Νομικά ζητήματα διαγνωστικών κέντρων

Η μελέτη αυτή πραγματοποιήθηκε με αφορμή τα καθημερινά νομικά ζητήματα που αντιμετωπίζουν τα διαγνωστικά κέντρα στην πόλη των Αθηνών. Οι παρατηρήσεις της μπορούν βέβαια να επεκταθούν και σε άλλες ιατρικές επιχειρήσεις, όπως είναι τα ιατρεία και τα πολυιατρεία, τα οδοντιατρεία και ούτω καθεξής.

Φυσικά, όταν μιλάμε για διαγνωστικά κέντρα ο «ελέφαντας στο δωμάτιο» ήταν και παραμένει η συνεργασία με τον ΕΟΠΠΥ και τα ζητήματα του rebate και του clawback. Αυτά, όμως, τα προβλήματα, όπως έχει αποδειχθεί, είναι αδύνατον να επιλυθούν σε ατομικό επίπεδο και απαιτούν συνδικαλιστική δράση και πολιτική βούληση.

Στην παρούσα μελέτη, λοιπόν, επιλέξαμε να ασχοληθούμε με τις ακόλουθες κατηγορίες ζητημάτων, επιχειρώντας να προτείνουμε και πρακτικές λύσεις αντιμετώπισής τους.

Α. Προσωπικά δεδομένα

Η νομοθεσία για τα προσωπικά δεδομένα συζητήθηκε αρκετά τα τελευταία χρόνια, με αποτέλεσμα όλοι οι επιχειρηματίες στον χώρο της υγείας να ενημερωθούν σχετικά και να κάνουν προσπάθειες «συμμόρφωσης» με ποικίλους βαθμούς επιτυχίας. Ήδη, μάλιστα, από τον Ιούλιο του 2018 έχει δημοσιευθεί από το Υπουργείο Υγείας «Οδηγός Προετοιμασίας – Βασικές Κατευθύνσεις συμμόρφωσης προς το Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR)»

Αυτό που παρατηρείται, όμως, είναι πως τα ζητήματα που ανακύπτουν σε σχέση με τα προσωπικά δεδομένα στην καθημερινότητα των επιχειρήσεων είναι απλούστερα απ’ όσα θεωρητικά αναμενόταν, αλλά ταυτόχρονα και δύσκολο να αντιμετωπίζονται στην πράξη με ταχύτητα και αξιοπιστία. Έτσι, συχνά ανακύπτουν ερωτήματα, όπως τα παρακάτω:

Πώς χειριζόμαστε το αίτημα ενός προσώπου για την παροχή ιατρικών στοιχείων ενός τρίτου προσώπου, για τα οποία έχει κάποιο εύλογο ενδιαφέρον, όπως για παράδειγμα την χρησιμοποίησή τους σε μία δίκη δικαστικής συμπαραστάσεως; Πώς χειριζόμαστε πρακτικά ένα αίτημα για παροχή πληροφοριών ή διαγραφή στοιχείων και πώς σταθμίζουμε δύο αντίθετα δικαιώματα, όταν συγκρούονται; Για παράδειγμα, έστω ότι ένας ασθενής, ο οποίος βρίσκεται στην αίθουσα αναμονής κατηγορήσει έναν εργαζόμενο της επιχείρησης για κλοπή του πορτοφολιού του και ακολουθήσει διαπληκτισμός. Τι θα πρέπει να πράξει η επιχείρηση αν ο εργαζόμενος ζητήσει το βιντεοσκοπημένο υλικό, προκειμένου να ασκήσει τα νόμιμα δικαιώματά του, ενώ ο ασθενής ζητήσει να διαγραφεί από το βιντεοσκοπημένο υλικό; Κι αν, επιπλέον, η κατηγορία της κλοπής αποδειχθεί πως ήταν αληθής υπό ποιες προϋποθέσεις θα μπορούσε ο εργοδότης να χρησιμοποιήσει το βιντεοσκοπημένο υλικό ενώπιον των δικαστηρίων ή της επιθεώρησης εργασίας;

Σε κάποια από τα παραπάνω ερωτήματα είναι δυνατόν να δοθεί εκ των προτέρων μια οριστική και πλήρης απάντηση, αλλά στις περισσότερες περιπτώσεις θα πρέπει να γίνει μια στάθμιση από τον υπεύθυνο προστασίας προσωπικών δεδομένων, ο οποίος θα έχει την απαραίτητη νομική κατάρτιση αλλά και γνώση των συγκεκριμένων περιστάσεων. 

Με λίγα λόγια το πρόβλημα δεν είναι η ύπαρξη μονάχα θεωρητικών γνώσεων αλλά κυρίως  διαδικασιών εντός της επιχείρησης, οι οποίες θα οδηγούν τα παραπάνω ή άλλα παρεμφερή ερωτήματα στα κατάλληλα πρόσωπα, δίνοντας τους και τον απαραίτητο χρόνο για να αντιδράσουν. Οι διαδικασίες αυτές, μάλιστα, θα πρέπει να είναι καταγεγραμμένες και διαφανείς, έτσι ώστε το κάθε υποκείμενο που υποβάλει ένα ορισμένο αίτημα να γνωρίζει μέχρι πότε θα λάβει μια τεκμηριωμένη απάντηση.

Β. Συστήματα βιντεοεπιτήρησης

Ειδικά για το ζήτημα των συστημάτων βιντεοεπιτήρησης παρατηρείται πως πολλοί επιχειρηματίες έχουν τοποθετήσει κάμερες για λόγους ασφαλείας. Επειδή, όμως, υπάρχει σύγχυση σχετικά με τις νομικές υποχρεώσεις των προσώπων που τοποθετούν συστήματα βιντεοεπιτήρησης ανακύπτουν συχνά ζητήματα όχι μόνο προσωπικών δεδομένων ασθενών (ή και περαστικών, ανάλογα με το πως έχει τοποθετηθεί το σύστημα βιντεοεπιτήρησης!) αλλά και εργατικού δικαίου.

Η λειτουργία συστήματος βιντεοεπιτήρησης σε χώρους εργασίας διέπεται από ιδιαίτερα αυστηρές προϋποθέσεις, αφού μπορεί να έχει σημαντικές επιπτώσεις τόσο στα δικαιώματα των εργαζομένων της επιχείρησης όσο και των συναλλασσομένων με την επιχείρηση. Κατά το μέρος που δεν έρχεται σε αντίθεση με τον GDPR εξακολουθεί να έχει εφαρμογή η υπ’ αρίθμ. 1/2011 Οδηγία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Σύμφωνα με το άρθρο 7 της εν λόγω Οδηγίας το σύστημα βιντεοεπιτήρησης δεν θα πρέπει να χρησιμοποιείται για την επιτήρηση των εργαζομένων εντός των χώρων εργασίας, εκτός από εξαιρετικές περιπτώσεις, όπου αυτό δικαιολογείται από τη φύση και τις συνθήκες εργασίας και είναι απαραίτητο για την προστασία της υγείας και της ασφάλειας των εργαζομένων ή την προστασία κρίσιμων χώρων εργασίας. Υπενθυμίζεται πως μετά τις 25 Μαΐου 2018 δεν υφίσταται πλέον υποχρέωση γνωστοποίησης βιντεοεπιτήρησης στην Αρχή.

Το μόνο μέσο, λοιπόν, που διαθέτει ο υπεύθυνος επεξεργασίας προκειμένου να αποδείξει την σύννομη δράση του και την συμμόρφωσή του με τις απαιτήσεις του GDPR είναι η εκπόνηση εκτίμησης αντικτύπου. Σημειώνεται, μάλιστα, πως η Αρχή έχει ήδη επιδείξει μεγάλη αυστηρότητα απέναντι σε συστήματα βιντεοεπιτήρησης, τα οποία λειτουργούν παρανόμως. Με την υπ’ αριθμ. 41/2018 απόφασή της, η οποία εκδόθηκε ήδη στις 9-5-2018, ήτοι πριν από την εφαρμογή του GDPR, η Αρχή επέβαλε πρόστιμο 50.000 ευρώ σε δικηγορική εταιρία, για την λειτουργία παρανόμου συστήματος βιντεοεπιτήρησης.

Τα προβλήματα, μάλιστα σχετικά με τα συστήματα βιντεοεπιτήρησης συχνά δεν αποκαλύπτονται παρά μόνο την στιγμή, που μια καταγραφή τους πρόκειται ή ζητείται να χρησιμοποιηθεί ως αποδεικτικό υλικό σε ένα αστικό ή ποινικό δικαστήριο. Τότε, όμως, είναι, συνήθως, πολύ αργά. Έτσι, σύμφωνα και με τα όσα εξετάσαμε ήδη παραπάνω, διαπιστώνεται πως είναι απαραίτητο να υφίσταται όχι μόνο η “εκτίμηση αντικτύπου” αλλά και διαδικασίες εντός της επιχείρησης για την ορθή επίλυση όσων πρακτικών ζητημάτων αναπόφευκτα ανακύπτουν.

Γ. Εργασιακά ζητήματα

Πέρα από το ζήτημα, που αναφέρθηκε παραπάνω σχετικά με την χρήση συστημάτων βιντεοεπιτήρησης, δύο είναι τα συχνότερα προβλήματα, που συναντάμε στην ρύθμιση των εργασιακών σχέσεων στα διαγνωστικά κέντρα:

Α) Σύναψη συμβάσεων ορισμένου χρόνου, οι οποίες, όμως, ανανεώνονται διαρκώς και για μεγάλο χρονικό διάστημα. Οι συμβάσεις αυτές τρέπονται εκ του νόμου σε αορίστου χρόνου, χωρίς πολλές φορές ο εργοδότης να έχει τη σχετική επιθυμία και πληροφόρηση.

Β) Άτυπη απασχόληση συγγενικών προσώπων: Είναι  συνηθισμένο  στις μικρές και μεσαίες ελληνικές επιχειρήσεις να απασχολούνται άτυπα συγγενείς, προκειμένου να συμβάλουν στην αντιμετώπιση παροδικών αναγκών, χωρίς να επιβαρύνεται ο εργοδότης με το μισθολογικό και ασφαλιστικό κόστος πρόσληψης ενός εργαζομένου.

Η πρακτική αυτή, όμως, η οποία συχνά δεν αφορά μονάχα σε συγγενείς πρώτου βαθμού, αλλά και στην ευρύτερη οικογένεια μπορεί να δημιουργήσει προβλήματα σε ενδεχόμενο έλεγχο του Σώματος Επιθεώρησης Εργασίας. Συχνό, αν και δυσάρεστο, φαινόμενο είναι επίσης να δημιουργούνται παρεξηγήσεις μεταξύ των συγγενών και να διεκδικούνται αναδρομικά μεγάλα χρηματικά ποσά με την συνοδεία απειλών για καταγγελία στις αρμόδιες αρχές.

Στα συγκεκριμένα προβλήματα η μόνη πρακτική λύση είναι ο προληπτικός νομικός έλεγχος όλων των εργασιακών συμβάσεων, ώστε ο εργοδότης να γνωρίζει, ποιες είναι οι υποχρεώσεις του και ποιες διεκδικήσεις ενδέχεται να εγερθούν εναντίον του.

Δ. Ζητήματα ακινήτων

Τους περασμένους μήνες παρουσιάστηκαν έντονα προβλήματα στις εμπορικές μισθώσεις, καθώς λόγω του Covid-19 ενοικιαστές και ιδιοκτήτες ήρθαν σε σύγκρουση, με αφορμή το αίτημα των ενοικιαστών για μείωση ή και διακανονισμό των οφειλόμενων μισθωμάτων.

Επιπλέον, όσον αφορά στα ιδιόκτητα ακίνητα παρατηρείται, πως η γραφειοκρατία αυξάνεται, αντί να μειώνεται και πως εκείνοι, οι οποίοι επιθυμούν να πραγματοποιήσουν μια αγορά ακινήτου, μια μεταβίβαση, μια αποδοχή κληρονομιάς ή ακόμα και μία σύσταση οριζόντιας ιδιοκτησίας, έρχονται αντιμέτωποι με σωρεία προβλημάτων, τα οποία μονάχα με την στενή συνεργασία δικηγόρου και συμβολαιογράφου είναι δυνατόν να επιλυθούν.

Χαρακτηριστικά έχει επισημανθεί από τον πρόεδρο του Συμβολαιογραφικού Συλλόγου Εφετείου Θράκης ότι παρότι τα διάφορα μέσα μαζικής ενημέρωσης να αναπαράγουν την είδηση: «Μεταβιβάσεις ακινήτων με ένα κλικ σε 3 μέρες» οι μεταβιβάσεις ακινήτων είναι συχνά ένας Γολγοθάς.

Έτσι, κάθε ζήτημα, το οποίο σχετίζεται με την μίσθωση αλλά, κυρίως, με την μεταβίβαση ακινήτων, θα πρέπει να αντιμετωπίζεται με την δέουσα επιμέλεια και με έγκαιρο προγραμματισμό. Το ίδιο ισχύει και στις περιπτώσεις, που κάποια επιχείρηση προγραμματίζει την χρήση πρόσθετων χώρων, προκειμένου να λάβει μέτρα πρόληψης της διάδοσης του Covid-19.

Ε. Εμπορικά ζητήματα

Όσον αφορά σε ζητήματα εμπορικού δικαίου παρατηρείται, καταρχάς, πως ελάχιστα διαγνωστικά κέντρα έχουν κατοχυρώσει το σήμα τους και έχουν αξιοποιήσει πλήρως την διακριτική του δύναμη στην αγορά και το κύρος, που αυτό προσφέρει στις συναλλαγές. Σήμα σύμφωνα με τον νόμο είναι κάθε σημείο, επιδεκτικό γραφικής παράστασης, ικανό να διακρίνει τα προϊόντα ή τις υπηρεσίες μιας επιχείρησης από εκείνες άλλων επιχειρήσεων. Μέσω του σήματος αναγνωρίζεται από τους καταναλωτές η προέλευση μιας υπηρεσίας από συγκεκριμένη επιχείρηση και παράλληλα διαφημίζεται η εν λόγω υπηρεσία.

Δεν καταχωρούνται, όμως, ως σήματα σημεία τα οποία, μεταξύ άλλων, στερούνται διακριτικού χαρακτήρα, συνίστανται αποκλειστικά από σημεία ή ενδείξεις που μπορούν να χρησιμεύσουν στις συναλλαγές για τη δήλωση του είδους ή της γεωγραφικής προέλευσης παροχής της υπηρεσίας ή συνίστανται αποκλειστικά από σημεία ή ενδείξεις, τα οποία έχουν καταστεί συνήθη στην καθομιλουμένη ή στη θεμιτή και πάγια πρακτική των συναλλαγών. 

Σύμφωνα με την πάγια νομολογία το σήμα έχει διακριτικό χαρακτήρα, όταν, από τη συνολική εντύπωση που δημιουργεί, είναι επαρκώς εξειδικευμένο και μπορεί να χρησιμεύσει για τον προσδιορισμό της προέλευσης των υπηρεσιών από ορισμένη επιχείρηση. Έτσι είναι απαράδεκτο ένα σήμα, το οποίο αποτελείται από λέξεις οι οποίες υποδηλώνουν μόνον το είδος των παρεχόμενων ιατρικών υπηρεσιών και τη γεωγραφική τους προέλευση, με αποτέλεσμα  να ταυτίζεται μαζί τους. Σε μία χαρακτηριστική περίπτωση, μάλιστα, όπου οι παραπάνω λέξεις (είδος παρεχόμενων ιατρικών υπηρεσιών και γεωγραφική προέλευση) συνοδεύονταν και από εικόνα (γραφική απεικόνιση) εκρίθη από τα ελληνικά δικαστήρια πως «Το απεικονιστικό στοιχείο δεν εμφανίζει επαρκή πρωτοτυπία, σε συνδυασμό δε με τις ανωτέρω λέξεις δεν αποτελούν χαρακτηριστικό και ιδιότυπο σύνολο, δυνάμενο να προσδώσει διακριτική δύναμη».

Είναι, λοιπόν, σημαντικό να επιλέγεται ένα σήμα, το οποίο να πληροί τις νόμιμες προϋποθέσεις, και εν συνεχεία να κατοχυρώνεται, ώστε να προστατεύεται έναντι όλων. Εξάλλου, πολλά διαγνωστικά κέντρα διαθέτουν καταστατικά παλαιά και μη προσαρμοσμένα στην σύγχρονη νομοθεσία, καθώς μπορεί για παράδειγμα να μην περιλαμβάνουν σύγχρονες μορφές λήψεως αποφάσεων και ασκήσεως διοικήσεως.

Επιπλέον, ένα ζήτημα σχετικά με το οποίο ανακύπτει σύγχυση είναι η δυνατότητα πώλησης προϊόντων ευεξίας και καλλυντικών και η παροχή δερματολογικών, αισθητικών και γυναικολογικών υπηρεσιών. Σύμφωνα με το Π.Δ. 84/2001 στους ιδιωτικούς φορείς, οι οποίοι παρέχουν αποκλειστικά υπηρεσίες πρωτοβάθμιας φροντίδας υγείας (Π.Φ.Υ), περιλαμβάνονται: α) τα ιδιωτικά ιατρεία και οδοντιατρεία, β) τα ιδιωτικά πολυϊατρεία και πολυοδοντιατρεία, γ) τα ιδιωτικά διαγνωστικά εργαστήρια και δ) τα ιδιωτικά εργαστήρια φυσικής ιατρικής και υποκατάστασης. Επίσης, σύμφωνα με τον Κώδικας Ιατρικής Δεοντολογίας (άρθρο 6 ν. 3418/2005) απαγορεύεται στον ιατρό να εξυπηρετεί, να εξαρτάται ή να συμμετέχει σε επιχειρήσεις που παρασκευάζουν ή εμπορεύονται φάρμακα ή υγειονομικό υλικό ή να διαφημίζει και να προβάλλει αυτά, με οποιονδήποτε τρόπο.  Με βάση τα παραπάνω ορθό είναι για τον σκοπό παροχής μη ιατρικών υπηρεσιών να συστήνονται ξεχωριστές εταιρίες.

Τέλος, ως προς τα προβλήματα που ανακύπτουν στην διαδικασία ρύθμισης οφειλών με τράπεζες και στην εν γένει καταχρηστική πολλές φορές συμπεριφορά των υπαλλήλων τους, αρκεί η παράθεση του σχετικού αποσπάσματος από την πρόσφατη επιστολή του Ιατρικού Συλλόγου Αθηνών στον Υπουργό Ανάπτυξης και Επενδύσεων: «Οι ιατροί καταθέτουν προτάσεις με όλα τα έγγραφα που τους ζητάνε και σε κάποιες περιπτώσεις δεν λαμβάνουν ούτε καν απάντηση, παρά μόνο κάποιες φορές τους κοινοποιούνται διαταγές πληρωμής, αν και βρίσκονται σε διαδικασία ρύθμισης των οφειλών τους.» Όταν, λοιπόν, είναι αναγκαία η διαπραγμάτευση με τραπεζικά ιδρύματα πρέπει κανείς να εξοπλίζεται με υπομονή και επιμονή.

ΣΤ. Ποινικά και πειθαρχικά ζητήματα/αστική ευθύνη

Ζητήματα σχετικά με το ποινικό δίκαιο αφορούν κατά μέγιστο μέρος τους ιατρούς εκείνους, οι οποίοι απασχολούνται σε δημόσια ή και ιδιωτικά νοσοκομεία. Παρόλα αυτά, επισημαίνεται ότι η ποινική δικαιοσύνη εξακολουθεί να λειτουργεί αργά, κάτι που έχει ως συνέπεια να χρονίζουν υποθέσεις και να σπιλώνεται ανεπανόρθωτα η τιμή και υπόληψη δεκάδων ιατρών, οι οποίοι ακόμα κι αν δικαιώνονται τελικά, δεν αποζημιώνονται για την ψυχική και οικονομική τους ταλαιπωρία. Λόγω του Covid-19 η κατάσταση έγινε ακόμα χειρότερη, ενώ καθυστέρηση παρατηρείται και στον χειρισμό πειθαρχικών υποθέσεων εκ μέρους του Ιατρικού Συλλόγου Αθηνών. 

Αντίθετα, ζήτημα το οποίο απασχολεί την πλειονότητα των ιδιωτών ιατρών και των διαγνωστικών κέντρων, είναι αυτό της ασφάλισης αστικής ευθύνης.  Αυτού του είδους η ασφάλιση παρέχει οικονομική κάλυψη σε περίπτωση έγερσης αστικών αξιώσεων και αυξάνει την αξιοπιστία της επιχείρησης  στην αγορά.  

ΣΤ. Σκέψεις για το μέλλον- ιατρικός τουρισμός

Ένας τομέας της οικονομίας, ο οποίος σύμφωνα με τους ειδικούς έχει μεγάλο περιθώριο ανάπτυξης στην χώρα μας είναι ο ιατρικός τουρισμός, αφού η χώρα μας διαθέτει εξειδικευμένο ιατρικό προσωπικό, υποδομές, στρατηγική γεωγραφική θέση και μεσογειακό κλίμα.

Σύμφωνα με τον νόμο 4582/2018, ως ιατρικός τουρισμός νοείται η ειδική μορφή τουρισμού, η οποία συνίσταται στην παροχή προς επισκέπτες – τουρίστες υψηλού επιπέδου υπηρεσιών που σχετίζονται με την πρόληψη, τη θεραπεία και τη βελτίωση της σωματικής, ψυχικής και πνευματικής υγείας τους. Ο τουρισμός υγείας περιλαμβάνει τον ιατρικό τουρισμό, τον οδοντιατρικό τουρισμό, τον ιαματικό – θερμαλιστικό τουρισμό και τον τουρισμό ευεξίας.

Ο ιατρικός τουρισμός είναι η μετακίνηση των επισκεπτών – τουριστών με προβλήματα υγείας ή με χρόνιες παθήσεις σε τουριστικό προορισμό επιλογής τους, προκειμένου να τους παρασχεθούν υπηρεσίες υγείας από δομές παροχής πρωτοβάθμιας ή δευτεροβάθμιας φροντίδας υγείας που λειτουργούν νόμιμα, με σκοπό την πρόληψη, τη διάγνωση ή τη θεραπεία ασθενειών και τη διατήρηση ή τη βελτίωση της προσωπικής τους υγείας. Οι τουρίστες – επισκέπτες κατά τη διάρκεια της διαμονής τους στον τουριστικό προορισμό συνδυάζουν την ιατρική περίθαλψη με δραστηριότητες αναψυχής για τους ίδιους και τους συνοδούς τους. Επίσης, έχει προβλεφθεί η σύσταση στον ΕΟΠΥΥ ηλεκτρονικού μητρώου παρόχων υπηρεσιών τουρισμού υγείας, το οποίο θα λειτουργεί ως δημόσια ηλεκτρονική βάση δεδομένων. Όμως, για την εφαρμογή του παραπάνω νόμου απαιτούνται δύο κοινές υπουργικές αποφάσεις (ΚΥΑ), στην κατάρτιση των οποίων έχει σημειωθεί καθυστέρηση.

Στην κατεύθυνση της ουσιαστικής εφαρμογής του νόμου σημαντικές είναι οι πρωτοβουλίες που έχει λάβει ο «Ελληνικός Σύνδεσμος Τουρισμού Υγείας» (ΕΛ.Ι.ΤΟΥΡ), του οποίου σκοπός είναι η διεθνής προώθηση της Ελλάδας ως κορυφαίου προορισμού ιατρικού τουρισμού.

Σε κάθε περίπτωση είναι σημαντικό οι ελληνικές επιχειρήσεις, που δραστηριοποιούνται στον χώρο της υγείας να έχουν εξωστρεφή προσανατολισμό και να είναι σε θέση να εμπνέουν εμπιστοσύνη τόσο σε αλλοδαπούς πολίτες όσο και σε διεθνείς φορείς. Η αξιόπιστη αντιμετώπιση των ζητημάτων, τα οποία θίγονται στο πλαίσιο της παρούσας μελέτης, θεωρούμε πως κινείται προς αυτή την κατεύθυνση.

Επικοινωνήστε μαζί μας στο τηλέφωνό: 210 8841404 και όλο το εικοσιτετράωρο στο e-mail: pikramenoslaw@gmail.com

Κέντρα ειδικής αγωγής και προσωπικά δεδομένα

Με την υπ’ αριθμ. 4/2020 απόφαση της Αρχής Προστασίας Δεδομένων προσωπικού Χαρακτήρα επιβλήθηκε πρόστιμο σε κέντρο λόγου και ειδικής αγωγής, το οποίο αρνήθηκε αναιτιολόγητα να χορηγήσει στον αιτούντα-πατέρα, ο οποίος ασκούσε την  γονική μέριμνα, αλλά όχι την επιμέλεια του ανηλίκου τέκνου του, στοιχεία σχετικά με τον αριθμό των συνεδριών ανά είδος συνεδρίας και μήνα, που παρακολουθούσε το τέκνο του, καθώς και τα σχετικά φορολογικά παραστατικά.

Σύμφωνα με πάγια νομολογία της Αρχής Προστασίας Δεδομένων προσωπικού Χαρακτήρα ο ασκών την γονική μέριμνα γονέας έχει καταρχήν το δικαίωμα πρόσβασης του άρθρου 15 ΓΚΠΔ, σε συνδυασμό με τα άρθρα 128 και 1510 ΑΚ, στα στοιχεία που αναφέρονται στο ανήλικο τέκνο του, εκτός αν προβλέπεται διαφορετικά από δικαστική απόφαση, π.χ. απόφαση που ορίζει ως ασκούντα τη γονική μέριμνα τον άλλο γονέα, απόφαση απαγόρευσης επικοινωνίας με το παιδί κλπ. Ο δε υπεύθυνος επεξεργασίας υποχρεούται άμεσα να ικανοποιήσει το δικαίωμα αυτό.

Στην συγκεκριμένη υπόθεση σημειώνεται επιπρόσθετα πως «ακόμη κι αν γίνει δεκτό ότι τα εν λόγω φορολογικά παραστατικά συνιστούν και προσωπικά δεδομένα της μητέρας, ως καταβάλλουσας το σχετικό αναγραφόμενο επ’ αυτών ποσό, το δικαίωμα πρόσβασης του πατέρα ασκούντος τη γονική μέριμνα στα δεδομένα του τέκνου του μπορεί να περιορισθεί και, συνεπώς, να απαγορευθεί, μόνο εάν επηρεάζονται δυσμενώς τα δικαιώματα και οι ελευθερίες άλλων, δηλαδή της μητέρας, σύμφωνα με το άρθρο 15 παρ. 4 ΓΚΠΔ. Η απλή άρνηση και εναντίωση της μητέρας για χορήγηση από το Κέντρο των αιτούμενων εγγράφων σε συνδυασμό με την έλλειψη επίκλησης δυσμενούς επίδρασης στα δικαιώματα και τις ελευθερίες της μητέρας, σε καμία περίπτωση δεν μπορεί να αποτελέσει πρόσκομμα στην ικανοποίηση του δικαιώματος πρόσβασης. Εξάλλου, το Κέντρο στο πλαίσιο της αρχής της λογοδοσίας, όφειλε να εξετάσει, εάν τίθεται ζήτημα δυσμενούς επίδρασης στα δικαιώματα και τις ελευθερίες της μητέρας, προκειμένου αιτιολογημένα να μην ικανοποιήσει το υπό κρίση δικαίωμα πρόσβασης.»

Κανονισμός ορθής χρήσης και λειτουργίας του εξοπλισμού πληροφορικής από τους εργαζόμενους (34/2018 ΑΠΔΠΧ)

Στην απόφαση υπ’ αρίθμ. 34/2018 η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέτασε καταγγελία εργαζομένου σύμφωνα με την οποία η εργοδότριά του εταιρία ερεύνησε τον εταιρικό ηλεκτρονικό υπολογιστή, που του είχε παραχωρηθεί προκειμένου να παρέχει τις υπηρεσίες του, και εν συνεχεία αφαίρεσε τον σκληρό δίσκο προς περαιτέρω έλεγχο του προς ανάκτηση διαγραφέντων αρχείων, χωρίς να έχει προηγουμένως ενημερωθεί σχετικά ή χωρίς να έχει ληφθεί η συγκατάθεσή του.

Εξαιρετικής σημασίας κρίνεται το παρακάτω απόσπασμα της αποφάσεως αυτής, αφού η Αρχή απευθύνει γενικού περιεχομένου συστάσεις προς τις επιχειρήσεις για την κατάρτιση και εφαρμογή εσωτερικού Κανονισμού για την ορθή χρήση και τη λειτουργία του εξοπλισμού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόμενους. Συγκεκριμένα η Αρχή:

Απευθύνει στην εταιρία (…) σύσταση να μεριμνήσει για την κατάρτιση και εφαρμογή εσωτερικού Κανονισμού για την ορθή χρήση και τη λειτουργία του εξοπλισμού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόμενους (υποκείμενα των δεδομένων), στο περιεχόμενο της οποίας θα πρέπει ανάμεσα σε άλλα να περιλαμβάνεται:

Ι. Πολιτική Αποδεκτής Χρήσης των εταιρικών ηλεκτρονικών υπολογιστών (ή άλλου συναφούς εξοπλισμού), του εταιρικού δίκτυο επικοινωνιών (ή άλλης συναφούς υποδομής) και των εταιρικών λογαριασμών ηλεκτρονικής αλληλογραφίας καθώς και τις σχετικές προϋποθέσεις, όρους και διαδικασίες. Σε περίπτωση απαγόρευσης χρήσης του εταιρικού ηλεκτρονικού υπολογιστή για προσωπική χρήση από τους εργαζόμενους, να εξετασθεί η δυνατότητα παραχώρησης της χρήσης ψηφιακού αποθηκευτικού χώρου για προσωπική χρήση, στον οποίο δεν θα είναι επιτρεπτή η πρόσβαση του εργοδότη.

ΙΙ. Πολιτική πρόσβασης και ελέγχου των εταιρικών ηλεκτρονικών υπολογιστών (ή άλλου συναφούς εξοπλισμού) που χρησιμοποιούν οι εργαζόμενοι στην οποία να περιγράφονται κατ’ ελάχιστον:

i. οι συναφείς σκοποί (δικαιολογητικοί λόγοι) πρόσβασης και ελέγχου, τηρουμένης της αρχής της αναλογικότητας,

ii. η φύση και η έκταση του ελέγχου,

iii. η διαδικασία, ο τρόπος και οι όροι πρόσβασης και ελέγχου τόσο σε περίπτωση παρουσίας, όσο και τυχόν απουσίας του εργαζομένου,

iv. οι διαδικαστικές εγγυήσεις που αφορούν την πρόσβαση και τον έλεγχο, ιδίως αναφορικά με την διασφάλιση και απόδειξη της ορθότητας και αντικειμενικότητας του καθώς και την παρουσία ή απουσία του εργαζομένου,

v. ο τρόπος ενημέρωσης του εργαζομένου για τα ευρήματα του ελέγχου,

vi. η διαδικασία που ακολουθείται μετά την ολοκλήρωση του ελέγχου με την οποία τυχόν διενεργείται επεξεργασία προσωπικών δεδομένων επί των ευρημάτων προς επίτευξη των σκοπών του ελέγχου καθώς και η σχετική ενημέρωση του εργαζομένου,

vii. διαδικασία και προϋποθέσεις, σύμφωνα με τις οποίες παρέχεται η δυνατότητα αποφυγής της πρόσβασης και ελέγχου του συνόλου των αποθηκευμένων αρχείων, δεδομένων και πληροφοριών με την υιοθέτηση άλλης, λιγότερο επαχθούς, μεθόδου,

viii. η προηγούμενη ενημέρωση των εργαζομένων για το ενδεχόμενο πρόσβασης και ελέγχου στους εταιρικούς υπολογιστές (ή σε άλλη συναφή εξοπλισμό) που χρησιμοποιούν καθώς και τις περιπτώσεις εξαίρεσης από την υποχρέωση ενημέρωσης, τηρουμένης της αρχής της αναλογικότητας,

ix. η προβλεπόμενη από την κείμενη νομοθεσία δυνατότητα προσφυγής των εργαζομένων σε έννομη προστασία.

2627/2017 ΣΤΕ

2627/2017 ΣΤΕ (Α` ΔΗΜΟΣΙΕΥΣΗ ΝΟΜΟΣ)

Η εν λόγω απόφαση αφορά στο προ GDPR νομικό καθεστώς. Είναι, όμως, σημαντική στον βαθμό που σκιαγραφεί την υποχρέωση των ιδιωτικών κλινικών να λαμβάνουν τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων που τηρούν, ώστε να είναι σε θέση να γνωρίζουν και να μπορούν να αποδείξουν τι έχει περιληφθεί στο αρχείο τους, τι έχει παραληφθεί και τι έχει επιστραφεί στον κομιστή.

ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΠΙΚΡΑΤΕΙΑΣ

ΤΜΗΜΑ Δ΄

Συνεδρίασε δημόσια στο ακροατήριό του στις 10 Νοεμβρίου 2015, με την εξής σύνθεση: Ε. Σαρπ, Αντιπρόεδρος, Προεδρεύουσα, σε αναπλήρωση του Προέδρου του Τμήματος, που είχε κώλυμα,  Δ. Κυριλλόπουλος, Κ. Κουσούλης, Σύμβουλοι, Μ. Αθανασοπούλου, Χρ. Μπολόφη, Πάρεδροι. Γραμματέας ο Ν. Αθανασίου.

Για να δικάσει την από 1 Οκτωβρίου 2012 αίτηση:

της ανώνυμης εταιρείας με την επωνυμία «………..», που εδρεύει στο …………… Αττικής (…………), η οποία παρέστη με τον δικηγόρο Χρίστο Βαρδάκα (Α.Μ. 2389), που τον διόρισε με πληρεξούσιο,

κατά της Ανεξάρτητης Διοικητικής Αρχής με την επωνυμία «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα», που εδρεύει στην Αθήνα, η οποία παρέστη με τον δικηγόρο Πέτρο Τσαντίλα (Α.Μ. 20211), που τον διόρισε με απόφαση του Προέδρου της.

Με την αίτηση αυτή η αιτούσα εταιρεία επιδιώκει να ακυρωθεί η υπ’ αριθμ. 131/2012 απόφαση της «Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα».

Οι πληρεξούσιοι των διαδίκων δήλωσαν, σύμφωνα με τις διατάξεις της παρ. 2 του άρθρου 21 του Κανονισμού Λειτουργίας του Δικαστηρίου, ότι δεν θα αγορεύσουν.

Η εκδίκαση άρχισε με την ανάγνωση της εκθέσεως της εισηγήτριας, Παρέδρου Χρ. Μπολόφη.

Μετά τη δημόσια συνεδρίαση το δικαστήριο συνήλθε σε διάσκεψη σε αίθουσα του δικαστηρίου

κ α ι

Α φ ο ύ  μ ε λ έ τ η σ ε  τ α  σ χ ε τ ι κ ά  έ γ γ ρ α φ α

Σ κ έ φ θ η κ ε  κ α τ ά  τ ο ν  Ν ό μ ο

1. Επειδή, για την άσκηση της κρινόμενης αιτήσεως καταβλήθηκε το νόμιμο παράβολο (.., ../2012 ειδικά γραμμάτια).

2. Επειδή, με την υπό κρίση αίτηση, όπως αυτή συμπληρώθηκε παραδεκτώς με δικόγραφο προσθέτων λόγων, ζητείται η ακύρωση της 131/9.8.2012 αποφάσεως της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.). Με την απόφαση αυτή επεβλήθησαν στην αιτούσα εταιρεία, ιδιοκτήτρια ιδιωτικής κλινικής, πρόστιμα ύψους 7.500 ευρώ έκαστο, για παράβαση των άρθρων 10 παρ. 3 και 12 του  ν. 2472/1997, αντιστοίχως.

3. Επειδή, ειδικότερα, από τα στοιχεία του φακέλου της υποθέσεως προκύπτουν τα εξής: Η καθ’ ης η αίτηση Αρχή επελήφθη της υποθέσεως κατόπιν της υπ’ αριθμ. ../27.3.2006 καταγγελίας συγκεκριμένου προσώπου. Συγκεκριμένα, σύμφωνα με την ανωτέρω καταγγελία, μετά από χειρουργική επέμβαση στο χέρι λόγω κατάγματος, στην οποία υποβλήθηκε ο καταγγείλας και, αφού αυτή (επέμβαση), κατά τους ισχυρισμούς του, δεν είχε επιτυχία, ο εν λόγω θέλησε να αποστείλει τον ιατρικό του φάκελο στις ΗΠΑ, προκειμένου να διαπιστωθεί αν υπήρχε δυνατότητα αντιμετώπισης της βλάβης που είχε επέλθει από την αρχική επέμβαση. Για τον λόγο αυτό ο ανωτέρω ζήτησε, με την από 17.1.2006 αίτησή του, από την ιδιωτική κλινική (…………..), της οποίας ιδιοκτήτρια είναι η αιτούσα εταιρεία, να του χορηγήσει δικά του προσωπικά δεδομένα, δηλαδή το ιατρικό νοσηλείας και την ακτινογραφία, την οποία, κατά τους ισχυρισμούς του, είχε προσκομίσει ο ίδιος στην Κλινική, προκειμένου να υποβληθεί στη χειρουργική επέμβαση. Στην αίτησή του αυτή ο εν λόγω δεν έλαβε ποτέ απάντηση από την κλινική και για τον λόγο αυτό υπέβαλε την ανωτέρω καταγγελία στην Αρχή. Η τελευταία, με το υπ’ αριθμ. πρωτ. ../1.12.2006 έγγραφό της, ζήτησε από την Κλινική να ικανοποιήσει το δικαίωμα πρόσβασης του εν λόγω καταγγείλαντος, καθώς και να την ενημερώσει για τις ενέργειές της. Κανένα από τα δύο αιτήματα της Αρχής δεν ικανοποιήθηκε, κατόπιν τούτου δε, με την …/3.5.2007 εντολή της Αρχής διενεργήθηκε έλεγχος στην Κλινική, προκειμένου να διαπιστωθεί αν τηρείται αρχείο για εξωτερικούς ασθενείς, καθώς και αν περιλαμβάνονται σε αυτό και δεδομένα του προσώπου αυτού. Από τον διενεργηθέντα έλεγχο διαπιστώθηκε ότι η Κλινική διατηρεί Βιβλίο Εξωτερικών Ασθενών (σε έντυπη και ηλεκτρονική μορφή) που περιλαμβάνει τα ατομικά στοιχεία των ασθενών, τη διάγνωση του ιατρικού προβλήματος, τις εργαστηριακές εξετάσεις (δεν διαπιστώθηκε κάτι τέτοιο στην περίπτωση του καταγγείλαντος προσώπου) και την οικονομική τακτοποίηση των υποχρεώσεων των ασθενών έναντι της Κλινικής. Ειδικότερα, όσον αφορά την επίμαχη ακτινογραφία, δεν διαπιστώθηκε η προσκόμιση ή η λήψη της από τον εν λόγω ασθενή. Μετά από επίμονη απαίτηση της Αρχής, η Κλινική απέστειλε τελικώς προς αυτήν το υπ’ αριθμ. πρωτ. ../18.6.2007 έγγραφο, στο οποίο αναφέρεται, μεταξύ άλλων, ότι «στα εξωτερικά ιατρεία της Κλινικής τηρείται μόνο βιβλίο Εξωτερικών Ασθενών, το οποίο περιλαμβάνει τα ατομικά στοιχεία του ασθενούς, συμπτωματολογία της ασθένειάς του και απλή μνεία των τυχόν εργαστηριακών ή ιατρικών εξετάσεων, στις οποίες αυτός υποβλήθηκε στην Κλινική…», καθώς και ότι «η Κλινική […] δεν τηρεί αρχείο ούτε καν των διενεργηθεισών εξετάσεων στην Κλινική, πολλώ δε μάλλον εξετάσεων, που ο ασθενής διενήργησε σε άλλο διαγνωστικό …………… , όπως εν προκειμένω, και [τις οποίες] προσκόμισε μαζί του προκειμένου να τις επιδείξει κατά την επίσκεψή του στον θεράποντα ιατρό του». Η Αρχή, αφού έλαβε υπόψη τα ανωτέρω πραγματικά περιστατικά καθώς και τις προφορικές και γραπτές εξηγήσεις της αιτούσας, εξέδωσε την προσβαλλόμενη απόφαση, η οποία διαλαμβάνει το εξής σκεπτικό: «Στην υπό κρίση υπόθεση ο υπεύθυνος επεξεργασίας, δηλαδή το … όφειλε να απαντήσει στο αίτημα του προσφεύγοντα σχετικά με την ύπαρξη των δεδομένων του, τόσο αυτών που τηρούσε (….) όσο και αυτών που κατά τους ισχυρισμούς του δεν τηρούσε (προεγχειρητική ακτινογραφία). Ειδικότερα, σχετικά με εκείνα που δεν τηρούσε, δηλαδή την προεγχειρητική ακτινογραφία, το Ιατρικό όφειλε να έχει ρητά καταστήσει γνωστό ότι δεν τηρεί τέτοιου είδους δεδομένα, ικανοποιώντας με αυτόν τον τρόπο το γενικότερο δικαίωμα πληροφόρησης του υποκειμένου των δεδομένων. Ο ισχυρισμός του .. ότι δεν τηρεί τα αιτούμενα δεδομένα δεν συνεπάγεται ότι δεν οφείλει να απαντήσει, έστω αρνητικά, στο υποκείμενο. Επίσης, όσον αφορά στα οργανωτικά μέτρα που τηρεί το Ιατρικό, συμπεραίνεται ότι αυτά δεν είναι επαρκή, αφού δεν δύναται το … στην υπό κρίση υπόθεση να εξηγήσει τι απέγινε η αιτούμενη ακτινογραφία. Μολονότι από τον έλεγχο και τις έγγραφες διαβεβαιώσεις του προκύπτει ότι δεν τηρεί αρχείο με εξετάσεις για τους εξωτερικούς ασθενείς, το … πιθανολογείται σφόδρα ότι στη συγκεκριμένη περίπτωση παρέλαβε μέσω του ιατρού του την προεγχειρητική ακτινογραφία και κατ’ αυτήν την έννοια η τελευταία περιελήφθη στο αρχείο του .., προκειμένου να προχωρήσει ο γιατρός στη χειρουργική επέμβαση. Αυτό γιατί, κατά τα διδάγματα της κοινής πείρας, δεν νοείται να γίνει χειρουργική επέμβαση στο χέρι λόγω κατάγματος χωρίς να υπάρχει ακτινογραφία. Αυτό άλλωστε διαφαίνεται και από την από 7.10.2007 απάντηση του χειρουργού ιατρού προς τον ………….. , κατόπιν καταγγελίας που υπέβαλε σε βάρος του ο προσφεύγων, σύμφωνα με την οποία παραδέχεται ο γιατρός ότι έλαβε την προεγχειρητική ακτινογραφία αλλά την επέστρεψε στον προσφεύγοντα. Εξ άλλου, το γεγονός ότι το συγκεκριμένο είδος δεδομένων (κλινικοεργαστηριακό υλικό) δεν τηρείται για τους εξωτερικούς ασθενείς, δεν απαλλάσσει τον υπεύθυνο επεξεργασίας από το να τηρεί τέτοια οργανωτικά μέτρα που να επιτρέπουν και στον ίδιο αλλά και στα υποκείμενα των δεδομένων να γνωρίζουν τι επεξεργασία έχει λάβει χώρα σε σχέση με τα δεδομένα που ο γιατρός του, έστω και προσωρινά, έλαβε στην κατοχή του από τα υποκείμενα, όπως στην υπό κρίση υπόθεση, ή ο ίδιος παρήγαγε στην περίπτωση που ο υπεύθυνος επεξεργασίας κάνει ο ίδιος τις κλινικοεργαστηριακές εξετάσεις. Αυτή η υποχρέωση γίνεται ακόμα πιο επιτακτική στη περίπτωση που τα δεδομένα περιέρχονται έστω και προσωρινά στο αρχείο του υπευθύνου, όπως στην υπό κρίση υπόθεση. Με τον τρόπο αυτό δημιουργείται επιπλέον η πεποίθηση στον καλόπιστο ασθενή υποκείμενο των δεδομένων ότι τα δεδομένα του – και ιδιαίτερα τα ευαίσθητα – τηρούνται με ασφάλεια στην κλινική ή το εξωτερικό ιατρείο, το οποίο τα παρέλαβε, προκειμένου να προχωρήσει στην ιατρική πράξη. Η προστασία, συνεπώς, των ευαίσθητων δεδομένων του υποκειμένου γίνεται αποτελεσματικότερη όταν μπορεί να αποκλεισθεί η δυνατότητα παράνομης πρόσβασης ή γενικότερα τυχαίας απώλειας». Κατόπιν τούτων, με την προσβαλλόμενη απόφαση κρίθηκε ότι, κατά παράβαση του άρθρου 12 παρ. 1 του ν. 2472/1997, το … δεν απήντησε εγγράφως στο αίτημα του προσφεύγοντος σχετικά με τη χορήγηση σε αυτόν της προεγχειρητικής ακτινογραφίας και του ιατρικού του ιστορικού, ενώ το γεγονός ότι το ……. δεν τηρεί τα δεδομένα που του ζήτησε ο προσφεύγων δεν το απαλλάσσει από την υποχρέωσή του να απαντήσει. Περαιτέρω, με την ίδια απόφαση κρίθηκε ότι το …., κατά παράβαση του άρθρου 10 παρ. 3 του ίδιου ως άνω νόμου, «δεν έχει λάβει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων που τηρεί, ώστε να είναι σε θέση να γνωρίζει και να μπορεί να αποδείξει τι έχει περιληφθεί στο αρχείο του, τι έχει παραληφθεί και τι έχει επιστραφεί στον κομιστή του. Τα μέτρα αυτά, μάλιστα, θα πρέπει να είναι ιδιαίτερα αυστηρά, διότι τα δεδομένα που κατά κύριο λόγο το … επεξεργάζεται είναι δεδομένα υγείας, δηλαδή ευαίσθητα και ως τέτοια χρήζουν ιδιαίτερα μεγάλης προστασίας. Συνεπώς, το …. έχει αυξημένη υποχρέωση επιμέλειας κατά την επεξεργασία των δεδομένων που συλλέγει και τηρεί. Αυτή η ιδιαίτερη επιμέλεια που οφείλει να επιδεικνύει ο υπεύθυνος επεξεργασίας κατά την επεξεργασία ευαίσθητων δεδομένων αφορά στην επεξεργασία από την έναρξη αυτής, δηλαδή τη συλλογή τέτοιων δεδομένων, μέχρι και το τέλος της επεξεργασίας, όπως είναι, δηλαδή, ενδεικτικά, η καταστροφή ή η χορήγηση αυτών των δεδομένων στον ασθενή – υποκείμενο των δεδομένων. Όφειλε, συνεπώς, το .. να έχει λάβει τα κατάλληλα οργανωτικά μέτρα, έτσι ώστε να μπορεί να γνωρίζει το ίδιο και να αποδεικνύει όποτε είναι αναγκαίο ποια η τύχη των ευαίσθητων δεδομένων που περιήλθαν κάποτε στην κατοχή ιατρού ή υπαλλήλου του. Στην υπό κρίση υπόθεση, κατά την οποία ο προσφεύγων ισχυρίζεται ότι το … έχει χάσει ευαίσθητα δεδομένα που τον αφορούν, το .. αδυνατεί να αποδείξει ότι η ακτινογραφία για την ορθοπαιδική επέμβαση έχει επιστραφεί στον προσφεύγοντα, γεγονός που επιβεβαιώνει την ελλιπή λήψη, από την πλευρά του …, των κατάλληλων οργανωτικών μέτρων για την ασφάλεια των ιατρικών δεδομένων». Με τις ανωτέρω αιτιολογίες επεβλήθησαν στην αιτούσα εταιρεία με την προσβαλλόμενη απόφαση της Α.Π.Δ.Π.Χ. αφενός πρόστιμο 7.500 ευρώ για παράβαση του άρθρου 12 του ν. 2472/1997, και αφετέρου πρόστιμο, ομοίως 7.500 ευρώ, για παράβαση του άρθρου 10 παρ. 3 του ιδίου ως άνω νόμου.

4. Επειδή, με τον ν. 2472/1997 «Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα» (Α΄ 50), ο οποίος εξεδόθη εν όψει και της Οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ L 281), ρυθμίσθηκαν τα της προστασίας των φυσικών προσώπων από προσβολές κατά την επεξεργασία προσωπικών τους δεδομένων. Σύμφωνα δε με το άρθρο 2 («Ορισμοί») του ως άνω νόμου, ως «Δεδομένα προσωπικού χαρακτήρα» νοείται κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων (περ. α), ενώ, ως «ευαίσθητα δεδομένα» νοούνται τα δεδομένα που αφορούν, πλην άλλων, στην υγεία [περ. β, όπως αντικαταστάθηκε με το άρθρο όγδοο παρ. 3 του ν. 3625/2007 (Α΄ 290)]. Περαιτέρω, κατά το ίδιο ως άνω άρθρο 2, ως «Υποκείμενο των δεδομένων», νοείται το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί (περ. γ), ως «Επεξεργασία δεδομένων προσωπικού χαρακτήρα» («επεξεργασία»), νοείται κάθε εργασία ή σειρά εργασιών που πραγματοποιείται από το Δημόσιο ή από νομικό πρόσωπο δημοσίου ή ιδιωτικού δικαίου ή ένωση προσώπων ή φυσικό πρόσωπο με ή χωρίς τη βοήθεια αυτοματοποιημένων μεθόδων και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διατήρηση ή αποθήκευση, η τροποποίηση η εξαγωγή, η χρήση, η διαβίβαση, η διάδοση ή κάθε άλλης μορφής διάθεση, η συσχέτιση ή ο συνδυασμός, η διασύνδεση, η δέσμευση (κλείδωμα), η διαγραφή, η καταστροφή (περ. δ), ως «Αρχείο» νοείται κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα, το οποίο είναι προσιτό με γνώμονα συγκεκριμένα κριτήρια [περ. ε, όπως αντικαταστάθηκε με το άρθρο 18 παρ. 2 του ν. 3471/2006 (Α΄ 133)], ως «Υπεύθυνος επεξεργασίας» νοείται οποιοσδήποτε καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός (περ. ζ), και ως «Αρχή», η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (περ. ιβ). Στο άρθρο 10, υπό τον τίτλο «Απόρρητο και ασφάλεια της επεξεργασίας», του ίδιου ως άνω νόμου ορίζεται ότι «1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απόρρητη. Διεξάγεται αποκλειστικά και μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και μόνο κατ’ εντολήν του. 2… 3. Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας…». Στο άρθρο 12 προβλέπεται ότι «1. Καθένας έχει δικαίωμα να γνωρίζει εάν δεδομένα προσωπικού χαρακτήρα που τον αφορούν αποτελούν ή αποτέλεσαν αντικείμενο επεξεργασίας. Προς τούτο, ο υπεύθυνος επεξεργασίας έχει υποχρέωση να του απαντήσει εγγράφως. 2. Το υποκείμενο των δεδομένων έχει δικαίωμα να ζητεί και να λαμβάνει από τον υπεύθυνο επεξεργασίας χωρίς καθυστέρηση και κατά τρόπο εύληπτο και σαφή, τις ακόλουθες πληροφορίες: α) Όλα τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, καθώς και την προέλευσή τους. β) Τους σκοπούς της επεξεργασίας, τους αποδέκτες ή τις κατηγορίες αποδεκτών. γ) … 3. Το δικαίωμα της προηγούμενης παραγράφου και τα δικαιώματα του άρθρου 13 ασκούνται με την υποβολή της σχετικής αίτησης στον υπεύθυνο επεξεργασίας … 4. Εάν ο υπεύθυνος επεξεργασίας δεν απαντήσει εντός δεκαπέντε (15) ημερών ή εάν η απάντησή του δεν είναι ικανοποιητική, το υποκείμενο των δεδομένων έχει δικαίωμα να προσφύγει στην Αρχή. …». Στο άρθρο 19 ορίζεται ότι «1. Η Αρχή έχει τις εξής αρμοδιότητες: α) … γ) Απευθύνει συστάσεις και υποδείξεις στους υπεύθυνους επεξεργασίας ή τους τυχόν εκπροσώπους τους…», ενώ στο άρθρο 21 του ίδιου ως άνω ν. 2472/1997 ορίζονται τα εξής: «1. Η Αρχή επιβάλλει στους υπεύθυνους επεξεργασίας ή στους τυχόν εκπροσώπους τους τις ακόλουθες διοικητικές κυρώσεις, για παράβαση των υποχρεώσεών τους που απορρέουν από τον παρόντα νόμο και από κάθε άλλη ρύθμιση που αφορά την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα: α)… β) Πρόστιμο ποσού από τριακόσιες χιλιάδες (300.000) έως πενήντα εκατομμύρια (50.000.000) δραχμές. γ) … 2. Οι υπό στοιχεία β΄, γ΄, δ΄ και ε΄ διοικητικές κυρώσεις της προηγούμενης παραγράφου επιβάλλονται πάντοτε ύστερα από ακρόαση του υπεύθυνου επεξεργασίας ή του εκπροσώπου του. Είναι ανάλογες προς τη βαρύτητα της παράβασης που καταλογίζεται…».

5. Επειδή, με την υπό κρίση αίτηση προβάλλεται, κατ` αρχάς, ότι η καθ` ης η αίτηση Αρχή αναρμοδίως επελήφθη της προσφυγής του προαναφερθέντος καταγγείλαντος προσώπου και επέβαλε το ένδικο πρόστιμο σε βάρος της αιτούσας, για παράβαση του άρθρου 10 παρ. 3 του ν. 2472/1997, δεδομένου ότι, κατά τις διατάξεις του νόμου αυτού, αποκλειστική αρμοδιότητα της Αρχής είναι η διαπίστωση της παραβίασης των προσωπικών δεδομένων του υποκειμένου από κάποιας μορφής επεξεργασία και όχι η υπόδειξη του είδους και του περιεχομένου των αρχείων που κάθε υπεύθυνος επεξεργασίας οφείλει να τηρεί. Τούτο διότι, κατά τους ισχυρισμούς της αιτούσας, το ειδικότερο περιεχόμενο των ιατρικών αρχείων που οφείλουν να τηρούν οι ιδιωτικές κλινικές, όπως αυτή της αιτούσας, καθορίζεται από τα νομοθετήματα που διέπουν την ίδρυση και λειτουργία τους, η διαπίστωση δε τυχόν πλημμελειών ή ελλείψεων στην τήρηση των αρχείων αυτών αποτελεί αντικείμενο της αρμοδιότητας των οικείων οργάνων της νομαρχίας που κατά νόμον χορηγούν τις άδειες στις κλινικές, καθώς και των αρμόδιων υπηρεσιών του Υπουργείου Υγείας. Ο λόγος πρέπει να απορριφθεί ως αβάσιμος, διότι, κατά τη ρητή διατύπωση των προπαρατεθέντων άρθρων 19 παρ. 1 περ. γ) και 21 του ν. 2472/1997, η Αρχή έχει αρμοδιότητα να απευθύνει συστάσεις και υποδείξεις στους υπεύθυνους επεξεργασίας και να επιβάλλει τις προβλεπόμενες από τον νόμο αυτό κυρώσεις για παραβάσεις των διατάξεων του νόμου αυτού. Εν προκειμένω δε, όπως προεκτέθηκε, με την προσβαλλόμενη απόφαση επιβλήθηκε πρόστιμο στην αιτούσα, διότι διαπιστώθηκε ότι, κατά παράβαση του άρθρου 10 παρ. 3 του ν. 2472/1997, η κλινική της αιτούσας δεν είχε λάβει τα κατάλληλα οργανωτικά μέτρα για την καταχώριση σε αρχείο των ιατρικών εξετάσεων των εξωτερικών ασθενών που έχουν διενεργηθεί αλλού, και τις οποίες αυτοί (εξωτερικοί ασθενείς) προσκομίζουν στην Κλινική, έτσι ώστε να είναι σε θέση να γνωρίζει και να αποδείξει ποια δεδομένα έχουν παραληφθεί από αυτήν και ποια έχουν επιστραφεί στους κομιστές τους. Είναι διάφορο δε το ζήτημα αν η αιτούσα υπόκειται ενδεχομένως και σε κυρώσεις που προβλέπονται από τη νομοθεσία που διέπει την ίδρυση και λειτουργία της κλινικής που διατηρεί από τη μη τήρηση ή την πλημμελή τήρηση των ιατρικών αρχείων που υποχρεούται από τις διατάξεις της νομοθεσίας αυτής να τηρεί.

6. Επειδή, περαιτέρω, με την κρινόμενη αίτηση προβάλλεται ότι η προσβαλλόμενη απόφαση εξεδόθη κατ` εσφαλμένη ερμηνεία και εφαρμογή του άρθρου 12 του ν. 2472/1997 (δικαίωμα πρόσβασης), διότι προϋπόθεση για την εφαρμογή της διάταξης αυτής είναι το δεδομένο να συνιστά πράγματι περιεχόμενο του αρχείου, δηλαδή να έχει συλλεγεί, καταχωρισθεί και να έχει τύχει επεξεργασίας, εν προκειμένω, όμως, όπως δέχεται και η προσβαλλόμενη απόφαση, το επίμαχο δεδομένο (η προεγχειρητική ακτινογραφία) ουδέποτε αποτέλεσε, έστω και προσωρινά, στοιχείο του αρχείου που τηρείται στην κλινική της αιτούσας, αλλά το προσκόμισε ο καταγγείλας, ο οποίος προσήλθε στην κλινική ως εξωτερικός ασθενής, και το παρέλαβε αποκλειστικά ο θεράπων ιατρός του, ο οποίος διατηρεί δικό του ιατρείο εντός του νοσοκομείου, και ο οποίος έχει κατά νόμον υποχρέωση τηρήσεως αρχείου απολύτως διακριτού από το αρχείο που τηρεί η κλινική για τους νοσηλευόμενους σε αυτήν ασθενείς.

7. Επειδή, με τις προπαρατεθείσες διατάξεις του άρθρου 12 του ν. 2472/1997 δεν κατοχυρώνεται μόνον το δικαίωμα πρόσβασης κάθε προσώπου σε δεδομένα προσωπικού χαρακτήρα που το αφορούν και τα οποία απετέλεσαν αντικείμενο επεξεργασίας – ως τέτοιας νοουμένης, πλην άλλων, κατά την περ. γ του άρθρου 2 του νόμου αυτού, και της καταχώρισης/αποθήκευσης αυτών- αλλά, κατά τη ρητή της διατύπωση, με την εν λόγω διάταξη κατοχυρώνεται πρωτίστως δικαίωμα του ενδιαφερόμενου στην πληροφόρηση περί του αν δεδομένα που τον αφορούν αποτέλεσαν αντικείμενο επεξεργασίας. Αντιστοίχως δε ιδρύεται υποχρέωση του υπεύθυνου επεξεργασίας να ενημερώνει τον ενδιαφερόμενο για το αν τα δεδομένα που τον αφορούν έτυχαν επεξεργασίας. Εξ άλλου, το ανωτέρω δικαίωμα πρόσβασης του υποκειμένου των δεδομένων ασκείται με την υποβολή από αυτό σχετικής αιτήσεως στον υπεύθυνο επεξεργασίας, κατά τα οριζόμενα στην παρ. 3 του άρθρου 12 του ν. 2472/1997. Περαιτέρω, κατά τα προβλεπόμενα στην παρ. 4 του ιδίου άρθρου 12 του ν. 2472/1997, κατά της ρητής ή σιωπηρής απορρίψεως από τον υπεύθυνο επεξεργασίας αιτήσεως του ενδιαφερομένου για την πρόσβαση σε προσωπικά δεδομένα που τον αφορούν, χωρεί – απροθέσμως – προσφυγή ενώπιον της Α.Π.Δ.Π.Χ., η απόφαση δε της Αρχής επί της προσφυγής αποτελεί εκτελεστή πράξη, δεσμευτική για τον υπεύθυνο επεξεργασίας, ο οποίος, εφ’ όσον δεν ασκεί τα προβλεπόμενα κατά της πράξεως αυτής ένδικα μέσα, έχει υποχρέωση σε συμμόρφωση (πρβλ. ΣτΕ 3276/2007). Εν όψει των ανωτέρω, με ορθή ερμηνεία και εφαρμογή της διατάξεως του άρθρου 12 του ν. 2472/1997 και με νόμιμη και επαρκή αιτιολογία επεβλήθη με την προσβαλλόμενη απόφαση στην αιτούσα η ένδικη κύρωση του προστίμου, για τον λόγο ότι η κλινική της αιτούσας, κατά παράβαση της διατάξεως αυτής, δεν απήντησε, ως ώφειλε, στο αίτημα του καταγγείλαντος να πληροφορηθεί αν στα τηρούμενα από αυτήν αρχεία περιελήφθη συγκεκριμένο δεδομένο προσωπικού χαρακτήρα που τον αφορά (προεγχειρητική ακτινογραφία), χωρίς να την απαλλάσσει από την υποχρέωση αυτή ενημερώσεως το γεγονός ότι το επίμαχο δεδομένο δεν είχε παραχθεί στην Κλινική της και, συνεπώς, δεν είχε καταχωρισθεί στο τηρούμενο από αυτήν αρχείο. Συνεπώς, ο παρατιθέμενος στην προηγούμενη σκέψη λόγος ακυρώσεως, ο οποίος εκκινεί από την αντίθετη ερμηνευτική εκδοχή της ανωτέρω διατάξεως (ότι, δηλαδή, το δεδομένο πρέπει να συνιστά πράγματι στοιχείο του τηρούμενου αρχείου), πρέπει να απορριφθεί ως αβάσιμος.

8. Επειδή, κατά την έννοια της επίσης προπαρατεθείσης διατάξεως της παρ. 3 του άρθρου 10 του ίδιου ως άνω ν. 2472/1997, ο υπεύθυνος επεξεργασίας, στο πλαίσιο της υποχρέωσης λήψης των κατάλληλων οργανωτικών και τεχνικών μέτρων για την ασφάλεια των δεδομένων προσωπικού χαρακτήρα, έχει ιδιαίτερο καθήκον τηρήσεως και επιμελούς διαφυλάξεως αρχείου με δεδομένα προσωπικού χαρακτήρα για τους καθορισμένους, σαφείς και νόμιμους σκοπούς και για την επιτρεπτή και θεμιτή επεξεργασία τους, καθώς και αποφυγής αμελών ενεργειών (τυχαία ή αθέμιτη καταστροφή ή τυχαία απώλεια κλπ) που έχουν αποτέλεσμα να θίγονται τα σχετικά δικαιώματα των ενδιαφερομένων (βλ. ΣτΕ 749/2005). Εν όψει τούτων, και ως προς τη στοιχειοθέτηση της παράβασης του άρθρου 10 παρ. 3 του ν. 2472/1997 η αιτιολογία της προσβαλλόμενης απόφασης παρίσταται νόμιμη και επαρκής. Τούτο διότι η κλινική της αιτούσας υπείχε, κατά την έννοια της ανωτέρω διάταξης, την υποχρέωση λήψης των κατάλληλων οργανωτικών και τεχνικών μέτρων για τη φύλαξη και προστασία των προσωπικών δεδομένων των ασθενών της και μάλιστα αδιακρίτως του αν πρόκειται περί νοσηλευόμενων σε αυτήν ή εξωτερικών ασθενών. Εν προκειμένω, κατά τα διαλαμβανόμενα στην προσβαλλόμενη απόφαση, η κλινική της αιτούσας τηρεί Βιβλίο Εξωτερικών Ασθενών, το οποίο, καθ’ ομολογίαν της, περιλαμβάνει μόνον τα ατομικά στοιχεία του εξωτερικού ασθενούς, τη συμπτωματολογία της ασθένειάς του και απλή μνεία τυχόν κλινικοεργαστηριακών εξετάσεων, στις οποίες αυτός υποβλήθηκε στην κλινική, όχι δε και των κλινικοεργαστηριακών εξετάσεων, στις οποίες ο εξωτερικός ασθενής είχε υποβληθεί σε άλλη κλινική ή διαγνωστικό κέντρο, και τα αποτελέσματα των οποίων αυτός προσκόμισε κατά την επίσκεψή του στην κλινική, προκειμένου να τα επιδείξει απευθείας στον θεράποντα ιατρό του, που εργάζεται εντός της κλινικής. Η επιλογή, όμως αυτή της τήρησης από την Κλινική αρχείου για τους εξωτερικούς ασθενείς με το ανωτέρω περιεχόμενο, δεν συνιστά, κατά την έννοια της διάταξης του άρθρου 10 παρ. 3 του ν. 2472/1997, μέτρο κατάλληλο για την ασφάλεια και προστασία των δεδομένων αυτών από καταστροφή, τυχαία απώλεια κ.λπ., λαμβανομένης υπόψη και της φύσης τους ως ευαίσθητων προσωπικών δεδομένων αφορώντων στην υγεία του υποκειμένου τους. Συνεπώς, αβασίμως προβάλλεται ότι η προσβαλλόμενη απόφαση εξεδόθη κατ` εσφαλμένη ερμηνεία και εφαρμογή του άρθρου 10 παρ. 3 του ν. 2472/1997, διότι προϋπόθεση της διάταξης αυτής είναι το δεδομένο να συνιστά πράγματι περιεχόμενο του αρχείου, δηλαδή να έχει συλλεγεί, καταχωρισθεί και να έχει τύχει επεξεργασίας από τον υπεύθυνο επεξεργασίας, και ότι, ως εκ τούτου, το επίμαχο δεδομένο (η προεγχειρητική ακτινογραφία) δεν εμπίπτει στην κατά νόμον έννοια του «αρχείου», που τηρεί ή οφείλει να τηρεί η Κλινική, καθόσον ουδέποτε αποτέλεσε, έστω και προσωρινά, στοιχείο του αρχείου που αυτή τηρεί, αλλά είχε παραληφθεί αποκλειστικά από τον θεράποντα ιατρό του καταγγείλαντος. Εξ άλλου, η κατά το ανωτέρω άρθρο 10 παρ. 3 του ν. 2472/1997 υποχρέωση που υπέχει η Κλινική για τη λήψη των κατάλληλων οργανωτικών μέτρων για την επιμελή τήρηση ιατρικού αρχείου ούτε διαφοροποιείται ανάλογα με το αν πρόκειται περί εσωτερικών ή εξωτερικών ασθενών, ούτε εξαρτάται από τη συμβατική σχέση που τη συνδέει με τους ιατρούς που εργάζονται στον χώρο της. Συνεπώς, αβασίμως προβάλλονται οι ισχυρισμοί ότι η προσβαλλόμενη απόφαση δεν έλαβε υπόψη ότι ο καταγγείλας ήταν εξωτερικός ασθενής, ως προς τον οποίο η Κλινική ουδεμία υποχρέωση υπείχε να τηρεί αρχείο με το ανωτέρω περιεχόμενο, καθώς και ότι η Κλινική δεν συνδέεται με σχέση πρόστησης με τους θεράποντες ιατρούς, ώστε να φέρει ευθύνη για τις πράξεις ή παραλείψεις των τελευταίων ως προστηθέντων, αλλά λειτουργεί επιχειρηματικά ως «…………….», δηλαδή λειτουργεί μέσω συνεργασιών με τους ιδιώτες ιατρούς, οι οποίοι απλώς χρησιμοποιούν τις εγκαταστάσεις της Κλινικής για την παροχή των υπηρεσιών τους προς την ιδιωτική τους πελατεία, και συνεπώς, υπόχρεοι να τηρούν τέτοιο αρχείο είναι αποκλειστικά οι θεράποντες ιατροί. Περαιτέρω, δεν καθίσταται αντιφατική η αιτιολογία της προσβαλλόμενης απόφασης εκ του ότι, όπως αβασίμως προβάλλει η αιτούσα, ενώ η Αρχή δέχεται ότι, όσον αφορά την επίμαχη ακτινογραφία, «δεν διαπιστώθηκε η προσκόμιση ή λήψη της από τον προσφεύγοντα», εντούτοις «πιθανολογεί σφόδρα ότι το Ιατρικό παρέλαβε μέσω του ιατρού τη συγκεκριμένη ακτινογραφία». Τούτο διότι η προσβαλλόμενη απόφαση, όπως προκύπτει από το αναλυτικώς παρατιθέμενο ανωτέρω περιεχόμενό της, αφενός διαλαμβάνει ότι δεν διαπιστώθηκε η προσκόμισή της στην Κλινική από τον ενδιαφερόμενο ασθενή (πράγμα το οποίο, άλλωστε, επιβεβαιώνει και η ίδια η Κλινική, αφού, καθ` ομολογίαν της, δεν τηρεί σχετικό αρχείο για τους εξωτερικούς ασθενείς, με την καταχώριση σε αυτό των εξετάσεων που οι ασθενείς αυτοί διενεργούν αλλού), αφετέρου δε, κατά την κοινή λογική αντίληψη, συνάγει το εύλογο συμπέρασμα ότι αυτή (ακτινογραφία) προσκομίσθηκε και επιδείχθηκε απευθείας στον θεράποντα ιατρό που εργάζεται στην κλινική (πράγμα το οποίο άλλωστε επιβεβαιώνει και ο ίδιος ο γιατρός), και ο οποίος στη συνέχεια προχώρησε στην χειρουργική επέμβαση, η οποία, κατά την κοινή πείρα, δεν θα μπορούσε να διενεργηθεί χωρίς την ακτινογραφία. Ούτε, τέλος, ασκεί επιρροή στην κατά τα ανωτέρω υποχρέωση της Κλινικής να λαμβάνει τα κατάλληλα μέτρα με την επιμελή τήρηση αρχείου ο ισχυρισμός της αιτούσας ότι τελικώς η ακτινογραφία επεστράφη στον ενδιαφερόμενο ασθενή από τον ίδιο τον γιατρό.

9. Επειδή, εν όψει του ότι, όπως έγινε δεκτό στις προηγούμενες σκέψεις, η προσβαλλόμενη απόφαση, με το ανωτέρω αναλυτικώς παρατιθέμενο περιεχόμενο, παρίσταται νομίμως και επαρκώς αιτιολογημένη ως προς αμφότερες τις αποδοθείσες στην κλινική της αιτούσας παραβάσεις (:των άρθρων 10 παρ. 3 και 12 παρ. 1 του  ν. 2472/1997), είναι απορριπτέα τα προβαλλόμενα περί πλάνης περί τα πράγματα και, ειδικότερα, ότι η Αρχή εσφαλμένως υπέλαβε: α/ ότι δεν επεστράφη η ακτινογραφία από τον θεράποντα ιατρό στον ασθενή και ότι αυτή απωλέσθη, και β/ ότι παρελήφθη η ακτινογραφία από την Κλινική μέσω τής έστω και προσωρινής παράδοσής της στον θεράποντα ιατρό.

10. Επειδή, ενόψει της κατά τα ανωτέρω σαφούς εννοίας των διατάξεων των άρθρων 10 παρ. 3 και 12 παρ. 1 του ν. 2472/1997, βάσει των οποίων επεβλήθησαν τα ένδικα πρόστιμα, αβασίμως προβάλλεται με το δικόγραφο προσθέτων λόγων ότι, κατά παράβαση της αρχής της αναλογικότητας, επιβλήθηκαν οι κυρώσεις αυτές «λόγω του ασαφούς και δυσερμήνευτου των σχετικών διατάξεων». Εξ άλλου, οι επιλεγείσες κυρώσεις των προστίμων, ενόψει της φύσεως και της βαρύτητας των αποδοθεισών στην αιτούσα παραβάσεων, οι οποίες συνδέονται, αντιστοίχως, με τη μη ικανοποίηση του δικαιώματος πρόσβασης σε προσωπικά δεδομένα και με τη μη λήψη κατάλληλων οργανωτικών μέτρων για την προστασία ευαίσθητων προσωπικών δεδομένων υγείας, δεν παρίστανται δυσανάλογες. Επομένως, τα προβαλλόμενα ότι κατά παράβαση της αρχής της αναλογικότητας υφίσταται προφανής δυσαναλογία μεταξύ των επιβληθεισών κυρώσεων και του επιδιωκόμενου σκοπού, είναι απορριπτέα ως αβάσιμα. Τέλος, απαραδέκτως η αιτούσα ισχυρίζεται ότι αρκούσε η επιβολή σε αυτήν απλής συστάσεως, διότι αμφισβητεί την ουσιαστική κρίση της Αρχής ως προς την επιβλητέα κύρωση (πρβλ. ΣτΕ 1368/2008).

11. Επειδή, κατόπιν τούτων, η υπό κρίση αίτηση πρέπει να απορριφθεί.

Δ ι ά  τ α ύ τ α

Απορρίπτει την αίτηση.

Διατάσσει την κατάπτωση του παραβόλου.

Επιβάλλει στην αιτούσα εταιρεία τη δικαστική δαπάνη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία ανέρχεται στο ποσό των τετρακοσίων εξήντα (460) ευρώ.

Μικρές & Μεσαίες Επιχειρήσεις: Συμμόρφωση με τον GDPR

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (εφεξής Κανονισμός, GDPR) τέθηκε σε εφαρμογή στις 25 Μαΐου 2018. Κατ΄αρχάς να υπογραμμιστεί ότι δεν υπάρχει κανένας λόγος για πανικό. Η ίδια η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει, και ορθώς, επισημάνει ότι η 25 Μαΐου 2018 δεν αποτελεί το τέλος αλλά την αρχή μιας διαδικασίας προσαρμογής. Επομένως, τα πρόστιμα που προβλέπει ο Κανονισμός μπορούν να περιμένουν, προς ώρας τουλάχιστον. Εντούτοις, ο εφησυχασμός αντενδείκνυται.

Το συγκεκριμένο άρθρο απευθύνεται στις μικρές και μεσαίες επιχειρήσεις οι οποίες ως υπεύθυνοι επεξεργασίας δεν έχουν συνήθως τη δυνατότητα να επενδύσουν σε πόρους, υλικούς και ανθρώπινους, όπως οι μεγάλες επιχειρήσεις, προκειμένου να συμμορφωθούν προς τις απαιτήσεις του Κανονισμού. Σε δώδεκα απλά βήματα αναλύουμε τον «οδικό χάρτη» που συστήνουμε να ακολουθήσουν προκειμένου να αποφύγουν «περιπέτειες» σε περίπτωση που τους γίνει έλεγχος από την αρμόδια εποπτική αρχή ή υπάρξουν καταγγελίες σε βάρος τους.

Συνιστούμε στις μικρές και μεσαίες επιχειρήσεις ως υπεύθυνους επεξεργασίας να προβούν στα εξής:

1) Διαμόρφωση συνείδησης προστασίας προσωπικών δεδομένων στην επιχείρηση (awareness). Τούτο προϋποθέτει ενημέρωση όχι μόνο της διοίκησης (management) αλλά και όλου του προσωπικού για το ότι ο Κανονισμός επιφέρει αλλαγές στην προστασία των δεδομένων και κατ’ επέκταση, ενδεχομένως, και στη λειτουργία της επιχείρησης. Συνεπώς, όλοι οι εργαζόμενοι επιβάλλεται να γνωρίζουν, στο βαθμό που είναι αναγκαίο για την ορθή άσκηση των καθηκόντων τους,  τί επιτρέπεται και τί απαγορεύεται, τί είναι υποχρεωτικό και τί προαιρετικό, με βάση τον Κανονισμό. Ακόμη και αν όλα τα τεχνικά μέτρα προστασίας που η επιχείρηση εφαρμόζει είναι άψογα, εφόσον δεν υπάρξει ευαισθητοποίηση και κινητοποίηση του ανθρώπινου δυναμικού της, θα ανακύπτουν συνεχώς προβλήματα συμμόρφωσης.

2) Χαρτογράφηση των προσωπικών δεδομένων τα οποία η επιχείρηση επεξεργάζεται, τις πηγές από τις οποίες τα αντλεί και τους αποδέκτες τους. Ανάλογα με την περίπτωση, είναι πιθανό να απαιτείται ένας ενδελεχής πληροφορικός έλεγχος (information audit).

3) Αναθεώρηση της πολιτικής απορρήτου (γνωστή και ως πολιτική προστασίας δεδομένων, privacy notice) ώστε να είναι συμβατή με τις διατάξεις του Κανονισμού. Προκειμένου η πολιτική απορρήτου να καταστεί όσο γίνεται περισσότερο προσπελάσιμη και ευρύτερα γνωστή, συνιστάται η ανάρτησή της στην αρχική ιστοσελίδα της επιχείρησης. Oι υπεύθυνοι επεξεργασίας, εκτός της ταυτότητάς τους και του τρόπου με τον οποίο σκοπεύουν να χρησιμοποιήσουν τα προσωπικά δεδομένα που συλλέγουν, υποχρεώνονται πλέον από τον Κανονισμό να γνωστοποιούν στο υποκείμενο των δεδομένων τη νόμιμη βάση επεξεργασίας των δεδομένων του, το χρόνο τήρησής τους και το δικαίωμά του για  υποβολή καταγγελίας στην αρμόδια εποπτική αρχή. Η πληροφόρηση πρέπει πάντα να γίνεται σε ύφος “λακωνικό” (όχι υπερπληροφόρηση) και σε γλώσσα σαφή και εύκολα κατανοητή στο μέσο πολίτη.ικ

4) Έλεγχος των υφιστάμενων διαδικασιών της επιχείρησης ώστε να εξακριβωθεί αν και κατά πόσο διασφαλίζουν την υλοποίηση των νέων καθώς και των ήδη υφιστάμενων αλλά ενισχυμένων πλέον από τον Κανονισμό δικαιωμάτων των υποκειμένων των δεδομένων. Πρόκειται για τα:

  • δικαίωμα ενημέρωσης
  • δικαίωμα πρόσβασης
  • δικαίωμα διόρθωσης
  • δικαίωμα διαγραφής (“δικαίωμα στη λήθη”)
  • δικαίωμα στον περιορισμό της επεξεργασίας
  • δικαίωμα στη φορητότητα των δεδομένων
  • δικαίωμα εναντίωσης
  • δικαίωμα στην ανθρώπινη παρέμβαση

Ας δώσουμε δύο παραδείγματα.

Σε περίπτωση που ένα υποκείμενο δεδομένων ζητά από μια επιχείρηση να διαγράψει τα προσωπικά του δεδομένα από τα αρχεία της,  προκύπτουν οι εξής ερωτήσεις:

  • Έχει λάβει η επιχείρηση τα κατάλληλα οργανωτικά και τεχνικά μέτρα ώστε να είναι σε θέση κατ’ αρχάς να εντοπίσει και στη συνέχεια να διαγράψει τα δεδομένα του συγκεκριμένου υποκειμένου;
  • Έχει ορίσει το άτομο ή την ομάδα που θα έχει την αποφασιστική αρμοδιότητα περί διαγραφής ή μη;

Το  δεύτερο παράδειγμα αφορά στο νέο δικαίωμα στη φορητότητα των δεδομένων. Αν η επιχείρηση προβαίνει σε αυτοματοποιημένη επεξεργασία δεδομένων με βάση σύμβαση ή τη συγκατάθεση του υποκειμένου, οφείλει να ελέγξει και αναλόγως να αναθεωρήσει τις διαδικασίες της, ώστε να είναι σε θέση να παρέχει στο υποκείμενο τα δεδομένα του σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα διαλειτουργικό μορφότυπο, δωρεάν και μέσα σε προθεσμία ενός μηνός.

5) Έλεγχος αν έχουν υιοθετηθεί τα κατάλληλα οργανωτικά και τεχνικά μέτρα προκειμένου η επιχείρηση να μπορεί αμέσως και ευχερώς να ανταποκρίνεται σε αιτήματα των υποκειμένων των δεδομένων για πρόσβαση σ’ αυτά, ιδίως μάλιστα αν αναμένονται πολλά τέτοια αιτήματα. Εφιστάται η προσοχή στην άσκηση του δικαιώματος πρόσβασης του υποκειμένου διότι στις πλείστες περιπτώσεις το δικαίωμα πρόσβασης παρέχεται δωρεάν, ενώ η προθεσμία απάντησης είναι μόνο ένας μήνας. Σε περίπτωση άρνησης ικανοποίησης του δικαιώματος πρόσβασης ο υπεύθυνος επεξεργασίας οφείλει να εξηγήσει στο υποκείμενο των δεδομένων χωρίς αναίτια καθυστέρηση και το αργότερο σε έναν μήνα το λόγο άρνησης, και ταυτόχρονα να ενημερώσει το υποκείμενο για το δικαίωμά του να υποβάλει καταγγελία στην αρμόδια εποπτική αρχή και να προσφύγει δικαστικά κατά του υπευθύνου επεξεργασίας. Στο μέτρο του δυνατού ή του επιθυμητού, αποτελεί “καλή πρακτική” η εγκατάσταση IT συστήματος που επιτρέπει την επιγραμμική (online) πρόσβαση του υποκειμένου στα προσωπικά του δεδομένα.

6) Απαντήσεις στα ακόλουθα ερωτήματα:

  • Έχει προσδιοριστεί και καταγραφεί η νόμιμη βάση επεξεργασίας των προσωπικών δεδομένων και έχει συνδεθεί με συγκεκριμένο και ρητό σκοπό ή σκοπούς επεξεργασίας;
  • Τηρείται η αρχή της «ελαχιστοποίησης των δεδομένων», δηλαδή γίνεται επεξεργασία των απολύτως αναγκαίων δεδομένων για την επίτευξη του εκάστοτε σκοπού επεξεργασίας, και όχι περισσότερων δεδομένων απ’ ότι χρειάζεται;

Οι απαντήσεις στα παραπάνω ερωτήματα πρέπει να συμπεριληφθούν και να επεξηγηθούν στην πολιτική απορρήτου της επιχείρησης (βλέπε υπό 3).

Υπό το παλιό νομικό καθεστώς της Οδηγίας 95/46/ΕΚ η νόμιμη βάση επεξεργασίας δεν είχε ιδιαίτερες πρακτικές επιπτώσεις. Με τον Κανονισμό η κατάσταση αλλάζει. Τα υποκείμενα αποκτούν πλέον επισήμως ισχυρό δικαίωμα διαγραφής των δεδομένων τους στις περιπτώσεις όπου η συγκατάθεση αποτελεί τη νόμιμη βάση επεξεργασίας.

7) Αναθεώρηση της πολιτικής της επιχείρησης αναφορικά με τη λήψη της συγκατάθεσης ώστε να είναι σύμφωνη προς τις επιταγές του Κανονισμού. Η συγκατάθεση καθίσταται πλέον ρητή, το λεγόμενο optin. Με άλλα λόγια, δήλωση συγκατάθεσης δεν συνάγεται από την αδράνεια ή τη σιωπή του υποκειμένου ή τις προεπιλογές (πχ. προσυμπληρωμένα τετραγωνίδια) του υπευθύνου επεξεργασίας.  Επιπλέον πρέπει:

  • το αίτημα για συγκατάθεση του υποκειμένου να τίθεται κατά τρόπο σαφώς διακριτό από άλλα θέματα,
  • η παροχή της συγκατάθεσης να είναι χωριστή από άλλους όρους και προϋποθέσεις,
  • αν η επεξεργασία αφορά πολλαπλούς σκοπούς, τότε να λαμβάνεται συγκατάθεση για όλους τους σκοπούς,
  • η ανάκληση της συγκατάθεσης να μπορεί να γίνεται ευχερώς.

8) Έλεγχος αν υπάρχει ανάγκη υιοθέτησης μέτρων επαλήθευσης της ηλικίας των υποκειμένων των δεδομένων καθώς και μέτρων λήψης της συγκατάθεσης των γονέων ή κηδεμόνων για κάθε επεξεργασία δεδομένων παιδιών.

9) Έλεγχος αν ήδη υφίστανται ή πρέπει να υιοθετηθούν κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων καθώς και κατάλληλες διαδικασίες για τον εντοπισμό και διερεύνηση των περιπτώσεων παραβίασης προσωπικών δεδομένων και τη γνωστοποίησή τους, ανάλογα με την περίπτωση παραβίασης, στην αρμόδια εποπτική αρχή ή και στο υποκείμενο των δεδομένων. Η επιβολή προστίμου ελλοχεύει ακριβώς στις περιπτώσεις παραβίασης προσωπικών δεδομένων που ο υπεύθυνος επεξεργασίας ήταν υποχρεωμένος να ανακοινώσει στο υποκείμενο ή στην αρμόδια εποπτική αρχή και παραταύτα παρέμεινε αδρανής. Επομένως, κάθε επιχείρηση οφείλει να καταρτίσει εκ των προτέρων σχέδιο αντιμετώπισης περιστατικών παραβίασης προσωπικών δεδομένων.

Υιοθέτηση, ακόμη και από τις μικρομεσαίες επιχειρήσεις, της προστασίας της ιδιωτικότητας εξ ορισμού[1] (Privacy by Default) καθώς και εκ σχεδίου και δια σχεδιασμού[2] (Privacy by Design). 

Παραδείγματα ιδιωτικότητας εξ ορισμού:

  • η ελαχιστοποίηση των υπό επεξεργασία δεδομένων ως προς τον όγκο τους καθώς και ως προς την ένταση και έκταση της επεξεργασίας και τη διάρκεια τήρησης αυτών,
  • η παροχή στο χρήστη της δυναtότητας ο ίδιος ενεργά να προσδιορίζει την «ορατότητα» του προφίλ του.

Παραδείγματα της προστασίας εκ σχεδίου και δια σχεδιασμού (Privacy by Design) που αναφέρονται στο ίδιο το Προοίμιο του Κανονισμού:

  • πάλι η ελαχιστοποίηση της επεξεργασίας δεδομένων,
  • η ψευδωνυμοποίηση το συντομότερο δυνατόν,
  • η διαφάνεια όσον αφορά την επεξεργασία, ώστε να μπορεί το υποκείμενο των δεδομένων να παρακολουθεί την επεξεργασία των δεδομένων του και να είναι σε θέση ο υπεύθυνος επεξεργασίας να δημιουργεί και να βελτιώνει τα χαρακτηριστικά ασφαλείας.

Υπογραμμίζουμε ωστόσο ότι η λήψη μέτρων προστασίας εκ σχεδίου και δια σχεδιασμού θα πρέπει να γίνεται λαμβάνοντας υπόψη όχι μόνο τις τελευταίες τεχνολογικές εξελίξεις αλλά και το κόστος εφαρμογής των μέτρων αυτών καθώς και την πιθανότητα και σοβαρότητα των κινδύνων που μπορεί να προκύψουν (risk assessment). 

Όπου απαιτείται από τον Κανονισμό, η επιχείρηση οφείλει να προχωρεί σε εκπόνηση εκτίμησης αντικτύπου στην προστασία των προσωπικών δεδομένων, τη γνωστή πλέον Data Protection Impact Assessement (DPIA). Επομένως κάθε επιχείρηση οφείλει να διερευνήσει

  • αν της επιβάλλεται από τον Κανονισμό να εκπονήσει DPΙA (πχ. περιπτώσεις επεξεργασιών υψηλού κινδύνου),
  • ποιος θα τη διενεργήσει και ποιοι ακόμη χρειάζεται να εμπλακούν (πχ. υπεύθυνος επεξεργασίας, χρήστες του συστήματος, ειδικοί νομικοί και πληροφορικοί),
  • ποια θα είναι η μεθοδολογία και τα τεχνικά πρότυπα (πχ. ISOs) που θα ακολουθηθούν.

Μετά την εκπόνηση της DPIA η επιχείρηση συμμορφώνεται προς τις συστάσεις της και εφαρμόζει τα μέτρα προστασίας προσωπικών δεδομένων που προτείνει.

Υπογραμμίζεται ότι σε κάθε περίπτωση και ανεξάρτητα από το αν η εκπόνηση DPIA είναι υποχρεωτική ή όχι, κάθε επιχείρηση είναι υποχρεωμένη να καταρτίσει και να υλοποιήσει σχέδιο ενεργειών συμμόρφωσης προς τον Κανονισμό, στο μέτρο που ο Κανονισμός την αφορά.

11) Ορισμός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer) στις περιπτώσεις που επιβάλλεται από τον Κανονισμό.[3] Πχ. σε μια επιχείρηση όπου η επεξεργασία προσωπικών δεδομένων γίνεται με σκοπό τη μισθοδοσία των εργαζομένων, η επεξεργασία δεδομένων θα μπορούσε να μην χαρακτηριστεί βασική δραστηριότητα του υπευθύνου ή του εκτελούντος την επεξεργασία αλλά παρεπόμενη ή βοηθητική, επομένως να μην απαιτείται διορισμός Υπεύθυνου Προστασίας Δεδομένων (ΥΠΟ). Αντίθετα, ακόμη και σε μικρές και μεσαίες επιχειρήσεις που παρέχουν ηλεκτρονικές επικοινωνίες ή προβαίνουν σε διαδικτυακή επεξεργασία δεδομένων με σκοπό την εμπορική προώθηση-διαφήμιση ή σε profiling, επιβάλλεται ο διορισμός ΥΠΟ. Σημειώνεται ότι ο ΥΠΟ μπορεί να είναι και εξωτερικός συνεργάτης με σύμβαση παροχής υπηρεσιών.

Για τον προσδιορισμό της μεγάλης κλίμακας επεξεργασίας πρέπει να λαμβάνονται υπόψη: α) ο αριθμός των εμπλεκομένων υποκειμένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του πληθυσμού, β) ο όγκος και το εύρος των δεδομένων, γ) η διάρκεια ή ο μόνιμος χαρακτήρας της επεξεργασίας, δ) η γεωγραφική έκταση της επεξεργασίας.

Ανεξάρτητα αν ο διορισμός ΥΠΟ είναι υποχρεωτικός ή προαιρετικός, η επιχείρηση οφείλει να ορίσει φυσικό πρόσωπο ή ομάδα προσώπων που να είναι αρμόδια για τη συμμόρφωση με τον Κανονισμό και να ενσωματώσει αυτή τη νέα αρμοδιότητα στη δομή και λειτουργία της.

12) Αν η επιχείρηση δραστηριοποιείται σε περισσότερα από ένα κράτη μέλη της Ευρωπαϊκής Ένωσης, υποχρεούται να αποφασίσει και να καταγράψει ποια είναι η επικεφαλής εποπτική της αρχή. Για τον καθορισμό της επικεφαλής εποπτικής αρχής το κριτήριο είναι πού βρίσκεται η κύρια ή η μόνη εγκατάσταση του υπευθύνου επεξεργασίας. Αν μια επιχείρηση δεν είναι σίγουρη για το πού βρίσκεται η κύρια εγκατάστασή της, τότε ενδείκνυται μέσω χαρτογράφησης να εντοπίσει τη χώρα όπου λαμβάνονται οι σημαντικότερες αποφάσεις αναφορικά με τις πράξεις επεξεργασίας προσωπικών δεδομένων ώστε βάσει αυτού του κριτηρίου να καθοριστεί η κύρια εγκατάστασή της. Ιδιαίτερη σημασία έχει ο σωστός καθορισμός της επικεφαλής εποπτικής αρχής όταν η επιχείρηση προβαίνει σε διασυνοριακή επεξεργασία προσωπικών δεδομένων πχ. διαβιβάσεις δεδομένων σε περισσότερες από μία χώρες της ΕΕ.

Εν κατακλείδι, τα παραπάνω δώδεκα βήματα δεν είναι εξαντλητικά των ενεργειών στις οποίες οι μικρές και μεσαίες επιχειρήσεις οφείλουν ή ενδείκνυται να προβούν προκειμένου να συμμορφωθούν προς τον Κανονισμό. Εντούτοις, όπως επισημάνθηκε στην αρχή του άρθρου,  συνιστούν έναν «οδικό χάρτη», ο οποίος, εφόσον κατά την εφαρμογή του ληφθούν υπόψη οι ιδιαιτερότητες και οι ειδικές ανάγκες της κάθε επιχείρησης και στο μέτρο που θα υλοποιηθεί, εξασφαλίζει στην επιχείρηση ομαλή προσαρμογή στις απαιτήσεις του Κανονισμού και επαρκές, βάσει του Κανονισμού, επίπεδο προστασίας προσωπικών δεδομένων.

[1] Privacy by default: η επιταγή του Κανονισμού για διασφάλιση της πληροφορικής ιδιωτικότητας ως βασική και κατά κανόνα επιλογή ενός συστήματος ή μιας εφαρμογής.

[2] Privacy by design: η επιταγή του Κανονισμού ο υπεύθυνος επεξεργασίας να λαμβάνει τόσο κατά το στάδιο του προσδιορισμού των μέσων επεξεργασίας όσο και κατά την επεξεργασία αυτή τα κατάλληλα τεχνικά και οργανωτικά μέτρα που έχουν σχεδιαστεί για την προστασία των δεδομένων καθώς και να ενσωματώνει τις απαραίτητες εγγυήσεις στην επεξεργασία.

[3] Για τις ιδιωτικές επιχειρήσεις, μεγάλες αλλά και μεσαίες και μικρές, ο ορισμός ΥΠΟ είναι υποχρεωτικός όταν:

  • Απαιτείται τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα (π.χ. ασφαλιστικές ή τραπεζικές υπηρεσίες, υπηρεσίες τηλεφωνίας ή διαδικτύου, παροχή υπηρεσιών ασφαλείας, όλες οι μορφές παρακολούθησης  και διαμόρφωσης «προφίλ» στο διαδίκτυο, όπως  για σκοπούς συμπεριφορικής διαφήμισης).
  • Διενεργείται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων (πχ. επεξεργασία δεδομένων υγείας από νοσοκομεία και κλινικές) ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.

 

Ελένης Μαρτσούκου Δικηγόρος / Τακτικό Μέλος ΑΠΔΠΧ

πηγή: http://www.epixeiro.gr (μέρος πρώτο και δεύτερο)

Εταιρικοί κανόνες για την προστασία των προσωπικών δεδομένων

Σύμφωνα με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την ασφαλή επεξεργασία και προστασία των προσωπικών δεδομένων είναι απαραίτητη η κατάρτιση Πολιτικής Ασφαλείας, Σχεδίου Ασφαλείας και Σχεδίου Ανάκαμψης από Καταστροφές. Επωφελής, επίσης, είναι κατά την γνώμη μας και η κατάρτιση Πολιτικής ικανοποίησης δικαιωμάτων των υποκειμένων της επεξεργασίας.

Οι παραπάνω υποχρεώσεις πηγάζουν ευθέως από τον Κανονισμό 2016/679 (GDPR), και στην πλειοψηφία τους ήδη προβλέπονταν από την Οδηγία 95/46/ΕΚ κατ’ εφαρμογή της οποίας ψηφίστηκε και ο νόμος 2472/1997.

Με απλά λόγια και έχοντας κατά νου μια επιχείρηση, η οποία περιορίζεται στην εσωτερική επεξεργασία προσωπικών δεδομένων και δεν αποστέλλει τέτοιου είδους δεδομένα στην αλλοδαπή θα επιχειρήσουμε να προσεγγίσουμε τις παραπάνω έννοιες.

Η Πολιτική Ασφαλείας

Η Πολιτική Ασφαλείας αποτελεί ένα έγγραφο, στο οποίο περιγράφονται συνοπτικά οι στόχοι ασφαλείας του υπευθύνου επεξεργασίας και τα μέτρα, που απαιτούνται να ληφθούν για την επίτευξή τους σύμφωνα με την ισχύουσα εθνική και ευρωπαϊκή νομοθεσία και τις εγκυκλίους της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Ο υπεύθυνος επεξεργασίας καταγράφει, δηλαδή, τις βασικές αρχές ασφαλείας των προσωπικών δεδομένων, που τηρεί και με αυτόν τον τρόπο αυτοδεσμεύεται.

Στην Πολιτική Ασφαλείας προσδιορίζονται τα προστατευόμενα αγαθά και δίνονται γενικές κατευθύνσεις για τα οργανωτικά, τεχνικά και μέτρα φυσικής ασφάλειας, τα οποία θα εξειδικευτούν στο πλαίσιο του Σχεδίου Ασφαλείας. Προσδιορίζονται, ακόμα, οι επιμέρους τομείς ασφαλείας και οι βασικοί κανόνες, που πρέπει να ακολουθούνται σε αυτούς για την επίτευξη των στόχων, που θέτει η πολιτική ασφαλείας.

Η γλώσσα στην οποία είναι γραμμένη η Πολιτική Ασφαλείας πρέπει να είναι απλή και κατανοητή απ’ όλους τους εργαζόμενους της επιχείρησης, που χειρίζονται προσωπικά δεδομένα και για τους οποίους είναι δεσμευτική.

Πρέπει, τέλος, να μην υπόκειται συχνά σε τροποποιήσεις, παρά μόνο όταν λαμβάνουν χώρα ποιοτικά σημαντικές αλλαγές στην υποδομή της επιχείρησης. Είναι, με λίγα λόγια, απαραίτητο η Πολιτική Ασφαλείας να έχει μια φιλοσοφία δεκτική γενικεύσεως, ώστε να μην χρειάζεται προσθήκες σε περίπτωση ήσσονος σημασίας μεταβολών της επιχειρησιακής λειτουργίας σε τεχνικό ή οργανωτικό επίπεδο.

Το Σχέδιο Ασφαλείας

Το Σχέδιο Ασφαλείας είναι ένα έγγραφο, στο οποίο περιγράφονται λεπτομερώς τα οργανωτικά, τεχνικά και μέτρα φυσικής ασφαλείας , που λαμβάνονται προκειμένου να γίνουν πράξη οι θεμελιώδεις αρχές ασφαλείας. Αποτελεί ουσιαστικά ένα πλάνο υλοποίησης των όσων περιγράφονται σε θεωρητικό επίπεδο στην Πολιτική Ασφαλείας και πρέπει να καλύπτει όλη την τεχνολογική υποδομή και τα συστήματα επεξεργασίας προσωπικών δεδομένων της επιχείρησης. (υλικού και λογισμικού)

Εξαιτίας της φύσης του πρέπει να υπόκειται σε τακτικές επισκοπήσεις ώστε να ανταποκρίνεται πλήρως στις ενδεχόμενες τροποποιήσεις των πληροφοριακών συστημάτων και υποδομών. Πρέπει, επιπλέον, να περιλαμβάνει διαδικασίες για την εκπόνηση ετησίων ελέγχων, εσωτερικών και εξωτερικών, μέσω των οποίων θα ελέγχεται η αποτελεσματικότητα των μέτρων ασφαλείας και θα εξετάζεται η ανάγκη αναθεώρησης και συμπλήρωσης αυτών.

Οργανωτικά μέτρα ασφαλείας.

 

  1. Ορισμός Υπευθύνου Προστασίας

Ο υπεύθυνος επεξεργασίας ορίζει «υπεύθυνο προστασίας» δεδομένων, όταν , γίνεται επεξεργασία ιδιαίτερα ευαίσθητων προσωπικών δεδομένων, όπως μεταξύ άλλων βιομετρικών δεδομένων και δεδομένων που σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου.

Ο υπεύθυνος προστασίας:

  • ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους του για τις υποχρεώσεις τους που απορρέουν από τον Κανονισμό και από άλλες διατάξεις του ευρωπαϊκού ή εθνικού δικαίου σχετικά με την προστασία δεδομένων.

  • παρακολουθεί τη συμμόρφωση με τον Κανονισμό και με άλλες διατάξεις του ευρωπαϊκού ή εθνικού δικαίου σχετικά με την προστασία δεδομένων.

  • παρέχει συμβουλές, όταν του ζητείται, όσον αφορά στην εκπόνηση μελετών εκτίμησης του κινδύνου σχετικά με ορισμένες ιδιαίτερες μορφές επεξεργασίας προσωπικών δεδομένων.

  • συνεργάζεται με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και ενεργεί ως σημείο επικοινωνίας μεταξύ αυτής και του υπευθύνου επεξεργασίας για ζητήματα που σχετίζονται με την επεξεργασία.

Όταν δεν είναι υποχρεωτικός ο ορισμός υπευθύνου προστασίας είναι δυνατόν να ορίζεται υπεύθυνος ασφαλείας. Πρόκειται για διακριτή θέση εντός της επιχείρησης με την αρμοδιότητα επίβλεψης της εφαρμογής της Πολιτικής και των επιμέρους μέτρων ασφαλείας

  1. Διάκριση και διαβάθμιση ρόλων: Οι υπάλληλοι πρέπει να έχουν πρόσβαση μόνο στα απολύτως απαραίτητα προσωπικά δεδομένα για την εκτέλεση των ρόλων τους, οι οποίοι πρέπει να σαφώς καθορισμένοι. Επίσης, τα δεδομένα πρέπει να διαβαθμίζονται βάση του είδους τους και της ιδιαίτερης ανάγκης για την προστασία τους και να υπάρχουν οι ανάλογοι περιορισμοί στην πρόσβαση σε αυτά.

Η ανάθεση καθηκόντων εκτέλεσης επεξεργασίας προσωπικών δεδομένων σε υπαλλήλους της επιχείρησης θα πρέπει να αποτυπώνεται γραπτά, όπως και η δέσμευση των εν λόγω υπαλλήλων για την τήρηση των κανόνων εμπιστευτικότητας και απορρήτου.

  1. Τοποθέτηση καταλλήλων υπαλλήλων σε σημαντικούς ρόλους: Η επεξεργασία προσωπικών δεδομένων πρέπει να γίνεται από υπαλλήλους, που διαθέτουν επαρκή προσόντα και γνώσεις για την τήρηση του απορρήτου και των εκάστοτε μέτρων ασφαλείας.

  2. Πρόβλεψη διαδικασίας, η οποία θα τηρείται, όταν ένας υπάλληλος αποχωρεί και θα στοχεύει στην προστασία των προσωπικών δεδομένων, στα οποία είχε πρόσβαση. Για παράδειγμα ενδείκνυται η κατάργηση όλων των λογαριασμών και κωδικών πρόσβασης, των εξουσιοδοτήσεων και των λογαριασμών ηλεκτρονικού ταχυδρομείου και η απαίτηση επιστροφής οποιουδήποτε εξοπλισμού έχει παρασχεθεί στον εν λόγω υπάλληλο.

  3. Τακτική τήρηση των αρχείων, που περιέχουν προσωπικά δεδομένα.

  4. Καταγραφή της μεταφοράς εξοπλισμού, που περιέχει αποθηκευμένα προσωπικά δεδομένα (λχ. ηλεκτρονικού υπολογιστή) και εξάρτηση αυτής από ιεραρχικό έλεγχο.

  5. Λήψη κατάλληλων μέτρων για την πλήρη και μόνιμη διαγραφή των προς καταστροφή εντύπων και ηλεκτρονικών αρχείων σύμφωνα και με την υπ’ αρίθμ. 1/2005 Οδηγία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Τα μέτρα αυτά θα πρέπει να εφαρμόζονται και στην περίπτωση προγραμματισμένης μαζικής καταστροφής και στην περίπτωση καθημερινής καταστροφής.

Τα προσωπικά δεδομένα πρέπει να καταστρέφονται με ευθύνη του υπεύθυνου επεξεργασίας αμέσως μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας. Όλως ενδεικτικά εντοπίζεται στην Οδηγία ο εξής πίνακας σχετικά με τις ενδεδειγμένες μεθόδους καταστροφής:

Μέσο επεξεργασίας

Ενδεικνυόμενοι τρόποι καταστροφής

Δεδομένα σε έντυπη μορφή
  1. Τεμαχισμός
  2. Πολτοποίηση-Ανακύκλωση
  3. Αποτέφρωση
Δεδομένα σε ηλεκτρονική ή άλλη μορφή
  1. Αλλοίωση δεδομένων (overwrite)
  2. Μορφοποίηση (format)
  3. Φυσική καταστροφή
  1. Αναγνώριση, αναφορά και άμεση αντιμετώπιση περιστατικών παραβίασης ασφαλείας.

Ως «παραβίαση δεδομένων προσωπικού χαρακτήρα» ορίζεται η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.

Σε μια τέτοια περίπτωση υπάρχει υποχρέωση αφενός γνωστοποίησης στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αμελλητί και, ει δυνατόν, εντός 72 ωρών και αφετέρου ανακοίνωσης στο υποκείμενο των δεδομένων, όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του.

Θα πρέπει να υπάρχει πρόβλεψη του προσωπικού, που στην συγκεκριμένη περίπτωση θα αναλάβει δράση, και διαδικασίας ταχείας εκτίμηση των συνεπειών της παραβίασης.

  1. Εκπαίδευση του προσωπικού της επιχείρησης σχετικά με την προστασία προσωπικών δεδομένων, ώστε να γίνει κατανοητός ο ρόλος, που καλούνται να επιτελέσουν, με βάση την Πολιτική Ασφαλείας και το ισχύον νομικό πλαίσιο. Επιπλέον, είναι απαραίτητη η υιοθέτηση ορθών πρακτικών για την διασφάλιση της ακεραιότητας του πληροφοριακού συστήματος (χρήση μη προβλέψιμων κωδικών πρόσβασης και συνθηματικών, πρόβλεψη διαδικασιών για τον εντοπισμό και την αναφορά των περιστατικών παραβίασης της ασφαλείας, σωστή χρήση των λογαριασμών email και των αποσπώμενων μέσων αποθήκευσης κ.ο.κ.).

Η εκπαίδευση του προσωπικού θα πρέπει να συνεχίζεται και μετά την πρόσληψή του, έτσι ώστε να ανταποκρίνεται στις τεχνολογικές εξελίξεις, αλλά και στις εξελισσόμενες ανάγκες της επιχείρησης.

  1. Εκπόνηση μελετών εκτίμησης του κινδύνου σε ορισμένες περιπτώσεις επεξεργασίας με υψηλό ρίσκο, σύμφωνα με τις ισχύουσες νομοθετικές προβλέψεις.

Η συγκεκριμένη υποχρέωση των υπευθύνων επεξεργασίας έχει ως στόχο την ενίσχυση της λογικής του προσεκτικού σχεδιασμού, της πρόληψης και της αυτοδέσμευσης.

Τεχνικά Μέτρα ασφαλείας

 

  1. Πρόβλεψη διαδικασιών για την ασφαλή διαχείριση (προσθήκη, μεταβολή και διαγραφή) των λογαριασμών των χρηστών του πληροφοριακού συστήματος, όταν αυτό απαιτείται.

  2. Διασφάλιση του ότι δεν επιτρέπεται η πρόσβαση σε ηλεκτρονικά αρχεία από μη εξουσιοδοτημένους χρήστες. Εγγύηση της ορθής ταυτοποίησης και αυθεντικοποίησης των χρηστών

  3. Διαχείριση των κωδικών ασφαλείας- συνθηματικών των χρηστών ώστε να υπάρχουν ορισμένες ελάχιστες εγγυήσεις για το μήκος, την πολυπλοκότητα και την παλαιότητα των συνθηματικών.

  4. Πρόβλεψη διαδικασιών αυτόματης αποσύνδεσης των χρηστών Η/Υ μετά από ένα εύλογο χρονικό διάστημα αδράνειας ή ενεργοποίηση της προφύλαξης οθόνης για την απενεργοποίηση της οποίας θα απαιτείται η χρήση του συνθηματικού πρόσβασης.

  5. Πρόβλεψη διαδικασίας για την τήρηση αντιγράφων ασφαλείας όλων των κρίσιμων αρχείων ανά τακτά χρονικά διαστήματα.

  6. Προστασία του πληροφοριακού συστήματος (τόσο των προσωπικών υπολογιστών όσο και των διακομιστών) από κακόβουλο λογισμικό με την χρήση καταλλήλων προγραμμάτων και τείχους ασφαλείας. Απαραίτητη κρίνεται εκ τούτου και η χρήση των πλέον πρόσφατων ενημερώσεων ασφαλείας.

  7. Πρόβλεψη δικλείδων ασφαλείας, που θα απαγορεύουν στους απλούς χρήστες ενέργειες, οι οποίες θα μπορούσαν να βλάψουν την ασφάλεια των υπολογιστών τους, όπως η απενεργοποίηση προγραμμάτων ασφαλείας.

  8. Τήρηση αρχείων καταγραφής όλων των ενεργειών στα κρίσιμα συστήματα της επιχείρησης. Στα εν λόγω αρχείο καταγράφονται κατ’ ελάχιστον το αναγνωριστικό του χρήστη που αιτήθηκε την προσπέλαση δεδομένων προσωπικού χαρακτήρα, η ημερομηνία και ώρα του σχετικού αιτήματος, το σύστημα μέσω του οποίου αιτήθηκε την πρόσβαση καθώς και αν τελικά προσπέλασε τα αρχεία που αιτήθηκε.

Προκειμένου να εξασφαλίζεται η ασφάλεια των αρχείων καταγραφής θα πρέπει να επιτρέπεται η πρόσβαση μόνο εξουσιοδοτημένων χρηστών σε αυτά.

  1. Αποφυγή ευπαθών ως προς την ασφάλειά τους πρωτοκόλλων δικτύου.

  2. Πρόβλεψη διαδικασιών για την αποτελεσματική κρυπτογράφηση αρχείων με προσωπικά δεδομένα, που τηρούνται σε φορητά αποθηκευτικά μέσα. Επιλογή σύγχρονων και ισχυρών αλγορίθμων κρυπτογράφησης.

  3. Εφαρμογή των ενημερώσεων λογισμικού, τόσο σε επίπεδο επιμέρους εφαρμογών όσο και σε επίπεδο λειτουργικού συστήματος, σε δοκιμαστικό περιβάλλον. Συνίσταται, μάλιστα, η κεντρική διαχείριση των σχετικών ενημερώσεων λογισμικού.

Μέτρα φυσικής ασφαλείας

  1. Περιορισμός και έλεγχος της φυσικής πρόσβασης σε χώρους, όπου βρίσκεται κρίσιμος εξοπλισμός της επιχείρησης. Παραχώρηση δικαιωμάτων πρόσβασης σε ορισμένους ευαίσθητους χώρους μονάχα σε εξουσιοδοτημένο προσωπικό.

  2. Τήρηση καταλόγου για τα δικαιώματα πρόσβασης και για την κατοχή κωδικών, καρτών εισόδου και κλειδιών από μέλη του προσωπικού.

  3. Μέτρα προστασίας από φυσικές καταστροφές και εγκληματικές ενέργειες (συναγερμός, πόρτες και παράθυρα ασφαλείας, πυροπροστασία, απομάκρυνση εξοπλισμού από υδροσωληνώσεις και πηγές σκόνης, ανιχνευτές υγρασίας και πλημμύρας, αδιάλειπτη παροχή ρεύματος μέσω σταθεροποιητών και γεννητριών, κ.ο.κ.)

  4. Προφύλαξη των φυσικών αρχείων, που περιέχουν προσωπικά δεδομένα. Τα σχετικά έγγραφα πρέπει να είναι τοποθετημένα σε φωριαμούς και οργανωμένα σε συγκεκριμένα γραφεία, ώστε να μην αφήνονται χωρίς επίβλεψη.

Το Σχέδιο Ανάκαμψης από Καταστροφές

Το Σχέδιο Ανάκαμψης από Καταστροφές είναι ένα έγγραφο, στο οποίο αποτυπώνονται οι διαδικασίες και τα τεχνικά μέτρα που πρέπει να εφαρμόσει ο υπεύθυνος επεξεργασίας για την προστασία των προσωπικών δεδομένων σε περίπτωση κάποιου εκτάκτου περιστατικού, όπως φυσικής καταστροφής (π.χ. σεισμός, πυρκαγιά, πλημμύρα) ή μεγάλης εμβέλειας περιστατικού ασφαλείας (π.χ. προσβολή από κακόβουλο λογισμικό). Ως εκ τούτου, συμπληρώνει το Σχέδιο Ασφαλείας ή αποτελεί μέρος του.

Το Σχέδιο Ανάκαμψης από Καταστροφές πρέπει να προσδιορίζει τις σημαντικές λειτουργίες και τα αντίστοιχα συστήματα της επιχείρησης, τη στρατηγική προστασίας τους και την προτεραιότητα με την οποία θα τεθούν σε εφαρμογή οι δραστηριότητες αποκατάστασης ή εναλλακτικής λειτουργίας τους.

Στο Σχέδιο Ανάκαμψης από Καταστροφές, πρέπει να προβλέπονται μέτρα που στοχεύουν στα ακόλουθα:

  • Ελαχιστοποίηση διακοπών της κανονικής λειτουργίας.

  • Περιορισμός της έκτασης των ζημιών και καταστροφών και αποφυγή πιθανής κλιμάκωσης αυτών.

  • Εγκατάσταση εναλλακτικών μέσων λειτουργίας εκ των προτέρων,

  • Εκπαίδευση, εξάσκηση και εξοικείωση του ανθρώπινου δυναμικού της επιχείρησης με τις διαδικασίες έκτακτης ανάγκης.

  • Δυνατότητα ταχείας και ομαλής αποκατάστασης της λειτουργίας της επιχείρησης.

Εκ της φύσεώς του το Σχέδιο αυτό πρέπει να ελέγχεται περιοδικά προκειμένου να διαπιστώνεται η αποτελεσματικότητα των μεθόδων ανάκαμψης.

Πολιτική ικανοποίησης δικαιωμάτων των υποκειμένων της επεξεργασίας

Βασική αρχή του Κανονισμού 2016/679 είναι πως τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο, συλλέγονται για καθορισμένους σκοπούς, είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς της επεξεργασίας μέτρο, είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται, διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων τους μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας και υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια τους.

Με βάση τις παραπάνω αρχές προκύπτουν και τα διάφορα δικαιώματα των υποκειμένων της επεξεργασίας (λ.χ. δικαίωμα πρόσβασης, λήψης, διόρθωσης, διαγραφής κ.ο.κ.). Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, ώστε τα υποκείμενα των δεδομένων να μπορούν να ασκούν αποτελεσματικά τα δικαιώματα αυτά φροντίζοντας, ιδίως, για την κατάλληλη εκπαίδευση του προσωπικού του και για την πρόβλεψη διαδικασιών ικανοποίησης των αιτημάτων τους.

Επιπλέον, εάν η νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στηρίζεται στην συναίνεση του υποκειμένου και όχι σε κάποιον άλλο, εξαιρετικό λόγο τότε ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα.

Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή μορφή και χρησιμοποιώντας απλή διατύπωση. Η συγκατάθεση θα πρέπει να παρέχεται με σαφή θετική ενέργεια, η οποία να συνιστά ελεύθερη, συγκεκριμένη και ρητή συμφωνία του υποκειμένου των δεδομένων υπέρ της επεξεργασίας των δεδομένων, που το αφορούν.

Αυτό θα μπορούσε να εξασφαλιστεί με τη συμπλήρωση ενός τετραγωνιδίου κατά την επίσκεψη σε διαδικτυακή ιστοσελίδα, με την επιλογή των επιθυμητών τεχνικών ρυθμίσεων για υπηρεσίες της κοινωνίας των πληροφοριών ή με μια δήλωση ή συμπεριφορά που δηλώνει σαφώς, στο συγκεκριμένο πλαίσιο, ότι το υποκείμενο των δεδομένων αποδέχεται την πρόταση επεξεργασίας των οικείων δεδομένων προσωπικού χαρακτήρα.

Επομένως η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια δεν θα πρέπει να εκλαμβάνονται ως συγκατάθεση. Σε περίπτωση που το υποκείμενο αποσύρει την συγκατάθεσή του, έχει το δικαίωμα να ζητεί την διαγραφή των δεδομένων προσωπικού χαρακτήρα, που το αφορούν («δικαίωμα στην λήθη»).

Κανονισμός 2016/679 και βασικές υποχρεώσεις των επιχειρήσεων

Η σύγχρονη τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την επιδίωξη των δραστηριοτήτων τους. Κρίθηκε, λοιπόν, από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο της Ευρωπαϊκής Ένωσης αναγκαία η δημιουργία ενός νομικού πλαισίου, το οποίο θεσπίζει κοινούς για όλα τα κράτη της Ευρωπαϊκής Ένωσης κανόνες, που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα

Αποτέλεσμα των παραπάνω ήταν η δημιουργία του Κανονισμού 2016/679, ο οποίος  τίθεται σε εφαρμογή από τις 25 Μαΐου 2018. Ο Κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

 

Από τις 25 Μαΐου 2018 ο Κανονισμός θα τεθεί σε πλήρη εφαρμογή και οι παραβάτες του θα απειλούνται με υψηλά διοικητικά πρόστιμα και αγωγές αποζημίωσης. Ήδη μεγάλα δικηγορικά γραφεία και σύνδεσμοι καταναλωτών έχουν δημιουργήσει την υποδομή για να δεχτούν το πρώτο μεγάλο κύμα καταγγελιών και να στραφούν νομικά εναντίον των επιχειρήσεων, που ηθελημένα ή αθέλητα δεν θα ανταποκρίνονται στα νέα πρότυπα. Η συμμόρφωση, λοιπόν, με τις απαιτήσεις του Κανονισμού είναι μονόδρομος και παρά τις αρχικές δυσκολίες ελπίζουμε, πως θα συμβάλλει στην περαιτέρω ανάπτυξη της επιχείρησής σας και στην λειτουργία της σύμφωνα με τα ευρωπαϊκά πρότυπα.

Στην προσπάθεια σας για την βέλτιστη δυνατή προετοιμασία της επιχείρησής σας το δικηγορικό μας γραφείο μπορεί να σταθεί αρωγός παρέχοντες εξειδικευμένες υπηρεσίες συμβουλευτικής, εκπαίδευσης και, κυρίως, προετοιμασίας και γραπτής αποτύπωσης των νέων εσωτερικών κανονισμών για την ασφαλή απόκτηση, χρήση και διατήρηση των δεδομένων προσωπικού χαρακτήρα.

Με εκτίμηση,

Μιχαήλ Πικραμένος