Άρθρο 25 Επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από ιδιωτικούς φορείς

1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί επιτρέπεται, εφόσον είναι απαραίτητη:
α) για την αποτροπή απειλών κατά της εθνικής ασφάλειας ή της δημόσιας ασφάλειας ή για τη δίωξη ποινικών αδικημάτων•
ή
β) για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων, εκτός και εάν υπερτερεί το συμφέρον του υποκειμένου των δεδομένων να μην τύχουν επεξεργασίας τα δεδομένα αυτά.
2. Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως αυτά αναφέρονται στο άρθρο 9 παράγραφος 1 του ΓΚΠΔ, για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί επιτρέπεται, εφόσον πληρούνται οι προϋποθέσεις της προηγούμενης παραγράφου και εφαρμόζεται μία από τις προβλεπόμενες στο άρθρο 9 παράγραφος 2 του ΓΚΠΔ εξαιρέσεις ή το άρθρο 22 του παρόντος.

  • 20 Αυγούστου 2019, 17:40 | ΕΛΕΝΑ ΣΠΥΡΟΠΟΥΛΟΥ
    Το βλέπω Θετικά/Αρνητικά:  

    Αυτό το άρθρο είναι από περιττό έως επικίνδυνο για τους λόγους που ανέφεραν οι εδώ σχολιάζοντες. Επισημαίνω μόνο ότι η σχετική εξαίρεση που υπάρχει στον Κανονισμό (αυτή του α.6παρ.4) θέτει αρκετά καλά τα όρια και δεν έχρηζε αλλαγών.

  • 20 Αυγούστου 2019, 00:07 | Δρ. Διονύσιος Μουζάκης
    Το βλέπω Θετικά/Αρνητικά:  

    Με βάσει το άρθρο αυτο ενας κρατικός φορέας που συλλέγει προςωπικα και ευαίσθητα προςωπικα δεδομένα μπορει να δινει δεδομένα προς επεξεργασία σε εναν ιδιωτικό οργανισμό πχ ιδιωτική εταιρία ανάλυσης προφιλ και προτιμήσεων/συμπεριφοράς των πολιτών (big data analytics) ακομα και του εξωτερικού, με το πρόσχημα της ασφάλειας και της πρόληψης, τα οποία μπορουν να χρησιμοποιηθούν απο ενα κόμματικο μηχανιςμο στη συμπολίτευση, πχ για να επιρεασει ενα εκλογικό αποτελεςμα με τη χρηςη στοχευμένων μηνυμάτων, η οπως εχει γινει στο πρόσφατο παρελθόν, για την διενέργεια προληπτικών συλλήψεων πολιτών που το προφιλ τους δειχνει οτι εχουν αντίθετες αποψεις και εχουν την ταςη να τις προβάλουν με ακτιβιστικό τροπο.

  • 19 Αυγούστου 2019, 18:06 | Homo Digitalis
    Το βλέπω Θετικά/Αρνητικά:  

    Ερμηνευτικά ζητήματα μπορεί να τεθούν και από την προτεινόμενη ρύθμιση του άρθρου 25 (Επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από ιδιωτικούς φορείς).

    Πέραν της γενικής ένστασης για την αντικατάσταση της έννοιας του υπευθύνου επεξεργασίας από την έννοια του «ιδιωτικού φορέα» πρέπει να επισημανθεί ότι η εισαγωγή της «δίωξης ποινικών αδικημάτων» (αλλά και της εθνικής ασφάλειας) ως βάσης επεξεργασίας για διαφορετικούς σκοπούς, χωρίς περαιτέρω εγγυήσεις είναι ιδιαίτερα γενική και ενέχει κινδύνους για τα δικαιώματα του υποκειμένου.

    Περαιτέρω πρέπει να επισημάνουμε ότι η θεμελίωση, άσκηση και υποστήριξη νομικών αξιώσεων είναι αυτοτελής βάση επεξεργασίας ως προς τα ευαίσθητα δεδομένα και μάλιστα ρητά ενώ στην περίπτωση των μη ευαίσθητων η επίκληση υπέρτερου έννομου συμφέροντος του υπευθύνου επεξεργασίας ή τρίτου προσώπου μπορεί να οδηγήσει σε αντίστοιχα αποτελέσματα.

    Προτείνεται η διαγραφή του.

  • Το βλέπω Θετικά/Αρνητικά:  

    Ως ιδιωτικοί φορείς προφανώς εννοούνται οι ιδιώτες υπεύθυνοι επεξεργασίας, οπότε τίθεται καταρχήν το ερώτημα γιατί υπάρχει αυτός ο δυισμός σε ορισμούς που ταυτίζονται. Περαιτέρω ο νόμος δύναται να επιβάλλει όντως μία επεξεργασία σε ιδιώτες με επαρκή νόμιμη βάση την συμμόρφωση με αυτόν. Όμως σε καμία περίπτωση δεν δύνανται οι ιδιωτικοί φορείς να κρίνουν αν συντρέχουν λόγοι εθνικής ή δημόσιας ασφάλειας για μία τέτοια επεξεργασία και μάλιστα εκτεινόμενη και σε ειδικής κατηγορίας δεδομένα.

    Ελληνική Ένωση Προστασίας Προσωπικών Δεδομένων και Ιδιωτικότητας (HADPP)

  • 19 Αυγούστου 2019, 15:52 | Δρ Λεωνίδας Κανέλλος
    Το βλέπω Θετικά/Αρνητικά:  

    Η διάταξη της παρ. 1 είναι αντισυνταγματική και πρέπει να απαλειφθεί αφού η αποτροπή απειλών κατά της εθνικής ή της δημόσιας ασφάλειας ή για τη δίωξη ποινικών αδικημάτων, προδήλως δεν αποτελεί αρμοδιότητα ιδιωτικών φορέων.

    Αν παραμείνει η διάταξη τότε, βάσει αυτής, μια ιδιωτική εταιρία διαχείρισης ενός κοινωνικού δικτύου ή ένας πάροχος μέσω cloud υπηρεσιών διαδικτυακού ταχυδρομείου, όπου ο χρήστης δημιουργεί προφίλ ή διεύθυνση email για σκοπούε επικοινωνίας, θα μπορούσε να επεξεργαστεί τα δεδομένα των Ελλήνων χρηστών για σκοπούς δημιουργίας προφίλ υπόπτων τέλεσης ποινικών αδικημάτων, ενδεχομένως κατ’ εντολή αλλοδαπής διωκτικής αρχής.

    Προσοχή….

  • 19 Αυγούστου 2019, 00:11 | ΒΑΡΒΑΡΑ ΠΕΤΡΟΥ
    Το βλέπω Θετικά/Αρνητικά:  

    Στο υπό στοιχ. α της παραγράφου 1 αναγράφεται «…για τη δίωξη ποινικών αδικημάτων» και αναρωτιέμαι: ο ιδιωτικός φορέας θα διώξει? Προφανώς εννοεί ότι ο ιδιωτικός φορέας θα αναφερθεί στις αρμόδιες αρχές προκειμένου να διώξουν αυτές, δεν είναι όμως σωστή η διατύπωση. Η διάταξη του άρθρου αφήνει γενικά περιθώρια για καταχρήσεις, χρειάζεται προσοχή.

  • 16 Αυγούστου 2019, 20:17 | Γιώργος Ρουσόπουλος
    Το βλέπω Θετικά/Αρνητικά:  

    Δεν υπάρχει εξουσιοδότηση από το ΓΚΠΔ για τέτοια παρέκκλιση.

    Επίσης, ιδιωτικοί φορείς δεν μπορούν να επιδιώκουν σκοπούς του κράτους, όπως η εθνική ασφάλεια και η δημόσια ασφάλεια. Πολύ επικίνδυνη αναφορά.

  • 16 Αυγούστου 2019, 20:02 | Νίκος Καλαμίτσης
    Το βλέπω Θετικά/Αρνητικά:  

    Παρ. 1η:
    1. Αν ως διαφορετικός σκοπός νοείται κάθε σκοπός πέραν εκείνου για τον οποίον συνελέγησαν τα δεδομένα, ακόμη και αν είναι συμβατός με αυτόν, τότε η παρ. 1 φαίνεται πως απαγορεύει κάτι που ο ΓΚΠΔ (βλ. άρθρο 5 και 6 παρ. 4) επιτρέπει υπό προϋποθέσεις. Αν δεν είναι αυτός ο σκοπός της διάταξης, απαιτείται βελτίωση της διατύπωσης, αν όχι απαλοιφή (οι διατάξεις του ΓΚΠΔ αρκούν).
    2. Σε ποιες περιπτώσεις ιδιωτικοί φορείς θα επεξεργασθούν προσωπικά δεδομένα που έχουν συλλέξει για διαφορετικό σκοπό, επειδή αυτό θα είναι απαραίτητο για σκοπούς εθνικής ή δημόσιας ασφάλειας; Αποσκοπεί η διάταξη στη νομιμοποίηση διαβιβάσεων δεδομένων από ιδιωτικούς φορείς στους διωκτικούς μηχανισμούς;

    Παρ. 2η:
    1. Προκύπτει η συμπληρωματική εφαρμογή ΓΚΠΔ και εθνικού νόμου, ζήτημα ως προς το οποίο το άρθρο 2 – ως επισημαίνεται στα σχόλια – προκαλεί σύγχυση.
    2. Παρατηρείται το εξής: για τη νόμιμη επεξεργασία για σκοπό διαφορετικό θα πρέπει να συντρέχει τόσο μία από τις νομικές βάσεις του άρθρου 9παρ.2 ΓΚΠΔ, όσο και μία από τις δύο του25παρ.1 του ελληνικού νόμου. Όμως:
    – η 25παρ.1β) του ελληνικού νόμου ταυτίζεται με την 9παρ.2στ) του ΓΚΠΔ.
    – η 25παρ.1α) δύσκολα θα συμβαδίζει με κάποια από τις βάσεις της 9παρ.2 ΓΚΠΔ, ενώ στην ουσία ματαιώνεται η όποια σκοπιμότητά της (αφού κρίθηκε αναγκαία η πρόβλεψη, είναι παράδοξο να απαγορεύεται περαιτέρω επεξεργασία, όταν είναι απαραίτηση για λόγους εθνικής ασφάλειας, επειδή δεν θα συντρέχει και κάποια από τις περιπτώσεις της 9παρ.2)
    – όπως σχολιάζεται και στο άρθρο 22 του νομοσχεδίου, δημιουργείται η εντύπωση πως ο έλληνας νομοθέτης περιορίζει τις περιπτώσεις επιτρεπτής επεξεργασίας προσωπικών δεδομένων ειδικών κατηγοριών. Κάτι τέτοιο θα προκαλέσει πρόβλημα σε πλείστες δραστηριότητες, ενώ θα θέσει προσκόματα στην ελεύθερη κυκλοφορία προσωπικών δεδομένων, που αποτελεί έναν από τους σκοπούς του ΓΚΠΔ (ιδίως όταν το ελληνικό δίκαιο θα απαγορεύει την επεξεργασία που άλλα κράτη μέλη επιτρέπουν).

  • 14 Αυγούστου 2019, 12:22 | Γιώργος Δελαπόρτας
    Το βλέπω Θετικά/Αρνητικά:  

    Καλησπέρα σας.

    Θα πρέπει ο νόμος να εμπεριέχει και κάποια παράγραφο σχετική με την άντληση και επεξεργασία ανώνυμων βιομετρικών δεδομένων μέσα από CCTV κάμερες για στατιστική ανάλυση και χρήση από ιδιωτικές εταιρίες, όπου αυτό κρίνεται απαραίτητο με γνώμονα τους λόγους μαρκετινγκ, γενικευμένης διαφήμισης και προστασίας ή πρόβλεψης κινδύνου ή αποφυγής ζημίας.

    Το παρακάτω σενάριο / μοντέλο θα ήταν κατά την αποψή μου το ιδεατό προτεινόμενο για αξιοποίηση σαν βάση για την υλοποίηση των παραπάνω.

    ΣΕΝΑΡΙΟ ΧΡΗΣΗΣ ΣΥΝΑΦΕΣ ΜΕ ΤΟ GDPR:
    1. Τα ανώνυμα βιομετρικά δεδομένα ΔΕΝ συνδέονται με φωτογραφία ή βίντεο.
    2. Η καταγραφή των ανώνυμων βιομετρικών ΔΕΝ συνδέεται με όνομα, επώνυμο ή άλλη προσωπική πληροφορία.
    3. ΔΕΝ υπάρχει ανθρώπινη παρέμβαση (αυτόματη διαδικασία).

    Ευχαριστώ!

    Με εκτίμηση,
    Γιώργος Δελαπόρτας
    Businessman
    Enterprise Architect & IT Strategy Expert
    Certified Security Researcher