ΕΚΠΑΙΔΕΥΣΗ: GDPR – ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ

Δικηγόρος του γραφείου μας, Χριστιάνα Μάρκου, ως εκπαιδεύτρια του Cyprus Center for Alternative Dispute Resolution εκπόνησε την εκπαίδευση 28 επαγγελματιών επί του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΕΕ) με τίτλο «ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ (GDPR) -ΠΡΑΚΤΙΚΗ ΕΦΑΡΜΟΓΗ».

Η εκπαίδευση έλαβε χώρα στις 22,23,29,30 Μαρτίου 2023, είχε διάρκεια 14 ωρών και ήταν επιχορηγημένη από την ΑΝΑΔ, καθώς και εγκεκριμένη από τον Παγκύπριο Δικηγορικό Σύλλογο για 14 CPDs.  Δόθηκε έμφαση στον διαχωρισμό απλών και ευαίσθητων δεδομένων, στις προϋποθέσεις νόμιμης επεξεργασίας, στην εκπόνηση εκτίμησης αντικτύπου, στην αξιολόγηση μιας παράβασης καθώς και στην ορθή συμπλήρωση του αρχείου δραστηριοτήτων και την κατάρτιση Πολιτικής Προστασίας Προσωπικών Δεδομένων μέσα από πρακτικές- διαδραστικές ασκήσεις και εργαλεία. Το υλικό που αφορά τον Κανονισμό και οι ανάγκες συμμόρφωσης με αυτόν παραμένουν πάντοτε επίκαιρες και αφορούν κάθε οργανισμό, ιδιωτικό ή δημόσιο και αυτό αποδεικνύεται από το ενδιαφέρον για την εκπαίδευση, η οποία στέφθηκε με επιτυχία και η οποία ήταν η δεύτερη στη σειρά από το Κέντρο, εφόσον η πρώτη έλαβε χώρα τον Δεκέμβριο του 2022.

Εκπαιδευόμενοι ήταν Δικηγόροι, Υπεύθυνοι Προστασίας Προσωπικών Δεδομένων (DPOs), Διοικητικά Στελέχη εταιρειών (CEOs, CFOs, CIOs), Ανώτερα Στελέχη σε ασφαλιστικές εταιρείες, οργανισμούς, Λειτουργοί Συμμόρφωσης και άλλοι ενδιαφερόμενοι. 

Consent in EU law means consent: Top European Court confirms our views on the application of the law on cookies so far

On the 1st October 2019, the CJEU in Case C‑673/17 has clarified that Article 5(3) of the E-privacy Directive (the so-called Cookie Law) and the GDPR provisions on consent require actively signified consent to the use of cookies. Accordingly, the use of pre-checked boxes (and other ways of inferring consent such as from the act of a user reading a Web page) do not allow for the securing of valid user consent. This approach is consistent with consent requirements in other contexts, such as Article 22 of the Consumer Rights Directive. The said provision specifically states that that pre-checked boxes referring to charges for additional products to be incurred by the consumer when he submits an order for a main product do not constitute valid consent to such additional charges. It would seem that consent means consent under EU law! The approach taken by the CJEU is also consistent with the views expressed a few years ago by Christiana Markou, lawyer of our office, when she illustrated that Data Protection Authorities and other officials were wrong in the way they were interpreting the relevant (cookies) provision of the e-Privacy Directive, perhaps due to the strong business resistance towards the relevant consent requirement. You can find her related work titled Markou, C. Behavioural Advertising and the New “EUCookie Law” as a Victim of Business Resistance and a Lackof Official Determination. Data Protection on the Move: Current Developments in ICT and Privacy/Data Protection (2016), 213–247 here: https://www.springerprofessional.de/behavioural-advertising-and-the-new-eu-cookie-law-as-a-victim-of/7085912

Cyprus: A Look into the Law for the Effective Application of the GDPR

In this report just published by the European Data Protection Law Review, the lawyer of our office, Christiana Markou takes a look into the law introduced in Cyprus for the effective application of the GDPR. The report shows how Cyprus has made use of the options allowed to Member States by the GDPR and comments on the relevant choices made by the Cypriot legislator. For more information you can read the article here:

https://edpl.lexxion.eu/article/EDPL/2019/3/13

Best Legal 6th Annual Conference

Our law office has attended the 6th Annual Best Legal Conference, which took place in Limassol on the 26th September 2019.  The conference presents the latest legal developments having an impact on businesses in Cyprus. The lawyer of our office and Assistant Professor of Law at the European University of Cyprus, Christiana Markou, has been an invited speaker. Her speech was on the state of data retention laws in Cyprus after the annulment of the EU Data Retention Directive. On the panel discussion followed, she further enlightened attendees about issues pertaining to the GDPR and other relevant regulation. Eleni Zafeiri, lawyer of our office has attended the conference as a delegate in order to keep up with the latest developments in the legal framework for new technologies.

Νομιμότητα απαίτησης/συλλογής πιστοποιητικού λευκού ποινικού μητρώου εργαζομένων από εργοδότες

Ελένη Ζαφείρη, δικηγόρος Ελλάδος, Markou & Co LLC

Οι προϋποθέσεις που πρέπει να πληρούνται σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων προκειμένου να συλλέξει και να επεξεργαστεί νόμιμα ο εργοδότης πιστοποιητικό λευκού ποινικού μητρώου από εργαζομένους-υπαλλήλους του, όταν η συγκεκριμένη υποχρέωση δεν προβλέπεται από το νόμο,[1] είναι:

 

  1. Να διενεργείται με την συγκατάθεση του Υποκειμένου των δεδομένων, η οποία συγκατάθεση πρέπει να δίνεται ρητώς με θετική πράξη και ελεύθερα, αφού προηγουμένως έχει ενημερωθεί το υποκείμενο των δεδομένων- εργαζόμενος για τον σκοπό συλλογής των εν λόγω δεδομένων
  2. Ο σκοπός συλλογής να βρίσκεται σε συνάφεια με την συγκεκριμένη θέση και καθήκοντα εργασίας
  3. Να διενεργείται η συλλογή υπό τον έλεγχο επίσημης αρχής, με την επιφύλαξη πάντα ότι πλήρες ποινικό μητρώο τηρείται μόνο από Επίσημη Αρχή.

Πρέπει να συντρέχουν σωρευτικά οι παραπάνω προϋποθέσεις προκειμένου η συλλογή λευκού ποινικού μητρώου από εργοδότη να είναι νόμιμη.

Αναφορικά με την πρώτη προϋπόθεση πρέπει να σημειωθεί ότι δεν μπορεί να θεωρηθεί ότι έχει δοθεί η συγκατάθεση του εργαζομένου με μόνη τη σιωπή ή αδράνεια του, ενώ επιπλέον απαιτείται για να θεωρηθεί ότι η συγκατάθεση έχει δοθεί ελεύθερα και εκ τούτου νόμιμα, να εξετάζονται προσεκτικά οι συγκεκριμένες περιστάσεις υπό τις οποίες δόθηκε και να μην προκύπτουν δυσμενείς συνέπειες σε περίπτωση άρνησης του εργαζομένου. Δεδομένου της οικονομικής ανισορροπίας που υπάρχει στη σχέση εργοδότη – εργαζομένου μόνο κατ’ εξαίρεση θεωρείται ότι υπάρχει ελεύθερη συγκατάθεση στο πλαίσιο των εργασιακών σχέσεων, αφού ληφθούν υπόψη κατά περίσταση οι συνθήκες υπό τις οποίες δόθηκε η συγκατάθεση και η ανυπαρξία δυσμενών επιπτώσεων, πχ. μη πρόσληψη ή απόλυση/υποβιβασμός, εάν ο εργαζόμενος αρνηθεί.

Επίσης απαιτείται για να είναι νόμιμη η συγκατάθεση να έχει ενημερωθεί προηγουμένως το υποκείμενο των δεδομένων-εργαζόμενος για την φύση των δεδομένων και τον σκοπό συλλογής τους, ώστε η συγκατάθεση να δίνεται με πλήρη επίγνωση και για τον συγκεκριμένο σκοπό.

Σημειώνεται ότι επειδή το ποινικό μητρώο αποτελεί ειδική κατηγορία προσωπικών δεδομένων, η απαιτούμενη συγκατάθεση θα πρέπει να είναι ρητή (να αναφέρεται δηλαδή συγκεκριμένα στο εν λόγω προσωπικό δεδομένο) και να εξασφαλίζεται γραπτώς, ώστε ο εργοδότης, ως υπεύθυνος επεξεργασίας, να είναι σε θέση να αποδείξει, εάν χρειαστεί, ότι πράγματι συμμορφώθηκε με την συγκεκριμένη απαίτηση.

Σχετικά με την δεύτερη προϋπόθεση πρέπει να παρατηρηθεί ότι χρειάζεται να υπάρχει συνάφεια του σκοπού συλλογής των δεδομένων με την συγκεκριμένη θέση εργασίας, στο πλαίσιο εφαρμογής της γενικής αρχής της αναλογικότητας. Με άλλα λόγια η μη καταδίκη για συγκεκριμένα αδικήματα πρέπει να σχετίζεται με την φύση και τα καθήκοντα της συγκεκριμένης θέσης εργασίας, δηλαδή για την ομαλή εκπλήρωση των καθηκόντων αυτής, ώστε να δικαιολογείται το θεμιτό συμφέρον του εργοδότη για συλλογή και επεξεργασία των συγκεκριμένων δεδομένων. Συνάφεια και θεμιτό συμφέρον υπάρχει για παράδειγμα στη μη καταδίκη για παραχάραξη, πλαστογραφία νομίσματος για θέση ταμία ή εκπροσώπου τράπεζας, στην μη καταδίκη και αφαίρεση άδειας οδήγησης για θέση επαγγελματία οδηγού οχήματος. Το λευκό ποινικό μητρώο δεν πρέπει να ζητείται ούτε να θεωρείται συναφές εκ προοιμίου για όλες τις θέσεις εργασίας, δεδομένου ότι μπορεί να δημιουργήσει αδικαιολόγητη διάκριση μεταξύ υποψηφίων ή ήδη εργαζομένων και να αποκλείσει ορισμένους από την αγορά εργασίας.

Αναφορικά με την τρίτη προϋπόθεση, αξίζει να σημειωθεί ότι πλήρες ποινικό μητρώο μπορεί να τηρείται μόνο από επίσημη αρχή, ενώ όπως προκύπτει από την διατύπωση του άρθρου 10 του ΓΚΠΔ, η συλλογή και επεξεργασία των δεδομένων ποινικών αδικημάτων και καταδίκης απαιτείται να γίνεται υπό τον έλεγχο επίσημης αρχής, ήτοι την Αστυνομία που τηρεί τα εν λόγω δεδομένα, ώστε να διασφαλίζονται επαρκείς εγγυήσεις για τα δικαιώματα και ελευθερίες των υποκειμένων των δεδομένων, δεδομένου ότι η επεξεργασία από την Αστυνομία διενεργείται πάντα σύμφωνα με τις διατάξεις νόμου, στη Κύπρο από τον περί Αστυνομίας Νόμο του 2004, Ν.73(I)/2004. Με δεδομένο το γεγονός ότι στη Κύπρο, πιστοποιητικά λευκού ποινικού μητρώου εκδίδονται από την αστυνομία, η τρίτη αυτή προϋπόθεση μπορεί να θεωρηθεί ότι ικανοποιείται.

 

Προς επιβεβαίωση των ανωτέρω παρατίθεται σχετικό απόσπασμα παρουσίασης από την Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την εφαρμογή νέου Ευρωπαϊκού Κανονισμού 679/2016 για την προστασία προσωπικών δεδομένων, ημερομηνίας, 5 Ιουνίου 2018:

“Πότε είναι νόμιμη η επεξεργασία προσωπικών δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα:

  • Για επαγγέλματα που το επιβάλλει ο νόμος π.χ Τράπεζα, Αστυνομία
  • Ο εργοδότης μπορεί να ζητήσει από τον υπάλληλο Πιστοποιητικό Λευκού Ποινικού Μητρώου ακόμα και όταν δεν προβλέπεται από νόμο, δεδομένου ότι έχει συνάφεια με το σκοπό που επιδιώκει
  • Ο εργοδότης δεν μπορεί να ζητήσει Πιστοποιητικό Λευκού Ποινικού Μητρώου χωρίς τη συγκατάθεση του ατόμου, η οποία πρέπει να δίνεται ελεύθερα…”[2]

 

Πηγές:

  1. FRA European Union Agency for Fundamental Rights, Handbook on European data protection law,2018 edition, σελ. 96-97,11-113, 330-332.

http://fra.europa.eu/en/publication/2018/handbook-european-data-protection-law

  1. Directorate General for Internal Policies, Policy Department C: Citizens’ Rights And

Constitutional Affairs, Civil Liberties, Justice And Home Affairs, “Protection of personal data in Work-related Relations” study 2013, σελ. 23, 37, 48.

http://www.vub.ac.be/LSTS/pub/Dehert/491.pdf

  1. Article 29 Data Protection Working Party, Opinion 2/2017 on data processing at work, WP249, 8 June 2017, σελ. 9, 23.

https://iapp.org/media/pdf/resource_center/wp249_data-processing-at-work_06-2107.pdf

  1. Article 29 Working Party Guidelines on consent under Regulation 2016/679, WP259 rev.01, 10 April 2018, σελ. 7.

https://iapp.org/media/pdf/resource_center/20180416_Article29WPGuidelinesonConsent_publishpdf.pdf

  1. Παρουσίαση Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα 5 Ιουνίου 2018 για την εφαρμογή νέου Ευρωπαϊκού Κανονισμού 679/2016 για την προστασία προσωπικών δεδομένων

http://www.dataprotection.gov.cy/dataprotection/dataprotection.nsf/0034A717A4812669C22582AA003FA403/$file/2018-june%205-%20Presentation%20GDPR%20for%20tax%20department.pdf

  1. Οδηγία Επιτρόπου Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα για την Επεξεργασία Προσωπικών ∆εδοµένων στον Τοµέα των Εργασιακών Σχέσεων του 2005, σελ. 15, 24-25.

http://www.dataprotection.gov.cy/dataprotection/dataprotection.nsf/All/98E7E39C347ABC3DC22582F7003101C8?OpenDocument&highlight=%CE%BF%CE%B4%CE%B7%CE%B3%CE%B9%CE%B1

  1. Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679 άρθρο 10.

https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=celex%3A32016R0679

  1. Επικαιροποίηση της Σύμβασης 108 του Συμβουλίου της Ευρώπης για την προστασία των φυσικών προσώπων από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, Έλσινορ, 18-5-2018, άρθρο 6.

https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016807c65bf

  1. Οδηγία (EΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου, άρθρα 1,2 κεπ.

https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=celex%3A32016L0680

  1. Ο Περί Αστυνομίας Νόμος του 2004 (73(I)/2004), άρθρα 9,10.

http://www.cylaw.org/nomoi/enop/non-ind/2004_1_73/full.html

[1] Σε ορισμένους τομείς όπως στον ασφαλιστικό, σχετική νομοθεσία επιβάλλει ρητά όπως εργαζόμενοι που έχουν ανάμειξη στη διανομή ασφαλιστικών προϊόντων, έχουν λευκό ποινικό μητρώο. Αυτό μόνο ισχύει μόνο σε (λιγοστούς) εξειδικευμένους τομείς όπως ο πιο πάνω.

[2]http://www.dataprotection.gov.cy/dataprotection/dataprotection.nsf/0034A717A4812669C22582AA003FA403/$file/2018-june%205-%20Presentation%20GDPR%20for%20tax%20department.pdf

1 2
error: Content is protected !!