Παράκαμψη προς το κυρίως περιεχόμενο

ΑΠΔΠΧ: Κατάργηση γνωστοποίησης τήρησης αρχείου δεδομένων προσωπικού χαρακτήρα

ΑΠΔΠΧ: Κατάργηση γνωστοποίησης τήρησης αρχείου επεξεργασιών και της χορήγησης αδειών αρχείων προσωπικού χαρακτήρα

Ε Ν Η Μ Ε Ρ Ω Σ Η

Σχετικά µε την κατάργηση των γνωστοποιήσεων τήρησης αρχείου/επεξεργασιών και της χορήγησης αδειών

Με την απόφαση υπ’ αριθ. 46/2018 της ΑΠ∆ΠΧ, κρίθηκαν τα εξής:

«Ο Γενικός Κανονισµός για την Προστασία ∆εδοµένων, που τίθεται σε εφαρµογή από τις 25.05.2018, καταργεί τη γενική υποχρέωση γνωστοποίησης της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα στις εποπτικές αρχές που προέβλεπε η Οδηγία 95/46/ΕΚ. Παρέχεται δε η εξουσιοδότηση στα κράτη-µέλη, στο πλαίσιο των ειδικότερων εθνικών ρυθµίσεων που επιτρέπεται να εισαχθούν για την εφαρµογή του ΓΚΠ∆, να διατηρήσουν ή να θεσπίσουν περαιτέρω όρους, µεταξύ άλλων και περιορισµούς, µόνον όσον αφορά την επεξεργασία γενετικών δεδοµένων, βιοµετρικών δεδοµένων ή δεδοµένων που αφορούν την υγεία. Παρέχεται, δηλαδή, στον εθνικό νοµοθέτη η εξουσία να θεσπίσει ή να διατηρήσει ήδη προβλεπόµενους περαιτέρω όρους για την επεξεργασία δεδοµένων που περιοριστικώς αναφέρονται στην παρ. 4 του άρθρου 9 αυτού, στους όρους δε αυτούς µπορεί να περιλαµβάνεται και η υποχρέωση λήψης αδείας από την Αρχή για την επεξεργασία των δεδοµένων αυτών. Η ευχέρεια, όµως, αυτή, τόσο για τη θέσπιση νέων όσο και για τη διατήρηση υφισταµένων όρων, πρέπει να ασκηθεί στο πλαίσιο του εισαγόµενου µε τον ΓΚΠ∆ συστήµατος, σύµφωνα µε το οποίο δεν προβλέπεται αδειοδότηση για την παραπάνω επεξεργασία.

Κατ’ ακολουθία τούτων, και εφόσον δεν έχει εισέτι εκδοθεί ο εθνικός νόµος, ο οποίος κατά τα ανωτέρω θα µπορούσε να προβλέψει, µεταξύ άλλων, την έκδοση αδείας ως προϋπόθεση της επεξεργασίας των αναφερόµενων στο άρθρο 9 παρ. 4 του ΓΚΠ∆ κατηγοριών δεδοµένων, οι διατάξεις του άρθρου 7 του ν. 2472/1997, κατά το µέρος που προβλέπουν άδεια της Αρχής δεν έχουν πλέον εφαρµογή από 25.05.2018 ως αντίθετες προς τον ΓΚΠ∆, ο οποίος έχει άµεση εφαρµογή, δεδοµένου, µάλιστα, ότι οι κατηγορίες δεδοµένων, τις οποίες αφορά το άρθρο αυτό του εθνικού νόµου, δεν Λ. Κηφισίας 1-3 Αθήνα 115 23 τηλ. κέντρο: 2106475600 φαξ: 2106475628 e-mail: [email protected] ταυτίζονται µε εκείνες που αναφέρονται στο άρθρο 9 παρ. 4 του ΓΚΠ∆. Συνεπώς, η Αρχή δεν έχει πλέον αρµοδιότητα χορηγήσεως αδειών για την επεξεργασία και για την ίδρυση και λειτουργία αρχείου µε βάση το άρθρο 7 του ν. 2472/1997. Τούτο ισχύει και για τις αιτήσεις οι οποίες είναι εκκρεµείς στην Αρχή κατά την ανωτέρω ηµεροµηνία, η αποδοχή των οποίων θα ήταν, άλλωστε, αλυσιτελής, αφού η χορήγηση αδείας της Αρχής δεν αποτελεί προϋπόθεση της επεξεργασίας».

Ενόψει της παραπάνω απόφασης οι υπεύθυνοι επεξεργασίας φέρουν το βάρος συµµόρφωσης µε τις επιταγές του ΓΚΠ∆, αξιοποιώντας προς τούτο την έως τώρα διαµορφωθείσα νοµολογία της Αρχής, που είναι πλούσια σε όλα τα θέµατα (όπως σχετικά µε την πρόσβαση τρίτου σε δεδοµένα προσωπικού χαρακτήρα για δικαστική χρήση).

Αθήνα, 24-05-2018

Αριθ. Πρωτ.: Γ/ΕΞ/3993/24-05-2018

Α Π Ο Φ Α Σ Η 46/2018

Η Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα συνεδρίασε σε σύνθεση Ολοµέλειας στο κατάστηµά της την 22-05-2018 µετά από πρόσκληση του Προέδρου της, προκειµένου να εξετάσει ανακύπτοντα ζητήµατα εφαρµοστέου δικαίου κατά την µεταβατική περίοδο µέχρι τη δηµοσίευση του εθνικού νόµου. Παρέστησαν οι Κ. Μενουδάκος, Πρόεδρος, ο οποίος εκτέλεσε και χρέη εισηγητή, Α. Συµβώνης, Σ. Βλαχόπουλος, Κ. Λαµπρινουδάκης, Χ. Ανθόπουλος, τακτικά µέλη, και Εµ. ∆ηµογεροντάκης, αναπληρωµατικό µέλος, σε αντικατάσταση του τακτικού µέλους Ε. Μαρτσούκου, η οποία αν και κλήθηκε νοµίµως εγγράφως δεν παρέστη λόγω κωλύµατος. Παρούσες στη συνεδρίαση, χωρίς δικαίωµα ψήφου, ήταν οι Ε. Ι. Τσακιρίδου, Φ. Καρβέλα και Γ. Παναγοπούλου, ειδικοί επιστήµονες, οι οποίες αποχώρησαν µετά τη συζήτηση και πριν από τη διάσκεψη και τη λήψη αποφάσεως, και η Ε. Παπαγεωργοπούλου, υπάλληλος του Τµήµατος ∆ιοικητικών Υποθέσεων, ως γραµµατέας.

Η Αρχή εξέτασε ζητήµατα εφαρµοστέου δικαίου κατά την µεταβατική περίοδο µέχρι τη δηµοσίευση του εθνικού νόµου, όπως η αρµοδιότητα της Αρχής για χορήγηση αδειών σε περιπτώσεις µη επιβαλλόµενες από τον Γενικό Κανονισµό για την Προστασία ∆εδοµένων.

Η Αρχή, αφού άκουσε τον εισηγητή και τις ειδικούς επιστήµονες, οι οποίες αποχώρησαν µετά τη συζήτηση και πριν από τη διάσκεψη και τη λήψη αποφάσεως, και κατόπιν διεξοδικής συζήτησης,

ΣΚΕΦΘΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ

1. Σύµφωνα µε τις αιτιολογικές σκέψεις 89, 90, 91 και 171 του ΓΚΠ∆: «(89) Η οδηγία 95/46/ΕΚ προέβλεπε γενική υποχρέωση γνωστοποίησης της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα στις εποπτικές αρχές. Παρότι η υποχρέωση αυτή συνεπάγεται διοικητικό και οικονοµικό φόρτο, δεν συνέβαλε σε όλες τις περιπτώσεις στη βελτίωση της προστασίας των δεδοµένων προσωπικού χαρακτήρα. Εποµένως, γενικές υποχρεώσεις γνωστοποίησης τέτοιου είδους, χωρίς διαφοροποιήσεις, θα πρέπει να καταργηθούν και να αντικατασταθούν µε αποτελεσµατικές διαδικασίες και µηχανισµούς που επικεντρώνονται σε εκείνους τους τύπους πράξεων επεξεργασίας που ενδέχεται να έχουν ως αποτέλεσµα υψηλό κίνδυνο για τα δικαιώµατα και τις ελευθερίες των φυσικών προσώπων λόγω της φύσης, του πεδίου εφαρµογής, του πλαισίου και των σκοπών τους. Αυτά τα είδη ενεργειών επεξεργασίας ενδέχεται να είναι εκείνα που, ιδίως, περιλαµβάνουν τη χρήση νέων τεχνολογιών ή που είναι νέου τύπου και όταν δεν έχει διενεργηθεί προηγουµένως εκτίµηση αντικτύπου όσον αφορά την προστασία των δεδοµένων από τον υπεύθυνο επεξεργασίας ή όταν καθίστανται αναγκαία λόγω του χρόνου που έχει παρέλθει από την αρχική επεξεργασία.»

«(90) Σε αυτές τις περιπτώσεις, ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, θα πρέπει να διενεργεί εκτίµηση αντικτύπου όσον αφορά την προστασία των δεδοµένων, ώστε να εκτιµήσει την ιδιαίτερη πιθανότητα και τη σοβαρότητα του υψηλού κινδύνου, λαµβάνοντας υπόψη τη φύση, την έκταση, το πλαίσιο και τους σκοπούς της επεξεργασίας και τις πηγές του κινδύνου. Η εν λόγω εκτίµηση αντικτύπου θα πρέπει να περιλαµβάνει, ιδίως, τα προβλεπόµενα µέτρα, εγγυήσεις και µηχανισµούς που µετριάζουν αυτόν τον κίνδυνο, διασφαλίζουν την προστασία των δεδοµένων προσωπικού χαρακτήρα και αποδεικνύουν τη συµµόρφωση προς τον παρόντα κανονισµό.»

«(91) Αυτό θα πρέπει να ισχύει ιδίως για πράξεις επεξεργασίας µεγάλης κλίµακας που στοχεύουν στην επεξεργασία σηµαντικής ποσότητας δεδοµένων προσωπικού χαρακτήρα σε περιφερειακό, εθνικό ή υπερεθνικό επίπεδο, οι οποίες θα µπορούσαν να επηρεάσουν µεγάλο αριθµό υποκειµένων των δεδοµένων και οι οποίες είναι πιθανόν να έχουν ως αποτέλεσµα υψηλό κίνδυνο, για παράδειγµα λόγω της ευαισθησίας τους, όταν σύµφωνα µε τα υφιστάµενα επίπεδα τεχνολογικής γνώσης χρησιµοποιείται µια νέα τεχνολογία σε ευρεία κλίµακα, καθώς και για άλλες πράξεις επεξεργασίας οι οποίες έχουν ως αποτέλεσµα υψηλό κίνδυνο για τα δικαιώµατα και τις ελευθερίες των υποκειµένων των δεδοµένων, ιδίως όταν οι πράξεις αυτές δυσχεραίνουν την άσκηση των δικαιωµάτων των υποκειµένων των δεδοµένων. Θα πρέπει επίσης να διενεργείται εκτίµηση αντικτύπου όσον αφορά την προστασία των δεδοµένων όταν τα δεδοµένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία ενόψει της λήψης αποφάσεων σε σχέση µε συγκεκριµένα φυσικά πρόσωπα έπειτα από συστηµατική και εκτενή αξιολόγηση προσωπικών πτυχών που αφορούν φυσικά πρόσωπα και βασίζονται στην κατάρτιση προφίλ βάσει των εν λόγω δεδοµένων ή έπειτα από την επεξεργασία συγκεκριµένων κατηγοριών δεδοµένων προσωπικού χαρακτήρα, βιοµετρικών δεδοµένων ή δεδοµένων που αφορούν ποινικές καταδίκες και αδικήµατα ή σχετικά µέτρα ασφάλειας. Εκτίµηση αντικτύπου σχετικά µε την προστασία των δεδοµένων απαιτείται επίσης για την παρακολούθηση δηµόσια προσπελάσιµων χώρων σε µεγάλη κλίµακα, ιδίως όταν χρησιµοποιούνται οπτικοηλεκτρονικές συσκευές ή για οποιεσδήποτε άλλες εργασίες όποτε η αρµόδια εποπτική αρχή θεωρεί ότι η επεξεργασία ενδέχεται να έχει ως αποτέλεσµα υψηλό κίνδυνο για τα δικαιώµατα και τις ελευθερίες των υποκειµένων των δεδοµένων, ιδίως επειδή εµποδίζει τα υποκείµενα των δεδοµένων να ασκήσουν κάποιο δικαίωµα ή να χρησιµοποιήσουν µια υπηρεσία ή σύµβαση ή επειδή πραγµατοποιούνται συστηµατικά σε µεγάλη κλίµακα. Η επεξεργασία δεδοµένων προσωπικού χαρακτήρα δεν θα πρέπει να θεωρείται ότι είναι µεγάλης κλίµακας, εάν η επεξεργασία αφορά δεδοµένα προσωπικού χαρακτήρα ασθενών ή πελατών ιδιώτη ιατρού, άλλου επαγγελµατία του τοµέα της υγείας ή δικηγόρου. Στις περιπτώσεις αυτές, η εκτίµηση αντικτύπου της προστασίας δεδοµένων δεν θα πρέπει να είναι υποχρεωτική.»

«(171) Η οδηγία 95/46/ΕΚ θα πρέπει να καταργηθεί µε τον παρόντα κανονισµό. Επεξεργασία που βρίσκεται ήδη σε εξέλιξη κατά την ηµεροµηνία εφαρµογής του παρόντος κανονισµού θα πρέπει να εναρµονιστεί µε τον παρόντα κανονισµό εντός δύο ετών από την έναρξη ισχύος του παρόντος κανονισµού. Όταν η επεξεργασία βασίζεται σε συγκατάθεση δυνάµει της οδηγίας 95/46/EΚ, δεν είναι αναγκαία νέα συγκατάθεση του υποκειµένου των δεδοµένων, εάν ο τρόπος µε τον οποίο έχει δοθεί η συγκατάθεση είναι σύµφωνος µε τους όρους του παρόντος κανονισµού, προκειµένου ο υπεύθυνος επεξεργασίας να συνεχίσει την επεξεργασία µετά την ηµεροµηνία εφαρµογής του παρόντος κανονισµού. Οι αποφάσεις της Επιτροπής και οι εγκρίσεις εποπτικών αρχών που εκδόθηκαν βάσει της οδηγίας 95/46/ΕΚ παραµένουν σε ισχύ µέχρι την τροποποίηση, αντικατάσταση ή κατάργησή τους.»

Σύµφωνα δε µε το άρθρο 9 παρ. 4 του ΓΚΠ∆ «Τα κράτη µέλη µπορούν να διατηρούν ή να θεσπίζουν περαιτέρω όρους, µεταξύ άλλων και περιορισµούς, όσον αφορά την επεξεργασία γενετικών δεδοµένων, βιοµετρικών δεδοµένων ή δεδοµένων που αφορούν την υγεία.»

Εξάλλου, µε το άρθρο 7 του ν. 2472/1997, προβλέπεται η έκδοση αδείας της Αρχής για την επεξεργασία των κατά το νόµο αυτό ευαίσθητων προσωπικών δεδοµένων καθώς και για την ίδρυση και λειτουργία σχετικού αρχείου.

2. Ο Γενικός Κανονισµός για την Προστασία ∆εδοµένων, που τίθεται σε εφαρµογή από τις 25.05.2018, καταργεί τη γενική υποχρέωση γνωστοποίησης της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα στις εποπτικές αρχές που προέβλεπε η Οδηγία 95/46/ΕΚ. Παρέχεται δε η εξουσιοδότηση στα κράτη-µέλη, στο πλαίσιο των ειδικότερων εθνικών ρυθµίσεων που επιτρέπεται να εισαχθούν για την εφαρµογή του ΓΚΠ∆, να διατηρήσουν ή να θεσπίσουν περαιτέρω όρους, µεταξύ άλλων και περιορισµούς, µόνον όσον αφορά την επεξεργασία γενετικών δεδοµένων, βιοµετρικών δεδοµένων ή δεδοµένων που αφορούν την υγεία.

Από τις ανωτέρω διατάξεις του ΓΚΠ∆ συνάγεται ότι παρέχεται στον εθνικό νοµοθέτη η εξουσία να θεσπίσει ή να διατηρήσει ήδη προβλεπόµενους περαιτέρω όρους για την επεξεργασία δεδοµένων που περιοριστικώς αναφέρονται στην παρ. 4 του άρθρου 9 αυτού, στους όρους δε αυτούς µπορεί να περιλαµβάνεται και η υποχρέωση λήψης Λ. Κηφισίας 1-3, 11523 Αθήνα, Τηλ: 210 6475600, Fax: 210 6475628, [email protected] / www.dpa.gr 5 αδείας από την Αρχή για την επεξεργασία των δεδοµένων αυτών. Η ευχέρεια, όµως, αυτή, τόσο για τη θέσπιση νέων όσο και για τη διατήρηση υφισταµένων όρων, πρέπει να ασκηθεί στο πλαίσιο του εισαγόµενου µε τον ΓΚΠ∆ συστήµατος, σύµφωνα µε το οποίο δεν προβλέπεται αδειοδότηση για την παραπάνω επεξεργασία. Κατ’ ακολουθία τούτων, και εφόσον δεν έχει εισέτι εκδοθεί ο εθνικός νόµος, ο οποίος κατά τα ανωτέρω θα µπορούσε να προβλέψει, µεταξύ άλλων, την έκδοση αδείας ως προϋπόθεση της επεξεργασίας των αναφερόµενων στο άρθρο 9 παρ. 4 του ΓΚΠ∆ κατηγοριών δεδοµένων, οι διατάξεις του άρθρου 7 του ν. 2472/1997, κατά το µέρος που προβλέπουν άδεια της Αρχής δεν έχουν πλέον εφαρµογή από 25.05.2018 ως αντίθετες προς τον ΓΚΠ∆, οποίος έχει άµεση εφαρµογή, δεδοµένου, µάλιστα, ότι οι κατηγορίες δεδοµένων, τις οποίες αφορά το άρθρο αυτό του εθνικού νόµου, δεν ταυτίζονται µε εκείνες που αναφέρονται στο άρθρο 9 παρ. 4 του ΓΚΠ∆. Συνεπώς, η Αρχή δεν έχει πλέον αρµοδιότητα χορηγήσεως αδειών για την επεξεργασία και για την ίδρυση και λειτουργία αρχείου µε βάση το άρθρο 7 του ν. 2472/1997.

Τούτο ισχύει και για τις αιτήσεις οι οποίες είναι εκκρεµείς στην Αρχή κατά την ανωτέρω ηµεροµηνία, η αποδοχή των οποίων θα ήταν, άλλωστε, αλυσιτελής, αφού η χορήγηση αδείας της Αρχής δεν αποτελεί προϋπόθεση της επεξεργασίας.

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

Η Αρχή, αποφαίνεται οµοφώνως, ότι

1. ∆εν έχει πλέον αρµοδιότητα χορήγησης των αδειών του άρθρου 7 του ν. 2472/1997.

2. Τυχόν εκκρεµείς αιτήσεις δεν θα εξετασθούν και θα τεθούν στο αρχείο.

Πηγή: ΑΠΔΠΧ