ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (ΓΚΠΔ)
(Ν. 4624/2019 ΦΕΚ Α’ 137/29.08.2019)
Ενσωμάτωση των Κανονισμών (ΕΕ) 2016/679 και 2016/680
Στο άρθρο 38 του Ν. 4624/2019 προβλέπονται οι ποινικές κυρώσεις για την παραβίαση της προστασίας των προσωπικών δεδομένων, συγκεκριμένα έχει ως εξής :
«1. Όποιος, χωρίς δικαίωμα, α) επεμβαίνει με οποιονδήποτε τρόπο σε σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα, και με την πράξη του αυτή λαμβάνει γνώση των δεδομένων αυτών · β) τα αντιγράφει, αφαιρεί, αλλοιώνει, βλάπτει, συλλέγει, καταχωρεί, οργανώνει, διαρθώνει, αποθηκεύει, προσαρμόζει, μεταβάλλει, ανακτά, αναζητεί πληροφορίες, συσχετίζει, συνδυάζει, περιορίζει, διαγράφει, καταστρέφει, τιμωρείται με φυλάκιση μέχρι ενός (1) έτους, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
- Όποιος χρησιμοποιεί, μεταδίδει, διαδίδει, κοινολογεί με διαβίβαση, διαθέτει, ανακοινώνει ή καθιστά προσιτά σε μη δικαιούμενα πρόσωπα δεδομένα προσωπικού χαρακτήρα, τα οποία απέκτησε σύμφωνα με την περίπτωση α της παραγράφου 1 ή επιτρέπει σε μη δικαιούμενα πρόσωπα να λάβουν γνώση των δεδομένων αυτών, τιμωρείται με φυλάκιση, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
- Εάν η πράξη της παραγράφου 2 αφορά ειδικών κατηγοριών δεδομένα προσωπικού χαρακτήρα του άρθρου 9 παρ. 1 του ΓΚΠΔ ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα ή τα σχετικά με αυτά μέτρα ασφαλείας του άρθρου 10 του ΓΚΠΔ, ο υπαίτιος τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηματική ποινή έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
- Με κάθειρξη μέχρι δέκα (10) ετών τιμωρείται ο υπαίτιος των πράξεων των προηγούμενων παραγράφων, εάν είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον και το συνολικό όφελος ή η συνολική ζημία υπερβαίνει το ποσό των εκατόν είκοσι χιλιάδων (120.000) ευρώ.
- Εάν από τις πράξεις των παραγράφων 1 έως 3 προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δημοκρατικού πολιτεύματος ή για την εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηματική ποινή έως τριακόσιες χιλιάδες (300.000) ευρώ.
- Τα κακουργήματα που προβλέπονται στο παρόν άρθρο υπάγονται στην αρμοδιότητα του Τριμελούς Εφετείου Κακουργημάτων.»
Ο ως άνω νόμος ρυθμίζει την επεξεργασία των προσωπικών δεδομένων φυσικών προσώπων της Ευρωπαϊκής Ένωσης, που γίνονται από άτομα, εταιρείες ή οργανισμούς. Αφορά άτομα εν ζωή και δεν αφορά νομικά πρόσωπα. Επίσης, εφαρμόζεται και στην περίπτωση που τα άτομα, οι εταιρείες ή οι οργανισμοί εδράζονται σε Τρίτη χώρα, αλλά η επεξεργασία αφορά δεδομένα φυσικών προσώπων της Ευρωπαϊκής Ένωσης.
Βασικοί Όροι :
- Επεξεργασία : κάθε πράξη ή σειρά πράξεων που χρησιμοποιείται με τη χρήση ή χωρίς αυτοματοποιημένων μέσων σε δεδομένα προσωπικού χαρακτήρα, όπως αντιγραφή, αφαίρεση, αλλοίωση, συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση, συσχέτιση, συνδυασμός ή περιορισμός, διαγραφή ή καταστροφή.
- Δεδομένα προσωπικού χαρακτήρα : ως τέτοια νοούνται κάθε πληροφορία βάση της οποίας είχε ταυτοποιηθεί ή δύναται να ταυτοποιηθεί ένα φυσικό πρόσωπο είτε άμεσα (π.χ. όνομα, επώνυμο, αριθμός δελτίου ταυτότητας, τηλ. επικοινωνίας κτλ) είτε έμμεσα με στοιχεία αναγόμενα στη σωματική, ψυχική, οικονομική, οικογενειακή ή κοινωνική του κατάσταση. Στοιχεία τα οποία έχει καταστήσει το υποκείμενο των δεδομένων ανώνυμα, ψευδώνυμα ή κρυπτογραφημένα θεωρούνται προσωπικά δεδομένα, εφόσον είναι δυνατή η χρήση τους και η επαναταυτοποίηση του φυσικού προσώπου.
- Υποκείμενο προσωπικών δεδομένων : υποκείμενο νοείται κάθε φυσικό εν ζωή πρόσωπο, του οποίου τα προσωπικά δεδομένα δύναται να τύχουν επεξεργασίας. Το φυσικό πρόσωπο μπορεί να είναι και ανήλικος.
- Υπεύθυνος επεξεργασίας : μπορεί να είναι φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία. Πρόκειται για τον υπεύθυνο του προσδιορισμού του σκοπού ή του τρόπου επεξεργασίας των προσωπικών δεδομένων.
- Σύστημα αρχειοθέτησης : πρόκειται για το σύστημα οργάνωσης των δεδομένων, τα οποία είναι προσβάσιμα με ορισμένα κριτήρια (π.χ. λίστα επιβατών, φυσική ή ηλεκτρονική μορφή άλμπουμ φωτογραφιών, μαγνητοσκοπήσεις ή μαγνητοφωνήσεις εκπομπών, υλικό από βιντεοκάμερες, αρχείο δικαστικών αποφάσεων κ.α.). Ανεξαρτήτως της τεχνολογίας που χρησιμοποιείται, αυτοματοποιημένη ή χειροκίνητη, η οργάνωση απαιτείται να βασίζεται σε προκαθορισμένα κριτήρια. Ο τρόπος αποθήκευσης είναι αδιάφορος (έντυπη μορφή κτλ). Όπως έχει κριθεί η ποινική δικογραφία, που δεν έχει αρχειοθετηθεί, δεν συνιστά σύστημα αρχειοθέτησης (Διατ.ΕΠλημΑθ 222/2021).
- Ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα : πρόκειται για δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές πεποιθήσεις, τα γενετικά ή βιομετρικά δεδομένα, δεδομένα υγείας ή που αφορούν τη σεξουαλική ζωή και τον γενετήσιο προσανατολισμό.
Απαραίτητη προϋπόθεση για την παραβίαση του ΓΚΠΔ είναι το πρόσωπο, που προβαίνει στην επεξεργασία των δεδομένων, να πράττει χωρίς δικαίωμα. Στόχος αυτής της προϋπόθεσης είναι η προστασία της πληροφοριακής αυτοδιάθεσης, προκειμένου να μην είναι δυνατή η κατάρτιση αθέμιτου προφίλ προσωπικότητας, αλλά να μπορεί το εκάστοτε άτομο να ελέγχει τις μεταδιδόμενες πληροφορίες που τον αφορούν (π.χ. διαφέρει η αναφορά της επαγγελματικής ιδιότητας κάποιου για λόγους εξατομίκευσης του και άλλο να χρησιμοποιείται για τον προσδιορισμό της οικονομικής ή κοινωνικής του τάξης).
Κάθε επεξεργασία προσωπικών δεδομένων είναι παράνομη εκτός των περιπτώσεων που υπάρχει διάταξη νόμου, η οποία κατ’ εξαίρεση την προβλέπει και άρα την επιτρέπει. Ο Ν. 4624/2019 στα άρθρα 21 έως 30 και 46 έως 52 αναφέρει ρητά σε ποιες περιπτώσεις είναι επιτρεπτή η επεξεργασία. Σημαντικότερες εξ αυτών :
- Συγκατάθεση : συγκατάθεση υπάρχει όταν έχουμε εκδήλωση βούλησης ελεύθερη, όχι δηλαδή προϊόν εξαναγκασμού, συγκεκριμένη, ρητή και εν πλήρη γνώση. Η συγκατάθεση για να είναι ελεύθερη πρέπει να τίθεται ως επιλογή και όχι ως προϋπόθεση για την εκτέλεση μίας σύμβασης ή την παροχή υπηρεσιών. Επίσης, θα πρέπει να δηλώνεται ρητά, επομένως η σιωπή, η αδράνεια ή τυχόν προσυμπλήρωση δεν νοείται ως συγκατάθεση. Ωστόσο, μόνο η συγκατάθεση δεν αρκεί, χρειάζεται η επεξεργασία των προσωπικών δεδομένων να μην είναι υπέρμετρη, αλλά να τηρείται η αρχή της αναλογικότητας. Για ανηλίκους κάτω των 15 ετών η συγκατάθεση δίνεται αποκλειστικά από το νόμιμο αντιπρόσωπό του. Το φυσικό πρόσωπο απαιτείται να γνωρίζει τον υπεύθυνο επεξεργασίας, τα δεδομένα που θα τύχουν επεξεργασίας, τον σκοπό αυτής, το ενδεχόμενο μεταβίβασης των δεδομένων. Επιπλέον, στο φυσικό πρόσωπο θα πρέπει να δίνετε η δυνατότητα για ανάκληση της συγκατάθεσής του ανά πάσα στιγμή και να του γνωστοποιείται αυτή η δυνατότητα προ της λήψης της συγκατάθεσης. Σε περίπτωση ανάκλησης ο υπεύθυνος επεξεργασίας οφείλει να προβεί στην άμεση διαγραφή των δεδομένων, εφόσον δεν υφίσταται νόμιμος λόγος να τα κατέχει πλέον. Το δικαίωμα όμως δεν είναι απόλυτο και τυχόν περαιτέρω διατήρηση των δεδομένων θα πρέπει να είναι σύννομη.
- Προστασία Υπέρτερου έννομου αγαθού : σύμφωνα με το άρθρο 25 του Ν. 4624/2019 ως υπέρτερο έννομο αγαθό θεωρείται είτε η αποτροπή απειλών κατά της εθνικής ασφάλειας ή δημόσιας ασφάλειας, με προηγούμενο αίτημα του δημόσιου φορέα είτε η δίωξη ποινικών αδικημάτων είτε η θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων. Το δικαστήριο, λοιπόν, είναι αυτό που θα κρίνει αν είναι υπέρτερο το έννομο συμφέρον. Βασική προϋπόθεση να μην υπερτερεί έναντι αυτών το συμφέρον του υποκειμένου των δεδομένων.
- Πρόδηλη Δημοσίευση από το ίδιο το υποκείμενο των δεδομένων : στο άρθρο 28 του Ν. 4624/2019 προστατεύεται το δικαίωμα στην ελευθερία της έκφρασης και της πληροφόρησης και κάνει μνεία για τις συγκεκριμένες περιπτώσεις που επιτρέπεται η επεξεργασία των δεδομένων. Μια εξ αυτών των περιπτώσεων είναι και η περίπτωση κατά την οποία το υποκείμενο των δεδομένων έχει προδήλως δημοσιοποιήσει τα προσωπικά του δεδομένα. Ζήτημα έχει ανακύψει σχετικά με τις δημοσιεύσεις στα μέσα κοινωνικής δικτύωσης και κατά πόσο θεωρείται ότι υπάρχει η συγκατάθεση για περαιτέρω αναδημοσίευση, εφόσον έχει ήδη αναρτηθεί η εν λόγω δημοσίευση από το ίδιο το υποκείμενο. Σύμφωνα με τη νομολογία (791/2012 ΤριμΠλημΑιγ) αυτό θα πρέπει να κρίνεται κατά περίπτωση και ειδικότερα αναλόγως των ρυθμίσεων που έχει επιλέξει έκαστο υποκείμενο των δεδομένων, σχετικά με το φάσμα των ατόμων που μπορούσαν να έχουν πρόσβαση στη δημοσίευση, ήτοι αν ήταν αναρτημένη δημόσια ή περιορισμένα μόνο στους διαδικτυακούς του φίλους.
Ιδιαίτερη περίπτωση αποτελεί η «εκδικητική» δημοσιοποίηση δεδομένων, η δημοσίευση κυρίως φωτογραφιών ή βίντεο, του υποκειμένου, όπου απεικονίζεται σε προσωπικές ερωτικές στιγμές. Σύμφωνα με την παρ. 4 του άρθρου 38 Ν. 4624/2019 πέραν του σκοπού για περιουσιακό όφελος ή ζημία, προστατεύεται και η εν γένει ηθική βλάβη του θύματος, η οποία συνίσταται σε ψυχικό πόνο και αναστάτωση (ΑΠ 686/2021).
Επίσης, στην παρ. 4 προσδίδεται περαιτέρω απαξία στην πράξη με το πρόσθετο υποκειμενικό στοιχείο κατά το οποίο ο υπαίτιος προβαίνει στην τέλεση του αδικήματος με σκοπό είτε το όφελος του ιδίου ή τρίτου είτε τη ζημία τρίτου. Η βλάβη μπορεί να είναι τόσο περιουσιακή όσο και ηθική, όπως προαναφέρθηκε. Τεκμηριώνεται λοιπόν έγκλημα υπερχειλούς υποκειμενικής υπόστασης.
Ωστόσο, όποιος αποκτήσει πρόσβαση σε προσωπικά δεδομένα τυχαία δεν τελεί το αδίκημα της παραβίασης των προσωπικών δεδομένων, διότι απαιτείται να έχει επέμβει και να έχει ερευνήσει κάποιο αρχείο ή να του τις μεταδώσει τρίτος. Περαιτέρω, στην περίπτωση που ο δράστης αποκτήσει πρόσβαση σε κρυπτογραφημένα ή ψευδοποιημένα δεδομένα, από τα οποία δεν δύναται να ταυτοποιηθεί το υποκείμενο, τότε τελείται μόνο απόπειρα, εκτός αν εν τέλει καταφέρει να ταυτοποιήσει το υποκείμενο.
Βιβλιογραφία :
