Τι προβλέπεται για τα προσωπικά δεδομένα και το Μητρώο Ονομάτων Χώρου – Ποιες οι υποχρεώσεις των καταχωρητών
Με απόφασή της ενόψει της εφαρμογής του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ) προχώρησε στην έκδοση απόφασης για τροποποίηση του Κανονισμού Διαχείρισης και Εκχώρησης Ονομάτων Χώρου (Domain Names) με κατάληξη .gr ή .ελ, ο οποίος δημοσιεύθηκε πριν λίγους μήνες.
Με την απόφαση, η οποία αναμένεται να δημοσιευθεί στην Εφημερίδα της Κυβερνήσεως, ορίζονται τα εξής:
1. Στο τέλος του άρθρου 2 «Ορισμοί» προστίθενται οι κάτωθι παράγραφοι:
«Δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
«Επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
«Περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον,
«Σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση,
«Υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,
«Εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,
«Αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,
«Τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα,
«Συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,
«Παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ` άλλο τρόπο σε επεξεργασία,
«Κύρια εγκατάσταση»: α) όταν πρόκειται για υπεύθυνο επεξεργασίας με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση, εκτός εάν οι αποφάσεις όσον αφορά τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα λαμβάνονται σε άλλη εγκατάσταση του υπευθύνου επεξεργασίας στην Ένωση και η εγκατάσταση αυτή έχει την εξουσία εφαρμογής των αποφάσεων αυτών, οπότε ως κύρια εγκατάσταση θεωρείται η εγκατάσταση στην οποία έλαβε τις αποφάσεις αυτές, β) όταν πρόκειται για εκτελούντα την επεξεργασία με εγκαταστάσεις σε περισσότερα του ενός κράτη μέλη, ο τόπος της κεντρικής του διοίκησης στην Ένωση ή, εάν ο εκτελών την επεξεργασία δεν έχει κεντρική διοίκηση στην Ένωση, η εγκατάσταση του εκτελούντος την επεξεργασία στην Ένωση στην οποία εκτελούνται οι κύριες δραστηριότητες επεξεργασίας στο πλαίσιο των δραστηριοτήτων εγκατάστασης του εκτελούντος την επεξεργασία,
«Εκπρόσωπος»: φυσικό ή νομικό πρόσωπο εγκατεστημένο στην Ένωση, το οποίο ορίζεται εγγράφως από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία βάσει του άρθρου και εκπροσωπεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ως προς τις αντίστοιχες υποχρεώσεις τους δυνάμει του παρόντος κανονισμού,
«Διασυνοριακή επεξεργασία»: α) η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται στο πλαίσιο των δραστηριοτήτων διάφορων εγκαταστάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση όπου ο υπεύθυνος επεξεργασίας ή ο εκτελών επεξεργασία είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη ή β) η επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία γίνεται στο πλαίσιο των δραστηριοτήτων μίας μόνης εγκατάστασης υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση αλλά που επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη.
2. Στο τέλος του άρθρου 17 «Υποχρεώσεις Καταχωρητών», μετά την παράγραφο 36 προστίθενται τα κάτωθι:
37.Στο μέτρο που οι Καταχωρητές λειτουργούν ως εκτελούντες την επεξεργασία βάσει του παρόντος Κανονισμού εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του ΓΚΠΔ και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.
38.Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από τον παρόντα Κανονισμό, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας, ιδίως ως προς τις διατάξεις του, όπου καθορίζεται το αντικείμενο και η διάρκεια της επεξεργασίας, η φύση και ο σκοπός της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων.
39.Ο εκτελών την επεξεργασία: α) επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, β) διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας, γ) λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32 του ΓΚΠΔ, δ) λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο κεφάλαιο III του ΓΚΠΔ δικαιωμάτων του υποκειμένου των δεδομένων, στ) συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36 του ΓΚΠΔ, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία, ζ) θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο άρθρο 28 του ΓΚΠΔ και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας. Ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον ΓΚΠΔ ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.
40.Με την επιφύλαξη των άρθρων 82, 83 και 84 του ΓΚΠΔ, εάν ο εκτελών την επεξεργασία καθορίσει κατά παράβαση του παρόντος Κανονισμού και του ΓΚΠΔ τους σκοπούς και τα μέσα της επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία.
41.Εφόσον ο Καταχωρητής ως εκτελών την επεξεργασία είναι μη εγκατεστημένος στην ΕΕ ή εντός του Ευρωπαϊκού Οικονομικού Χώρου ορίζει γραπτώς εκπρόσωπο στην Ελλάδα στην περίπτωση που οι δραστηριότητες επεξεργασίας σχετίζονται με την προσφορά υπηρεσιών στα υποκείμενα προσωπικών δεδομένων στην Ένωση.
3. To άρθρο 21 «Προστασία Δεδομένων», αντικαθίσταται ως εξής:
1. Τα δεδομένα προσωπικού χαρακτήρα των φυσικών προσώπων Φορέων Ονομάτων Χώρου συλλέγονται και υποβάλλονται σε επεξεργασία αποκλειστικά για τους σκοπούς της εκπλήρωσης των υποχρεώσεων των καταχωρητών. Οι Καταχωρητές συγκεντρώνουν δεδομένα προσωπικού χαρακτήρα των προσώπων που υποβάλλουν δηλώσεις καταχώρησης Ονομάτων Χώρου με κατάληξη .gr ή .ελ ή δηλώσεις άλλων πράξεων επί Ονόματος Χώρου με κατάληξη .gr ή .ελ μόνο στο βαθμό που αυτά είναι απαραίτητα για την επεξεργασία των Δηλώσεων αυτών. Η συλλογή ή επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς απαγορεύεται, χωρίς τη συγκατάθεση του ενδιαφερόμενου προσώπου, σύμφωνα με την κείμενη νομοθεσία.
2. Tα δεδομένα προσωπικού χαρακτήρα των φυσικών προσώπων Φορέων Ονομάτων Χώρου δεν δημοσιοποιούνται ούτε κοινοποιούνται σε τρίτους. Kατ’ εξαίρεση από τα παραπάνω, η EETT σε κάθε περίπτωση γνωστοποιεί τα στοιχεία του Φορέα Ονόματος Χώρου με κατάληξη .gr ή .ελ εφόσον απαιτείται από τον νόμο για σκοπούς που αφορούν την πρόληψη, διερεύνηση, ανίχνευση ή δίωξη ποινικών αδικημάτων ύστερα από αίτηση των αρμοδίων αρχών.
3. Τα προσωπικά δεδομένα των νομικών προσώπων Φορέων Ονομάτων Χώρου κοινοποιούνται, από την ΕΕΤΤ, σε τρίτους κατόπιν αιτήματός τους.
4. Κατόπιν εκδόσεως σχετικής αποφάσεως της ΕΕΤΤ, δύναται να επιτραπεί στους Καταχωρητές να γνωστοποιούν σε τρίτους στοιχεία καταχώρησης φορέων Ονομάτων Χώρου με κατάληξη .gr ή .ελ που είναι νομικά πρόσωπα
5. Κατόπιν εκδόσεως σχετικής αποφάσεως της ΕΕΤΤ είναι δυνατόν να επιτραπεί στους Καταχωρητές να κοινοποιούν σε τρίτους προσωπικά δεδομένα των φυσικών προσώπων Φορέων Ονομάτων Χώρου με κατάληξη .gr ή .ελ που ανήκουν στην διαχείρισή τους και που έχουν δώσει ρητή συγκατάθεση για την δημοσιοποίησή τους, εφόσον τους υποβληθεί σχετική αίτηση.
6. Οι Καταχωρητές κοινοποιούν προσωπικά δεδομένα των νομικών και φυσικών προσώπων Φορέων Ονομάτων Χώρου με κατάληξη .gr ή .ελ που ανήκουν στην διαχείριση τους, κατόπιν αιτήματος αρμόδιας δημόσιας ελεγκτικής αρχής.
7. Τα δεδομένα προσωπικού χαρακτήρα, καταχωρούνται και τηρούνται στο Μητρώο Ονομάτων Χώρου για τους σκοπούς της επεξεργασίας στο πλαίσιο του παρόντος Κανονισμού. Τα δεδομένα αυτά τηρούνται για την θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων και για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον και δεν διαγράφονται.