Γράφει ο Χρήστος Ηλ. Τσίχλης*

Η επεξεργασία προσωπικών δεδομένων επιτρέπεται μόνο όταν το άτομο έχει δώσει τη συγκατάθεσή του. Κατ΄ εξαίρεση επιτρέπεται η επεξεργασία και χωρίς συγκατάθεση, όταν συντρέχουν οι προϋποθέσεις που ορίζει ο Νόμος 2472/1997 στο άρθρο 5.Ο Ν. 2472/1997 αφορά κάθε φυσικό πρόσωπο που βρίσκεται εν ζωή. Τα νομικά πρόσωπα δεν έχουν προσωπικά δεδομένα. Στην Ελλάδα ισχύει ο Νόμος 2472/1997 για την προστασία των προσωπικών δεδομένων, ο οποίος εποπτεύεται από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Επίσης, ισχύει ο Νόμος 3471/2006 για την προστασία των προσωπικών δεδομένων στις ηλεκτρονικές επικοινωνίες. Επιπλέον ισχύουν οι νόμοι 3471/2006,3783/2009,3917/2011,4070/2012 και οι κανονιστικές πράξεις 408/1998,1/1999, 121/2001 ,122/2001 ,24/2004, 25/2004, 26/2004, 1367/2017. Σε κάθε περίπτωση παραβίασης προσωπικών δεδομένων ο πολίτης δικαιούται να προσφύγει στην ανεξάρτητη Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Προσωπικά δεδομένα είναι κάθε πληροφορία που αναφέρεται και προσδιορίζει ένα άτομο, όπως:
-στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση κ.λπ.)
-φυσικά χαρακτηριστικά
-εκπαίδευση
-εργασιακές σχέσεις
-οικονομική κατάσταση
-ηλεκτρονικά ίχνη
-ενδιαφέροντα, δραστηριότητες, συνήθειες.

Ορισμένες κατηγορίες προσωπικών δεδομένων, που αναφέρονται στον πυρήνα της ιδιωτικής μας ζωής, χαρακτηρίζονται από το Νόμο ως ευαίσθητα και απολαύουν μεγαλύτερης προστασίας. Τα ευαίσθητα δεδομένα αναφέρονται αποκλειστικά σε:
-φυλετική ή εθνοτική προέλευση
-πολιτικά φρονήματα
-θρησκευτικές ή φιλοσοφικές πεποιθήσεις
-συμμετοχή σε συνδικαλιστική οργάνωση
-υγεία και κοινωνική πρόνοια
-ερωτική ζωή
-ποινικές διώξεις και καταδίκες
-συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων.

Επεξεργασία προσωπικών δεδομένων :
Είναι κάθε εργασία που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα, όπως: συλλογή, καταχώριση, οργάνωση, αποθήκευση, τροποποίηση, εξαγωγή, χρήση, διαβίβαση, διάδοση, συσχέτιση, διασύνδεση, δέσμευση, διαγραφή, καταστροφή. Η επεξεργασία προσωπικών δεδομένων είναι αναγκαία για την παροχή υπηρεσιών από τις δημόσιες υπηρεσίες, τις τράπεζες, τα νοσοκομεία, τα σχολεία, τα καταστήματα, τους τηλεπικοινωνιακούς φορείς κ.λπ., καθώς και για τη άσκηση πολλών άλλων δραστηριοτήτων που διευκολύνουν την καθημερινή μας ζωή.

Εξαιρέσεις: Κατ’ εξαίρεση επεξεργασία προσωπικών δεδομένων επιτρέπεται και χωρίς τη συγκατάθεση, όταν:
α) Η επεξεργασία είναι αναγκαία για την εκτέλεση σύμβασης, στην οποία συμβαλλόμενο μέρος είναι υποκείμενο δεδομένων ή για τη λήψη μέτρων κατόπιν αιτήσεως του υποκειμένου κατά το προσυμβατικό στάδιο.
β) Η επεξεργασία είναι αναγκαία για την εκπλήρωση υποχρεώσεως του υπεύθυνου επεξεργασίας, η οποία επιβάλλεται από το νόμο.
γ) Η επεξεργασία είναι αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου, εάν αυτό τελεί σε φυσική ή νομική αδυναμία να δώσει τη συγκατάθεσή του.
δ) Η επεξεργασία είναι αναγκαία για την εκτέλεση έργου δημόσιου συμφέροντος ή έργου που εμπίπτει στην άσκηση δημόσιας εξουσίας και εκτελείται από δημόσια αρχή ή έχει ανατεθεί από αυτή είτε στον υπεύθυνο επεξεργασίας είτε σε τρίτο, στον οποίο γνωστοποιούνται τα δεδομένα.
ε) Η επεξεργασία είναι απολύτως αναγκαία για την ικανοποίηση του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα και υπό τον όρο ότι τούτο υπερέχει προφανώς των δικαιωμάτων και συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα και δεν θίγονται οι θεμελιώδεις ελευθερίες αυτών.

Κάθε υπεύθυνος επεξεργασίας οφείλει να γνωστοποιεί στην Αρχή Προστασίας Δεδομένων προσωπικού χαρακτήρα, την επεξεργασία προσωπικών δεδομένων που πραγματοποιεί, εκτός αν εμπίπτει σε μία από τις περιπτώσεις του αρ. 7Α του Ν. 2472/1997. Η Αρχή καταχωρεί τη γνωστοποίηση σε ειδικό μητρώο.

Όταν η επεξεργασία αφορά ευαίσθητα δεδομένα, ο υπεύθυνος επεξεργασίας μπορεί να την πραγματοποιήσει μόνο μετά από άδεια της Αρχής, η οποία χορηγείται με ειδικούς όρους και προϋποθέσεις. Άδεια επίσης μπορεί να απαιτείται για τη διαβίβαση δεδομένων σε χώρα εκτός Ε.Ε., καθώς και για τη διασύνδεση αρχείων.

Στην Αρχή γνωστοποιείται μόνο η επεξεργασία αρχείων με προσωπικά δεδομένα. Η Αρχή δεν γνωρίζει το περιεχόμενο των αρχείων αλλά μόνο τα κύρια χαρακτηριστικά τους καθώς και τον υπεύθυνο επεξεργασίας των αρχείων.

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απόρρητη. Διεξάγεται αποκλειστικά και μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και μόνον κατ’ εντολή του.

Για τη διεξαγωγή της επεξεργασίας ο υπεύθυνος επεξεργασίας οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου.

Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας. Με την επιφύλαξη άλλων διατάξεων, η Αρχή παρέχει οδηγίες ή εκδίδει κανονιστικές πράξεις σύμφωνα με το άρθρο 19 παρ. 1 ι' για τη ρύθμιση θεμάτων σχετικά με τον βαθμό ασφαλείας των δεδομένων και των υπολογιστικών και επικοινωνιακών υποδομών, τα μέτρα ασφάλειας που είναι αναγκαίο να λαμβάνονται για κάθε κατηγορία και επεξεργασία δεδομένων, καθώς και για τη χρήση τεχνολογιών ενίσχυσης της ιδιωτικότητας.

Αν η επεξεργασία διεξάγεται για λογαριασμό του υπεύθυνου από πρόσωπο μη εξαρτώμενο από αυτόν, η σχετική ανάθεση γίνεται υποχρεωτικά εγγράφως. Η ανάθεση προβλέπει υποχρεωτικά ότι ο ενεργών την επεξεργασία την διεξάγει μόνο κατ’ εντολή του υπεύθυνου και ότι οι λοιπές υποχρεώσεις του παρόντος άρθρου βαρύνουν αναλόγως και αυτόν.

Στην περίπτωση που θεωρείτε ότι θίγεται κατά οποιονδήποτε τρόπο η προστασία των προσωπικών σας δεδομένων, μπορείτε να προσφύγετε στην Αρχή Προστασίας Δεδομένων.

Σε περίπτωση άσκησης του δικαιώματος πρόσβασης ή αντίρρησης θα πρέπει πρώτα να απευθυνθείτε στον υπεύθυνο επεξεργασίας και μόνο εφόσον αυτός δεν ικανοποιήσει το αίτημα σας να προσφύγετε στην Αρχή.
Μπορείτε επίσης να υποβάλλετε στην Αρχή ερώτημα σχετικά με ζητήματα προστασίας προσωπικών δεδομένων που σας απασχολούν.

Η Αρχή μπορεί να θέτει στο αρχείο καταγγελίες ή ερωτήματα που κρίνονται ως αόριστα, αβάσιμα ή υποβάλλονται καταχρηστικά ή ανώνυμα.

Μπορείτε να κατεβάσετε το ειδικό έντυπο προσφυγής/καταγγελίας ή το ειδικό έντυπο ερωτήματος από το site της Αρχής, να το συμπληρώσετε και να το αποστείλετε στην Αρχή ταχυδρομικώς, με φαξ ή ηλεκτρονικό ταχυδρομείο ή αυτοπροσώπως στα γραφεία της (ώρες υποδοχής κοινού 09:00 – 13:00 -Ταχυδρομική Διεύθυνση:Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, Γραφεία: Κηφισίας 1-3, Τ.Κ. 115 23, Αθήνα,Τηλεφωνικό Κέντρο:210 6475600, Fax: 210 6475628, Ηλεκτρονικό Ταχυδρομείο: [email protected]).
Κάθε προσφυγή/καταγγελία ή ερώτημα δημιουργούν νέα υπόθεση που χρεώνεται σε συγκεκριμένο εισηγητή της Αρχής.

Η Αρχή σας ενημερώνει με έγγραφο της για τον μοναδικό κωδικό της υπόθεσης σας (στον οποίο πρέπει να αναφέρεστε κάθε φορά που έρχεστε σε επικοινωνία μαζί μας), το μοναδικό σας PIN για χρήση του τηλεφωνικού κέντρου της Αρχής, καθώς και τον εισηγητή της υπόθεσης σας.

Η υπόθεση εξετάζεται από τον εισηγητή και αν κριθεί απαραίτητο συζητείται στο Συμβούλιο της Αρχής, οπότε και εκδίδεται σχετική Απόφαση. Η απάντηση ή Απόφαση της Αρχής αποστέλλεται σε κάθε περίπτωση στον καταγγέλλοντα.

Καθόλη τη διάρκεια εξέτασης της υπόθεσης, μπορείτε να ενημερώνεστε για την εξέλιξη της υπόθεσης σας μέσω του τηλεφωνικού κέντρου της Αρχής με χρήση του PIN και του κωδικού υπόθεσης σας.

Η Αρχή μπορεί να επιβάλλει μόνο διοικητικές κυρώσεις στον καταγγελλόμενο, εφόσον κρίνει ότι αυτό απαιτείται. Μπορεί επίσης να παραπέμψει την υπόθεση στον αρμόδιο Εισαγγελέα.
Οι αποφάσεις της Αρχής προσβάλλονται στο Συμβούλιο της Επικρατείας.
Για επιδίκαση αποζημιώσεων, ο καταγγέλλων θα πρέπει να προσφύγει στα αρμόδια δικαστήρια.

Η Αρχή Προστασίας Δεδομένων προσωπικού χαρακτήρα επιβάλλει στους υπεύθυνους επεξεργασίας ή στους τυχόν εκπροσώπους τους τις ακόλουθες διοικητικές κυρώσεις, για παράβαση των υποχρεώσεών τους που απορρέουν από τον παρόντα νόμο και από κάθε άλλη ρύθμιση που αφορά την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα :
α) Προειδοποίηση, με αποκλειστική προθεσμία για άρση της παράβασης.
β) Πρόστιμο ποσού από τριακόσιες χιλιάδες (300.000) έως πενήντα εκατομμύρια (50.000.000) δραχμές.
γ) Προσωρινή ανάκληση άδειας.
δ) Οριστική ανάκληση άδειας.
ε) Καταστροφή αρχείου ή διακοπή επεξεργασίας και καταστροφή, επιστροφή ή κλείδωμα (δέσμευση) των σχετικών δεδομένων.**

Οι υπό στοιχεία β, γ, δ και ε διοικητικές κυρώσεις της προηγούμενης παραγράφου επιβάλλονται πάντοτε ύστερα από ακρόαση του υπεύθυνου επεξεργασίας ή του εκπροσώπου του. Είναι ανάλογες προς τη βαρύτητα της παράβασης που καταλογίζεται. Οι υπό στοιχεία γ, δ και ε διοικητικές κυρώσεις επιβάλλονται σε περιπτώσεις ιδιαίτερα σοβαρής ή καθ’ υποτροπή παράβασης. Πρόστιμο μπορεί να επιβληθεί σωρευτικά και με τις υπό στοιχεία γ, δ και ε κυρώσεις. Εάν επιβληθεί η κύρωση της καταστροφής αρχείου, για την καταστροφή ευθύνεται ο υπεύθυνος επεξεργασίας αρχείου, στον οποίο μπορεί να επιβληθεί και πρόστιμο για μη συμμόρφωση.
Τα ποσά των προστίμων μπορεί να αναπροσαρμόζονται με απόφαση του Υπουργού Δικαιοσύνης, ύστερα από πρόταση της Αρχής.

Οι πράξεις της Αρχής με τις οποίες επιβάλλονται πρόστιμα συνιστούν εκτελεστό τίτλο και επιδίδονται στον υπεύθυνο επεξεργασίας ή τον τυχόν εκπρόσωπό του. Η είσπραξη των προστίμων γίνεται κατά τις διατάξεις του Κώδικα Εισπράξεως Δημοσίων Εσόδων (ΚΕΔΕ).
11. Για τα εγκλήματα της παρ. 5 του παρόντος άρθρου καθώς επίσης και σε κάθε άλλη περίπτωση όπου προηγήθηκε διοικητικός έλεγχος από την Αρχή, ο Πρόεδρος αυτής ανακοινώνει γραπτώς στον αρμόδιο εισαγγελέα οτιδήποτε αποτέλεσε αντικείμενο έρευνας από την Αρχή και διαβιβάζει σε αυτόν όλα τα στοιχεία και τις αποδείξεις.
12. Η προανάκριση για τα εγκλήματα του παρόντος άρθρου περατώνεται μέσα σε δύο (2) το πολύ μήνες από την άσκηση της ποινικής δίωξης και εφόσον υπάρχουν αποχρώσες ενδείξεις για την παραπομπή του κατηγορουμένου σε δίκη, η δικάσιμος ορίζεται σε ημέρα που δεν απέχει περισσότερο από τρεις (3) μήνες από το πέρας της προανάκρισης ή αν η παραπομπή έγινε με βούλευμα δύο (2) μήνες από τότε που αυτό έγινε αμετάκλητο. Σε περίπτωση εισαγωγής της υπόθεσης με απευθείας κλήση του κατηγορουμένου στο ακροατήριο δεν επιτρέπεται η προσφυγή κατά του κλητήριου θεσπίσματος.
13. Δεν επιτρέπεται αναβολή της δίκης για τα εγκλήματα του παρόντος άρθρου παρά μόνον μία φορά για εξαιρετικά σοβαρό λόγο. Στην περίπτωση αυτή ορίζεται ρητή δικάσιμος, που δεν απέχει περισσότερο από δύο (2) μήνες και η υπόθεση εκδικάζεται κατ’ εξαίρεση πρώτη.
14. Τα κακουργήματα που προβλέπονται από τον παρόντα νόμο υπάγονται στην αρμοδιότητα του δικαστηρίου των εφετών.

Η Λίστα του άρθρου 13 της Αρχής (ή αλλιώς Μητρώο του αρ. 13) περιλαμβάνει τα φυσικά πρόσωπα που έχουν δηλώσει ότι δεν επιθυμούν να λαμβάνουν επικοινωνία μέσω ταχυδρομείου για θέματα που αφορούν την προώθηση/διαφήμιση αγαθών. Οι υπεύθυνοι επεξεργασίας υποχρεούνται να συμβουλεύονται το μητρώο και να διαγράφουν από τους καταλόγους τους όσους είναι εγγεγραμμένοι σε αυτό.

Οι υπηρεσίες που είναι διαθέσιμες ηλεκτρονικά προς τους πολίτες είναι οι ακόλουθες:
Υποβολή υποθέσεων προς την Αρχή Προστασίας Δεδομένων προσωπικού χαρακτήρα και σχετική επικοινωνία:
-Υποβολή Καταγγελίας/Προσφυγής
-Υποβολή Ερωτήματος/Αίτησης για γνωμοδότηση/Αίτησης χορήγησης δεδομένων
-Αίτηση Εγγραφής στη Λίστα του άρθρου 13
-Αίτηση Χορήγησης της Λίστας του άρθρου 13
-Υποβολή εγγράφου (που σχετίζεται με υποθέσεις σας)
-Ενημέρωση για εξέλιξη των υποθέσεων σας (μέσω της διαδικτυακής πύλης και μέσω του τηλεφωνικού κέντρου)

Διαχείριση των στοιχείων σας και των προτιμήσεων σας στη διαδικτυακή πύλη:
-Αλλαγή προφίλ
-Θεματικές ενότητες

Συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης και των Ηνωμένων Πολιτειών της Αμερικής σχετικά με τη διαβίβαση δεδομένων χρηματοπιστωτικών μηνυμάτων (συμφωνία TFTP):

To Πρόγραμμα Παρακολούθησης της Χρηματοδότησης της Τρομοκρατίας (Terrorist Finance Tracking Programme - TFTP) δημιουργήθηκε από το Υπουργείο Οικονομικών των ΗΠΑ λίγο μετά τις τρομοκρατικές επιθέσεις της 11ης Σεπτεμβρίου 2001 και έχει βοηθήσει σημαντικά τις υπηρεσίες πληροφοριών της εν λόγω χώρας. Η νέα συμφωνία Ευρωπαϊκής Ένωσης - Ηνωμένων Πολιτειών της Αμερικής σχετικά με τη διαβίβαση δεδομένων χρηματοπιστωτικών μηνυμάτων (συμφωνία TFTP) με σκοπό την πρόληψη, διερεύνηση και δίωξη της τρομοκρατίας ή της χρηματοδότησης της τρομοκρατίας, που τέθηκε σε ισχύ την 1η Αυγούστου 2010, περιέχει σημαντικές βελτιώσεις σε σχέση με την ενδιάμεση συμφωνία, ιδίως στον τομέα της προστασίας των θεμελιωδών δικαιωμάτων των προσώπων.

Ειδικότερα η συμφωνία ενισχύει σημαντικά την προστασία των προσωπικών δεδομένων εγγυώμενη τη διαφάνεια της επεξεργασίας, καθώς επίσης και τα δικαιώματα πρόσβασης, διόρθωσης και διαγραφής των ανακριβών δεδομένων. Συγκεκριμένα το άρθρο 15 της συμφωνίας προβλέπει τη δυνατότητα του υποκειμένου των δεδομένων να ζητήσει πρόσβαση στα δεδομένα του που έχουν τύχει επεξεργασίας στο πλαίσιο της συμφωνίας, ενώ το άρθρο 16 προβλέπει τη δυνατότητα του υποκειμένου να ζητήσει τη διόρθωση, τη διαγραφή ή το κλείδωμα των δεδομένων προσωπικού χαρακτήρα που είναι ανακριβή ή που υποβάλλονται σε επεξεργασία κατά παράβαση της συμφωνίας. Τα ανωτέρω δικαιώματα ασκούνται ενώπιον του Υπουργείο Οικονομικών των ΗΠΑ μέσω της εθνικής Αρχής Προστασίας Δεδομένων.

Το πρόσωπο που επιθυμεί να ασκήσει ένα από τα ανωτέρω δικαιώματα παρακαλείται να συμβουλευθεί τον Οδηγό Άσκησης των Δικαιωμάτων και να συμπληρώσει τα σχετικά έντυπα στην αγγλική γλώσσα. Επισημαίνεται ότι τα εν λόγω έντυπα παρατίθενται και στα ελληνικά για δική σας ενημέρωση.

Η απόδειξη της ταυτότητας του αιτούντος αποδεικνύεται με την υποβολή αντιγράφου ή την προσκόμιση του πρωτοτύπου των παρακάτω εγγράφων:
α) δελτίου αστυνομικής ταυτότητας,
β) διαβατηρίου,
γ) άδειας οδήγησης.

*Δικηγόρος Αθηνών