ΕΝΔΕΙΚΤΙΚΟ ΠΡΟΓΡΑΜΜΑ ΣΥΜΜΟΡΦΩΣΗΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Γράφει ο Δημοσθένης Κωστούλας, MBA MSc BSc *

Έξι ολόκληρα χρόνια από την έναρξη εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (679/2016 / GDPR), τίθεται το ερώτημα του πόσες επιχειρήσεις, οργανισμοί και φορείς του ιδιωτικού και δημόσιου τομέα είναι ουσιωδώς συμμορφωμένοι με τους βασικούς κανόνες και τις απαιτήσεις σχετικά με την προστασία των προσωπικών δεδομένων που επεξεργάζονται στα πλαίσια της δραστηριότητας τους. Και δεν γίνεται λόγος μόνο για τον ορισμό ενός υπεύθυνου προστασίας δεδομένων (ο οποίος στην πλειονότητα των περιπτώσεων είναι τυπικός), αλλά για την ουσιαστική ανάπτυξη και εφαρμογή ενός στιβαρού προγράμματος συμμόρφωσης, μέσω του οποίου θα μεγιστοποιείται η ασφάλεια και η ακεραιότητα των – υπό επεξεργασία – προσωπικών δεδομένων και θα ελαχιστοποιείται η πιθανότητα διαρροής τους ή/και κακόβουλης μεταχείρισης τους.

Στο πλαίσιο αυτό, ένας οργανισμός (ως “υπεύθυνος επεξεργασίας”) θα έπρεπε να αποδεχθεί ότι, για μια ουσιαστική συμμόρφωση, απαιτούνται ανθρώπινοι και υλικοί πόροι, καθώς και η δέσμευση της ίδιας της Διοίκησης και των ανθρώπων που συμμετέχουν στην λήψη αποφάσεων. 

ΦΑΣΗ ΠΡΟΕΤΟΙΜΑΣΙΑΣ ΓΙΑ ΤΟ ΠΡΟΓΡΑΜΜΑ ΣΥΜΜΟΡΦΩΣΗΣ

Εφόσον κριθεί ότι η συμμόρφωση είναι απαραίτητη, η διοίκηση ενός οργανισμού θα πρέπει να επιλέξει σε ποιόν θα ανατεθεί το έργο της συμμόρφωσης. Όπως και στην περίπτωση διορισμού του υπεύθυνου προστασίας δεδομένων (εφεξής DPO), ένας οργανισμός θα  μπορούσε να εξετάσει το ενδεχόμενο της ανάθεσης του έργου συμμόρφωσης σε καταρτισμένο άτομο ή άτομα που απασχολούνται ήδη στον οργανισμό ή να εξετάσει το ενδεχόμενο ανάθεσης του έργου συμμόρφωσης σε εξωτερικό σύμβουλο με αποδεδειγμένη δραστηριότητα στο συγκεκριμένο τομέα.

Από την στιγμή που θα γίνει η τελική επιλογή του τρόπου συμμόρφωσης, θα πρέπει να ξεκινήσουν οι διαδικασίες προς αυτήν την κατεύθυνση. Καταρχάς, και στις δύο περιπτώσεις (εσωτερική ή εξωτερική ανάθεση), θα πρέπει να συμπληρώνεται ένα ερωτηματολόγιο αρχικής αυτο-αξιολόγησης σχετικά με το υφιστάμενο επίπεδο προστασίας δεδομένων του οργανισμού. Αυτό θα βοηθήσει τόσο τον οργανισμό, όσο και τον υπεύθυνο συμμόρφωσης, για να γνωρίζουν από ποια βάση εκκινούν. Η διαδικασία της αυτο-αξιολόγησης θα πρέπει να είναι ενδελεχής και να επεκταθεί σε όλες τις δραστηριότητες και διεργασίες του οργανισμού.

Επιπλέον, σε περίπτωση εξωτερικής ανάθεσης, θα πρέπει ο οργανισμός να ορίσει έναν ή και παραπάνω υπεύθυνους επικοινωνίας με την ομάδα συμμόρφωσης και, επιπλέον, να ορίσει μια στενή «ομάδα εργασίας».

Τέλος, σε αυτήν την φάση, κρίνεται απαραίτητη και μια επίσημη ενημέρωση του προσωπικού, σχετικά με την επικείμενη ανάπτυξη και εφαρμογή του προγράμματος συμμόρφωσης, καθώς και για την εμπλοκή όλων των βαθμίδων ιεραρχίας και όλων των τμημάτων σε αυτήν την συλλογική προσπάθεια.

ΦΑΣΗ ΥΛΟΠΟΙΗΣΗΣ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ

Όπως είναι αντιληπτό, σκοπός είναι η διασφάλιση του μέγιστου βαθμού συμμόρφωσης του οργανισμού στις απαιτήσεις και τις προϋποθέσεις του GDPR, με γνώμονα η συμμόρφωση να μην δημιουργεί εμπόδια στην καθημερινή λειτουργία και δραστηριότητα του οργανισμού. Το πρόγραμμα συμμόρφωσης χωρίζεται σε επιμέρους στάδια, κάθε ένα από τα οποία είναι σημαντικό, αφού αποτελούν ενδιάμεσους κρίκους που θα οδηγήσουν στην τελική συμμόρφωση του οργανισμού.

1.ΠΡΩΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ

Στην πλειονότητα των περιπτώσεων, το έργο συμμόρφωσης ξεκινάει με μια πρώτη συνάντηση, για να ακολουθήσουν πολλές άλλες συναντήσεις και ανταλλαγές πληροφοριών. Στην πρώτη συνάντηση διαμορφώνεται ένα κοινά αποδεκτό πλάνο ενεργειών, χωρισμένο σε επιμέρους στάδια και με σαφή χρονοδιαγράμματα, ενώ παράλληλα τίθενται επί τάπητος τα βασικά θέματα και οι διαδικασίες που θα πρέπει να ακολουθηθούν.

Στην φάση αυτή πραγματοποιούνται οι πρώτες γενικές εκπαιδεύσεις για την ευαισθητοποίηση Διοίκησης και προσωπικού, με απώτερο σκοπό την σταδιακή ανάπτυξη μιας κουλτούρας προστασίας δεδομένων.

  • Ευρετήριο Προσωπικών Δεδομένων και Αρχείο Ροών Δεδομένων

Τόσο το Ευρετήριο Προσωπικών Δεδομένων, όσο και το Αρχείο Ροών Δεδομένων, αποτελούν προπομπούς του Αρχείου Χαρτογράφησης, του Αρχείου Δραστηριοτήτων Επεξεργασίας, αλλά και της μετέπειτα Μελέτης Αποκλίσεων. Τα δεδομένα συλλέγονται από συμπεράσματα που προκύπτουν τόσο από συναντήσεις και προφορικές συζητήσεις, όσο και μέσω της διανομής και συμπλήρωσης ειδικού ερωτηματολογίου.

  • Αρχείο Χαρτογράφησης

Αποτελεί μια χρήσιμη ανάλυση της υφιστάμενης κατάστασης σχετικά με την προστασία προσωπικών δεδομένων και των κινδύνων που ελλοχεύουν. Στο συγκεκριμένο αρχείο πραγματοποιείται μια παρουσίαση των ευρημάτων ανά τμήμα ή/και θέση εργασίας που σχετίζονται με την προστασία των δεδομένων. Η συγκεκριμένη μελέτη θα πρέπει να περιλαμβάνει όλες τις ήδη εντοπισμένες δραστηριότητες του οργανισμού και αποτελεί την βάση όλων των επόμενων παραδοτέων.

  • Αρχείο Δραστηριοτήτων Επεξεργασίας

Μαζί με την Αρχείο Χαρτογράφησης, σε αυτήν την φάση προετοιμάζεται και απαραίτητο Αρχείο Δραστηριοτήτων, στο οποίο θα πρέπει να απεικονίζονται με λεπτομέρεια όλα όσα ορίζει ο GDPR.

Πέρα από τα παραδοτέα αρχεία που προαναφέρθηκαν, στην πρώτη φάση του προγράμματος συμμόρφωσης συστήνεται να ξεκινήσει η υλοποίηση και συγκεκριμένων κρίσιμων διορθωτικών οργανωτικών και τεχνικών μέτρων, για τα οποία κρίνεται σκόπιμο να μην υπάρξουν καθόλου καθυστερήσεις.

2.ΔΕΥΤΕΡΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ

Στην δεύτερη φάση του προγράμματος συμμόρφωσης,  πραγματοποιούνται νέες επισκέψεις σύμφωνα με την εξέλιξη της συμμόρφωσης, ενώ συζητούνται τα παραδοτέα αρχεία της πρώτης φάσης, με περαιτέρω εμβάθυνση σε όσα πεδία είναι σημαντικά ή για τα οποία ενδεχομένως να υπάρχουν απορίες.

  • Ανάλυση Αποκλίσεων

H Ανάλυση Αποκλίσεων έχει σκοπό τον εύρεση των νομικών, κανονιστικών, οργανωτικών και τεχνολογικών αποκλίσεων ως προς τις απαιτήσεις και τις προϋποθέσεις του Κανονισμού. Θα μπορούσε να ειπωθεί ότι η συγκεκριμένη ανάλυση αφορά μια επαλήθευση των προβληματικών πεδίων που βρέθηκαν από την φάση της αρχικής χαρτογράφησης, μόνο που εδώ συσχετίζονται με συγκεκριμένες απαιτήσεις του Κανονισμού και της κείμενης νομοθεσίας.

  • Ανάλυση Κινδύνων

Αν και η ενδεδειγμένη μέθοδος για την εκτίμηση του επιπέδου ασφάλειας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα αποτελεί η υλοποίηση της Μελέτης Αντικτύπου (DPIA), σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 35 του ΓΚΠΔ, η προαναφερόμενη εκτίμηση και αξιολόγηση των κινδύνων, που απορρέουν από την επεξεργασία, πρέπει να διενεργείται σε κάθε περίπτωση, ακόμα και στις περιπτώσεις επεξεργασιών για τις οποίες δεν απαιτείται διενέργεια μελέτης αντικτύπου. Η ανάλυση συστήνεται να υλοποιείται τόσο πριν, όσο και μετά από την εφαρμογή των προτεινόμενων μέτρων.

  • Μελέτη Αντικτύπου

Σύμφωνα με τον Άρθρο 35 του Κανονισμού 679/2016, «όταν ένα τύπος επεξεργασίας, ιδίως με την χρήση τεχνολογιών, λαμβανομένων υπόψη της φύσης, του πλαισίου, του πεδίου εφαρμογής και των σκοπών επεξεργασίας, είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες  των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, προβαίνει σε εκτίμηση επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα».

3.ΤΡΙΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ 

H τελευταία φάση του προγράμματος συμμόρφωσης αποτελείται από συναντήσεις κατά τις οποίες συνοψίζονται εκ νέου όλα τα παραδοτέα αρχεία, με αναφορά στους κινδύνους / ευρήματα και στα κατάλληλα τεχνικά και οργανωτικά μέτρα. Τα επόμενα βήματα που θα ακολουθήσει ο οργανισμός είναι πολύ σημαντικά για την διαρκή και ουσιαστική του συμμόρφωση με τις απαιτήσεις του GDPR. Παράλληλα, υλοποιούνται και οι τελευταίες εκπαιδεύσεις για το προσωπικό που πιθανόν απουσίαζε από τις αρχικές εκπαιδεύσεις.

  • Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων

Σε αυτήν την φάση υλοποιείται και παραδίδεται το Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων για την Προστασία Προσωπικών Δεδομένων (Action Plan). Πρόκειται μια λίστα των μέτρων με λεπτομέρειες για το ποιος / ποιοι θα το υλοποιήσουν, το status υλοποίησης, ένα χρονοδιάγραμμα υλοποίησης και σχετικές παρατηρήσεις. Το συγκεκριμένο αρχείο πρέπει να παρακολουθείται στην συνέχεια από τον DPO, ο οποίος και θα πρέπει να το διατηρεί μονίμως επικαιροποιημένο.

Βάσει του Προγράμματος Υλοποίησης Προτεινόμενων Μέτρων, σε αυτήν την φάση σχεδιάζονται και διανέμονται επίσημα καταγεγραμμένες πολιτικές, διαδικασίες και οδηγίες εργασίας, οι οποίες σχετίζονται με την  ασφάλειας των δεδομένων και έχουν σαν σκοπό την κάλυψη των αποκλίσεων που εντοπίστηκαν κατά την δεύτερη φάση.

ΟΛΟΚΛΗΡΩΣΗ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ

Με την παράδοση και των τελευταίων Πολιτικών, Διαδικασιών, Οδηγιών Εργασίας, Εντύπων και άλλων παραδοτέων που συγκαταλέγονται στα προτεινόμενα μέτρα, μπορεί να θεωρηθεί ότι ολοκληρώνεται επισήμως το πρόγραμμα συμμόρφωσης του οργανισμού.

Ωστόσο, οι οργανισμοί είθισται να παρουσιάζουν σημεία απόκλισης μετά από το τέλος της περιόδου επίσημης συμμόρφωσης, με τα σημεία απόκλισης να μεγαλώνουν με το πέρασμα του χρόνου. Αυτή η αντίδραση μπορεί να θεωρηθεί σε κάποιο βαθμό δικαιολογημένη και αναμενόμενη, αφού η πίεση της καθημερινότητας και οι μεγάλες απαιτήσεις σε σχέση με την κύρια δραστηριότητα και την απρόσκοπτη λειτουργία ενός οργανισμού, μπορεί να θέσουν σταδιακά την προστασία των δεδομένων σε δεύτερη προτεραιότητα.

Για τους παραπάνω λόγους, η παρουσία ενός καταρτισμένου Υπεύθυνου Προστασίας Δεδομένων (DPO) πρέπει να είναι ουσιαστική και συνεχόμενη, μέσα από μια σειρά ενεργειών, οι οποίες θα καλλιεργούν και θα συντηρούν μια πιο μόνιμη κουλτούρα συμμόρφωσης εντός του οργανισμού. Ακόμα όμως και στις περιπτώσεις όπου δεν απαιτείται η παρουσία ενός DPO, οι οργανισμοί θα πρέπει από μόνοι τους να εφαρμόζουν όλα τα απαραίτητα για μια ουσιαστική συμμόρφωση με το GDPR και την κείμενη νομοθεσία σχετικά με την προστασία προσωπικών δεδομένων.

 

Πηγές: Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα

 

 

* Ο Δημοσθένης Κωστούλας είναι έμπειρο στέλεχος με πλούσιες σπουδές και πολυετή εμπειρία σε θέσεις ευθύνης. Είναι κάτοχος τίτλου MBA , τίτλου MSc και τίτλου BSc, ενώ ταυτόχρονα είναι πιστοποιημένος Lead Auditor ISO 9001:2015, ISO 27001:2013 και DPO Executive / GDPR Expert. Ειδικότερα, από το 2011 έχει εξειδικευτεί: 

  • σε θέματα Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέσω της ανάπτυξης & εφαρμογής προγραμμάτων συμμόρφωσης με τον ΓΚΠΔ (GDPR), την παροχή υπηρεσιών Υπεύθυνου Προστασίας Δεδομένων και την σχετική εκπαίδευση φορέων & οργανισμών.
  • σε Συστήματα Διαχείρισης Ποιότητας, μέσω της συμμετοχής / υποστήριξης στον εσωτερικό σχεδιασμό, την ανάπτυξη και την εφαρμογή Συστημάτων Ποιότητας, με γνώμονα πάντα την παροχή ποιοτικών υπηρεσιών και την ασφάλεια των ενδιαφερόμενων μερών.

 


Δημοσιοποίηση ευαίσθητων προσωπικών δεδομένων: μια «πανδημία» στον ψηφιακό κόσμο

Γράφει ο Ευάγγελος Φαρμακίδης*

Αυτό το μήνα γίναμε μάρτυρες μιας σειράς πρωτόγνωρων περιστατικών παράνομης βίας, η οποία ακολουθήθηκε από μια εξίσου πρωτόγνωρη προσβολή του συνταγματικώς και σε διεθνείς, ευρωπαϊκές και ενωσιακές συμβάσεις και συνθήκες κατοχυρωμένου δικαιώματος στην ιδιωτική ζωή υπό την ειδικότερη έκφανση της προστασίας των δεδομένων προσωπικού χαρακτήρα των ανθρώπων που υπήρξαν θύματα αυτών.

Το πρώτο περιστατικό βίας έλαβε χώρα στις 7-3-2021 και αφορά τον αδικαιολόγητο ξυλοδαρμό με μεταλλικό γκλοπ πολίτη από αστυνομικό στην πλατεία Νέας Σμύρνης.

Αυτό το περιστατικό βίας ακολουθήθηκε από μια βάναυση προσβολή του δικαιώματος στην προστασία των προσωπικών δεδομένων του πολίτη, ο οποίος την προηγούμενη ημέρα είχε ξυλοκοπηθεί.

Συγκεκριμένα, στις 8-3-2021 βουλευτής προσπαθώντας χωρίς ιδιαίτερη επιτυχία να δικαιολογήσει την παραπάνω πράξη παράνομης βίας εκ μέρους του αστυνομικού, προχώρησε σε δημοσιοποίηση ακόμα και ευαίσθητων προσωπικών δεδομένων του πολίτη, ο οποίος ξυλοκοπήθηκε.

Ο βουλευτής αποκάλυψε κατά τη διάρκεια ζωντανής μετάδοσης σε γνωστό τηλεοπτικό σταθμό τόσο δεδομένα που αφορούν την ταυτότητά του, όσο και δεδομένα που σχετίζονται με τις πολιτικές πεποιθήσεις του, τη συμμετοχή του σε ένωση προσώπων σχετική με τις παραπάνω πεποιθήσεις, καθώς και δεδομένα που αφορούν ποινικές διώξεις.

Μάλιστα ως «απάντηση» στην διαρροή των δεδομένων του πολίτη, διέρρευσαν στη συνέχεια στο διαδίκτυο και τα δεδομένα του αστυνομικού που τον ξυλοκόπησε, συμπεριλαμβανομένων φωτογραφιών του και των πολιτικών του πεποιθήσεων.

Στις 9-3-2021 ακολούθησε ένα ακόμη περιστατικό βίας. Ένας 24χρονος αστυνομικός της ομάδας Δράση κατά τη διάρκεια της υπηρεσίας του ξυλοκοπήθηκε βάναυσα από ομάδα διαδηλωτών, οι οποίοι κατάφεραν να τον ρίξουν από την υπηρεσιακή μηχανή στην οποία επέβαινε ως συνοδηγός.

Αμέσως μετά το παραπάνω περιστατικό στα μέσα μαζικής ενημέρωσης, καθώς και στα μέσα κοινωνικής δικτύωσης διέρρευσαν προσωπικά δεδομένα του αστυνομικού-θύματος που σχετίζονταν με την ταυτότητά του, την καταγωγή του, την οικογένειά του, την επαγγελματική και προσωπική του ζωή κατά τη διάρκεια και πριν την κατάταξή του στην Ελληνική Αστυνομία, καθώς και δεδομένα που αφορούν τα πολιτικά του φρονήματα, τις θρησκευτικές και φιλοσοφικές του πεποιθήσεις και τη συμμετοχή του σε σχετικές οργανώσεις.

Τις επόμενες ημέρες «παρέλασαν» μπροστά από τις οθόνες μας πλήθος δεδομένων προσωπικού χαρακτήρα υπόπτων και κατηγορουμένων για την παραπάνω αξιόποινη πράξη κατά του αστυνομικού.

Μεταξύ των άλλων διέρρευσαν στα μέσα μαζικής ενημέρωσης και στα μέσα κοινωνικής δικτύωσης προσωπικά δεδομένα που αφορούσαν την ταυτότητα τους, την καταγωγή τους, την οικογενειακή και επαγγελματική τους ζωή, προηγούμενες ποινικές διώξεις και καταδίκες, παραβιάζοντας με τον τρόπο αυτό όχι μόνον το δικαίωμα της ιδιωτικής ζωής, αλλά και το τεκμήριο αθωότητας των υπόπτων/κατηγορουμένων, άλλο ένα αρνητικό φαινόμενο της εποχής μας, το οποίο έχει λάβει επίσης ενδημικές διαστάσεις.

Σύμφωνα με τους ισχύοντες σήμερα ορισμούς του άρθρου 2 περ. β του Ν. 2472/1997 (το οποίο παραμένει σε ισχύ και μετά τον Ν. 4624/2019, δυνάμει του άρθρου 84 του τελευταίου), τα δεδομένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων αποτελούν «ευαίσθητα δεδομένα» (ή δεδομένα ειδικών κατηγοριών, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων).

Κατά κανόνα η επεξεργασία των παραπάνω δεδομένων απαγορεύεται, ενώ κατ’ εξαίρεση επιτρέπεται για τους λόγους που προβλέπονται στο άρθρο 9 παρ. 2 του Γενικού Κανονισμού Προστασίας Δεδομένων.

Μάλιστα, η αντίθετη με τις παραπάνω νομοθετικές προβλέψεις επεξεργασία ευαίσθητων δεδομένων (ή δεδομένων ειδικών κατηγοριών), πέρα από τις προβλεπόμενες διοικητικές κυρώσεις, αποτελεί και ποινικό αδίκημα (άρθρο 38 του Ν. 4624/2019).

Εξαίρεση από τον παραπάνω κανόνα αποτελεί για παράδειγμα η δημοσιοποίηση δεδομένων προσωπικού χαρακτήρα σχετικά με ποινικές διώξεις ή καταδίκες από εισαγγελική αρχή.

Ο εξαιρετικός λόγος της δημοσιοποίησης των παραπάνω ευαίσθητων δεδομένων, καθώς και οι ιδιαίτερα αυστηρές προϋποθέσεις, τις οποίες θέτει ο Νόμος αποδεικνύει τη σημασία που αποδίδει ο νομοθέτης στην προστασία των δεδομένων αυτών.

Πιο συγκεκριμένα η δημοσιοποίηση αυτή είναι επιτρεπτή για ορισμένα μόνον αδικήματα, γίνεται με διάταξη του αρμόδιου Εισαγγελέα, η οποία θα πρέπει να είναι ειδικώς και πλήρως αιτιολογημένη και θα πρέπει να προσδιορίζει τον τρόπο δημοσιοποίησης και το χρονικό διάστημα που θα διαρκέσει.

Η εξαιρετική αυτή περίπτωση δημοσιοποίησης αποσκοπεί στην προστασία του κοινωνικού συνόλου, των ανηλίκων, των ευάλωτων ή ανίσχυρων πληθυσμιακών ομάδων και προς ευχερέστερη πραγμάτωση της αξίωσης της Πολιτείας για τον κολασμό των αδικημάτων.

Μάλιστα, κατά αυτής της εισαγγελικής διάταξης δίνεται η δυνατότητα στον θιγόμενο να αμυνθεί, αφού ο νόμος επιτρέπει στον κατηγορούμενο ή τον κατάδικο την προσφυγή εντός 2 ημερών από τη γνωστοποίηση σε αυτόν της εισαγγελικής διάταξης.

Από τα παραπάνω καθίσταται σαφές ότι ο νομοθέτης επιφύλαξε την παραπάνω δυνατότητα δημοσιοποίησης ευαίσθητων δεδομένων μόνο για τους εισαγγελείς, θέτοντας όμως ακόμα και σε αυτούς ένα ιδιαίτερα αυστηρό πλαίσιο περιορισμών.

Καταληκτικά, το γεγονός ότι πολίτες, δημοσιογράφοι, αλλά ακόμα και βουλευτές παραβιάζουν τον Νόμο είναι σαφώς ανησυχητικό.

Αυτό που προκαλεί όμως τη μεγαλύτερη ανησυχία είναι ότι ολοένα και περισσότερο το δικαίωμα στην ιδιωτική ζωή ανθρώπων, οι οποίοι μάλιστα υπήρξαν προηγουμένως θύματα αξιόποινων πράξεων, θυσιάζεται στον βωμό των likes, της τηλεθέασης και πολιτικών σκοπιμοτήτων.

Οι «εκπτώσεις» στην προστασία της ιδιωτικής ζωής είναι χωρίς αμφιβολία ένα από τα πιο ανησυχητικά φαινόμενα της εποχής μας, το οποίο τείνει να λάβει διαστάσεις πανδημίας.

*Ο Ευάγγελος Φαρμακίδης είναι δικηγόρος, διαπιστευμένος διαμεσολαβητής και μέλος της Homo Digitalis.


Μικρομεσαίες επιχειρήσεις και Προστασία Προσωπικών Δεδομένων (GDPR)

Γράφει ο Δημοσθένης Κωστούλας, ΜΒΑ, MSc **

Πέρασαν κάτι λιγότερο από 3 χρόνια αφότου ξεκίνησε η εφαρμογή του νέου ευρωπαϊκού Κανονισμού για την προστασία προσωπικών δεδομένων (“ΓΚΠΔ” ή “GDPR“) και η πλειοψηφία των επιχειρήσεων, μικρών και μεγάλων, θα έπρεπε ήδη να γνωρίζουν τις υποχρεώσεις που απορρέουν από τον κανονισμό και την κείμενη νομοθεσία, αλλά και να έχουν υλοποιήσει μια σειρά από ενέργειες προς την κατεύθυνση της προστασίας των (προσωπικών) δεδομένων που διαχειρίζονται.

Ειδικότερα για τις μικρομεσαίες επιχειρήσεις, άσχετα από την απαίτηση ή όχι για διορισμό ενός υπεύθυνου προστασίας δεδομένων (“DPO“), αφού αυτό εξαρτάται από το α) αν υπάρχει τακτική και συστηματική παρακολούθηση δεδομένων πελατών – προσωπικού – προμηθευτών – συνεργατών σε μεγάλη κλίμακα ή β) αν λαμβάνει χώρα μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών (ευαίσθητων) δεδομένων, μια επιχείρηση οφείλει να εφαρμόσει ορισμένα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων. Αν και η έκταση και το εύρος εφαρμογής αυτών των μέτρων μπορεί να διαφοροποιούνται ανάλογα με την περίπτωση, συστήνεται η υλοποίηση μιας – κατ΄ελάχιστον – λίστας προληπτικών ενεργειών.

Ενδεικτικά, αλλά όχι περιοριστικά:

  • Δημιουργία ενός αρχείου δραστηριοτήτων με όλες τις κατηγορίες επεξεργασίας των προσωπικών δεδομένων για τις οποίες είναι υπεύθυνη η επιχείριση (ως υπεύθυνος επεξεργασίας), με ταυτόχρονη αναφορά σε μια σειρά από βασικές πληροφορίες που απαιτούνται από τον ΓΚΠΔ.
  • Ύπαρξη μιας πολιτικής προστασίας δεδομένων προσωπικού χαρακτήρα.
  • Ορισμένες γραπτές διαδικασίες για τον τρόπο επεξεργασίας των προσωπικών δεδομένων από την επιχείρηση.
  • Ανάλογα με το είδος και την δραστηριότητα της επιχείρησης, ύπαρξη κατάλληλου εντύπου ενημέρωσης των πελατών για την χρήση των δεδομένων τους, με αναφορά στους σκοπούς για τους οποίους που θα χρησιμοποιηθούν τα δεδομένα, την νομική βάση για την επεξεργασία τους, για πόσο χρονικό διάστημα θα αποθηκεύονται, σε ποιους θα κοινοποιούνται, αναφορά στα βασικά δικαιώματά των πελατών όσον αφορά την προστασία των δεδομένων, το δικαίωμά των πελατών να υποβάλουν καταγγελία κλπ.
  • Σε περίπτωση απασχόλησης προσωπικού, ύπαρξη εντύπου ενημέρωσης του προσωπικού για τις ακριβείς επεξεργασίες των προσωπικών τους δεδομένων (ίδια δομή με το έντυπο ενημέρωσης πελάτη) και, ξεχωριστά, υπογραφή ρήτρας εμπιστευτικότητας. Επίσης, συχνή εκπαίδευση του προσωπικού για την ορθολογική χρήση των εταιρικών δεδομένων.
  • Στην περίπτωση των προμηθευτών και των εξωτερικών συνεργατών, απαίτηση για υπογραφή σύμβασης ή άλλης νομικής πράξης σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά περίπτωση και βάση του είδους της συνεργασίας. Ενδεικτικά, αφορά την ανάθεση σε τρίτες εταιρείες ή ελεύθερους επαγγελματίες: α) της μισθοδοσίας του προσωπικού, β) της ασφάλισης του προσωπικού, γ) της λογιστικής υποστήριξης της επιχείρησης, δ) της μηχανογραφικής υποστήριξης, ε) της διαχείρισης της εταιρικής ιστοσελίδας ή/και των social media, στ) της συντήρησης του εξοπλισμού, ζ) της καθαριότητας των υποδομών, η) της φύλαξης των υποδομών και θ)  τυχόν λοιπές συνεργασίες με συμβούλους.
  • Σε περίπτωση λειτουργίας κλειστού κυκλώματος τηλεόρασης (CCTV), α) ενημέρωση των υποκειμένων  με εμφανείς σημάνσεις για την ύπαρξη του συστήματος βιντεοεπιτήρησης για το σκοπό της ασφάλειας προσώπων και αγαθών και β) τήρηση των σχετικών απαιτήσεων που προκύπτουν από την κείμενη νομοθεσία, όπως ενδεικτικά, τοποθέτηση καμερών σε σημεία εισόδου και εξόδου, σε χώρους ταμείων ή χώρους κρίσιμων εγκαταστάσεων, απαίτηση για διαγραφή του καταγεγραμμένου υλικού εντός 15 ημερών, προστασία µονάδας ελέγχου του κυκλώµατος (καταγραφικό) το υλικό να μην χρησιμοποιείται για την διαδικασία αξιολόγησης του προσωπικού κλπ.
  • Σε περίπτωση ύπαρξης ηλεκτρονικής ιστοσελίδας, ύπαρξη όρων και προϋποθέσεων χρήσης της ιστοσελίδας, δυνατότητα στον επισκέπτη να αποδεχθεί ή να απορρίψει την εγκατάσταση cookies (πέραν των «αυστηρώς απαραίτητων»), ανάρτηση στην ιστοσελίδα της πολιτικής προστασίας δεδομένων της επιχείρησης κλπ.
  • Σε περίπτωση αποστολής ηλεκτρονικών newsletters ή sms marketing από την επιχείρηση, θα πρέπει οπωσδήποτε να δίδεται η δυνατότητα στους χρήστες για ξεκάθαρη και ρητή συγκατάθεση για το αν επιθυμούν να λαμβάνουν τέτοιες επικοινωνίες / ενημερώσεις (opt-in).

 

Ειδικότερα ως προς την φυσική ασφάλεια, προτείνονται ενδεικτικά τα ακόλουθα μέτρα:

*ασφαλής αποθήκευση κρίσιμων δεδομένων, όπως φύλαξη φακέλων προσωπικού, πελατών και λοιπά έντυπα αρχεία σε κλειδωμένα συρτάρια, ντουλάπες ή φωριαμούς,

* εγκατάσταση συστήματος συναγερμού και αλλαγή κωδικών σε περίπτωση αποχώρησης προσωπικού που τους γνώριζε,

* εγκατάσταση κλειστού κυκλώματος τηλεόρασης (CCTV) ή/και συνεργασία με εταιρεία φύλαξης χώρων (security),

* αλλαγή κλειδαριών σε περίπτωση αποχώρησης προσωπικού που χειριζόταν τα κλειδιά,

* κλείδωμα όλων των θυρών και παραθύρων πριν την αποχώρηση από την επιχείρηση κλπ.

Ως προς την ασφάλεια της ηλεκτρονικής πληροφορίας, προτείνονται ενδεικτικά τα ακόλουθα μέτρα:

* εφαρμογή προγραμμάτων αντιμετώπισης κακόβουλου λογισμικού (anti malware), καθώς και χρήση προγραμμάτων τειχών ασφαλείας (firewall),

* αποθήκευση στο δίκτυο και κεντρική λήψη αντιγράφων ασφαλείας (backup), σε τακτική βάση και με ασφαλή τρόπο,

* περιορισμοί στην σύνδεση αποσπώμενων μέσων για αποφυγή κακόβουλης εξαγωγής δεδομένων,

* διαχείριση λογαριασμών χρηστών, μηχανισμοί ελέγχου πρόσβασης, διαχείριση κωδικών πρόσβασης,

* λοιπές πολιτικές και διαδικασίες για την προστασία της ηλεκτρονικής πληροφορίας και δεδομένων.

 

Ως προς τις διαβιβάσεις πληροφοριών, προτείνονται ενδεικτικά τα ακόλουθα μέτρα:

* προστασία ηλεκτρονικών αρχείων κατά την αποστολή τους μέσω ηλεκτρονικού ταχυδρομείου (πχ μέσω της ξεχωριστής αποστολής των κωδικών ανοίγματος με sms ή με άλλους ενδεδειγμένους τρόπους προστασίας),

* μηχανισμοί και διαδικασίες για προσεκτική ταυτοποίηση ατόμων πριν την διαβίβαση πληροφοριών δια τηλεφώνου, ηλεκτρονικά ή από κοντά κλπ.

 

Συμπερασματικά, οι μικρομεσαίες επιχειρήσεις δεν θα πρέπει απλώς να αντιλαμβάνονται τον σκοπό και την σημαντικότητα της προστασίας των δεδομένων προσωπικού χαρακτήρα που διαχειρίζονται, αλλά και να υιοθετούν μια σειρά από τεχνικά και οργανωτικά μέτρα προστασίας και διαφύλαξης των δεδομένων, υπό το πρίσμα του ΓΚΠΔ / GDPR και της κείμενης νομοθεσίας.

 

** Ο Δημοσθένης Κωστούλας, Quality Manager και DPO σε Ιδιωτική Κλινική, DPO στον Ιατρικό Σύλλογο Θεσσαλονίκης, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος MBΑ και MSc (International Business and Finance). Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο “Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα” (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι αρθρογράφος για το GDPR και αποτελεί γενικό γραμματέα και μέλος του Δ.Σ. του ελληνικού παραρτήματος του European Association of Data Protection Professional (EADPP), επιστημονικό συνεργάτη του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος της ομάδας του Homo Digitalis, μέλος του DPO Network Greece και μέλος του ΙΝ.ΕΠ.ΙΔ Β.Ελλάδος.

Πηγές:

  1. Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
  2. Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679  https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL
  3. Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα, Ο∆ΗΓΙΑ 1/2011, Αριθ. Πρωτ. Γ/ΕΞ/2274/31.03.2011, Χρήση συστηµάτων βιντεοεπιτήρησης για την προστασία προσώπων και αγαθών.
  4. Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα, ΔΕΛΤΙΟ ΤΥΠΟΥ 25/2/2020, Aρ. Πρωτ.: Γ/ΕΞ/1525, Συστάσεις για τη συμμόρφωση υπευθύνων επεξεργασίας δεδομένων με την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες.
  5. https://ec.europa.eu/info/sites/info/files/data-protection-overview-citizens_el.pdf, ΕΝΑΣ ΟΔΗΓΟΣ ΤΟΥ ΠΟΛΊΤΗ ΓΊΑ ΤΗΝ ΠΡΟΣΤΑΣΊΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΕΕ, Λουξεμβούργο: Υπηρεσία Εκδόσεων της Ευρωπαϊκής Ένωσης, 2018


Τι μας νοιάζει το -κάθε- 13033;

Του Πέτρου Τερζή*

Κατά την επαναφορά του ειδικού αριθμού 13033 για την κατ’ εξαίρεση μετακίνηση των πολιτών διαβάσαμε και ακούσαμε πολλά. Από τη δυνατότητα απαγόρευσης εξόδου σε πολίτες που «καταχρώνται» την αποστολή SMS, μέχρι για διαδηλωτές που μετακινήθηκαν προς την πορεία της 17ης Νοεμβρίου έχοντας στείλει SMS για το νοσοκομείο «Αλεξάνδρα».

Το δυσάρεστο με τέτοιες ειδήσεις είναι πως η χρήση της γλώσσας, οι ανάγκες του ρεπορτάζ και οι συγκυρίες από τις οποίες ανακύπτουν περιορίζουν αισθητά τη δυνατότητα μας να δούμε τα γεγονότα από άλλη ματιά. Πίσω, όμως, από τις επιγενόμενες εντυπώσεις για μέλη κομματικής οργάνωσης που «προσποιούνται» ίωση για να κατέβουν στην πορεία, υπάρχουν ερωτήματα που ανεπαισθήτως διέφυγαν το δημόσιου διαλόγου.

  • Μπορούν να ξέρουν οι αρχές ποιοι πολίτες πάνε και πού;
  • Μπορεί, άραγε, το 13033 να αρνηθεί μετακινήσεις;
  • Έχει άλλος, πέραν της Γενικής Γραμματείας Πολιτικής Προστασίας, πρόσβαση στα SMS; Αν ναι, πώς, ποιος και γιατί;
  • Και κυρίως γιατί, ως πολίτες, μας νοιάζει το 13033;

Η Homo Digitalis έχει καιρό τώρα θέσει σειρά ερωτημάτων ζητώντας απαντήσεις στα τρία πρώτα ερωτήματα (δείτε εδώ). Μένει, λοιπόν, να επιχειρήσουμε να απαντήσουμε στο τελευταίο.

Είναι δύσκολο, άβολο και σχεδόν άχαρο να βρει κάποιος,-α τη δύναμη να μιλήσει για προσωπικά δεδομένα εν μέσω μιας πανδημίας. Οι πολίτες φοβούνται για τις ζωές τους, οι ΜΕΘ αγκομαχούν μετρώντας αντίστροφα, άνθρωποι πεθαίνουν χωρίς να μπορούμε να φωνάξουμε αντίο, αποφάσεις λαμβάνονται επί του πιεστηρίου κι οι πολιτικές τίθενται σε εφαρμογή σε διάστημα λίγων ωρών ή ημερών. Άπαντες τρέχουν να προλάβουν το χρόνο, διαβάζουν ό,τι τους επιτρέπει η ημέρα, ενώ συζητούν και αποφασίζουν ασθμαίνοντας ελπίζοντας στο καλύτερο.

Οποιαδήποτε προσπάθεια αντι-λόγου συναντά το Γολγοθά του λόγου που δικαιολογημένα φωνάζει «πρέπει να σώσουμε ζωές». Και είναι τόσο ισχυρό το ηθικό και πολιτικό βάρος αυτού του λόγου, που καθιστά κολοσσιαία την προσπάθεια να συγκροτηθεί αποτελεσματικά ένας επωφελής για το δημόσιο συμφέρον αντί-λογος.

Σε μια τέτοια ιστορική συγκυρία, οργανώσεις από όλο τον κόσμο προσπάθησαν και -σε μεγάλο βαθμό- πέτυχαν να περιορίσουν συστήματα ηλεκτρονικής καταγραφής δεδομένων  για την καταπολέμηση της πανδημίας. Μια συλλογική τέτοιων δράσεων μπορείτε να διαβάσετε εδώ, στην ανοιχτή έκδοση του MeatSpace Press με τίτλο ‘Data Justice and Covid-19: Global Perspectives’. Τα ερωτήματα, λοιπόν, της Homo Digitalis πρέπει να διαβαστούν μέσα σε αυτό το πλαίσιο.

  • Γιατί, λοιπόν, μας νοιάζει το 13033; Γιατί, εν μέσω πανδημίας, να καθόμαστε να ψάχνουμε ποιος κοιτάει πόσο συχνά στέλνουμε μηνύματα ή τί κάνουμε όταν δηλώνουμε ότι πάμε σουπερμάρκετ;

Όσοι μάχονται για την προστασία των ανθρωπίνων δικαιωμάτων και ελευθεριών, έχουν μάθει να φοβούνται τις περιόδους «εκτάκτων συνθηκών». Ξέρουν καλά ότι οι θεσμοί, οι τακτικές και οι δομές που δημιουργούνται εξ αφορμής τους, δεν ξεριζώνονται εύκολα με το πέρας τους. Οι εξονυχιστικοί έλεγχοι στα αεροδρόμια, για παράδειγμα, ή η εγκατάσταση καμερών σε κάθε γωνιά ιδιωτικού και δημόσιου χώρου δεν προέκυψαν σταδιακά και σε βάθος δεκαετιών έπειτα από εξαντλητική συζήτηση μεταξύ θεσμών και πολιτών για το πώς οραματίζεται ο καθένας την οργάνωση και το μέλλον των ανθρώπινων κοινωνιών. Αντίθετα, τις εξελίξεις επιτάχυνε το κύμα «καταπολέμησης της τρομοκρατίας». Στο ίδιο ιστορικό πλαίσιο, το οπλοστάσιο μαζικής παρακολούθησης πολιτών που κατέχουν οι ΗΠΑ, χρονολογείται από την περίοδο που ακολούθησε την 11η Σεπτεμβρίου κι ό,τι γνωρίζουμε για τη λειτουργία του το οφείλουμε στον Έντουαρντ Σνόουντεν, πρώην υπάλληλο της Εθνικής Υπηρεσίας Ασφαλείας των ΗΠΑ που αποφάσισε μια δεκαετία μετά να σπάσει τη σιωπή του.

  • Θα κρατήσει η παρούσα κυβέρνηση, μετά την πανδημία πολιτικές παρακολούθησης και δημόσιας τάξης που θέσπισε για την καταπολέμησή της;

Μάλλον όχι.

  • Θα προχωρήσει η παρούσα κυβέρνηση μετά την πανδημία σε πολιτικές έκτακτης ανάγκης για άλλους σκοπούς, που θα «δικαιολογούν» την επαναφορά του 13033;

Σχεδόν αποκλείεται.

  • Υπάρχει περίπτωση, στο μέλλον, να υπάρξει κυβέρνηση η οποία επικαλουμένη τη δική της «έκτακτη ανάγκης» θα θελήσει να επιβάλλει απαγόρευση κυκλοφορίας;

Δεν αποκλείεται.

  • Σε ένα τέτοιο υποθετικό σενάριο, θα υπάρχει η εμπειρία και ένα νομιμοποιητικό «ιστορικό προηγούμενο» να αναπτυχθεί ένα 13033;

Ναι.

Είναι αυτό ακριβώς το «ναι» που κάνει, νομίζω, την προσπάθεια να αξίζει τον κόπο.

Για αυτό ακριβώς το «ναι» αξίζει να βρίσκουμε το πολιτικό και ψυχικό σθένος να μιλάμε για προσωπικά δεδομένα όχι «ακόμα και αν» αλλά «ειδικά» εν μέσω εκτάκτων συνθηκών.

Πρέπει να διασφαλίσουμε πως ό,τι φτιαχτεί για την καταπολέμηση της κρίσης θα αυτοκαταστραφεί με το πέρας της και ό,τι περιορίζει τώρα τις ελευθερίες μας δε θα μπορέσει να καταγραφεί στο συλλογικό μας υποσυνείδητο ως κάτι που μπορεί να ξανασυμβεί.

Σε μια περίοδο κατά την οποία οι τεχνολογίες παρακολούθησης, αιμοδοτούμενες από τεράστια κεφάλαια επενδυτικών funds, εξελίσσονται ραγδαία και σε μια περίοδο που τεχνολογικοί γίγαντες θεμελιώνουν το εταιρικό τους μοντέλο στο εμπόριο των δικών μας δεδομένων, ο αγώνας για την προστασία της ατομικής μας ταυτότητας και αυτονομίας είναι εξ ορισμού άνισος.

Προσθέστε, τώρα, στην εξίσωση τον παράγοντα «κρίση», και το πρόβλημα πια σε προσκαλεί να το παρατήσεις.

Αναδεικνύοντας, όμως, τις πολιτικές απαρχές του δικαιώματος για την προστασία της ιδιωτικότητας, οι «έκτακτες συνθήκες» εκτός από το να την παραβιάζουν, καταφέρνουν να μας υπενθυμίζουν το αξιακό της βάρος.

Γιατί αν και λέγονται «προσωπικά» τα δεδομένα και το δικαίωμα βαφτίστηκε ως «ιδιωτικότητα», στο τέλος της ημέρας αυτό που προστατεύεται είναι το «συλλογικό» και μαζί του  η κοινή μας προσπάθεια να μη σπάσει ο αρμός που υποστηρίζει τα θεμέλια της δημοκρατίας μας.

Διαβάστε, λοιπόν εδώ την επιστολή της Homo Digitalis και όσες δράσεις της ακολουθήσουν, ως μια τέτοια μικρή συνεισφορά σε μία κοινή προσπάθεια που γνώμονα έχει την ποιότητα της συλλογικής μας ταυτότητας όχι μόνο εν μέσω πανδημίας, αλλά κυρίως μετά, πολύ μετά το πέρας της.

 *Ο Πέτρος Τερζής, συνιδρυτής του Pandemos Project, εκπονεί τη διδακτορική του διατριβή στο πανεπιστήμιο του Winchester με τίτλο ‘Who, then, in law is my neighbour: Judgment, responsibility and harm in the onlife world’. Eίναι μέλος της Homo Digitalis από τον Ιανουάριο του 2020.


Ψηφιακή αναγνώριση προσώπου: μια διεθνής χαρτογράφηση

Γράφει ο Νικόδημος Καλλιντέρης*

Ας σκεφτούμε το εξής σενάριο:

περιδιαβαίνοντας μια καθημερινή ειρηνική ημέρα τον αστικό ιστό, αστυνομικές αρχές που είναι τοποθετημένες ανά οικοδομικό τετράγωνο μας ζητούν επιτακτικά την επίδειξη του δελτίου ταυτότητάς μας για την εξακρίβωση των στοιχείων μας, προκειμένου να έχουμε την δυνατότητα να κινηθούμε μέσα στην πόλη. Ανά λίγες δεκάδες μέτρα διενεργείται έλεγχος… 

Αναμφίβολα μια τέτοια τακτική θα εξέγειρε εκτεταμένες (και δικαίως) αντιδράσεις από ενώσεις πολιτών και ακτιβιστές που προασπίζονται τα ανθρώπινα δικαιώματα και τις ελευθερίες, ενώ ίσως θα προκαλoύσε οξύτατη πολιτικοϊδεολογική αντιπαράθεση με κύριο διακύβευμα τα περί «αστυνομικού κράτους», «κράτους πρόληψης», «κράτους ασφάλειας».

Τι θα λέγαμε, όμως, αν διαπιστώναμε ότι ακριβώς το ίδιο συμβαίνει πολύ πιο αθόρυβα, αόρατα και εξ αποστάσεως, μακράν πιο αποτελεσματικά και με άπειρες μη αντιληπτές εν πρώτοις επιπτώσεις για την ελευθερία του προσώπου;

Ο λόγος περί της ψηφιακής αναγνώρισης προσώπου (facial recognition), μιας τεχνολογίας, που ναι μεν ξεκίνησε πειραματικά από την δεκαετία του ’60, πλην όμως τα τελευταία δέκα περίπου χρόνια έχει διεισδύσει σε πάμπολες πτυχές των καθημερινών μας δραστηριοτήτων: από το ξεκλείδωμα του υπολογιστή και του «έξυπνου» τηλεφώνου μας, τα μέσα κοινωνικής δικτύωσης και την εύρεση αγνοουμένων προσώπων έως τον έλεγχο κατά την είσοδο στον εργασιακό χώρο, την αστυνόμευση σε αεροδρόμια και λοιπούς δημοσίους χώρους και την πρόσβαση στον τραπεζικό μας λογαριασμό.

Η λειτουργία αυτής της ψηφιακής τεχνολογίας έχει να κάνει με τον υπολογισμό μέσω βιντεοκαμερών (CCTV) της γεωμετρίας του ανθρωπίνου προσώπου, καθώς σε ασύλληπτες ταχύτητες και με την χρήση αλγορίθμων υπολογίζεται η απόσταση μεταξύ των ματιών, το μήκος του μετώπου ή το σχήμα της κάτω γνάθου για την δημιουργία μιας μοναδικής ψηφιακής ταυτότητας προσώπου, η οποία με την σειρά της αντιπαραβάλλεται με αντίστοιχες ταυτότητες αποθηκευμένες σε βάσεις δεδομένων.

Πρόσφατη, εξαιρετικής σημασίας έρευνα, χαρτογραφεί την εφαρμογή της εν λόγω τεχνολογίας σε παγκόσμια κλίμακα. Ως προς την χρήση της λοιπόν από τους κρατικούς μηχανισμούς, και δη από τις αρχές επιβολής της τάξης, η ψηφιακή αναγνώριση προσώπου σε τακτική βάση αφορά το ήμισυ του παγκόσμιου πληθυσμού. Πιο συγκεκριμένα, ήδη 98 χώρες έχουν θέσει σε λειτουργία κάμερες που ενσωματώνουν και την ψηφιακή αναγνώριση προσώπου, ενώ σε άλλες 12 η χρήση της έχει εγκριθεί και αναμένεται η πρακτική της εφαρμογή.

Στις Η.Π.Α. ήδη από το 2016 έρευνα έχει καταδείξει ότι οι μισοί ενήλικες πολίτες  έχουν καταγραφεί σε κάποιο δίκτυο ψηφιακής αναγνώρισης προσώπου, ενώ το Υπουργείο Εσωτερικής Ασφαλείας (Department of Homeland Security) εντός του 2019 ανακοίνωσε ότι σκοπεύει έως το 2023 να καταγράφει τα πρόσωπα των επιβατών στα αεροπλάνα, σχεδόν στην ολότητά τους (97%). Στατιστική μελέτη του Pew Research Center από την άλλη έχει αναδείξει ότι το 59% των αμερικανών πολιτών αποδέχονται την χρήση της ψηφιακής αναγνώρισης προσώπου στο πλαίσιο της ασφάλειας και της αντεγκληματικής πολιτικής. Νοτιότερα στο σύνολο των κρατών της Νότιας Αμερικής η χρήση της τεχνολογίας αγγίζει το 92%, καθώς συνδέθηκε με μεγάλες αστυνομικές επιτυχίες, όπως την σύλληψη ενός από τους πλέον καταζητούμενους εγκληματίες στην Βραζιλία.

Στην Μέση Ανατολή καθώς και στην κεντρική και ανατολική Ασία η κατάσταση, κατά την έρευνα, είναι αντίστοιχη με το πρόσθετο χαρακτηριστικό ότι εδώ η εφαρμογή της τεχνολογίας λαμβάνει χώρα και για λόγους εθνικής άμυνας λόγω ορισμένων ανοιχτών εμπόλεμων ζωνών.

Η Κίνα, πρωτοπόρος στις σύγχρονες ψηφιακές τεχνολογίες, διαθέτει πλέον εγκατεστημένη μία κάμερα κλειστού κυκλώματος για κάθε 12 πολίτες της, ενώ χώρες, όπως η Σιγκαπούρη, η Ταϊβάν και η Νότια Κορέα καυχώνται για την επιτυχημένη χρήση της τεχνολογίας στην αντιμετώπιση της πανδημίας του κορωνοϊού και την επιβολή των μέτρων κοινωνικής αποστασιοποίησης και καραντίνας.

Στον αντίποδα των ανωτέρω βρίσκεται η αφρικανική ήπειρος, όπου προς το παρόν η ψηφιακή αναγνώριση προσώπου λειτουργεί μόνο στο 20% των κρατών της στα οποία έχει αναπτύξει δραστηριότητες ο κινεζικός ψηφιακός κολοσσός της Huawei. Στην Τανζανία πάντως αυτήν την στιγμή πραγματοποιούνται πειράματα για χρήση της τεχνολογίας για την ταυτοποίηση σκύλων που έχουν εμβολιαστεί για λύσσα, ενώ η Κένυα ισχυρίζεται ότι περιόρισε σχεδόν στο μισό την εγκληματικότητά της λόγω της ψηφιακής αναγνώρισης προσώπου. Δεδομένων των ραγδαίων πάντως εξελίξεων και την ταχύτατη διείσδυση των παγκόσμιων ψηφιακών εταιρειών στην Αφρική, πολύ σύντομα η εφαρμογή της τεχνολογίας από τα κράτη θα επεκταθεί σε ανάλογα ποσοστά με την Αμερική και την Ασία.

Στον ευρωπαϊκό χώρο, που διαθέτει μια παράδοση στην προστασία της ιδιωτικότητας και των προσωπικών δεδομένων και οι πολίτες έχουν οξυμένη ευαισθησία της κοινωνίας των πολιτών στα ζητήματα των συνταγματικών ελευθεριών, η ψηφιακή αναγνώριση προσώπου χρησιμοποιείται από 26 κράτη!

Μόνον στην γαλλική πόλη Nice υπάρχει μια βιντεοκάμερα για κάθε 342 πολίτες, ενώ -πάντα σύμφωνα με την έρευνα- χρήση της τεχνολογίας κάνει και η Ελλάδα. Μάλιστα σχετικά πρόσφατα η Homo Digitalis απηύθηνε επιστολή προς το Υπουργείο Προστασίας του Πολίτη που αφορούσε πιθανή χρήση της δυσώνυμης πλέον εφαρμογής Clearview AI από την ελληνική αστυνομία σχετικά με την οποία έχει ξεσπάσει σάλος στις Η.Π.Α. Στην επίσημη απάντηση το Υπουργείο αρνείται κατηγορηματικά την χρήση της εν λόγω αμφιλεγόμενης τεχνολογίας ψηφιακής αναγνώρισης προσώπου. Εντός του Μαΐου η European Digital Rights απέστειλε έκκληση προς τα κράτη-μέλη της ΕΕ και την Ευρωπαϊκή Επιτροπή για την απαγόρευση της ψηφιακής αναγνώρισης προσώπου και άλλων τεχνολογιών επεξεργασίας βιομετρικών δεδομένων σε δημόσιους χώρους, ενώ μέχρι στιγμής μόνο το Βέλγιο και το Λουξεμβούργο (μαζί με το Μαρόκο είναι τα μόνο τρία κράτη σε διεθνή εμβέλεια που επέβαλαν απαγόρευση) έχουν προβεί σε απαγορευτική νομοθετική ρύθμιση.

Κάπως έτσι έχει διαμορφωθεί σε διεθνές πλαίσιο η εξάπλωση της ψηφιακής αναγνώρισης προσώπου προκαλώντας αναμφίβολα έντονες ανησυχίες στις κοινωνίες. Οι δημοκρατικές ελευθερίες περιλαμβάνουν το δικαίωμα του συναθροίζεσθαι, την ελευθερία έκφρασης και το δικαίωμα του πληροφοριακού αυτοκαθορισμού τα οποία βρίσκονται στο απόσπασμα λόγω της μαζικής βιομετρικής επιτήρησης του δημόσιου χώρου. Ίσως τμήμα όσων εκφράζουν επιφυλάξεις λόγω των κινδύνων που ελλοχεύουν, αναμετρώνται και με την τεχνολογική αιτιοκρατία (ετεραρχία ή ντετερμινισμό, όπως συνηθίζεται πλέον να λέγεται) που θέλει τους τεράστιους ψηφιακούς κολοσσούς να συμπλέουν με ευρύτερα οικονομικά και πολιτικά συμφέροντα για την επέκταση των σύγχρονων δυστοπικών τεχνολογιών.

Είναι πάντως ερευνητικά αποδεδειγμένη η ανακρίβεια της τεχνολογίας αναγνώρισης προσώπου σε πολλές περιπτώσεις (π.χ. μια από τις εφαρμογές ταυτοποίησε 28 μέλη του αμερικανικού Κογκρέσου ως συλληφθέντες για ποινικά αδικήματα). Αυτό μπορεί να έχει βαρύτατες επιπτώσεις για τους θιγέντες, πολλές εκ των οποίων μη επανορθώσιμες.

Επειδή η εν λόγω τεχνολογία καθιστά εκ των προτέρων υπόπτους όλους ανεξαιρέτως, παραβιάζεται η αρχή της αναλογικότητας, η πεμπτουσία του δικαίου των ανθρωπίνων δικαιωμάτων, λόγω της αδιάκριτης ψηφιακής καταγραφής των πολιτών στο δημόσιο χώρο. Θεμελιώδεις αρχές του δικαίου των προσωπικών δεδομένων ενδέχεται να καταπατούνται, όπως η αρχή του περιορισμού του σκοπού της επεξεργασίας, η ελαχιστοποίηση των δεδομένων αλλά και η απαγόρευση ατομικής λήψης αποφάσεων και κατάρτιση ψηφιακού προφίλ βάσει αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Συνάγεται λοιπόν ότι η ψηφιακή αναγνώριση προσώπου ίσως ναρκοθετεί θεμελιώδεις αρχές της δημοκρατικής κοινωνίας.

Ο περιορισμός του δημόσιου χώρου μέσω της ψηφιακής επιτήρησης, που τείνει να εξαπλώνεται, τροποποιεί αναπόδραστα την ισορροπία ισχύος μεταξύ κράτους και κοινωνίας, η οποία διαφοροποιεί τις δημοκρατίες από τα αυταρχικά αστυνομικά κράτη. Αλλά και ειδικά το ανθρώπινο πρόσωπο, ως το «ιερό βήμα» του ανθρωπίνου σώματος, για το οποίο κάποιος στοχαστής είπε ότι αυτό εκφράζεται κάθε στιγμή, σε αντίθεση με το στόμα που επιλέγει πότε θα μιλήσει, όταν υπόκειται στους «νόμους» των αλγορίθμων και της τεχνητής νοημοσύνης είναι φυσικό να προκαλεί ανυπολόγιστους κινδύνους για την ελευθερία του προσώπου.

Είμαστε, άραγε, έτοιμοι να τους παραβλέψουμε τόσο αψήφιστα;

*O Νικόδημος Καλλιντέρης είναι νομικός με εξειδίκευση στο Δημόσιο Δίκαιο (ΜΔΕ Δημοσίου Δικαίου Νομικής ΕΚΠΑ) και Υποψήφιος Διδάκτορας Δημοσίου Δικαίου. Πεδία έρευνας και ενδιαφέροντος του αποτελούν το απόρρητο των τηλεπικοινωνιών, το Διαδίκτυο των Πραγμάτων (Internet of Things) καθώς και οι τεχνολογίες Βig Data, Machine Learning και η Tεχνητή Nοημοσύνη.