Δικαίωμα ενημέρωσης και διαφάνεια

Τα φυσικά πρόσωπα (υποκείμενα των δεδομένων) έχουν δικαίωμα να ενημερώνονται με ακρίβεια και σαφήνεια για τη συλλογή και χρήση (επεξεργασία) των προσωπικών τους δεδομένων. Το δικαίωμα αυτό διέπεται από μία από τις βασικές αρχές του ΓΚΠΔ, την αρχή της διαφάνειας (σχετικά άρθρα 12-14 ΓΚΠΔ).

Ειδικότερα, με βάση την ως άνω αρχή, η ενημέρωση πρέπει να είναι συνοπτική, διαφανής, κατανοητή, εύκολα προσβάσιμη και διατυπωμένη σε απλή και σαφή γλώσσα. Αόριστοι όροι πρέπει να αποφεύγονται (π.χ. «θα μπορούσε», «ενδέχεται», «πιθανόν να…», κ.λπ.). Ιδίως, όταν πρόκειται για ανήλικους, η γλώσσα πρέπει να είναι ιδιαίτερα φιλική προς αυτούς.

Η ενημέρωση πρέπει να περιλαμβάνει, μεταξύ άλλων, ιδίως τις εξής πληροφορίες: τον σκοπό και τη νομική βάση της επεξεργασίας των δεδομένων, τις πηγές από τις οποίες προέρχονται τα δεδομένα και τις κατηγορίες τους (όταν η συλλογή γίνεται από άλλες πηγές κι όχι από το ίδιο το υποκείμενο) και τους τυχόν αποδέκτες τους.

Τα άρθρα 13 και 14 του ΓΚΠΔ εξειδικεύουν ποιες ακριβώς πληροφορίες πρέπει να περιλαμβάνει η ενημέρωση, όταν η συλλογή γίνεται από τα ίδια τα υποκείμενα ή από άλλες πηγές.

Ειδικότερα, στα υποκείμενα των δεδομένων παρέχονται οι εξής επιπρόσθετες πληροφορίες: οι κατηγορίες των δεδομένων τους, οι πηγές των δεδομένων τους (όταν τα δεδομένα δεν χορηγούνται από το υποκείμενο), η χρονική περίοδος τήρησης των δεδομένων τους ή, όταν αυτό δεν είναι δυνατό, τα κριτήρια για τον χρόνο τήρησής τους, η δυνατότητά τους να ασκήσουν το δικαίωμα διόρθωσης, διαγραφής, περιορισμού και εναντίωσης στην επεξεργασία, η ύπαρξη διαδικασίας αυτόματης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ και η διαβίβαση των δεδομένων σε τρίτη χώρα ή διεθνή οργανισμό και η ύπαρξη σχετικών εγγυήσεων προστασίας.

Ο υπεύθυνος επεξεργασίας πρέπει να λαμβάνει πλήρως υπόψη του τις απαιτήσεις της διαφάνειας που προβλέπονται στο άρθρο 12 του ΓΚΠΔ για την ανακοίνωση παραβιάσεων δεδομένων στα υποκείμενα των δεδομένων βάσει του άρθρου 34 του ΓΚΠΔ.

Πότε πρέπει να γίνεται η προβλεπόμενη στα άρθρα 13 και 14 του ΓΚΠΔ ενημέρωση από τον υπεύθυνο επεξεργασίας

 

Όταν η συλλογή των δεδομένων γίνεται απευθείας από τα υποκείμενα των δεδομένων, η ενημέρωση παρέχεται τη στιγμή της συλλογής.

Όταν η συλλογή γίνεται από άλλες πηγές, η ενημέρωση παρέχεται:

  1. σε εύλογο χρονικό διάστημα από τη συλλογή των δεδομένων αλλά το αργότερο σε ένα μήνα,
  2. το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, εάν τα δεδομένα πρόκειται να χρησιμοποιηθούν για επικοινωνία με το υποκείμενο των δεδομένων, και
  3. το αργότερο όταν τα δεδομένα γνωστοποιούνται για πρώτη φορά σε άλλον αποδέκτη, εάν προβλέπεται γνωστοποίηση σε άλλον αποδέκτη.

Τα υποκείμενα των δεδομένων δεν έχουν το δικαίωμα ενημέρωσης όταν διαθέτουν ήδη τις πληροφορίες είτε η συλλογή γίνεται απευθείας από τα ίδια είτε από άλλες πηγές.

Στην περίπτωση της συλλογής δεδομένων από άλλες πηγές, τα υποκείμενα των δεδομένων δεν έχουν το δικαίωμα ενημέρωσης όταν:

  • η παροχή των πληροφοριών αποδεικνύεται αδύνατη ή συνεπάγεται δυσανάλογη προσπάθεια για τον υπεύθυνο επεξεργασίας,
  • η απόκτηση ή η κοινολόγηση προβλέπεται ρητώς από το δίκαιο της Ένωσης ή του κράτους μέλους, και
  • τα δεδομένα πρέπει να παραμείνουν εμπιστευτικά δυνάμει υποχρέωσης επαγγελματικού απορρήτου που ρυθμίζεται από το δίκαιο της Ένωσης ή κράτους μέλους.

 

Τρόπος άσκησης δικαιώματος

 

Τα δικαιώματα των υποκειμένων των δεδομένων μπορούν να ασκηθούν, κατ’ αρχήν δωρεάν, είτε γραπτά είτε προφορικά εφόσον το επιθυμεί το υποκείμενο των δεδομένων.

Το υποκείμενο των δεδομένων μπορεί να κληθεί να καταβάλει εύλογο τέλος, μόνο εάν το αίτημα είναι προδήλως αβάσιμο ή υπερβολικό (ιδίως όταν επαναλαμβάνεται) ή στην περίπτωση του δικαιώματος πρόσβασης ο αριθμός των αντιγράφων που καλείται ο υπεύθυνος επεξεργασίας να χορηγήσει είναι μεγάλος. Αντ’ αυτού, ο υπεύθυνος επεξεργασίας μπορεί να αρνηθεί να δώσει συνέχεια σε προδήλως αβάσιμο ή υπερβολικό αίτημα.

Ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει, τόσο στο υποκείμενο των δεδομένων όσο και στην εποπτική αρχή, γιατί θεωρεί ότι το αίτημα είναι προδήλως αβάσιμο ή υπερβολικό. Για αυτό πρέπει να εξετάζεται κάθε περίπτωση ξεχωριστά λαμβάνοντας υπόψη το περιεχόμενο του κάθε αιτήματος καθώς και τα χαρακτηριστικά της κάθε επεξεργασίας. Για παράδειγμα, ένα αίτημα μπορεί να θεωρηθεί υπερβολικό εάν επαναλαμβάνει την ουσία των προηγούμενων αιτημάτων ή επικαλύπτεται με άλλα αιτήματα.

Ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την παροχή πρόσθετων πληροφοριώναναγκαίων για την επιβεβαίωση της ταυτότητας του αιτούντος υποκειμένου των δεδομένων όταν έχει εύλογες αμφιβολίες σχετικά με αυτή.

 

Χρόνος παροχής πληροφοριών στα υποκείμενα των δεδομένων κατόπιν άσκησης δικαιώματος

 

Ο υπεύθυνος επεξεργασίας οφείλει να απαντήσει στο υποκείμενο των δεδομένων χωρίς καθυστέρηση και το αργότερο σε ένα μήνα από την υποβολή του αιτήματος για την άσκηση δικαιώματος δυνάμει των άρθρων 15-22 του ΓΚΠΔ.

Η προθεσμία του ενός μηνός μπορεί να παραταθεί για δύο μήνες, εάν το αίτημα είναι πολύπλοκο ή ο αριθμός των αιτημάτων είναι μεγάλος.

Ωστόσο, ο υπεύθυνος επεξεργασίας οφείλει να ενημερώσει το υποκείμενο των δεδομένων για την παράταση αυτή εντός μηνός από την υποβολή του αιτήματος.

 

Μη ικανοποίηση δικαιώματος

 

Ο υπεύθυνος επεξεργασίας οφείλει, σε περίπτωση μη ικανοποίησης εν όλω ή εν μέρει του δικαιώματος, να ενημερώσει εντός της προβλεπόμενης προθεσμίας αναλυτικά και με σαφήνεια το υποκείμενο των δεδομένων, κατ’ ελάχιστον, για τα εξής:

  • τους ακριβείς λόγους της απόρριψης ή της μη πραγματοποίησης ενέργειας επί του αιτήματος,
  • το δικαίωμα του υποκειμένου των δεδομένων να υποβάλει καταγγελία στην Αρχή ή σε άλλη εποπτική αρχή, και
  • το δικαίωμα του υποκειμένου των δεδομένων για άσκηση δικαστικής προσφυγής κατά του υπευθύνου επεξεργασίας ή τυχόν εκτελούντος την επεξεργασία.

 

Για περισσότερες πληροφορίες μπορείτε να ανατρέξετε στις κατευθυντήριες γραμμές σχετικά με τη διαφάνεια που εξέδωσε η Ομάδα εργασίας του άρθρου 29 και έχουν εγκριθεί από το ΕΣΠΔ.