Όπως είναι γνωστό, η Ευρωπαϊκή Επιτροπή της ΕΕ κατέθεσε στις 27.12.2012 πρόταση Κανονισμού για την προστασία προσωπικών δεδομένων. Στις 15/6/2015, το Ευρωπαϊκό Συμβούλιο ενέκρινε το σχέδιο του Κανονισμού για την προστασία των δεδομένων, όπως έχει διαμορφωθεί μετά από τροποποιήσεις. Στο επόμενο στάδιο η Ευρωπαϊκή Επιτροπή, το Ευρωπαϊκό Κοινοβούλιο και το Ευρωπαϊκό Συμβούλιο πρέπει να συμφωνήσουν στην τελική εκδοχή του κανονισμού. Αυτές οι συζητήσεις θα ξεκινήσουν στις 24 Ιουνίου του 2015, ενώ αναμένεται μέχρι το Δεκέμβριο του 2015 να .
Ορισμένα από τα βασικά σημεία στο εγκεκριμένο σχέδιο του Συμβουλίου περιλαμβάνουν:
- ο Κανονισμός θα τεθεί σε ισχύ δύο έτη μετά την ημερομηνία δημοσίευσης. Η οδηγία για την προστασία των δεδομένων (95/46 / ΕΚ) θα καταργηθεί με την επίσημη δημοσίευση του Κανονισμού. Έτσι, η εθνική νομοθεσία που θεσπίστηκε για την εφαρμογή της οδηγίας θα παραμείνει σε ισχύ μέχρι να τεθεί σε ισχύ ο Κανονισμός.
- τα ανώτατα διοικητικά πρόστιμα, ορίζονται στο 2% του παγκόσμιου κύκλου εργασιών μιας επιχείρησης ή € 1.000.000 και οι παραβάσεις ομαδοποιούνται σε κατηγορίες
- η δικαιοδοσία του Κανονισμού θα εκτείνεται και πέρα από την ΕΕ, με εξωεδαφική δικαιοδοσία που συνδέεται με την προσφορά αγαθών ή υπηρεσιών, ή την παρακολούθηση των υποκειμένων των δεδομένων στην ΕΕ. Οι υπεύθυνοι επεξεργασίας σε τρίτες χώρες που εμπίπτουν στη δικαιοδοσία του Κανονισμού, θα πρέπει να διορίσουν έναν εκπρόσωπο ΕΕ, εκτός εάν η επεξεργασία είναι περιστασιακή και είναι απίθανο να οδηγήσει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων”
- Η αρχή της μιας στάσης (“one stop shop”) που προβλέπει την επιβολή διοικητικών μέτρων από μια Αρχή ελέγχου σε ένα μόνο κράτος μέλος της ΕΕ έχει αποδυναμωθεί. Συγκεκριμένα, σε πολλαπλής δικαιοδοσίας παραβάσεις, θα πρέπει να ζητείται η γνώμη των οικείων εποπτικών αρχών και θα είναι σε θέση να προσβάλουν την απόφαση της κεντρικής αρχής.
- το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (μια μετενσάρκωση της ομάδας εργασίας του άρθρου 29), έχει καθιερωθεί ως ένα σημαντικό όργανο λήψης αποφάσεων όσον αφορά την ερμηνεία του Κανονισμού
- ο Κανονισμός θέτει ως προϋπόθεση ότι πριν δώσουν τη συγκατάθεσή τους, τα υποκείμενα των δεδομένων πρέπει πάντα να ενημερώνονται για το δικαίωμά τους να την αποσύρουν
- η πληροφόρηση που πρέπει να παρέχονται στα υποκείμενα των δεδομένων σχετικά με την επεξεργασία των προσωπικών τους δεδομένων παραμένει εκτεταμένη. Τα υποκείμενα των δεδομένων πρέπει επίσης να λάβουν μία εξήγηση των διαφόρων δικαιωμάτων που έχουν σε σχέση με τα δεδομένα (αλλά κανένα από τα εικονίδια του Κοινοβουλίου που απεικονίζουν την χρήση των δεδομένων δεν έχει συμπεριληφθεί)
- το δικαίωμα στην ψηφιακή λήθη το δικαίωμα στη φορητότητα των δεδομένων παραμένουν, αλλά με πιο σαφή όρια
- οι διατάξεις για τη δημιουργία προφίλ (δηλαδή, την αυτοματοποιημένη ατομική λήψη αποφάσεων) έχουν σημαντικά περιορισθεί, αλλά εξακολουθεί να είναι αναγκαίο να ενημερώνεται το άτομο ότι λαμβάνει χώρα δημιουργία προφίλ, η σημασία και οι συνέπειες του προφίλ και η λογική της επεξεργασίας, και να απαιτείται ανθρώπινη παρέμβαση, εάν το άτομο αμφισβητεί την απόφαση
- το σχέδιο περιλαμβάνει μια νέα διάταξη για τα μεγα-δεδομένα (“Big Data”) ή την περαιτέρω επεξεργασία, που καθορίζει τους παράγοντες που λαμβάνονται υπόψη για να καθοριστεί αν ο δευτερεύων σκοπός είναι συμβατός με τον αρχικό σκοπό, και τη δυνατότητα για επεξεργασία για αθέμιτους σκοπούς, σε ορισμένες περιορισμένες περιπτώσεις
- η υποχρέωση να ενημερώνονται οι αρχές ελέγχου σχετικά με τις δραστηριότητες επεξεργασίας δεδομένων φαίνεται να έχει καταργηθεί, αλλά οι υπεύθυνοι επεξεργασίας και οι εκτελούντες επεξεργασία έχουν τώρα αρκετά εκτεταμένες εσωτερικές απαιτήσεις τήρησης αρχείων επεξεργασίας δεδομένων, καθήκοντα για την εφαρμογή πολιτικών για την προστασία των δεδομένων και την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, και να είναι σε θέση να αποδεικνύουν ότι η επεξεργασία τους ικανοποιεί τις απαιτήσεις του Κανονισμού
- Στις επεξεργασίες υψηλού κινδύνου απαιτείται εκτίμηση των επιπτώσεων της προστασίας δεδομένων, και όπου δεν λαμβάνονται επαρκή μέτρα για τον περιορισμό του κινδύνου, ο υπεύθυνος επεξεργασίας πρέπει να διαβουλεύεται με την Αρχή ελέγχου πριν συνεχίσει
- Δεν προβλέπεται στον Κανονισμό διορισμός εντεταλμένων προστασίας δεδομένων, αλλά επιτρέπεται ρητά στα κράτη μέλη να καθιερώσουν μια τέτοια απαίτηση στην εθνική τους νομοθεσία
- Οι εκτελούντες την επεξεργασία μπορεί να είναι άμεσα υπεύθυνοι για τα πρόστιμα και τις αξιώσεις των υποκειμένων των δεδομένων – η από κοινού και εις ολόκληρον ευθύνη με τον υπεύθυνο επεξεργασίας παραμένει, αλλά μπορεί να απορριφθεί όταν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αποδεικνύει ότι δεν ήταν υπεύθυνος για το γεγονός που προκάλεσε τη ζημία
- Το σχέδιο προβλέπεται την κοινοποίηση των παραβιάσεων προς τις Αρχές ελέγχου και τα θιγόμενα άτομα. Ειδικότερα, οι αρχές ελέγχου και τα άτομα που θίγονται πρέπει να ειδοποιούνται σχετικά με παραβιάσεις που είναι πιθανό να οδηγήσουν σε διακινδύνευση για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, με προειδοποίηση προς τις Αρχές ελέγχου μέσα σε 72 ώρες, και οι ειδοποιήσεις προς τα θιγόμενα άτομα να γίνονται “χωρίς αδικαιολόγητη καθυστέρηση”
- δεσμευτικοί εταιρικοί κανόνες θα είναι διαθέσιμοι τόσο για τον υπεύθυνο επεξεργασίας όσο και για τον εκτελούντα την επεξεργασία και
- Οι διαβιβάσεις προσωπικών δεδομένων μέσω των υφιστάμενων πρότυπων ρητρών της ΕΕ θα παραμείνουν σε ισχύ μέχρι να αποφασιστεί διαφορετικά από την Επιτροπή. Οι αρχές ελέγχου δεν θα είναι σε θέση να απαιτούν άδεια από πριν για τη διαβίβαση, με αυτή τη βάση.