23 Απρίλιος, 2019

Η προστασία δεδομένων και η ανταπόκριση των υπευθύνων

Βασίλης Σωτηρόπουλος

Ο επιστημονικός κλάδος της προστασίας προσωπικών δεδομένων αποτελείται από τέσσερα συστατικά: ορολογία, δικαιώματα, υποχρεώσεις και ρυθμιστές. Ο νομοθέτης επινοεί νέους όρους, για να μπορέσουμε να συνεννοηθούμε. Τα “προσωπικά δεδομένα” είναι κάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο η ταυτότητα του οποίου είναι γνωστή ή μπορεί να εξακριβωθεί. Αυτό το φυσικό πρόσωπο είναι το “υποκείμενο των δεδομένων”. Αυτός που καθορίζει τον σκοπό και τον τρόπο της επεξεργασίας των προσωπικών δεδομένων είναι ο “υπεύθυνος επεξεργασίας” που μπορεί να τα επεξεργάζεται μόνος του με το προσωπικό του ή να αναθέτει το έργο σε μια τρίτη οντότητα, τον “εκτελούντα την επεξεργασία”. Όλα αυτά υπάρχουν από το 1997 με τον ιδρυτικό νόμο αρ. 2472, ο οποίος εξακολουθεί να βρίσκεται σε ισχύ, παράλληλα με τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων.

Ο GDPR εμπλουτίζει ιδίως το δεύτερο και το τρίτο συστατικό της προστασίας προσωπικών δεδομένων. Το υποκείμενο των δεδομένων έχει το δικαίωμα, όταν κάποιος υπεύθυνος επεξεργασίας συλλέγει τα προσωπικά δεδομένα, να ενημερώνει αναλυτικά για την τύχη τους. Αφού ενημερωθεί, το υποκείμενο των δεδομένων έχει το δικαίωμα να αντιταχθεί υποβάλλοντας ένσταση και αντίρρηση για την επεξεργασία των στοιχείων του. Μπορεί να ζητήσει και την διαγραφή των δεδομένων του, ακόμη και των αποτελεσμάτων που μπορεί να δίνουν μηχανές αναζήτησης στο Διαδίκτυο με κριτήριο έρευνας το όνομά του. Αυτό είναι το “δικαίωμα στην λήθη”, μια από τις καινοτομίες του GDPR. Μια ακόμη καινοτομία του GDPR είναι το “δικαίωμα ανθρώπινης παρέμβασης”, για να επανεξεταστούν προσωπικά δεδομένα που οδηγούν σε μια αρνητική απόφαση, όταν αυτή λαμβάνεται με αυτοματισμό (π.χ. εξετάσεις οδήγησης). Καθώς στο μέλλον η τεχνητή νοημοσύνη θα υποδέχεται αιτήματα λήψης αποφάσεων για άτομα, ο GDPR λειτουργεί ως μια θεσμική εγγύηση ότι οι μηχανές θα υπηρετούν τον άνθρωπο κι όχι το αντίθετο.

Από τις 25.5.2018 που τέθηκε σε εφαρμογή ο GDPR, όλες οι δημόσιες υπηρεσίες και οι ιδιωτικοί φορείς που επεξεργάζονται προσωπικά δεδομένα ατόμων από επίπεδο περιφέρειας και ευρύτερα (όχι τοπικά), έχουν την υποχρέωση να ορίσουν έναν Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer). Ελάχιστοι φορείς στον ιδιωτικό και τον δημόσιο τομέα το έχουν ήδη πράξει αυτό. Οι φορείς υποχρεούνται επίσης να καταρτίσουν ένα Αρχείο δραστηριοτήτων επεξεργασιών προσωπικών δεδομένων, μια υποχρέωση διαφάνειας που ελάχιστοι έχουν εκπληρώσει. Για κάθε κατηγορία επεξεργασιών δεδομένων που ενδέχεται να ενέχει σοβαρές επιπτώσεις στα δικαιώματα και τις ελευθερίες των ατόμων (π.χ. λειτουργία κλειστών κυκλωμάτων τηλεόρασης), οι υπεύθυνοι επεξεργασίας οφείλουν να εκπονήσουν μελέτη εκτίμησης αντικτύπου. Όταν διαπιστωθεί παραβίαση δεδομένων, οι υπεύθυνοι οφείλουν πλέον εντός 72 ωρών να ενημερώσουν την Αρχή. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα είναι ο εθνικός ρυθμιστής, μαζί με τους DPO κάθε φορέα. Η καθυστέρησή της στην επεξεργασία προσφυγών και καταγγελιών είναι παροιμιώδης κι έχει ήδη καταδικαστεί τουλάχιστον πέντε (5) φορές από την Δικαιοσύνη να καταβάλει αποζημιώσεις επειδή υπερέβη τον εύλογο χρόνο διεκπεραίωσης υποθέσεων. Το μοντέλο του πολυπρόσωπου οργάνου με συνταξιούχο δικαστικό επικεφαλής έχει αποτύχει. Θα πρέπει να περάσουμε στην πιο έξυπνη λύση που ακολουθεί η Κύπρος, με ορισμό Επιτρόπου Προστασίας Δεδομένων και στελέχωση με το αναγκαίο ανθρώπινο δυναμικό.

Το Ευρωπαϊκό Κοινοβούλιο που θα αναδειχθεί από τις Ευρωεκλογές θα θεσπίσει το επόμενο μεγάλο νομοθέτημα: τον Κανονισμό Ιδιωτικότητας στις Ηλεκτρονικές Επικοινωνίες. Με αφετηρία τις ρυθμίσεις του GDPR, η Ε.Ε. είναι έτοιμη να προχωρήσει στην ενεργοποίηση του ePrivacy Regulation, οπότε θα πρέπει να ακολουθήσει ένα νέο κύμα συμμόρφωσης του δημόσιου και του ιδιωτικού τομέα. Αυτή θα είναι και η τελευταία τους ευκαιρία, πριν ξεκινήσουν οι μεγάλες κυρώσεις για τις παραβάσεις που ήδη έχουν σημειωθεί.

ΠΗΓΗ: ΤΑ ΝΕΑ ΣΑΒΒΑΤΟΚΥΡΙΑΚΟ

* Ο Βασίλης Σωτηρόπουλος είναι δικηγόρος και υποψήφιος Ευρωβουλευτής με το Ποτάμι

Σχετικά