Μετάβαση στο κύριο περιεχόμενο

Απογραφή δημοσίων υπαλλήλων και προστασία προσωπικών δεδομένων

Κάθε διαδικασία απογραφής συνδέεται από τη φύση της με τη συλλογή πληροφοριών που αναφέρονται σε φυσικά πρόσωπα, δηλαδή με την συλλογή και αποθήκευση προσωπικών δεδομένων. Αυτό σημαίνει ότι ο όγκος των πληροφοριών που συλλέγονται θα πρέπει να υποβληθεί σε έλεγχο συμβατότητας προς το νομικό πλαίσιο για την προστασία προσωπικών δεδομένων. Στο παρελθόν, ακόμη και παραδοσιακά αποδεκτές διαδικασίες έχουν ακυρωθεί δικαστικά μέχρι και σε επίπεδο ανώτατων δικαστηρίων: κλασική είναι η απόφαση του Ομοσπονδιακού Δικαστηρίου της Γερμανίας κατά τη δεκαετία του 1980 που έκρινε αντισυνταγματική τη διαδικασία απογραφής, διακηρύσσοντας παράλληλα το δικαίωμα του ατόμου στον πληροφοριακό του αυτοκαθορισμό.

Ενώ οι εξελίξεις στον τομέα των προσωπικών δεδομένων γίνονται σταδιακά συνείδηση μέσα στην κοινωνία, καθώς άλλοτε προκαλούσαν ισχυρές αντιδράσεις (θυμηθείτε την υπόθεση του θρησκεύματος στις ταυτότητας), ορισμένες πληροφορίες έχουν σταματήσει να απαιτούνται στις κατά καιρούς απογραφές. Πρόκειται κυρίως για τα ευαίσθητα δεδομένα, που σχετίζονται με τις πιο εσωτερικές πτυχές του ιδιωτικού βίου. Εκτός όμως από τα ευαίσθητα δεδομένα, μία διαδικασία απογραφής θα πρέπει να αφορά μόνο όσα δεδομένα είναι απολύτως αναγκαία για τους σκοπούς της (άρθρο 4 Ν.2472/1997). Σε κάθε περίπτωση θα πρέπει να επιλέγονται οι διαδικαστικές λύσεις που συνδέονται με όσο το δυνατόν περιορισμένη συλλογή προσωπικών δεδομένων.

Στη φόρμα της απογραφής των δημοσίων υπαλλήλων (βλ. εδώ) που διενεργείται αυτόν τον καιρό βλέπουμε να ζητούνται ορισμένα στοιχεία τα οποία είναι αμφισβητήσιμο κατά πόσον είναι απολύτως αναγκαία για το σκοπό της απογραφής. Βλέπουμε να ζητείται το e-mail ή το κινητό τηλέφωνο του υπαλλήλου, στοιχεία τα οποία προφανώς δεν αναφέρονται σε υπηρεσιακές ηλεκτρονικές διευθύνσεις, αλλά σε σφαίρες της ιδιωτικότητας. Ο σκοπός για τον οποίο ζητούνται αυτά τα στοιχεία διευκρινίζεται στις Οδηγίες συμπλήρωσης του εντύπου (βλ. εδώ). Είναι υποχρεωτικό να δηλώσει ο υπάλληλος είτε κινητό τηλέφωνο είτε e-mail προκειμένου να του αποσταλεί "με ασφάλεια" ο Προσωπικός Κωδικός Απογραφής, ώστε ο ενδιαφερόμενος να έχει πρόσβαση στο φάκελό του. Εάν μάλιστα ο υπάλληλος δεν διαθέτει e-mail ή κινητό καλείται να δώσει (υποχρεωτικά) το κινητό ενός οικείου προσώπου.

Δεν πρόκειται για έναν ασφαλή τρόπο χορήγησης του Προσωπικού Κωδικού Απογραφής, ο οποίος μάλιστα αποτελεί ένα προσωπικό δεδομένο - κλειδί πρόσβασης στον φάκελο. Ανεξάρτητα από το πόσο οικείο είναι το πρόσωπο, η αποστολή του κωδικού σε ένα κινητό τρίτου καθιστά τον Κωδικό αυτομάτως προσβάσιμο και από άτομο πέραν του ενδιαφερομένου. Ο πιο ασφαλής τρόπος θα ήταν η αποστολή του κωδικού με συστημένη επιστολή (ή η ιδιόχειρη παράδοση του Κωδικού σε κλειστό φάκελο από την ίδια την υπηρεσία του υπαλλήλου), μέθοδο απολύτως ασφαλή που ακολουθούν και οι τράπεζες όταν αποστέλουν τους κωδικούς ασφαλείας για τις συναλλαγές με κάρτες.

Πέραν τούτου όμως, αφού ο αποκλειστικός λόγος για τον οποίο ο υπάλληλος καλείται να δώσει αυτά τα στοιχεία είναι η αποστολή του Κωδικού, μετά την αποστολή θα πρέπει να διαγράφεται από τον ηλεκτρονικό φάκελο το προσωπικό δεδομένο του αριθμού κινητού τηλεφώνου ή του e-mail καθόσον δεν αποτελεί πια αναγκαίο στοιχείο, ενώ η παραμονή του στο φάκελο θα μπορούσε να διευκολύνει τη χρήση του για άλλους σκοπούς, πράγμα που θα ήταν αντίθετο στο άρθρο 4 παρ. 1 του Ν.2472/1997.

Συνεπώς, οι δημόσιοι υπάλληλοι θα πρέπει να διεκδικήσουν την παράδοση του Κωδικού σε κλειστό φάκελο, προκειμένου να αποφύγουν την κοινοποίηση αυτών των στοιχείων τους ή έστω την αυτόματη διαγραφή των δεδομένων αυτών μετά την αποστολή του Κωδικού. Καθώς όμως η μη υποβολή των υποχρεωτικών στοιχείων μπορεί να οδηγήσει σε πειθαρχικές κυρώσεις, η διεκδίκηση αυτή θα πρέπει να γίνει και με την ενεργοποίηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, που θα πρέπει να επέμβει στην εν λόγω διαδικασία απογραφής (η οποία αφορά εξάλλου και τα προσωπικά δεδομένα των δημοσίων υπαλλήλων που υπηρετούν και στην ίδια), ώστε να διευκρινιστεί το καθεστώς συλλογής και διατήρησης των εν λόγω στοιχείων.


Σχόλια

Ο χρήστης vrypan είπε…
1. Η διαδικασία αποστολής του κωδικού μέσω email δεν σημαίνει απαραίτητα ότι δεν μπορούν να υπάρχουν άλλες δικλείδες ασφαλείας. Για παράδειγμα θα μπορούσε ο μισός κωδικός να σταλεί με SMS και ο υπόλοιπος με email, να απαιτείται η επιβεβαίωση κάποιου "κοινού μυστικού" (π.χ. κάποιο από τα στοιχεία που έχει συμπληρώσει ο υπάλληλος στην φόρμα απογραφής) για να ενεργοποιηθεί ο κωδικός κ.λ.

2. Νομίζω ότι παραβλέπεις το γεγονός ότι δεν μιλάμε για την σχέση ενός πολίτη με το Δημόσιο, αλλά ενός εργαζόμενου με τον εργοδότη του. Είναι παράνομο να έχει ο εργοδότης τα στοιχεία επικοινωνίας με τον υπάλληλό του, όπως διεύθυνση, τηλέφωνο και email? Μου μοιάζει περίεργο.

3. Επειδή καλό είναι οι νομικοί να προβλέπουν προβλήματα και όχι να δημιουργούν :-), νομίζω ότι πιο καλή λύση θα ήταν, να μπορεί να απαιτήσει κάποιος την αποστολή του κωδικού του μέσω συστημένης επιστολής μόνο αν υπογράψει υπεύθυνη δήλωση ότι δεν διαθέτει κινητό τηλέφωνο. Πρακτικά, δεν νομίζω ότι είναι ελάχιστοι οι ΔΥ που δεν έχουν κινητό και θα ήταν παραλογισμός να ξοδέψουμε τόσα χρήματα σε συστημένες επιστολές.
Ο χρήστης vrypan είπε…
"πρακτικά νομίζω" (όχι "δεν νομίζω") εννοούσα στο 3.
Ο χρήστης e-Lawyer είπε…
Όταν ήμουν στη Νομική μας είχαν καλέσει στη Γραμματεία για να παραλάβουμε συστημένη επιστολή με τον προσωπικό μας κωδικό από τον οποίο είχαμε πρόσβαση στην ηλεκτρονική βάση δεδομένων. Δεν χρειάστηκε λοιπόν να δώσουμε ούτε αριθμό κινητού τηλεφώνου, ούτε e-mail για να μας το στείλουν. Νομίζω ότι είναι πιο απλό και δεν δημιουργούσε βάση δεδομένων με επιπλέον στοιχεία μας.

Έπειτα, όταν είχα εργοδότη που γνώριζε το κινητό μου, η εκτός ωραρίου ενόχληση ήταν πάντα μέσα στο "πρόγραμμα".

Εντάξει, οι λύσεις που προτείνω είναι κάπως off-line, αλλά είναι και ηπιότερες για την ιδιωτικότητα των εργαζομένων, ας είναι και δημόσιοι υπάλληλοι :-)
Ο χρήστης vrypan είπε…
Δεν θεωρώ ότι τίθεται θέμα προσωπικών δεδομένων στο να διαθέτει ο εργοδότης το κινητό σου και το (ένα από τα) email σου. Έχει έτσι κι αλλιώς πολύ πιο ευαίσθητα προσωπικά δεδομένα των υπαλλήλων στην κατοχή του (διεύθυνση κατοικίας, μισθός, οικογενειακή κατάσταση κ.λ.)

Θα μπορούσε να πει κάποιος, ότι η χρήση του κινητού, στην συγκεκριμένη περίπτωση, είναι καλύτερη από την συστημένη επιστολή.

Εξηγώ: Αν δεν θέλω η γυναίκα μου να έχει πρόσβαση στον κωδικό μου, σε μία χώρα που πρακτικά όλοι έχουμε από ένα κινητό, θα προτιμούσα 1000 φορές να μου αποσταλεί ο κωδικός στο κινητό μου, παρά με επιστολή στο σπίτι μου.

Δηλαδή, όταν εξετάζεις ένα θέμα ασφάλειας, πρέπει να λαμβάνεις υπόψη σου ποιος θα είχε όφελος να την παραβιάσει. Τον κωδικό για πρόσβαση σε μία βάση νομικών δεδομένων, αν τον παραδώσεις σε ένα χώρο με δικηγόρους (π.χ. νομική σχολή), πρέπει να λάβεις αυστηρά μέτρα. Αν τον στείλεις στο σπίτι μπορείς να τον στείλεις με απλό ταχυδρομείο (αφού ούτε οι γείτονες, ούτε ο ταχυδρόμος έχει κάποιο ενδιαφέρον να τον υποκλέψουν).
Ο χρήστης e-Lawyer είπε…
Είναι θέμα αρχής να μην δημιουργούνται νέες βάσεις προσωπικών δεδομένων όταν μια εργασία μπορεί να γίνει με άλλο τρόπο, δηλαδή χωρίς διατήρηση στοιχείων. Ακόμη κι αν ο κίνδυνος είναι θεωρητικός.
Εφόσον ο μόνος λόγος για τον οποίο οι ΔΥ πρέπει να στειλουν κινητό ή e-mail είναι η αποστολή του Προσωπικού Κωδικού, τότε παρέλκει η διατήρηση του κινητού ή του e-mail και γι' αυτό θα έπρεπε να υπάρχει στην ΚΥΑ μια διάταξη για την καταστροφή των στοιχείων. Εκτός εάν η επιδίωξη είναι να δημιουργηθεί η βάση και για άλλους σκοπούς, οπότε θα έπρεπε να μνημονεύονται στην ΚΥΑ και οι άλλοι σκοποί, για λόγους διαφάνειας της χρήσης των προσωπικών δεδομένων. Το θέμα είναι νομοτεχνικό.
Ο χρήστης vrypan είπε…
Ξέρεις τώρα, εγώ με τα νομοτεχνικά έχω μηδενική σχέση. Υποψιάζομαι όμως ότι κάποιος συνάδελφός σου θα μπορούσε να ισχυριστεί ότι ο λόγος αυτός διαρκεί για όσο είναι ενεργή η on-line υπηρεσία: αν χάσεις τον κωδικό, μπορεί να σου αποσταλεί νέος με email ή sms, αν τον αλλάξεις μπορεί να αποσταλεί με τον ίδιο τρόπο alert ότι άλλαξε κ.λ. Καλά τα λέω;

Η καλή υλοποίηση μίας υπηρεσίας θα μπορούσε επίσης να τα κάνει όλα πιο απλά, χωρίς να απαιτούνται ειδικές διατάξεις κ.λ.: π.χ. αν διασφαλίσεις ότι ο κωδικός έχει όντως φτάσει στον σωστό παραλήπτη, τότε μπορείς να δίνεις την δυνατότητα στον χρήστη, αν το επιθυμεί, να διαγράψει το email του μέσα από την εφαρμογή.

(Αν και εδώ, μάλλον η διαφωνία μας είναι στο τί είναι πιο απλό: για εσένα μοιάζει πιο απλό το "μία διάταξη", για εμένα το "μία λειτουργία του software" :-)
Ο χρήστης e-Lawyer είπε…
Oντως θα μπορουσε να γινει χωρις προσθετες νομικες διαταξεις αν εχεις ενα καλο συστημα. Αλλα απο τη στιγμη που βαζεις και διαταξεις το καλυτερο ειναι ο εχθρος του καλου. Επισης απο τη στιγμη που δημιουργεις βαση δεδομενων ολων των δημοσιων υπαλληλων μου δινεις το δικαιωμα με βαση το νομο για τημ περαιτερω χρηση πληροφοριων του δημοσιου τομεα να λαβω ως ιδιωτης αντιγραφο της βασης και να την εκμεταλλευτω για εμπορικους σκοπους. Πραγμα που αναρωτιεμαι αν εληφθη υποψη ως εκτιμηση επιπτωσεων οταν επελεγη αυτος ο τροπος κοινοποιησης του κωδικου προσβασης.
Ο χρήστης vrypan είπε…
Από όλα αυτά τα δεδομένα, το email σε τρομάζει; Αν μπορεί ένας ιδιώτης να ζητήσει όλη την βάση με τα προσωπικά στοιχεία όλων των δημοσίων υπαλλήλων (περιλαμβάνει από ΑΦΜ, μέχρι σπουδές, οικογενειακή κατάσταση κ.λ.), νομίζω ότι το λιγότερο είναι το email!

Περίεργο μου μοιάζει να επιτρέπεται αυτό. Δηλαδή μπορώ να ζητήσω από το Υπ. Οικονομικών την βάση με όλες τις φορολογικές δηλώσεις;
Ο χρήστης e-Lawyer είπε…
Οχι αυτα καλυπτονται απο το φορολογικο απορρητο οποτε εξαιρουνται απο την περαιτερω χρηση. Τα email και κινητα ομως ειναι οτι πρεπει για σπαμ και αμεσο μαρκετινγκ και ειναι η πρωτη φορα που συλλεγοντΑι τοσο μαζικα για το δημοσιο.
Ο χρήστης nikos10 είπε…
Απογραφή μετ' εμποδίων
Απ' ό,τι φαίνεται, η Αρχή παρενέβη, μάλλον όμως όχι και για το θέμα που θίγεις.
Ο χρήστης e-Lawyer είπε…
Θα ασχοληθουν και με αυτο. Εξαλλου ηρθε ο καιρος να δημοσιευσω και την Εκθεση Αποτελεσματικοτητας της Αρχης για το 2009.
Ο χρήστης WindowsNT είπε…
Παιδιά συγγνώμη αλλά από ότι φαίνεται το κράτος δεν έχει καμία επαφή με την σύγχρονη τεχνολογία αλλά και οι χρήστες.

Υπάρχει τρόπος να ασφαλιστεί το e-mail με κρυπρογράφηση και να μην μπορεί να το δεί κανείς εκτός του παραλήπτη. Μιλάμε για τεχνολογία δεκαετιών τώρα.

Δημοφιλείς αναρτήσεις από αυτό το ιστολόγιο

Παράνομη η αντιγραφή φωτογραφιών από ελεύθερης πρόσβασης προφίλ στο facebook

Yπάρχει διάχυτη η εντύπωση ότι αν κάποιος έχει λογαριασμό ελεύθερης πρόσβασης ("ανοιχτό προφίλ") σε ιστοσελίδα κοινωνικής δικτύωσης, ό,τι έχει αναρτήσει σε αυτήν μπορεί να χρησιμοποιηθεί ελεύθερα. Η παρανόηση αυτή επικρατεί κυρίως σε μέσα ενημέρωσης που νομίζουν ότι μπορούν να χρησιμοποιούν ελεύθερα υλικό από προφίλ των χρηστών στο facebook, χωρίς να σέβονται ότι οι χρήστες δεν έχουν συγκατατεθεί στην εμπορική χρήση των δεδομένων τους από εφημερίδες ή την τηλεόραση. Μια πρόσφατη απόφαση του Εφετείου Αθηνών  (2016) στην οποία υπερασπίστηκα μια χρήστη του facebook επιβεβαίωσε ότι και από ελεύθερα προσβάσιμο λογαριασμό δεν επιτρέπεται χωρίς συγκατάθεση η αναπαραγωγή των προσωπικών δεδομένων (φωτογραφιών) και καταδίκασε την εφημερίδα να καταβάλει αποζημίωση στην θιγόμενη. Ανέφερε χαρακτηριστικά το Δικαστήριο:
“ Σε ό,τι αφορά, ειδικότερα τις φωτογραφίες που δημοσιεύθηκαν, είναι απαραίτητο να επισημανθεί ότι αυτές πραγματικά προέρχονταν από ιστοσελίδα στο διαδίκτυο, στην οποία η …

Χρήση φωτογραφιών από το facebook σε ΜΜΕ

Μια σημαντική απόφαση εκδόθηκε πρόσφατα από το Εφετείο Αθηνών και αφορά την χρήση φωτογραφιών που είχε αναρτήσει ένα πρόσωπο στο facebook και στη συνέχεια χρησιμοποιήθηκαν στον Τύπο και στην τηλεόραση. Με την απόφαση 5336/2015, το Εφετείο έκρινε ότι αυτό δεν επιτρέπεται χωρίς την συγκατάθεση του υποκειμένου και επίσης αποφάνθηκε ότι το facebook αποτελεί "αρχείο προσωπικών δεδομένων" στοιχείο που αποτελεί προϋπόθεση για να εφαρμοστεί επ' αυτού ο Ν.2472/1997 για την προστασία από την επεξεργασία προσωπικών δεδομένων. 
Οι επί του θέματος των φωτογραφιών αιτιολογικές σκέψεις του δικαστηρίου έχουν ως εξής:
"Με την προβολή των φωτογραφιών της ενάγουσας στην τηλεόραση, χωρίς τη συναίνεση ή την εκ των υστέρων έγκρισή της, προσεβλήθη το δικαίωμά της επί της ιδίας εικόνας. Το γεγονός ότι στις προβληθείσες φωτογραφίες της ήταν καλυμμένα τα χαρακτηριστικά του προσώπου της δεν αναιρεί την προσβολή, δεδομένου ότι, αφ' ενός μεν, εικόνα του ατόμου δεν είναι μόνο το πρόσωπό του, α…

Σκουρλέτης: αντίθετο σε δημόσια τάξη / χρηστά ήθη το επώνυμο τέκνου ζεύγους γυναικών

Κατόπιν κοινοβουλευτικής ερώτησης 12 βουλευτών του ΣΥΡΙΖΑ για την άρνηση του Ειδικού Ληξιαρχείου του Υπουργείου Εσωτερικών να καταχωρήσει ληξιαρχική πράξη γέννησης τέκνου που έλαβε το επώνυμο της συζύγου της μητέρας του (βλ. εδώ), απαντήσεις δόθηκαν από τον υπουργό Δικαιοσύνης και τον υπουργό Εσωτερικών. 
Ο (πρώην) υπουργός Δικαιοσύνης, Διαφάνειας και Ανθρώπινων Δικαιωμάτων κ. Παρασκευόπουλος αντί να απαντήσει τί συγκεκριμένο πρόκειται να πράξει σε επίπεδο νομοθεσίας για την ανεπιφύλακτη αναγνώριση των γονέων του παιδιού, όπως επιβάλλει η Διεθνής Σύμβαση για τα Δικαιώματα του Παιδιού (η επιλογή του ονόματος τέκνου ήδη δίνεται από τον νόμο για το σύμφωνο συμβίωσης), αναφέρει στην απάντησή του -γενικά και αόριστα- ότι το υπουργείο του υλοποιεί δράσεις "Δικαιοσύνης φιλικές για τα παιδιά" και ότι αναμένεται η έναρξη εργασιών μιας νομοπαρασκευαστικής επιτροπής για θέματα οικογενειακού δικαίου. Περαιτέρω, για το γεγονός ότι το Ειδικό Ληξιαρχείο δεν εφαρμόζει το άρθρο 10 του νόμου…