Το Πρόγραμμα Συμμόρφωσης με τον GDPR από μια πρακτική σκοπιά
Γράφει ο Δημοσθένης Κωστούλας, ΜΒΑ, MSc *
Σκοπός του Γενικού Κανονισμού Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (679/2016) είναι η ασφαλής διαχείριση των προσωπικών δεδομένων από φορείς και επιχειρήσεις του δημόσιου και ιδιωτικού τομέα στην ευρωπαϊκή επικράτεια.
Συγκεκριμένα, μέσω της θέσπισης ενιαίων κανόνων, επιχειρείται η προστασία των φυσικών προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων, ενώ παράλληλα προστατεύονται θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμα τους στην προστασία των δεδομένων.
Στο πλαίσιο αυτό, οι οργανισμοί δεν θα πρέπει απλώς να γνωρίζουν τις υποχρεώσεις που απορρέουν από τον κανονισμό και την κείμενη νομοθεσία, αλλά και να υλοποιούν μια σειρά από ενέργειες προς την κατεύθυνση της προστασίας των προσωπικών δεδομένων που επεξεργάζονται.
Πιο συγκεκριμένα, μέσω ενός κατάλληλου προγράμματος συμμόρφωσης, ένας οργανισμός θα πρέπει να αναπτύξει όλους τους απαραίτητους μηχανισμούς, για να είναι σε θέση να ικανοποιεί, μεταξύ των άλλων, και:
- τις θεμελιώδεις αρχές για τη νομιμότητα κάθε επεξεργασίας,
- τα θεμελιώδη δικαιώματα των υποκειμένων (ενημέρωση, πρόσβαση, διόρθωση, διαγραφή (λήθη), περιορισμός επεξεργασίας, εναντίωση (και στο profiling) και φορητότητα,
- τις υποχρεώσεις του ως υπεύθυνος επεξεργασίας.
Ειδικότερα για την αρχή της λογοδοσίας του υπεύθυνου επεξεργασίας, η οπoία αποτελεί και μια από τις θεμελιώδεις αρχές του GDPR, η λογοδοσία αυτή καθαυτή προκύπτει από την ευθύνη συμμόρφωσης του οργανισμού και την υποχρέωση απόδειξης της συμμόρφωσης ανά πάσα ώρα και στιγμή.
Στο πλαίσιο αυτό, η διοίκηση ενός οργανισμού θα πρέπει να στραφεί προς την προοπτική συμμόρφωσης, αντιλαμβανόμενη ωστόσο ότι μια ουσιαστική συμμόρφωση απαιτεί δέσμευση, πόρους και εργατοώρες.
ΠΡΙΝ ΤΗΝ ΕΝΑΡΞΗ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ
Επιλογή τρόπου συμμόρφωσης
Εφόσον κριθεί ότι η συμμόρφωση είναι απαραίτητη, η διοίκηση ενός οργανισμού θα πρέπει να επιλέξει σε ποιόν θα ανατεθεί το έργο της συμμόρφωσης.
Όπως και στην περίπτωση διορισμού του υπεύθυνου προστασίας δεδομένων (εφεξής DPO), ένας οργανισμός θα μπορούσε να εξετάσει το ενδεχόμενο της ανάθεσης του έργου συμμόρφωσης σε άτομο ή άτομα που απασχολούνται ήδη στον οργανισμό ή να εξετάσει το ενδεχόμενο ανάθεσης του έργου συμμόρφωσης σε σύμβουλο με αποδεδειγμένη δραστηριότητα στο συγκεκριμένο τομέα.
Πρώτη αυτοαξιολόγηση
Από την στιγμή που θα γίνει η τελική επιλογή του τρόπου συμμόρφωσης, θα πρέπει να ξεκινήσουν οι διαδικασίες προς αυτήν την κατεύθυνση.
Καταρχάς, και στις δύο περιπτώσεις (εσωτερική ή εξωτερική ανάθεση), θα πρέπει να συμπληρώνεται ένα ερωτηματολόγιο αρχικής αυτοαξιολόγησης σχετικά με το υφιστάμενο επίπεδο προστασίας δεδομένων του οργανισμού. Αυτό θα βοηθήσει τόσο τον οργανισμό, όσο και τον υπεύθυνο συμμόρφωσης, για να γνωρίζουν από ποια βάση εκκινούν.
Το αποτέλεσμα της αυτοαξιολόγησης μπορεί σε κάποιες περιπτώσεις να επηρεάσει και το συνολικό τίμημα, αφού ενδεχομένως να απαιτηθεί μεγαλύτερη ή μικρότερη προσπάθεια ανάλογα με το υφιστάμενο επίπεδο ετοιμότητας του οργανισμού.
Ορισμός ομάδας εργασίας
Επιπλέον, σε περίπτωση εξωτερικής ανάθεσης, θα πρέπει ο οργανισμός να ορίσει έναν ή και παραπάνω υπεύθυνους επικοινωνίας με την ομάδα συμμόρφωσης και, επιπλέον, να ορίσει μια στενή «ομάδα εργασίας».
Μια ουσιαστική συμμόρφωση απαιτεί διαρκή επικοινωνία μεταξύ των δύο μερών, τόσο για την άμεση ανταλλαγή δεδομένων και πληροφοριών, όσο και για επιτόπιες απαντήσεις και διευκρινήσεις σε απορίες και ερωτήματα της ομάδας συμμόρφωσης.
Πρώτη γνωστοποίηση στο προσωπικό
Σε αυτήν την φάση, απαραίτητη κρίνεται και μια επίσημη ενημέρωση του προσωπικού κάθε ειδικότητας, σχετικά με το επικείμενο πρόγραμμα συμμόρφωσης, καθώς και για την εμπλοκή όλων των βαθμίδων ιεραρχίας και όλων των τμημάτων σε αυτήν την συλλογική προσπάθεια.
ΥΛΟΠΟΙΗΣΗ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ
Ενδεικτικό Πρόγραμμα Συμμόρφωσης
Όπως είναι αντιληπτό, σκοπός είναι η διασφάλιση του μέγιστου βαθμού συμμόρφωσης του οργανισμού στις απαιτήσεις και τις προϋποθέσεις του GDPR, με γνώμονα η συμμόρφωση να μην δημιουργεί εμπόδια στην καθημερινή λειτουργία και δραστηριότητα του οργανισμού.
Το πρόγραμμα συμμόρφωσης χωρίζεται σε επιμέρους στάδια, κάθε ένα από τα οποία είναι σημαντικό, αφού αποτελούν ενδιάμεσους κρίκους που θα οδηγήσουν στην τελική συμμόρφωση του οργανισμού.
Σε γενικές γραμμές, στην αρχή διεξάγεται μια εκτίμηση του υφιστάμενου επιπέδου συμμόρφωσης σχετικά με τον διαχείριση των προσωπικών δεδομένων.
Στην πορεία, και αφού έχουν συλλεγεί όλες οι απαραίτητες πληροφορίες, προετοιμάζεται ένα πλάνο δράσης στο οποίο περιλαμβάνονται τα προτεινόμενα μέτρα, τα οποία θα πρέπει να έχουν συμφωνηθεί με τον οργανισμό. Το κάθε στάδιο θα πρέπει να συνοδεύεται και από ένα σαφές χρονοδιάγραμμα υλοποίησης.
Το χρονοδιάγραμμα υλοποίησης και η χρονική διάρκεια κάθε επιμέρους φάσης, αλλά και του συνολικού προγράμματος συμμόρφωσης, διαφοροποιούνται κατά περίπτωση.
ΠΡΩΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ
Πρώτες συναντήσεις και επιτόπιες επιθεωρήσεις
Στην πλειονότητα των περιπτώσεων, το έργο συμμόρφωσης ξεκινάει με μια πρώτη συνάντηση, για να ακολουθήσουν πολλές άλλες συναντήσεις και ανταλλαγές πληροφοριών. Στην πρώτη συνάντηση διαμορφώνεται ένα κοινά αποδεκτό πλάνο ενεργειών, χωρισμένο σε επιμέρους στάδια και με σαφή χρονοδιαγράμματα, ενώ παράλληλα τίθενται επί τάπητος τα βασικά θέματα και οι διαδικασίες που θα πρέπει να ακολουθηθούν.
Αρχικές εκπαιδεύσεις
Στην φάση αυτή πραγματοποιούνται οι πρώτες γενικές εκπαιδεύσεις για τον GDPR στην διοίκηση και στο προσωπικό, ξεκινώντας από τους διευθυντές / προϊσταμένους των τμημάτων. Στην περίπτωση πολυπληθών οργανισμών, η πρώτη εκπαίδευση θα μπορούσε να είναι μια ευρεία παρουσίαση που απευθύνεται σε μεγάλο αριθμό προσωπικού.
Ευρετήριο Προσωπικών Δεδομένων και Αρχείο Ροών Δεδομένων
Τόσο το Ευρετήριο Προσωπικών Δεδομένων, όσο και το Αρχείο Ροών Δεδομένων, αποτελούν προπομπούς του Αρχείου Χαρτογράφησης, του Αρχείου Δραστηριοτήτων Επεξεργασίας, αλλά και της μετέπειτα Μελέτης Αποκλίσεων.
Τα δεδομένα συλλέγονται από συμπεράσματα που προκύπτουν τόσο από συναντήσεις και προφορικές συζητήσεις, όσο και μέσω της διανομής και συμπλήρωσης ειδικού ερωτηματολογίου.
Αρχείο Χαρτογράφησης
Αποτελεί μια χρήσιμη ανάλυση της υφιστάμενης κατάστασης σχετικά με την προστασία προσωπικών δεδομένων και των κινδύνων που ελλοχεύουν.
Στο συγκεκριμένο αρχείο πραγματοποιείται μια παρουσίαση των ευρημάτων ανά τμήμα ή/και θέση εργασίας που σχετίζονται με την προστασία των δεδομένων. Η συγκεκριμένη μελέτη θα πρέπει να περιλαμβάνει όλες τις ήδη εντοπισμένες δραστηριότητες του οργανισμού.
Αρχείο Δραστηριοτήτων Επεξεργασίας
Μαζί με την Αρχείο Χαρτογράφησης, σε αυτήν την φάση προετοιμάζεται και απαραίτητο Αρχείο Δραστηριοτήτων, στο οποίο θα πρέπει να απεικονίζονται όλα όσα ορίζει ο GDPR.
Πρώτα νομικά, τεχνικά και οργανωτικά θέματα συμμόρφωσης
Πέρα από τα παραδοτέα αρχεία που προαναφέρθηκαν, στην πρώτη φάση του προγράμματος συμμόρφωσης συστήνεται να ξεκινήσει η υλοποίηση και συγκεκριμένων κρίσιμων διορθωτικών οργανωτικών και τεχνικών μέτρων, για τα οποία κρίνεται σκόπιμο να μην υπάρξουν καθυστερήσεις.
ΔΕΥΤΕΡΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ
Επόμενες συναντήσεις – επισκέψεις – εκπαιδεύσεις
Στην δεύτερη φάση του προγράμματος συμμόρφωσης, πραγματοποιούνται νέες επισκέψεις σύμφωνα με την εξέλιξη της συμμόρφωσης, ενώ συζητούνται τα παραδοτέα αρχεία της πρώτης φάσης, με περεταίρω εμβάθυνση σε όσα πεδία είναι σημαντικά ή για τα οποία ενδεχομένως να υπάρχουν απορίες.
Ανάλυση Αποκλίσεων
H Ανάλυση Αποκλίσεων έχει σκοπό τον εύρεση των νομικών, κανονιστικών, οργανωτικών και τεχνολογικών αποκλίσεων ως προς τις απαιτήσεις και τις προϋποθέσεις του Κανονισμού.
Θα μπορούσε να ειπωθεί ότι η συγκεκριμένη ανάλυση αφορά μια επαλήθευση των προβληματικών πεδίων που βρέθηκαν από την φάση της αρχικής χαρτογράφησης, μόνο που εδώ συσχετίζονται με συγκεκριμένες απαιτήσεις του Κανονισμού.
Ανάλυση Κινδύνων
Αν και η ενδεδειγμένη μέθοδος για την εκτίμηση του επιπέδου ασφάλειας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα αποτελεί η υλοποίηση της Μελέτης Αντικτύπου (DPIA), σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 35 του ΓΚΠΔ, η προαναφερόμενη εκτίμηση και αξιολόγηση των κινδύνων, που απορρέουν από την επεξεργασία, πρέπει να διενεργείται σε κάθε περίπτωση, ακόμα και στις περιπτώσεις επεξεργασιών για τις οποίες δεν απαιτείται διενέργεια μελέτης αντικτύπου.
Η ανάλυση συστήνεται να υλοποιείται τόσο πριν, όσο και μετά από την εφαρμογή των προτεινόμενων μέτρων.
Μελέτη Αντικτύπου (Data Privacy Impact Analysis)
Σύμφωνα με τον Άρθρο 35 του Κανονισμού 679/2016, «όταν ένα τύπος επεξεργασίας, ιδίως με την χρήση τεχνολογιών, λαμβανομένων υπόψη της φύσης, του πλαισίου, του πεδίου εφαρμογής και των σκοπών επεξεργασίας, είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, προβαίνει σε εκτίμηση επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα».
Σε αυτό το σημείο κρίνεται σκόπιμη η αναφορά στην σχέση της γενικότερης Ανάλυσης Κινδύνων με την ειδικότερη Μελέτη Αντικτύπου.
Η Μελέτη Αντικτύπου αποτελεί ουσιαστικά μια μεθοδολογία Risk Assessment (ή αλλιώς, ένα υποσύνολο της) με κοινές αρχές και στόχους.
Και αυτό, αφού πολλές από τις ενέργειες και δράσεις που εφαρμόζονται για την Μελέτη Αντικτύπου, εκπονούνται ήδη για γενικότερη Ανάλυση Κινδύνων. Άλλωστε, πολλοί οργανισμοί (συνήθως οι μεγάλοι σε μέγεθος), μπορεί να επιλέξουν να ενσωματώσουν την Μελέτη Αντικτύπου στο ευρύτερο εταιρικό πλαίσιο διαχείρισης κινδύνων που υιοθετούν.
ΤΡΙΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ
Τελευταίες επισκέψεις και εκπαιδεύσεις
H τελευταία φάση του προγράμματος συμμόρφωσης αποτελείται από συναντήσεις κατά τις οποίες συνοψίζονται εκ νέου όλα τα παραδοτέα αρχεία, με αναφορά στους κινδύνους / ευρήματα και στα κατάλληλα τεχνικά και οργανωτικά μέτρα. Τα επόμενα βήματα που θα ακολουθήσει ο οργανισμός είναι πολύ σημαντικά για την διαρκή και ουσιαστική του συμμόρφωση με τις απαιτήσεις του GDPR. Παράλληλα, υλοποιούνται και οι τελευταίες εκπαιδεύσεις για το προσωπικό που πιθανόν απουσίαζε από τις αρχικές εκπαιδεύσεις.
Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων
Σε αυτήν την φάση υλοποιείται και παραδίδεται το Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων για την Προστασία Προσωπικών Δεδομένων.
Πρόκειται μια λίστα των μέτρων με λεπτομέρειες για το ποιος / ποιοι θα το υλοποιήσουν, το status υλοποίησης, ένα χρονοδιάγραμμα υλοποίησης και σχετικές παρατηρήσεις. Το συγκεκριμένο αρχείο πρέπει να παρακολουθείται στην συνέχεια από τον DPO, ο οποίος και θα πρέπει να το διατηρεί μονίμως επικαιροποιημένο.
Σχεδιασμός και διανομή πολιτικών, διαδικασιών, οδηγιών εργασίας, εντύπων
Βάσει του Προγράμματος Υλοποίησης Προτεινόμενων Μέτρων, σε αυτήν την φάση σχεδιάζονται και διανέμονται επίσημα καταγεγραμμένες πολιτικές, διαδικασίες και οδηγίες εργασίας, οι οποίες σχετίζονται με την ασφάλειας των δεδομένων και έχουν σαν σκοπό την κάλυψη των αποκλίσεων που εντοπίστηκαν κατά την δεύτερη φάση.
ΟΛΟΚΛΗΡΩΣΗ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ
Με την παράδοση και των τελευταίων Πολιτικών, Διαδικασιών, Οδηγιών Εργασίας, Εντύπων και άλλων παραδοτέων που συγκαταλέγονται στα προτεινόμενα μέτρα, μπορεί να θεωρηθεί ότι ολοκληρώνεται επισήμως το πρόγραμμα συμμόρφωσης του οργανισμού.
Ωστόσο, οι οργανισμοί είθισται να παρουσιάζουν σημεία απόκλισης μετά από το τέλος της περιόδου επίσημης συμμόρφωσης, με τα σημεία απόκλισης να μεγαλώνουν με το πέρασμα του χρόνου.
Αυτή η αντίδραση μπορεί να θεωρηθεί σε κάποιο βαθμό δικαιολογημένη και αναμενόμενη, αφού η πίεση της καθημερινότητας και οι μεγάλες απαιτήσεις σε σχέση με την κύρια δραστηριότητα και την απρόσκοπτη λειτουργία ενός οργανισμού, μπορεί να θέσουν σταδιακά την προστασία των δεδομένων σε δεύτερη προτεραιότητα.
Για τους παραπάνω λόγους, η παρουσία ενός Υπεύθυνου Προστασίας Δεδομένων (DPO) πρέπει να είναι ουσιαστική και συνεχόμενη, μέσα από μια σειρά ενεργειών, οι οποίες θα καλλιεργούν και θα συντηρούν μια πιο μόνιμη κουλτούρα συμμόρφωσης εντός του οργανισμού (για περισσότερες πληροφορίες: https://www.homodigitalis.gr/posts/7535).
Ακόμα όμως και στις περιπτώσεις όπου δεν απαιτείται η παρουσία ενός DPO, οι οργανισμοί θα πρέπει από μόνοι τους να εφαρμόζουν όλα τα απαραίτητα για μια ουσιαστική συμμόρφωση με το GDPR και την κείμενη νομοθεσία σχετικά με την προστασία προσωπικών δεδομένων.
*Ο Δημοσθένης Κ. Κωστούλας, GDPR Expert / certified DPO – QMS Lead auditor ISO 9001:2015, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος τίτλων MBΑ από το ICBS Thessaloniki Business College και MSc in International Business and Finance από το Reading University, UK. Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι αρθρογράφος για το GDPR. Είναι γενικός γραμματέας, μέλος Δ.Σ. και επικεφαλής της επιτροπής επικοινωνίας και εκδηλώσεων, του Ελληνικού παραρτήματος του European Association of Data Protection Professional (EADPP), επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος του DPO Network Greece, μέλος της ομάδας Homo Digitalis και μέλος του Ινστιτούτου Επαγγελματιών Ιδιωτικότητας Β. Ελλάδος (ΙΝ.ΕΠ.ΙΔ).
Πηγές:
Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
http://homodigitalis.gr/posts/8519, Μικρομεσαίες επιχειρήσεις και Προστασία Προσωπικών Δεδομένων (GDPR), 7 Φεβρουαρίου 2021
http://homodigitalis.gr/posts/7535, Ο ρόλος και η «καθημερινότητα» του Υπεύθυνου Προστασίας Δεδομένων (DPO), 11 Οκτωβρίου, 2020
Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679 https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL
Η ΕΛ.ΑΣ. αρνείται πρόσβαση σε αποφάσεις που οφείλει να κοινοποιεί στην ιστοσελίδα της
Τον Δεκέμβριο του 2020 πολίτες απευθύνθηκαν στον Αρχηγό της Ελληνικής Αστυνομίας ζητώντας πρόσβαση στις αποφάσεις λειτουργίας drones και άλλων φορητών καμερών σε δημόσιους χώρους σύμφωνα με τις διατάξεις του άρθρου 12 του Προεδρικού Διατάγματος 75/2020 και τις διατάξεις του κώδικα διοικητικής διαδικασίας.
Η ΕΛ.ΑΣ. απάντησε στο αίτημα πρόσβασης αρκετούς μήνες μετά την κατάθεσή του αρνούμενη την ικανοποίηση του, παρά το γεγονός ότι οι αποφάσεις για τις οποίες αιτήθηκαν πρόσβαση οι πολίτες θα έπρεπε να έχουν ήδη κοινοποιηθεί στην ιστοσελίδα της.
Συγκεκριμένα, σύμφωνα με το άρθρο 12 παρ. 2 του Π.Δ. 75/2020, η ΕΛ.ΑΣ., ως υπεύθυνος επεξεργασίας, οφείλει κάθε φορά πριν την λειτουργία συστήματος επιτήρησης σε δημόσιο χώρο να εκδίδει και να κοινοποιεί την απόφαση λειτουργίας του συστήματος αυτού τουλάχιστον στην ιστοσελίδα της προσδιορίζοντας υποχρεωτικά: α) τον χρόνο ενεργοποίησης, β) τη διάρκεια λειτουργίας του, γ) την εμβέλεια λειτουργίας του, δ) τα ειδικότερα χαρακτηριστικά του, και ε) την αιτιολόγηση της σκοπιμότητας της χρήσης του σύμφωνα με τα όσα ορίζει το άρθρο 5 του Π.Δ. 75/2020 και το άρθρο 14 του ν.3917/2011.
Ωστόσο, η ΕΛ.ΑΣ. αρκείται στη δημοσίευση μίας απλής ανακοίνωσης στην ιστοσελίδα της, η οποία ενδεικτικά αναφέρει μόνο τον αριθμό της κάθε απόφασης λειτουργίας, τη διάρκεια λειτουργίας τους και τον τόπο λειτουργίας τους κατά γενικό και αόριστο τρόπο. Στην ανακοίνωση αυτή δεν κοινοποιείται δηλαδή το περιεχόμενο της απόφασης λειτουργίας, ενώ επίσης δεν γίνεται καμία αναφορά σε σημαντικά στοιχεία που ορίζει το άρθρο 12 παρ. 2 του Π.Δ. 75/2020 και συγκεκριμένα στην εμβέλεια λειτουργίας του συστήματος, στα ειδικότερα χαρακτηριστικά του, και στην αιτιολόγηση της σκοπιμότητας της χρήσης του.
Μπορείτε να δείτε αναλυτικά την απάντηση της ΕΛ.ΑΣ. τον Μάρτιο του 2021 στα αιτήματα πρόσβασης των πολιτών εδώ.
Δημοσιοποίηση ευαίσθητων προσωπικών δεδομένων: μια «πανδημία» στον ψηφιακό κόσμο
Γράφει ο Ευάγγελος Φαρμακίδης*
Αυτό το μήνα γίναμε μάρτυρες μιας σειράς πρωτόγνωρων περιστατικών παράνομης βίας, η οποία ακολουθήθηκε από μια εξίσου πρωτόγνωρη προσβολή του συνταγματικώς και σε διεθνείς, ευρωπαϊκές και ενωσιακές συμβάσεις και συνθήκες κατοχυρωμένου δικαιώματος στην ιδιωτική ζωή υπό την ειδικότερη έκφανση της προστασίας των δεδομένων προσωπικού χαρακτήρα των ανθρώπων που υπήρξαν θύματα αυτών.
Το πρώτο περιστατικό βίας έλαβε χώρα στις 7-3-2021 και αφορά τον αδικαιολόγητο ξυλοδαρμό με μεταλλικό γκλοπ πολίτη από αστυνομικό στην πλατεία Νέας Σμύρνης.
Αυτό το περιστατικό βίας ακολουθήθηκε από μια βάναυση προσβολή του δικαιώματος στην προστασία των προσωπικών δεδομένων του πολίτη, ο οποίος την προηγούμενη ημέρα είχε ξυλοκοπηθεί.
Συγκεκριμένα, στις 8-3-2021 βουλευτής προσπαθώντας χωρίς ιδιαίτερη επιτυχία να δικαιολογήσει την παραπάνω πράξη παράνομης βίας εκ μέρους του αστυνομικού, προχώρησε σε δημοσιοποίηση ακόμα και ευαίσθητων προσωπικών δεδομένων του πολίτη, ο οποίος ξυλοκοπήθηκε.
Ο βουλευτής αποκάλυψε κατά τη διάρκεια ζωντανής μετάδοσης σε γνωστό τηλεοπτικό σταθμό τόσο δεδομένα που αφορούν την ταυτότητά του, όσο και δεδομένα που σχετίζονται με τις πολιτικές πεποιθήσεις του, τη συμμετοχή του σε ένωση προσώπων σχετική με τις παραπάνω πεποιθήσεις, καθώς και δεδομένα που αφορούν ποινικές διώξεις.
Μάλιστα ως «απάντηση» στην διαρροή των δεδομένων του πολίτη, διέρρευσαν στη συνέχεια στο διαδίκτυο και τα δεδομένα του αστυνομικού που τον ξυλοκόπησε, συμπεριλαμβανομένων φωτογραφιών του και των πολιτικών του πεποιθήσεων.
Στις 9-3-2021 ακολούθησε ένα ακόμη περιστατικό βίας. Ένας 24χρονος αστυνομικός της ομάδας Δράση κατά τη διάρκεια της υπηρεσίας του ξυλοκοπήθηκε βάναυσα από ομάδα διαδηλωτών, οι οποίοι κατάφεραν να τον ρίξουν από την υπηρεσιακή μηχανή στην οποία επέβαινε ως συνοδηγός.
Αμέσως μετά το παραπάνω περιστατικό στα μέσα μαζικής ενημέρωσης, καθώς και στα μέσα κοινωνικής δικτύωσης διέρρευσαν προσωπικά δεδομένα του αστυνομικού-θύματος που σχετίζονταν με την ταυτότητά του, την καταγωγή του, την οικογένειά του, την επαγγελματική και προσωπική του ζωή κατά τη διάρκεια και πριν την κατάταξή του στην Ελληνική Αστυνομία, καθώς και δεδομένα που αφορούν τα πολιτικά του φρονήματα, τις θρησκευτικές και φιλοσοφικές του πεποιθήσεις και τη συμμετοχή του σε σχετικές οργανώσεις.
Τις επόμενες ημέρες «παρέλασαν» μπροστά από τις οθόνες μας πλήθος δεδομένων προσωπικού χαρακτήρα υπόπτων και κατηγορουμένων για την παραπάνω αξιόποινη πράξη κατά του αστυνομικού.
Μεταξύ των άλλων διέρρευσαν στα μέσα μαζικής ενημέρωσης και στα μέσα κοινωνικής δικτύωσης προσωπικά δεδομένα που αφορούσαν την ταυτότητα τους, την καταγωγή τους, την οικογενειακή και επαγγελματική τους ζωή, προηγούμενες ποινικές διώξεις και καταδίκες, παραβιάζοντας με τον τρόπο αυτό όχι μόνον το δικαίωμα της ιδιωτικής ζωής, αλλά και το τεκμήριο αθωότητας των υπόπτων/κατηγορουμένων, άλλο ένα αρνητικό φαινόμενο της εποχής μας, το οποίο έχει λάβει επίσης ενδημικές διαστάσεις.
Σύμφωνα με τους ισχύοντες σήμερα ορισμούς του άρθρου 2 περ. β του Ν. 2472/1997 (το οποίο παραμένει σε ισχύ και μετά τον Ν. 4624/2019, δυνάμει του άρθρου 84 του τελευταίου), τα δεδομένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων αποτελούν «ευαίσθητα δεδομένα» (ή δεδομένα ειδικών κατηγοριών, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων).
Κατά κανόνα η επεξεργασία των παραπάνω δεδομένων απαγορεύεται, ενώ κατ’ εξαίρεση επιτρέπεται για τους λόγους που προβλέπονται στο άρθρο 9 παρ. 2 του Γενικού Κανονισμού Προστασίας Δεδομένων.
Μάλιστα, η αντίθετη με τις παραπάνω νομοθετικές προβλέψεις επεξεργασία ευαίσθητων δεδομένων (ή δεδομένων ειδικών κατηγοριών), πέρα από τις προβλεπόμενες διοικητικές κυρώσεις, αποτελεί και ποινικό αδίκημα (άρθρο 38 του Ν. 4624/2019).
Εξαίρεση από τον παραπάνω κανόνα αποτελεί για παράδειγμα η δημοσιοποίηση δεδομένων προσωπικού χαρακτήρα σχετικά με ποινικές διώξεις ή καταδίκες από εισαγγελική αρχή.
Ο εξαιρετικός λόγος της δημοσιοποίησης των παραπάνω ευαίσθητων δεδομένων, καθώς και οι ιδιαίτερα αυστηρές προϋποθέσεις, τις οποίες θέτει ο Νόμος αποδεικνύει τη σημασία που αποδίδει ο νομοθέτης στην προστασία των δεδομένων αυτών.
Πιο συγκεκριμένα η δημοσιοποίηση αυτή είναι επιτρεπτή για ορισμένα μόνον αδικήματα, γίνεται με διάταξη του αρμόδιου Εισαγγελέα, η οποία θα πρέπει να είναι ειδικώς και πλήρως αιτιολογημένη και θα πρέπει να προσδιορίζει τον τρόπο δημοσιοποίησης και το χρονικό διάστημα που θα διαρκέσει.
Η εξαιρετική αυτή περίπτωση δημοσιοποίησης αποσκοπεί στην προστασία του κοινωνικού συνόλου, των ανηλίκων, των ευάλωτων ή ανίσχυρων πληθυσμιακών ομάδων και προς ευχερέστερη πραγμάτωση της αξίωσης της Πολιτείας για τον κολασμό των αδικημάτων.
Μάλιστα, κατά αυτής της εισαγγελικής διάταξης δίνεται η δυνατότητα στον θιγόμενο να αμυνθεί, αφού ο νόμος επιτρέπει στον κατηγορούμενο ή τον κατάδικο την προσφυγή εντός 2 ημερών από τη γνωστοποίηση σε αυτόν της εισαγγελικής διάταξης.
Από τα παραπάνω καθίσταται σαφές ότι ο νομοθέτης επιφύλαξε την παραπάνω δυνατότητα δημοσιοποίησης ευαίσθητων δεδομένων μόνο για τους εισαγγελείς, θέτοντας όμως ακόμα και σε αυτούς ένα ιδιαίτερα αυστηρό πλαίσιο περιορισμών.
Καταληκτικά, το γεγονός ότι πολίτες, δημοσιογράφοι, αλλά ακόμα και βουλευτές παραβιάζουν τον Νόμο είναι σαφώς ανησυχητικό.
Αυτό που προκαλεί όμως τη μεγαλύτερη ανησυχία είναι ότι ολοένα και περισσότερο το δικαίωμα στην ιδιωτική ζωή ανθρώπων, οι οποίοι μάλιστα υπήρξαν προηγουμένως θύματα αξιόποινων πράξεων, θυσιάζεται στον βωμό των likes, της τηλεθέασης και πολιτικών σκοπιμοτήτων.
Οι «εκπτώσεις» στην προστασία της ιδιωτικής ζωής είναι χωρίς αμφιβολία ένα από τα πιο ανησυχητικά φαινόμενα της εποχής μας, το οποίο τείνει να λάβει διαστάσεις πανδημίας.
*Ο Ευάγγελος Φαρμακίδης είναι δικηγόρος, διαπιστευμένος διαμεσολαβητής και μέλος της Homo Digitalis.
Καταγγελίες για παράβαση του GDPR από το 13033
Στις 8 Φεβρουαρίου 2021, 5 μέλη της Homo Digitalis υπέβαλλαν καταγγελίες κατά της Γενικής Γραμματείας Πολιτικής Προστασίας για παράβαση του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) και του Ν. 4624/2019, όσον αφορά στη χρήση του ειδικού αριθμού 13033.
Οι καταγγελίες υποβλήθηκαν ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Στις 23 Νοεμβρίου 2020, 5 μέλη της οργάνωσης μας άσκησαν το δικαίωμα πρόσβασης προς τη Γενική Γραμματεία Πολιτικής Προστασίας προκειμένου να μάθουν ποια δεδομένα τους επεξεργάζεται η Γενική Γραμματεία κατά τη χρήση του 13033, για πόσο διάστημα τα διατηρεί, ποιος έχει πρόσβαση σε αυτά και αν έχει οριστεί Υπεύθυνος Προστασίας Δεδομένων από τη Γενική Γραμματεία.
Όπως ορίζεται ρητά στον GDPR αλλά και στην Πολιτική Απορρήτου του 13033, ο υπεύθυνος επεξεργασίας (δηλ. η Γενική Γραμματεία Πολιτικής Προστασίας) οφείλει να ικανοποιήσει χωρίς καθυστέρηση το δικαίωμα αυτό το αργότερο σε 1 μήνα από την υποβολή του αιτήματος.
Η προθεσμία αυτή μπορεί να παραταθεί για 2 επιπλέον μήνες, εάν το αίτημα είναι πολύπλοκο ή ο αριθμός των αντιγράφων που πρέπει να χορηγήσει ο υπεύθυνος επεξεργασίας είναι μεγάλος. Όμως, η παράταση της προθεσμίας πρέπει να γνωστοποιηθεί στον πολίτη εντός του πρώτου μήνα από την άσκηση του δικαιώματός του.
Σήμερα έχουν περάσει περισσότεροι από 2 μήνες από την άσκηση των δικαιωμάτων των μελών μας. Δεν έχουν λάβει ακόμα καμία απάντηση από τη Γενική Γραμματεία Πολιτικής Προστασίας, ούτε απόδειξη παραλαβής των αιτημάτων ή ενημέρωση που να αφορά στην πιθανή παράταση της προθεσμίας προκειμένου να σταλεί απάντηση στα αιτήματα τους.
Είναι σαφές ότι η Γενική Γραμματεία Πολιτικής Προστασίας έχει παραβεί τις υποχρεώσεις της με βάση τη νομοθεσία.
Υπενθυμίζεται ότι δεν είναι η μοναδική αστοχία όσον αφορά στην επεξεργασία προσωπικών δεδομένων από τη χρήση του 13033.
Η Homo Digitalis το 2020 προέβη σε τρεις ενέργειες που αφορούσαν στη χρήση του αριθμού αυτού. Αρχικά, έστειλε δύο επιστολές στη Γενική Γραμματεία Πολιτικής Προστασίας, τονίζοντας τις σημαντικές ασάφειες και τα κενά στην Πολιτική Απορρήτου σχετικά με την επεξεργασία δεδομένων από το 13033.
Καθώς οι επιστολές έμειναν αναπάντητες και δεν έγινε καμία τροποποίηση της Πολιτικής Απορρήτου, η Homo Digitalis αιτήθηκε την έκδοση γνωμοδότησης από την Αρχή Προστασίας Δεδομένων σχετικά με τη χρήση του αριθμού 13033.
Η παράταση της χρήσης του 13033 και ο μεγάλος όγκος των δεδομένων των πολιτών που επεξεργάζονται καθημερινά μέσω του αριθμού αυτού καθιστούν επιτακτική την ανάγκη προστασίας των δεδομένων αυτών.
Η επεξεργασία των δεδομένων από το 13033 αφορά όλους τους πολίτες που κινούνται εντός της Ελληνικής Επικράτειας και πρέπει να προστατεύεται από την Πολιτεία.
Παρουσίαση της καμπάνιας "Reclaim Your Face" στο Devstaff Community
Την Πέμπτη, 10 Δεκεμβρίου 2020 η Εύα Δαβάκη και η Αγγελική Τηλιγάδη εκπροσώπησαν τη Homo Digitalis στην online εκδήλωση, που διοργάνωσε η Devstaff Community.
Τα δύο μέλη της Homo Digitalis μίλησαν για για την «Ιδιωτικότητα και την επεξεργασία των βιομετρικών δεδομένων σε δημόσιους χώρους, καθώς και για την πανευρωπαϊκή καμπάνια “Reclaim Your Face”».
Ειδικότερα, η καμπάνια ξεκίνησε από τη Homo Digitalis και άλλες 9 οργανώσεις της κοινωνίας των πολιτών από την Ευρώπη και αποσκοπεί στην απαγόρευση της μαζικής βιομετρικής παρακολούθησης, χωρίς διαφανείς διαδικασίες και σαφές νομοθετικό πλαίσιο.
Υποστηρίξτε και εσείς την καμπάνια, υπογράφοντας τώρα στη σελίδα μας!
Στην εκδήλωση συμμετείχε επίσης το Caprice Community του ΙΤΕ, παρουσιάζοντας την πλατφόρμα CAP-A, η οποία ενισχύει την ιδιωτικότητα των χρηστών εφαρμογών συσκευών Android.
Αξιολογήσαμε τις εφαρμογές που χρησιμοποιούμε με το εργαλείο του CAP-A
Με την πανδημία του Covid-19 να καλπάζει ανεξέλεγκτη, αναγκαστήκαμε μέσα σε μικρό χρονικό διάστημα να εξοικειωθούμε και να κάνουμε μέρος της καθημερινότητάς μας εφαρμογές που μέχρι πρότινος αγνοούσαμε, όπως το Skype for Business, το Zoom ή το MS Teams προκειμένου να διευκολυνθεί η εργασία μας ακόμα και οι κοινωνικές και προσωπικές μας επαφές.
Παράλληλα, εξακολουθούμε να χρησιμοποιούμε πλατφόρμες κοινωνικής δικτύωσης για την επικοινωνία μας με συγγενείς και φίλους ενώ εμείς ή τα παιδιά μας παίζουμε online παιχνίδια.
Άραγε έχουμε αναρωτηθεί πόσες από τις εφαρμογές που χρησιμοποιούμε καθημερινά σέβονται την ιδιωτικότητα των χρηστών τους και αν εφαρμόζεται ορθά ο Γενικός Κανονισμός Προσωπικών Δεδομένων (GDPR);
Γιατί, για παράδειγμα, αυτές οι εφαρμογές ζητούν πρόσβαση στη λίστα επαφών και στο άλμπουμ των φωτογραφιών μας; Είναι πάντα απαραίτητη η πρόσβαση στο μικρόφωνο και στην ακριβή τοποθεσία μας;
Πρόσφατα το Εργαστήριο Πληροφοριακών Συστημάτων του Ινστιτούτου Πληροφορικής του Ιδρύματος Τεχνολογίας & Έρευνας (ΙΤΕ) με αφορμή την πρωτοβουλία CAPrice προσέγγισε τη HomoDigitalis προκειμένου να δημιουργηθεί ένα “κίνημα” ευαισθητοποίησης σχετικά με τις συνέπειες που μπορεί να έχουν οι ψηφιακές τεχνολογίες ως προς την προστασία της ιδιωτικής ζωής.
Στόχος είναι να δημιουργηθεί μια κοινότητα ανοιχτή προς όλους στην οποία θα συμμετέχουν ενεργοί πολίτες, χωρίς απαραίτητα εξειδικευμένες γνώσεις σε θέματα τεχνολογίας, αλλά με διάθεση να αναζητήσουν και να εφαρμόσουν πρακτικές λύσεις σε ζητήματα ιδιωτικότητας.
Για να καταστεί κάτι τέτοιο εφικτό χρησιμοποιήθηκε η πλατφόρμα CAP-A Portal η οποία μεταξύ άλλων παρέχει έναν Privacy Policy Document Annotator. H εν λόγω πλατφόρμα αναπτύχθηκε από το Ινστιτούτο Πληροφορικής του ΙΤΕ σε συνεργασία με την εταιρεία ΙΝ2 και στα πλαίσια του Ευρωπαϊκού έργου CAP-A που χρηματοδοτείται από το NGI-Trust. O Annotator δίνει στον χρήστη τη δυνατότητα να επισημαίνει και να σχολιάζει συγκεκριμένα σημεία από τους όρους χρήσης και την Πολιτική Απορρήτου αξιολογώντας τη συμμόρφωση με το Κανονιστικό πλαίσιο που αφορά στην προστασία των ψηφιακών μας δικαιωμάτων.
Μέσω της συγκεκριμένης πλατφόρμας, μέλη της HomoDigitalis ανέλαβαν να αξιολογήσουν και να σχολιάσουν την Πολιτική Απορρήτου η εφαρμογών γνωστών σε όλους μας, όπως το Facebook, το Instagram, το Skype, το Messenger, το WhatsApp, το Google Meet, to Google Chrome, το Slack, το Trello, το Asana ακόμη και παιχνίδια όπως το League of Legends ή το Call of Duty με βάση συγκεκριμένα κριτήρια που είχε θέσει η πλατφόρμα!
Έτσι, οι δύο πρώτοι πιλότοι του ΙΤΕ έτρεξαν σε συνεργασία με το Bora και το Safer Internet for Internet for kids αλλά και την πολύτιμη συμβολή της Homo Digitalis.
Στη φωτογραφία αυτή βλέπετε τι άδειες δίνετε οι χρήστες του viber, πόσοι χρήστες έχουν αξιολογήσει την εφαρμογή, πόσα annotations έχουν γίνει και με πόσα σχετικά άρθρα τα έχουν συνδέσει.
Απώτερος σκοπός ήταν να προταθούν λύσεις σε ζητήματα ιδιωτικότητας που μας απασχολούν καθημερινά, καθώς λόγω της μεγάλης έκτασης και του δυσνόητου περιεχομένου της Πολιτικής Απορρήτου, οι περισσότεροι – ειδικά οι μη εξοικειωμένοι με θέματα ιδιωτικότητας – δίνουμε “λευκή επιταγή” για την επεξεργασία των δεδομένων μας χωρίς ακριβώς να έχουμε καταλάβει σε τι συνίσταται αυτή, για ποιους σκοπούς πραγματοποιείται και τί ακριβώς επιδιώκει από αυτή ο δημιουργός της κάθε εφαρμογής.
Για παράδειγμα, όταν κλικάρουμε “Συμφωνώ με τους όρους χρήσης” χωρίς φυσικά να τους έχουμε διαβάσει, γνωρίζουμε ότι συναινούμε στο να έχει η εκάστοτε εφαρμογή πρόσβαση στις επαφές μας, στην τοποθεσία μας ακόμη και στο μικρόφωνο ή στην κάμερα της συσκευής μας;
Οι πληροφορίες που συλλέγονται από τη χρήση της πλατφόρμας αξιοποιούνται για την εξαγωγή και διαμόρφωση στατιστικών ως προς την “φιλικότητα” των εφαρμογών σχετικά με την προστασία της ιδιωτικότητας του χρήστη και τη διαμόρφωση ενός ασφαλούς διαδικτύου που σέβεται τα δικαιώματά μας.
Η εμπιστοσύνη που μας δείχνει το ΙΤΕ, το μεγαλύτερο ερευνητικό ίδρυμα της Ελλάδας, και η ομάδα του Cap-Α, μας τιμά και μας ωθεί να δράσουμε συλλογικά για ακόμη μια φορά, προκειμένου έμπρακτα να διαμορφώσουμε έναν πυλώνα σημαντικών εξελίξεων για τη διαμόρφωση των σύγχρονων ψηφιακών υπηρεσιών επηρεάζοντας μία σειρά από δικαιώματα και ελευθερίες στον ψηφιακό χώρο.
Σημείωση: Η εφαρμογή CAP-A διατίθεται και στο Play Store για Android Λογισμικό, καθιστώντας με αυτόν τον τρόπο εφικτό να χρησιμοποιήσουν περισσότεροι χρήστες την εφαρμογή και να αξιολογήσουν εφαρμογές που χρησιμοποιούν καθημερινά.
Δείτε εδώ πώς μπορείτε και εσείς να αξιολογήσετε τις εφαρμογές που χρησιμοποιείτε και να συμβάλλετε έτσι στην ενίσχυση της ιδιωτικότητας όλων μας!
Η ομάδα της HomoDigitalis που ασχολήθηκε με το project απαρτίστηκε από τα ακόλουθα μέλη:
Ελπίδα Βαμβακά, Αδαμαντία Βολικού, Εύα Δαβάκη, Μαρίνα Ζαχαροπούλου, Στέφανος Θαμπής, Στέργιος Κωνσταντίνου, Αντιγόνη Λογοθέτη, Μαριλίζα Μπάκα, Μαγδαληνή Σκόνδρα, Λευτέρης Σταυρακάκης , Εμμανουήλ Τζιβιέρης, Μαρίνα Τσικιντίκου, Αγγελική Τηλιγάδη.
Πηγές:
- https://www.caprice-community.net/
- https://saferinternet4kids.gr/nea/cap-a/
- https://cap-a.eu/new-cap-a-pilot-bora-business-apps/
- https://cap-a.eu/portal/#stats2.2
Αίτημα γνωμοδότησης προς την Αρχή Προστασίας Δεδομένων για το 13033
Σήμερα, 9 Δεκεμβρίου 2020, η Homo Digitalis αιτήθηκε την έκδοση γνωμοδότησης από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σχετικά με τη χρήση του ειδικού αριθμού 13033 και την επεξεργασία προσωπικών δεδομένων όλων των πολιτών που κινούνται εντός της ελληνικής επικράτειας στο πλαίσιο της αποστολής μηνυμάτων στον αριθμό αυτό.
Δεδομένης:
- της ευρείας χρήσης της υπηρεσίας αποστολής SMS στο 13033 από τους πολίτες που μετακινούνται εντός της Ελληνικής επικράτειας, τόσο στο πρόσφατο παρελθόν, στο παρόν, αλλά ενδεχομένως και στο εγγύς μέλλον
- της ελλιπούς και προβληματικής πολιτικής προστασίας προσωπικών δεδομένων που έχει εκδόσει η Γενική Γραμματεία Πολιτικής Προστασίας
- της μεγάλης ανασφάλειας που έχει δημιουργηθεί στους πολίτες σχετικά με τη χρήση του αριθμού και το βαθμό επέμβασης στην ιδιωτικότητά τους
Είναι επιτακτική η άμεση έκδοση γνωμοδότησης από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, σύμφωνα με τις αρμοδιότητές της.
Το πλήρες κείμενο του αιτήματος της Homo Digitalis είναι διαθέσιμο εδώ.
H Homo Digitalis στο Inside Story για το Smart Policing
Την Τετάρτη 12 Αυγούστου 2020 δημοσιεύθηκε άρθρο της δημοσιογράφου Ελευθερίας Τσαλίκη στο Inside Story με τίτλο “Smart Policing: Θα φέρει η Έξυπνη Αστυνόμευση την αναγνώριση προσώπων στην Ελλάδα;“
Στο άρθρο της, η δημοσιογράφος αναλύει ιδιαίτερα τη σύμβαση μεταξύ Ελληνικής Αστυνομίας και Intracom Telecom για την ανάπτυξη και χρήση εφαρμογής αναγνώρισης προσώπου από τα όργανα της Ελληνικής Αστυνομίας.
Ο συνιδρυτής της Homo Digitalis, Κωνσταντίνος Κακαβούλης, μίλησε στη δημοσιογράφο για τα προβλήματα που ανακύπτουν και τους λόγους που καθιστούν τη χρήση της συγκεκριμένης τεχνολογίας ιδιαίτερα δύσκολη την παρούσα στιγμή.
Παράλληλα ο κ. Γεώργιος Ρουσόπουλος, ειδικός επιστήμονας-ελεγκτής της ΑΠΔΠΧ και Δρ Μηχανικός Η/Υ και Πληροφορικής, ανέλυσε τη θέση της Αρχής Προστασίας Δεδομένων στο θέμα. Σύμφωνα με τον κ. Ρουσόπουλο, η ΑΠΔΠΧ εξετάζει τη σύμβαση κατόπιν του αιτήματος της Homo Digitalis.
Ευχαριστούμε θερμά τη δημοσιογράφο Ελευθερία Τσαλίκη και το Inside Story για το ενδιαφέρον τους στις απόψεις και τις δράσεις της Homo Digitalis.
Το Δικαστήριο της ΕΕ ακύρωσε την Privacy Shield
Επιμέλεια: Αντιγόνη Λογοθέτη, Κωνσταντίνος Κακαβούλης
Το ΔΕΕ ακύρωσε σήμερα την απόφαση “Privacy Shield” στην υπόθεση της Επιτήρησης από τις ΗΠΑ. Οι τυποποιημένες συμβατικές ρήτρες (“SCCs”) δεν μπορούν να χρησιμοποιηθούν από το Facebook και παρόμοιες εταιρείες.
Το Facebook και παρόμοιες εταιρείες δεν θα μπορούν να χρησιμοποιούν τις τυποποιημένες συμβατικές ρήτρες για τη μεταφορά δεδομένων εφόσον η Αρχή Προστασίας Δεδομένων πρέπει να σταματήσει τις μεταφορές δεδομένων που εκτελούνται με αυτό το εργαλείο. Ο Maximilian Schrems (πρόεδρος της noyb.eu και διάδικος στην υπόθεση) δήλωσε:
«Χρειαζόμαστε μεταρρύθμιση της επιτήρησης που γίνεται από τις ΗΠΑ. Το Δικαστήριο διευκρίνισε ότι δεν μπορεί να πραγματοποιηθεί καμία μεταφορά δεδομένων κατά παράβαση του δικαίου της ΕΕ.»
Η πρώτη αντίδραση του Max Schrems στην απόφαση:
«Είμαι πολύ χαρούμενος για την απόφαση. Φαίνεται ότι το Δικαστήριο μας ακολούθησε σε όλες τις πτυχές. Αυτό αποτελεί σοβαρό πλήγμα για τον Ιρλανδό Επίτροπο Προστασίας Δεδομένων και το Facebook. Είναι σαφές ότι οι ΗΠΑ θα πρέπει να προβούν σε ουσιώδεις αλλαγές της νομοθεσίας τους σχετικά με την επιτήρηση, εάν οι αμερικανικές εταιρείες θέλουν να συνεχίσουν να παίζουν καθοριστικό ρόλο στην αγορά της ΕΕ.“
Η μεταρρύθμιση της επιτήρησης από τις ΗΠΑ είναι αναπόφευκτη – το ΔΕΕ το εκφράζει φωναχτά
Το Δικαστήριο ήταν σαφές ότι οι εκτεταμένοι νόμοι των ΗΠΑ περί επιτήρησης έρχονται σε σύγκρουση με τα θεμελιώδη δικαιώματα της ΕΕ. Το νομικό πλαίσιο των ΗΠΑ παρέχει προστασία σε «άτομα των ΗΠΑ», αλλά δεν προστατεύει δεδομένα ξένων πελατών εταιρειών των ΗΠΑ από την Εθνική Υπηρεσία Ασφάλειας. Δεδομένου ότι δεν υπάρχει τρόπος να ανακαλύψεις ότι εσύ ή η επιχείρησή σου είναι υπό επιτήρηση, δεν έχεις επίσης την επιλογή να καταφύγεις στα δικαστήρια. Το ΔΕΕ διαπίστωσε παραβίαση της «ουσίας» συγκεκριμένων θεμελιωδών δικαιωμάτων της ΕΕ.
Σύμφωνα με τον Schrems: «Το Δικαστήριο διευκρίνισε για δεύτερη φορά τώρα ότι υπάρχει σύγκρουση μεταξύ του Ευρωπαϊκού δικαίου περί προστασίας της ιδιωτικής ζωής και του Αμερικανικού νόμου περί επιτήρησης. Δεδομένου ότι η ΕΕ δεν θα αλλάξει τα θεμελιώδη δικαιώματά της για να ικανοποιήσει την NSA, ο μόνος τρόπος για να ξεπεραστεί αυτή η σύγκρουση είναι οι ΗΠΑ να εισάγουν ισχυρά δικαιώματα προστασίας της ιδιωτικής ζωής για όλους τους ανθρώπους – συμπεριλαμβανομένων των αλλοδαπών. Έτσι, η μεταρρύθμιση της εποπτείας καθίσταται κρίσιμη για τα επιχειρηματικά συμφέροντα της Silicon Valley.
Αυτή η απόφαση δεν αποτελεί την αιτία του περιορισμού στις μεταφορές δεδομένων, αλλά τη συνέπεια των νόμων των ΗΠΑ περί επιτήρησης.»
Η Ευρωπαϊκή Επιτροπή ενέδωσε στις πιέσεις των ΗΠΑ
Η απόφαση καθιστά επίσης σαφές ότι η Ευρωπαϊκή Επιτροπή δεν προέβη σε ενδελεχή και ακριβή αξιολόγηση των νόμων των ΗΠΑ περί επιτήρησης υπό την Privacy Shield. Αντ’ αυτού, ενέδωσε στην πίεση των ΗΠΑ εγκρίνοντας την Privacy Shield.
Ο Herwig Hofmann, καθηγητής νομικής στο Πανεπιστήμιο του Λουξεμβούργου και ένας από τους δικηγόρους υπεράσπισης των υποθέσεων του Schrems ενώπιον του ΔΕΕ: «Το ΔΕΕ ακύρωσε τη δεύτερη απόφαση της Επιτροπής που παραβιάζει τα θεμελιώδη δικαιώματα προστασίας δεδομένων της ΕΕ. Δεν μπορεί να υπάρξει μεταφορά δεδομένων σε μια χώρα που παρουσιάζει μορφές μαζικής επιτήρησης. Εφόσον ο νόμος των ΗΠΑ δίνει στην κυβέρνησή του τις εξουσίες να συλλέξει δεδομένα της ΕΕ που διαβιβάζονται στις ΗΠΑ, τέτοια εργαλεία θα ακυρώνονται ξανά και ξανά. Η αποδοχή από την Επιτροπή των αμερικανικών νόμων περί επιτήρησης στην απόφαση για την Privacy Shield τους άφησε χωρίς υπεράσπιση.»
Οι Αρχές Προστασίας Δεδομένων έχουν «καθήκον να ενεργούν» – Σημαντική ενίσχυση για τον ΓΚΠΔ (GDPR)
Το Δικαστήριο επίσης διευκρίνισε ότι οι Αρχές Προστασίας Δεδομένων της ΕΕ έχουν καθήκον να ενεργούν. Το Δικαστήριο τόνισε ότι οι Αρχές «υποχρεούνται να δρουν για τη διασφάλιση της πλήρους επιβολής του ΓΚΠΔ με κάθε δέουσα επιμέλεια». Μέχρι στιγμής, πολλές Αρχές θεωρούν ότι έχουν απεριόριστη διακριτική ευχέρεια να «κάνουν τα στραβά μάτια». Το Δικαστήριο βάζει τέλος πλέον σε αυτήν την πρακτική.
Schrems: «Το Δικαστήριο δεν λέει μόνο στον Ιρλανδό Επίτροπο να κάνει τη δουλειά του μετά από επτά χρόνια αδράνειας, αλλά λέει επίσης σε όλες τις Ευρωπαϊκές Αρχές Προστασίας Δεδομένων ότι έχουν καθήκον να αναλαμβάνουν δράση και δεν μπορούν απλώς να «κάνουν τα στραβά μάτια». Πρόκειται για μια θεμελιώδη αλλαγή που υπερβαίνει τις μεταφορές δεδομένων μεταξύ ΕΕ-ΗΠΑ. Αρχές όπως ο Ιρλανδός Επίτροπος έχουν μέχρι στιγμής υπονομεύσει την επιτυχία του ΓΚΠΔ απλά με το να μην εξετάζουν καταγγελίες. Το Δικαστήριο είπε σαφώς στις Αρχές να προχωρήσουν και να επιβάλλουν τον νόμο.»
Οι τυποποιημένες συμβατικές ρήτρες δεν μπορούν πλέον να χρησιμοποιούνται από το Facebook και Αμερικανικές εταιρείες οι οποίες υπάγονται σε Αμερικανική επιτήρηση
Το Δικαστήριο συμμερίστηκε επίσης την άποψη του κ. Schrems ότι σε πρώτο στάδιο οι εταιρείες της ΕΕ και οι παραλήπτες δεδομένων εκτός ΕΕ πρέπει να επανεξετάσουν τη νομοθεσία στην αντίστοιχη τρίτη χώρα. Μόνο εάν δεν υπάρχει αντιφατικός νόμος μπορούν να χρησιμοποιήσουν τις τυποποιημένες συμβατικές ρήτρες.
Ως δεύτερο επίπεδο προστασίας, η σχετική Αρχή Προστασίας Δεδομένων πρέπει να χρησιμοποιήσει την «ρήτρα έκτακτης ανάγκης» που περιέχεται στις τυποποιημένες συμβατικές ρήτρες (Άρθρο 4 της Απόφασης για τις Τυποποιημένες Συμβατικές Ρήτρες). Σε περιπτώσεις νόμων των ΗΠΑ περί επιτήρησης που παραβιάζουν τις αρχές προστασίας δεδομένων της ΕΕ, οι εταιρείες δεν έλαβαν δράση.
Ο Ιρλανδός Επίτροπος αντιμάχεται αυτή την ιδέα από το 2016 με τον ψευδή ισχυρισμό ότι είχε διακριτική ευχέρεια να μην κάνει τίποτα ενόψει της μαζικής επιτήρησης από ξένες δυνάμεις. Συνοπτικά, αυτό σημαίνει ότι το Facebook δεν μπορεί πλέον να χρησιμοποιεί τις τυποποιημένες συμβατικές ρήτρες για μεταφορές δεδομένων μεταξύ ΕΕ-ΗΠΑ και εάν αυτές συνεχίσουν να παραβιάζουν το νόμο, ο Επίτροπος πρέπει να αναλάβει επείγουσα δράση – σε αντίθεση με κάποιους ισχυρισμούς στις πρώτες αντιδράσεις στην απόφαση.
Schrems: «Η απόφαση καθιστά σαφές ότι οι εταιρείες δεν μπορούν απλώς να υπογράφουν τις τυποποιημένες συμβατικές ρήτρες, αλλά πρέπει επίσης να ελέγχουν εάν αυτές μπορούν να τηρηθούν στην πράξη. Σε περιπτώσεις όπως το Facebook, όπου δεν γινόταν ο σχετικός έλεγχος, ο Επίτροπος είχε τη λύση για αυτήν την υπόθεση στα χέρια του όλον αυτόν τον καιρό. Θα μπορούσε να δώσει εντολή στο Facebook να σταματήσει τις μεταφορές χρόνια πριν. Στην καταγγελία μας, ζητήσαμε να εκδώσει μια ειδοποίηση απαγόρευσης με εύλογη περίοδο εφαρμογής ώστε να επιτρέψει στο Facebook να λάβει όλα τα απαραίτητα μέτρα. Αντ’ αυτού, στράφηκε στο ΔΕΕ για να ακυρώσει τις τυποποιημένες συμβατικές ρήτρες, οι οποίες είναι έγκυρες. Είναι σαν να ουρλιάζεις για να καλέσεις την Ευρωπαϊκή πυροσβεστική υπηρεσία, επειδή απλά δεν θες να σβήσεις ένα κερί μόνος σου.»
Οι χρήστες πρέπει να ενωθούν. Ένας φοιτητής νομικής δεν μπορεί να τα καταφέρει μόνος του
Το γεγονός ότι αυτή η υπόθεση έχει συνεχιστεί για 7 χρόνια και ο Επίτροπος μόνο έχει δαπανήσει σχεδόν 3 εκατομμύρια ευρώ για να καταπολεμήσει την καταγγελία του κ. Schrems αντί να λάβει αποφασιστική δράση για την προστασία των δικαιωμάτων των Ευρωπαίων, δείχνει επίσης κάποια θεμελιώδη ελαττώματα στο σύστημα επιβολής του ΓΚΠΔ. Προς το παρόν, είναι αδύνατο για ένα μέσο άτομο να διασφαλίσει ότι τα δικαιώματα του βάσει του ΓΚΠΔ δεν είναι απλώς μια κενή υπόσχεση, αλλά αντίθετα γίνονται ένα κανονικό κομμάτι της ψηφιακής μας ζωής.
Schrems: «Ο Επίτροπος έχει επενδύσει 2,9 εκατ. ευρώ εναντίον μας – και στην ουσία έχασε. Δεν θέλω καν να μάθω πόσα εκατομμύρια ξόδεψε το Facebook σε αυτήν την υπόθεση. Οι οικονομικές επιπτώσεις αυτής της υπόθεσης θα αποφασιστούν τώρα από τα Ιρλανδικά Δικαστήρια. Σύμφωνα με τη νομοθεσία της ΕΕ, πρέπει να υπάρχει δωρεάν και γρήγορος χειρισμός της καταγγελίας ενός πολίτη. Ωστόσο, σε αυτήν την περίπτωση, βρισκόμαστε στα δικαστήρια για 7 χρόνια με περισσότερες από 45.000 σελίδες υποβληθέντων εγγράφων. Ο μύθος ότι ένας φοιτητής νομικής μπορεί απλά να κάνει κάτι τέτοιο μόνος του είναι δυστυχώς λάθος.»
Οι “απαραίτητες” μεταφορές δεδομένων προς τις ΗΠΑ μπορούν να συνεχιστούν
Παρά την ακυρωτική εξουσία της απόφασης, οι απολύτως «απαραίτητες» μεταφορές δεδομένων μπορούν να συνεχίσουν να διεξάγονται σύμφωνα με το Άρθρο 49 του ΓΚΠΔ. Οποιαδήποτε κατάσταση όπου οι χρήστες θέλουν τα δεδομένα τους να μεταφέρονται στο εξωτερικό εξακολουθούν να είναι νόμιμες, καθώς αυτό μπορεί να βασίζεται στην ενημερωμένη συγκατάθεση του χρήστη, η οποία μπορεί να ανακληθεί ανά πάσα στιγμή. Ομοίως, ο νόμος επιτρέπει μεταφορές δεδομένων για ό, τι είναι «απαραίτητο» για την εκπλήρωση μιας σύμβασης. Αυτή είναι μια σταθερή βάση για τις περισσότερες νομικές συναλλαγές με τις ΗΠΑ. Με απλά λόγια: οι ΗΠΑ έχουν πλέον επανέλθει στην «κανονική» κατάσταση που έχει η ΕΕ με τις περισσότερες άλλες τρίτες χώρες, αλλά έχασε την ειδική της πρόσβαση στην αγορά της ΕΕ λόγω της επιτήρησης από τις ΗΠΑ.
Schrems: «Το Δικαστήριο υπογράμμισε ρητά ότι η ακύρωση της Privacy Shield δεν θα δημιουργήσει «νομικό κενό» καθώς απολύτως απαραίτητες μεταφορές δεδομένων θα μπορούν να συνεχίσουν να πραγματοποιούνται. Οι ΗΠΑ τώρα απλώς επανατοποθετούνται στη θέση μιας μέσης χώρας χωρίς ειδική πρόσβαση σε δεδομένα της ΕΕ.»
Το ιστορικό της υπόθεσης
Ας πάρουμε όμως τα πράγματα από την αρχή για να δούμε πώς φτάσαμε στη σημερινή απόφαση.
Το πρόβλημα: Το νομικό πλαίσιο παρακολούθησης των ΗΠΑ
Το 2013 ο Edward Snowden δημοσιοποίησε ότι οι Μυστικές Υπηρεσίες των ΗΠΑ έχουν πρόσβαση σε προσωπικά δεδομένα Ευρωπαίων πολιτών μέσω προγραμμάτων παρακολούθησης, όπως το PRISM και το Upstream. Μάλιστα, το νομικό πλαίσιο των ΗΠΑ επέτρεπε την πρόσβαση αυτή και την παρακολούθηση, κυρίως μέσω ενός νόμου που είναι γνωστός ως Foreign Intelligence Services Act (FISA) 702.
Ο FISA 702 ψηφίστηκε το 2008. Ταυτόχρονα, μεγάλες αμερικάνικες εταιρείες ηλεκτρονικών επικοινωνιών (Apple, Microsoft, Facebook, Google, Yahoo) άρχισαν να συλλέγουν ολοένα και περισσότερα δεδομένα για χρήστες. Η συλλογή προσωπικών δεδομένων τόσο από τις Αμερικανικές Μυστικές Υπηρεσίες όσο και από τις αμερικανικές εταιρείες δημιούργησε μεγάλα προβλήματα για την ιδιωτικότητα των Ευρωπαίων πολιτών.
Τα έγγραφα που δημοσίευσε ο Edward Snowden αποκάλυψαν τη διαβίβαση προσωπικών δεδομένων στην κυβέρνηση των ΗΠΑ από τις ανωτέρω εταιρείες.
Ο GDPR και το δικαίωμα στην ιδιωτική ζωή στην ΕΕ
Στον αντίποδα, στην ΕΕ το δικαίωμα στην ιδιωτική ζωή κατέχει πρωτεύοντα ρόλο και αναγνωρίζεται στην Ευρωπαϊκή Σύμβαση Ανθρωπίνων Δικαιωμάτων. Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR) βασίζεται στην αντίληψη της ελεύθερης διακίνησης προσωπικών δεδομένων, αλλά μόνο σε ένα πλαίσιο που σέβεται την ιδιωτικότητα των χρηστών.
Αν τα προσωπικά δεδομένα των Ευρωπαίων πολιτών προστατεύονταν μόνο εντός της Ευρωπαϊκής Ένωσης, αλλά μπορούσαν να διαβιβαστούν και να διακινηθούν εκτός ΕΕ χωρίς περιορισμούς, τότε το υψηλό επίπεδο προστασίας θα καταστρατηγούνταν πολύ εύκολα.
Υπόθεση “Schrems I”
Μετά τις αποκαλύψεις του Snowden, ο Maximilian Schrems, Αυστριακός τότε φοιτητής νομικής, υπέβαλε καταγγελία κατά της Facebook Ireland Ltd ενώπιον της Ιρλανδικής Αρχής Προστασίας Δεδομένων. Ισχυρίστηκε ότι τα δεδομένα του δεν έπρεπε να αποστέλλονται από την Facebook Ireland ltd στην Facebook Inc. (την αμερικανική μαμά εταιρεία), καθώς η τελευταία υποχρεούται να δίνει πρόσβαση στις Αμερικανικές Μυστικές Υπηρεσίες, σύμφωνα με την απόφαση Safe Harbor μεταξύ ΕΕ και ΗΠΑ.
Η υπόθεση έφτασε στο Δικαστήριο της Ευρωπαϊκής Ένωσης, το οποίο στις 6 Οκτωβρίου 2015 εξέδωσε μία ρηξικέλευθη απόφαση, κρίνοντας την απόφαση Safe Harbor άκυρη. Το Δικαστήριο υποστήριξε ότι μία τρίτη χώρα, όπως οι ΗΠΑ, πρέπει να προσφέρει ένα “ουσιωδώς ισοδύναμο” επίπεδο προστασίας με αυτό της ΕΕ.
Υπόθεση “Schrems II”
Μετά την έκδοση της απόφασης του Δικαστηρίου της ΕΕ, ο Schrems ενημερώθηκε από την Ιρλανδική Αρχή Προστασίας Δεδομένων ότι η Facebook δε βασιζόταν στη συμφωνία “Safe Harbor” για τη διαβίβαση των δεδομένων του στις ΗΠΑ, αλλά στις λεγόμενες “Τυποποιημένες Συμβατικές Ρήτρες”.
Μετά από αυτή την εξέλιξη, ο Schrems υπέβαλε νέα καταγγελία, η οποία περιλαμβάνει τις Τυποποιημένες Συμβατικές Ρήτρες και κάθε άλλη πιθανή νομική βάση για τη μεταφορά δεδομένων, στην οποία θα μπορούσε να βασιστεί η Facebook.
Ο Schrems ισχυρίστηκε ότι η Ιρλανδική Αρχή Προστασίας Δεδομένων θα έπρεπε να διακόψει τις μεταφορές με βάση το άρθρο 4 των Τυποποιημένων Συμβατικών Ρητρών, δεδομένης της παραβίασης θεμελιωδών δικαιωμάτων των χρηστών.
Η Ιρλανδική Αρχή Προστασίας Δεδομένων, αντί να εκδώσει σχετική απόφαση, στράφηκε νομικά κατά της Facebook Ireland Ltd και του Maximilian Schrems.
Η υπόθεση έφτασε ξανά ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης, το οποίο εξέδωσε απόφαση σήμερα, 16 Ιουλίου 2020.