Οι τελευταίες εξελίξεις στη νομοθεσία για τα προσωπικά δεδομένα

Οι τελευταίες εξελίξεις στη νομοθεσία για τα προσωπικά δεδομένα
Loading...
75

Η Ένωση Ασφαλιστικών Εταιρειών Ελλάδος (ΕΑΕΕ), ενημέρωσε τις εταιρείες μέλη της, και ειδικότερα τις Νομικές Υπηρεσίες και τους Υπευθύνους Κανονιστικής Συμμόρφωσης και Προστασίας Προσωπικών Δεδομένων, για τις εξελίξεις στο πεδίο της νομοθεσίας των προσωπικών δεδομένων.

Πιο συγκεκριμένα, στην εγκύκλιο, που απέστειλε στις 19 Σεπτεμβρίου, αναφέρονται σχετικά τα εξής:

1.  Το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) αποσαφηνίζει τους κανόνες για τα ψευδωνυμοποιημένα δεδομένα

Στις 4 Σεπτεμβρίου 2025, το δικαστήριο της Ευρωπαϊκής Ένωσης δημοσίευσε απόφαση που διευκρινίζει το πεδίο εφαρμογής της έννοιας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο διαβίβασης  ψευδωνυμοποιημένων  δεδομένων  σε  τρίτους.  Η  απόφαση  εκδόθηκε  στην υπόθεση «Ευρωπαίος Επόπτης Προστασίας Δεδομένων (European Data Protection Supervisor – EDPS) κατά του Ενιαίου Συμβουλίου Εξυγίανσης (Single Resolutions Board – SRB)» κατά την οποία, μετά την εξυγίανση της Banco Popular Español, στις 7 Ιουνίου 2017, το Ενιαίο Συμβούλιο Εξυγίανσης (SRB) εξέδωσε προκαταρκτική απόφαση για το αν ήταν αναγκαίο να χορηγηθεί αποζημίωση στους πρώην μετόχους και πιστωτές της τράπεζας εξαιτίας της εν λόγω εξυγίανσης.

Καθόσον η απόφαση αυτή εκδόθηκε χωρίς να ακουστούν τα πρόσωπα αυτά, το SRB οργάνωσε μεταγενέστερη διαδικασία ώστε να τους δοθεί η δυνατότητα να υποβάλουν σχόλια/παρατηρήσεις. Στο πλαίσιο αυτής της διαδικασίας, το SRB διαβίβασε ορισμένες από αυτές τις παρατηρήσεις, σε μορφή ψευδωνυμοποιημένων δεδομένων, στην Deloitte, εταιρεία ελέγχου και συμβουλευτικών υπηρεσιών που είχε επιφορτιστεί από το SRB με την αποτίμηση των επιπτώσεων της εξυγίανσης σε μετόχους και πιστωτές.

Στη συνέχεια, κάποιοι από τους θιγόμενους μετόχους και πιστωτές υπέβαλαν καταγγελίες στον Ευρωπαίο Επόπτη, με το αιτιολογικό ότι το Συμβούλιο (SRB) δεν τους είχε ενημερώσει ότι δεδομένα τους θα διαβιβάζονταν σε τρίτους και συγκεκριμένα στην εταιρία Deloitte. Στην υπόθεση το ΔΕΕ:

  • Έκρινε ότι οι προσωπικές απόψεις και γνώμες συνδέονται εγγενώς με τα άτομα που τις εκφράζουν και συνιστούν δεδομένα προσωπικού χαρακτήρα χωρίς να απαιτείται περαιτέρω ανάλυση του περιεχομένου, του σκοπού ή των αποτελεσμάτων των σχολίων αυτών.
  • Επανέλαβε ότι τα ψευδωνυμοποιημένα δεδομένα δεν μπορούν να θεωρηθούν δεδομένα προσωπικού χαρακτήρα για κάθε αποδέκτη. Ανάλογα με τις περιστάσεις, η ψευδωνυμοποίηση μπορεί πράγματι να αποτρέψει ουσιαστικά την ταυτοποίηση του υποκειμένου των δεδομένων από τρίτους, ειδικά όταν οι πληροφορίες επαναταυτοποίησης δεν είναι διαθέσιμες σε αυτούς.
  • Διευκρίνισε ότι η υποχρέωση ενημέρωσης αφορά τη σχέση μεταξύ υποκειμένου και υπευθύνου επεξεργασίας, και η αξιολόγηση γίνεται κατά τον χρόνο συλλογής των δεδομένων, πριν από οποιαδήποτε διαβίβαση, ανεξάρτητα από το πώς ή από ποιον τα δεδομένα θα τύχουν επεξεργασίας σε επόμενο χρόνο. Συνεπώς, το SRB όφειλε να ενημερώσει τα υποκείμενα, ανεξάρτητα από το αν τα δεδομένα θεωρούνταν προσωπικά για τη Deloitte μετά την ψευδωνυμοποίηση.

Υπενθυμίζεται ότι το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) είχε δημοσιεύσει το 2024 προς δημόσια διαβούλευση σχέδιο κατευθυντήριων γραμμών για την ψευδωνυμοποίηση. Μετά την δημοσίευση της εν λόγω απόφασης, το EDPB θα πρέπει να την λάβει υπόψη του προκειμένου για την τελική έκδοση των κατευθυντήριων γραμμών.

Παράλληλα, το 2025 αναμένεται από το EDPB η δημοσίευση σχεδίου κατευθυντήριων γραμμών για την ανωνυμοποίηση.

2. Η Ευρωπαϊκή Επιτροπή εκκινεί διαδικασία για την υιοθέτηση απόφασης επάρκειας προστασίας προσωπικών δεδομένων με τη Βραζιλία

Στις 5 Σεπτεμβρίου 2025, η Ευρωπαϊκή Επιτροπή (ΕΕ) εκκίνησε τη διαδικασία για την υιοθέτηση απόφασης επάρκειας προστασίας δεδομένων με τη Βραζιλία. Η εξέλιξη αυτή ακολουθεί τη διαπίστωση της Επιτροπής ότι η Βραζιλία προσφέρει επίπεδο προστασίας δεδομένων ισοδύναμο με αυτό της Ευρωπαϊκής Ένωσης. Όταν υιοθετηθεί, η απόφαση θα επιτρέψει την ελεύθερη διαβίβαση δεδομένων προσωπικού χαρακτήρα μεταξύ των χωρών της Ευρωπαϊκής Ένωσης και της Βραζιλίας. Παράλληλα, οι αρχές της Βραζιλίας έχουν επίσης εκκινήσει διαδικασία για την υιοθέτηση αντίστοιχης απόφασης, προκειμένου να επιτραπεί η ελεύθερη διαβίβαση δεδομένων από τη Βραζιλία προς την ΕΕ.

Στην παρούσα φάση, το σχέδιο της απόφασης δεν έχει ακόμη διαβιβαστεί στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) για την διατύπωση μη δεσμευτικής γνώμης. Αφού γίνει αυτό και διατυπωθεί γνώμη από πλευράς EDPB, η Επιτροπή θα ζητήσει έγκριση από επιτροπή εκπροσώπων των κρατών-μελών της ΕΕ, στο πλαίσιο της διαδικασίας υιοθέτησης. Με την ολοκλήρωση της διαδικασίας, η Επιτροπή θα μπορεί να προχωρήσει στην επίσημη υιοθέτηση της τελικής απόφασης επάρκειας. Η εφαρμογή της απόφασης επάρκειας θα υπόκειται σε περιοδικές αξιολογήσεις που θα διενεργεί η Επιτροπή, σε συνεργασία με τις εθνικές ευρωπαϊκές αρχές προστασίας δεδομένων.

Ακολουθήστε την ασφαλιστική αγορά στο Google News

Ετικέτες

Σχετικά Άρθρα

Trending now

ERGO Grow Together: Επιβραβεύοντας την Επιτυχία, τη Συναδελφικότητα, την Ανάπτυξη και τη Διαφορετικότητα
Έρευνα Hellas Direct: Πώς συνδέεται η ηλικία του οδηγού με την πιθανότητα να τρακάρει
Θ. Αγγελόπουλος: Η Ασφάλιση ως θεμέλιο βιωσιμότητας στις Βραχυχρόνιες Μισθώσεις
Νέο Δ.Σ. στη ΔΥΝΑΜΙΣ Ασφαλιστική