Η Homo Digitalis μίλησε στο Tech & Society Summit στις Βρυξέλλες
Την περασμένη Τρίτη 1/10, η Homo Digitalis βρέθηκε στις Βρυξέλλες, συμμετέχοντας στη Σύνοδο Κορυφής για την Τεχνολογία και την Κοινωνία (Tech & Society Summit) που συνδιοργανώθηκε από τη European Digitalis Rights, τη Homo Digitalis και περισσότερες από άλλες 40 οργανώσεις!
Η εκδήλωση αυτή είχε ως στόχο να φέρει τις φωνές της κοινωνίας των πολιτών στο προσκήνιο των συζητήσεων της ψηφιακής πολιτικής της ΕΕ. Μαζί οικοδομούμε αυτόν τον χώρο για να δημιουργήσουμε μια γέφυρα μεταξύ των οργανώσεων ψηφιακών δικαιωμάτων και των νέων φορέων χάραξης πολιτικής για την επίτευξη υπεύθυνων, ανθρωποκεντρικών πολιτικών που προωθούν τα ψηφιακά δικαιώματα όλων.
O Λευτέρης Χελιουδάκης μας εκπροσώπησε στη Σύνοδο Κορυφής μιλώντας στη συνεδρία «Visionary Round-table: Building an EU Digital Enforcement Strategy» που διοργανώθηκε από την BEUC – The European Consumer Organisation και συντονίστηκε από την Itxaso Domínguez de Olazábal της European Digital Rights! Ήταν μια μοναδική ευκαιρία για εμάς να μοιραστούμε τις δράσεις μας για την επιβολή της νομοθεσίας με στόχο τη διευκόλυνση της αποκατάστασης των ζημιωθέντων ατόμων στην Ελλάδα!
Επίσης, συμμετείχαμε ενεργά στο στρογγυλό τραπέζι “Fundamental Rights in focus: Joint efforts for Spyware Regulation in the EU”, που διοργανώθηκε από το Centre for Democracy & Technology Europe και τη Διεθνή Αμνηστία, μοιραζόμενοι γνώσεις από τις τελευταίες εξελίξεις του σκανδάλου PREDATOR στην Ελλάδα και τις σχετικές νομοθετικές πρωτοβουλίες του ελληνικού κράτους.
Θα θέλαμε να ευχαριστήσουμε θερμά τους διοργανωτές για την πρόσκληση της Homo Digitalis να συμμετάσχει και να μοιραστούμε τις απόψεις και τις δράσεις μας πάνω σε αυτά τα σημαντικά θέματα!
Ετοιμάσαμε ένα επεξηγηματικό βίντεο για την Απόφαση της ΑΠΔΠΧ σχετικά με τις νέες ταυτότητες
Τη Δευτέρα 23/9 η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) εξέδωσε την Απόφαση 32/2024, η οποία σχετίζεται με τις νέες ταυτότητες για τους Έλληνες Πολίτες.
Η Αρχή διαπίστωσε πλημμέλειες αναφορικά με την παροχή γενικής ενημέρωσης προς τα υποκείμενα των δεδομένων, ενώ περαιτέρω έκρινε ότι η απαιτούμενη εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων διενεργήθηκε με καθυστέρηση και παρουσιάζει ελλείψεις. Για τους λόγους αυτούς επέβαλε στο Υπουργείο Προστασίας του Πολίτη, ως υπεύθυνο επεξεργασίας, διοικητικό χρηματικό πρόστιμο 150.000 ευρώ για τις ως άνω παραβάσεις, ενώ παράλληλα απηύθυνε στο Υπουργείο εντολή συμμόρφωσης εντός εξαμήνου. Τέλος, η Αρχή επεσήμανε την υποχρέωση επικαιροποίησης και κωδικοποίησης του νομικού πλαισίου αναφορικά με τα στοιχεία του νέου τύπου δελτίων ταυτότητας των Ελλήνων πολιτών.
Η Απόφαση 32/2024 της ΑΠΔΠΧ βρίσκεται διαθέσιμη εδώ.
Η ομάδα της Homo Digitalis έχει ετοιμάσει ένα σύντομο επεξηγηματικό βίντεο σε απλή γλώσσα, προκειμένου να τονίσει κάποια σημαντικά σημεία της Απόφασης αυτής.
Το βίντεο βρίσκεται διαθέσιμο εδώ.
Συνδιοργανώνουμε και συμμετέχουμε στο Tech & Society Summit στις Βρυξέλλες
Το Tech and Society Summit πλησιάζει, και θα πραγματοποιηθεί την Τρίτη, 1 Οκτωβρίου στις Βρυξέλλες! Αυτό το συναρπαστικό συνέδριο, που συνδιοργανώνεται από την EDRi σε συνεργασία με τη Homo Digitalis και περισσότερους από άλλους 40 οργανισμούς, θα συγκεντρώσει κορυφαίους ειδικούς, πολιτικούς και υπερασπιστές των Δικαιωμάτων του Ανθρώπου για να συζητήσουν τη σύνδεση μεταξύ τεχνολογίας και κοινωνικών επιπτώσεων στην Ευρώπη. Το συνέδριο θα καλύψει κρίσιμα θέματα, από τα ψηφιακά δικαιώματα και τη κλιματική αλλαγή έως τις ρυθμίσεις για την τεχνητή νοημοσύνη, συμβάλλοντας στη διαμόρφωση ενός δίκαιου και ισότιμου ψηφιακού μέλλοντος για όλους.
Είμαστε ενθουσιασμένοι που ο Λευτέρης Χελιουδάκης θα εκπροσωπήσει τη Homo Digitalis ως ομιλητής στη συνεδρία Visionary Roundtable: Building an EU Digital Enforcement Strategy. Με σημαντικούς νόμους όπως το Digital Markets Act (DMA), το Digital Services Act (DSA) και το AI Act, ο Λευτέρης θα αναδείξει τις δράσεις της Homo Digitalis συζητώντας για το πώς αυτές οι ρυθμίσεις μπορούν να προστατεύσουν αποτελεσματικά τα δικαιώματα και να ενισχύσουν την ανταγωνιστικότητα της Ευρώπης στον ψηφιακό χώρο.
Επιπλέον, η Homo Digitalis είναι προσκεκλημένη να συμμετάσχει στη συνεδρία Fundamental Rights in Focus: Joint Efforts for Spyware Regulation in the EU, που συνδιοργανώνεται από το Centre for Democracy & Technology Europe (CDT Europe) και τη Διεθνή Αμνηστία. Στη συνεδρία αυτή, θα συναντηθούν βασικοί πολιτικοί και εκπρόσωποι της κοινωνίας των πολιτών για να εξερευνήσουν τους τρόπους ρύθμισης των spyware στην ΕΕ, και θα συζητήσουμε τις εμπειρίες μας από τις σχετικές τελευταίες εξελίξεις στην Ελλάδα.
Μπορείτε να διαβάσετε περισσότερα για το Tech and Society Summit και να δείτε το πρόγραμμά του εδώ.
Δηλώσεις της Homo Digitalis στην Καθημερινή για τη καταγραφή ομιλίας και την online διαφήμιση
Ο δημοσιογράφος Γιάννης Παπαδόπουλος σε άρθρο του για την εφημερίδα «Η Καθημερινή» καταπιάνεται με τις πρόσφατες αποκαλύψεις για το «Active Listening», τη λειτουργία «ενεργούς ακρόασης» της διαφημιστικής εταιρείας Cox Media Group.
Συγκεκριμένα, σε εταιρική παρουσίαση με την οποία προσπαθούσε να προωθήσει τη λειτουργία αυτή στους πελάτες της, η Cox Media Group υποστήριζε ότι θα μπορούσε να «κρυφακούσει» συνομιλίες χρηστών κινητών τηλεφώνων και άλλων έξυπνων συσκευών και με τη βοήθεια της τεχνητής νοημοσύνης να δημιουργήσει στοχευμένες διαφημίσεις. Στο υπάρχον πελατολόγιο της Εταιρίας συμπεριλαμβάνονται μεγάλες εταιρίες τεχνολογίας, μεταξύ των οποίων η Facebook, η Google και η Amazon.
Η Λαμπρινή Γυφτοκώστα και ο Λευτέρης Χελιουδάκης παραχώρησαν δηλώσεις για τη Ηοmo Digitalis στον δημοσιογράφο αναφορικά τόσο με τις ρυθμίσεις του κινητού μας τηλεφώνου, όσο και με τις προκλήσεις που ανακύπτουν για την προστασία των προσωπικών δεδομένων και της ιδιωτικότητας των χρηστών μέσα από τα dark patterns που χρησιμοποιούν οι τεχνολογικοί κολοσσοί.
Ευχαριστούμε πολύ τον δημοσιογράφο για το ενδιαφέρον του στις θέσεις μας. Μπορείτε να διαβάσετε το άρθρο του εδώ.
Σε σχετικό άρθρο-άποψη που φιλοξενεί η εφημερίδα «Η Καθημερινή» που συνυπογράφουν η κ. Λίλιαν Μήτρου, καθηγήτρια Πανεπιστημίου Αιγαίου και κ. Βασίλης Καρκατζούνης, υποψήφιος διδάκτωρ Πανεπιστημίου Αιγαίου, φιλοξενούνται σημαντικές παρατηρήσεις αναφορικά με τις προκλήσεις που ανακύπτουν από την εφαρμογή της νομοθεσίας στο σύνθετο περιβάλλον της online διαφήμισης. Μπορείτε να διαβάσετε το άρθρο εδώ.
Τέλος, θυμίζουμε ότι ήδη από το 2020, η Homo Digitalis έχει προχωρήσει σε στρατηγικού χαρακτήρα νομικές δράσεις σε ευρωπαϊκό επίπεδο με καταγγελίες μας κατά της Google και της IAB Europe στο πλαίσιο των παρεμβατικών πρακτικών τους στοχευμένης συμπεριφορικής διαφήμισης. Οι υποθέσεις μας εκκρεμούν ενώπιον της Ιρλανδικής και της Βελγικής αρχής αντίστοιχα και αναμένουμε σύντομα την έκδοση σχετικών αποφάσεων. Μπορείτε να διαβάσετε περισσότερα εδώ.
Καλούμε την ΑΠΔΠΧ να ερευνήσει το Υπουργείο Εσωτερικών για τη χρήση αλγορίθμων τεχνητής νοημοσύνης για την κατανομή υφιστάμενων και νέων υπαλλήλων στο Δημόσιο
Στις 9 Ιουλίου η Homo Digitalis κατέθεσε αίτημα (αριθ. πρωτ. 5812/9.7.2024) ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, προκειμένου η τελευταία να ασκήσει τις ερευνητικές τις εξουσίες κατά του Υπουργείου Εσωτερικών.
Συγκεκριμένα, μετά την Απόφαση 16/2024 της Αρχής τον Απρίλιο του 2024, με την οποία είχε επιβάλει στο Υπουργείο Εσωτερικών το πρόστιμο-ρεκόρ των 400.000 ευρώ για σημαντικές παραβάσεις της νομοθεσίας για την προστασία προσωπικών δεδομένων, το Υπουργείο βρίσκεται πάλι στο κέντρο του ενδιαφέροντος, αυτή τη φορά για το εργαλείο τεχνητής νοημοσύνης που αναπτύσσει για τον στρατηγικό προγραμματισμό στελέχωσης του Δημοσίου Τομέα.
Το εργαλείο αφορά τη κατανομή του υφιστάμενου προσωπικού αλλά και την εκτίμηση των αναγκών για νέο προσωπικό, ενώ θα γίνει πιλοτική εφαρμογή του σε 9 φορείς του Δημοσίου Τομέα, ήτοι Μονάδα Οργάνωσης και Διαχείρισης Αναπτυξιακών Προγραμμάτων (ΜΟΔ ΑΕ), Ανεξάρτητη Αρχή Δημοσίων Εξόδων (ΑΑΔΕ) τη Δημόσια Υπηρεσία Απασχόληση το Γενικό Νοσοκομείο Αθηνών “Γ. Γεννηματάς”, τον Δήμο Θεσσαλονίκης, την Περιφέρεια Αττικής, το Υπουργείο Παιδείας και Θρησκευμάτων, το Υπουργείο Περιβάλλοντος και Ενέργειας και το Υπουργείο Πολιτισμού και Αθλητισμού.
Το έργο αναμένεται να ολοκληρωθεί τον Δεκέμβριο του 2025, ενώ το κόστος του ανέρχεται στα 11.708.543 ευρώ.
Επειδή το εργαλείο χρειάζεται να περιλαμβάνει λειτουργικότητες συλλογής, διαχείρισης και ανάλυσης προσωπικών δεδομένων, η Homo Digitalis είχε καταθέσει επιστολή στις 15 Απριλίου 2024 ενώπιον της τότε Υπουργού Εσωτερικών κα. Κεραμέως και τον Υπεύθυνο Προστασίας Δεδομένων του Υπουργείου, με την οποία απεύθυνε κύρια ερωτήματα τόσο σχετικά με τη συμμόρφωση που απαιτείται με τη νομοθεσία για την προστασία προσωπικών δεδομένων, όσο και με τη νομοθεσία για τη χρήση τεχνητής νοημοσύνης και άλλων αναδυόμενων τεχνολογιών στον δημόσιο τομέα (νόμος 4961/2022). Ωστόσο, το Υπουργείο δεν παραχώρησε την οποιαδήποτε απάντηση, ούτε μετά από γραπτή υπενθύμιση του αιτήματός μας στις 30 Μαΐου, αναγκάζοντας μας να απευθυνθούμε στην Αρχή προκειμένου εκείνη να ερευνήσει με τον θεσμικό της ρόλο ενδελεχώς την ανάπτυξη, εφαρμογή και πιλοτική χρήση του εργαλείου αυτού καθώς και τις επιπτώσεις που ανακύπτουν για τα δικαιώματα των υπαλλήλων του Δημοσίου Τομέα.
Μπορείτε να δείτε το σχετικό αίτημά μας εδώ.
Μπορείτε να διαβάσετε το Δελτίο Τύπου μας εδώ.
Παραχωρούμε διάλεξη στο τριήμερο εκπαιδευτικό σεμινάριο του OSCE για την προστασία των Δικαιωμάτων του Ανθρώπου στον τομέα των συνόρων
Το Γραφείο Δημοκρατικών Θεσμών και Ανθρωπίνων Δικαιωμάτων του Οργανισμού για την Ασφάλεια και τη Συνεργασία στην Ευρώπη (ΟΑΣΕ, αγγλικά: Organization for Security and Co-operation in Europe – OSCE) διοργανώνει την επόμενη εβδομάδα στη Βαρσοβία το εκπαιδευτικό του σεμινάριο για υπερασπιστές των ανθρωπίνων δικαιωμάτων που εργάζονται στα διεθνή σύνορα! Το τριήμερο εκπαιδευτικό σεμινάριο έχει ως στόχο να δώσει τη δυνατότητα στους υπερασπιστές των ανθρωπίνων δικαιωμάτων να κατανοήσουν τις επιπτώσεις των τεχνολογιών στα ανθρώπινα δικαιώματα στα σύνορα και να βελτιώσουν τις δεξιότητές τους στη συλλογή και επαλήθευση πληροφοριών με διάφορα μέσα, συμπεριλαμβανομένων των νέων τεχνολογιών, για την αποτελεσματική προστασία των ανθρωπίνων δικαιωμάτων στα σύνορα.
Σε αφιλοκερδή βάση, η Homo Digitalis και η HIAS Ελλάδος θα δώσουν διάλεξη κατά τη διάρκεια του εκπαιδευτικού σεμιναρίου σχετικά με τη μεγάλη μας επιτυχία με την υπόθεση ΚΕΝΤΑΥΡΟΣ και ΥΠΕΡΙΩΝ!
Η διάλεξή μας με τίτλο “Combating Centaurs and Titans – Leveraging Data Protection Law to Counter Intrusive Surveillance in Migration” θα επικεντρωθεί στον τρόπο με τον οποίο το δίκαιο προστασίας δεδομένων μπορεί να χρησιμοποιηθεί στρατηγικά για την αμφισβήτηση των επεμβατικών τεχνολογιών παρακολούθησης που χρησιμοποιούνται στη μετανάστευση. Ο Λευτέρης Χελιουδάκης θα εκπροσωπήσει την Homo Digitalis σε αυτή τη διάλεξη.
Θα θέλαμε να ευχαριστήσουμε τους διοργανωτές για την ευγενική τους πρόσκληση, καθώς και τη HIAS Ελλάδας για τη σπουδαία συνεργασία.
Μπορείτε να βρείτε περισσότερες πληροφορίες για το Γραφείο Δημοκρατικών Θεσμών και Ανθρωπίνων Δικαιωμάτων του ΟΑΣΕ (ODIHR) εδώ.
Κένταυρος & Υπερίων: Ρωτήσαμε την ΑΠΔΠΧ εάν έχει προχωρήσει στην αναγκαία συμμόρφωση το Υπουργείο Μετανάστευσης & Ασύλου
Στο πλαίσιο της Απόφασης 13/2024 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), η οποία είχε αναρτηθεί στην ιστοσελίδα της στις 2/4/2024, το Υπουργείο Μετανάστευσης και Ασύλου είχε λάβει εντολή να προβεί στο σύνολο των απαραίτητων ενεργειών για την ολοκλήρωση της συμμόρφωσής του με τις υποχρεώσεις του υπευθύνου επεξεργασίας, όπως αυτές περιγράφονται στο σώμα της Απόφασης, εντός προθεσμίας 3 (τριών) μηνών από τη λήψη της.
Δεδομένου οτι την Τρίτη 2/7/2024, συμπληρώθηκαν 3 μήνες, αποφασίσαμε να στείλουμε επιστολή στην ΑΠΔΠΧ την Τετάρτη 3/7/2024 (αριθμ. πρωτ. Γ/ΕΙΣ/5662/03-07-2024) με την οποία αιτούμαστε να μας γνωστοποιήσει εάν η Αρχή έχει λάβει σχετική ενημέρωση από το Υπουργείο Μετανάστευσης και Ασύλου αναφορικά με την ολοκλήρωση της συμμόρφωσής του, ως εκείνο όφειλε.
Μένει να δούμε το επίπεδο της συμμόρφωσης που έχει επιτευχθεί σε αυτούς τους τρείς μήνες, για μία υπόθεση που είναι άκρως σημαντική.
Μιλήσαμε στην εφημερίδα Η Καθημερινή και τον δημοσιογράφο Γιάννη Παπαδοπουλο για τη διαρροή προσωπικών δεδομένων στον Οίκο Δημοπρασιών Christie’s
Στις 30 Μαΐου ο διεθνής οίκος δημοπρασιών Christie’s έστειλε ένα email σε πελάτες του για να τους ενημερώσει ότι τα προσωπικά τους δεδομένα είχαν παραβιαστεί από hackers, ενώ στις 3 Ιουνίου υποβλήθηκε στη Νέα Υόρκη αγωγή για αποζημίωση κατά του διεθνούς οίκου δημοπρασιών.
Ο Δημοσιογράφος της εφημερίδας Η Καθημερινή, Γιάννης Παπαδόπουλος, έγραψε ένα αναλυτικό άρθρο για την υπόθεση αυτή, και η Homo Digitalis παραχώρησε σχετικά σχόλια, με τον Λευτέρη Χελιουδάκη να μας εκπροσωπεί.
Ευχαριστούμε θερμά τον δημοσιογράφο για το ενδιαφέρον τους στις απόψεις μας.
Μπορείτε να διαβάσετε το σχετικό άρθρο εδώ.
ΕΝΔΕΙΚΤΙΚΟ ΠΡΟΓΡΑΜΜΑ ΣΥΜΜΟΡΦΩΣΗΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Γράφει ο Δημοσθένης Κωστούλας, MBA MSc BSc *
Έξι ολόκληρα χρόνια από την έναρξη εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (679/2016 / GDPR), τίθεται το ερώτημα του πόσες επιχειρήσεις, οργανισμοί και φορείς του ιδιωτικού και δημόσιου τομέα είναι ουσιωδώς συμμορφωμένοι με τους βασικούς κανόνες και τις απαιτήσεις σχετικά με την προστασία των προσωπικών δεδομένων που επεξεργάζονται στα πλαίσια της δραστηριότητας τους. Και δεν γίνεται λόγος μόνο για τον ορισμό ενός υπεύθυνου προστασίας δεδομένων (ο οποίος στην πλειονότητα των περιπτώσεων είναι τυπικός), αλλά για την ουσιαστική ανάπτυξη και εφαρμογή ενός στιβαρού προγράμματος συμμόρφωσης, μέσω του οποίου θα μεγιστοποιείται η ασφάλεια και η ακεραιότητα των – υπό επεξεργασία – προσωπικών δεδομένων και θα ελαχιστοποιείται η πιθανότητα διαρροής τους ή/και κακόβουλης μεταχείρισης τους.
Στο πλαίσιο αυτό, ένας οργανισμός (ως “υπεύθυνος επεξεργασίας”) θα έπρεπε να αποδεχθεί ότι, για μια ουσιαστική συμμόρφωση, απαιτούνται ανθρώπινοι και υλικοί πόροι, καθώς και η δέσμευση της ίδιας της Διοίκησης και των ανθρώπων που συμμετέχουν στην λήψη αποφάσεων.
ΦΑΣΗ ΠΡΟΕΤΟΙΜΑΣΙΑΣ ΓΙΑ ΤΟ ΠΡΟΓΡΑΜΜΑ ΣΥΜΜΟΡΦΩΣΗΣ
Εφόσον κριθεί ότι η συμμόρφωση είναι απαραίτητη, η διοίκηση ενός οργανισμού θα πρέπει να επιλέξει σε ποιόν θα ανατεθεί το έργο της συμμόρφωσης. Όπως και στην περίπτωση διορισμού του υπεύθυνου προστασίας δεδομένων (εφεξής DPO), ένας οργανισμός θα μπορούσε να εξετάσει το ενδεχόμενο της ανάθεσης του έργου συμμόρφωσης σε καταρτισμένο άτομο ή άτομα που απασχολούνται ήδη στον οργανισμό ή να εξετάσει το ενδεχόμενο ανάθεσης του έργου συμμόρφωσης σε εξωτερικό σύμβουλο με αποδεδειγμένη δραστηριότητα στο συγκεκριμένο τομέα.
Από την στιγμή που θα γίνει η τελική επιλογή του τρόπου συμμόρφωσης, θα πρέπει να ξεκινήσουν οι διαδικασίες προς αυτήν την κατεύθυνση. Καταρχάς, και στις δύο περιπτώσεις (εσωτερική ή εξωτερική ανάθεση), θα πρέπει να συμπληρώνεται ένα ερωτηματολόγιο αρχικής αυτο-αξιολόγησης σχετικά με το υφιστάμενο επίπεδο προστασίας δεδομένων του οργανισμού. Αυτό θα βοηθήσει τόσο τον οργανισμό, όσο και τον υπεύθυνο συμμόρφωσης, για να γνωρίζουν από ποια βάση εκκινούν. Η διαδικασία της αυτο-αξιολόγησης θα πρέπει να είναι ενδελεχής και να επεκταθεί σε όλες τις δραστηριότητες και διεργασίες του οργανισμού.
Επιπλέον, σε περίπτωση εξωτερικής ανάθεσης, θα πρέπει ο οργανισμός να ορίσει έναν ή και παραπάνω υπεύθυνους επικοινωνίας με την ομάδα συμμόρφωσης και, επιπλέον, να ορίσει μια στενή «ομάδα εργασίας».
Τέλος, σε αυτήν την φάση, κρίνεται απαραίτητη και μια επίσημη ενημέρωση του προσωπικού, σχετικά με την επικείμενη ανάπτυξη και εφαρμογή του προγράμματος συμμόρφωσης, καθώς και για την εμπλοκή όλων των βαθμίδων ιεραρχίας και όλων των τμημάτων σε αυτήν την συλλογική προσπάθεια.
ΦΑΣΗ ΥΛΟΠΟΙΗΣΗΣ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ
Όπως είναι αντιληπτό, σκοπός είναι η διασφάλιση του μέγιστου βαθμού συμμόρφωσης του οργανισμού στις απαιτήσεις και τις προϋποθέσεις του GDPR, με γνώμονα η συμμόρφωση να μην δημιουργεί εμπόδια στην καθημερινή λειτουργία και δραστηριότητα του οργανισμού. Το πρόγραμμα συμμόρφωσης χωρίζεται σε επιμέρους στάδια, κάθε ένα από τα οποία είναι σημαντικό, αφού αποτελούν ενδιάμεσους κρίκους που θα οδηγήσουν στην τελική συμμόρφωση του οργανισμού.
1.ΠΡΩΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ
Στην πλειονότητα των περιπτώσεων, το έργο συμμόρφωσης ξεκινάει με μια πρώτη συνάντηση, για να ακολουθήσουν πολλές άλλες συναντήσεις και ανταλλαγές πληροφοριών. Στην πρώτη συνάντηση διαμορφώνεται ένα κοινά αποδεκτό πλάνο ενεργειών, χωρισμένο σε επιμέρους στάδια και με σαφή χρονοδιαγράμματα, ενώ παράλληλα τίθενται επί τάπητος τα βασικά θέματα και οι διαδικασίες που θα πρέπει να ακολουθηθούν.
Στην φάση αυτή πραγματοποιούνται οι πρώτες γενικές εκπαιδεύσεις για την ευαισθητοποίηση Διοίκησης και προσωπικού, με απώτερο σκοπό την σταδιακή ανάπτυξη μιας κουλτούρας προστασίας δεδομένων.
- Ευρετήριο Προσωπικών Δεδομένων και Αρχείο Ροών Δεδομένων
Τόσο το Ευρετήριο Προσωπικών Δεδομένων, όσο και το Αρχείο Ροών Δεδομένων, αποτελούν προπομπούς του Αρχείου Χαρτογράφησης, του Αρχείου Δραστηριοτήτων Επεξεργασίας, αλλά και της μετέπειτα Μελέτης Αποκλίσεων. Τα δεδομένα συλλέγονται από συμπεράσματα που προκύπτουν τόσο από συναντήσεις και προφορικές συζητήσεις, όσο και μέσω της διανομής και συμπλήρωσης ειδικού ερωτηματολογίου.
- Αρχείο Χαρτογράφησης
Αποτελεί μια χρήσιμη ανάλυση της υφιστάμενης κατάστασης σχετικά με την προστασία προσωπικών δεδομένων και των κινδύνων που ελλοχεύουν. Στο συγκεκριμένο αρχείο πραγματοποιείται μια παρουσίαση των ευρημάτων ανά τμήμα ή/και θέση εργασίας που σχετίζονται με την προστασία των δεδομένων. Η συγκεκριμένη μελέτη θα πρέπει να περιλαμβάνει όλες τις ήδη εντοπισμένες δραστηριότητες του οργανισμού και αποτελεί την βάση όλων των επόμενων παραδοτέων.
- Αρχείο Δραστηριοτήτων Επεξεργασίας
Μαζί με την Αρχείο Χαρτογράφησης, σε αυτήν την φάση προετοιμάζεται και απαραίτητο Αρχείο Δραστηριοτήτων, στο οποίο θα πρέπει να απεικονίζονται με λεπτομέρεια όλα όσα ορίζει ο GDPR.
Πέρα από τα παραδοτέα αρχεία που προαναφέρθηκαν, στην πρώτη φάση του προγράμματος συμμόρφωσης συστήνεται να ξεκινήσει η υλοποίηση και συγκεκριμένων κρίσιμων διορθωτικών οργανωτικών και τεχνικών μέτρων, για τα οποία κρίνεται σκόπιμο να μην υπάρξουν καθόλου καθυστερήσεις.
2.ΔΕΥΤΕΡΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ
Στην δεύτερη φάση του προγράμματος συμμόρφωσης, πραγματοποιούνται νέες επισκέψεις σύμφωνα με την εξέλιξη της συμμόρφωσης, ενώ συζητούνται τα παραδοτέα αρχεία της πρώτης φάσης, με περαιτέρω εμβάθυνση σε όσα πεδία είναι σημαντικά ή για τα οποία ενδεχομένως να υπάρχουν απορίες.
- Ανάλυση Αποκλίσεων
H Ανάλυση Αποκλίσεων έχει σκοπό τον εύρεση των νομικών, κανονιστικών, οργανωτικών και τεχνολογικών αποκλίσεων ως προς τις απαιτήσεις και τις προϋποθέσεις του Κανονισμού. Θα μπορούσε να ειπωθεί ότι η συγκεκριμένη ανάλυση αφορά μια επαλήθευση των προβληματικών πεδίων που βρέθηκαν από την φάση της αρχικής χαρτογράφησης, μόνο που εδώ συσχετίζονται με συγκεκριμένες απαιτήσεις του Κανονισμού και της κείμενης νομοθεσίας.
- Ανάλυση Κινδύνων
Αν και η ενδεδειγμένη μέθοδος για την εκτίμηση του επιπέδου ασφάλειας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα αποτελεί η υλοποίηση της Μελέτης Αντικτύπου (DPIA), σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 35 του ΓΚΠΔ, η προαναφερόμενη εκτίμηση και αξιολόγηση των κινδύνων, που απορρέουν από την επεξεργασία, πρέπει να διενεργείται σε κάθε περίπτωση, ακόμα και στις περιπτώσεις επεξεργασιών για τις οποίες δεν απαιτείται διενέργεια μελέτης αντικτύπου. Η ανάλυση συστήνεται να υλοποιείται τόσο πριν, όσο και μετά από την εφαρμογή των προτεινόμενων μέτρων.
- Μελέτη Αντικτύπου
Σύμφωνα με τον Άρθρο 35 του Κανονισμού 679/2016, «όταν ένα τύπος επεξεργασίας, ιδίως με την χρήση τεχνολογιών, λαμβανομένων υπόψη της φύσης, του πλαισίου, του πεδίου εφαρμογής και των σκοπών επεξεργασίας, είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, προβαίνει σε εκτίμηση επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα».
3.ΤΡΙΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ
H τελευταία φάση του προγράμματος συμμόρφωσης αποτελείται από συναντήσεις κατά τις οποίες συνοψίζονται εκ νέου όλα τα παραδοτέα αρχεία, με αναφορά στους κινδύνους / ευρήματα και στα κατάλληλα τεχνικά και οργανωτικά μέτρα. Τα επόμενα βήματα που θα ακολουθήσει ο οργανισμός είναι πολύ σημαντικά για την διαρκή και ουσιαστική του συμμόρφωση με τις απαιτήσεις του GDPR. Παράλληλα, υλοποιούνται και οι τελευταίες εκπαιδεύσεις για το προσωπικό που πιθανόν απουσίαζε από τις αρχικές εκπαιδεύσεις.
- Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων
Σε αυτήν την φάση υλοποιείται και παραδίδεται το Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων για την Προστασία Προσωπικών Δεδομένων (Action Plan). Πρόκειται μια λίστα των μέτρων με λεπτομέρειες για το ποιος / ποιοι θα το υλοποιήσουν, το status υλοποίησης, ένα χρονοδιάγραμμα υλοποίησης και σχετικές παρατηρήσεις. Το συγκεκριμένο αρχείο πρέπει να παρακολουθείται στην συνέχεια από τον DPO, ο οποίος και θα πρέπει να το διατηρεί μονίμως επικαιροποιημένο.
Βάσει του Προγράμματος Υλοποίησης Προτεινόμενων Μέτρων, σε αυτήν την φάση σχεδιάζονται και διανέμονται επίσημα καταγεγραμμένες πολιτικές, διαδικασίες και οδηγίες εργασίας, οι οποίες σχετίζονται με την ασφάλειας των δεδομένων και έχουν σαν σκοπό την κάλυψη των αποκλίσεων που εντοπίστηκαν κατά την δεύτερη φάση.
ΟΛΟΚΛΗΡΩΣΗ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ
Με την παράδοση και των τελευταίων Πολιτικών, Διαδικασιών, Οδηγιών Εργασίας, Εντύπων και άλλων παραδοτέων που συγκαταλέγονται στα προτεινόμενα μέτρα, μπορεί να θεωρηθεί ότι ολοκληρώνεται επισήμως το πρόγραμμα συμμόρφωσης του οργανισμού.
Ωστόσο, οι οργανισμοί είθισται να παρουσιάζουν σημεία απόκλισης μετά από το τέλος της περιόδου επίσημης συμμόρφωσης, με τα σημεία απόκλισης να μεγαλώνουν με το πέρασμα του χρόνου. Αυτή η αντίδραση μπορεί να θεωρηθεί σε κάποιο βαθμό δικαιολογημένη και αναμενόμενη, αφού η πίεση της καθημερινότητας και οι μεγάλες απαιτήσεις σε σχέση με την κύρια δραστηριότητα και την απρόσκοπτη λειτουργία ενός οργανισμού, μπορεί να θέσουν σταδιακά την προστασία των δεδομένων σε δεύτερη προτεραιότητα.
Για τους παραπάνω λόγους, η παρουσία ενός καταρτισμένου Υπεύθυνου Προστασίας Δεδομένων (DPO) πρέπει να είναι ουσιαστική και συνεχόμενη, μέσα από μια σειρά ενεργειών, οι οποίες θα καλλιεργούν και θα συντηρούν μια πιο μόνιμη κουλτούρα συμμόρφωσης εντός του οργανισμού. Ακόμα όμως και στις περιπτώσεις όπου δεν απαιτείται η παρουσία ενός DPO, οι οργανισμοί θα πρέπει από μόνοι τους να εφαρμόζουν όλα τα απαραίτητα για μια ουσιαστική συμμόρφωση με το GDPR και την κείμενη νομοθεσία σχετικά με την προστασία προσωπικών δεδομένων.
Πηγές: Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
* Ο Δημοσθένης Κωστούλας είναι έμπειρο στέλεχος με πλούσιες σπουδές και πολυετή εμπειρία σε θέσεις ευθύνης. Είναι κάτοχος τίτλου MBA , τίτλου MSc και τίτλου BSc, ενώ ταυτόχρονα είναι πιστοποιημένος Lead Auditor ISO 9001:2015, ISO 27001:2013 και DPO Executive / GDPR Expert. Ειδικότερα, από το 2011 έχει εξειδικευτεί:
- σε θέματα Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέσω της ανάπτυξης & εφαρμογής προγραμμάτων συμμόρφωσης με τον ΓΚΠΔ (GDPR), την παροχή υπηρεσιών Υπεύθυνου Προστασίας Δεδομένων και την σχετική εκπαίδευση φορέων & οργανισμών.
- σε Συστήματα Διαχείρισης Ποιότητας, μέσω της συμμετοχής / υποστήριξης στον εσωτερικό σχεδιασμό, την ανάπτυξη και την εφαρμογή Συστημάτων Ποιότητας, με γνώμονα πάντα την παροχή ποιοτικών υπηρεσιών και την ασφάλεια των ενδιαφερόμενων μερών.