Άρθρο 55 : Αρμοδιότητα εποπτικής αρχής

Η Αρχή εξέδωσε την υπ’ αριθμ. 6/2021 γνωμοδότηση, κατόπιν αιτήματος του Υπουργείου Προστασίας του Πολίτη, επί σχεδίου προεδρικού διατάγματος με τίτλο "Λήψη μέτρων για την εφαρμογή της απόφασης 2008/615/ΔΕΥ του Συμβουλίου της 23ης Ιουνίου 2008 για την αναβάθμιση της διασυνοριακής συνεργασίας, ιδίως όσον αφορά την καταπολέμηση της τρομοκρατίας και του διασυνοριακού εγκλήματος". Η Αρχή, με την εν λόγω γνωμοδότηση, προσδιόρισε συγκεκριμένα σημεία του σχεδίου ΠΔ τα οποία χρήζουν βελτίωσης ή/και αποσαφήνισης.

H Αρχή, στο πλαίσιο της ενημέρωσης των υποκειμένων των δεδομένων καθώς και των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, εξέδωσε Κατευθυντήριες Γραμμές ειδικά για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται κατά την παροχή εργασίας εξ αποστάσεως, ανεξαρτήτως μορφής και είδους απασχόλησης, τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα, με σκοπό να εξειδικευθούν αφενός οι κίνδυνοι, οι κανόνες, οι εγγυήσεις και τα δικαιώματα των υποκειμένων των δεδομένων, και αφετέρου οι υποχρεώσεις των δημοσίων αρχών και ιδιωτικών φορέων, ως υπευθύνων επεξεργασίας, σε συμμόρφωση προς το θεσμικό πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα.

Ερωταπαντήσεις βάσει της απόφασης 32/2021, με την οποία εκδόθηκαν οι Κατευθυντήριες Γραμμές σχετικά με την εφαρμογή των κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της τηλεργασίας.

Σε συνέχεια της απόφασης 5/2020, με την οποία εκδόθηκαν Κατευθυντήριες Γραμμές αναφορικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της διαχείρισης του κορωνοϊού COVID-19, των Κατευθυντήριων Γραμμών 2/2020 για τη λήψη μέτρων ασφάλειας στο πλαίσιο της τηλεργασίας και της Οδηγίας 115/2001 για την προστασία των προσωπικών δεδομένων στο πλαίσιο των εργασιακών σχέσεων, λαμβάνοντας υπόψη την ένταση και την έκταση που έχει λάβει η εξ αποστάσεως παροχή εργασίας −προεχόντως λόγω της επιδημίας που οφείλεται στην COVID-19− και τους κινδύνους που ελλοχεύουν μέσω της χρήσης τεχνολογιών πληροφορικής και επικοινωνιών (ΤΠΕ) για τα δικαιώματα των εμπλεκομένων σε αυτήν προσώπων και την ασφάλεια των υποδομών και υπηρεσιών που χρησιμοποιούνται, η Αρχή, στο πλαίσιο της ενημέρωσης των υποκειμένων των δεδομένων καθώς και των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία, εξέδωσε Κατευθυντήριες Γραμμές ειδικά για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται κατά την παροχή εργασίας εξ αποστάσεως, ανεξαρτήτως μορφής και είδους απασχόλησης, τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα, με σκοπό να εξειδικευθούν αφενός οι κίνδυνοι, οι κανόνες, οι εγγυήσεις και τα δικαιώματα των υποκειμένων των δεδομένων, και αφετέρου οι υποχρεώσεις των δημοσίων αρχών και ιδιωτικών φορέων, ως υπευθύνων επεξεργασίας, σε συμμόρφωση προς το θεσμικό πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα.

Το Υπουργείο Ψηφιακής Διακυβέρνησης διαβίβασε στην Αρχή σχέδιο διατάξεων με τίτλο «Διευκολύνσεις ως προς τη λειτουργία επιχειρήσεων ή άλλων χώρων συνάθροισης», αναφορικά με τη χρήση ειδικής ηλεκτρονικής εφαρμογής σε κινητές συσκευές, μέσω της οποίας  θα πραγματοποιείται «ο έλεγχος της εγκυρότητας, της γνησιότητας και της ακεραιότητας του Ψηφιακού Πιστοποιητικού COVID-19 της Ε.Ε. (EU Digital COVID Certificate - EUDCC) του Κανονισμού (ΕΕ) 2021/953 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 14ης Ιουνίου 2021 και της από 30.5.2021 Πράξης Νομοθετικού Περιεχομένου (Α' 87), η οποία κυρώθηκε με το άρθρο 1 του ν. 4806/2021 (Α΄ 95) ή ισοδύναμου πιστοποιητικού ή βεβαίωσης τρίτης χώρας, που φέρει το φυσικό πρόσωπο - κάτοχος, διά της σάρωσης του σχετικού κωδικού QR». Η Αρχή, μετά από εξέταση του ανωτέρω σχεδίου διατάξεων από την άποψη της νομοθεσίας για την προστασία των προσωπικών δεδομένων εξέδωσε Γνωμοδότηση με παρατηρήσεις επί του σχεδίου διατάξεων. Σύμφωνα με τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (EE) 2016/679 (ΓΚΠΔ) και του άρθρου 9 του ν. 4624/2019 (ΦΕΚ Α ́ 137), η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων.

Κατόπιν καταγγελίας ασφαλισμένου σε ιδιωτική ασφαλιστική εταιρία με ασφάλιση υγείας, ότι για την καταβολή της ασφαλιστικής αποζημίωσης ζητήθηκε η συγκατάθεσή του για την πρόσβαση της εταιρίας α) στη βάση δεδομένων του συνταγολογίου και στο ηλεκτρονικό σύστημα συνταγογράφησης του ΕΟΠΠΥ, β) στον ιατρικό φάκελο και γ) σε παρούσες, όσο και σε παρελθούσες ή μελλοντικές ιατρικές εξετάσεις όχι μόνον των δικών του αλλά και όλων των μελών του ασφαλιστικού συμβολαίου, η Αρχή 1) απέρριψε την καταγγελία, κρίνοντας ότι δεν επήλθε παραβίαση δικαιώματος του ασφαλισμένου – υποκειμένου των δεδομένων από την ασφαλιστική εταιρεία, εφόσον, παρόλο που δεν χορήγησε τη συγκατάθεσή του, έλαβε την ασφαλιστική αποζημίωση  και 2) επιφυλάχθηκε να εξετάσει συνολικά την ακολουθούμενη πρακτική και να κρίνει επί της νομιμότητας της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των ασφαλισμένων στο πλαίσιο της ασφαλιστικής σύμβασης για τη διαχείριση των αποζημιώσεων/καλύψεων προς τους ασφαλισμένους, στο πλαίσιο της εξέτασης του σχεδίου Κώδικα Δεοντολογίας της Ένωσης Ασφαλιστικών Εταιρειών που έχει υποβληθεί προς έγκριση στην Αρχή.

Η Αρχή, με την Απόφαση 26/2020, τροποποίησε το σχέδιο των απαιτήσεων διαπίστευσης για τους φορείς παρακολούθησης κωδίκων δεοντολογίας, βάσει των συστάσεων της γνώμης 20/2020 του Συμβουλίου Προστασίας Δεδομένων. Το αρχικό σχέδιο, όπως είχε διαμορφωθεί με την υπ’ αριθμ. 9/2020 Απόφαση της Αρχής, είχε υποβληθεί στο Συμβούλιο στο πλαίσιο του μηχανισμού συνεκτικότητας του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ). Με την Απόφαση 26/2020 αποφασίστηκε η ανακοίνωση του τροποποιημένου σχεδίου απαιτήσεων διαπίστευσης στο Συμβούλιο, σύμφωνα με το άρθρο 64 παρ. 7 του ΓΚΠΔ. Οι τελικές απαιτήσεις της Αρχής για τη διαπίστευση των φορέων παρακολούθησης των κωδίκων δεοντολογίας, όπως τροποποιήθηκαν βάσει της απόφασης 20/2020 του Συμβουλίου, δημοσιοποιούνται από την Αρχή  με δημοσίευση στο διαδικτυακό τόπο της, σύμφωνα με το άρθρο 57 παρ. 1 στοιχ. ιστ’ του ΓΚΠΔ και με το άρθρο 15 παρ. 10 του ν.4624/2019.

Η Αρχή, με την με αριθμό 25/2020 Απόφασή της, αποφάσισε ομόφωνα, την τροποποίηση του σχεδίου των συμπληρωματικών απαιτήσεων για τη διαπίστευση των φορέων πιστοποίησης, βάσει όλων των συστάσεων και ενθαρρύνσεων της σχετικής γνώμης 22/2020 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Το αρχικό σχέδιο, όπως είχε διαμορφωθεί με την υπ’ αριθμ. 8/2020 Απόφαση της Αρχής, είχε υποβληθεί στο Συμβούλιο στο πλαίσιο του μηχανισμού συνεκτικότητας του ΓΚΠΔ. Με την Απόφαση 25/2020 αποφασίστηκε η ανακοίνωση του τροποποιημένου σχεδίου των απαιτήσεων διαπίστευσης στο Συμβούλιο, σύμφωνα με το άρθρο 64 παρ. 7 του ΓΚΠΔ. Οι τελικές συμπληρωματικές απαιτήσεις της Αρχής για τη διαπίστευση των φορέων πιστοποίησης, όπως τροποποιήθηκαν βάσει της απόφασης 22/2020 του Συμβουλίου, δημοσιοποιούνται από την Αρχή με δημοσίευση στο διαδικτυακό της τόπο, σύμφωνα με το άρθρο 57 παρ. 1 στοιχ. ιστ’ του ΓΚΠΔ και με το άρθρο 15 παρ. 10 του ν.4624/2019.

Η Αρχή, με την απόφαση 9/2020, αποφάσισε τον ορισμό απαιτήσεων για τη διαπίστευση των φορέων παρακολούθησης, όπως αυτοί ορίζονται στο άρθρο 41 του ΓΚΠΔ, και οι οποίοι σχετίζονται με κώδικα δεοντολογίας για τον οποίο η Αρχή είναι αρμόδια σύμφωνα με το άρθρο 55 του ΓΚΠΔ. Οι εν λόγω απαιτήσεις διαπίστευσης, οι οποίες βασίζονται στις κατευθυντήριες γραμμές 1/2019 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ), δεν αφορούν, κατ’ αρχάς, την περίπτωση φορέων παρακολούθησης κωδίκων δεοντολογίας του άρθρου 40 παρ. 3 του ΓΚΠΔ, η οποία έχει εξαιρεθεί και από τις ως άνω κατευθυντήριες γραμμές και θα εξεταστεί ειδικώς σε άλλες κατευθυντήριες γραμμές του ΕΣΠΔ. Η Αρχή υπέβαλε τις απαιτήσεις διαπίστευσης των φορέων παρακολούθησης των κωδίκων δεοντολογίας στο ΕΣΠΔ, σύμφωνα με τον προβλεπόμενο στο άρθρο 63 του ΓΚΠΔ μηχανισμό συνεκτικότητας, οι οποίες θα δημοσιοποιηθούν από την Αρχή μετά την ολοκλήρωση της εν λόγω διαδικασίας.

Η Αρχή, με την απόφαση 8/2020, αποφάσισε τον ορισμό συμπληρωματικών, σε σχέση με το πρότυπο EN-ISO/IEC 17065/2012, απαιτήσεων για τη διαπίστευση των φορέων που χορηγούν πιστοποιήσεις σε υπευθύνους επεξεργασίας και εκτελούντες προς εκπλήρωση της υποχρέωσής της όπως απορρέει από το άρθρο 43 παρ. 1 στοιχείο β) και παρ. 3 του ΓΚΠΔ, καθώς και από το άρθρο 37 παρ. 1 του ν. 4624/2019. Οι εν λόγω συμπληρωματικές απαιτήσεις διαπίστευσης βασίζονται στις κατευθυντήριες γραμμές 4/2018 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ) και εφαρμόζονται από το Εθνικό Σύστημα Διαπίστευσης (ΕΣΥΔ) κατά τη διαδικασία διαπίστευσης των φορέων πιστοποίησης σε συνδυασμό με το ως άνω πρότυπο. Η Αρχή υπέβαλε τις συμπληρωματικές απαιτήσεις διαπίστευσης στο ΕΣΠΔ σύμφωνα με τον προβλεπόμενο στο άρθρο 63 του ΓΚΠΔ μηχανισμό συνεκτικότητας και δεν τις δημοσιοποιεί μέχρι την ολοκλήρωση της εν λόγω διαδικασίας.

Η Αρχή, με την με αριθμό 52/2018 απόφασή της, αποφάνθηκε ομοφώνως ότι δεν έχει υποχρέωση να απαντά στα ερωτήματα και αιτήματα είτε των υπευθύνων επεξεργασίας, είτε των υποκειμένων των δεδομένων ή τρίτων σχετικά με ζητήματα επεξεργασίας προσωπικών δεδομένων που δεν εμπίπτουν στις προβλεπόμενες με τις διατάξεις του ΓΚΠΔ αρμοδιότητές της. Το ίδιο ισχύει και για τις εκκρεμείς κατά την 25.5.2018 αιτήσεις και ερωτήματα, δεδομένου ότι υπό το προϊσχύον νομοθετικό καθεστώς της οδηγίας 95/46 ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του αντίστοιχου ν. 2472/1997 αφενός η Αρχή δεν είχε υποχρέωση να επιλαμβάνεται ερωτημάτων και αιτημάτων των υποκειμένων των δεδομένων και τρίτων και αφετέρου η προβλεπόμενη στη διάταξη του άρθρου 19 παρ. 1 περ. ιγ ́ του ν. 2472/1997 αρμοδιότητά της να εξετάζει αιτήσεις των υπευθύνων επεξεργασίας, με τις οποίες ζητείται ο έλεγχος και η εξακρίβωση της νομιμότητας της επεξεργασίας, δεν συνάδει με την αρχή της λογοδοσίας που καθιερώνεται με τον ΓΚΠΔ.