Ομιλία μας σε διαδικτυακή εκδήλωση του IGF Greece για τη DSA και τις ψηφιακές πλατφόρμες
Η ομιλία μας στο BEYOND EXPO στη Θεσσαλονική είναι διαθέσιμη
H Homo Digitalis στην BEYOND EXPO στη Θεσσαλονίκη
Το Πρόγραμμα Συμμόρφωσης με τον GDPR από μια πρακτική σκοπιά
Γράφει ο Δημοσθένης Κωστούλας, ΜΒΑ, MSc *
Σκοπός του Γενικού Κανονισμού Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (679/2016) είναι η ασφαλής διαχείριση των προσωπικών δεδομένων από φορείς και επιχειρήσεις του δημόσιου και ιδιωτικού τομέα στην ευρωπαϊκή επικράτεια.
Συγκεκριμένα, μέσω της θέσπισης ενιαίων κανόνων, επιχειρείται η προστασία των φυσικών προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων, ενώ παράλληλα προστατεύονται θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμα τους στην προστασία των δεδομένων.
Στο πλαίσιο αυτό, οι οργανισμοί δεν θα πρέπει απλώς να γνωρίζουν τις υποχρεώσεις που απορρέουν από τον κανονισμό και την κείμενη νομοθεσία, αλλά και να υλοποιούν μια σειρά από ενέργειες προς την κατεύθυνση της προστασίας των προσωπικών δεδομένων που επεξεργάζονται.
Πιο συγκεκριμένα, μέσω ενός κατάλληλου προγράμματος συμμόρφωσης, ένας οργανισμός θα πρέπει να αναπτύξει όλους τους απαραίτητους μηχανισμούς, για να είναι σε θέση να ικανοποιεί, μεταξύ των άλλων, και:
- τις θεμελιώδεις αρχές για τη νομιμότητα κάθε επεξεργασίας,
- τα θεμελιώδη δικαιώματα των υποκειμένων (ενημέρωση, πρόσβαση, διόρθωση, διαγραφή (λήθη), περιορισμός επεξεργασίας, εναντίωση (και στο profiling) και φορητότητα,
- τις υποχρεώσεις του ως υπεύθυνος επεξεργασίας.
Ειδικότερα για την αρχή της λογοδοσίας του υπεύθυνου επεξεργασίας, η οπoία αποτελεί και μια από τις θεμελιώδεις αρχές του GDPR, η λογοδοσία αυτή καθαυτή προκύπτει από την ευθύνη συμμόρφωσης του οργανισμού και την υποχρέωση απόδειξης της συμμόρφωσης ανά πάσα ώρα και στιγμή.
Στο πλαίσιο αυτό, η διοίκηση ενός οργανισμού θα πρέπει να στραφεί προς την προοπτική συμμόρφωσης, αντιλαμβανόμενη ωστόσο ότι μια ουσιαστική συμμόρφωση απαιτεί δέσμευση, πόρους και εργατοώρες.
ΠΡΙΝ ΤΗΝ ΕΝΑΡΞΗ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ
Επιλογή τρόπου συμμόρφωσης
Εφόσον κριθεί ότι η συμμόρφωση είναι απαραίτητη, η διοίκηση ενός οργανισμού θα πρέπει να επιλέξει σε ποιόν θα ανατεθεί το έργο της συμμόρφωσης.
Όπως και στην περίπτωση διορισμού του υπεύθυνου προστασίας δεδομένων (εφεξής DPO), ένας οργανισμός θα μπορούσε να εξετάσει το ενδεχόμενο της ανάθεσης του έργου συμμόρφωσης σε άτομο ή άτομα που απασχολούνται ήδη στον οργανισμό ή να εξετάσει το ενδεχόμενο ανάθεσης του έργου συμμόρφωσης σε σύμβουλο με αποδεδειγμένη δραστηριότητα στο συγκεκριμένο τομέα.
Πρώτη αυτοαξιολόγηση
Από την στιγμή που θα γίνει η τελική επιλογή του τρόπου συμμόρφωσης, θα πρέπει να ξεκινήσουν οι διαδικασίες προς αυτήν την κατεύθυνση.
Καταρχάς, και στις δύο περιπτώσεις (εσωτερική ή εξωτερική ανάθεση), θα πρέπει να συμπληρώνεται ένα ερωτηματολόγιο αρχικής αυτοαξιολόγησης σχετικά με το υφιστάμενο επίπεδο προστασίας δεδομένων του οργανισμού. Αυτό θα βοηθήσει τόσο τον οργανισμό, όσο και τον υπεύθυνο συμμόρφωσης, για να γνωρίζουν από ποια βάση εκκινούν.
Το αποτέλεσμα της αυτοαξιολόγησης μπορεί σε κάποιες περιπτώσεις να επηρεάσει και το συνολικό τίμημα, αφού ενδεχομένως να απαιτηθεί μεγαλύτερη ή μικρότερη προσπάθεια ανάλογα με το υφιστάμενο επίπεδο ετοιμότητας του οργανισμού.
Ορισμός ομάδας εργασίας
Επιπλέον, σε περίπτωση εξωτερικής ανάθεσης, θα πρέπει ο οργανισμός να ορίσει έναν ή και παραπάνω υπεύθυνους επικοινωνίας με την ομάδα συμμόρφωσης και, επιπλέον, να ορίσει μια στενή «ομάδα εργασίας».
Μια ουσιαστική συμμόρφωση απαιτεί διαρκή επικοινωνία μεταξύ των δύο μερών, τόσο για την άμεση ανταλλαγή δεδομένων και πληροφοριών, όσο και για επιτόπιες απαντήσεις και διευκρινήσεις σε απορίες και ερωτήματα της ομάδας συμμόρφωσης.
Πρώτη γνωστοποίηση στο προσωπικό
Σε αυτήν την φάση, απαραίτητη κρίνεται και μια επίσημη ενημέρωση του προσωπικού κάθε ειδικότητας, σχετικά με το επικείμενο πρόγραμμα συμμόρφωσης, καθώς και για την εμπλοκή όλων των βαθμίδων ιεραρχίας και όλων των τμημάτων σε αυτήν την συλλογική προσπάθεια.
ΥΛΟΠΟΙΗΣΗ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ
Ενδεικτικό Πρόγραμμα Συμμόρφωσης
Όπως είναι αντιληπτό, σκοπός είναι η διασφάλιση του μέγιστου βαθμού συμμόρφωσης του οργανισμού στις απαιτήσεις και τις προϋποθέσεις του GDPR, με γνώμονα η συμμόρφωση να μην δημιουργεί εμπόδια στην καθημερινή λειτουργία και δραστηριότητα του οργανισμού.
Το πρόγραμμα συμμόρφωσης χωρίζεται σε επιμέρους στάδια, κάθε ένα από τα οποία είναι σημαντικό, αφού αποτελούν ενδιάμεσους κρίκους που θα οδηγήσουν στην τελική συμμόρφωση του οργανισμού.
Σε γενικές γραμμές, στην αρχή διεξάγεται μια εκτίμηση του υφιστάμενου επιπέδου συμμόρφωσης σχετικά με τον διαχείριση των προσωπικών δεδομένων.
Στην πορεία, και αφού έχουν συλλεγεί όλες οι απαραίτητες πληροφορίες, προετοιμάζεται ένα πλάνο δράσης στο οποίο περιλαμβάνονται τα προτεινόμενα μέτρα, τα οποία θα πρέπει να έχουν συμφωνηθεί με τον οργανισμό. Το κάθε στάδιο θα πρέπει να συνοδεύεται και από ένα σαφές χρονοδιάγραμμα υλοποίησης.
Το χρονοδιάγραμμα υλοποίησης και η χρονική διάρκεια κάθε επιμέρους φάσης, αλλά και του συνολικού προγράμματος συμμόρφωσης, διαφοροποιούνται κατά περίπτωση.
ΠΡΩΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ
Πρώτες συναντήσεις και επιτόπιες επιθεωρήσεις
Στην πλειονότητα των περιπτώσεων, το έργο συμμόρφωσης ξεκινάει με μια πρώτη συνάντηση, για να ακολουθήσουν πολλές άλλες συναντήσεις και ανταλλαγές πληροφοριών. Στην πρώτη συνάντηση διαμορφώνεται ένα κοινά αποδεκτό πλάνο ενεργειών, χωρισμένο σε επιμέρους στάδια και με σαφή χρονοδιαγράμματα, ενώ παράλληλα τίθενται επί τάπητος τα βασικά θέματα και οι διαδικασίες που θα πρέπει να ακολουθηθούν.
Αρχικές εκπαιδεύσεις
Στην φάση αυτή πραγματοποιούνται οι πρώτες γενικές εκπαιδεύσεις για τον GDPR στην διοίκηση και στο προσωπικό, ξεκινώντας από τους διευθυντές / προϊσταμένους των τμημάτων. Στην περίπτωση πολυπληθών οργανισμών, η πρώτη εκπαίδευση θα μπορούσε να είναι μια ευρεία παρουσίαση που απευθύνεται σε μεγάλο αριθμό προσωπικού.
Ευρετήριο Προσωπικών Δεδομένων και Αρχείο Ροών Δεδομένων
Τόσο το Ευρετήριο Προσωπικών Δεδομένων, όσο και το Αρχείο Ροών Δεδομένων, αποτελούν προπομπούς του Αρχείου Χαρτογράφησης, του Αρχείου Δραστηριοτήτων Επεξεργασίας, αλλά και της μετέπειτα Μελέτης Αποκλίσεων.
Τα δεδομένα συλλέγονται από συμπεράσματα που προκύπτουν τόσο από συναντήσεις και προφορικές συζητήσεις, όσο και μέσω της διανομής και συμπλήρωσης ειδικού ερωτηματολογίου.
Αρχείο Χαρτογράφησης
Αποτελεί μια χρήσιμη ανάλυση της υφιστάμενης κατάστασης σχετικά με την προστασία προσωπικών δεδομένων και των κινδύνων που ελλοχεύουν.
Στο συγκεκριμένο αρχείο πραγματοποιείται μια παρουσίαση των ευρημάτων ανά τμήμα ή/και θέση εργασίας που σχετίζονται με την προστασία των δεδομένων. Η συγκεκριμένη μελέτη θα πρέπει να περιλαμβάνει όλες τις ήδη εντοπισμένες δραστηριότητες του οργανισμού.
Αρχείο Δραστηριοτήτων Επεξεργασίας
Μαζί με την Αρχείο Χαρτογράφησης, σε αυτήν την φάση προετοιμάζεται και απαραίτητο Αρχείο Δραστηριοτήτων, στο οποίο θα πρέπει να απεικονίζονται όλα όσα ορίζει ο GDPR.
Πρώτα νομικά, τεχνικά και οργανωτικά θέματα συμμόρφωσης
Πέρα από τα παραδοτέα αρχεία που προαναφέρθηκαν, στην πρώτη φάση του προγράμματος συμμόρφωσης συστήνεται να ξεκινήσει η υλοποίηση και συγκεκριμένων κρίσιμων διορθωτικών οργανωτικών και τεχνικών μέτρων, για τα οποία κρίνεται σκόπιμο να μην υπάρξουν καθυστερήσεις.
ΔΕΥΤΕΡΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ
Επόμενες συναντήσεις – επισκέψεις – εκπαιδεύσεις
Στην δεύτερη φάση του προγράμματος συμμόρφωσης, πραγματοποιούνται νέες επισκέψεις σύμφωνα με την εξέλιξη της συμμόρφωσης, ενώ συζητούνται τα παραδοτέα αρχεία της πρώτης φάσης, με περεταίρω εμβάθυνση σε όσα πεδία είναι σημαντικά ή για τα οποία ενδεχομένως να υπάρχουν απορίες.
Ανάλυση Αποκλίσεων
H Ανάλυση Αποκλίσεων έχει σκοπό τον εύρεση των νομικών, κανονιστικών, οργανωτικών και τεχνολογικών αποκλίσεων ως προς τις απαιτήσεις και τις προϋποθέσεις του Κανονισμού.
Θα μπορούσε να ειπωθεί ότι η συγκεκριμένη ανάλυση αφορά μια επαλήθευση των προβληματικών πεδίων που βρέθηκαν από την φάση της αρχικής χαρτογράφησης, μόνο που εδώ συσχετίζονται με συγκεκριμένες απαιτήσεις του Κανονισμού.
Ανάλυση Κινδύνων
Αν και η ενδεδειγμένη μέθοδος για την εκτίμηση του επιπέδου ασφάλειας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα αποτελεί η υλοποίηση της Μελέτης Αντικτύπου (DPIA), σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 35 του ΓΚΠΔ, η προαναφερόμενη εκτίμηση και αξιολόγηση των κινδύνων, που απορρέουν από την επεξεργασία, πρέπει να διενεργείται σε κάθε περίπτωση, ακόμα και στις περιπτώσεις επεξεργασιών για τις οποίες δεν απαιτείται διενέργεια μελέτης αντικτύπου.
Η ανάλυση συστήνεται να υλοποιείται τόσο πριν, όσο και μετά από την εφαρμογή των προτεινόμενων μέτρων.
Μελέτη Αντικτύπου (Data Privacy Impact Analysis)
Σύμφωνα με τον Άρθρο 35 του Κανονισμού 679/2016, «όταν ένα τύπος επεξεργασίας, ιδίως με την χρήση τεχνολογιών, λαμβανομένων υπόψη της φύσης, του πλαισίου, του πεδίου εφαρμογής και των σκοπών επεξεργασίας, είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, προβαίνει σε εκτίμηση επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα».
Σε αυτό το σημείο κρίνεται σκόπιμη η αναφορά στην σχέση της γενικότερης Ανάλυσης Κινδύνων με την ειδικότερη Μελέτη Αντικτύπου.
Η Μελέτη Αντικτύπου αποτελεί ουσιαστικά μια μεθοδολογία Risk Assessment (ή αλλιώς, ένα υποσύνολο της) με κοινές αρχές και στόχους.
Και αυτό, αφού πολλές από τις ενέργειες και δράσεις που εφαρμόζονται για την Μελέτη Αντικτύπου, εκπονούνται ήδη για γενικότερη Ανάλυση Κινδύνων. Άλλωστε, πολλοί οργανισμοί (συνήθως οι μεγάλοι σε μέγεθος), μπορεί να επιλέξουν να ενσωματώσουν την Μελέτη Αντικτύπου στο ευρύτερο εταιρικό πλαίσιο διαχείρισης κινδύνων που υιοθετούν.
ΤΡΙΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ
Τελευταίες επισκέψεις και εκπαιδεύσεις
H τελευταία φάση του προγράμματος συμμόρφωσης αποτελείται από συναντήσεις κατά τις οποίες συνοψίζονται εκ νέου όλα τα παραδοτέα αρχεία, με αναφορά στους κινδύνους / ευρήματα και στα κατάλληλα τεχνικά και οργανωτικά μέτρα. Τα επόμενα βήματα που θα ακολουθήσει ο οργανισμός είναι πολύ σημαντικά για την διαρκή και ουσιαστική του συμμόρφωση με τις απαιτήσεις του GDPR. Παράλληλα, υλοποιούνται και οι τελευταίες εκπαιδεύσεις για το προσωπικό που πιθανόν απουσίαζε από τις αρχικές εκπαιδεύσεις.
Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων
Σε αυτήν την φάση υλοποιείται και παραδίδεται το Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων για την Προστασία Προσωπικών Δεδομένων.
Πρόκειται μια λίστα των μέτρων με λεπτομέρειες για το ποιος / ποιοι θα το υλοποιήσουν, το status υλοποίησης, ένα χρονοδιάγραμμα υλοποίησης και σχετικές παρατηρήσεις. Το συγκεκριμένο αρχείο πρέπει να παρακολουθείται στην συνέχεια από τον DPO, ο οποίος και θα πρέπει να το διατηρεί μονίμως επικαιροποιημένο.
Σχεδιασμός και διανομή πολιτικών, διαδικασιών, οδηγιών εργασίας, εντύπων
Βάσει του Προγράμματος Υλοποίησης Προτεινόμενων Μέτρων, σε αυτήν την φάση σχεδιάζονται και διανέμονται επίσημα καταγεγραμμένες πολιτικές, διαδικασίες και οδηγίες εργασίας, οι οποίες σχετίζονται με την ασφάλειας των δεδομένων και έχουν σαν σκοπό την κάλυψη των αποκλίσεων που εντοπίστηκαν κατά την δεύτερη φάση.
ΟΛΟΚΛΗΡΩΣΗ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ
Με την παράδοση και των τελευταίων Πολιτικών, Διαδικασιών, Οδηγιών Εργασίας, Εντύπων και άλλων παραδοτέων που συγκαταλέγονται στα προτεινόμενα μέτρα, μπορεί να θεωρηθεί ότι ολοκληρώνεται επισήμως το πρόγραμμα συμμόρφωσης του οργανισμού.
Ωστόσο, οι οργανισμοί είθισται να παρουσιάζουν σημεία απόκλισης μετά από το τέλος της περιόδου επίσημης συμμόρφωσης, με τα σημεία απόκλισης να μεγαλώνουν με το πέρασμα του χρόνου.
Αυτή η αντίδραση μπορεί να θεωρηθεί σε κάποιο βαθμό δικαιολογημένη και αναμενόμενη, αφού η πίεση της καθημερινότητας και οι μεγάλες απαιτήσεις σε σχέση με την κύρια δραστηριότητα και την απρόσκοπτη λειτουργία ενός οργανισμού, μπορεί να θέσουν σταδιακά την προστασία των δεδομένων σε δεύτερη προτεραιότητα.
Για τους παραπάνω λόγους, η παρουσία ενός Υπεύθυνου Προστασίας Δεδομένων (DPO) πρέπει να είναι ουσιαστική και συνεχόμενη, μέσα από μια σειρά ενεργειών, οι οποίες θα καλλιεργούν και θα συντηρούν μια πιο μόνιμη κουλτούρα συμμόρφωσης εντός του οργανισμού (για περισσότερες πληροφορίες: https://www.homodigitalis.gr/posts/7535).
Ακόμα όμως και στις περιπτώσεις όπου δεν απαιτείται η παρουσία ενός DPO, οι οργανισμοί θα πρέπει από μόνοι τους να εφαρμόζουν όλα τα απαραίτητα για μια ουσιαστική συμμόρφωση με το GDPR και την κείμενη νομοθεσία σχετικά με την προστασία προσωπικών δεδομένων.
*Ο Δημοσθένης Κ. Κωστούλας, GDPR Expert / certified DPO – QMS Lead auditor ISO 9001:2015, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος τίτλων MBΑ από το ICBS Thessaloniki Business College και MSc in International Business and Finance από το Reading University, UK. Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι αρθρογράφος για το GDPR. Είναι γενικός γραμματέας, μέλος Δ.Σ. και επικεφαλής της επιτροπής επικοινωνίας και εκδηλώσεων, του Ελληνικού παραρτήματος του European Association of Data Protection Professional (EADPP), επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος του DPO Network Greece, μέλος της ομάδας Homo Digitalis και μέλος του Ινστιτούτου Επαγγελματιών Ιδιωτικότητας Β. Ελλάδος (ΙΝ.ΕΠ.ΙΔ).
Πηγές:
Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
http://homodigitalis.gr/posts/8519, Μικρομεσαίες επιχειρήσεις και Προστασία Προσωπικών Δεδομένων (GDPR), 7 Φεβρουαρίου 2021
http://homodigitalis.gr/posts/7535, Ο ρόλος και η «καθημερινότητα» του Υπεύθυνου Προστασίας Δεδομένων (DPO), 11 Οκτωβρίου, 2020
Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679 https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL
Η ΕΛ.ΑΣ. αρνείται πρόσβαση σε αποφάσεις που οφείλει να κοινοποιεί στην ιστοσελίδα της
Τον Δεκέμβριο του 2020 πολίτες απευθύνθηκαν στον Αρχηγό της Ελληνικής Αστυνομίας ζητώντας πρόσβαση στις αποφάσεις λειτουργίας drones και άλλων φορητών καμερών σε δημόσιους χώρους σύμφωνα με τις διατάξεις του άρθρου 12 του Προεδρικού Διατάγματος 75/2020 και τις διατάξεις του κώδικα διοικητικής διαδικασίας.
Η ΕΛ.ΑΣ. απάντησε στο αίτημα πρόσβασης αρκετούς μήνες μετά την κατάθεσή του αρνούμενη την ικανοποίηση του, παρά το γεγονός ότι οι αποφάσεις για τις οποίες αιτήθηκαν πρόσβαση οι πολίτες θα έπρεπε να έχουν ήδη κοινοποιηθεί στην ιστοσελίδα της.
Συγκεκριμένα, σύμφωνα με το άρθρο 12 παρ. 2 του Π.Δ. 75/2020, η ΕΛ.ΑΣ., ως υπεύθυνος επεξεργασίας, οφείλει κάθε φορά πριν την λειτουργία συστήματος επιτήρησης σε δημόσιο χώρο να εκδίδει και να κοινοποιεί την απόφαση λειτουργίας του συστήματος αυτού τουλάχιστον στην ιστοσελίδα της προσδιορίζοντας υποχρεωτικά: α) τον χρόνο ενεργοποίησης, β) τη διάρκεια λειτουργίας του, γ) την εμβέλεια λειτουργίας του, δ) τα ειδικότερα χαρακτηριστικά του, και ε) την αιτιολόγηση της σκοπιμότητας της χρήσης του σύμφωνα με τα όσα ορίζει το άρθρο 5 του Π.Δ. 75/2020 και το άρθρο 14 του ν.3917/2011.
Ωστόσο, η ΕΛ.ΑΣ. αρκείται στη δημοσίευση μίας απλής ανακοίνωσης στην ιστοσελίδα της, η οποία ενδεικτικά αναφέρει μόνο τον αριθμό της κάθε απόφασης λειτουργίας, τη διάρκεια λειτουργίας τους και τον τόπο λειτουργίας τους κατά γενικό και αόριστο τρόπο. Στην ανακοίνωση αυτή δεν κοινοποιείται δηλαδή το περιεχόμενο της απόφασης λειτουργίας, ενώ επίσης δεν γίνεται καμία αναφορά σε σημαντικά στοιχεία που ορίζει το άρθρο 12 παρ. 2 του Π.Δ. 75/2020 και συγκεκριμένα στην εμβέλεια λειτουργίας του συστήματος, στα ειδικότερα χαρακτηριστικά του, και στην αιτιολόγηση της σκοπιμότητας της χρήσης του.
Μπορείτε να δείτε αναλυτικά την απάντηση της ΕΛ.ΑΣ. τον Μάρτιο του 2021 στα αιτήματα πρόσβασης των πολιτών εδώ.
Δημοσιοποίηση ευαίσθητων προσωπικών δεδομένων: μια «πανδημία» στον ψηφιακό κόσμο
Γράφει ο Ευάγγελος Φαρμακίδης*
Αυτό το μήνα γίναμε μάρτυρες μιας σειράς πρωτόγνωρων περιστατικών παράνομης βίας, η οποία ακολουθήθηκε από μια εξίσου πρωτόγνωρη προσβολή του συνταγματικώς και σε διεθνείς, ευρωπαϊκές και ενωσιακές συμβάσεις και συνθήκες κατοχυρωμένου δικαιώματος στην ιδιωτική ζωή υπό την ειδικότερη έκφανση της προστασίας των δεδομένων προσωπικού χαρακτήρα των ανθρώπων που υπήρξαν θύματα αυτών.
Το πρώτο περιστατικό βίας έλαβε χώρα στις 7-3-2021 και αφορά τον αδικαιολόγητο ξυλοδαρμό με μεταλλικό γκλοπ πολίτη από αστυνομικό στην πλατεία Νέας Σμύρνης.
Αυτό το περιστατικό βίας ακολουθήθηκε από μια βάναυση προσβολή του δικαιώματος στην προστασία των προσωπικών δεδομένων του πολίτη, ο οποίος την προηγούμενη ημέρα είχε ξυλοκοπηθεί.
Συγκεκριμένα, στις 8-3-2021 βουλευτής προσπαθώντας χωρίς ιδιαίτερη επιτυχία να δικαιολογήσει την παραπάνω πράξη παράνομης βίας εκ μέρους του αστυνομικού, προχώρησε σε δημοσιοποίηση ακόμα και ευαίσθητων προσωπικών δεδομένων του πολίτη, ο οποίος ξυλοκοπήθηκε.
Ο βουλευτής αποκάλυψε κατά τη διάρκεια ζωντανής μετάδοσης σε γνωστό τηλεοπτικό σταθμό τόσο δεδομένα που αφορούν την ταυτότητά του, όσο και δεδομένα που σχετίζονται με τις πολιτικές πεποιθήσεις του, τη συμμετοχή του σε ένωση προσώπων σχετική με τις παραπάνω πεποιθήσεις, καθώς και δεδομένα που αφορούν ποινικές διώξεις.
Μάλιστα ως «απάντηση» στην διαρροή των δεδομένων του πολίτη, διέρρευσαν στη συνέχεια στο διαδίκτυο και τα δεδομένα του αστυνομικού που τον ξυλοκόπησε, συμπεριλαμβανομένων φωτογραφιών του και των πολιτικών του πεποιθήσεων.
Στις 9-3-2021 ακολούθησε ένα ακόμη περιστατικό βίας. Ένας 24χρονος αστυνομικός της ομάδας Δράση κατά τη διάρκεια της υπηρεσίας του ξυλοκοπήθηκε βάναυσα από ομάδα διαδηλωτών, οι οποίοι κατάφεραν να τον ρίξουν από την υπηρεσιακή μηχανή στην οποία επέβαινε ως συνοδηγός.
Αμέσως μετά το παραπάνω περιστατικό στα μέσα μαζικής ενημέρωσης, καθώς και στα μέσα κοινωνικής δικτύωσης διέρρευσαν προσωπικά δεδομένα του αστυνομικού-θύματος που σχετίζονταν με την ταυτότητά του, την καταγωγή του, την οικογένειά του, την επαγγελματική και προσωπική του ζωή κατά τη διάρκεια και πριν την κατάταξή του στην Ελληνική Αστυνομία, καθώς και δεδομένα που αφορούν τα πολιτικά του φρονήματα, τις θρησκευτικές και φιλοσοφικές του πεποιθήσεις και τη συμμετοχή του σε σχετικές οργανώσεις.
Τις επόμενες ημέρες «παρέλασαν» μπροστά από τις οθόνες μας πλήθος δεδομένων προσωπικού χαρακτήρα υπόπτων και κατηγορουμένων για την παραπάνω αξιόποινη πράξη κατά του αστυνομικού.
Μεταξύ των άλλων διέρρευσαν στα μέσα μαζικής ενημέρωσης και στα μέσα κοινωνικής δικτύωσης προσωπικά δεδομένα που αφορούσαν την ταυτότητα τους, την καταγωγή τους, την οικογενειακή και επαγγελματική τους ζωή, προηγούμενες ποινικές διώξεις και καταδίκες, παραβιάζοντας με τον τρόπο αυτό όχι μόνον το δικαίωμα της ιδιωτικής ζωής, αλλά και το τεκμήριο αθωότητας των υπόπτων/κατηγορουμένων, άλλο ένα αρνητικό φαινόμενο της εποχής μας, το οποίο έχει λάβει επίσης ενδημικές διαστάσεις.
Σύμφωνα με τους ισχύοντες σήμερα ορισμούς του άρθρου 2 περ. β του Ν. 2472/1997 (το οποίο παραμένει σε ισχύ και μετά τον Ν. 4624/2019, δυνάμει του άρθρου 84 του τελευταίου), τα δεδομένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων αποτελούν «ευαίσθητα δεδομένα» (ή δεδομένα ειδικών κατηγοριών, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων).
Κατά κανόνα η επεξεργασία των παραπάνω δεδομένων απαγορεύεται, ενώ κατ’ εξαίρεση επιτρέπεται για τους λόγους που προβλέπονται στο άρθρο 9 παρ. 2 του Γενικού Κανονισμού Προστασίας Δεδομένων.
Μάλιστα, η αντίθετη με τις παραπάνω νομοθετικές προβλέψεις επεξεργασία ευαίσθητων δεδομένων (ή δεδομένων ειδικών κατηγοριών), πέρα από τις προβλεπόμενες διοικητικές κυρώσεις, αποτελεί και ποινικό αδίκημα (άρθρο 38 του Ν. 4624/2019).
Εξαίρεση από τον παραπάνω κανόνα αποτελεί για παράδειγμα η δημοσιοποίηση δεδομένων προσωπικού χαρακτήρα σχετικά με ποινικές διώξεις ή καταδίκες από εισαγγελική αρχή.
Ο εξαιρετικός λόγος της δημοσιοποίησης των παραπάνω ευαίσθητων δεδομένων, καθώς και οι ιδιαίτερα αυστηρές προϋποθέσεις, τις οποίες θέτει ο Νόμος αποδεικνύει τη σημασία που αποδίδει ο νομοθέτης στην προστασία των δεδομένων αυτών.
Πιο συγκεκριμένα η δημοσιοποίηση αυτή είναι επιτρεπτή για ορισμένα μόνον αδικήματα, γίνεται με διάταξη του αρμόδιου Εισαγγελέα, η οποία θα πρέπει να είναι ειδικώς και πλήρως αιτιολογημένη και θα πρέπει να προσδιορίζει τον τρόπο δημοσιοποίησης και το χρονικό διάστημα που θα διαρκέσει.
Η εξαιρετική αυτή περίπτωση δημοσιοποίησης αποσκοπεί στην προστασία του κοινωνικού συνόλου, των ανηλίκων, των ευάλωτων ή ανίσχυρων πληθυσμιακών ομάδων και προς ευχερέστερη πραγμάτωση της αξίωσης της Πολιτείας για τον κολασμό των αδικημάτων.
Μάλιστα, κατά αυτής της εισαγγελικής διάταξης δίνεται η δυνατότητα στον θιγόμενο να αμυνθεί, αφού ο νόμος επιτρέπει στον κατηγορούμενο ή τον κατάδικο την προσφυγή εντός 2 ημερών από τη γνωστοποίηση σε αυτόν της εισαγγελικής διάταξης.
Από τα παραπάνω καθίσταται σαφές ότι ο νομοθέτης επιφύλαξε την παραπάνω δυνατότητα δημοσιοποίησης ευαίσθητων δεδομένων μόνο για τους εισαγγελείς, θέτοντας όμως ακόμα και σε αυτούς ένα ιδιαίτερα αυστηρό πλαίσιο περιορισμών.
Καταληκτικά, το γεγονός ότι πολίτες, δημοσιογράφοι, αλλά ακόμα και βουλευτές παραβιάζουν τον Νόμο είναι σαφώς ανησυχητικό.
Αυτό που προκαλεί όμως τη μεγαλύτερη ανησυχία είναι ότι ολοένα και περισσότερο το δικαίωμα στην ιδιωτική ζωή ανθρώπων, οι οποίοι μάλιστα υπήρξαν προηγουμένως θύματα αξιόποινων πράξεων, θυσιάζεται στον βωμό των likes, της τηλεθέασης και πολιτικών σκοπιμοτήτων.
Οι «εκπτώσεις» στην προστασία της ιδιωτικής ζωής είναι χωρίς αμφιβολία ένα από τα πιο ανησυχητικά φαινόμενα της εποχής μας, το οποίο τείνει να λάβει διαστάσεις πανδημίας.
*Ο Ευάγγελος Φαρμακίδης είναι δικηγόρος, διαπιστευμένος διαμεσολαβητής και μέλος της Homo Digitalis.
Καταγγελίες για παράβαση του GDPR από το 13033
Στις 8 Φεβρουαρίου 2021, 5 μέλη της Homo Digitalis υπέβαλλαν καταγγελίες κατά της Γενικής Γραμματείας Πολιτικής Προστασίας για παράβαση του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) και του Ν. 4624/2019, όσον αφορά στη χρήση του ειδικού αριθμού 13033.
Οι καταγγελίες υποβλήθηκαν ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Στις 23 Νοεμβρίου 2020, 5 μέλη της οργάνωσης μας άσκησαν το δικαίωμα πρόσβασης προς τη Γενική Γραμματεία Πολιτικής Προστασίας προκειμένου να μάθουν ποια δεδομένα τους επεξεργάζεται η Γενική Γραμματεία κατά τη χρήση του 13033, για πόσο διάστημα τα διατηρεί, ποιος έχει πρόσβαση σε αυτά και αν έχει οριστεί Υπεύθυνος Προστασίας Δεδομένων από τη Γενική Γραμματεία.
Όπως ορίζεται ρητά στον GDPR αλλά και στην Πολιτική Απορρήτου του 13033, ο υπεύθυνος επεξεργασίας (δηλ. η Γενική Γραμματεία Πολιτικής Προστασίας) οφείλει να ικανοποιήσει χωρίς καθυστέρηση το δικαίωμα αυτό το αργότερο σε 1 μήνα από την υποβολή του αιτήματος.
Η προθεσμία αυτή μπορεί να παραταθεί για 2 επιπλέον μήνες, εάν το αίτημα είναι πολύπλοκο ή ο αριθμός των αντιγράφων που πρέπει να χορηγήσει ο υπεύθυνος επεξεργασίας είναι μεγάλος. Όμως, η παράταση της προθεσμίας πρέπει να γνωστοποιηθεί στον πολίτη εντός του πρώτου μήνα από την άσκηση του δικαιώματός του.
Σήμερα έχουν περάσει περισσότεροι από 2 μήνες από την άσκηση των δικαιωμάτων των μελών μας. Δεν έχουν λάβει ακόμα καμία απάντηση από τη Γενική Γραμματεία Πολιτικής Προστασίας, ούτε απόδειξη παραλαβής των αιτημάτων ή ενημέρωση που να αφορά στην πιθανή παράταση της προθεσμίας προκειμένου να σταλεί απάντηση στα αιτήματα τους.
Είναι σαφές ότι η Γενική Γραμματεία Πολιτικής Προστασίας έχει παραβεί τις υποχρεώσεις της με βάση τη νομοθεσία.
Υπενθυμίζεται ότι δεν είναι η μοναδική αστοχία όσον αφορά στην επεξεργασία προσωπικών δεδομένων από τη χρήση του 13033.
Η Homo Digitalis το 2020 προέβη σε τρεις ενέργειες που αφορούσαν στη χρήση του αριθμού αυτού. Αρχικά, έστειλε δύο επιστολές στη Γενική Γραμματεία Πολιτικής Προστασίας, τονίζοντας τις σημαντικές ασάφειες και τα κενά στην Πολιτική Απορρήτου σχετικά με την επεξεργασία δεδομένων από το 13033.
Καθώς οι επιστολές έμειναν αναπάντητες και δεν έγινε καμία τροποποίηση της Πολιτικής Απορρήτου, η Homo Digitalis αιτήθηκε την έκδοση γνωμοδότησης από την Αρχή Προστασίας Δεδομένων σχετικά με τη χρήση του αριθμού 13033.
Η παράταση της χρήσης του 13033 και ο μεγάλος όγκος των δεδομένων των πολιτών που επεξεργάζονται καθημερινά μέσω του αριθμού αυτού καθιστούν επιτακτική την ανάγκη προστασίας των δεδομένων αυτών.
Η επεξεργασία των δεδομένων από το 13033 αφορά όλους τους πολίτες που κινούνται εντός της Ελληνικής Επικράτειας και πρέπει να προστατεύεται από την Πολιτεία.
Παρουσίαση της καμπάνιας "Reclaim Your Face" στο Devstaff Community
Την Πέμπτη, 10 Δεκεμβρίου 2020 η Εύα Δαβάκη και η Αγγελική Τηλιγάδη εκπροσώπησαν τη Homo Digitalis στην online εκδήλωση, που διοργάνωσε η Devstaff Community.
Τα δύο μέλη της Homo Digitalis μίλησαν για για την «Ιδιωτικότητα και την επεξεργασία των βιομετρικών δεδομένων σε δημόσιους χώρους, καθώς και για την πανευρωπαϊκή καμπάνια “Reclaim Your Face”».
Ειδικότερα, η καμπάνια ξεκίνησε από τη Homo Digitalis και άλλες 9 οργανώσεις της κοινωνίας των πολιτών από την Ευρώπη και αποσκοπεί στην απαγόρευση της μαζικής βιομετρικής παρακολούθησης, χωρίς διαφανείς διαδικασίες και σαφές νομοθετικό πλαίσιο.
Υποστηρίξτε και εσείς την καμπάνια, υπογράφοντας τώρα στη σελίδα μας!
Στην εκδήλωση συμμετείχε επίσης το Caprice Community του ΙΤΕ, παρουσιάζοντας την πλατφόρμα CAP-A, η οποία ενισχύει την ιδιωτικότητα των χρηστών εφαρμογών συσκευών Android.
Αξιολογήσαμε τις εφαρμογές που χρησιμοποιούμε με το εργαλείο του CAP-A
Με την πανδημία του Covid-19 να καλπάζει ανεξέλεγκτη, αναγκαστήκαμε μέσα σε μικρό χρονικό διάστημα να εξοικειωθούμε και να κάνουμε μέρος της καθημερινότητάς μας εφαρμογές που μέχρι πρότινος αγνοούσαμε, όπως το Skype for Business, το Zoom ή το MS Teams προκειμένου να διευκολυνθεί η εργασία μας ακόμα και οι κοινωνικές και προσωπικές μας επαφές.
Παράλληλα, εξακολουθούμε να χρησιμοποιούμε πλατφόρμες κοινωνικής δικτύωσης για την επικοινωνία μας με συγγενείς και φίλους ενώ εμείς ή τα παιδιά μας παίζουμε online παιχνίδια.
Άραγε έχουμε αναρωτηθεί πόσες από τις εφαρμογές που χρησιμοποιούμε καθημερινά σέβονται την ιδιωτικότητα των χρηστών τους και αν εφαρμόζεται ορθά ο Γενικός Κανονισμός Προσωπικών Δεδομένων (GDPR);
Γιατί, για παράδειγμα, αυτές οι εφαρμογές ζητούν πρόσβαση στη λίστα επαφών και στο άλμπουμ των φωτογραφιών μας; Είναι πάντα απαραίτητη η πρόσβαση στο μικρόφωνο και στην ακριβή τοποθεσία μας;
Πρόσφατα το Εργαστήριο Πληροφοριακών Συστημάτων του Ινστιτούτου Πληροφορικής του Ιδρύματος Τεχνολογίας & Έρευνας (ΙΤΕ) με αφορμή την πρωτοβουλία CAPrice προσέγγισε τη HomoDigitalis προκειμένου να δημιουργηθεί ένα “κίνημα” ευαισθητοποίησης σχετικά με τις συνέπειες που μπορεί να έχουν οι ψηφιακές τεχνολογίες ως προς την προστασία της ιδιωτικής ζωής.
Στόχος είναι να δημιουργηθεί μια κοινότητα ανοιχτή προς όλους στην οποία θα συμμετέχουν ενεργοί πολίτες, χωρίς απαραίτητα εξειδικευμένες γνώσεις σε θέματα τεχνολογίας, αλλά με διάθεση να αναζητήσουν και να εφαρμόσουν πρακτικές λύσεις σε ζητήματα ιδιωτικότητας.
Για να καταστεί κάτι τέτοιο εφικτό χρησιμοποιήθηκε η πλατφόρμα CAP-A Portal η οποία μεταξύ άλλων παρέχει έναν Privacy Policy Document Annotator. H εν λόγω πλατφόρμα αναπτύχθηκε από το Ινστιτούτο Πληροφορικής του ΙΤΕ σε συνεργασία με την εταιρεία ΙΝ2 και στα πλαίσια του Ευρωπαϊκού έργου CAP-A που χρηματοδοτείται από το NGI-Trust. O Annotator δίνει στον χρήστη τη δυνατότητα να επισημαίνει και να σχολιάζει συγκεκριμένα σημεία από τους όρους χρήσης και την Πολιτική Απορρήτου αξιολογώντας τη συμμόρφωση με το Κανονιστικό πλαίσιο που αφορά στην προστασία των ψηφιακών μας δικαιωμάτων.
Μέσω της συγκεκριμένης πλατφόρμας, μέλη της HomoDigitalis ανέλαβαν να αξιολογήσουν και να σχολιάσουν την Πολιτική Απορρήτου η εφαρμογών γνωστών σε όλους μας, όπως το Facebook, το Instagram, το Skype, το Messenger, το WhatsApp, το Google Meet, to Google Chrome, το Slack, το Trello, το Asana ακόμη και παιχνίδια όπως το League of Legends ή το Call of Duty με βάση συγκεκριμένα κριτήρια που είχε θέσει η πλατφόρμα!
Έτσι, οι δύο πρώτοι πιλότοι του ΙΤΕ έτρεξαν σε συνεργασία με το Bora και το Safer Internet for Internet for kids αλλά και την πολύτιμη συμβολή της Homo Digitalis.
Στη φωτογραφία αυτή βλέπετε τι άδειες δίνετε οι χρήστες του viber, πόσοι χρήστες έχουν αξιολογήσει την εφαρμογή, πόσα annotations έχουν γίνει και με πόσα σχετικά άρθρα τα έχουν συνδέσει.
Απώτερος σκοπός ήταν να προταθούν λύσεις σε ζητήματα ιδιωτικότητας που μας απασχολούν καθημερινά, καθώς λόγω της μεγάλης έκτασης και του δυσνόητου περιεχομένου της Πολιτικής Απορρήτου, οι περισσότεροι – ειδικά οι μη εξοικειωμένοι με θέματα ιδιωτικότητας – δίνουμε “λευκή επιταγή” για την επεξεργασία των δεδομένων μας χωρίς ακριβώς να έχουμε καταλάβει σε τι συνίσταται αυτή, για ποιους σκοπούς πραγματοποιείται και τί ακριβώς επιδιώκει από αυτή ο δημιουργός της κάθε εφαρμογής.
Για παράδειγμα, όταν κλικάρουμε “Συμφωνώ με τους όρους χρήσης” χωρίς φυσικά να τους έχουμε διαβάσει, γνωρίζουμε ότι συναινούμε στο να έχει η εκάστοτε εφαρμογή πρόσβαση στις επαφές μας, στην τοποθεσία μας ακόμη και στο μικρόφωνο ή στην κάμερα της συσκευής μας;
Οι πληροφορίες που συλλέγονται από τη χρήση της πλατφόρμας αξιοποιούνται για την εξαγωγή και διαμόρφωση στατιστικών ως προς την “φιλικότητα” των εφαρμογών σχετικά με την προστασία της ιδιωτικότητας του χρήστη και τη διαμόρφωση ενός ασφαλούς διαδικτύου που σέβεται τα δικαιώματά μας.
Η εμπιστοσύνη που μας δείχνει το ΙΤΕ, το μεγαλύτερο ερευνητικό ίδρυμα της Ελλάδας, και η ομάδα του Cap-Α, μας τιμά και μας ωθεί να δράσουμε συλλογικά για ακόμη μια φορά, προκειμένου έμπρακτα να διαμορφώσουμε έναν πυλώνα σημαντικών εξελίξεων για τη διαμόρφωση των σύγχρονων ψηφιακών υπηρεσιών επηρεάζοντας μία σειρά από δικαιώματα και ελευθερίες στον ψηφιακό χώρο.
Σημείωση: Η εφαρμογή CAP-A διατίθεται και στο Play Store για Android Λογισμικό, καθιστώντας με αυτόν τον τρόπο εφικτό να χρησιμοποιήσουν περισσότεροι χρήστες την εφαρμογή και να αξιολογήσουν εφαρμογές που χρησιμοποιούν καθημερινά.
Δείτε εδώ πώς μπορείτε και εσείς να αξιολογήσετε τις εφαρμογές που χρησιμοποιείτε και να συμβάλλετε έτσι στην ενίσχυση της ιδιωτικότητας όλων μας!
Η ομάδα της HomoDigitalis που ασχολήθηκε με το project απαρτίστηκε από τα ακόλουθα μέλη:
Ελπίδα Βαμβακά, Αδαμαντία Βολικού, Εύα Δαβάκη, Μαρίνα Ζαχαροπούλου, Στέφανος Θαμπής, Στέργιος Κωνσταντίνου, Αντιγόνη Λογοθέτη, Μαριλίζα Μπάκα, Μαγδαληνή Σκόνδρα, Λευτέρης Σταυρακάκης , Εμμανουήλ Τζιβιέρης, Μαρίνα Τσικιντίκου, Αγγελική Τηλιγάδη.
Πηγές:
- https://www.caprice-community.net/
- https://saferinternet4kids.gr/nea/cap-a/
- https://cap-a.eu/new-cap-a-pilot-bora-business-apps/
- https://cap-a.eu/portal/#stats2.2