Как работает закон о защите персональных данных в Греции? Несмотря на то, что закон, скажем прямо, не новый – вступил он в силу еще в 2018 году и называется «Общие положения о защите персональных данных» (GDPR) ЕЕ 2016/679, а принят был Европейским парламентом 27 апреля 2016 года, знают о его положениях далеко не все. При том, что новый закон заменяет существующую Европейскую Директиву 1995г. о Защите Персональных Данных и включает в себя новые более строгие меры контроля конфиденциальной информации, а также гласности при использовании персональных данных и защиты граждан. С помощью наших адвокатов мы постарались разъяснить положения этого закона и пояснить, как они работают.

- Какими законодательными актами в Греции регулируются вопросы защиты персональных данных?

- Так называемыми «Общими положениями о защите персональных данных». Они применяются к любым физическим или юридическим лицам, государственным органам или учреждениям, расположенным в Европейском Союзе, независимо от того, осуществляется ли обработка данных в рамках Евросоюза, а также к физическим или юридическим лицам вне Евросоюза, которые предлагают услуги и товары с оплатой или без оплаты физическим лицам в пределах Европейского Союза или контролируют их действия в пределах Европейского Союза.

- В каких случаях эти «Общие положения» применяются?

- «Общие положения» применяются при автоматической или не автоматической обработке персональных данных, если данные включены или будут включены в архивную систему.

- Наверняка, есть исключения, когда эти правила не применяются?

- Действительно, закон не применяется к обработке персональных данных в контексте деятельности, выходящей за рамки законодательства Европейского Союза, либо осуществляемой физическим лицом в рамках личной или домашней деятельности, либо осуществляемой компетентными органами в целях предотвращения, расследования, выявления или преследования уголовных преступлений или применения уголовных санкций, включая защиту и предотвращение угроз общественной безопасности. Надо отметить, что обработка персональных данных учреждениями, органами, службами и организациями Евросоюза регулируется Регламентом (ЕС) 45/2001, в соответствии с принципами и правилами «Общих положений». «Общие положения» не влияют на положения Директивы 2000/31 / ЕС об ответственности посредников предоставления услуг.

- Что мы понимаем под персональными данными?

- Согласно статье 4 закона, в качестве персональных данных определяется любая информация, которая касается идентифицированного или идентифицируемого физического лица, он называется «субъект данных». Идентифицируемым физическим лицом является лицо, личность которого может быть установлена прямо или косвенно, в частности, путем упоминания данных, таких как имя, номер удостоверения личности, данные о местоположении, on line личные данные или один или несколько факторов, характерных для физической, физиологической, генетической, психологической, экономической, культурной или социальной идентичности данного физического лица.

- А вот, скажем, этническое происхождение или религиозные взгляды – эти понятия также относятся к персональным данным?

- Да, но определяются в качестве персональных данных особых категорий. Это данные, выявляющие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или участие в профсоюзах, а также обработка генетических данных, биометрических данных с целью неопровержимого установления личности человека, данные о здоровье или данные, касающиеся сексуальной жизни физического лица или его сексуальной ориентации.

- Что означает «обработка данных», о которой вы говорите?

- В качестве обработки данных определяется любое действие, выполняемое с использованием или без использования автоматических средств с персональными данными, такие как сбор, регистрация, организация, структурирование, хранение, корректировка или изменение, извлечение, поиск информации, использование, разглашение путем перенаправления, распространение или любая другая форма предоставления, корреляция или сочетание, ограничение, удаление или уничтожение.

- А разве при такой «обработке» не нарушается конфиденциальность персональных  данных?

- Нарушением конфиденциальности персональных данных считается любое нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному разглашению или доступу к персональным данным, которые были переданы, сохранены или обработаны иным образом.

Персональные данные должны подвергаться законной и дозволенной обработке с гласностью в отношении субъекта данных, для определенных, явных и законных целей и не обрабатываться в дальнейшем таким образом, который несовместим с данными целями. При этом дальнейшая обработка с целью архивирования в общественных интересах или для целей научных или исторических исследований или статистических целей не считается несовместимой с первоначальными целями. Данные должны быть подходящими, соответствующими и ограничиваться только необходимыми для целей, для которых они обрабатываются, они должны быть точными и обновленными, и должны хранится в форме, которая позволяет идентифицировать субъект данных только в течение времени, необходимого для цели обработки персональных данных, в то время как они могут храниться в течение более длительного периода при условии, что будут обработаны исключительно для архивных целей в интересах общественности, с целью научных или исторических исследований или для статистических целей.

Также должна гарантироваться надлежащая безопасность персональных данных, как например их защита от несанкционированной или незаконной обработки и случайной потери, уничтожения или искажения, с использованием соответствующих технических или организационных мер.

Ответственный за обработку данных несет ответственность за соблюдение вышеуказанного и обязан иметь доказательства о данном соблюдении.

- В каких случаях обработка персональных данных является законной?

- Обработка персональных данных является законной только в том случае, если соблюдается, по крайней мере, одна из следующих предпосылок:

а) субъект обработки данных предоставил согласие на обработку персональных данных для определенной цели,

б) обработка необходима для выполнения контракта, субъектом данных которого является одна из сторон или для принятия мер по запросу субъекта данных перед заключением договора,

в) обработка необходима для выполнения законного обязательства ответственного за обработку,

г) обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица,

д) обработка необходима для выполнения обязанностей в общественных интересах или при осуществлении государственных полномочий, возложенных на ответственного за обработку данных,

е) обработка необходима для соблюдения законных интересов ответственного за обработку данных или третьего лица, кроме если не преобладают интересы или основополагающие права и свободы субъекта данных, которые требуют защиты персональных данных, особенно если субъект данных является ребенок.

- А что касается персональных данных особых категорий, в каких случаях разрешена их обработка?

- Обработка персональных данных особых категорий разрешается, если предоставляется четкое согласие, либо если она необходима для выполнения обязательств и определенных прав в области трудового права и права социального страхования, либо для защиты жизненно важных интересов субъекта данных или другого физического лица, которое не имеет физическую или юридическую дееспособность предоставить согласие, либо если обработка осуществляется в рамках законной деятельности не коммерческого фонда и при условии, что обработка касается исключительно членов или бывших членов фонда или лиц, поддерживающие с ним постоянный контакт.

(Окончание следует)