Συμμόρφωση της Ένωσης Αστυνομικών Νοτιοανατολικής Αττικής στο
Γενικό Κανονισμό για την Προστασία Δεδομένων
Ι. Η έναρξη ισχύος του Κανονισμού και ο χαρακτήρας του
Δυνάμει του υπ’ αριθ. 2016/679 Κανονισμού της Ευρωπαϊκής Ένωσης, εισήχθη ο Γενικός Κανονισμός για την Προστασία Δεδομένων με σκοπό την καθιέρωση ενιαίου νομικού πλαισίου για την προστασία των προσωπικών δεδομένων των φυσικών προσώπων εντός της Ευρωπαϊκής Ένωσης. Δεδομένου ότι πρόκειται για ευρωπαϊκό κανονισμό, έχει αυτοδικαίως δεσμευτικό χαρακτήρα και άρχισε να εφαρμόζεται από τις 25 Μαΐου 2018.
ΙΙ. Ποιοι θα πρέπει να συμμορφωθούν στον Κανονισμό
Στο Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ) θα πρέπει να συμμορφωθεί κάθε άτομο, εταιρεία ή οργανισμός που προβαίνει σε επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν φυσικά πρόσωπα εντός της Ε.Ε. Κριτήριο της υπαγωγής ή μη στο ΓΚΠΔ είναι το εάν η εταιρεία ή η οντότητα έχει έδρα εντός της Ευρωπαϊκής Ένωσης, ή εάν έχει έδρα εκτός της Ευρωπαϊκής Ένωσης, πλην όμως προσφέρει αγαθά/υπηρεσίες, επί πληρωμή ή δωρεάν, ή παρακολουθεί τη συμπεριφορά φυσικών προσώπων εντός της Ευρωπαϊκής Ένωσης. Η Ένωση Αστυνομικών Νοτιοανατολικής Αττικής πληροί αμφότερα τα προαναφερθέντα κριτήρια, επομένως θα πρέπει να συμμορφωθεί στις επιταγές του ευρωπαϊκού κανονισμού.
ΙΙΙ. Τι σημαίνει ο όρος «επεξεργασία» και ποια στοιχεία θεωρούνται ως δεδομένα προσωπικού χαρακτήρα
Θα πρέπει να διευκρινιστεί εξαρχής ότι ο όρος «επεξεργασία» που αναφέρεται στον Κανονισμό καλύπτει ευρύ φάσμα πράξεων που πραγματοποιούνται σε δεδομένα προσωπικού χαρακτήρα. Ειδικότερα ο όρος «επεξεργασία» περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα. Διευκρινίζεται δε ότι ο Γενικός Κανονισμός για την Προστασία Δεδομένων προστατεύει τα δεδομένα προσωπικού χαρακτήρα των φυσικών προσώπων ανεξάρτητα από την τεχνολογία που χρησιμοποιείται για την επεξεργασία τους. Ο Κανονισμός είναι δηλαδή τεχνολογικά ουδέτερος και εφαρμόζεται τόσο στην αυτοματοποιημένη όσο και στη χειροκίνητη επεξεργασία, υπό την απαραίτητη προϋπόθεση ότι τα δεδομένα οργανώνονται επί τη βάσει προκαθορισμένων κριτηρίων (λ.χ. με αλφαβητική σειρά).
Ως δεδομένα προσωπικού χαρακτήρα θεωρούνται τα εξής : όνομα και επώνυμο, διεύθυνση κατοικίας, ηλεκτρονική διεύθυνση ταχυδρομείου, αριθμός εγγράφου ταυτοποίησης (π.χ. αριθμός ταυτότητας, διαβατηρίου, διπλώματος οδήγησης κλπ), δεδομένα τοποθεσίας (λ.χ. η λειτουργία δεδομένων τοποθεσίας σε κινητό τηλέφωνο).
Ως ευαίσθητα προσωπικά δεδομένα θεωρούνται εκείνα τα οποία αποκαλύπτουν φυλετική ή εθνική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα που υποβάλλονται σε επεξεργασία αποκλειστικά για την ταυτοποίηση ενός ατόμου, δεδομένα σχετικά με την υγεία και δεδομένα σχετικά με τη σεξουαλική ζωή ή το γενετήσιο προσανατολισμό ενός ατόμου.
IV. Σε ποιες ενέργειες θα πρέπει να προβεί η Ε.Α.Υ.ΝΑ.Α. για να συμμορφωθεί με το Γενικό Κανονισμό για την Προστασία Δεδομένων
1. Θα πρέπει να επικοινωνήσετε με τα μέλη της Ένωσης και χρησιμοποιώντας απλή γλώσσα να τους πείτε :
α) ποιοί είστε όταν ζητάτε τα δεδομένα, να τους δώσετε δηλαδή και τα στοιχεία επικοινωνίας σας και τα στοιχεία του Υπεύθυνου Προστασίας Δεδομένων, εάν υπάρχει (περισσότερα για το εν λόγω ζήτημα θα αναφερθούν κατωτέρω)
β) το λόγο που επεξεργάζεστε τα δεδομένα τους (σκοποί),
γ) τις κατηγορίες των σχετικών δεδομένων προσωπικού χαρακτήρα
δ) τη νομική αιτιολόγηση για την προστασία των δεδομένων (στην περίπτωση της Ε.Α.Υ.ΝΑ.Α. τα προσωπικά δεδομένα τηρούνται κατόπιν συγκατάθεσης των μελών)
ε) το χρονικό διάστημα για το οποίο θα φυλαχτούν τα δεδομένα
στ) ποιοι άλλοι μπορεί να τα λάβουν πέραν της Ε.Α.Υ.ΝΑ.Α.
ζ) εάν τα δεδομένα του προσωπικού χαρακτήρα θα διαβιβαστούν σε αποδέκτη εκτός της Ε.Ε.
η) ότι τα άτομα των οποίων τηρείτε τα προσωπικά δεδομένα έχουν δικαίωμα να λάβουν αντίγραφο των δεδομένων (δικαίωμα πρόσβασης), να ζητούν τη διόρθωση εσφαλμένων, ανακριβών ή ελλιπών δεδομένων προσωπικού χαρακτήρα, να υποβάλουν αίτημα για τη διαγραφή δεδομένων προσωπικού χαρακτήρα, όταν δεν είναι πλέον απαραίτητα ή αν η επεξεργασία είναι παράνομη, να εναντιωθούν στην επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα για σκοπούς εμπορικής προώθησης ή για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή τους, να υποβάλουν αίτημα για περιορισμό της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα σε συγκεκριμένες περιπτώσεις, να λαμβάνουν τα δεδομένα τους προσωπικού χαρακτήρα σε μορφότυπο αναγνώσιμο από μηχάνημα και να το αποστέλλουν σε άλλον υπεύθυνο επεξεργασίας (φορητότητα δεδομένων) και τέλος να υποβάλουν αίτημα ώστε οι αποφάσεις που βασίζονται σε αυτοματοποιημένη επεξεργασία, τους αφορούν ή τους επηρεάζουν σε σημαντικό βαθμό και βασίζονται στα δικά τους δεδομένα προσωπικού χαρακτήρα, να γίνονται από φυσικά πρόσωπα και όχι μόνο από υπολογιστές.
2. Θα πρέπει να αποστείλετε στα μέλη της Ε.Α.Υ.ΝΑ.Α. αίτημα συγκατάθεσης, το οποίο να υποβάλετε με σαφή και συνοπτικό τρόπο, με διατύπωση εύκολα κατανοητή και με τρόπο που να είναι σαφώς διακριτός από άλλες πληροφορίες. Στο αίτημα θα πρέπει να διευκρινίζεται η χρήση των δεδομένων που πρόκειται να γίνει και τα στοιχεία επικοινωνίας της εταιρείας που επεξεργάζεται τα δεδομένα. Η συγκατάθεση από τα μέλη της Ε.Α.Υ.ΝΑ.Α. θα πρέπει να δοθεί ελεύθερα, συγκεκριμένα, εν επιγνώσει και αδιαμφισβήτητα.
3. Θα πρέπει να δώσετε στα μέλη πρόσβαση στα δεδομένα τους και να τους επιτρέψετε να τα δώσουν σε άλλη εταιρεία.
4. Θα πρέπει να ενημερώσετε τα άτομα σχετικά με παραβιάσεις δεδομένων, αν ενυπάρχει σοβαρός κίνδυνος για αυτούς.
5. Θα πρέπει να δώσετε στα μέλη σας το «δικαίωμα στη λήθη», δηλαδή να διαγράψετε τα προσωπικά τους δεδομένα αν το ζητήσουν, υπό τον όρο ότι δεν θίγεται η ελευθερία έκφρασης ή η δυνατότητα διεξαγωγής έρευνας.
6. Θα πρέπει να δώσετε στα μέλη σας το δικαίωμα να εξαιρεθούν από πρακτικές άμεσου μάρκετινγκ, που χρησιμοποιούν τα δεδομένα τους.
7. Σε περίπτωση που διαβιβάζετε δεδομένα σε χώρες που δεν έχουν λάβει έγκριση από τις αρχές της Ευρωπαϊκής Ένωσης, θα πρέπει να συνάψετε νομικές συμφωνίες.
8. Θα πρέπει να λάβετε πρόσθετα μέτρα προστασίας για πληροφορίες που αφορούν ευαίσθητα προσωπικά δεδομένα.
Όταν η Ε.Α.Υ.ΝΑ.Α. προβεί στις ως άνω αναφερόμενες ενέργειες, θα πρέπει να λάβει υπόψιν της τα εξής :
Θα πρέπει να υπάρχουν συγκεκριμένοι σκοποί για την επεξεργασία των δεδομένων και η Ένωση θα πρέπει να υποδεικνύει τους σκοπούς αυτούς στα μέλη της όταν συλλέγει τα δεδομένα τους. Επίσης, η Ένωση δεν μπορεί να κάνει περαιτέρω χρήση των δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς που δεν είναι συμβατοί με τον αρχικό σκοπό (περιορισμός του σκοπού)
Η Ένωση θα πρέπει να συλλέγει και να επεξεργάζεται μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για την επίτευξη του σκοπού (ελαχιστοποίηση των δεδομένων)
Η Ένωση θα πρέπει να μεριμνήσει ώστε τα δεδομένα προσωπικού χαρακτήρα που τηρεί να είναι ακριβή και ενημερωμένα και σε αντίθετη περίπτωση να τα διορθώνει (ακρίβεια)
Η Ένωση θα πρέπει να διασφαλίσει ότι τα δεδομένα προσωπικού χαρακτήρα που τηρεί δεν αποθηκεύονται για διάστημα μεγαλύτερο από αυτό που είναι απαραίτητο για τους σκοπούς της περισυλλογής τους (περιορισμός της περιόδου αποθήκευσης). Τα δεδομένα δηλαδή θα πρέπει να αποθηκεύονται για την ελάχιστη δυνατή περίοδο. Η ίδια η Ένωση θα πρέπει να θεσπίσει προθεσμίες για η διαγραφή ή την επανεξέταση των δεδομένων που έχουν αποθηκευτεί. Με τον τρόπο αυτό τα τηρούμενα προσωπικά δεδομένα θα είναι πάντοτε ακριβή και ενημερωμένα. Η Ένωση, δεδομένης της τριετούς θητείας των μελών του Διοικητικού Συμβουλίου κατ’ άρθρο 14 του Καταστατικού της, θα μπορούσε να θεσπίσει τριετή προθεσμία για την επανεξέταση των δεδομένων που αποθηκεύει.
Η Ένωση θα πρέπει να διαθέτει και να εφαρμόζει κατάλληλες τεχνικές και οργανωτικές εγγυήσεις και κατάλληλη τεχνολογία ώστε να εξασφαλίσει τα δεδομένα προσωπικού χαρακτήρα που έχει αποθηκεύσει (ακεραιότητα και εμπιστευτικότητα).
V. Η αρχή της λογοδοσίας κατά το Γενικό Κανονισμό για την Προστασία των Δεδομένων
Λογοδοσία ορίζεται ως η απαίτηση να δίνει κάποιος λογαριασμό σε κάποια άλλη οντότητα σχετικά με το πώς ανταποκρίθηκε σε υποχρεώσεις και ευθύνες. Η λογοδοσία και οι επιμέρους εκφάνσεις της λειτουργούν ως αντιστάθμισμα της κατάργησης ή του περιορισμού των διοικητικών διατυπώσεων, όπως λ.χ. η εκ των προτέρων γνωστοποίηση αρχείων και επεξεργασιών από τον τελούντα την επεξεργασία των προσωπικών δεδομένων προς την αρμόδια αρχή.
Εν προκειμένω, από το άρθρο 5 και το άρθρο 24 του ΓΚΠΔ προκύπτει ότι ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να επιδεικνύει συμμόρφωση προς τον Κανονισμό με τέτοιο τρόπο ώστε να μπορεί και να αποδείξει τη συμμόρφωση αυτή. Καλείται δηλαδή ο υπεύθυνος επεξεργασίας αφενός να προβεί σε σχεδιασμό και εφαρμογή εκείνων των μέτρων και πολιτικών που διασφαλίζουν ουσιαστικά τη συμμόρφωση στον κανονισμό, αφετέρου να είναι σε θέση να αποδεικνύει τη συμμόρφωση αυτή ενώπιον των εποπτικών αρχών και των Δικαστηρίων.
Οι τρόποι ανταπόκρισης στη λογοδοσία δεν εξειδικεύονται επακριβώς στο ΓΚΠΔ, ωστόσο στον κανονισμό συμπεριλαμβάνονται ορισμένα μέτρα οργάνωσης και επίδειξης της συμμόρφωσης, δηλαδή :
α) η εκτίμηση αντικτύπου της επεξεργασίας στην προστασία δεδομένων, δηλαδή η εκπόνηση μελέτης, πριν την όποια επεξεργασία, για την εκτίμηση των επιπτώσεων στην προστασία δεδομένων από τις σχεδιαζόμενες πράξεις επεξεργασίας.
β) εφόσον η εκτίμηση αντικτύπου υποδείξει ότι η επεξεργασία θα προκαλέσει υψηλό κίνδυνο, ο υπεύθυνος επεξεργασίας προβαίνει σε διαβούλευση και συνεργασία με την εποπτική αρχή προ της επεξεργασίας, δηλαδή ο υπεύθυνος επεξεργασίας υποβάλλει αίτημα διαβούλευσης και η εποπτική αρχή απαντά επί του αιτήματος εντός προθεσμίας μέχρι οκτώ εβδομάδων, η οποία μπορεί και να παραταθεί.
γ) η λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων προς διασφάλιση του καλύτερου επιπέδου προστασίας, όπως λ.χ. η ψευδωνυμοποίηση και η κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα, η δυνατότητα διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και υπηρεσιών επεξεργασίας σε διαρκή βάση, η δυνατότητα αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε ευθέτο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος και η τακτική δοκιμή, εκτίμηση και αξιολόγηση των ως άνω μέτρων.
δ) η εκπόνηση νέων κωδίκων δεοντολογίας ή η τροποποίηση/ επέκταση των ήδη υφιστάμενων κωδίκων προκειμένου να προσδιοριστεί επακριβώς η εφαρμογή του ΓΚΠΔ. Οι κώδικες αυτοί θα συνταχθούν από ενώσεις και άλλους φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία και ακολούθως θα υιοθετηθούν από εκείνους που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, επομένως και από την Ε.Α.Υ.ΝΑ.Α.
ε) ο ΓΚΠΔ προτείνει τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, ούτως ώστε οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασίας να μπορούν να αποδείξουν ότι συμμορφώνονται προς τις επιταγές του Κανονισμού. Η πιστοποίηση θα χορηγείται από συγκεκριμένους φορείς, οι οποίοι διαθέτουν το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με την προστασία δεδομένων.
στ) ο ορισμός (εσωτερικού) υπευθύνου προστασίας δεδομένων (ΥΠΔ).
Θα πρέπει υποχρεωτικά να διοριστεί Υπεύθυνος Προστασίας Δεδομένων σε τρεις περιπτώσεις, δηλαδή :
1. Όταν η επεξεργασία των προσωπικών δεδομένων γίνεται από δημόσια αρχή ή φορέα, εκτός των δικαστηρίων που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας. Δημόσια αρχή ή φορέας σημαίνει κάθε φυσικό ή νομικό πρόσωπο το οποίο δραστηριοποιείται σε πεδία όπως οι δημόσιες συγκοινωνίες, η παροχή δημοσίων αγαθών (ενέργεια, ύδρευση, ηλεκτροδότηση), τα δημόσια ΜΜΕ.
2. Όταν οι βασικές δραστηριότητες του υπευθύνου ή εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών (ευαίσθητων) δεδομένων των άρθρων 9 και 10 ΓΚΠΔ ή συνιστούν πράξεις επεξεργασίας οι οποίες λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή μεγάλης κλίμακας.
Ως βασικές δραστηριότητες θεωρούνται τα νοσοκομεία όπου λαμβάνει χώρα συλλογή και επεξεργασία δεδομένων υγείας που καταλήγει στη δημιουργία σχετικού αρχείου ή οι εταιρίες παροχής υπηρεσιών ασφαλείας (security), όπου συλλέγονται δεδομένα εικόνας και ήχου ή οι ασφαλιστικές εταιρίες που επεξεργάζονται ευαίσθητα – ιατρικά δεδομένα των ασφαλισμένων.
Ως δραστηριότητες μεγάλης κλίμακας θεωρούνται οι επεξεργασίες που αφορούν μεγάλο αριθμό υποκειμένου δεδομένων ή μεγάλο αριθμό δεδομένων, που ενδεχομένως καλύπτει μεγάλο αριθμό του πληθυσμού ή γεωγραφικής έκτασης, λ.χ. νοσοκομεία, ασφαλιστικές εταιρείες, τράπεζες, δημόσιες συγκοινωνίες, πάροχοι ηλεκτρονικών επικοινωνιών, οι περιπτώσεις διαδικτυακής επεξεργασίας δεδομένων με σκοπό την εμπορική προώθηση – διαφήμιση και η κατάρτιση προφίλ (profiling).
Τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων θεωρείται λ.χ. η διαδικτυακή συμπεριφορική διαφήμιση, το profiling, ο εντοπισμός θέσης μέσω δεδομένων κινητού τηλεφώνου, οι διαδικτυακές κάρτες επιβράβευσης πίστης (loyalty cards), η παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα, η επεξεργασία δεδομένων υγείας μέσω συσκευών wearables, τα κλειστά κυκλώματα τηλεόρασης, διασυνδεμένες συσκευές όπως έξυπνοι μετρητές, έξυπνα αυτοκίνητα κλπ.
3. Βάσει της οδηγίας 2016/680 διορίζεται υποχρεωτικά ΥΠΔ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων.
Η Ε.Α.Υ.ΝΑ.Α. δεν υπάγεται στις τρεις προαναφερθείσες περιπτώσεις, επομένως έχει δύο επιλογές : είτε να διορίσει εθελοντικά ΥΠΔ, οπότε θα ισχύουν οι απαιτήσεις των άρθρων 37 έως 39 του Κανονισμού, όμοια δηλαδή με τν υποχρεωτικά διορισμένο ΥΠΔ, είτε να αναθέσει σε ένα συγκεκριμένο πρόσωπο καθήκοντα εσωτερικής συμμόρφωσης και παροχής συμβουλών σε σχέση με τον ΓΚΠΔ, οπότε το πρόσωπο αυτό δεν θα φέρει τον τίτλο του ΥΠΔ ούτε θα υπάγεται στις ως άνω αναφερόμενες διατάξεις.
ζ) η τήρηση αρχείων επεξεργασίας
η) η τήρηση των υποχρεώσεων κοινοποίησης της παραβίασης δεδομένων