Του Ρόδου Ροδοσθένους
Απώτερος σκοπός της συγγραφής του άρθρου αυτού είναι η εκτενείς ανάλυση ορισμένων προβληματισμών που πλήττουν την σύγχρονη κοινωνία, και όπως κάθε ευυπόληπτος πολίτης της δημοκρατίας θα ήθελα να μοιραστώ την άποψη μου και της ανησυχίες μου με την κοινή γνώμη.
Τι εννοούμε με τον όρο προστασία προσωπικών δεδομένων. Πως καθορίζονται τα όρια προσωπικών δεδομένων του κάθε πολίτη. Ποιά τα καθήκοντα του υπεύθυνου προστασίας προσωπικών δεδομένων ποιες οι νομικές ευθύνες του και πότε υπόκειται σε κυρώσεις.
Η έννοια κοινωνία στην ειδική μορφή της συσχετίζεται με ιδιαίτερες δομές που υπόκεινται σε διαρκή μεταβολή. Η ραγδαία ανάπτυξη της τεχνολογίας και των μέσων επικοινωνίας συνέβαλαν ώστε να επηρεαστεί μια πληθώρα τομέων στην σύγχρονη ζωή του ανθρώπου. Το απόρρητο είναι μια από τις σημαντικότερες έννοιες της εποχής μας αλλά ταυτόχρονα αποτελεί και ένα από τα πιο αόριστα στοιχεία που συνθέτουν μια ιδιαιτέρως σημαντική κατάσταση. Η ταχέως μεταβαλλόμενη τεχνολογία καθιστά όλο και πιο διαθέσιμες πληροφορίες που οι ακτιβιστές και οι υπεύθυνοι για την χάραξη πολιτικής προσπαθούν να καθορίσουν την ιδιωτικότητα ενω οι πλείστοι κατανοούν ότι υπάρχει μια δυσκολία στην οριοθέτηση των αλληλοσυμπληρούμενων εννοιών, αφού κανένας δεν μπορεί να λειτουργήσει γιατί υπάρχουν πολλαπλές μορφές ιδιωτικού απορρήτου που σχετίζονται με παραπλήσιες ομοιότητες.
Στο Σύνταγμα της Κύπρου είναι κατοχυρωμένα τα θεμελιώδη άρθρα της ιδιωτικής ζωής και επικοινωνίας ,άρθρο 15 και άρθρο 17 αντίστοιχα τα οποία προστατεύονται με ενιαίο τρόπο από το άρθρο 8 της σύμβασης. Παρ όλα αυτά το δικαίωμα αυτό δεν είναι απόλυτο.
Ο κανονισμός 2016/679 του Ευρωπαϊκού Κοινοβουλίου σε συνάρτηση με τον τροποποιημένο Νόμο περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμος του 2018 (125(I)/2018) έρχονται να δώσουν μια λεπτομερέστερη ανάλυση των αιωρούμενων ερωτημάτων δίνοντας ορισμένες πιο ξεκάθαρες απαντήσεις και ορισμούς. «Δεδομένα προσωπικού χαρακτήρα» ορίζονται ως κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»), το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου.
Ορισμός υπεύθυνου προστασίας δεδομένων
14.-(1) Ο υπεύθυνος προστασίας δεδομένων ορίζεται, τηρουμένων των διατάξεων του άρθρου 37 του Κανονισμού.
(2) Ο Επίτροπος δύναται να καταρτίζει και να δημοσιοποιεί κατάλογο πράξεων επεξεργασίας και περιπτώσεων στις οποίες επιβάλλεται ο ορισμός υπεύθυνου προστασίας δεδομένων, πρόσθετα από τις προβλεπόμενες στην παράγραφο (1) του άρθρου 37 του Κανονισμού πράξεις.
(3) Ο Επίτροπος δύναται να δημοσιοποιεί στην ιστοσελίδα του γραφείου του, κατάλογο υπεύθυνων επεξεργασίας και εκτελούντων την επεξεργασία που έχουν ορίσει υπεύθυνο προστασίας δεδομένων και τα στοιχεία επαφής τους, εφόσον ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία επιθυμούν να περιληφθούν στον κατάλογο αυτό.
7) «υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,
12) «παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία, Υποχρέωση του υπεύθυνου προστασίας δεδομένων για τήρηση του απορρήτου ή της εμπιστευτικότητας
15.-(1) Τηρουμένων των διατάξεων οποιουδήποτε νόμου ρυθμίζει θέματα επαγγελματικού απορρήτου ή εμπιστευτικότητας, κατά την εκτέλεση των καθηκόντων του ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την υποχρέωση τήρησης του απορρήτου ή της εμπιστευτικότητας. (2) Η τήρηση του απορρήτου ή της εμπιστευτικότητας από τον υπεύθυνο προστασίας δεδομένων, δεν επηρεάζει τις προβλεπόμενες στην παράγραφο (1) του άρθρου 58 του Κανονισμού και στις παραγράφους (α) και (β) του άρθρου 25 του παρόντος Νόμου εξουσίες ελέγχου του Επιτρόπου. Ο ΥΠΔ βοηθά τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την εργασία σε όλα τα ζητήματα που σχετίζονται με την προστασία των δεδομένων προσωπικού χαρακτήρα. Πιο συγκεκριμένα, ο ΥΠΔ οφείλει: να ενημερώνει και να συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, καθώς και το προσωπικό που απασχολούν, σχετικά με τις υποχρεώσεις τους σύμφωνα με τη νομοθεσία περί προστασίας δεδομένων να παρακολουθεί τη συμμόρφωση του οργανισμού με το σύνολο της νομοθεσίας που αφορά την προστασία δεδομένων, επίσης κατά τη διάρκεια ελέγχων, δραστηριοτήτων ενημέρωσης και εκπαίδευσης του προσωπικού που συμμετέχει σε πράξεις επεξεργασίας να παρέχει συμβουλές όταν έχει πραγματοποιηθεί ΕΑΠΔ και να παρακολουθεί τα αποτελέσματά της να λειτουργεί ως σημείο επαφής για αιτήματα φυσικών προσώπων που αφορούν την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα και την άσκηση των δικαιωμάτων τους· να συνεργάζεται με ΑΠΔ και να λειτουργεί ως σημείο επαφής για ΑΠΔ σχετικά με ζητήματα που αφορούν την επεξεργασία. Ο ΥΠΔ πρέπει να εμπλέκεται από τον οργανισμό έγκαιρα. Ο ΥΠΔ δεν πρέπει να λαμβάνει οδηγίες από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για την άσκηση των καθηκόντων του. Ο ΥΠΔ αναφέρεται απευθείας στο υψηλότερο επίπεδο διοίκησης του οργανισμού.
Αδικήματα και ποινές
33.-(1) Διαπράττει ποινικό αδίκημα-
(α) Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ο οποίος δεν τηρεί το αρχείο δραστηριοτήτων που προβλέπεται το άρθρο 30 του Κανονισμού ή δεν επικαιροποιεί το αρχείο αυτό ή αρνείται να θέσει το αρχείο στον Επίτροπο κατόπιν αιτήματός του ή παρέχει στον Επίτροπο ψευδείς, ανακριβείς, ελλιπείς ή παραπλανητικές πληροφορίες σχετικά με το αρχείο αυτό,
(β) υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία, ο οποίος δεν συνεργάζεται με τον Επίτροπο, σύμφωνα με τις διατάξεις του άρθρου 31 του Κανονισμού,
(γ) υπεύθυνος επεξεργασίας ο οποίος δεν γνωστοποιεί στον Επίτροπο παραβίαση δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τις διατάξεις της παραγράφου (1) του άρθρου 33 του Κανονισμού,
(δ) εκτελών την επεξεργασία ο οποίος δεν ενημερώνει αμελλητί τον υπεύθυνο επεξεργασίας για παραβίαση δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τις διατάξεις της παραγράφου (2) του άρθρου 33 του Κανονισμού,
(ε) υπεύθυνος επεξεργασίας ο οποίος δεν ανακοινώνει παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, σύμφωνα με τις διατάξεις του άρθρου 34 του Κανονισμού,
(στ) υπεύθυνος επεξεργασίας ο οποίος δεν διενεργεί εκτίμηση αντικτύπου, κατά παράβαση των διατάξεων της παραγράφου (1) του άρθρου 35 του Κανονισμού ή του άρθρου 13 του παρόντος Νόμου,
(ζ) υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ο οποίος εμποδίζει τον υπεύθυνο προστασίας δεδομένων στην εκτέλεση των καθηκόντων του, ιδιαίτερα αυτών που αφορούν τη συνεργασία με τον Επίτροπο,
(η) φορέας πιστοποίησης που χορηγεί ή δεν ανακαλεί πιστοποίηση, σύμφωνα με τις διατάξεις του άρθρου 42 του Κανονισμού,
(θ) υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ο οποίος διαβιβάζει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό κατά παράβαση των διατάξεων του Κεφαλαίου V του Κανονισμού,
(ι) υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ο οποίος διαβιβάζει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή σε διεθνή οργανισμό κατά παράβαση των περιορισμών που επέβαλε ο Επίτροπος δυνάμει διατάξεων των άρθρων 17 ή 18 του παρόντος Νόμου,
(ια) πρόσωπο που χωρίς δικαίωμα επεμβαίνει με οποιονδήποτε τρόπο σε σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα ή λαμβάνει γνώση των δεδομένων αυτών ή τα αφαιρεί, αλλοιώνει, βλάπτει, καταστρέφει, επεξεργάζεται, εκμεταλλεύεται με οποιονδήποτε τρόπο, μεταδίδει, ανακοινώνει, τα καθιστά προσιτά σε μη δικαιούμενα πρόσωπα ή επιτρέπει στα πρόσωπα αυτά να λάβουν γνώση των εν λόγω δεδομένων, για σκοπούς επικερδείς ή μη,
(ιβ) υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία, ο οποίος εμποδίζει ή παρακωλύει την άσκηση των εξουσιών του Επιτρόπου που προβλέπονται στο άρθρο 58 του Κανονισμού και στο άρθρο 17 του παρόντος Νόμου,
(ιγ) υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία, ο οποίος δεν συμμορφώνεται με τις διατάξεις του Κανονισμού και του παρόντος Νόμου κατά τη διενέργεια πράξης επεξεργασίας η οποία δεν συνιστά αδίκημα σύμφωνα με τις διατάξεις του παρόντος άρθρου,
(ιδ) δημόσια αρχή ή δημόσιος φορέας που προβαίνει στο συνδυασμό συστημάτων αρχειοθέτησης μεγάλης κλίμακας κατά παράβαση των διατάξεων του άρθρου 10 του παρόντος Νόμου.
(2) Σε περίπτωση που πρόσωπο καταδικάζεται για τη διάπραξη οποιουδήποτε από τα αδικήματα που αναφέρονται στις παραγράφους (α) έως (ιβ) του εδαφίου
(1) υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα τρία (3) έτη ή σε χρηματική ποινή που δεν υπερβαίνει τις τριάντα χιλιάδες ευρώ (€30.000) ή και στις δύο αυτές ποινές.
(3) Σε περίπτωση που πρόσωπο καταδικάζεται για τη διάπραξη οποιουδήποτε από τα αδικήματα που αναφέρονται στις παραγράφους (ιγ) και (ιδ) του εδαφίου
(1), υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει το ένα (1) έτος ή σε χρηματική ποινή που δεν υπερβαίνει τις δέκα χιλιάδες ευρώ (€10.000) ή και στις δύο αυτές ποινές.
(4) Σε περίπτωση που πρόσωπο καταδικάζεται για τη διάπραξη οποιουδήποτε από τα αδικήματα που αναφέρονται στις παραγράφους (ζ) έως (ι) του εδάφιου
(1), το οποίο προσβάλλει τα συμφέροντα της Δημοκρατίας ή προκαλεί κίνδυνο για την απρόσκοπτη λειτουργία της Κυβέρνησης ή απειλεί την εθνική ασφάλεια, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα πέντε (5) έτη ή σε χρηματική ποινή που δεν υπερβαίνει τις πενήντα χιλιάδες ευρώ (€50.000) ή και στις δύο αυτές ποινές.
(5) Για σκοπούς εφαρμογής των διατάξεων του παρόντος άρθρου-
(α) Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι επιχείρηση ή όμιλος επιχειρήσεων, νομική ευθύνη φέρει το πρόσωπο που ορίζεται ως το ανώτατο εκτελεστικό όργανο ή σώμα της επιχείρησης ή ομίλου επιχειρήσεων.
(β) εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή ή δημόσιος φορέας, νομική ευθύνη φέρει ο επικεφαλής ή το πρόσωπο που ασκεί ουσιαστική διοίκηση της δημόσιας αρχής ή του δημόσιου φορέα.
125(I)/2018 Διοικητικά πρόστιμα
32.-(1) Τηρουμένων των διατάξεων του άρθρου 83 του Κανονισμού, ο Επίτροπος επιβάλλει διοικητικό πρόστιμο.
(2) Σε περίπτωση παράλειψης πληρωμής του αναφερόμενου στο εδάφιο (1) διοικητικού προστίμου, αυτό εισπράττεται ως αστικό χρέος οφειλόμενο στη Δημοκρατία. (3) Διοικητικό πρόστιμο που επιβάλλεται σε δημόσια αρχή ή δημόσιο φορέα και αφορά σε δραστηριότητες μη κερδοσκοπικής φύσεως, δεν δύναται να υπερβαίνει τις διακόσιες χιλιάδες ευρώ (€200.000).
Η έννοια της ιδιωτικής ζωής έχει αλλάξει οριστικά. Η κοινωνία έγινε παγκοσμιοποιημένη και πολυσύνθετη. Όσο λοιπόν και να υπάρχουν τα κατάλληλα νομικά πλαίσια που να μπορούν να πλαισιώνουν τις περιπτώσεις που ανακύπτουν κατά καιρούς, εάν δεν υπάρχουν δομές για να εφαρμοστούν οι κατάλληλες ποινές που αναλογούν σ’ αυτούς που παρανομούν τότε οι νόμοι έχουν μειωμένη σημασία με αποτέλεσμα να εκμηδενίζονται τα δικαιώματα του ανθρώπου ακόμα και όταν υπάρχουν αυστηροί νόμοι.
Βασική πρόταση του παρόντος άρθρου είναι η σύγγριση η μελέτη και η αξιολόγηση των ετησίων εκθέσεων της Αρχής προστασίας προσωπικών δεδομένων προκειμένου να αναλυθούν σε έκταση οι περιπτώσεις παραβιάσεων ώστε να τιμωρηθούν οι δρώντες. Τέτοιες εκθέσεις είναι σημαντικό να αναλύονται συγκριτικά και να απορρέουν διαχρονικά αποτελέσματα σε σχέση με την πορεία των παραβιάσεων των προσωπικών δεδομένων στην Κύπρο.
Ροδοσθένους Ροδοσθένης, Ασκ. Δικηγόρος