Επεξεργασία δεδομένων προσωπικού χαρακτήρα

H οδηγία 95/46/ΕΚ αποτελεί το κείμενο αναφοράς, σε ευρωπαϊκό επίπεδο, στα θέματα προστασίας των δεδομένων προσωπικού χαρακτήρα. Θεσπίζει ένα κανονιστικό πλαίσιο που αποσκοπεί στην εγκαθίδρυση μιας ισορροπίας μεταξύ ενός υψηλού επιπέδου προστασίας της ιδιωτικής ζωής των προσώπων και της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα ανά την Ευρωπαϊκή Ένωση (ΕΕ). Προς το σκοπό αυτό, η οδηγία ορίζει τα όρια για τη συλλογή και τη χρησιμοποίηση των δεδομένων προσωπικού χαρακτήρα και ζητά τη δημιουργία, σε κάθε κράτος μέλος, ενός ανεξάρτητου εθνικού οργανισμού επιφορτισμένου με την εποπτεία οποιασδήποτε δραστηριότητας συνδέεται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

ΠΡΑΞΗ

Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών [Βλέπε πράξεις τροποποίησης].

ΣΥΝΟΨΗ

Η παρούσα οδηγία εφαρμόζεται στα δεδομένα που αποτελούν αντικείμενο επεξεργασίας με αυτοματοποιημένες διαδικασίες (π.χ. πληροφορική βάση δεδομένων πελατών) καθώς και στη μη αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο (παραδοσιακά αρχεία σε χαρτί).

Η οδηγία δεν εφαρμόζεται στην επεξεργασία δεδομένων:

Στόχος της οδηγίας είναι η προστασία των δικαιωμάτων και των ελευθεριών των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, μέσω του καθορισμού κεντρικών κριτηρίων βάσει των οποίων καθίσταται νόμιμη η επεξεργασία και αρχών ποιότητας των δεδομένων.

Η νομιμότητα της επεξεργασίας δεδομένων διασφαλίζεται μόνο εάν

Οι αρχές ποιότητας των δεδομένων, που πρέπει να τηρούνται για όλες τις νόμιμες δραστηριότητες επεξεργασίας δεδομένων είναι οι εξής:

Το ενδιαφερόμενο πρόσωπο, του οποίου τα δεδομένα υποβάλλονται σε επεξεργασία, μπορεί να ασκεί τα εξής δικαιώματα:

Άλλες σχετικές πτυχές επεξεργασίας δεδομένων:

Κάθε πρόσωπο θα πρέπει να έχει τη δυνατότητα νομικής προσφυγής στην περίπτωση παραβίασης των δικαιωμάτων που εγγυώνται οι εθνικές διατάξεις οι οποίες ισχύουν για τη σχετική επεξεργασία δεδομένων. Εξάλλου, τα άτομα που έχουν υποστεί βλάβη λόγω μιας παράνομης επεξεργασίας των προσωπικών τους δεδομένων έχουν το δικαίωμα να επιτύχουν αποκατάσταση της ζημίας που υπέστησαν.

Επιτρέπονται οι μεταβιβάσεις δεδομένων προσωπικού χαρακτήρα από κράτος μέλος σε τρίτη χώρα, υπό την προϋπόθεση ότι η εν λόγω τρίτη χώρα διαθέτει το κατάλληλο επίπεδο προστασίας. Αντίθετα, μολονότι οι εν λόγω μεταβιβάσεις δεν μπορούν να πραγματοποιηθούν όταν δεν παρέχονται εγγυήσεις για ικανοποιητικό επίπεδο προστασίας, απαριθμούνται στην οδηγία ορισμένες εξαιρέσεις του εν λόγω κανόνα, όπως, για παράδειγμα, εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα συμφωνήσει με τη μεταβίβαση, εάν συναφθεί σύμβαση, εάν η διαβίβαση είναι αναγκαία για τη διασφάλιση σημαντικού δημοσίου συμφέροντος, αλλά εάν επίσης το κράτος μέλος έχει εγκρίνει δεσμευτικούς εταιρικούς κανόνες ή τυποποιημένες συμβατικές ρήτρες.

Η οδηγία αποσκοπεί στο να διευκολύνει την εκπόνηση κωδίκων εθνικής και κοινοτικής συμπεριφοράς, οι οποίοι θα συμβάλουν στην ομαλή εφαρμογή των κοινοτικών και εθνικών διατάξεων.

Κάθε κράτος μέλος προβλέπει μία ή περισσότερες ανεξάρτητες κρατικές αρχές οι οποίες επιφορτίζονται με την εποπτεία της εφαρμογής, στο εθνικό έδαφος, των ληφθέντων από τα κράτη μέλη μέτρων κατ' εφαρμογή της παρούσας οδηγίας.

Δημιουργείται ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, στην οποία συμμετέχουν εκπρόσωποι των εθνικών αρχών ελέγχου, εκπρόσωποι των ελεγκτικών αρχών των κοινοτικών θεσμικών οργάνων και οργανισμών και ένας εκπρόσωπος της Επιτροπής.

ΠΑΡΑΠΟΜΠΕΣ

Πράξη

Έναρξη ισχύος

Προθεσμία για μεταφορά στο εθνικό δίκαιο των κρατών μελών

Επίσημη Eφημερίδα

Οδηγία 95/46/ΕΚ

13.12.1995

24.10.1998

ΕΕ L 281 της 23.11.1995

Πράξεις τροποποίησης

Έναρξη ισχύος

Προθεσμία για μεταφορά στο εθνικό δίκαιο των κρατών μελών

Επίσημη Εφημερίδα

Κανονισμός (ΕΚ) αριθ. 1882/2003

20.11.2003

-

EE L 284 της 31.10.2003

Οι διαδοχικές τροποποιήσεις και διορθώσεις της οδηγίας 95/46/EK του Συμβουλίου έχουν ενσωματωθεί στο βασικό κείμενο. Η ενοποιημένη αυτή έκδοση έχει μόνον αξία τεκμηρίωσης.

ΣΥΝΑΦΕΙΣ ΠΡΑΞΕΙΣ

ΕΚΘΕΣΕΙΣ ΕΦΑΡΜΟΓΗΣ

Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο, της 7ης Μαρτίου 2007, «Παρακολούθηση του προγράμματος εργασίας για καλύτερη εφαρμογή της οδηγίας σχετικά με την προστασία των δεδομένων» [ COM(2007) 87 τελικό - Δεν έχει δημοσιευθεί στην Επίσημη Εφημερίδα].

Η παρούσα ανακοίνωση εξέτασε την εργασία που πραγματοποιήθηκε στο πλαίσιο του προγράμματος εργασίας για καλύτερη εφαρμογή της οδηγίας για την προστασία των δεδομένων που περιλαμβάνεται στην πρώτη έκθεση για την εφαρμογή της οδηγίας 95/46/ΕΚ. Η Επιτροπή ανέφερε βελτιώσεις καθώς όλα τα κράτη μέλη έχουν μεταφέρει την οδηγία στο εθνικό δίκαιο. Η Επιτροπή διευκρίνισε ότι η οδηγία δεν πρέπει να τροποποιηθεί.

Προσέθεσε επίσης ότι:

Έκθεση της Επιτροπής, της 15ης Μαΐου 2003, με τίτλο «Πρώτη έκθεση επί της εφαρμογής της οδηγίας σχετικά με την προστασία των δεδομένων (95/46/ΕΚ)» [ COM(2003) 265 τελικό - Δεν έχει δημοσιευθεί στην Επίσημη Εφημερίδα].

Η έκθεση ανέφερε ειδικότερα τα αποτελέσματα των διαβουλεύσεων που πραγματοποιήθηκαν από την Επιτροπή σχετικά με την αξιολόγηση της οδηγίας 95/46/ΕΚ με κυβερνήσεις, ιδρύματα, ομοσπονδίες επιχειρήσεων, ενώσεις καταναλωτών και πολίτες. Τα αποτελέσματα των διαβουλεύσεων έδειξαν ότι λίγοι από τους εκφράσαντες γνώμη τάχθηκαν υπέρ μιας αναθεώρησης της οδηγίας. Εξάλλου, μετά από διαβούλευση με τα κράτη μέλη, η Επιτροπή σημείωσε το γεγονός ότι μια πλειονότητα μεταξύ αυτών και των εθνικών ελεγκτικών αρχών δεν θεωρούσαν απαραίτητη την τροποποίηση της οδηγίας στο παρόν στάδιο.

Παρά τις καθυστερήσεις και τα κενά που διαπιστώθηκαν στην εφαρμογή της, η οδηγία εκπλήρωσε τον κυρίως στόχο της που είναι η άρση των εμποδίων στην ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών. Η Επιτροπή εκτίμησε εξάλλου ότι ο στόχος που αποσκοπεί στην εγγύηση υψηλού επιπέδου προστασίας στην Κοινότητα επιτεύχθηκε καθόσον η οδηγία όρισε κάποιες προδιαγραφές προστασίας των δεδομένων μεταξύ των πλέον υψηλών του κόσμου.

Άλλοι στόχοι της πολιτικής της εσωτερικής αγοράς, εντούτοις, δεν επιτεύχθηκαν εξίσου καλά. Η νομοθεσία σε θέματα προστασίας των δεδομένων διαφέρει ακόμη σημαντικά μεταξύ των κρατών μελών. Όμως, αυτές οι ανισότητες παρεμποδίζουν τις πολυεθνικές οργανώσεις να καθορίσουν πανευρωπαϊκές πολιτικές σε θέματα προστασίας των δεδομένων. Επίσης η Επιτροπή ανακοίνωσε ότι θα πράξει ό,τι είναι απαραίτητο για να αποφύγει, στο μέτρο του δυνατού, την προσφυγή σε επίσημη ενέργεια.

Σε ό,τι αφορά το γενικό επίπεδο τήρησης της προστασίας των δεδομένων στην ΕΕ, θα πρέπει να αναφερθούν τρεις δυσχέρειες:

Για να εξασφαλισθεί μια καλύτερη εφαρμογή της οδηγίας προστασίας των δεδομένων, η Επιτροπή εξέδωσε πρόγραμμα εργασίας που αφορά ορισμένο αριθμό ενεργειών οι οποίες θα πρέπει να εκτελεσθούν στο χρόνο μεταξύ της έγκρισης της παρούσας έκθεσης και του τέλους του 2004. Οι ενέργειες αυτές περιλαμβάνουν τις ακόλουθες πρωτοβουλίες:

ΟΔΗΓΙΑ «ΠΡΟΣΤΑΣΙΑ ΙΔΙΩΤΙΚΗΣ ΖΩΗΣ ΣΤΙΣ ΗΛΕΚΤΡΟΝΙΚΕΣ ΕΠΙΚΟΙΝΩΝΙΕΣ»

Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία «προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες») [Επίσημη Εφημερίδα L 201 της 31.07.2002].

Η εν λόγω οδηγία εγκρίθηκε το 2002 συγχρόνως με ένα νέο νομοθετικό διατακτικό που καλείται να πλαισιώσει τον τομέα των ηλεκτρονικών επικοινωνιών. Αυτή περιέχει τις διατάξεις πάνω σε ορισμένα θέματα περισσότερο ή λιγότερο ευαίσθητα, όπως η διατήρηση των δεδομένων σύνδεσης από τα κράτη μέλη για σκοπούς αστυνομικής επιτήρησης (κατακράτηση των δεδομένων), η αποστολή ηλεκτρονικών μηνυμάτων χωρίς να έχουν ζητηθεί, η χρήση των μαρτύρων σύνδεσης («cookies») και η συμπερίληψη των προσωπικών δεδομένων στους δημόσιους καταλόγους.

Ο κανονισμός (ΕΕ) αριθ. 611/2013 περιέχει κανόνες για την κοινοποίηση παραβιάσεων προσωπικών δεδομένων από παρόχους διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε περίπτωση απώλειας, κλοπής ή με άλλον τρόπο διακύβευσης δεδομένων προσωπικού χαρακτήρα των πελατών τους.

Ο κανονισμός 2002/58/ΕΚ απαιτεί από τους παρόχους, σε περίπτωση που επέλθει παραβίαση προσωπικών δεδομένων και διακυβευθούν δεδομένα προσωπικού χαρακτήρα, να ενημερώνουν σχετικά την αρμόδια εθνική αρχή προστασίας δεδομένων και, σε ορισμένες περιπτώσεις, και τους συνδρομητές ή τα άτομα που επηρεάζονται. Ο κανονισμός (ΕΕ) 611/2013 εισαγάγει «τεχνικά εκτελεστικά μέτρα» προκειμένου να διευκρινίσει πώς θα τηρούνται οι εν λόγω υποχρεώσεις.

Οι πάροχοι υποχρεούνται, μεταξύ άλλων:

ΤΥΠΟΠΟΙΗΜΕΝΕΣ ΣΥΜΒΑΤΙΚΕΣ ΡΗΤΡΕΣ ΓΙΑ ΤΗ ΔΙΑΒΙΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΡΟΣ ΤΡΙΤΕΣ ΧΩΡΕΣ

Απόφαση 2004/915/ΕΚ , της 27ης Δεκεμβρίου 2004, που τροποποιεί την απόφαση 2001/497/ΕΚ σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες [Επίσημη Εφημερίδα L 385 της 29.12.2004].

Η Ευρωπαϊκή Επιτροπή ενέκρινε τις νέες τυποποιημένες συμβατικές ρήτρες που μπορούν να χρησιμοποιήσουν οι επιχειρήσεις για να εξασφαλίσουν τις επαρκείς εγγυήσεις κατά τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα προς τις τρίτες χώρες. Αυτές οι νέες ρήτρες θα προστεθούν σε εκείνες που υπάρχουν ήδη στο πλαίσιο της απόφασης της Επιτροπής τον Ιούνιο του 2001 (βλέπε παρακάτω).

Απόφαση 2001/497/ΕΚ της Επιτροπής, της 15ης Ιουνίου 2001, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες δυνάμει του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ [Επίσημη Εφημερίδα L 181 της 04.07.2001].

Η απόφαση αυτή καθορίζει τις τυποποιημένες συμβατικές ρήτρες που θα εξασφαλίσουν ένα επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την ΕΕ προς τρίτες χώρες. Η απόφαση υποχρεώνει τα κράτη μέλη να αναγνωρίσουν ότι οι εταιρείες ή οι οργανισμοί που χρησιμοποιούν τέτοιες τυποποιημένες συμβατικές ρήτρες σε συμβάσεις σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες πρέπει να εξασφαλίζουν «ένα επαρκές επίπεδο προστασίας» των δεδομένων.

Απόφαση 2010/87/ΕΕ της Επιτροπής σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου [Επίσημη Εφημερίδα L 39 της 12.02.2010]

Αποφάσεις της Επιτροπής που επικυρώνουν το ικανοποιητικό επίπεδο προστασίας δεδομένων προσωπικού χαρακτήρα σε διάφορες τρίτες χώρες με βάση το άρθρο 25 παράγραφος 6: η Επιτροπή έχει αναγνωρίσει μέχρι σήμερα ότι παρέχουν ικανοποιητική προστασία οι χώρες Ανδόρα, Αργεντινή, Αυστραλία, Καναδάς (εμπορικοί οργανισμοί), Ελβετία, Φερόες Νήσοι, Γκέρνζι, Ισραήλ, Νήσος του Μαν, Τζέρζι, Νέα Ζηλανδία, Ουρουγουάη και οι αρχές ασφαλούς λιμένα του Υπουργείου Εμπορίου των ΗΠΑ.

ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΑΠΟ ΤΑ ΟΡΓΑΝΑ ΚΑΙ ΤΟΥΣ ΟΡΓΑΝΙΣΜΟΥΣ ΤΗΣ ΚΟΙΝΟΤΗΤΑΣ

Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών [Επίσημη Εφημερίδα L 8 της 12.01.2001].

Ο κανονισμός αυτός έχει στόχο την εξασφάλιση της προστασίας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των οργάνων και των οργανισμών της Ευρωπαϊκής Ένωσης. Το κείμενο προβλέπει:

τελευταία ενημέρωση 08.03.2014