Άρθρο 40 Διοικητικές κυρώσεις

1.Με την επιφύλαξη των διορθωτικών εξουσιών της Αρχής σύμφωνα με το άρθρο 58 παράγραφος 2 του ΓΚΠΔ, η Αρχή με ειδικά αιτιολογημένη απόφασή της και ύστερα από προηγούμενη κλήση για παροχή εξηγήσεων των ενδιαφερομένων μπορεί να επιβάλει στους φορείς του δημόσιου τομέα, όπως αυτός οριοθετείται στην περίπτωση α΄ της παραγράφου 1 του άρθρου 14 του ν. 4270/2014 (Α΄143), εξαιρουμένων των δημοσίων επιχειρήσεων και των οργανισμών του Κεφαλαίου Α΄ του ν. 3429/2005 (Α΄314), υπό την ιδιότητα τους ως υπεύθυνων επεξεργασίας δεδομένων προσωπικού χαρακτήρα τις παρακάτω διοικητικές κυρώσεις :
α) για παραβάσεις της περίπτωσης α) της παραγράφου 4 του άρθρου 83 του ΓΚΠΔ, εκτός των άρθρων 8, 27, 29, 42, 43 του ΓΚΠΔ, διοικητικό πρόστιμο έως ένα εκατομμύριο (1.000.000) ευρώ,
β) για παραβάσεις των παραγράφων 5 και 6 του άρθρου 83 του ΓΚΠΔ, εκτός των άρθρων 17, 20, 47, 90 και 91 του ΓΚΠΔ, διοικητικό πρόστιμο έως δύο εκατομμύρια (2.000.000) ευρώ και
γ) για παραβάσεις των άρθρων 5, 6, 7, 22, 24 , 26, 27 (πλην της παραγράφου 7 αυτού), 28 έως και 31, και των άρθρων 32 παράγραφος 1 περίπτωση α΄, 33 έως και 35 του παρόντος, διοικητικό πρόστιμο έως τρία εκατομμύρια (3.000.000) ευρώ.
2. Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και για τον καθορισμό του ύψους αυτού, για κάθε εξατομικευμένη περίπτωση λαμβάνονται υπόψη τα ακόλουθα:
α) η φύση, η βαρύτητα, η διάρκεια της παράβασης, η έκταση ή ο σκοπός της σχετικής επεξεργασίας, καθώς και ο αριθμός των υποκειμένων των δεδομένων προσωπικού χαρακτήρα που έθιξε η παράβαση και το μέγεθος της ζημίας που αυτά υπέστησαν,
β) οποιεσδήποτε ενέργειες στις οποίες προέβη o φορέας του δημόσιου τομέα, για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα,
γ) τυχόν σχετικές προηγούμενες παραβάσεις του φορέα του δημόσιου τομέα ,
δ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που θίγει η παράβαση,
ε) ο τρόπος με τον οποίο η Αρχή πληροφορήθηκε την παράβαση, ειδικότερα αν και κατά πόσο ο φορέας του δημόσιου τομέα κοινοποίησε την παράβαση και
στ) εάν έχουν ήδη διαταχθεί σε βάρος του φορέα του δημόσιου τομέα, για την ίδια παράβαση, τα μέτρα που αναφέρονται στο άρθρο 58 παράγραφος 2 του ΓΚΠΔ, ο βαθμός συμμόρφωσής του με αυτά.
3. Σε περίπτωση που ο φορέας του δημόσιου τομέα για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει περισσότερες διατάξεις του ΓΚΠΔ ή του παρόντος, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.

  • 20 Αυγούστου 2019, 01:27 | Μαίρη Δεληγιάννη
    Το βλέπω Θετικά/Αρνητικά:  

    Κάνοντας χρήση του δικαιώματος που παρέχεται στο άρθρο 83 παρ. 7 του ΓΚΠΔ, σύμφωνα με το οποίο κάθε κράτος μέλος δύναται να καθορίζει τους κανόνες για το εάν και σε ποιο βαθμό διοικητικά πρόστιμα μπορεί να επιβάλλονται σε δημόσιες αρχές ή φορείς που έχουν συσταθεί στο εν λόγω κράτος μέλος, η διάταξη αυτή ορίζει ότι τα διοικητικά πρόστιμα που μπορεί να επιβάλλονται από την ΑΠΔΠΧ σε δημοσίους φορείς για συγκεκριμένες παραβιάσεις του ΓΚΠΔ και του Σχεδίου Νόμου μπορεί να φτάσουν μέχρι το ποσό των 3.000.000 Ευρώ.

    Ωστόσο, τα παραπάνω διοικητικά πρόστιμα που μπορεί να επιβληθούν στους δημόσιους φορείς είναι πολύ χαμηλότερα από αυτά που επιφυλάσσονται από τον ΓΚΠΔ στους ιδιωτικούς φορείς σε περίπτωση παραβίασης του και τα οποία φτάνουν τα 20.000.000 Ευρώ ή το 4% του παγκόσμιου ετήσιου τζίρου ενός ομίλου επιχειρήσεων. Η σημαντική αυτή απόκλιση δεν μπορεί να δικαιολογηθεί, καθώς ότι ο σκοπός του ΓΚΠΔ είναι η προστασία των προσωπικών δεδομένων των φυσικών προσώπων ανεξαρτήτως από το αν η επεξεργασία τους πραγματοποιείται από δημόσιο ή ιδιωτικό φορέα, άρα και οι αντίστοιχες κυρώσεις πρέπει να είναι, αν όχι ακριβώς ίδιες, τουλάχιστον «κοντινές». Δεν πρέπει, άλλωστε, να ξεχνάμε ότι υπό το προισχύσαν καθεστώς η ΑΠΔΠΧ είχε επιβάλλει το μεγαλύτερο πρόστιμό της σε δημόσιο φορέα.

    Τέλος, αξίζει να σημειωθεί ότι ο δημόσιος τομέας λόγω και της κυριαρχικής του θέσης, οφείλει να δίνει το καλό παράδειγμα όσον αφορά την συμμόρφωσή του με τον ΓΚΠΔ, ενώ, βάσει των δραστηριοτήτων του και των αυξημένων βάσεων επεξεργασίας που προβλέπονται από το Σχέδιο Νόμου, εκτελεί πληθώρα πράξεων επεξεργασίας προσωπικών δεδομένων των πολιτών που είναι της πλέον ευρείας κλίμακας, είναι συστηματικές και ενέχουν υψηλό κίνδυνο, οπότε η πρόβλεψη υψηλότερων προστίμων στον δημόσιο τομέα θα συντελούσε στην ορθή εφαρμογή του ΓΚΠΔ από τους δημόσιους φορείς και εν τέλει στην σύννομη επεξεργασία των προσωπικών δεδομένων από το σύνολο των υπευθύνων επεξεργασίας.

    Ως εκ τούτου, προτείνω να απαλειφθεί στο σύνολό της η διάταξη 40 του Σχεδίου Νόμου ή τουλάχιστον να αυξηθούν τα διοικητικά πρόστιμα που προβλέπονται σε αυτή.

  • 19 Αυγούστου 2019, 18:54 | Homo Digitalis
    Το βλέπω Θετικά/Αρνητικά:  

    Ως προς τη διαφοροποίηση των προστίμων για τον δημόσιο τομέα που προτείνονται στο άρθρο 40, ο Κανονισμός δίνει πράγματι αυτήν την ευχέρεια (άρθρο 83 παρ. 7), καθώς υπάρχουν κράτη μέλη, στα οποία εκ του Συντάγματός τους δεν επιτρέπεται η επιβολή προστίμων και εν γένει κυρώσεων στις δημόσιες αρχές. Ωστόσο, δεν τεκμηριώνεται επαρκώς η διαφοροποίηση αυτή ως προς την επιβολή διοικητικών προστίμων σε δημόσιους φορείς και σε ιδιώτες, όταν μάλιστα η διαφοροποίηση δεν αναφέρεται σε δημόσιες αρχές, αλλά στον ευρύτατο κύκλο του δημοσίου τομέα, όπως ορίζεται στο προτεινόμενο σχέδιο νόμου.
    Πρέπει να σημειωθεί ότι ο Ν. 2472/97 δεν περιλάμβανε τέτοια διάκριση και το ΣτΕ έκρινε πρόσφατα συνταγματική την επιβολή προστίμου από την ΑΠΔΠΧ στην Γενική Γραμματεία Πληροφοριακών Συστημάτων. Εξάλλου, η ΑΠΔΠΧ διαθέτει τα κριτήρια του άρθρου 83 για να προσδιορίσει το ύψος του διοικητικού προστίμου.

  • Το βλέπω Θετικά/Αρνητικά:  

    Εξαιρετικά προβληματική η πρόβλεψη για διοικητικές κυρώσεις που διαφοροποιούνται για το Δημόσιο και μάλιστα εκτείνονται για και για τις εταιρείες του δημοσίου, δημιουργώντας ένα περιβάλλον ανοχής που κάθε άλλο παρά εξυπηρετεί τους σκοπούς του ΓΚΠΔ. Εξάλλου με δεδομένο ότι πολλοί φορείς του ιδιωτικού τομέα συνεργάζονται με το Δημόσιο και λειτουργούν ως εκτελούντες την επεξεργασία για λογαριασμό του, οδηγούμαστε στο πρακτικά ατελέσφορο να κινδυνεύει ο ιδιώτης εκτελών με μεγαλύτερο πρόστιμο από ότι το Δημόσιο ως υπεύθυνος επεξεργασίας.

    Ελληνική Ένωση Προστασίας Προσωπικών Δεδομένων και Ιδιωτικότητας (HADPP)

  • 19 Αυγούστου 2019, 16:35 | Χαράλαμπος Δρανδάκης
    Το βλέπω Θετικά/Αρνητικά:  

    Συμφωνόντας με 16 Αυγούστου 2019, 21:11 | Γιώργος Ρουσόπουλος , τίθεται θέμα σύμφωνα με τον ορισμό δημόσιου φορέα στο παρόν σχέδιο νόμου, καθότι σε μία ιδιωτική επιχείρηση μπορεί κατά ΓΚΠΔ να επιβληθεί πρόστιμο έως και 4% τζίρου (σε κάποιες περιπτώσεις), ενώ σε ιδιωτική επιχείρηση που απλά τυγχάνει ο κύριος μέτοχος να είναι το δημόσιο, να ισχύει πιο ελαφρυντική διάταξη;

  • 16 Αυγούστου 2019, 21:11 | Γιώργος Ρουσόπουλος
    Το βλέπω Θετικά/Αρνητικά:  

    Η εξαίρεση του συνόλου του δημοσίου από το ύψος των προστίμων του ΓΚΠΔ δεν είναι λογική, ειδικά στην Ελλάδα. Αν κάπου έχει νόημα η εξαίρεση -που θεωρώ ότι κατ΄αρχήν δεν έχει- είναι μόνο για το στενό δημόσιο τομέα. Εκεί το ύψος του προστίμου έχει νόημα ως μέτρο της ηθικής απαξίας της πράξης (το έχει πει το ΣτΕ σε απόφαση που κατακύρωσε πρόστιμο της ΑΠΔΠΧ στο Υπ. Δικαιοσύνης προ 10ετίας).
    Φορείς όμως με δικό τους προϋπολογισμό (ΟΤΑ, ΝΠΔΔ, ΝΠΙΔ) γιατί θα πρέπει να εξαιρούνται; Πως θα είναι αναλογικό – αποτελεσματικό – αποτρεπτικό ένα πρόστιμο;