Παρουσίαση - Σχολιασμός Ν. 4624/2019

Digesta OnLine 2020

ΠΑΡΟΥΣΙΑΣΗ- ΣΧΟΛΙΑΣΜΟΣ Ν. 4624/2019

«Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και

ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου

και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις»

Ευαγγελία Παλαιολόγου – Δικηγόρος

D.E.A Ευρωπαϊκού Δικαίου & D.E.A Δημόσιου Διεθνούς Δικαίου

Paris I (Πάνθεον – Σορβόννη)

Γεώργιος Πλιαβέσης - Δικηγόρος

Μ.Δ.Ε Εμπορικού Δικαίου (Εταιρίες & Χρηματοδότηση)

Νομική Σχολή ΕΚΠΑ

Για να ανοίξετε την απόφαση όπως ακριβώς δημοσιεύετηκε και το σχόλιο σε μορφή pdf πατήστε εδώ

Ι. Γενικές Παρατηρήσεις

Δέκα πέντε (15) μήνες μετά την έναρξη ισχύος του Γενικού Κανονισμού για την Προστασία των Προσωπικών Δεδομένων (Κανονισμός 2016/679/ΕΕ, ΓΚΠΔ), που τυγχάνει άμεσης εφαρμογής σε όλα τα κράτη μέλη της ΕΕ από την 25.5.2018, εισήχθη στην εθνική έννομη τάξη o N. 4624/2019 (ΦΕΚ Α’ 137/29.08.2019), ο οποίος, μετά την ψήφισή του και την κατάργηση, με το άρθρο 84 αυτού, του προϊσχύσαντος Ν. 2472/1997, εφαρμόζεται συμπληρωματικά προς τον ιδιότυπο ΓΚΠΔ, διαμορφώνοντας το νέο νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων στη χώρα μας.

Ο νέος Ν. 4624/2019 φαίνεται σε πρώτη φάση να συμπληρώνει αρκετά από τα κενά που άφησε η άμεση εφαρμογή του ΓΚΠΔ στην ελληνική έννομη τάξη και να διευκολύνει την επεξεργασία προσωπικών δεδομένων κυρίως από τους δημόσιους φορείς και δευτερευόντως και από τους ιδιωτικούς, παρέχοντας πρόσθετες νόμιμες βάσεις επεξεργασίας, χωρίς να απαιτείται η συναίνεση του υποκειμένου.

Ειδικότερα, πέραν των διατάξεων που αφορούν την οργάνωση και λειτουργία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), με στόχο την προσαρμογή της στο νέο καθεστώς, ο Ν. 4624/2019 περιλαμβάνει διατάξεις με τις οποίες αφενός μεν διατυπώνεται η βούληση του Έλληνα νομοθέτη στα ζητήματα που ο ΓΚΠΔ του καταλείπει τη διακριτική ευχέρεια, αφετέρου δε ενσωματώνεται η Οδηγία (ΕΕ) 2016/680, για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές που είναι αρμόδιες για την πρόληψη, διερεύνηση, ανίχνευση ή δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, την οποία η χώρα μας ήταν υποχρεωμένη να έχει ήδη ενσωματώσει από το Μάϊο του 2018.

Με εμφανείς επιρροές από το Γερμανό νομοθέτη (BDSG, 30.6.2017), ο νέος νόμος διακρίνει μεταξύ δημοσίου και ιδιωτικού τομέα, επιφυλάσσοντας στον πρώτο ευνοϊκότερη μεταχείριση τόσο ως προς τη νομιμότητα της επεξεργασίας των προσωπικών δεδομένων, όσο και ως προς τις κυρώσεις, διαμορφώνοντας εν τοις πράγμασι ένα καθεστώς δύο ταχυτήτων. Η διαφοροποίηση αυτή, είναι μεν σύμφωνη με τον ΓΚΠΔ, καθώς αξιοποιεί τις διατάξεις των άρθρων 23 παρ. 1 και 83 παρ. 7 αυτού, που προβλέπουν η μεν πρώτη τη δυνατότητα θέσπισης περιορισμών τόσο ως προς τις υποχρεώσεις του υπευθύνου επεξεργασίας όσο και ως προς τα δικαιώματα του υποκειμένου των δεδομένων, όταν συντρέχουν οι λόγοι δημοσίου συμφέροντος, που στη διάταξη αυτή αναφέρονται, η δε δεύτερη τη διακριτική ευχέρεια του κράτους-μέλους να καθορίζει τους κανόνες για το εάν και σε ποιο βαθμό διοικητικά πρόστιμα μπορεί να επιβάλλονται σε δημόσιες αρχές και φορείς, παραγνωρίζει ωστόσο το γεγονός ότι το Δημόσιο αποτελεί το μεγαλύτερο υπεύθυνο επεξεργασίας προσωπικών δεδομένων και επομένως το μεγαλύτερο φορέα διακινδύνευσής τους.

Κατά τα λοιπά, άξιες λόγου είναι οι διατάξεις του Ν. 4624/2019 σχετικά με την κατάργηση της υποχρέωσης αδειοδότησης από την ΑΠΔΠΧ για την επεξεργασία των ευαίσθητων προσωπικών δεδομένων (άρθρο 22), η ρύθμιση σχετικά με την επεξεργασία προσωπικών δεδομένων στο πλαίσιο των σχέσεων απασχόλησης (άρθρο 27), η πλήρης απαγόρευση της επεξεργασίας γενετικών δεδομένων για σκοπούς ασφάλισης υγείας και ζωής (άρθρο 23), η θέσπιση κατώτερου ορίου ηλικίας (15ο έτος) για την παροχή συγκατάθεσης του ανηλίκου για την επεξεργασία των προσωπικών του δεδομένων κατά την προσφορά υπηρεσιών της κοινωνίας της πληροφορίας (άρθρο 21) αλλά και η τοποθέτηση του νομοθέτη ως προς το ζήτημα της σύγκρουσης του δικαιώματος στην προστασία των προσωπικών δεδομένων και της ιδιωτικότητας με την ελευθερία της έκφρασης και του τύπου (άρθρο 28). Από την άλλη πλευρά, ο Ν. 4624/2019 παραλείπει να προβλέψει τις επαρκείς εγγυήσεις που ορίζονται στο άρθρο 10 του Κανονισμού (ΕΕ) 2016/679 για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα και αποφεύγει να προβεί σε λεπτομερέστερη ρύθμιση των δραστηριοτήτων επεξεργασίας από ιδιώτες υπευθύνους επεξεργασίας, που απαιτούν τον ορισμό Υπευθύνου Προστασίας των Δεδομένων (ΥΠΔ) ή τη διενέργεια Εκτίμησης Αντικτύπου (ΕΑΠΔ), καταλείποντας ευρύ πεδίο αυτορρύθμισης στην ιδιωτική πρωτοβουλία.

ΙΙ. Επί των ειδικότερων ρυθμίσεων

Α. Πρόβλεψη δυνατότητας επεξεργασίας των προσωπικών δεδομένων για διαφορετικό σκοπό από αυτόν για τον οποίο έχουν συλλεγεί (άρθρα 24, 25 Ν. 4624/2019)

Σύμφωνα με την αρχή του περιορισμού του σκοπού (άρθρο 5 παρ. 1 β’ του ΓΚΠΔ), τα δεδομένα προσωπικού χαρακτήρα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς. Ωστόσο, όπως προβλέπεται από το άρθρο 6 παρ. 4 του ΓΚΠΔ, είναι δυνατή η επεξεργασία των προσωπικών δεδομένων για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί, όταν αυτή βασίζεται σε διάταξη του εθνικού δικαίου κράτους-μέλους, που θεωρείται δίκαιη και αναλογική σε μια δημοκρατική κοινωνία και έχει τεθεί για τη διασφάλιση των σκοπών δημοσίου συμφέροντος που προβλέπονται στο άρθρο 23 του ΓΚΠΔ.

Στο πλαίσιο αυτό, τα άρθρα 24 και 25 του Ν. 4624/2019 προβλέπουν τις προϋποθέσεις υπό τις οποίες επιτρέπεται η επεξεργασία προσωπικών δεδομένων για διαφορετικό σκοπό από δημόσιους (άρθρο 24) και ιδιωτικούς (άρθρο 25) φορείς. Έτσι, στην περίπτωση των δημοσίων φορέων, η επεξεργασία για διαφορετικό σκοπό είναι πλέον επιτρεπτή όταν πρόκειται για διασταύρωση των πληροφοριών που παρέχονται από το υποκείμενο των δεδομένων σε έναν δημόσιο φορέα, όταν είναι αναγκαία για την προστασία της δημόσιας ασφάλειας, της άμυνας της χώρας κ.λπ., όπως επίσης και όταν είναι απαραίτητη για τη δίωξη ποινικών αδικημάτων, για την αποτροπή σοβαρής βλάβης στα δικαιώματα άλλου προσώπου ή για την προαγωγή των επισήμων στατιστικών.

Ιδιαίτερης σημασίας ωστόσο κρίνεται η διάταξη του άρθρου 25 για τη νομιμότητα της επεξεργασίας των δεδομένων για σκοπό διαφορετικό από αυτό για τον οποίο έχουν συλλεγεί, από ιδιωτικούς φορείς. Στην περίπτωση αυτή ο νομοθέτης προβλέπει ότι η εν λόγω επεξεργασία είναι επιτρεπτή, εφόσον είναι απαραίτητη: α) για την αποτροπή απειλών κατά της εθνικής ασφάλειας ή της δημόσιας ασφάλειας κατόπιν αιτήματος δημόσιου φορέα ή β) για τη δίωξη ποινικών αδικημάτων ή γ) για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων, εκτός και εάν υπερτερεί το συμφέρον του υποκειμένου των δεδομένων να μην τύχουν επεξεργασίας τα δεδομένα αυτά.

Οι τελευταίες αυτές υπό β) και υπό γ) περιπτώσεις της παρ. 1 του άρθρου 25 του νόμου, χρήζουν ιδιαίτερης προσοχής από πλευράς των Τραπεζών, καθώς στη μεν βάση της υπό β) περίπτωσης ερείδεται η διαβίβαση προσωπικών δεδομένων των πελατών που δεν καλύπτονται από το απόρρητο των τραπεζικών καταθέσεων σε διωκτικές και ανακριτικές αρχές που διερευνούν την τέλεση αξιόποινων πράξεων, χωρίς περαιτέρω έρευνα για τη συνδρομή άλλης νόμιμης βάσης από τις προβλεπόμενες στο άρθρο 6 παρ. 1 του ΓΚΠΔ, στη δε βάση της υπό γ) περίπτωσης ερείδεται η άλλοτε στηριζόμενη στη διάταξη της περ. στ της παραγράφου 1 του άρθρου 6 του ΓΚΠΔ δυνατότητα επεξεργασίας των προσωπικών δεδομένων πελατών, για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων, ωστόσο κατόπιν στάθμισης και εφόσον αιτιολογημένα κριθεί, στα πλαίσια της αρχής της λογοδοσίας (άρθρο 5 παρ. 2 του ΓΚΠΔ), ότι το έννομο συμφέρον της Τράπεζας υπερτερεί του εννόμου συμφέροντος του υποκειμένου των δεδομένων για την προστασία των προσωπικών του δεδομένων.

Β. Επεξεργασία προσωπικών δεδομένων στο πλαίσιο των εργασιακών σχέσεων (άρθρο 27 Ν. 4624/2019)

Με τη διάταξη του άρθρου 27, ο Ν. 4624/2019, σε συνέχεια των κατευθυντήριων γραμμών της Ομάδας Εργασίας του Άρθρου 29 για τη συγκατάθεση (WP 259 rev.01) αλλά και της Απόφασης 26/2019 της ΑΠΔΠΧ, λύνει και νομοθετικά την αβεβαιότητα σχετικά με τη νόμιμη βάση επεξεργασίας των προσωπικών δεδομένων στο πλαίσιο των εργασιακών σχέσεων.

Καθώς η συγκατάθεση είναι μάλλον απίθανο να αποτελέσει νομική βάση για την επεξεργασία δεδομένων στην εργασία, αφού εν προκειμένω δε θα είναι ελεύθερη δεδομένης της εξάρτησης στη σχέση μεταξύ εργοδότη και εργαζόμενου, στην εργασιακή σχέση η επεξεργασία των προσωπικών δεδομένων θα στηρίζεται αναγκαστικά στη νόμιμη βάση της εκπλήρωσης των σκοπών της σύμβασης εργασίας, εφόσον φυσικά τηρούνται οι αρχές του άρθρου 5 του ΓΚΠΔ, που διέπουν κάθε επεξεργασία προσωπικών δεδομένων.

Περαιτέρω, άξιες αναφοράς είναι η ρύθμιση της παρ. 2 του άρθρου 27, βάσει της οποίας, η συγκατάθεση του εργαζομένου μπορεί κατ’ εξαίρεση να θεωρηθεί έγκυρη, αφού ληφθούν υπόψη ο βαθμός της εξάρτησης και οι περιστάσεις βάσει των οποίων χορηγήθηκε, αλλά και η ρύθμιση της παρ. 7, κατά την οποία τα δεδομένα που συλλέγονται μέσω κλειστού κυκλώματος οπτικής καταγραφής δεν επιτρέπεται να χρησιμοποιηθούν ως κριτήριο για την αξιολόγηση της αποδοτικότητας των εργαζομένων, ενώ οι εργαζόμενοι θα πρέπει να έχουν ενημερωθεί είτε γραπτώς είτε ηλεκτρονικά για την εγκατάσταση και λειτουργία κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας.

Γ. Ενημέρωση του υποκειμένου των δεδομένων για την περαιτέρω επεξεργασία των δεδομένων του (άρθρα 31,32 Ν. 4624/2019)

Στο πλαίσιο τήρησης των αρχών της διαφανούς επεξεργασίας των προσωπικών δεδομένων, ο υπεύθυνος επεξεργασίας οφείλει, κατά τα άρθρα 13 και 14 του ΓΚΠΔ, να ενημερώνει το υποκείμενο των δεδομένων για το γεγονός της επεξεργασίας των προσωπικών του δεδομένων, την έκταση και τους σκοπούς της, πριν ή κατά την έναρξη της επεξεργασίας και πιο συγκεκριμένα κατά τη συλλογή των δεδομένων ή εντός εύλογου χρονικού διαστήματος, όταν τα δεδομένα δεν έχουν συλλεγεί από το ίδιο το υποκείμενο. Η ενημέρωση πρέπει να είναι σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή και να χρησιμοποιείται σαφής και απλή διατύπωση. Επίσης, σε περίπτωση που ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί τα δεδομένα προσωπικού χαρακτήρα για σκοπό άλλο από εκείνον για τον οποίο συλλέχθηκαν, θα πρέπει να παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον σκοπό αυτόν και όλες τις αναγκαίες πληροφορίες.

Τα άρθρα 31 και 32 του Ν. 4624/2019 έρχονται να περιορίσουν την υποχρέωση αυτή του υπευθύνου επεξεργασίας, θεσπίζοντας εξαιρέσεις ως προς την ενημέρωσης του υποκειμένου των δεδομένων. Ειδικότερα, η υποχρέωση αυτή δεν υφίσταται, όταν η παροχή των πληροφοριών σχετικά με την περαιτέρω επεξεργασία: α) αφορά μια περαιτέρω επεξεργασία αποθηκευμένων σε γραπτή μορφή δεδομένων, στην οποία ο υπεύθυνος επεξεργασίας απευθύνεται άμεσα στο υποκείμενο των δεδομένων, ο σκοπός είναι συμβατός με τον αρχικό σκοπό συλλογής σύμφωνα με το ΓΚΠΔ, η επικοινωνία με το υποκείμενο των δεδομένων δεν γίνεται σε ψηφιακή μορφή και το ενδιαφέρον του υποκειμένου των δεδομένων για την παροχή πληροφοριών κατά τις περιστάσεις της συγκεκριμένης περίπτωσης, ιδίως όσον αφορά το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα θεωρείται ότι δεν είναι υψηλό, β) στην περίπτωση του δημόσιου φορέα, θα έθετε σε κίνδυνο την ορθή εκτέλεση των καθηκόντων του υπεύθυνου επεξεργασίας με την έννοια του άρθρου 23 παράγραφος 1 στοιχεία α) έως ε) του ΓΚΠΔ, και το συμφέρον του υπεύθυνου επεξεργασίας να μην παράσχει τις πληροφορίες, υπερτερεί του συμφέροντος του υποκειμένου των δεδομένων, γ) θα έθετε σε κίνδυνο την εθνική ή τη δημόσια ασφάλεια και το συμφέρον του υπεύθυνου επεξεργασίας να μην παράσχει τις πληροφορίες υπερτερεί του συμφέροντος του υποκειμένου των δεδομένων, δ) θα παρεμπόδιζε τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων και το συμφέρον του υπεύθυνου επεξεργασίας να μην παράσχει πληροφορίες υπερτερεί του συμφέροντος του υποκειμένου των δεδομένων, ε) θα έθετε σε κίνδυνο την εμπιστευτική διαβίβαση δεδομένων σε δημόσιους φορείς. Για ανάλογους λόγους, κατά το άρθρο 32 παρ. 1, δεν υφίσταται και η υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων όταν τα δεδομένα δεν έχουν συλλεγεί από αυτό.

Σε κάθε περίπτωση, εφόσον δεν παρέχονται πληροφορίες στο υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων, συμπεριλαμβανομένης της παροχής των πληροφοριών στο κοινό. Θα πρέπει ωστόσο να σημειωθεί, ότι κατά την Απόφαση 87/2017 της ΑΠΔΠΧ, η διά του τύπου ενημέρωση επιτρέπεται μόνο κατ' εξαίρεση, όταν η εξατομικευμένη ενημέρωση δεν είναι για αντικειμενικούς λόγους (π.χ. έλλειψη στοιχείων επικοινωνίας) δυνατή.

Δ. Σύγκρουση του δικαιώματος στην προστασία των προσωπικών δεδομένων και της ιδιωτικότητας με την ελευθερία της έκφρασης και του τύπου (άρθρο 28 Ν. 4624/2019)

Άξια αναφοράς είναι και η διάταξη του άρθρου 28 του Ν. 4624/2019, με την οποία, για πρώτη φορά, σε αντίθεση με το καθεστώς του Ν. 2472/1997, ο νομοθέτης φαίνεται να δίνει το προβάδισμα στην ελευθερία της έκφρασης και του τύπου. Ειδικότερα, ορίζεται ότι στον βαθμό που είναι αναγκαίο να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς και για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, η επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται όταν: α) το υποκείμενο των δεδομένων έχει παράσχει τη ρητή συγκατάθεσή του, β) αφορά δεδομένα προσωπικού χαρακτήρα που έχουν προδήλως δημοσιοποιηθεί από το ίδιο το υποκείμενο, γ) υπερέχει το δικαίωμα στην ελευθερία της έκφρασης και το δικαίωμα της πληροφόρησης έναντι του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα του υποκειμένου, ιδίως για θέματα γενικότερου ενδιαφέροντος ή όταν αφορά δεδομένα προσωπικού χαρακτήρα δημοσίων προσώπων και δ) όταν περιορίζεται στο αναγκαίο μέτρο για την εξασφάλιση της ελευθερίας της έκφρασης και του δικαιώματος ενημέρωσης, ιδίως όταν αφορά ειδικών κατηγοριών δεδομένα Προσωπικού Χαρακτήρα, καθώς και ποινικές διώξεις, καταδίκες και τα σχετικά με αυτές μέτρα ασφαλείας.

Σημειώνεται επίσης ότι στα πλαίσια της υπεροχής της ελευθερίας της έκφρασης, όταν συντρέχουν οι ανωτέρω προϋποθέσεις, δεν εφαρμόζεται σειρά διατάξεων του ΓΚΠΔ, οι οποίες είναι: α) το Κεφάλαιο ΙΙ του ΓΚΠΔ «Αρχές», εκτός από το άρθρο 5, β) το Κεφάλαιο ΙΙΙ του ΓΚΠΔ «Δικαιώματα του Υποκειμένου», γ) το Κεφάλαιο ΙV του ΓΚΠΔ «Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία», εκτός από τα άρθρα 28, 29 και 32, δ) το Κεφάλαιο V του ΓΚΠΔ «Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς», ε) το Κεφάλαιο VII του ΓΚΠΔ «Συνεργασία και συνεκτικότητα και στ) το Κεφάλαιο IX του ΓΚΠΔ «Διατάξεις που αφορούν ειδικές περιπτώσεις επεξεργασίας».

Ε. Περιορισμοί των δικαιωμάτων του υποκειμένου των δεδομένων κατά την επεξεργασία από δημόσιους φορείς (άρθρα 33, 34, 35 Ν. 4624/2019)

Σε εφαρμογή της δυνατότητας του άρθρου 23 παρ. 1 του ΓΚΠΔ, περί θέσπισης περιορισμών επί των δικαιωμάτων των υποκειμένων των δεδομένων για συγκεκριμένους λόγους δημοσίου συμφέροντος, με τα άρθρα 33, 34 και 35 του Ν. 4624/2019 περιορίζονται τα δικαιώματα πρόσβασης, διαγραφής και εναντίωσης.

Ειδικότερα, το δικαίωμα πρόσβασης, πέραν των περιορισμών που θεσπίζει ο ίδιος ο ΓΚΠΔ, περιορίζεται και στις περιπτώσεις επεξεργασίας από δημόσιους φορείς, στις οποίες: α) η συλλογή των δεδομένων έγινε χωρίς προηγούμενη ενημέρωση του υποκειμένου, επειδή συνέτρεχαν λόγοι προστασίας της εθνικής άμυνας ή της δημόσιας ασφάλειας, β) τα δεδομένα καταγράφηκαν μόνο επειδή δεν μπορούν να διαγραφούν λόγω νομικών ή κανονιστικών διατάξεων υποχρέωσης διατήρησής τους ή γ) τα δεδομένα εξυπηρετούν αποκλειστικά σκοπούς προστασίας ή ελέγχου των δεδομένων και η παροχή πληροφοριών θα απαιτούσε δυσανάλογη προσπάθεια και τα απαραίτητα τεχνικά και οργανωτικά μέτρα καθιστούν αδύνατη την επεξεργασία για άλλους σκοπούς.

Σε ότι αφορά στο δικαίωμα διαγραφής, αυτό περιορίζεται αν η διαγραφή σε περίπτωση μη αυτοματοποιημένης επεξεργασίας λόγω της ιδιαίτερης φύσης της αποθήκευσης δεν είναι δυνατή ή είναι δυνατή μόνο με δυσανάλογα μεγάλη προσπάθεια και το συμφέρον του υποκειμένου των δεδομένων για τη διαγραφή δεν θεωρείται σημαντικό. Στην περίπτωση αυτή η διαγραφή αντικαθίσταται από τον περιορισμό της επεξεργασίας σύμφωνα με το άρθρο 18 του ΓΚΠΔ.

Τέλος, το δικαίωμα εναντίωσης δεν εφαρμόζεται έναντι δημόσιου φορέα, εάν υπάρχει επιτακτικό δημόσιο συμφέρον για την επεξεργασία, το οποίο υπερτερεί των συμφερόντων του υποκειμένου των δεδομένων ή διάταξη νόμου υποχρεώνει τη διενέργεια της επεξεργασίας.

ΣΤ. Διοικητικές κυρώσεις

Παρά το γεγονός ότι το άρθρο 83 του ΓΚΠΔ προβλέπει, σε περιπτώσεις διαπίστωσης παραβάσεών του από τις αρμόδιες Εποπτικές Αρχές, την επιβολή διοικητικών προστίμων που μπορούν να φτάνουν μέχρι το 4% του παγκόσμιου τζίρου μιας επιχείρησης ή έως τα 20.000.000 Ευρώ, όποιο είναι υψηλότερο, ο Ν. 4624/2019, στα πλαίσια της διακριτικής ευχέρειας που του δίνει η παρ. 7 του άρθρου 83 του ΓΚΠΔ, ορίζει ως ανώτατο πλαφόν για την επιβολή προστίμου σε δημόσιο φορέα το ποσό των 10.000.000 Ευρώ. Ζήτημα γεννάται, ωστόσο, ως προς την αποτελεσματικότητα της επιβολής προστίμων στους δημόσιους φορείς, δεδομένου ότι στην περίπτωση αυτή το δημόσιο επιβάλλει το πρόστιμο και το δημόσιο το εισπράττει. Διαφορετικά ωστόσο θα είχε η κατάσταση αν το επιβαλλόμενο πρόστιμο δεν κατευθυνόταν στο Δημόσιο Ταμείο, αλλά στον προϋπολογισμό της ίδιας της ΑΠΔΠΧ, για την εκπλήρωση των σκοπών της και τη διευκόλυνση του ελεγκτικού και κατασταλτικού έργου της.

Ως προς τους ιδιωτικούς φορείς, εξακολουθούν να ισχύουν άμεσα οι κυρώσεις που προβλέπει ο ίδιος ο Κανονισμός.

ΙΙΙ. Επίλογος

Οι ως άνω ρυθμίσεις του νέου νόμου, μπορεί μεν να δημιουργήσουν την ανάγκη νέων νομοθετικών παρεμβάσεων στον τομέα της προστασίας των προσωπικών δεδομένων, με απώτερο στόχο την τήρηση της ισορροπίας μεταξύ του δικαιώματος του υποκειμένου στον πληροφοριακό του αυτοκαθορισμό και της ανάγκης της αγοράς για την παροχή ποιοτικότερων και πιο προσωποποιημένων προϊόντων και υπηρεσιών, αλλά από απόψεως καθημερινής πρακτικής, θα πρέπει να επισημάνουμε τη σημαντικότητα των νομικών εργαλείων που παρέχει για την επίλυση μίας σειράς νομικών αδιεξόδων που προκαλούνται από τη τήρηση τεράστιων βάσεων δεδομένων από φορείς, όπως λ.χ. οι Τράπεζες, που δραστηριοποιούνται στην «Εποχή του Καπιταλισμού της Παρακολούθησης», όπως αναφέρει και η ομότιμη Καθηγήτρια του Πανεπιστημίου Χάρβαρντ Σοσάνα Ζούμποφ στο σχετικό, πολύ ενδιαφέρον βιβλίο της, με τον ομώνυμο τίτλο, στην αγγλική γλώσσα.