Αρχή Προστασίας Δεδομένων
Αρχή Προστασίας Δεδομένων
Η Αυστριακή Αρχή Προστασίας Δεδομένων (DSB) είναι η κεντρική εποπτική αρχή για την προστασία των προσωπικών δεδομένων στην Αυστρία. Ελέγχει τη συμμόρφωση με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ) και τον Αυστριακό Νόμο περί Προστασίας Δεδομένων (DSG), αποφασίζει επί καταγγελιών, κινεί διαδικασίες ελέγχου, επιβάλλει κυρώσεις και εκπροσωπεί την Αυστρία στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ). Αποστολή της είναι να διασφαλίζει τα θεμελιώδη δικαιώματα, να αποτρέπει την κατάχρηση και να υποχρεώνει τις επιχειρήσεις και τις αρχές να συμμορφώνονται με τις υποχρεώσεις προστασίας δεδομένων.
Η Αρχή Προστασίας Δεδομένων είναι η κρατική εποπτική αρχή για την προστασία των προσωπικών δεδομένων στην Αυστρία.
Καθήκοντα και αρμοδιότητες
Η Αρχή Προστασίας Δεδομένων αναλαμβάνει ένα ευρύ φάσμα δραστηριοτήτων, οι οποίες όλες αποσκοπούν στην προστασία των προσωπικών δεδομένων:
- Επεξεργασία καταγγελιών υποκειμένων δεδομένων.
- Διενέργεια αυτεπάγγελτων διαδικασιών ελέγχου.
- Απόφαση σε διοικητικές ποινικές διαδικασίες και επιβολή προστίμων.
- Παραλαβή και έλεγχος αναφορών για παραβιάσεις δεδομένων (Data Breaches).
- Διαδικασίες έγκρισης, π.χ. για κώδικες δεοντολογίας ή φορείς πιστοποίησης.
- Γνωμοδοτήσεις επί νομοθετικών πρωτοβουλιών.
Με αυτόν τον τρόπο, αποτελεί κεντρικό σημείο επικοινωνίας για τα υποκείμενα των δεδομένων, τις επιχειρήσεις και τους υπεύθυνους προστασίας δεδομένων εξίσου.
Ορισμός της προστασίας δεδομένων
Η προστασία δεδομένων είναι το θεμελιώδες δικαίωμα να καθορίζει κανείς ο ίδιος ποιος επεξεργάζεται ποιες πληροφορίες σχετικά με ένα άτομο. Προσωπικά δεδομένα είναι όλα τα στοιχεία που αναφέρονται σε ένα συγκεκριμένο άτομο ή καθιστούν ένα άτομο αναγνωρίσιμο, όπως το όνομα, η διεύθυνση, ο αριθμός τηλεφώνου, η διεύθυνση ηλεκτρονικού ταχυδρομείου, αλλά και φωτογραφίες, διευθύνσεις IP ή δεδομένα υγείας.
Η προστασία δεδομένων δεν σημαίνει ότι δεν επιτρέπεται η επεξεργασία δεδομένων. Σημαίνει ότι η επεξεργασία επιτρέπεται μόνο υπό σαφείς νομικές προϋποθέσεις και ότι τα υποκείμενα των δεδομένων έχουν εκτεταμένα δικαιώματα. Αυτά τα δικαιώματα προστατεύουν από την κατάχρηση και παρέχουν τη δυνατότητα άσκησης ελέγχου επί των δικών τους δεδομένων.
Δικαιώματα των υποκειμένων των δεδομένων
Κάθε άτομο μπορεί να ζητήσει από την Αρχή Προστασίας Δεδομένων να γίνονται σεβαστά τα θεμελιώδη δικαιώματά του. Ο ΓΚΠΔ προβλέπει ένα σαφές σύνολο δικαιωμάτων για αυτό:
- Δικαίωμα ενημέρωσης: Πριν από κάθε επεξεργασία δεδομένων, τα υποκείμενα των δεδομένων πρέπει να ενημερώνονται σαφώς και πλήρως.
- Δικαίωμα πρόσβασης: Κάθε υποκείμενο δεδομένων μπορεί να μάθει ποια δεδομένα αποθηκεύονται και για ποιο σκοπό.
- Δικαίωμα διόρθωσης και διαγραφής: Τα ανακριβή δεδομένα πρέπει να διορθώνονται, τα μη επιτρεπτά δεδομένα πρέπει να διαγράφονται.
- Δικαίωμα περιορισμού της επεξεργασίας: Υπό ορισμένες προϋποθέσεις, η επεξεργασία μπορεί να συνεχιστεί μόνο με περιορισμένο τρόπο.
- Δικαίωμα εναντίωσης: Μπορεί να υποβληθεί ένσταση ανά πάσα στιγμή κατά ορισμένων επεξεργασιών δεδομένων.
- Δικαίωμα φορητότητας δεδομένων: Τα υποκείμενα των δεδομένων μπορούν να ζητήσουν να μεταφερθούν τα δεδομένα τους σε κοινή μορφή σε αυτά ή σε άλλη εταιρεία.
- Δικαίωμα προστασίας από αυτοματοποιημένες αποφάσεις: Κανείς δεν πρέπει να υφίσταται διακρίσεις αποκλειστικά λόγω αυτοματοποιημένων διαδικασιών.
Αυτά τα δικαιώματα δεν είναι μόνο θεωρητικής φύσης, αλλά μπορούν να επιβληθούν – εάν χρειαστεί, μέσω της διαδικασίας καταγγελίας ενώπιον της Αρχής Προστασίας Δεδομένων.
Υποχρεώσεις των επιχειρήσεων
Οι επιχειρήσεις και οι αρχές είναι υποχρεωμένες να εφαρμόζουν την προστασία δεδομένων όχι μόνο στα χαρτιά, αλλά και στην πράξη. Στις βασικές υποχρεώσεις περιλαμβάνονται:
- Νομική βάση επεξεργασίας: Κάθε επεξεργασία δεδομένων πρέπει να βασίζεται σε νομική βάση, όπως συγκατάθεση ή σύμβαση.
- Υποχρεώσεις διαφάνειας: Τα υποκείμενα των δεδομένων πρέπει να ενημερώνονται σαφώς για το τι συμβαίνει με τα δεδομένα τους.
- Τεχνικά και οργανωτικά μέτρα (ΤΟΜ): Η ασφάλεια πληροφοριακών συστημάτων και οι οργανωτικές διαδικασίες πρέπει να σχεδιάζονται έτσι ώστε τα δεδομένα να προστατεύονται από απώλεια, κατάχρηση ή μη εξουσιοδοτημένη πρόσβαση.
- Αρχεία δραστηριοτήτων επεξεργασίας: Οι επιχειρήσεις πρέπει να τεκμηριώνουν με διαφάνεια ποια δεδομένα επεξεργάζονται.
- Αναφορά παραβιάσεων δεδομένων: Τα περιστατικά ασφαλείας πρέπει να αναφέρονται στην Αρχή Προστασίας Δεδομένων εντός 72 ωρών.
- Διενέργεια εκτιμήσεων αντικτύπου στην προστασία δεδομένων: Σε περιπτώσεις επεξεργασιών υψηλού κινδύνου, πρέπει να πραγματοποιείται λεπτομερής ανάλυση.
Παραβίαση της προστασίας προσωπικών δεδομένων
Σύμφωνα με τον ΓΚΠΔ, παραβιάσεις της προστασίας προσωπικών δεδομένων υφίστανται όταν, λόγω ανεπαρκούς ασφάλειας, συμβαίνει μη εξουσιοδοτημένη τροποποίηση, διαγραφή, αποκάλυψη ή απώλεια δεδομένων. Αυτό μπορεί να συμβεί μέσω:
- Καταστροφή, απώλεια ή τροποποίηση προσωπικών δεδομένων.
- Μη εξουσιοδοτημένη πρόσβαση ή αποκάλυψη – π.χ. μέσω επιθέσεων χάκερ, αποστολής φορέων δεδομένων σε λάθος παραλήπτες ή μη ασφαλούς αποθήκευσης.
- Τυχαία αποκάλυψη δεδομένων – π.χ. μέσω μη ασφαλούς αποθήκευσης ή μετάδοσης.
- Αυτό ισχύει ανεξάρτητα από το αν το περιστατικό συνέβη εσκεμμένα ή ακούσια.
Παραδείγματα που μπορούν να αποτελέσουν τέτοια παραβίαση:
- Απώλεια δεδομένων λόγω μη κρυπτογραφημένων αρχείων ή USB-sticks.
- Επίθεση χάκερ σε βάσεις δεδομένων πελατών.
- Λανθασμένα αποσταλμένα μηνύματα ηλεκτρονικού ταχυδρομείου με προσωπικά δεδομένα.
- Κατά λάθος δημόσια προσβάσιμα προσωπικά έγγραφα.
Αυτά τα γεγονότα μπορούν να οδηγήσουν άμεσα σε κινδύνους, συμπεριλαμβανομένης της κλοπής ταυτότητας, της βλάβης της φήμης ή οικονομικών ζημιών για τα υποκείμενα των δεδομένων.
Διαδικασίες ενώπιον της Αρχής Προστασίας Δεδομένων
Η διαδικασία ενώπιον της Αρχής Προστασίας Δεδομένων είναι τυποποιημένη και μπορεί να έχει διάφορες μορφές:
Διαδικασία υποβολής καταγγελίας
Τα υποκείμενα των δεδομένων μπορούν να υποβάλουν καταγγελία στην Αρχή Προστασίας Δεδομένων εάν θεωρούν ότι κάποιος επεξεργάζεται παράνομα τα προσωπικά τους δεδομένα. Αυτή η διαδικασία είναι συγκριτικά χαμηλού ορίου.
Η διαδικασία:
- Το υποκείμενο των δεδομένων υποβάλλει γραπτή καταγγελία – είτε μέσω εντύπου, ηλεκτρονικού ταχυδρομείου ή ταχυδρομείου.
- Η Αρχή Προστασίας Δεδομένων ελέγχει εάν η καταγγελία είναι τυπικά παραδεκτή.
- Ο καθ’ ου η καταγγελία – συνήθως μια επιχείρηση ή μια αρχή – καλείται να υποβάλει δήλωση.
- Ακολουθεί η διερεύνηση των πραγματικών περιστατικών, ενδεχομένως με συμπληρωματικές ερωτήσεις ή ακροάσεις.
- Στο τέλος εκδίδεται μια απόφαση της Αρχής Προστασίας Δεδομένων, με την οποία είτε απορρίπτει την καταγγελία είτε την κάνει δεκτή και διατάσσει διορθωτικά μέτρα.
Για τα υποκείμενα των δεδομένων, αυτή η διαδικασία είναι η σημαντικότερη δυνατότητα να επιβάλουν τα δικαιώματά τους από τον ΓΚΠΔ.
Αυτεπάγγελτοι έλεγχοι
Η Αρχή Προστασίας Δεδομένων δεν εξαρτάται μόνο από καταγγελίες, αλλά μπορεί επίσης να ενεργεί αυτεπαγγέλτως. Αυτό συμβαίνει ιδίως όταν υπάρχουν ενδείξεις συστηματικών παραβιάσεων ή κενών ασφαλείας.
Ιδιαιτερότητες:
- Η διαδικασία ξεκινά χωρίς αίτηση από υποκείμενο δεδομένων.
- Τα πρόσωπα που υποβάλλουν αναφορά δεν έχουν ιδιότητα διαδίκου και δεν ενημερώνονται για το αποτέλεσμα.
- Η Αρχή Προστασίας Δεδομένων ελέγχει ανεξάρτητα εάν υπάρχουν παραβιάσεις και, εάν χρειαστεί, διατάσσει μέτρα.
Οι αυτεπάγγελτοι έλεγχοι έχουν ισχυρή προληπτική επίδραση, καθώς αυξάνουν την πίεση στις επιχειρήσεις και τις αρχές να διασφαλίζουν την προστασία δεδομένων όχι μόνο αντιδραστικά, αλλά και συνεχώς.
Διοικητικές ποινικές διαδικασίες
Εάν η Αρχή Προστασίας Δεδομένων διαπιστώσει παραβίαση, μπορεί να κινήσει διοικητική ποινική διαδικασία. Στόχος είναι να υποχρεωθούν οι επιχειρήσεις και οι δημόσιοι φορείς να σταματήσουν τις παραβιάσεις και να επιβληθούν αισθητές κυρώσεις.
Πιθανές κυρώσεις είναι:
- Πρόστιμα έως 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου ετήσιου κύκλου εργασιών,
- Εντολές για διακοπή ή προσαρμογή επεξεργασιών δεδομένων,
- Προειδοποιήσεις και όροι.
Το ύψος ενός προστίμου καθορίζεται από τη σοβαρότητα, τη διάρκεια και την εκ προθέσεως φύση της παραβίασης. Επίσης, προηγούμενες παραβιάσεις ή συνεργατική συμπεριφορά στη διαδικασία διαδραματίζουν ρόλο.
Peter HarlanderHarlander & Partner Rechtsanwälte „Wer Verfahren vor der Datenschutzbehörde auf die leichte Schulter nimmt, riskiert nicht nur hohe Geldbußen, sondern auch den Verlust von Vertrauen und Reputation.“
Ένδικα μέσα
Οι αποφάσεις της Αρχής Προστασίας Δεδομένων εκδίδονται με πράξη. Κατά αυτών των πράξεων, τα υποκείμενα των δεδομένων έχουν το δικαίωμα προσφυγής στο Ομοσπονδιακό Διοικητικό Δικαστήριο (BVwG).
- Το BVwG επανεξετάζει την απόφαση από νομική και πραγματική άποψη.
- Κατά της απόφασής του, ενδέχεται να είναι δυνατή, υπό ορισμένες συνθήκες, αναίρεση στο Διοικητικό Δικαστήριο (VwGH) ή προσφυγή στο Συνταγματικό Δικαστήριο (VfGH).
Έτσι διασφαλίζεται ότι οι αποφάσεις της Αρχής Προστασίας Δεδομένων υπόκεινται σε πολυεπίπεδο δικαστικό έλεγχο.
Επιλέξτε την επιθυμητή ημερομηνία ραντεβού:Δωρεάν πρώτη συνάντησηΔιεθνής διάσταση
Η προστασία δεδομένων δεν είναι πλέον εθνικό θέμα. Η Αρχή Προστασίας Δεδομένων συνεργάζεται με άλλες ευρωπαϊκές εποπτικές αρχές και είναι μέλος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ). Συμμετέχει σε διασυνοριακές υποθέσεις, συντονίζει αποφάσεις στο πλαίσιο του μηχανισμού συνεκτικότητας και λαμβάνει θέση σχετικά με τις διεθνείς μεταφορές δεδομένων, π.χ. στις ΗΠΑ.
Ελευθερία της πληροφόρησης
Εκτός από την προστασία δεδομένων, η ελευθερία της πληροφόρησης αποκτά επίσης σημασία. Με τον νέο Νόμο για την Ελευθερία της Πληροφόρησης (IFG), η Αρχή Προστασίας Δεδομένων θα αναλάβει στο μέλλον τον ρόλο σημείου επαφής για θέματα διαφάνειας και πρόσβασης σε επίσημες πληροφορίες.
Αυτές οι υποχρεώσεις δεν είναι προαιρετικές. Η μη τήρησή τους οδηγεί τακτικά σε έρευνες και, σε ακραίες περιπτώσεις, σε σημαντικά πρόστιμα.
Τα πλεονεκτήματά σας με νομική υποστήριξη
Μια διαδικασία ενώπιον της Αρχής Προστασίας Δεδομένων συνδέεται με σημαντικές προκλήσεις τόσο για τα υποκείμενα των δεδομένων όσο και για τις επιχειρήσεις. Τα υποκείμενα των δεδομένων κινδυνεύουν να μην επιβάλουν πλήρως τα δικαιώματά τους χωρίς επαγγελματική υποστήρεξη. Οι επιχειρήσεις, με τη σειρά τους, αντιμετωπίζουν όχι μόνο υψηλά πρόστιμα, αλλά και ζημιές στη φήμη και δαπανηρές προσαρμογές των διαδικασιών τους. Επιπλέον, οι διαδικασίες είναι έντονα τυποποιημένες και περιέχουν σύνθετες νομικές απαιτήσεις, οι οποίες είναι δύσκολο να αντιμετωπιστούν χωρίς εξειδικευμένη υποστήριξη.
Η νομική υποστήριξη από ένα εξειδικευμένο δικηγορικό γραφείο παρέχει ασφάλεια και διασφαλίζει ότι τα συμφέροντά σας εκπροσωπούνται επαγγελματικά από την αρχή. Επωφελείστε από την εμπεριστατωμένη εμπειρία στο δίκαιο προστασίας δεδομένων και την συνεπή εκπροσώπηση έναντι της αρχής.
- ελέγχει εάν το εκάστοτε νομικό θέμα είναι εφαρμόσιμο στην περίπτωσή σας.
- σας συνοδεύει καθ’ όλη τη διάρκεια της διαδικασίας ή της διεκπεραίωσης.
- διασφαλίζει τον νομικά ασφαλή σχεδιασμό και την υλοποίηση όλων των απαραίτητων βημάτων.
- υποστηρίζει στον υπολογισμό, την επιβολή ή την απόκρουση απαιτήσεων.
- διαφυλάσσει τα δικαιώματα και τα συμφέροντά σας έναντι όλων των εμπλεκομένων.
Sebastian RiedlmairHarlander & Partner Rechtsanwälte „Datenschutz wird oft unterschätzt, dabei entscheidet die richtige Strategie im Umgang mit der Datenschutzbehörde über Erfolg oder Misserfolg.“
