Επεξεργασία δεδομένων προσωπικού χαρακτήρα

Σύμφωνα με την παράγραφο 2 του άρθρου 4 του Κανονισμού 2016/679 ως «επεξεργασία δεδομένων προσωπικού χαρακτήρα» ορίζεται «κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή»[7].

Σύμφωνα με όσα αναφέραμε παραπάνω, η επεξεργασία των δεδομένων προσωπικού χαρακτήρα δεν επιτρέπεται, αφού αυτά ανήκουν στην ιδιωτική σφαίρα του ατόμου. Στις περιπτώσεις όμως που η επεξεργασία είναι νόμιμη (τις οποίες θα παρουσιάσουμε αμέσως παρακάτω), αυτή πρέπει να διέπεται από την αρχή της νομιμότητας, της αντικειμενικότητας και της διαφάνειας, η οποία ορίζει ότι τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία και με απόλυτη διαφάνεια απέναντι στο υποκείμενο των δεδομένων. Νομιμότητα της επεξεργασίας σημαίνει ότι η επεξεργασία πρέπει να μην αντιβαίνει στο νόμο. Εδώ εμπίπτουν όλες οι μορφές νομοθεσίας: Νόμοι, προεδρικά διατάγματα, υπουργικές αποφάσεις, συνταγματικές αρχές, θεμελιώδη δικαιώματα, γενικές αρχές του δικαίου και νομολογιακά διαμορφωμένες αρχές[8].

Αναλυτικότερα:
α) Η συλλογή τους πρέπει να γίνεται νόμιμα και θεμιτά και μόνο για συγκεκριμένους σκοπούς που χαρακτηρίζονται από ακρίβεια και ακολουθούν τις επιταγές του νόμου. Στη συνέχεια και πάντα στη βάση των παραπάνω σκοπών, τα δεδομένα υφίστανται επεξεργασία, η οποία πρέπει να είναι θεμιτή και νόμιμη (άρθρο 4 § 1 στοιχείο α’ – αρχή της θεμιτής και νόμιμης επεξεργασίας και αρχή του σκοπού). Η επεξεργασία αυτή δεν είναι ασύμβατη με τους σκοπούς που προαναφέρθηκαν. Η περαιτέρω επεξεργασία τους για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς θεωρείται συμβατή με τους σκοπούς που τέθηκαν εξ αρχής σύμφωνα με το άρθρο 89, παράγρ. 1 («περιορισμός του σκοπού»)[9].

β) Τα δεδομένα που συλλέγονται πρέπει να χαρακτηρίζονται από συνάφεια και ο αριθμός τους να μην ξεπερνά αυτόν που απαιτεί μια συγκεκριμένη επεξεργασία (στοιχείο β΄ – αρχή της συνάφειας, αρχή της προσφορότητας και αρχή της απαγόρευσης της σώρευσης πληροφοριών για μελλοντικές ανάγκες.

γ) Να διακρίνονται από ακρίβεια και να υποβάλλονται σε ενημέρωση, εφόσον πραγματοποιηθεί κάποια μεταβολή σ’ αυτά (στοιχείο γ’ – αρχή της ακρίβειας).

δ) Η μορφή τους να είναι τέτοια, ώστε να καθιστά εφικτό τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που απαιτείται για την πραγματοποίηση των σκοπών της συλλογής και επεξεργασίας τους. Αν όντως ισχύουν οι προϋποθέσεις αυτές και ποια πρέπει να είναι η χρονική περίοδος της επεξεργασίας, αποφασίζει η αρμόδια Αρχή (στοιχείο δ’ – αρχή της χρονικά πεπερασμένης διατήρησης ή λήθης)[10].

Όμως τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκευτούν και για μεγαλύτερο χρονικό διάστημα, εφόσον θα αποστέλλονται προς επεξεργασία μόνο για σκοπούς αρχειοθέτησης επ ωφελεία του δημοσίου, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89, παράγρ. 1 και εφόσον τίθενται σε εφαρμογή τα κατάλληλα τεχνικά και οργανωτικά μέτρα που ορίζει ο κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης).

ε) Υποβάλλονται σε επεξεργασία με τέτοιο τρόπο που να εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα και – μεταξύ άλλων – την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).

Όσο για τη νομιμότητα της επεξεργασίας, αυτή ισχύει εφόσον συντρέχει μια ή περισσότερες από τις παρακάτω προϋποθέσεις, οι οποίες καθορίζονται στο άρθρο έξι του ν. 2016/679:

α) Το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς. Η συγκατάθεση του υποκειμένου, μάλιστα, έχει βαρύνουσα σημασία, γιατί συνιστά τη βασική προϋπόθεση για τη νομιμότητα της επεξεργασίας κάθε είδους δεδομένων προσωπικού χαρακτήρα. Η συγκατάθεση ορίζεται ως η ελεύθερη, ειδική, ρητή και με πλήρη συνείδηση βούληση, με την οποία το υποκείμενο των δεδομένων δηλώνει ότι συμφωνεί να αποτελέσουν αντικείμενο επεξεργασίας τα προσωπικά του δεδομένα (άρθρο 4, στοιχ. α’ Γενικού Κώδικα Προστασίας Δεδομένων (ΓΚΠΔ)).

Όσο για τον όρο «ελεύθερη», σημαίνει ότι το υποκείμενο των δεδομένων αποφασίζει ελεύθερα αν θα δώσει τη συγκατάθεσή του ή όχι, χωρίς να εξαναγκαστεί και χωρίς να κινδυνεύει να υποστεί αρνητικές συνέπειες αν δεν το κάνει. Όλα αυτά σημαίνουν ότι πρέπει να έχει τη δυνατότητα να αρνηθεί ή να αποσύρει τη συγκατάθεσή του ανά πάσα στιγμή χωρίς να υποστεί συνέπειες[12].

β) Η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα ύστερα από αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη οποιασδήποτε σύμβασης.

γ) Η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπεύθυνου επεξεργασίας.

δ) Η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.

ε) Η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.

στ) Η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός αν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως αν το υποκείμενο των δεδομένων είναι παιδί. Όλα αυτά όμως δεν εφαρμόζονται στην επεξεργασία που διενεργούν οι δημόσιες αρχές, όταν ασκούν τα καθήκοντά τους[13].

Σε ανάλογο πνεύμα κινούνταν και ο παλιότερος νόμος υπ. αριθμ. 3471/2006, ο οποίος στο άρθρο 5 § 2 ορίζει τις προϋποθέσεις που καθιστούν νόμιμη την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Σύμφωνα με τις προϋποθέσεις αυτές, το υποκείμενο των δεδομένων πρέπει να δώσει την έγγραφη συγκατάθεσή του για την επεξεργασία και αυτή πρέπει να είναι αναγκαία για την πραγματοποίηση σημαντικών συμβάντων, όπως η εκτέλεση κάποιας σύμβασης, η λήψη προληπτικών μέτρων κλπ. Ο νόμος αυτός κάνει λόγο και για τα δεδομένα κίνησης, για τα οποία ορίζει ότι η επεξεργασία τους πρέπει να περιορίζεται στο απολύτως αναγκαίο για την πραγματοποίηση των σκοπών της (άρθρο 5 § 1). Ορίζει, ακόμη (άρθρο 5 § 5), ότι το υποκείμενο των δεδομένων προσωπικού χαρακτήρα πρέπει να ενημερώνεται από τον φορέα παροχής υπηρεσιών σχετικά με τον τύπο των δεδομένων κίνησης που υποβάλλονται σε επεξεργασία. Τέλος, ορίζει ακόμη (άρθρο 5 § 5) ότι το υποκείμενο μπορεί να ανακαλέσει ανά πάσα στιγμή τη συγκατάθεσή του[14].

[1] Ι. Ιγγλεζάκης., (2019), ό.π., σελ. 296.
[2] Ι. Ιγγλεζάκης., (2020). Ο γενικός κανονισμός προστασίας προσωπικών δεδομένων. (3η έκδοση). Interactive Learning, σελ. 77-78.
[3] Ι. Ιγγλεζάκης., (2019), ό.π., σελ. 301.
[4] Στ. Ταπουρίδου, (2016)., Προστασία δεδομένων υγείας – Ιατρικό απόρρητο – Ηλεκτρονικός ιατρικός φάκελος. Διπλωματική εργασία. Α.Π.Θ., Νομική σχολή, σελ. 17-18.
[5] Ι. Ιγγλεζάκης., (2019), ό.π., σελ. 301.
[6] I. Ιγγλεζάκης., (2020), ό.π., σελ. 92-93.
[7] Ι. Ιγγλεζάκης., (2019), ό.π., σελ. 302.
[8] Άρθρο 5 – Νόμος 3471/2006 – Κανόνες επεξεργασίας. Στο https://www.lawspot.gr/nomikes-plirofories/nomothesia/n-3471-2006/arthro-5-nomos-3471-2006-kanones-epexergasias

Διαβάστε ολόκληρη τη μελέτη εδώ