία από τις αρμόδιες αρχές για σκοπούς διαφορετικούς από τους αναφερόμενους στις παραγράφους 3 και 4 του παρόντος άρθρου , όπως η αρχειοθέτηση προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς , εφαρμόζεται ο Κανονισμός και οι ρυθμίσεις του Κεφαλαίου Β.
6. Οι ρυθμίσεις του Κανονισμού, της Οδηγίας 2016/680/ΕΕ και των Κεφαλαίων Β’ και Γ’ του παρόντος νόμου εφαρμόζονται και ως προς την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από τα δικαστήρια και τις εισαγγελικές αρχές. Δεν εφαρμόζονται οι ρυθμίσεις που αφορούν την άσκηση των εξουσιών και καθηκόντων της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, όταν τα δικαστήρια και οι εισαγγελικές αρχές επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο της άσκησης της δικαιοδοτικής αρμοδιότητάς τους .
7. Ο Κανονισμός και ο παρών νόμος δεν εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας. Ως τέτοια δραστηριότητα νοείται εκείνη που αναφέρεται στο ιδιωτικό πεδίο δράσης ενός προσώπου ή μιας οικογένειας, δηλαδή εκείνη που δεν εμπίπτει στην επαγγελματική ή/και εμπορική δραστηριότητα και δεν έχει ως σκοπό ή ως αποτέλεσμα τη συστηματική διαβίβαση ή τη διάδοση δεδομένων σε τρίτους.
8. Οι ρυθμίσεις του Κανονισμού και του παρόντος νόμου εφαρμόζονται ως προς την επεξεργασία δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας ή/και εκτελούντα επεξεργασία, εφόσον αυτή λαμβάνει χώρα στην ελληνική επικράτεια ή στο πλαίσιο εγκατάστασης στην ελληνική επικράτεια, ακόμη και εάν η εν λόγω επεξεργασία λαμβάνει χώρα εκτός ελληνικής επικράτειας.
Η ενσωμάτωση και των 2 νομοθετημάτων σε έναν ενιαίο Νόμο, παρά τα επιχειρήματα που περιέχονται στην Αιτιολογική Έκθεση υπέρ της, θα έπρεπε να αποφευχθεί για λόγους σαφήνειας και ευκολότερης εφαρμογής τους.
Ενώ στο παρόν άρθρο υπάρχει πρόβλεψη εφαρμογής με επιφύλαξη, του ίδιου του Κανονισμού και του Κεφαλαίου Β’ του Νομοσχεδίου, ενόψει ειδικότερων ρυθμίσεων για τα άρθρα 16 -19, (επεξεργασία στο πλαίσιο ελευθερίας της έκφρασης, στο πλαίσιο της απασχόλησης και προστασίας δεδομένων εργαζομένων, για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για επιστημονικούς, ιστορικούς και στατιστικούς σκοπούς),
Συγχρόνως ορίζεται ότι οι ρυθμίσεις του Κανονισμού αλλά και του Νομοσχεδίου εφαρμόζονται από όλους όσους επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, χωρίς καμία εξαίρεση,
Ενώ ο Κανονισμός προβλέπει ήδη παρεκκλίσεις από τις υποχρεώσεις των ΜΜΕ τουλάχιστον σε ότι αφορά στην τήρηση αρχείου δραστηριοτήτων επεξεργασίας (άρθρο 30, παρ. 5 ΓΚΠΔ) καθώς και προτρέπει τα θεσμικά όργανα της Ένωσης αλλά και τα Κράτη Μέλη να λαμβάνουν υπόψη τις ειδικές ανάγκες των πολύ μικρών, μικρών και μεσαίων κατά την εφαρμογή του Κανονισμού,
Το Νομοσχέδιο δεν έχει την παραμικρή αναφορά στο ζήτημα, δεν περιλαμβάνει κάν διατάξεις για την εφαρμογή των άρθρων 24 έως 36 του Κεφαλαίου IV του Κανονισμού, που ορίζει τις γενικές υποχρεώσεις των επιχειρήσεων.
Στην χώρα μας που το συντριπτικό ποσοστό (98%) είναι Πολύ Μικρές και Μικρές Επιχειρήσεις (≤ 9 άτομα προσωπικό) και μάλιστα αυτοαπασχολούμενων (σε ποσοστό 29%) δεν νοείται να μην γίνει η παραμικρή αναφορά και παρέκκλιση για την εφαρμογή του Κανονισμού 2016/679 από τις Μικρομεσαίες Επιχειρήσεις.
Ζητούμε να υπάρξει πρόβλεψη μη εφαρμογής του Κανονισμού από τις ΜΜΕ, ιδίως αυτών που δεν διαχειρίζονται δεδομένα που εμπίπτουν στο άρθρο 30, παρ. 5 του ΓΚΠΔ, τουλάχιστον μέχρι να εξειδικευθεί πλήρως το τοπίο των γενικότερων υποχρεώσεων και ρυθμίσεων στην χώρα μας, από την Υπεύθυνη Αρχή Προστασίας Προσωπικών Δεδομένων και την εξειδίκευση των υποχρεώσεων και ανάλογων πράξεων στις οποίες πρέπει να προβούν.
Ειδικότερα, σε ότι αφορά στις ΠΜΕ και ΜΜΕ, οι οποίες τηρούν μόνο λογιστικό αρχείο των πελατών και προμηθευτών τους και αρχείο τήρησης στοιχείων των εργαζομένων τους, σύμφωνα με τα απαραίτητα στοιχεία που προβλέπουν οι σχετικοί νόμοι του Κράτους, δεν είναι δυνατόν να ισχύσουν οι ίδιες ρυθμίσεις και προβλέψεις που αφορούν μεγάλες επιχειρήσεις και Οργανισμούς, οι οποίοι τηρούν, επεξεργάζονται και αξιοποιούν πληθώρα προσωπικών δεδομένων διαφόρων προσώπων.
Μέχρι την έκδοση συγκεκριμένων διατάξεων για τον τρόπο τήρησης των σχετικών αρχείων από τις επιχειρήσεις μας, καθώς και συγκεκριμένη εξειδίκευση των υποχρεώσεών μας ζητούμε να περιληφθεί ρητή διάταξη εξαίρεσης των ΜΜΕ από τις υποχρεώσεις εφαρμογής του παρόντος.
Ειδικότερα δε, που όπως αναφέρεται στο παρακάτω Σχόλιό μας επί του Άρθρου 3, οι περισσότερες επιχειρήσεις, που αποτελούν το σύνολο των προμηθευτών και πελατών των ΜΜΕ, είναι ατομικές επιχειρήσεις, και ενώ ως υπόχρεοι θεωρούνται υπεύθυνοι για την σύννομη επεξεργασία, συγχρόνως, ως υποκείμενα δεδομένων λογίζονται ως φυσικά πρόσωπα τα δεδομένα των οποίων πρέπει να προστατεύονται και άρα, να λαμβάνονται συγκεκριμένα τεχνικά και οργανωτικά μέτρα ασφάλειας κατά την τήρηση των στοιχείων τους από τις άλλες επιχειρήσεις.
Υπενθυμίζουμε ότι στις εξαιρετικά δύσκολες συνθήκες στις οποίες επιχειρούν οι ελληνικές ΜΜΕ η τυχόν άνευ ειδικών προβλέψεων άκριτη εφαρμογή του ΓΚΠΔ και του υπόψη νομοσχεδίου, θα τους δημιουργήσει ένα επιπλέον δυσβάσταχτο βάρος, οικονομικό και οργανωτικό, αφήνοντάς τις συγχρόνως έρμαια σε τυχόν καταγγελίες κακόβουλων.
Σύμφωνα με την αντίστοιχη διάταξη του Κανονισμού (άρθρο 3), ο Κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο δραστηριοτήτων μίας εγκατάστασης ενός υπευθύνου επεξεργασίας ή/και εκτελούντος την επεξεργασία στην Ένωση (ανεξαρτήτως από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης) ή στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή/και εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται αποκλειστικά με: (α) την προσφορά αγαθών και υπηρεσιών σε υποκείμενα δεδομένων στην Ένωση, ή (β) την παρακολούθηση της συμπεριφοράς τους στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.
Αντίστοιχα, η σχετική διάταξη της Οδηγίας δεν περιλαμβάνει καμία ρύθμιση ως προς την εξωεδαφική εφαρμογή της.
Επομένως, το Σχέδιο Νόμου διευρύνει αδικαιολόγητα το εδαφικό πεδίο εφαρμογής του Κανονισμού και της Οδηγίας. Συγκεκριμένα, όσον αφορά τον Κανονισμό η ρύθμιση του Σχεδίου Νόμου διευρύνει το πεδίο εφαρμογής του σε όλες αδιακρίτως τις δραστηριότητες επεξεργασίας που λαμβάνουν χώρα στην Ελλάδα (συμπεριλαμβανομένης της συλλογής δεδομένων με ηλεκτρονικά μέσα) από υπεύθυνους επεξεργασίας και εκτελούντες την επεξεργασία εγκατεστημένους εκτός της Ένωσης, χωρίς να τηρεί τις συγκεκριμένες προϋποθέσεις-κριτήρια που προβλέπει το άρθρο 3 παρ. 2 του Κανονισμού.
Παρόλο που ο Κανονισμός υπερισχύει του Σχεδίου Νόμου, ως ενωσιακή νομοθεσία, η προαναφερθείσα διάταξη ενέχει τον κίνδυνο πρόκλησης σύγχυσης και παρανοήσεων στο κομβικό ζήτημα του πεδίου εφαρμογής του ελληνικού νόμου.
Για τους προαναφερθέντες λόγους, το Σχέδιο Νόμου δεν θα πρέπει να αποκλίνει από τις διατάξεις του Κανονισμού και της Οδηγίας, αντίστοιχα, περί του εδαφικού πεδίου εφαρμογής. Το εδαφικό πεδίο εφαρμογής των δύο αυτών νομικών κειμένων είναι διαφορετικό και αυτό πρέπει να αντανακλάται με σαφήνεια στο Σχέδιο Νόμου.
Ως γνωστόν, ο Γενικός Κανονισμός έχει άμεση ισχύ σε όλα τα κράτη μέλη της ΕΕ συμπεριλαμβανομένης της Ελλάδος, από την 25-05-2018 και εφεξής, όπου και καθίσταται μέρος του εθνικού κανονιστικού συστήματος, ενώ υπερισχύει έναντι τυχόν αντίθετων ρυθμίσεων των εθνικών κανόνων. Κατά συνέπεια, το εν λόγω άρθρο αφενός είναι κακοδιατυπωμένο και αφετέρου είναι περιττό στα σημεία όπου γίνεται αναφορά στο πεδίο εφαρμογής του Γενικού Κανονισμού.
Εναλλακτικά, θα μπορούσε να γίνει μνεία ότι «Ο παρών νόμος εφαρμόζεται συμπληρωματικά με το Γενικό Κανονισμό και ρυθμίζει ειδικότερα μόνο τις περιπτώσεις εκείνες που ο Γενικός Κανονισμός προβλέπει κατ’ εξαίρεση τη δυνατότητα θέσπισης ειδικότερων εθνικών κανόνων.»
Στο πεδίο εφαρμογής, ειδικά για την Ελλάδα, θα προτεινα να συμπεριληφθουν και τα επαγγέλματα που δεσμέυονται με επαγγελματικό αππόρητο. Πρακτικά το επαγγελματικο αππόρητο του Ιατρού, Συμβολαιογράφου, δικηγόρου έχει αφαιθει στους επαγγελματικους συλλόγους. Το εππαγγελματικο απόρητο ακολουθει της προστασίας των δεδωμένων.
Το αππόρητο λοποόν δεν καλύπτει την προστασία των δεδωμένων. Δεν διαφυλάτει με Κατάλληλα Οργανωτικά και Τεχνικά Μεσα, και δεν αποπτευεται από μία καλά καταρτησμένη και αρμόδια αρχή για τον τόπο που προστατευονταο τα δεδομένα.
Ο/η Ιατρός, ο/η συμβολαιογράφος κτλ θα πρέπει να ειναι στο πεδίο εφαρμογής του Ελληνικου Νόμου Προστασίας Προσωπικών Δεδωμένων.
Στην Ευρώπη, οι περισσότερες χώρες έχουν αυτα τα επαγγέλματα στον ΓΚΠΔ.
Ευχαριστώ
Τα αθλητικά, εκπολιτιστικά, Σωματεία – Σύλλογοι, με πλήθος μελών και αθλητών, υπόκεινται στον ΝΕΟ ΕΥΡΩΠΑΙΚΟ ΚΑΝΟΝΙΣΜΟ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (GDPR) και αν ΝΑΙ, υπερισχύει των σχετικών νόμων (αθλητικού νόμου, κλπ)?
Σύμφωνα με το ΦEK 1109/2016 και πιο συγκεκριμένα με την παράγραφο 8 του άρθρου 4 της Α.π.86 περί Συμπεριφοράς των Ασφαλιστικών Διαμεσολαβητών, ρυθμίζεται η διαφύλαξη των προσωπικών δεδομένων των πελατών.
Όλα τα φυσικά και νομικά πρόσωπα που ασκούν δραστηριότητα (αντ)ασφαλιστικής διαμεσολάβησης σύμφωνα με το άρθρο 1 της Α.π. 86 ΦΕΚ 1109/2016, υπόκεινται στα παρακάτω.
Οι πάσης φύσεως προσωπικές πληροφορίες, τα ευαίσθητα δεδομένα προσωπικού χαρακτήρα, καθώς και τα οικονομικά και περιουσιακά στοιχεία του Πελάτη
που περιέρχονται σε γνώση και σε κατοχή του Ασφαλιστικού Διαμεσολαβητή και των υπαλλήλων αυτού,χρησιμοποιούνται αποκλειστικά για την παροχή των υπηρεσιών ασφαλιστικής διαμεσολάβησης, με την επιφύλαξη εκπλήρωσης νόμιμης υποχρέωσης βάσει ειδικής νομοθετικής πρόβλεψης
Με την εφαρμογή του νέου σχεδίου νόμου θα υπάρχει σχετική πρόβλεψη για τα παραπάνω και κατά πόσο θα χρειαστεί ο ασφαλιστικός κλάδος να προσαρμοστεί στην νέα οδηγία?
Κύριοι,
το άρθρο 167, προβλέπει ειδικά μέτρα για μικρές και μεσαίες επιχειρήσεις.
Σε ποιό σημείο του σχεδίου υπάρχει προσαρμογή σε αυτό ?
Ευχαριστώ
Άρθρο 1.
Το που εφαρμόζεται ο κανονισμός δεν μπορεί να το ρυθμίσει ο νόμος, καθότι ο κανονισμός υπερισχύει. Άρα το άρθρο 1 είναι άχρηστο και βλαβερό διότι ο αναγνώστης πρέπει να ελέγξει αν αυτό συμβαδίζει με τον κανονισμό.
Αν συμβαδίζει ισχύει ο κανονισμός, αν δεν συμβαδίζει το αγνοούμε. Άρα το άρθρο 1 μπορεί να ορίσει μόνο τα του νόμου ήτοι:
«Ο παρόν νόμος εφαρμόζεται επικουρικά στις ίδιες περιπτώσεις εφαρμογής του κανονισμού (ΕΕ) 2016/679.»