2018-01-29 10:27:58
Της Ιωάννας Μιχαλοπούλου - Healthmag.gr
Δυσθεώρητα πρόστιμα σε περίπτωση αθέμιτης επεξεργασίας
Το «έννομο συμφέρον» στο οποίο γίνεται ρητή αναφορά στον Νέο Κανονισμό για την Προστασία των Προσωπικών Δεδομένων 2016/679 ή αλλιώς στον GDPR, αποτελεί την φράση γύρω από την οποία γίνεται τελευταία έντονη συζήτηση, χωράει δε, μεγάλη αμφισβήτηση ως προς την ερμηνεία της σε πολλές από τις χώρες της Ευρωπαϊκής Ένωσης, δεδομένου ότι η αποσαφήνιση της έννοιας του εννόμου συμφέροντος είναι εξέχουσας σημασίας για το σύνολο των εταιρειών και επιχειρήσεων που επεξεργάζονται ή πρόκειται να επεξεργαστούν προσωπικά δεδομένα (τόσο απλά όσο και ευαίσθητα) των υποκειμένων, καθώς παρέχει, υπό τις κατάλληλες προϋποθέσεις, την εκ του Κανονισμού ρητά διατυπωμένη δυνατότητας του υπευθύνου επεξεργασίας να επεξεργάζεται προσωπικά δεδομέναδίχως την πρότερη συναίνεση των υποκειμένων.
Τι ορίζει ο Κανονισμός
Ο Κανονισμός, στο άρθρο 6 αυτού, καθορίζει ρητώς έξι νόμιμους λόγους για τους οποίους τα προσωπικά δεδομένα ενός υποκειμένου μπορούν να τύχουν επεξεργασίας. Ειδικότερα, απαιτείται: :
η προηγούμενη συναίνεση του υποκειμένου,
η εκτέλεση σύμβασης της οποίας συμβαλλόμενος είναι το υποκείμενο,
η επεξεργασία είναι απαραίτητη με βάση έννομη υποχρέωση του υπευθύνου,
η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος και τέλος,
η επεξεργασία είναι απαραίτητη με βάση τα έννομα συμφέροντα του υπεύθυνου επεξεργασίας ή τρίτου.
Συγκεκριμένα στο άρθρο 6 παρ. 6 ορίζεται ρητά πως η επεξεργασία είναι σύννομη μόνο αν «επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί».
Δεν θα μπορούσε κατ’ αυτόν τον τρόπο όμως, να λαμβάνει χώρα συνεχής επίκληση εννόμου συμφέροντος από επιχειρήσεις που δεν εξασφαλίζουν την ρητή και ελεύθερη συγκατάθεση του υποκειμένου των δεδομένων; Η απάντηση σε ένα τέτοιο ερώτημα είναι αρνητική δεδομένου ότι ο Κανονισμόςκαθορίζει ότι η επεξεργασία η οποία πραγματοποιείται υπό το πρίσμα της προστασίας των έννομων συμφερόντων του υπευθύνου πρέπει να είναι απαραίτητη προς τον σκοπό αυτό και επιπλέον έχει διενεργηθεί ένας διεξοδικός έλεγχος αναλογικότητας με τα θεμελιώδη δικαιώματα, τα συμφέροντα και τις ελευθερίες του υποκειμένου, οι οποίες και πρόκειται να θιγούν.
Πότε μπορεί να εφαρμοστεί
Όταν ο υπεύθυνος επεξεργασίας θέλει να βασιστεί στην προάσπιση των έννομων συμφερόντων του ως νόμιμη βάση για τυχόν επεξεργασία προσωπικών δεδομένων θα πρέπει να είναι σε θέση να αποδείξει ενώπιον οιασδήποτε Εποπτικής Αρχής ή/και ενώπιον οποιουδήποτε υποκειμένου, όταν αμφισβητείται, την αναγκαιότητα της σκοπούμενης επεξεργασίας σε σχέση με τα δικαιώματα των υποκειμένων αλλά και ότι τα συμφέροντα των υποκειμένων δεν υπερτερούν των συμφερόντων του υπευθύνου επεξεργασίας. Η σχετική απόφαση του υπεύθυνου επεξεργασίας θα πρέπει να τεκμηριώνεται, ενώ θα πρέπει και να αξιολογείται εάν αλλάζει το πεδίο εφαρμογής της διαδικασίας επεξεργασίας. Θα πρέπει, επομένως, να λαμβάνει χώρα καταρχήν μια Εκτίμηση Έννομου Συμφέροντος όπου θα προσπαθεί ο υπεύθυνος επεξεργασίας να εντοπίσει αν υφίστανται όλες οι ως άνω προϋποθέσεις και να τις αποτυπώνει ενώ παράλληλα θα πρέπει να λαμβάνει όλα εκείνα τα απαραίτητα μέτρα ώστε να διαφυλάσσεται η αναλογικότητα μεταξύ των έννομων συμφερόντων του και των θεμελιωδών δικαιωμάτων και ελευθεριών των υποκειμένων.
Εκτίμηση Έννομου Συμφέροντος
Τι περιλαμβάνει η Εκτίμηση Έννομου Συμφέροντος; Η απαραίτητη αυτή εκτίμηση περιλαμβάνει τρία καίρια στάδια:
Το πρώτο στάδιο είναι ο προσδιορισμός του έννομου συμφέροντος –Ήτοι ποιός είναι ο σκοπός για την επεξεργασία δεδομένων προσωπικού χαρακτήρα και γιατί είναι σημαντικός για τον υπεύθυνο επεξεργασίας. Ωστόσο, ακόμη και αν το συμφέρον του υπευθύνου για την επεξεργασία προσωπικών δεδομένων για συγκεκριμένο σκοπό είναι προφανές και νόμιμο με βάση τους στόχους του, πρέπει παρ’ όλα αυτά να είναι σαφώς διατυπωμένο και κοινοποιημένο στο υποκείμενο προσωπικών δεδομένων ώστε να γνωρίζει την νομική βάση της επεξεργασίας που πρόκειται να υποστούν τα προσωπικά του δεδομένα.
Στο δεύτερο στάδιο ο υπεύθυνος επεξεργασίας είναι υποχρεωμένος να πραγματοποιήσει έναν έλεγχο αναγκαιότητας, θα πρέπει δηλαδή να εξετάσει κατά πόσον η επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι απολύτως «αναγκαία» για την άσκηση του εμπορικού ή επιχειρηματικού του στόχου και αν και εφόσον κριθεί αναγκαία η επεξεργασίατων προσωπικών δεδομένων σε συνάρτηση με τον σκοπό μπορεί να προχωρήσει στο τρίτο και τελευταίο στάδιο το οποίο είναι και το πιο σημαντικό.
Το τρίτο στάδιο περιλαμβάνει τον –ήδη ως άνω διατυπωμένο– έλεγχο αναλογικότητας. Ο υπεύθυνος επεξεργασίας μπορεί να βασιστεί σε ένα πραγματικό έννομο συμφέρον μόνο όταν τα δικαιώματα και οι ελευθερίες του ατόμου του οποίου τα προσωπικά δεδομένα θα υποβληθούν σε επεξεργασία έχουν αξιολογηθεί και δεν υπερισχύουν των έννομων συμφερόντων του υπευθύνου επεξεργασίας. Σε έναν τέτοιο έλεγχο θα πρέπει να συνυπολογίζονται από τον υπεύθυνο επεξεργασίας ο πιθανός αντίκτυπος της σκοπούμενης επεξεργασίας στο υποκείμενο των δεδομένων, οι εύλογες προσδοκίες του ατόμου -αν θα μπορούσε δηλαδή το υποκείμενο να αναμένει τέτοια επεξεργασία-, το είδος των προσωπικών δεδομένων που υφίστανται επεξεργασίακαθώς και η όποια ανισοβαρή σχέση μεταξύ υπευθύνου επεξεργασίας και υποκειμένου.
Αυστηρώς και μόνο όταν το πόρισμα του ως άνω ελέγχου είναι θετικό μπορεί να προχωρήσει ο υπεύθυνος επεξεργασίας στην επεξεργασία προσωπικών δεδομένων υπό το πρίσμα της εφαρμογής του άρθρου 6 παράγραφος 6 του Κανονισμού για την Προστασία των Προσωπικών Δεδομένων 2016/679 (GDPR), της προάσπισης δηλαδή των έννομων συμφερόντων του.
Συμπέρασμα
Η επίκληση της ύπαρξης εννόμου συμφέροντος εκ μέρους των υπευθύνων επεξεργασίας δεν θα πρέπει να λαμβάνει χώρα καταχρηστικά, αλλά θα πρέπει να δικαιολογείται από την αναγκαιότητα της εκτελούμενης επεξεργασίας και να τελεί σε απόλυτη αναλογία με τα δικαιώματα και τα αντίστοιχα συμφέροντα των υποκειμένων προσωπικών δεδομένων. Άλλωστε, το ίδιο το πνεύμα του νέου Κανονισμού προτάσσει την αναγκαιότητα διασφάλισης της προστασίας των δικαιωμάτων των υποκειμένων προσωπικών δεδομένων, με περαιτέρω συνέπεια την μετακύλιση του βάρους ευθύνης στους ίδιους τους υπευθύνους επεξεργασίας οι οποίοι απειλούνται με δυσθεώρητα πρόστιμα σε περίπτωση πραγματοποίησης οιασδήποτε αθέμιτης επεξεργασίας.
Η κ. Ιωάννα Μιχαλοπούλου είναι Managing Partner της Michalopoulou & associates
medispin
Δυσθεώρητα πρόστιμα σε περίπτωση αθέμιτης επεξεργασίας
Το «έννομο συμφέρον» στο οποίο γίνεται ρητή αναφορά στον Νέο Κανονισμό για την Προστασία των Προσωπικών Δεδομένων 2016/679 ή αλλιώς στον GDPR, αποτελεί την φράση γύρω από την οποία γίνεται τελευταία έντονη συζήτηση, χωράει δε, μεγάλη αμφισβήτηση ως προς την ερμηνεία της σε πολλές από τις χώρες της Ευρωπαϊκής Ένωσης, δεδομένου ότι η αποσαφήνιση της έννοιας του εννόμου συμφέροντος είναι εξέχουσας σημασίας για το σύνολο των εταιρειών και επιχειρήσεων που επεξεργάζονται ή πρόκειται να επεξεργαστούν προσωπικά δεδομένα (τόσο απλά όσο και ευαίσθητα) των υποκειμένων, καθώς παρέχει, υπό τις κατάλληλες προϋποθέσεις, την εκ του Κανονισμού ρητά διατυπωμένη δυνατότητας του υπευθύνου επεξεργασίας να επεξεργάζεται προσωπικά δεδομέναδίχως την πρότερη συναίνεση των υποκειμένων.
Τι ορίζει ο Κανονισμός
Ο Κανονισμός, στο άρθρο 6 αυτού, καθορίζει ρητώς έξι νόμιμους λόγους για τους οποίους τα προσωπικά δεδομένα ενός υποκειμένου μπορούν να τύχουν επεξεργασίας. Ειδικότερα, απαιτείται: :
η προηγούμενη συναίνεση του υποκειμένου,
η εκτέλεση σύμβασης της οποίας συμβαλλόμενος είναι το υποκείμενο,
η επεξεργασία είναι απαραίτητη με βάση έννομη υποχρέωση του υπευθύνου,
η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος και τέλος,
η επεξεργασία είναι απαραίτητη με βάση τα έννομα συμφέροντα του υπεύθυνου επεξεργασίας ή τρίτου.
Συγκεκριμένα στο άρθρο 6 παρ. 6 ορίζεται ρητά πως η επεξεργασία είναι σύννομη μόνο αν «επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί».
Δεν θα μπορούσε κατ’ αυτόν τον τρόπο όμως, να λαμβάνει χώρα συνεχής επίκληση εννόμου συμφέροντος από επιχειρήσεις που δεν εξασφαλίζουν την ρητή και ελεύθερη συγκατάθεση του υποκειμένου των δεδομένων; Η απάντηση σε ένα τέτοιο ερώτημα είναι αρνητική δεδομένου ότι ο Κανονισμόςκαθορίζει ότι η επεξεργασία η οποία πραγματοποιείται υπό το πρίσμα της προστασίας των έννομων συμφερόντων του υπευθύνου πρέπει να είναι απαραίτητη προς τον σκοπό αυτό και επιπλέον έχει διενεργηθεί ένας διεξοδικός έλεγχος αναλογικότητας με τα θεμελιώδη δικαιώματα, τα συμφέροντα και τις ελευθερίες του υποκειμένου, οι οποίες και πρόκειται να θιγούν.
Πότε μπορεί να εφαρμοστεί
Όταν ο υπεύθυνος επεξεργασίας θέλει να βασιστεί στην προάσπιση των έννομων συμφερόντων του ως νόμιμη βάση για τυχόν επεξεργασία προσωπικών δεδομένων θα πρέπει να είναι σε θέση να αποδείξει ενώπιον οιασδήποτε Εποπτικής Αρχής ή/και ενώπιον οποιουδήποτε υποκειμένου, όταν αμφισβητείται, την αναγκαιότητα της σκοπούμενης επεξεργασίας σε σχέση με τα δικαιώματα των υποκειμένων αλλά και ότι τα συμφέροντα των υποκειμένων δεν υπερτερούν των συμφερόντων του υπευθύνου επεξεργασίας. Η σχετική απόφαση του υπεύθυνου επεξεργασίας θα πρέπει να τεκμηριώνεται, ενώ θα πρέπει και να αξιολογείται εάν αλλάζει το πεδίο εφαρμογής της διαδικασίας επεξεργασίας. Θα πρέπει, επομένως, να λαμβάνει χώρα καταρχήν μια Εκτίμηση Έννομου Συμφέροντος όπου θα προσπαθεί ο υπεύθυνος επεξεργασίας να εντοπίσει αν υφίστανται όλες οι ως άνω προϋποθέσεις και να τις αποτυπώνει ενώ παράλληλα θα πρέπει να λαμβάνει όλα εκείνα τα απαραίτητα μέτρα ώστε να διαφυλάσσεται η αναλογικότητα μεταξύ των έννομων συμφερόντων του και των θεμελιωδών δικαιωμάτων και ελευθεριών των υποκειμένων.
Εκτίμηση Έννομου Συμφέροντος
Τι περιλαμβάνει η Εκτίμηση Έννομου Συμφέροντος; Η απαραίτητη αυτή εκτίμηση περιλαμβάνει τρία καίρια στάδια:
Το πρώτο στάδιο είναι ο προσδιορισμός του έννομου συμφέροντος –Ήτοι ποιός είναι ο σκοπός για την επεξεργασία δεδομένων προσωπικού χαρακτήρα και γιατί είναι σημαντικός για τον υπεύθυνο επεξεργασίας. Ωστόσο, ακόμη και αν το συμφέρον του υπευθύνου για την επεξεργασία προσωπικών δεδομένων για συγκεκριμένο σκοπό είναι προφανές και νόμιμο με βάση τους στόχους του, πρέπει παρ’ όλα αυτά να είναι σαφώς διατυπωμένο και κοινοποιημένο στο υποκείμενο προσωπικών δεδομένων ώστε να γνωρίζει την νομική βάση της επεξεργασίας που πρόκειται να υποστούν τα προσωπικά του δεδομένα.
Στο δεύτερο στάδιο ο υπεύθυνος επεξεργασίας είναι υποχρεωμένος να πραγματοποιήσει έναν έλεγχο αναγκαιότητας, θα πρέπει δηλαδή να εξετάσει κατά πόσον η επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι απολύτως «αναγκαία» για την άσκηση του εμπορικού ή επιχειρηματικού του στόχου και αν και εφόσον κριθεί αναγκαία η επεξεργασίατων προσωπικών δεδομένων σε συνάρτηση με τον σκοπό μπορεί να προχωρήσει στο τρίτο και τελευταίο στάδιο το οποίο είναι και το πιο σημαντικό.
Το τρίτο στάδιο περιλαμβάνει τον –ήδη ως άνω διατυπωμένο– έλεγχο αναλογικότητας. Ο υπεύθυνος επεξεργασίας μπορεί να βασιστεί σε ένα πραγματικό έννομο συμφέρον μόνο όταν τα δικαιώματα και οι ελευθερίες του ατόμου του οποίου τα προσωπικά δεδομένα θα υποβληθούν σε επεξεργασία έχουν αξιολογηθεί και δεν υπερισχύουν των έννομων συμφερόντων του υπευθύνου επεξεργασίας. Σε έναν τέτοιο έλεγχο θα πρέπει να συνυπολογίζονται από τον υπεύθυνο επεξεργασίας ο πιθανός αντίκτυπος της σκοπούμενης επεξεργασίας στο υποκείμενο των δεδομένων, οι εύλογες προσδοκίες του ατόμου -αν θα μπορούσε δηλαδή το υποκείμενο να αναμένει τέτοια επεξεργασία-, το είδος των προσωπικών δεδομένων που υφίστανται επεξεργασίακαθώς και η όποια ανισοβαρή σχέση μεταξύ υπευθύνου επεξεργασίας και υποκειμένου.
Αυστηρώς και μόνο όταν το πόρισμα του ως άνω ελέγχου είναι θετικό μπορεί να προχωρήσει ο υπεύθυνος επεξεργασίας στην επεξεργασία προσωπικών δεδομένων υπό το πρίσμα της εφαρμογής του άρθρου 6 παράγραφος 6 του Κανονισμού για την Προστασία των Προσωπικών Δεδομένων 2016/679 (GDPR), της προάσπισης δηλαδή των έννομων συμφερόντων του.
Συμπέρασμα
Η επίκληση της ύπαρξης εννόμου συμφέροντος εκ μέρους των υπευθύνων επεξεργασίας δεν θα πρέπει να λαμβάνει χώρα καταχρηστικά, αλλά θα πρέπει να δικαιολογείται από την αναγκαιότητα της εκτελούμενης επεξεργασίας και να τελεί σε απόλυτη αναλογία με τα δικαιώματα και τα αντίστοιχα συμφέροντα των υποκειμένων προσωπικών δεδομένων. Άλλωστε, το ίδιο το πνεύμα του νέου Κανονισμού προτάσσει την αναγκαιότητα διασφάλισης της προστασίας των δικαιωμάτων των υποκειμένων προσωπικών δεδομένων, με περαιτέρω συνέπεια την μετακύλιση του βάρους ευθύνης στους ίδιους τους υπευθύνους επεξεργασίας οι οποίοι απειλούνται με δυσθεώρητα πρόστιμα σε περίπτωση πραγματοποίησης οιασδήποτε αθέμιτης επεξεργασίας.
Η κ. Ιωάννα Μιχαλοπούλου είναι Managing Partner της Michalopoulou & associates
medispin
ΦΩΤΟΓΡΑΦΙΕΣ
ΜΟΙΡΑΣΤΕΙΤΕ
ΔΕΙΤΕ ΑΚΟΜΑ
ΕΠΟΜΕΝΟ ΑΡΘΡΟ
Δελτίο καιρού για Δευτέρα 29-01-2018
ΣΧΟΛΙΑΣΤΕ