Άρθρο 03 Εδαφικό πεδίο εφαρμογής

1. Οι διατάξεις του παρόντος εφαρμόζονται στους δημόσιους φορείς. Στους ιδιωτικούς φορείς εφαρμόζονται, εφόσον:
α) ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εντός της Ελληνικής Επικράτειας,
β) τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία εντός της Ελληνικής Επικράτειας, ή εφόσον
γ) μολονότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεν έχει εγκατάσταση σε κράτος μέλος της Ευρωπαϊκής Ένωσης ή σε άλλο συμβαλλόμενο κράτος του Ευρωπαϊκού Οικονομικού Χώρου, εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ.
2. Τα συμβαλλόμενα κράτη του Ευρωπαϊκού Οικονομικού Χώρου και της Ελβετίας τελούν σε ισοδύναμο καθεστώς με τα κράτη μέλη της Ευρωπαϊκής Ένωσης όσον αφορά την επεξεργασία για σκοπούς σύμφωνα με το άρθρο 2 του ΓΚΠΔ . Άλλα κράτη θεωρούνται τρίτες χώρες.
3. Τα συνδεδεμένα με το κεκτημένο της Σύμβασης Εφαρμογής της Συμφωνίας Σένγκεν (ν. 2514/1997, Α΄140) κράτη, όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα διενεργείται για τους σκοπούς του άρθρου 1 παράγραφος 1 της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου , τελούν σε ισοδύναμο καθεστώς με τα κράτη μέλη της Ευρωπαϊκής Ένωσης. Άλλα κράτη θεωρούνται τρίτες χώρες.

  • 20 Αυγούστου 2019, 14:06 | ΕΛΕΝΑ ΣΠΥΡΟΠΟΥΛΟΥ
    Το βλέπω Θετικά/Αρνητικά:  

    – Οι παράγραφοι 2 και 3 είναι απολύτως περιττές. Πρέπει να καταργηθούν.
    – Η διατύπωση του Κανονισμού ήταν και πάλι ακριβέστερη και έχρηζε ελάχιστης προσαρμογής.

    Προτεινόμενη διατύπωση:

    1. Οι διατάξεις του παρόντος εφαρμόζονται στους δημόσιους φορείς. Στους ιδιωτικούς φορείς εφαρμόζονται, εφόσον:
    α) ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εδρεύει στην Ελλάδα, ανεξάρτητα από το κατά πόσο η επεξεργασία των δεδομένων πραγματοποιείται εντός της χώρας.
    β) ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εντός της Ελληνικής Επικράτειας, ανεξάρτητα από το αν εδρεύει σε αυτήν.
    γ) η επεξεργασία αφορά προσωπικά δεδομένα υποκειμένων των δεδομένων που βρίσκονται στην Ελλάδα από υπεύθυνο επξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην ΕΕ εάν οι δραστηριότητες επεξεργασίας σχετίζονται αα) με την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ελλάδα, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή ββ)
    την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ελλάδας.

  • 20 Αυγούστου 2019, 06:18 | Λ. Μήτρου
    Το βλέπω Θετικά/Αρνητικά:  

    Θα πρέπει να επισημάνουμε αρχικά τα ερμηνευτικά προβλήματα που τίθενται με τη ρύθμιση της πρώτης παραγράφου ( βλ. κυρίως 1γ) αναφορικά με την οριοθέτηση ως προς το πεδίο εφαρμογής του Κανονισμού. Περαιτέρω οι ρυθμίσεις των παραγράφων 2 και 3 δεν απαιτούνται . Είναι σαφές από τις ρυθμίσεις του ενωσιακού δικαίου ποιες είναι οι «τρίτες χώρες» και πως πρέπει να αντιμετωπίζονται σε σχέση με την επεξεργασία/προστασία προσωπικών δεδομένων. Επίσης είναι ρύθμιση που αν αναπτύσσει κάποια ιδιαίτερη κανονιστική σημασία, αυτή σχετίζεται με τη διασυνοριακή ροή (διαβίβαση δεδομένων σε τρίτες χώρες). Εντασσόμενη στο εδαφικό πεδίο εφαρμογής δημιουργεί σύγχυση ιδίως σε σχέση με τα οριζόμενα στα άρθρα 44-49 του Κανονισμού

  • 20 Αυγούστου 2019, 01:05 | Μαίρη Δεληγιάννη
    Το βλέπω Θετικά/Αρνητικά:  

    Σύμφωνα με το άρθρο 3 του ΓΚΠΔ, ο τελευταίος εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο δραστηριοτήτων μίας εγκατάστασης ενός υπευθύνου επεξεργασίας ή/και εκτελούντος την επεξεργασία στην Ένωση (ανεξαρτήτως από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης) ή στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή/και εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται αποκλειστικά με: (α) την προσφορά αγαθών και υπηρεσιών σε υποκείμενα δεδομένων στην Ένωση, ή (β) την παρακολούθηση της συμπεριφοράς τους στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.

    Η παραπάνω διάταξη έχει ερμηνευθεί από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων («ΕΣΠΔ») στις Κατευθυντήριες Γραμμές 3/2018 του ΕΣΠΔ σχετικά με την εδαφική εφαρμογή του ΓΚΠΔ. Ειδικότερα, στα πλαίσια της ανάλυσής του «κριτηρίου εγκατάστασης» το ΕΣΠΔ έκρινε ότι «Η τοποθεσία της επεξεργασίας είναι επομένως αδιάφορη στον καθορισμό του κατά πόσον η επεξεργασία, που πραγματοποιείται στα πλαίσια των δραστηριοτήτων μίας εγκατάστασης εντός της ΕΕ, εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ.» και συνέχισε αναφέροντας χαρακτηριστικά ότι «…..Παρά ταύτα, η γεωγραφική τοποθεσία δεν είναι σημαντική για τους σκοπούς του Άρθρου 3 παρ. 1 σε σχέση με την τοποθεσία που διενεργείται η επεξεργασία, ή σε σχέση με την εγκατάσταση των υποκειμένων επεξεργασίας που αυτή αφορά.»

    Ενόψει των ανωτέρω το Σχέδιο Νόμου φαίνεται να αποκλίνει από την σχετική διάταξη του ΓΚΠΔ και να διευρύνει αδικαιολόγητα το εδαφικό πεδίο εφαρμογής του Σχεδίου Νόμου εισάγοντας ένα νέο κριτήριο εφαρμογής του. Συγκεκριμένα, η διάταξη του Σχεδίου Νόμου διευρύνει το πεδίο εφαρμογής του σε όλες αδιακρίτως τις δραστηριότητες επεξεργασίας που λαμβάνουν χώρα στην Ελλάδα (συμπεριλαμβανομένης της συλλογής δεδομένων με ηλεκτρονικά μέσα), χωρίς να τηρεί τις συγκεκριμένες προϋποθέσεις-κριτήρια που προβλέπει το άρθρο 3 του Κανονισμού.

    Παρόλο που ο ΓΚΠΔ υπερισχύει του Σχεδίου Νόμου, ως ενωσιακή νομοθεσία, η παρούσα διατύπωση ενέχει τον κίνδυνο πρόκλησης σύγχυσης και παρανοήσεων στο κομβικό ζήτημα του πεδίου εφαρμογής του ελληνικού νόμου. Για τον λόγο αυτό, προτείνω να απαλειφθεί η σχετική διάταξη εις ό,τι αφορά τον ΓΚΠΔ.

  • 19 Αυγούστου 2019, 16:48 | Homo Digitalis
    Το βλέπω Θετικά/Αρνητικά:  

    Όπως επισημάνθηκε ήδη η αναφορά σε «ιδιωτικούς φορείς» και η χρήση αυτού του όρου αντί των όρων «υπεύθυνος/ εκτελών επεξεργασία(ς) θα δημιουργήσει προβλήματα ως προς την εφαρμογή. Ως προς τον ορισμό του δημόσιου φορέα σημειώνεται ότι στην ελληνική έννομη τάξη υπάρχουν πολλοί ορισμοί δημόσιου φορέα, τομέα κλπ. Για λόγους καλής νομοθέτησης δεν είναι σκόπιμο να γίνεται παραπομπή σε έναν άλλο νόμο.
    Προτείνεται ο ακόλουθος ορισμός: «δημόσιος φορέας»: οι κρατικές ή δημόσιες αρχές, κεντρικές και περιφερειακές, αυτοτελείς δημόσιες υπηρεσίες, νομικά πρόσωπα δημοσίου δικαίου, ανεξάρτητες και ρυθμιστικές διοικητικές αρχές, οι κρατικές ή δημόσιες επιχειρήσεις και οργανισμοί, τα νομικά πρόσωπα ιδιωτικού δικαίου που ανήκουν στο κράτος ή επιχορηγούνται από κατά 50% τουλάχιστον του ετήσιου προϋπολογισμού τους ή η διοίκησή τους ορίζεται από αυτό, οι οργανισμοί τοπικής αυτοδιοίκησης πρώτου και δευτέρου βαθμού και τα νομικά πρόσωπα και επιχειρήσεις αυτών.

  • Το βλέπω Θετικά/Αρνητικά:  

    Λαμβάνοντας υπόψη την αρχή της συνεκτικότητας και την ευχέρεια επιλογής επικεφαλής Εποπτεύουσας Αρχής για οργανισμούς που δραστηριοποιούνται σε πολλές χώρες της Ε.Ε. το παρόν άρθρο δύναται να προκαλέσει σύγχυση για ζητήματα που ήδη ξεκαθαρίζει ο ΓΚΠΔ.

    Ελληνική Ένωση Προστασίας Προσωπικών Δεδομένων και Ιδιωτικότητας (HADPP)

  • 16 Αυγούστου 2019, 20:52 | Γιώργος Ρουσόπουλος
    Το βλέπω Θετικά/Αρνητικά:  

    Άρθρο 3 παρ. 1
    Απαιτείται τροποποίηση: Οι διατάξεις του παρόντος εφαρμόζονται στους δημόσιους φορείς και τους ιδιωτικούς φορείς που ενεργούν βάσει του άρθρου 6 παράγραφος 1 στοιχείο γ) ή ε) του ΓΚΠΔ.
    Αιτιολόγηση: αρ. 55 παρ. 2 ΓΚΔΠ: Όταν η επεξεργασία γίνεται από δημόσιες αρχές ή ιδιωτικούς φορείς που ενεργούν βάσει του άρθρου 6 παράγραφος 1 στοιχείο γ) ή ε), αρμόδια είναι η εποπτική αρχή του οικείου κράτους μέλους. Σε αυτές τις περιπτώσεις δεν εφαρμόζεται το άρθρο 56.

    Άρθρο 3 παρ. 2
    Έχω την εντύπωση ότι η Ελβετία δεν τελεί σε ισοδύναμο καθεστώς, αλλά διαθέτει απόφαση επάρκειας από το 2001. Βλέπε https://eur-lex.europa.eu/legal-content/EL/TXT/HTML/?uri=CELEX:32000D0518&from=EN
    Συνεπώς, θα έπρεπε να είναι στις τρίτες χώρες.

  • 15 Αυγούστου 2019, 01:47 | Νίκος Καλαμίτσης
    Το βλέπω Θετικά/Αρνητικά:  

    Η παρ. 1γ είναι ασαφής. Θα μπορούσε να αντιγράφει η παρ. 2 του άρθρου 3 του ΓΚΠΔ με τις αναγκαίες προσαρμογές :
    » Ο παρών νόμος εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην ελληνική επικράτεια από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία εγκατεστημένο εκτός Ελληνικής Επικράτειας , εάν οι δραστηριότητες επεξεργασίας σχετίζονται με:
    α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Έλληνικη Επικράτεια, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή
    β) την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της ελληνικής επικρατειας.»
    Στο ανωτέρω θα πρέπει να προστεθεί επιφύλαξη για το ενδεχόμενο να τυγχάνουν εφαρμογής εθνικές διατάξεις περισσότερων κρατών μελών (παραπομπή στο κεφάλαιο του ΓΚΠΔ για τον καθορισμό αρμοδιοτήτων μεταξύ περισσοτέρων Αρχών.).

  • 14 Αυγούστου 2019, 10:29 | ΒΑΡΒΑΡΑ ΠΕΤΡΟΥ
    Το βλέπω Θετικά/Αρνητικά:  

    Ανοίγει υπερβολικά το πεδίο εφαρμογής. Κατά τη γνώμη μου δεν προσφέρει κάτι, αντιθέτως προκαλεί σύγχυση. Το εδαφικό πεδίο εφαρμογής προκύπτει από τον Κανονισμό.