News and Publications

ΚΥΡΙΑ ΒΗΜΑΤΑ ΣΥΜΜΟΡΦΩΣΗΣ ΟΠΤΙΚΟΥ ΟΙΚΟΥ ΜΕ ΤΟΝ ΓΚΠΠΔ

Εισαγωγή

Η 27η Απριλίου 2016 σηματοδοτεί μια ημερομηνία ορόσημο στον τομέα της δικαιικής ρύθμισης των προσωπικών δεδομένων. Υιοθετήθηκε από τα αρμόδια ευρωπαϊκά θεσμικά όργανα ο Κανονισμός 2016/679 «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών»[1]. Ο νέος Κανονισμός τίθεται σε ισχύ στις 25 Μαΐου 2018 σε όλα τα κράτη μέλη της Ένωσης και επιδιώκει να αλλάξει ριζικά το νομικό πλαίσιο που ρύθμιζε τα προσωπικά δεδομένα. Αξίζει να τονιστεί ότι, όπως αναφέρεται και στον τίτλο του Κανονισμού, η θεμελιώδης Οδηγία 95/46 για τα προσωπικά δεδομένα, φτάνει στο τέλος της ζωής της καθώς θα καταργηθεί και αντικατασταθεί από τον Κανονισμό. Η επικείμενη ευρωπαϊκή πολιτική στο θέμα διαμορφώνει μια νέα τάξη πραγμάτων, υποχρεώνοντας τα κράτη μέλη να προσαρμοστούν στις επιταγές του νομοθετικού κειμένου.             Οι αλλαγές που φέρνει ο Κανονισμός 2016/679 κρίνονται εξαιρετικής σημασίας για τις επιχειρήσεις. Εισάγονται καινούριοι θεσμοί και υποχρεώσεις για τα πρόσωπα που ασκούν διευθυντική θέση στην επιχείρηση και διαχειρίζονται προσωπικά δεδομένα, όπως είναι ο υπεύθυνος επεξεργασίας, ο εκτελών την επεξεργασία δεδομένων, η υποχρέωση λογοδοσίας και οι προϋποθέσεις σύννομης επεξεργασίας[2]. Η σημασία των νέων αλλαγών προσλαμβάνει επιπρόσθετη αξία αν αναλογιστεί κανείς ότι πρόκειται να επιβληθούν εξαιρετικά αυστηρά πρόστιμα  στις παραβατικές επιχειρήσεις, τα οποία μπορούν να ανέλθουν μέχρι 20.000.000 ευρώ ή στο 4% του παγκόσμιου κύκλου εργασιών[3]. Ως εκ τούτου, η αναγκαιότητα συμμόρφωσης στις νομοθετικές απαιτήσεις κρίνεται επιτακτική.             Θεμελιώδης καινοτομία του Κανονισμού 2016/679 αποτελεί η εισαγωγή και θέσπιση ενός νέου προσώπου, του Υπεύθυνου Προστασίας Δεδομένων, γνωστού πλέον και ως Data Protection Officer, όπως χαρακτηριστικά ορίζεται στην αντίστοιχη νομοθετική διάταξη[4]. Ο καινούριος θεσμός επιδιώκει να αναλάβει ξεχωριστό ρόλο, καθώς παράλληλα με την αρμόδια εθνική αρχή προστασίας δεδομένων, αναλαμβάνει ειδικές εποπτικές αρμοδιότητες. Επιφορτίζεται τόσο με τον έλεγχο συμμόρφωσης των επιχειρήσεων στις επιταγές του Κανονισμού όσο και με καθήκοντα εκπαίδευσης, συμβουλευτικής και νομικής υποστήριξης σε θέματα προσωπικών δεδομένων. Ο ορισμός του είναι υποχρεωτικός, υπό προϋποθέσεις που προβλέπονται από συγκεκριμένες διατάξεις του Κανονισμού, ενώ ακόμα και εκεί που δεν καθίσταται υποχρεωτικός ο διορισμός του, συνίσταται για λόγους ομαλής τάξης και υπακοής στις νομοθετικές απαιτήσεις.  Η κατανόηση και ουσιαστική αφομοίωση των σημαντικών αλλαγών που επηρεάζουν τις επιχειρήσεις και όλους τους φορείς που διαχειρίζονται, επεξεργάζονται, αποθηκεύουν και διακινούν δεδομένα προσωπικού χαρακτήρα προϋποθέτουν την αναλυτική παρουσίαση, μελέτη και ανάλυση θεμελιωδών διατάξεων του Κανονισμού, οι οποίες έχουν κύριο αντίκτυπο στις επιχειρήσεις[5]Επάγγελμα Οπτικών και Τεχνικών Οπτικών To Οπτικό Επάγγελμα ρυθμίζεται από τον Νόμο 16(Ι)/1992[6] που καθιδρύει Συμβούλιο υπεύθυνο για την εγγραφή και την χορήγηση αδειών οπτικών και τεχνικών οπτικών. Σύμφωνα με τον ισχύοντα νόμο δεν υφίστανται διατάξεις για την φύλαξη και επεξεργασία προσωπικών δεδομένων ειδικά και συγκεκριμένα.  Στην Κύπρο τα δεδομένα προσωπικού χαρακτήρα και η επεξεργασία τους καλυπτόταν από τον Νόμο 138(Ι)/2001 που διαχώριζε ακριβώς τα δεδομένα σε δεδομένα προσωπικού χαρακτήρα και στα ευαίσθητα δεδομένα. Το Επάγγελμα του Οπτικού ή του Τεχνικού Οπτικού ενέπλεκε και την επεξεργασία τόσο δεδομένων προσωπικού χαρακτήρα αλλά και ασφαλώς λόγω της φύσης του και ευαίσθητα δεδομένα. Ιδιαίτερα για τα ευαίσθητα δεδομένα, που περιλάμβαναν δεδομένα που αφορούν μεταξύ άλλων με την υγεία[7], απαγορευόταν η συλλογή και η επεξεργασία τους εκτός αν «η επεξεργασία αφορά θέματα ιατρικών δεδομένων και εκτελείται από πρόσωπο που ασχολείται κατ’ επάγγελμα με την παροχή υπηρεσιών υγείας και υπόκειται σε καθήκον εχεμύθειας ή σε συναφείς κώδικες δεοντολογίας υπό τον όρο ότι η επεξεργασία είναι απαραίτητη για την ιατρική πρόληψη, διάγνωση, περίθαλψη ή τη διαχείριση υπηρεσιών υγείας»[8]. Κατά συνέπεια το δίκαιο των προσωπικών δεδομένων δεν είναι καινοφανές θέμα αλλά προϋπάρχει για 20 περίπου χρόνια σε Ευρωπαϊκό Επίπεδο και επηρεάζει τη δραστηριότητα πολλών επαγγελμάτων και ειδικοτήτων, απλά ο ΓΚΠΔ (GDPR) προκάλεσε τη μεγαλύτερη διατάραξη του τομέα εξαιτίας πολλών παραμέτρων που σχετίζονται με την τεχνολογική εξέλιξη αλλά και την επιβαλλόμενη ανάγκη  προστασίας της ιδιωτικότητας των υποκειμένων. Η προστασία των δεδομένων και των ευαίσθητων δεδομένων είναι ένα ιδιαίτερα σοβαρό θέμα για τα ιατρικά ή παρα-ιατρικά επαγγέλματα. Τόσο οι επαγγελματικοί φορείς του εξωτερικού[9] αλλά και της χώρας μας προβαίνουν σε ξεκάθαρες αναφορές για την ανάγκη διατήρησης της εμπιστευτικότητας ή του απορρήτου των ασθενών/πελατών αλλά και τη διατήρηση της ιδιωτικότητας τους. Με μεγάλο ποσοστό προσωπικών αλλά και ευαίσθητων δεδομένων, μέρος του οποίου συνδέεται με ανήλικους, το επάγγελμα θα πρέπει να αναγνωρίσει την ανάγκη κατανόησης του νομοθετικού πλαισίου και να προβεί στις ανάλογες αλλαγές.  Αρχές και η άμεση εφαρμογή του ΓΚΠΔ

Ο Κανονισμός 2016/679 ακολουθεί το παραδοσιακό πλέγμα προϋποθέσεων που καθορίζει τη νόμιμη επεξεργασία, προσθέτοντας μια ακόμη αρχή. Ειδικότερα, όπως προβλέπεται στο άρθρο 5 του Κανονισμού :

α) επιβάλλεται η αρχή της «νομιμότητας, αντικειμενικότητας και διαφάνειας». Τούτο συνεπάγεται ότι η οποιαδήποτε επεξεργασία πρέπει να στηρίζεται σε νόμο σαφή, κατανοητό και προσβάσιμο στο πρόσωπο. Επιπλέον, κάθε επιχείρηση ή οργανισμός οφείλει να διατηρεί και να αποδεικνύει την ύπαρξη σαφούς πολιτικής προστασίας προσωπικών δεδομένων, υπό την έννοια να γνωρίζουν τα άτομα τα δικαιώματά τους, τις πληροφορίες που τυγχάνουν επεξεργασίας και τον τρόπο με τον οποίο συντελείται. Η έννοια της «διαφάνειας», σύμφωνα με τις κατευθυντήριες γραμμές της Ομάδας Εργασίας του άρθρου 29 για την ερμηνεία του όρου «διαφάνεια» υπό τον Κανονισμό 2016/679[10], προϋποθέτει ότι διαδικασία επεξεργασίας της πληροφορίας πρέπει να είναι συνοπτική, κατανοητή και εύκολα προσβάσιμη στο υποκείμενο επεξεργασίας. Επιπρόσθετα,  χρειάζεται να γίνει σε απλή και κατανοητή γλώσσα ενώ, όπως προβλέπεται και από το άρθρο 12 του Κανονισμού, οι πληροφορίες που αφορούν ένα άτομο μπορούν να δοθούν με διάφορους τρόπους, όπως με ηλεκτρονικά μέσα, γραπτώς ή ακόμα και προφορικά. Τέλος, αξίζει να αναφερθεί η παράγραφος 5 του άρθρου όπου τονίζεται ότι η παροχή όλων των πληροφοριών που αιτείται το φυσικό πρόσωπο παρέχονται δωρεάν. Εντούτοις, όπως ρητά διευκρινίζεται, εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί είτε: α) να επιβάλει την καταβολή εύλογου τέλους, λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή της ενημέρωσης ή την ανακοίνωση ή την εκτέλεση της ζητούμενης ενέργειας, ή β) να αρνηθεί να δώσει συνέχεια στο αίτημα. Ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως αβάσιμου ή του υπερβολικού χαρακτήρα του αιτήματος.

β) απαιτείται ο «περιορισμός του σκοπού», υπό την έννοια ότι τα επεξεργαζόμενα δεδομένα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς, χωρίς να υποβάλλονται σε επεξεργασία ασύμβατη με τον αρχικό σκοπό. Ο Κανονισμός εξαιρεί ρητά την επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς λόγους.

γ) απαιτείται η αρχή της «ελαχιστοποίησης των δεδομένων», υπό την έννοια ότι τα δεδομένα είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Στο σημείο αυτό, αξίζει να επισημανθεί ότι η εν λόγω αρχή αντιστοιχεί ουσιαστικά στην παραδοσιακή «αρχή της αναλογικότητας», η οποία είχε καθιερωθεί από την Οδηγία 95/46. Ωστόσο, η διαφοροποίηση της ορολογίας από το νέο Κανονισμό δεν μπορεί να θεωρηθεί μόνο συμβολική. Χρησιμοποιώντας τον όρο «ελάχιστα δεδομένα» ο Κανονισμός 2016/679 επιδιώκει να τονίσει ότι οποιαδήποτε παρέκκλιση θεωρείται ασυμβίβαστη. Ένα απλό παράδειγμα επεξηγεί καλύτερα την παραπάνω άποψη : στις φόρμες πρόσληψης που συχνά συμπληρώνονται από υποψήφιους προς εύρεση εργασίας, ζητείται να συμπληρωθούν στοιχεία, όνομα, επώνυμο, ηλικία και συχνά πληροφορίες για την οικογενειακή κατάσταση και το θρήσκευμα. Αυτές οι πληροφορίες θεωρούνται ότι υπερβαίνουν τα ελάχιστα δεδομένα, εκτός αν δικαιολογούνται από την φύση της εργασίας και υπάρχει συγκεκριμένος σκοπός, τον οποίο σύμφωνα με την αρχή της λογοδοσίας[11], ο υπεύθυνος επεξεργασίας οφείλει να αποδείξει. Διαφορετικά, ακόμα και αν ο υπεύθυνος επεξεργασίας επικαλεστεί ως άμυνα ότι τα συγκεκριμένα πεδία δεν υποβάλλονται προς συμπλήρωση, εξακολουθεί να ευθύνεται. Εκείνο που πρέπει να κάνει είναι να εξαφανίσει αυτές τις ερωτήσεις από την φόρμα.

δ) απαιτείται η αρχή της ακρίβειας, η οποία επιτάσσει τη λήψη κατάλληλων μέτρων που διασφαλίζουν την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας. Επιπλέον, η αρχή της ακρίβειας δύναται να περιλαμβάνει και την επικαιροποίηση των δεδομένων.

ε) απαιτείται η αρχή του «περιορισμού της περιόδου αποθήκευσης», υπό την έννοια ότι τα προσωπικά δεδομένα φυλάσσονται μόνο για όσο διάστημα απαιτείται για την επίτευξη του σκοπού. Για μεγαλύτερα χρονικά διαστήματα υπάρχει πρόνοια για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, με τη λήψη κατάλληλων μέτρων. Ως προς την περίοδο αποθήκευσης δεδομένων χρειάζεται να γίνουν δύο επισημάνσεις : πρώτον, αν και αόριστη, ο χρόνος φύλαξης δεδομένων ορίζεται ως ο «ελάχιστος δυνατός»[12], ώστε να αποφεύγεται κάθε αυθαίρετη παράταση αποθήκευσης. Ωστόσο, ο Κανονισμός επιτρέπει τη διατήρηση ειδικότερων εθνικών νομοθεσιών που προνοούν αυξημένα χρονικά περιθώρια αποθήκευσης δεδομένων, όπως είναι για παράδειγμα η νομοθεσία για φύλαξη αρχείων για φορολογικούς λόγους. Ως εκ τούτου, τόσο δημόσιοι όσο και ιδιωτικοί φορείς μπορούν να διατηρούν αρχεία για τέτοιους σκοπούς, υπό τον όρο φυσικά ότι διατηρούν τις απαραίτητες μόνο πληροφορίες, σύμφωνα με την αρχή της «ελαχιστοποίησης των δεδομένων» που εκτέθηκε ανωτέρω.

στ) τέλος, επισημαίνεται η αρχή της «ακεραιότητας και εμπιστευτικότητας» των δεδομένων, που προϋποθέτει τη λήψη κατάλληλων τεχνικών ή οργανωτικών μέτρων προκειμένου να αποτραπεί κάποια παράνομη επεξεργασία ή τυχαία απώλεια, φθορά ή καταστροφή.  Ως τέτοια «κατάλληλα τεχνικά μέτρα» προτείνονται από τον Κανονισμό η «ψευδωνυμοποίηση»[13] και η «κρυπτογράφηση[14]».

Παράλληλα με τις αρχές που παρουσιάστηκαν, ο Κανονισμός 2016/679 προσθέτει μια καινούρια αρχή, εκείνη της «λογοδοσίας». Συγκεκριμένα, στη δεύτερη παράγραφο του άρθρου 5 προβλέπεται ρητά ότι ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωσή του στις νομοθετικές επιταγές. Τούτο πρακτικά σημαίνει ότι ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει όλα τα απαραίτητα και κατάλληλα τεχνικά μέτρα που διασφαλίζουν τη νομιμότητα επεξεργασίας δεδομένων καθώς επίσης και να αποδεικνύει την υπακοή στις διατάξεις του Κανονισμού. Ο Γενικός Κανονισμός Προστασίας Δεδομένων δεν καθορίζει τον τρόπο συμμόρφωσης, δηλαδή τα μέτρα που απαιτούνται προς λήψη, παρά μόνο δίνει μια λίστα προτεινόμενων μέτρων μέσα από ένα σύνολο διατάξεων, όπως ενδεικτικά την υιοθέτηση κωδίκων δεοντολογίας[15], την προηγούμενη διαβούλευση[16] και τον ορισμό υπεύθυνου προστασίας δεδομένων[17]. Η μόνη ρητή υποχρέωση που αποδίδεται στον υπεύθυνο επεξεργασίας δεδομένων είναι η απόδειξη λήψης συγκατάθεσης του υποκειμένου[18].

Τέλος να αναφέρουμε ότι ένα από τα πιο ουσιαστικά μέτρα του νέου κανονισμού είναι η διαμόρφωση των νέων ρόλων και/ή χαρακτήρων που απαιτούνται από όλους τους επηρεαζόμενους. Συγκεκριμένα, ο Κανονισμός καθορίζει τον ρόλο του Υπεύθυνου Προστασίας (DPO), του Υπεύθυνου Επεξεργασίας (Collector) και του Εκτελούντα (Processor) την Επεξεργασία.

Συμμόρφωση Οπτικού Οίκου & Οπτικών

Ο ΓΚΠΔ έχει ήδη τεθεί σε εφαρμογή από την 25.5.2018 και κατά συνέπεια θα πρέπει οι οργανισμοί και οι εταιρείες που δεν έχουν συμμορφωθεί με τα δεδομένα να προβούν σε μια σειρά από ενέργειες για να υλοποιήσουν την νομική τους υποχρέωση και να συμμορφωθούν με τις σχετικές απαιτήσεις που επιβάλλει ο Κανονισμός. Συγκεκριμένα θα πρέπει να ακολουθηθούν 12 σημαντικά βήματα:

  1. Γνώση του ΓΚΠΔ: Θα πρέπει οι εταιρείες να αναθεωρήσουν και να αναβαθμίσουν τις πολιτικές διαχείρισεις των κινδύνων τους.
  2. Να Δημιουργηθεί και να καταγραφεί το αρχείο δραστηριοτητων: Γιατί συλλέγονται τα προσωπικά δεδομένα? Είναι ακόμα απαραίτητο? Είναι ασφαλές?
  3. Πως αλλάζει η πρόσβαση απαιτήσεων : Να οργανωθεί η διαχείριση απαιτήσεων εντός των νέων χρονοδιαγραμμάτων.
  4. Διασφάλιση των Δικαιωμάτων Ιδιωτικότητας: Βεβαιωθείτε ότι οι διαδικασίες καλύπτουν όλα τα φυσικά πρόσωπα και συμπεριλαμβάνουν δικαίωμα διαγραφής και το δικαίωμα στη φορητότητα των δεδομένων.
  5. Επικοινωνία με τους Εργοδοτούμενους εντός της Εταιρείας αλλά και με τους Συνεργάτες εκτός της εταιρείας : Αναθεωρήστε τις ειδοποιήσεις σας
  6. Εξασφαλίστε τη συγκατάθεση των πελατών ή το διασφαλίστε τη συμβατική σχέση ή το έννομο συμφέρον
  7. Συγκατάθεση πελατών : Αναθεωρήστε τον τρόπο με τον οποίο εξασφαλίζετε και καταγράφεται η συγκατάθεση των πελατών
  8. Επεξεργασία Δεδομένων Ανηλίκων
  9. Εκτίμηση Αντικτύπου
  10. Υποβολή Παραπόνου Παραβίασης Δεδομένων
  11. Διορισμός Υπεύθυνου Προστασίας Δεδομένων (DPO)
  12. Διεθνής Οργανισμοί και Εφαρμογή ΓΚΠΔ

 

Σ’ αυτό το στάδιο οι οπτικοί οίκοι θα πρέπει να προβούν σε αρχείο δραστηριοτήτων το οποίο θα πρέπει να περιλαμβάνει τα ακόλουθα: Ονοματεπώνυμο και στοιχείο επικοινωνίας

  • Δημιουργία Καταλόγου όλων των προσωπικών δεδομένων που κατέχονται- αρχείο πελατών, ασθενών . Το αρχείο θα πρέπει να περιλαμβάνει τα προσωπικά δεδομένα που φυλάγονται σε έντυπη ή ηλεκτρονική μορφή.
  • Νομική Σχέση και βάση της επεξεργασίας των δεδομένων
  • Όπου είναι δυνατό να συμπεριληφθεί η χρονική διάρκεια διατήρησης των δεδομένων και διαγραφής των
  • Όπου είναι δυνατό να περιληφθεί επίσης γενική περιγραφή των τεχνικών μέσων και των μέσων ασφάλειας και με ποιο τρόπο διασφαλίζονται

Ρόλοι & Ευθύνες

«υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,

«εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,

Διορισμό Υπεύθυνου Προστασίας Δεδομένων (DPO) – οι οπτικοί οίκοι συμβουλεύονται να μην δώσουν τίτλο σε μέλη του προσωπικού. Φυσικά υπάρχει και η περίπτωση όπως κάποιοι οργανισμού δεν απαιτείται να διορίσουν υπεύθυνο προστασίας δεδομένων.

Παραπομπές

Τίποτα στον νέο νόμο εμποδίζει επαγγελματίες από το να διαβιβάζουν πληροφορίες για την άμεση φροντίδα σε άλλους επαγγελματίες στον τομέα υγείας υπό την προϋπόθεση ότι αυτό γίνεται με τρόπο και με διαδικασία που διασφαλίζει πρόσβαση μόνο στους ειδικούς.

Χρονικό Διάστημα Διατήρησης Δεδομένων Προσωπικού Χαρακτήρα

Η Επίτροπος έχει εκδώσει οδηγία[19]για τον τομέα της υγείας η οποία όμως δεν καλύπτει τους οπτικούς και το οπτικό επάγγελμα.

Όμως επειδή εμπίπτει στον τομέα παροχής φροντίδας θεωρείται ότι καλύπτει και το οπτικό επάγγελμα. Η περίοδος έχει καθοριστεί στα 15 έτη.

Γιώργος Τ. Χριστοφίδης

Δικηγόρος

[1] Γνωστός και ως General Data Protection Regulation (GDPR), σύμφωνα με την ονομασία του στα αγγλικά. Ο νέος Κανονισμός βρίσκεται διαθέσιμος στην επίσημη ιστοσελίδα της ΕΕ http://eur-lex.europa.eu/legal-content/EL/TXT/?uri=celex%3A32016R0679.

[2] Στην πρώτη ενότητα του εγχειριδίου θα παρουσιαστούν συνοπτικά μερικές από τις πιο κομβικές καινοτομίες του Κανονισμού.

[3] Άρθρο 83 του Κανονισμού, παρ.5 και 6.

[4] Άρθρο 37 Κανονισμού.

[5] Κ. Κουρούπης «Εγχειρίδιο εφαρμγοής ΓΚΠΠΔ», Λευκωσία 2017.

[6] Περί Ρυθμίσεως της Άσκησης του Επαγγέλματος του Οπτικού Νόμο 16(Ι)/1992 που τροποποιήθηκε με τους Νόμους 17(Ι)/2001,210(Ι)/2004,96(Ι)/2012,76 & 77 (Ι)/2013.

[7] Α2 Ερμηνευτικές διατάξεις του Νόμου 138(Ι)/2001.

[8] Α6(στ).

[9] General Optical Council. Standards for optometrists and dispensing opticians. (23/8/2017)

[10] Guidelines on Transparency under Regulation 2016/679, διαθέσιμες στην επίσημη ιστοσελίδα http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=615250.

[11] Παρουσιάζεται στη συνέχεια των αρχών νόμιμης επεξεργασίας.

[12] Βλ.αιτιολογική σκέψη 39 του Κανονισμού.

[13] Σύμφωνα με το άρθρο 4 του Κανονισμού, ψευδωνυμοποίηση είναι «η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο». Όπως επανειλημμένα υπογραμμίζεται τόσο σε άρθρα του Κανονισμού όσο και στις αιτιολογικές του σκέψεις, η ψευδωνυμοποίηση δεν ταυτίζεται με την ανωνυμοποίηση. Τούτο έχει ιδιαίτερη σημασία καθώς ο Κανονισμός προβλέπει ρητά ότι το θεσμικό πλαίσιο προστασίας δεδομένων δεν εφαρμόζεται σε ανώνυμα δεδομένα, τα οποία εξ ορισμού δεν μπορούν να οδηγήσουν στην ταυτοποίηση ενός φυσικού προσώπου. Αναφορικά με τη μέθοδο της ψευδωνυμοποίησης βλ. Κ.Λιμνιώτη, «Ανωνυμοποίηση και ψευδωνυμοποίηση δεδομένων προσωπικού χαρακτήρα», μέλος της ελληνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, παρουσίαση στο πλαίσιο του 7ου Διεθνούς Συνεδρίου στην Ηλεκτρονική Δημοκρατία (7th International Conference on eDemocracy), 15-12-2017, διαθέσιμη στο διαδίκτυο http://www.edemocracy2017.eu/wp-content/uploads/2018/01/%CE%91%CE%BD%CF%89%CE%BD%CF%85%CE%BC%CE%BF%CF%80%CE%BF%CE%AF%CE%B7%CF%83%CE%B7-%CE%BA%CE%B1%CE%B9-%CF%88%CE%B5%CF%85%CE%B4%CF%89%CE%BD%CF%85%CE%BC%CE%BF%CF%80%CE%BF%CE%AF%CE%B7%CF%83%CE%B7.pdf, G.Maldoff, “Top 10 operational impacts of the GDPR: Part 8- Pseudonymization”, άρθρο αναρτημένο στην επίσημη ιστοσελίδα του Διεθνούς Οργανισμού Επαγγελματιών Προστασίας Ιδιωτικότητας Δεδομένων (IAPP- International Association of Privacy Professionals), ημερομηνία δημοσίευσης 12-2-2016, διαθέσιμο στην επίσημη ιστοσελίδα https://iapp.org/news/a/top-10-operational-impacts-of-the-gdpr-part-8-pseudonymization/.

[14] Η κρυπτογράφηση αναφέρεται ως μέθοδος ασφαλούς επεξεργασίας δεδομένων από τον Κανονισμό και προβλέπεται ρητά σε διάφορες διατάξεις και σε αιτιολογικές σκέψεις του ότι λειτουργεί ως εγγύηση ασφάλειας. Πρόκειται για τεχνική μέθοδο χρήσης αλγορίθμων με σκοπό την αλλαγή ενός μηνύματος, ώστε να καθίσταται δυνατή η αποκωδικοποίησή του μόνο από τον προσδιοριζόμενο παραλήπτη. Βλ. Β.Κάτο και Γ.Στεφανίδη, «Τεχνικές κρυπτογραφίας και κρυπτανάλυσης», Εκδόσεις Ζυγός, Θεσσαλονίκη, 2003.

[15] Βλ. άρθρα 40-43 Κανονισμού.

[16] Βλ. άρθρο 36 Κανονισμού.

[17] Βλ. άρθρα 37-39 Κανονισμού. Αναλυτική παρουσίαση του «Υπεύθυνου Προστασίας Δεδομένων» ακολουθεί στη συνέχεια του κειμένου.

[18] Βλ. αναλυτικά για την αρχή της λογοδοσίας σε Λ.Μήτρου, «Ο γενικός κανονισμός προστασίας προσωπικών δεδομένων : νέο δίκαιο-νέες υποχρεώσεις- νέα δικαιώματα», Εκδόσεις Σάκκουλα, Αθήνα-Θεσσαλονίκη, 2017, σελ.90-94.

[19] Οδηγία που εκδίδεται για το χρονικό διάστημα διατήρησης δεδομένων προσωπικού χαρακτήρα που αφορούν στην υγεία, ημ. 3.7.2018.