Η προστασία των προσωπικών δεδομένων αποτελεί θεμελιώδη υποχρέωση για κάθε επιχείρηση που επεξεργάζεται πληροφορίες φυσικών προσώπων στο πλαίσιο της δραστηριότητάς της. Ο Κανονισμός (ΕΕ) 2016/679 (GDPR) θέτει ένα ενιαίο νομικό πλαίσιο για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθιερώνοντας αρχές όπως η νομιμότητα, η διαφάνεια, ο περιορισμός του σκοπού και η ελαχιστοποίηση των δεδομένων κατά το άρθρο 5 του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων. Κάθε επεξεργασία πρέπει να βασίζεται σε νόμιμη βάση, όπως αποτελεί για παράδειγμα η εκτέλεση σύμβασης ή η συμμόρφωση με έννομη υποχρέωση, σύμφωνα με το άρθρο 6 GDPR.
Οι επιχειρήσεις υπέχουν υποχρέωση λήψης κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας, σύμφωνα με το άρθρο 32 GDPR, στο πλαίσιο της αρχής της λογοδοσίας του άρθρου 5 παρ. 2 GDPR, προκειμένου να διασφαλίζεται επίπεδο ασφάλειας ανάλογο προς τον κίνδυνο, ιδίως έναντι μη εξουσιοδοτημένης ή παράνομης επεξεργασίας, τυχαίας απώλειας, καταστροφής ή φθοράς δεδομένων προσωπικού χαρακτήρα. Σε περίπτωση περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου 4 παρ. 12 GDPR, ο υπεύθυνος επεξεργασίας οφείλει να γνωστοποιήσει την παραβίαση στην αρμόδια εποπτική αρχή, ήτοι την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, χωρίς αδικαιολόγητη καθυστέρηση και, όπου είναι εφικτό, εντός εβδομήντα δύο (72) ωρών από τη στιγμή που έλαβε γνώση αυτής, σύμφωνα με το άρθρο 33 GDPR, ενώ σε περίπτωση που η παραβίαση ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, υποχρεούται να προβεί και σε ενημέρωση των υποκειμένων των δεδομένων κατά το άρθρο 34 GDPR.
.
Θεμελιώδη δικαιώματα Υποκειμένων
Τα υποκείμενα των δεδομένων διαθέτουν μια σειρά από θεμελιώδη δικαιώματα, όπως είναι το δικαίωμα ενημέρωσης, το δικαίωμα πρόσβασης, το δικαίωμα διόρθωσης και διαγραφής ( «δικαίωμα στη λήθη») των δεδομένων τους (άρθρα 15–17 GDPR), το δικαίωμα περιορισμού και το δικαίωμα της εναντίωσης στην επεξεργασία και τέλος το δικαίωμα στη φορητότητα. Σε περίπτωση παράνομης επεξεργασίας ή παραβίασης των υποχρεώσεων του υπευθύνου επεξεργασίας, το υποκείμενο έχει το δικαίωμα να υποβάλει καταγγελία στην αρμόδια εποπτική αρχή, σύμφωνα με το άρθρο 77 του GDPR.
Αξίωση αποζημίωσης
Παράλληλα, θεμελιώνεται αξίωση αποζημίωσης για υλική ή ηθική βλάβη βάσει του άρθρου 82 του GDPR, σε συνδυασμό με τις διατάξεις των άρθρων 914 και 932 του Αστικού Κώδικα. Η πλήρης συμμόρφωση με το κανονιστικό πλαίσιο προστασίας δεδομένων αποτελεί καθοριστικό παράγοντα για τη διασφάλιση της εμπιστοσύνης και της νομικής ασφάλειας στο πλαίσιο των σύγχρονων επιχειρηματικών συναλλαγών.
Maria-Nefeli Christodoulopoulou
Lawyer | GDPR • AI Act • Data Protection • Regulatory Compliance
Η Μαρία-Νεφέλη Χριστοδουλοπούλου είναι Δικηγόρος με εστίαση στην προστασία δεδομένων, το AI Governance και τη συμμόρφωση επιχειρήσεων με το ευρωπαϊκό ψηφιακό κανονιστικό πλαίσιο (GDPR, AI Act, NIS2)