You are currently viewing Παραβίαση Προσωπικών Δεδομένων: ποιες είναι οι Νομικές Κυρώσεις

Παραβίαση Προσωπικών Δεδομένων: ποιες είναι οι Νομικές Κυρώσεις

Τι συμβαίνει, όμως, αν δεν τηρήσετε την ισχύουσα νομοθεσία για τα προσωπικά δεδομένα στην εταιρία/οργανισμό σας; Προβλέπονται κυρώσεις;

Τι θα δούμε σε αυτό το post;

Γυναίκα που παραβιάζει προσωπικά δεδομένα

Τι σημαίνει παραβίαση προσωπικών δεδομένων;

Ο κανονισμός GDPR που θέτει το πλαίσιο προστασίας των προσωπικών δεδομένων έχει θέσει συγκεκριμένες αρχές και υποχρεώσεις σχετικά με την νόμιμη συλλογή, χρήση και επεξεργασία των προσωπικών δεδομένων. Σύμφωνα με τον κανονισμό αυτό, παραβίαση των προσωπικών δεδομένων επέρχεται όταν τα δεδομένα για τα οποία είναι υπεύθυνη η εταιρία ή ο οργανισμός σας προσβάλλονται από κάποιο περιστατικό, το οποίο έχει ως αποτέλεσμα την τυχαία ή παράνομη:

  • καταστροφή
  • απώλεια,
  • μεταβολή,
  • άνευ άδειας κοινολόγηση/κοινοποίηση
  • ή πρόσβαση προσωπικών δεδομένων που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ΄ άλλο τρόπο σε επεξεργασία.

Αποτέλεσμα της μη συμμόρφωσης των εταιριών στην νομοθεσία για τα δεδομένα προσωπικού χαρακτήρα και άρα της παραβίασης αυτών είναι οι νομικές κυρώσεις που επέρχονται στην εταιρία. Για παράδειγμα, οι κυρώσεις αυτές μπορεί να οδηγούν σε απώλεια των εσόδων των εταιριών, που αποκτήθηκαν από την παράβαση της νομοθεσίας περί προσωπικών δεδομένων.

Τι πρέπει να κάνει η εταιρία σας σε περίπτωση παραβίασης των δεδομένων προσωπικού χαρακτήρα;

Σε περίπτωση που υπάρξει παραβίαση προσωπικών δεδομένων, αν υπάρχει πιθανότητα να δημιουργηθεί κίνδυνος για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η εταιρία ή ο οργανισμός σας θα πρέπει μέσα σε 72 ώρες από την στιγμή που έλαβε γνώση αυτής:

  1. να ειδοποιήσει την αρμόδια εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση.

Η εποπτική αρχή είναι ανεξάρτητη δημόσια αρχή που επιφορτίζεται με με την παρακολούθηση της εφαρμογής του GDPR, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας που τα αφορούν και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση. Για περισσότερες πληροφορίες εδώ.

2. να ειδοποιήσει το υποκείμενο των προσωπικών δεδομένων που υπέστησαν την παραβίαση.

Ο τύπος και οι διαδικασίες για την ενημέρωση ορίζονται λεπτομερώς στην εκάστοτε νομοθεσία των κρατών. Εάν δεν γνωστοποιηθεί ο κίνδυνος εντός 72 ωρών, τότε θα πρέπει να αιτιολογήσετε τους λόγους καθυστέρησης αυτής στην αρμόδια εποπτική αρχή.

Στην περίπτωση που η εταιρία/ο οργανισμός είναι ο εκτελών την επεξεργασία, τότε αυτός οφείλει να ενημερώσει τον υπεύθυνο της επεξεργασίας, μόλις αντιληφθεί την παραβίαση των προσωπικών δεδομένων.

Σύμφωνα με το άρθρο 4 του GDPR: Ως «εκτελών την επεξεργασία» ορίζεται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.

Ως «υπεύθυνος επεξεργασίας» ορίζεται εκείνο το φυσικό ή νομικό πρόσωπο που ορίζεται από την κάθε εταιρία και καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Επιπλέον, όταν λόγω της παραβίασης υπάρχει πιθανότητα να τεθούν σε κίνδυνο τα δικαιώματα και οι ελευθερίες του φυσικού προσώπου, ο υπεύθυνος επεξεργασίας θα πρέπει να ενημερώσει το υποκείμενο των δεδομένων για την παραβίαση.

Πώς ενεργεί η εποπτική αρχή σε περίπτωση παραβίασης των προσωπικών δεδομένων;

Σύμφωνα με το άρθρο 58 παράγραφος 2 του Κανονισμού 2018/1725, η εποπτική αρχή κατέχει την εξουσία για διορθωτικές ενέργειες και αν κατά τον έλεγχό της διαπιστώσει:

  1. Ότι υπάρχει πιθανότητα οι σκοπούμενες πράξεις τις επεξεργασίας να παραβιάζουν τα προσωπικά δεδομένα, τότε δίνει προειδοποίηση στον υπεύθυνο επεξεργασίας.
  2. Ότι είναι βέβαιο ότι οι πράξεις της επεξεργασίας παραβιάζουν τον Κανονισμό του GDPR, τότε αποδίδει επιπλήξεις στον υπεύθυνο επεξεργασίας της εταιρίας, απαγορεύοντας την επεξεργασία των δεδομένων και επιβάλλοντας πρόστιμα έως και 20 εκατομμύρια ευρώ ή έως το 4% του συνολικού κύκλου εργασιών της επιχείρησης σύμφωνα με το άρθρο 83 παράγραφος 6 του GDPR.

Σε κάθε περίπτωση είναι πιθανό η Αρχή Προστασίας Δεδομένων να επιβάλλει στην επιχείρηση κάποιο πρόστιμο συνδυαστικά ή αντί της επίπληξης και της απαγόρευσης της επεξεργασίας των προσωπικών δεδομένων.

Βέβαια, όπως χαρακτηριστικά αναφέρει ο Κανονισμός «η επιβολή του προστίμου θα πρέπει να είναι για κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική». Η εποπτική αρχή προκειμένου να επιβάλει το ανάλογο πρόστιμο οφείλει να λαμβάνει υπόψη πάντα ορισμένους παράγοντες όπως τη βαρύτητα, τη διάρκεια της παραβίασης, την πρόθεση αυτού που προκάλεσε την παραβίαση και το κατά πόσο έδρασε ο υπεύθυνος προκειμένου να αντιμετωπίσει την κατάσταση.

Τι δικαιώματα έχει το πρόσωπο που υπέστη την παραβίαση;

Το πρόσωπο που έχει υποστεί την παραβίαση θα πρέπει να επικοινωνήσει με την εταιρία που επεξεργάζεται τα προσωπικά του δεδομένα, δηλαδή με τον υπεύθυνο επεξεργασίας της εταιρίας, και με την Αρχή Προστασίας των Δεδομένων για να αναφέρει την παραβίαση των δεδομένων του και να ζητήσει την επιβεβαίωσή της.

Οδηγίες του Twitter για την αναφορά παραβιάσεων της πολιτικής τους
Παράδειγμα από το Twitter.com

Σε περίπτωση που το πρόσωπο έχει υποστεί κάποιου είδους ζημία, υλική (όπως χρηματική) ή μη (όπως ψυχική φθορά), από την παραβίαση του Κανονισμού, δικαιούται αποζημίωση, υποβάλλοντας σχετικό αίτημα στον υπεύθυνο ή τον εκτελούντα της επεξεργασίας για την ζημία αυτή. Συγκεκριμένα φέρει ευθύνη:

  • Ο υπεύθυνος επεξεργασίας όταν η ζημία προκλήθηκε εκ μέρους του από την επεξεργασία κατά παράβαση της νομοθεσίας.
  • Ο εκτελών όταν η ζημία προκλήθηκε από την επεξεργασία, στην οποία δεν τηρήθηκαν οι προϋποθέσεις του νόμου ή οι εντολές του υπεύθυνου επεξεργασίας στο πλαίσιο των υποχρεώσεων του.

Ακόμα, αν ο υπεύθυνος ή εκτελών επεξεργασίας δεν αποζημιώσει το προσβαλλόμενο υποκείμενο, τότε αυτό μπορεί να προσφύγει ενώπιον του δικαστηρίου είτε στον τόπο κατοικίας του είτε στον τόπο εγκατάστασης του υπεύθυνου ή εκτελούντος επεξεργασίας.

Βέβαια, αξίζει να επισημανθεί ότι αν υπάρχουν στην εταιρία/οργανισμό σας περισσότεροι του ενός υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία όλοι είναι υπεύθυνοι για τυχόν ζημία που προκλήθηκε από αυτήν.

Συγκεκριμένα, κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ευθύνεται για τη συνολική ζημία, προκειμένου να διασφαλιστεί αποτελεσματική αποζημίωση του υποκειμένου των δεδομένων.

Έτσι, αν ένας από τους υπεύθυνους/εκτελεστές την επεξεργασία πληρώσει την αποζημίωση στο υποκείμενο, έχει στην συνέχεια την δυνατότητα να ζητήσει ένα μέρος της αποζημίωσης από τους υπόλοιπους υπεύθυνους επεξεργασίας που συνευθύνονται για την παραβίαση των δεδομένων.

Μάθετε περισσότερα για τα δικαιώματα των χρηστών στο άρθρο μας σχετικά με τα δικαιώματα του υποκειμένου των δεδομένων.

Εθνική Νομοθεσία Κρατών

Πέρα από όλα τα παραπάνω, κάθε κράτος-μέλος της ΕΕ έχει την δυνατότητα να θεσπίσει συγκεκριμένες ποινικές κυρώσεις για τις εταιρίες που παραβιάζουν τους εθνικούς κανόνες που αφορούν την εφαρμογή του Κανονισμού.

Συγκεκριμένα, στην ελληνική νομοθεσία λόγου χάρη στο άρθρο 39 του νόμου για τα προσωπικά δεδομένα ορίζεται ότι ανάλογα με την πράξη παραβίασης μπορεί να επιβάλλεται χρηματική ή/μέχρι και φυλάκιση.

Το άρθρο 39 σχετικά με τις ποινικές κυρώσεις
Παράδειγμα από το opengov.gr

Στην Κυπριακή νομοθεσία, έχει ψηφιστεί ο νόμος 125(Ι)/2018. Πιο συγκεκριμένα για τις νομικές κυρώσεις σε περίπτωση παραβίασης των προσωπικών δεδομένων:

Το άρθρο 32 σχετικά με τα διοικητικά πρόστιμα και αδικήματα
Παράδειγμα από την Κυπριακή Νομοθεσία

Συγγραφέας

Eleni-Kostakoglou
Ελένη Κωστάκογλου
Νομικός