Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

- Διαφάνεια - Υποχρέωση ενημέρωσης - Εξαιρέσεις


Διαφάνεια - Υποχρέωση ενημέρωσης - Εξαιρέσεις

(Σχετικά άρθρα 13 και 14 του ΓΚΠΔ)

Ο υπεύθυνος επεξεργασίας έχει υποχρέωση να ενημερώνει τα υποκείμενα των δεδομένων, είτε συλλέγει τα προσωπικά δεδομένα απευθείας από τα ίδια, (άρθρο 13) είτε τα συλλέγει από άλλες πηγές (άρθρο 14).

Η υποχρέωση ενημέρωσης η οποία ενσωματώνει τη βασική αρχή της διαφάνειας που διέπει ολόκληρο το νέο νομοθετικό οικοδόμημα έχει τρεις σημαντικές εκφάνσεις:
(α) την υποχρέωση ενημέρωσης των υποκειμένων των δεδομένων για τη διασφάλιση θεμιτής επεξεργασίας
(β) την υποχρέωση ενημέρωσης κατά την επικοινωνία υπεύθυνων επεξεργασίας αναφορικά με τα δικαιώματα των υποκειμένων των δεδομένων, και
(γ) την υποχρέωση ενημέρωσης για σκοπούς διευκόλυνσης της άσκησης των δικαιωμάτων από τα υποκείμενα των δεδομένων.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εξέδωσε κατευθυντήριες γραμμές με στόχο την καλύτερη εφαρμογή των προνοιών του ΓΚΠΔ στον τομέα αυτό (11 Απριλίου 2018).

Πότε εφαρμόζεται η υποχρέωση ενημέρωσης προς διασφάλιση της διαφάνειας;

(α) Πριν ή κατά την έναρξη της επεξεργασίας δηλ. κατά τη συλλογή των δεδομένων είτε από τα ίδια τα υποκείμενα είτε από άλλη πηγή.
(β) Καθ’όλη τη διάρκεια της περιόδου της επεξεργασίας των δεδομένων, π.χ για σκοπούς επικοινωνίας αναφορικά με τα δικαιώματα των υποκειμένων των δεδομένων.
(γ) Σε συγκεκριμένα σημεία της επεξεργασίας π.χ αν υπάρξει ουσιώδης αλλαγή στην επεξεργασία σε σχέση με την αρχική ενημέρωση αν για παράδειγμα μεταβληθεί ο σκοπός της επεξεργασίας ή κάποιο άλλο στοιχείο της αρχικής ενημέρωσης, ή η ενημέρωση λαμβάνει χώρα στα υποκείμενα των δεδομένων συνεπεία παραβίασης προσωπικών δεδομένων.

Για περισσότερες πληροφορίες, σχετικά με τον χρόνο παροχής των πληροφοριών βλέπετε σελ. 17 των κατευθυντήριων γραμμών.

Τι πρέπει να περιλαμβάνει η ενημέρωση;

Η ενημέρωση περιλαμβάνει, τουλάχιστον, την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας, τα στοιχεία επικοινωνίας του DPO, τους σκοπούς της επεξεργασίας, τους αποδέκτες των δεδομένων (όπου εφαρμόζεται), το χρόνο αποθήκευσης, την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων κ.α, (βλ. αναλυτικά το περιεχόμενο της ενημέρωσης στα άρθρα 13 και 14).

Για περισσότερες πληροφορίες, σχετικά με το περιεχόμενο της ενημέρωσης βλέπετε σελ. 16 των κατευθυντήριων γραμμών.

Ποια είναι η προθεσμία για την ενημέρωση;

Αν τα δεδομένα συλλέγονται από τα ίδια τα υποκείμενα η ενημέρωση γίνεται κατά τη λήψη τους αν όμως τα δεδομένα συλλέγονται από άλλες πηγές τότε το μέγιστο χρονικό διάστημα για την ενημέρωση είναι ένας μήνας από τη συλλογή των δεδομένων.

Η ενημέρωση θα πρέπει να είναι:
- συνοπτική, διαφανής, κατανοητή και εύκολα προσβάσιμη,
- απλή και σαφής διατύπωση,
- γραπτή ή όπου ενδείκνυται με άλλα μέσα π.χ ηλεκτρονική
- εφόσον ζητηθεί μπορεί να είναι προφορική
- γενικά η παροχή είναι δωρεάν

Επικαιροποίηση ενημέρωσης:
Κατά διαστήματα και εφόσον υπάρξει σημαντική μεταβολή στην επεξεργασία ή την προηγούμενη ενημέρωση των υποκειμένων των δεδομένων.

Εξαιρέσεις από την υποχρέωση για ενημέρωση*

* άλλες από τους γενικούς περιορισμούς για τα δικαιώματα των υποκειμένων των που προβλέπονται στο άρθρο 23(1) του ΓΚΠΔ

ΚΑΝΟΝΑΣ: Οι πιο κάτω εξαιρέσεις θα πρέπει να ερμηνεύονται από τον υπεύθυνο επεξεργασίας στενά και περιοριστικά

Άρθρο 13: όταν τα δεδομένα συλλέγονται απευθείας από τα υποκείμενα των δεδομένων μοναδική εξαίρεση είναι όταν και εφόσον το υποκείμενο των δεδομένων έχει ήδη τις πληροφορίες».

Άρθρο 14: όταν τα δεδομένα συλλέγονται από άλλες πηγές:
α) το υποκείμενο των δεδομένων διαθέτει ήδη τις πληροφορίες,
β) η παροχή τέτοιων πληροφοριών αποδεικνύεται αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια, αφορά κυρίως επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, υπό τους όρους και τις εγγυήσεις που αναφέρονται στο άρθρο 89 παράγραφος 1,
Αξιολογούνται: αριθμός υποκειμένων των δεδομένων, η ηλικία των δεδομένων και τυχόν κατάλληλες εγγυήσεις που θεσπίστηκαν.
Σε κάθε περίπτωση πριν από την εφαρμογή της οικείας εξαίρεσης ο υπεύθυνος επεξεργασίας θα πρέπει να προβεί στο τεστ της στάθμισης ώστε να είναι σε θέση να αξιολογήσει την προσπάθεια που θα καταβάλει για να παράσχει την ενημέρωση ατομικά στα υποκείμενα των δεδομένων σε σχέση με τον αντίκτυπο στα υποκείμενα των δεδομένων αν δεν την παράσχει. Η αξιολόγηση αυτή θα πρέπει να καταγράφεται προς συμμόρφωση με την αρχή της λογοδοσίας. Στην περίπτωση αυτή επίσης ο υπεύθυνος επεξεργασίας έχει υποχρέωση να λαμβάνει τα κατάλληλα μέτρα για την προστασία των δικαιωμάτων και εννόμων συμφερόντων των υποκειμένων των δεδομένων. Π.χ δημοσίευση της ενημέρωσης με διάφορους τρόπους, διενέργεια εκτίμησης αντικτύπου, ψευδονυμοποίηση, ελαχιστοποίηση της συλλογής δεδομένων και της περιόδου αποθήκευσης και λήψη κατάλληλων μέτρων ασφάλειας ώστε να διασφαλιστεί υψηλό επίπεδο προστασίας προσωπικών δεδομένων.
γ) η απόκτηση ή η κοινολόγηση προβλέπεται ρητώς από νόμο ο οποίος προβλέπει κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων ή
δ) προβλέπεται υποχρέωση επαγγελματικού απορρήτου που ρυθμίζεται από νόμο,
Για παράδειγμα, ο Ιατρός Α λαμβάνει πληροφορία από την ασθενή Δ (υποκείμενο των δεδομένων) σχετικά με γενετική ασθένεια που η ίδια πάσχει. Από την ασθένεια αυτή πάσχουν και συγγενείς της, για τους οποίους αποκαλύπτει προσωπικά δεδομένα στο γιατρό της. Ο Γιατρός κατ’ επίκληση της εξαίρεσης 14(5)(δ) δεν θα ενημερώσει σχετικά τους συγγενείς της ασθενούς Δ καθ’ότι θα παραβεί το καθήκον του για ιατρικό απόρρητο.

Για περισσότερες πληροφορίες, σχετικά με τις εξαιρέσεις από το άρθρο 14 βλέπετε σελ. 34 των κατευθυντήριων γραμμών.


Last Update:
05/08/2020 02:13:41 PM
 
Back To Top