Στην εφαρμογή της Ευρωπαϊκής οδηγίας για τα δικαιώματα των καταναλωτών (Οδηγία 2011/83/ΕΕ) προχώρησε η πασίγνωστη ιστοσελίδα εξεύρεσης καταλυμάτων Airbnb, μετά από καταγγελίες που έγιναν από καταναλωτές.

Πλέον, σύμφωνα με ανακοίνωση της Ε.Ε.[1], οι προσφορές καταλυμάτων στους καταναλωτές θα είναι σύμφωνες με τα πρότυπα που ορίζονται στο δίκαιο της Ε.Ε. για την προστασία των καταναλωτών. Η εταιρεία προχώρησε στην κίνηση αυτή κατόπιν αιτήματος που διατύπωσαν η Ευρωπαϊκή Επιτροπή και οι αρχές προστασίας των καταναλωτών της ΕΕ τον Ιούλιο του 2018.

Οι σημαντικότερες και πιο ευδιάκριτες τροποποιήσεις που έγιναν από την εταιρεία είναι ότι, στην αναζήτηση καταλύματος με επιλεγμένες ημερομηνίες, οι χρήστες βλέπουν πλέον, τη συνολική τιμή στη σελίδα αποτελεσμάτων, συμπεριλαμβανομένων όλων των εφαρμοστέων υποχρεωτικών επιβαρύνσεων και τελών (όπως χρεώσεις για υπηρεσίες καθαρισμού και τοπικούς φόρους). Επί της ουσίας δεν υπάρχουν πλέον υποχρεωτικά τέλη «έκπληξη» που να εμφανίζονται στις επόμενες σελίδες.

Επιπλέον, η Airbnb θα κάνει ευδιάκριτη την διαφορά μεταξύ καταλυμάτων που διατίθονται στην αγορά από ιδιώτες και αυτών που διατίθονται από επαγγελματίες.

Παράλληλα η Airbnb παρέχει στον δικτυακό της τόπο, σύνδεσμο προς την πλατφόρμα ηλεκτρονικής επίλυσης διαφορών, ο οποίος μάλιστα είναι εύκολα προσβάσιμος, καθώς και όλες τις απαραίτητες πληροφορίες σχετικά με την επίλυση διαφορών.

Τέλος, η εταιρεία προχώρησε σε αναθεώρηση των όρων παροχής υπηρεσιών της, καθιστώντας πλέον σαφές ότι οι χρήστες μπορούν να προσφύγουν κατά της Airbnb ενώπιον των δικαστηρίων της χώρας κατοικίας, ότι σέβεται τα βασικά νομικά δικαιώματα των χρηστών να προσφεύγουν κατά του παρόχου καταλύματος, σε περίπτωση σωματικής βλάβης ή άλλων ζημιών καθώς και ότι δεσμεύεται να μη μεταβάλλει μονομερώς τους όρους και τις προϋποθέσεις χωρίς να ενημερώνει σαφώς τους χρήστες εκ των προτέρων και χωρίς να τους δίνει τη δυνατότητα να ακυρώσουν τη σύμβαση τους.

Η μη τήρηση των ευρωπαϊκών κανονισμών για τα δικαιώματα των καταναλωτών επιφέρει μεγάλες χρηματικές ποινές στους ιδιοκτήτες των διαδικτυακών σελίδων.

Για να μάθετε αν η ιστοσελίδα σας τηρεί τους όρους της ευρωπαϊκής οδηγίας και για να εναρμονιστείτε με αυτή επικοινωνήστε με το γραφείο μας.

[1] http://europa.eu/rapid/press-release_IP-19-3990_el.pdf

Η Γαλλική Αρχή Προστασίας Δεδομένων (CNIL) επέβαλε πρόσφατα πρόστιμο ύψους 400.000 € σε βάρος εταιρείας ενοικιάσεων ακινήτων (SERGIC)[1] για μη περιορισμό της περιόδου αποθήκευσης των δεδομένων στον αναγκαίο για τον σκοπό επεξεργασίας τους χρόνο [2] και μη λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας[3] του GDPR για την προστασία των προσωπικών δεδομένων.

Συνοπτικά διαπιστώθηκε ότι:

• Η εταιρεία – Υπεύθυνος επεξεργασίας δεν διέγραφε ή δεν αποθήκευε σε χωριστά (ενδιάμεσα) αρχεία και για ξεχωριστή ορισμένη χρονική περίοδο δεδομένα[4] που απαιτούνται στα πλαίσια συμμόρφωσης με νομικές υποχρεώσεις ή επίλυση διαφορών από τα αρχεία δημοσίευσης στοιχείων των υποψηφίων ενοικιαστών σε ιστοσελίδα εταιρείας για τον σκοπό μίσθωσης κατοικιών. Δεν έκανε δηλαδή λογικό διαχωρισμό αρχείων και περιόδου διατήρησης τους ανάλογα με τον σκοπό χρήσης[5] τους, με αποτέλεσμα να διατηρεί προσωπικά δεδομένα υποψήφιων ενοικιαστών πέραν του αναγκαίου διαστήματος για εκπλήρωση του σκοπού -μίσθωσης κατοικίας.
• Η εταιρεία – Υπεύθυνος επεξεργασίας δεν έλαβε τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας των προσωπικών δεδομένων[6] ώστε να διασφαλίσει την μη αποκάλυψη τους σε μη εξουσιοδοτημένα πρόσωπα, επειδή δεν αντιμετώπισε την ευπάθεια του συστήματος που γνώριζε και που εξαιτίας μη ταυτοποίησης χρήστη ιστοσελίδας έδινε πρόσβαση σε απεριόριστο αριθμό χρηστών της ιστοσελίδας και σε πλήθος εγγράφων με προσωπικά δεδομένα (κατάλογο δικαιολογητικών εγγράφων υποψήφιων ενοικιαστών) και μάλιστα εύκολα, χωρίς ειδικές τεχνικές γνώσεις[7].

Αξίζει να σημειωθεί ότι και η Δανική Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο για μη περιορισμό της περιόδου αποθήκευσης[8] και (2) έλλειψη απόδειξης συμμόρφωσης (λογοδοσίας)[9] σε βάρος εταιρείας – Υπευθύνου επεξεργασίας (IDdesign)[10], επειδή δεν είχε στο σύστημα της περιόδους αποθήκευσης ανάλογα με τον σκοπό επεξεργασίας και δεν τηρούσε αρχείο που να βεβαιώνει ότι διαγράφηκαν τα δεδομένα που έληξε ο σκοπός και η αντίστοιχη περίοδος διατήρησης τους. Τονίστηκε επίσης ότι η διατήρηση προσωπικών δεδομένων πελατών (π.χ. τιμολόγια) για συμμόρφωση με νομικές υποχρεώσεις (π.χ. φορολογικές) ή επίλυση διαφορών πρέπει να διακρίνεται από την διατήρηση ή χρήση δεδομένων για σκοπό πώλησης εμπορεύματος και συνεπώς να τηρείται χωριστό αρχείο και χωριστή περίοδος αποθήκευσης αυτών.

Πρόσφατα, επίσης και η Ιταλική Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο[11] για μη λήψη κατάλληλων μέτρων ασφαλείας[12] σε βάρος του εκτελούντος (ΙΤ support), αυτή την φορά, επεξεργασία για λογαριασμό του Υπεύθυνου επεξεργασίας, επειδή δεν τηρούταν αρχείο καταγραφής της πρόσβασης και των ολοκληρωμένων ενεργειών στην βάση δεδομένων (database) , δηλαδή των ονομαζόμενων ‘logs’, ενώ ακόμη καμία ενέργεια που λάμβανε χώρα στο ηλεκτρονικό σύστημα της πλατφόρμας δεν καταγραφόταν. Εντοπίστηκαν από την Αρχή συνολικά οι ακόλουθες ελλείψεις μέτρων ασφαλείας σε πλατφόρμα:

• χρήση παλιού λογισμικού χωρίς δυνατότητα επικαιροποίησης που καθιστούσε ευπαθές και αργό το σύστημα
• μη εφαρμογή συστήματος για ισχυρούς κωδικούς ασφαλείας ‘passwords’
• μη εφαρμογή πρωτοκόλλων ασφαλείας και ψηφιακών πιστοποιητικών κατά την μεταφορά δεδομένων που μειώνουν τον κίνδυνο από ψεύτικες ιστοσελίδες
• μη επαρκή μέτρα για αποθήκευση των ‘passwords’ εξαιτίας αδύναμου αλγόριθμου κρυπτογράφησης
• μη εφαρμογή μέτρων ελέγχου για καταγραφή πρόσβασης και ενεργειών σε βάση δεδομένων του συστήματος
• χρήση κοινόχρηστων λογαριασμών με αρκετά μεγάλα προνόμια στη λειτουργία της πλατφόρμας που έδιναν πρόσβαση και σε ευαίσθητα δεδομένα (όπως πολιτικές απόψεις)
• ανεπαρκή μέτρα ανωνυμοποίησης των δεδομένων

Ενόψει των ανωτέρω, για να αποφευχθεί ο κίνδυνος επιβολής προστίμων απαιτείται να ληφθούν από τις επιχειρήσεις, τα κάτωθι προτεινόμενα τεχνικά και οργανωτικά μέτρα ασφαλείας:

1. Διαχωρισμός αρχείων προσωπικών δεδομένων ανάλογα με τον σκοπό επεξεργασίας στο ηλεκτρονικό και χειρόγραφο σύστημα εταιρείας.
2. Καθορισμός στο ηλεκτρονικό και χειρόγραφο σύστημα εταιρείας συγκεκριμένης περιόδου διατήρησης προσωπικών δεδομένων ανάλογα με τον σκοπό επεξεργασίας, με την συμπλήρωση της οποίας τα συγκεκριμένα δεδομένα πελάτη να διαγράφονται ή να ανωνυμοποιούνται.
3. Τήρηση αρχείου συμμόρφωσης από ΥΠΔ- DPO που αποδεικνύει την ύπαρξη ελέγχου ανά τακτά σύντομα διαστήματα (μηνιαίως για χειρόγραφα ή καθημερινώς για ηλεκτρονικά αρχεία) και διαγραφής αχρείαστων δεδομένων που εκπλήρωσαν τον σκοπό επεξεργασίας τους.
4. Τήρηση διαδικασίας ταυτοποίησης προσώπου που ζητά πρόσβαση σε προσωπικά δεδομένα πριν την παροχή πρόσβασης και αποκάλυψης αυτών.
5. Λήψη μέτρων ασφαλείας που τεχνικά αποκλείει την μη εξουσιοδοτημένη πρόσβαση είτε μέσω κωδικών χρήστη ιστοσελίδας είτε διεύθυνσης φιλτραρίσματος URL ή μετακίνησης δεδομένων σε χωριστό μη προσπελάσιμο ή κρυπτογραφημένο αρχείο κλπ.
6. Χρήση του μέτρου ανωνυμοποίησης των δεδομένων, όταν έληξε ο σκοπός και αντίστοιχα η περίοδος διατήρησης τους.
7. Εφαρμογή μέτρων ελέγχου για καταγραφή πρόσβασης και ενεργειών σε βάση δεδομένων (database) του ηλεκτρονικού και/ή χειρόγραφου συστήματος.
8. Χρήση πρόσφατου λογισμικού με δυνατότητα επικαιροποίησης από προμηθευτή σε πλατφόρμα/ηλεκτρονικό σύστημα.
9. Εφαρμογή ισχυρών κωδικών ασφαλείας ‘passwords’ σε σύστημα/πλατφόρμα.
10. Εφαρμογή πρωτοκόλλων ασφαλείας και ψηφιακών πιστοποιητικών που διασφαλίζουν την αυθεντικότητα της ιστοσελίδας
11. Χρήση δυνατού αλγόριθμου κρυπτογράφησης για αποθήκευση των ‘passwords’
12. Περιορισμός δυνατότητας πρόσβασης και διαχείρισης αρχείων σε κοινόχρηστους λογαριασμούς, μέσω περιορισμένων προνομίων στη λειτουργία της πλατφόρμας/ηλεκτρονικού συστήματος που αποκλείει πρόσβαση σε δεδομένα, ιδίως ευαίσθητα, που δεν αφορούν τον συγκεκριμένο χρήστη.

Το παρόν δεν συνιστά σε καμιά περίπτωση νομική συμβουλή αλλά είναι μόνο για ενημερωτικούς σκοπούς.

 

[1] Διαθέσιμη σε: https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038552658&fastReqId=119744754&fastPos=1

[2] Παραβίαση του άρθρου 5 (1) (ε) (περιορισμός περιόδου αποθήκευσης) του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) EE 2016/679

[3] Παραβίαση του άρθρου 32 του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) EE 2016/679

[4] Δηλαδή τα δικαιολογητικά έγγραφα που τις έδιναν υποψήφιοι ενοικιαστές και τα οποία απαιτούνται σύμφωνα με τη νομοθεσία για ενοικίαση ακινήτων να υπάρχουν και να κρατούνται

[5] Έχει την έννοια επεξεργασίας του GDPR

[6] σύμφωνα με το άρθρο 32 του GDPR

[7] Συγκεκριμένα μέσω αλλαγής της τιμής του Χ στο τέλος της διεύθυνσης URL

[8] Παραβίαση του άρθρου 5 (1) (ε) (περιορισμός περιόδου αποθήκευσης) του GDPR

[9] Παραβίαση του άρθρου 5 (2) του GDPR

[10] Διαθέσιμη σε:

https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/jun/tilsyn-med-iddesigns-behandling-af-personoplysninger/

[11] Άρθρο για πρόστιμο διαθέσιμο σε:

https://www.gamingtechlaw.com/2019/04/first-gdpr-fine-italy.html

[12] και επομένως παραβίαση του άρθρου 32 του Κανονισμού (GDPR)

Όταν επιχείρηση λιανικού εμπορίου απασχολεί λιγότερο από 250 άτομα ως εργαζομένους σύμφωνα με το άρθρο 30 (5) [1] του Γενικού Κανονισμού Προστασίας Δεδομένων δεν έχει υποχρέωση τήρησης αρχείου δραστηριοτήτων εκτός αν εμπίπτει στις περιπτώσεις που απαριθμούνται διαζευκτικά στη ίδια διάταξη και είναι:

1. η επεξεργασία ενδέχεται να προκαλέσει κίνδυνο (όχι απαραίτητα υψηλό[2]) για τα δικαιώματα και ελευθερίες του υποκειμένου των δεδομένων

ή

2. η επεξεργασία δεν είναι περιστασιακή

ή

3. η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων, ήτοι ευαίσθητα δεδομένα του άρθρου 9 (1), όπως π.χ. υγείας ή η επεξεργασία αφορά ποινικές καταδίκες και αδικήματα του άρθρου 10.

Συνεπώς, όταν πρόκειται για επεξεργασία που είτε δεν είναι περιστασιακή ή μπορεί να επιφέρει κίνδυνο είτε αφορά ευαίσθητα ή ποινικά δεδομένα, τότε ο υπεύθυνος ή ο εκτελών επεξεργασία υποχρεούται να τηρεί αρχείο δραστηριοτήτων, έστω και αν πρόκειται για μικρομεσαία επιχείρηση με λιγότερους από 250 υπαλλήλους. Αρκεί μάλιστα μία από τις πιο πάνω περιπτώσεις να συντρέχει για να ισχύει η υποχρέωση τήρησης αρχείου, όπως προκύπτει από την διατύπωση της διάταξης με χρήση του διαζευκτικού «ή» και από την ερμηνεία που δίνεται σε Εγχειρίδιο σχετικά με την Ευρωπαϊκή νομοθεσία για την προστασία προσωπικών δεδομένων[3] και το έγγραφο θέσεων της Ομάδας Εργασίας του άρθρου 29 για το άρθρο 30 (5) [4]. Στο έγγραφο θέσεων της άνω Ομάδας αναφέρεται ότι σε περίπτωση που η επεξεργασία εμπίπτει στις εξαιρέσεις όπου εφαρμόζεται η υποχρέωση τήρησης αρχείου, τότε μπορεί να κρατείται αρχείο δραστηριοτήτων μόνο για την συγκεκριμένη επεξεργασία και όχι για τις υπόλοιπες επεξεργασίες. Διευκρινίζεται επίσης ότι η επεξεργασία για παράδειγμα δεδομένων των εργαζομένων σε μια μικρομεσαία επιχείρηση δεν είναι «περιστασιακή» και άρα θα προκύπτει υποχρέωση τήρησης αρχείου για αυτή.

Υπογραμμίζεται παράλληλα ότι το αρχείο δραστηριοτήτων είναι πολύ χρήσιμο μέσο ανάλυσης των κινδύνων που υπάρχουν σε πράξεις επεξεργασίας και λήψης αντίστοιχων μέτρων ασφαλείας, απαραίτητο για την συμμόρφωση με την αρχή λογοδοσίας του Κανονισμού. Ωστόσο, αναγνωρίζοντας η Ομάδα Εργασίας του άρθρου 29 το διοικητικό βάρος που προκαλεί μια τέτοια υποχρέωση σε μικρομεσαίες επιχειρήσεις παροτρύνονται οι Εθνικές Αρχές να διαθέτουν εργαλεία ή απλοποιημένα μοντέλα τήρησης αρχείου δραστηριοτήτων στις ιστοσελίδες τους[5], ενώ και στο Προοίμιο του ΓΚΠΔ (13)[6] αναφέρεται η παρέκκλιση από την υποχρέωση τήρησης αρχείου για μικρομεσαίες επιχειρήσεις με λιγότερους από 250 εργαζομένους και η λήψη υπόψη των ειδικών αναγκών των επιχειρήσεων αυτών κατά την εφαρμογή του Κανονισμού από τις Εποπτικές Αρχές και άλλα εθνικά ή Ευρωπαϊκά όργανα.

Με βάση όσα αναφέρθηκαν, προκύπτει ότι επιχείρηση λιανικού εμπορίου έχει υποχρέωση να τηρεί αρχείο δραστηριοτήτων τουλάχιστον για τις ακόλουθες επεξεργασίες:

1. Δεδομένα υγείας εργαζομένων της ως επεξεργασία ευαίσθητων δεδομένων
2. Δεδομένα εργαζομένων γενικά, όπως μισθοδοσία ως τακτική επεξεργασία
3. Δεδομένα πελατών, όπως παραστατικά παραγγελιών, πωλήσεων, παραδόσεων προϊόντων ως τακτική επεξεργασία
4. Δεδομένα από GPS και κάμερες ασφαλείας ως τακτική και υψηλού κινδύνου επεξεργασία
5. Δεδομένα επισκεψιμότητας ιστοσελίδων επιχείρησης ως τακτική επεξεργασία

 

Ειδικά για την επεξεργασία δεδομένων πελατών όπως παραστατικά παραγγελιών, πωλήσεων, παραδόσεων που πρέπει να τηρούνται από τις εταιρίες για φορολογικούς σκοπούς στο πλαίσιο της επιχειρηματικής δραστηριότητας πωλήσεων και συμμόρφωσης με νόμιμες υποχρεώσεις, επειδή ο όρος «περιστασιακή» επεξεργασία στο άρθρο 30 (5) δεν έχει αποσαφηνιστεί και αφορά την πλειονότητα των ΜΜΕ αναμένεται [7]από το 2018 γνωμοδότηση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (European Data Protection Board (EDPB) πρώην Ομάδα Εργασίας του άρθρου 29) επί του όρου.

Εν τω μεταξύ, έχουν υποστηριχτεί αντίθετες απόψεις στην αρθρογραφία, με την πρώτη άποψη να ακολουθεί την γραμματική και κυριολεκτική ερμηνεία του όρου[8] και την δεύτερη άποψη να τείνει σε μια προσέγγιση του σκοπού της διάταξης που είναι η εξαίρεση από τήρηση αρχείου για καθημερινές δραστηριότητες των ΜΜΕ[9].

Επιχειρήματα υπέρ της πρώτης άποψης[10] μπορεί να βρεθούν  στις κατευθυντήριες γραμμές της Ομάδας Εργασίας του άρθρου 29 (WP29) σχετικά με το άρθρο 49 του GDPR που αφορά την μεταφορά δεδομένων εκτός ΕΕ, όπου ερμηνεύοντας την «περιστασιακή» διαβίβαση δεδομένων του Προοιμίου (111) του Κανονισμού καταλήγει ότι για να κατηγοριοποιηθεί μια επεξεργασία δεδομένων ως περιστασιακή θα πρέπει να είναι πράγματι αυτό, δηλαδή περιστασιακή και όχι μια τακτική διαδικασία, που πολύ πιθανόν να μην εμπίπτει στις συνηθισμένες δραστηριότητες και να συμβαίνει υπό τυχαίες, απρόβλεπτες περιστάσεις[11].

Επιπλέον η ίδια ομάδα του άρθρου 29 δίδει, στις κατευθυντήριες γραμμές για Υπεύθυνο Προστασίας Δεδομένων – DPO[12], στο επίθετο «τακτική» μία ή περισσότερες από τις ακόλουθες ερμηνείες:

• συνεχής ή ανά συγκεκριμένα χρονικά διαστήματα για συγκεκριμένη χρονική περίοδο,
• λαμβάνουσα χώρα τακτικά ή κατ’ επανάληψη σε σταθερές χρονικές στιγμές,
• λαμβάνουσα χώρα αδιαλείπτως ή περιοδικά.

Η αντίθετη άποψη[13] με κύριο εκπρόσωπο της και επιχείρημα την ερμηνεία της έννοιας «περιστασιακή» επεξεργασία στην οδηγία επί αυτού της Βελγικής Αρχής Προστασίας Δεδομένων[14] υποστηρίζει ότι η διαχείριση δεδομένων πελατών, εργαζομένων, προμηθευτών, δηλαδή όλα τα δεδομένα που υπόκεινται σε επεξεργασία καθημερινά, θα μπορούσε να αποκλειστεί από τον ορισμό της «επεξεργασίας» για τον σκοπό της εξαίρεσης του άρθρου 30 (5), σε μια τελολογική προσέγγιση του άνω άρθρου και του πλαισίου της επεξεργασίας στην οποία αναφέρεται, ώστε να έχει ουσιαστικό αντίκρυσμα για τις ΜΜΕ.  Ωστόσο δεν διευκρινίζεται ο όρος «διαχείριση» στην άνω οδηγία της Βελγικής Αρχής, με τον συγγραφέα του σχετικού άρθρου να περιλαμβάνει στην «διαχείριση» των παραπάνω δεδομένων τα αρχεία εργαζομένων, πελατών και προμηθευτών, τις παραγγελίες με προμηθευτές, την έκδοση τιμολογίων πελατών και ενημέρωση τους σχετικά με πρόοδο εργασίας, χωρίς ωστόσο να φτάνει μέχρι την αποστολή μηνυμάτων ηλεκτρονικού εμπορίου ή επεξεργασία δεδομένων προσωπικού χαρακτήρα με τρόπο που δεν θα θεωρούνταν συνηθισμένος για την καθημερινή λειτουργία της επιχείρησης[15].

Από τα παραπάνω προκύπτει το συμπέρασμα ότι εφόσον το θέμα δεν έχει αποσαφηνιστεί επισήμως από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (European Data Protection Board (EDPB) πρώην Ομάδα Εργασίας του άρθρου 29) και ενόψει του κινδύνου επιβολής υψηλών προστίμων για μη συμμόρφωση με τον  GDPR είναι προτιμότερο να τηρείται αρχείο και για την συγκεκριμένη επεξεργασία δεδομένων πελατών ή προμηθευτών (τιμολόγηση, παραλαβής προϊόντων), καθώς με την κυριολεκτική έννοια και ως κατηγορία/φύση επεξεργασίας αποτελεί “τακτική ή μη περιστασιακή” επεξεργασία που εμπίπτει στις συνηθισμένες δραστηριότητες μιας μικρομεσαίας επιχείρησης.

Περαιτέρω, όταν υπάρχει υποχρέωση τήρησης αρχείου για αρκετές δραστηριότητες επεξεργασίας και αντίστοιχα Τμήματα που χειρίζονται τα δεδομένα αυτά, όπως ενδεικτικά Τμήμα Λογιστηρίου, Τμήμα Ανθρώπινου Δυναμικού, Τμήμα Logistics, Τμήμα Πωλήσεων κ.α. τότε ασφαλέστερη επιλογή λόγω συνοχής και καλύτερου ελέγχου και συμμόρφωσης με GDPR (ΓΚΠΔ) φαίνεται να είναι να τηρείται αρχείο δραστηριοτήτων για όλες τις επεξεργασίες της επιχείρησης και όχι μόνο για όσες απαιτούνται.

Δεν πρέπει να παραβλέπεται ότι τήρηση αρχείου δραστηριοτήτων αποτελεί μεν υποχρέωση αλλά και ταυτόχρονα χρήσιμο εργαλείο απεικόνισης χειρισμού των προσωπικών δεδομένων σε μια επιχείρηση και ως τέτοια πρέπει να αντιμετωπίζεται.

Το παρόν δεν συνιστά σε καμιά περίπτωση νομική  συμβουλή αλλά είναι μόνο για ενημερωτικούς σκοπούς.

 

Ελένη Ζαφείρη, LL.M., Δικηγόρος Ελλάδας

 Πηγές:

 

[1] Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679 άρθρο 30 (5):

«Οι υποχρεώσεις που αναφέρονται στις παραγράφους 1 και 2 δεν ισχύουν για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 παράγραφος 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.».

[2] Πληροφορίες Επιτρόπου Δεδομένων Προσωπικού Χαρακτήρα Κύπρου για Αρχείο δραστηριοτήτων σε ιστοσελίδα: http://www.dataprotection.gov.cy/dataprotection/dataprotection.nsf/page2h_gr/page2h_gr?opendocument, (πρόσβαση 14/06/2019).

[3] FRA (European Union Agency for Fundamental Rights and Council of Europe), Handbook on European data protection law, 2018, page 179.

[4] DPWP29 POSITION PAPER on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR.

[5] Βλ. ανωτέρω υποσημείωση (4) DPWP29 POSITION PAPER.

[6] Προοίμιο Γενικού Κανονισμού Προστασίας Δεδομένων (13):

«Για να διασφαλιστεί συνεκτικό επίπεδο προστασίας των φυσικών προσώπων σε ολόκληρη την Ένωση και προς αποφυγή αποκλίσεων που εμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά, απαιτείται κανονισμός ο οποίος θα κατοχυρώνει την ασφάλεια δικαίου και τη διαφάνεια για τους οικονομικούς παράγοντες, περιλαμβανομένων των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, και θα προβλέπει για τα φυσικά πρόσωπα σε όλα τα κράτη μέλη το ίδιο επίπεδο νομικά εκτελεστών δικαιωμάτων και υποχρεώσεων, καθώς και ευθυνών για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, ώστε να διασφαλιστεί η συνεκτική παρακολούθηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και οι ισοδύναμες κυρώσεις σε όλα τα κράτη μέλη και η αποτελεσματική συνεργασία μεταξύ των εποπτικών αρχών των διάφορων κρατών μελών. Για την ομαλή λειτουργία της εσωτερικής αγοράς, η ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης δεν πρέπει να περιορίζεται, ούτε να απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Για να ληφθεί υπόψη η ειδική κατάσταση των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, ο παρών κανονισμός περιλαμβάνει παρέκκλιση για οργανισμούς που απασχολούν λιγότερα από 250 άτομα όσον αφορά την τήρηση αρχείων. Επιπλέον, τα θεσμικά όργανα και οι οργανισμοί της Ένωσης, καθώς και τα κράτη μέλη και οι εποπτικές αρχές τους, παροτρύνονται να λαμβάνουν υπόψη τις ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων κατά την εφαρμογή του παρόντος κανονισμού. Η έννοια των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων θα πρέπει να βασίζεται στο άρθρο 2 του παραρτήματος στη σύσταση 2003/361/ΕΚ της Επιτροπής (5).».

[7] Σύμφωνα με επικοινωνία ICO με Gemma Briance & Geoffrey Sturgess, συγγραφείς άρθρου «Article 30 GDPR: What Does the Paragraph 5 Exemption Really Mean for Smaller Organisations?» (accessed 14/06/2019 at https://www.scl.org/articles/10114-article-30-gdpr-what-does-the-paragraph-5-exemption-really-mean-for-smaller-organisations»).

[8] Gill Payne Partnership LTD, «GDPR Article 30 – Maintaining Record of Processing Activities

GDPR – We Employee Less than 250, we’re Exempt from Keeping Records of Data Processing Activities, right? » (accessed 14/06/2019 at https://www.gillpayne.com/2018/10/gdpr-article-30-maintaining-record-of-processing-activities/).

[9] SCL -Tech Law for everyone, Gemma Briance and Geoffrey Sturgess «Article 30 GDPR: What Does the Paragraph 5 Exemption Really Mean for Smaller Organisations? » (accessed 14/06/2019 at https://www.scl.org/articles/10114-article-30-gdpr-what-does-the-paragraph-5-exemption-really-mean-for-smaller-organisations).

[10] Βλ. ανωτέρω υποσημείωση (8) Gill Payne Partnership LTD.

[11] DPWP29 (WP262) Guidelines on Article 49 of Regulation 2016/679, adopted on 6 February 2018, page 4.

[12] DPWP29 (WP243rev.01) Guidelines on Data Protection Officers (‘DPOs’), page 11,12,29.

[13] Βλ. Ανωτέρω υποσημείωση (9) SCL -Tech Law for everyone, Gemma Briance and Geoffrey Sturgess.

[14] Guidance of Belgian Privacy Commission (DPA) accessed 14/06/2019 at https://www.privacycommission.be/sites/privacycommission/files/documents/recommandation_06_2017_0.pdf , Opinion only published in French and Flemish.

[15] Βλ. Ανωτέρω υποσημείωση (9) SCL -Tech Law for everyone, Gemma Briance and Geoffrey Sturgess.

Η νομοθεσία που διέπει την ίδρυση και λειτουργία των σωματείων (ή των συνδέσμων, όπως αποκαλούνται συνηθέστερα) άλλαξε με αποτέλεσμα να απαιτούνται ριζικές αλλαγές στο καταστατικό των συνδέσμων, μεταξύ άλλων. Παρά τη παράταση που δόθηκε (μέχρι τις 30/6/2019), οι εφημερίδες σήμερα δημοσιεύουν ότι ένας πολύ μικρός αριθμός σωματείων συμμορφώθηκε με τις νέες διατάξεις με αποτέλεσμα να είναι η πιθανό η Βουλή να ψηφίσει νέα παράταση μέχρι τον Δεκέμβριο του 2019. Το γραφείο μας έχει διεκπαιρεώσει τη διαδικασία συμμόρφωσης με τη νέα νομοθεσία αριθμό πελατών μας που αποτελούν συνδέσμους ή σωματεία εντός της αρχικώς τασσόμενης προθεσμίας. Για περισσότερες πληροφορίες, αποταθείτε στη δικηγόρο του γραφείου μας, Γεωργία Ζαντήρα (g.zantira@jurisprudentes.com)