Τετάρτη, Δεκεμβρίου 20, 2017

Yποχρεώσεις διαφάνειας κατά τον Γενικό Κανονισμό Προστασίας Δεδομένων

Τις κατευθυντήριες οδηγίες για τις υποχρεώσεις διαφάνειας που έχουν όσοι επεξεργάζονται προσωπικά δεδομένα δημοσίευσε σε ένα αρχικό έγγραφο η Ομάδα Εργασίας για την Προστασία των Προσωπικών Δεδομένων του άρθρου 29 της Οδηγίας 95/46, προς διαβούλευση έως τις 23.1.2018.

Ανάμεσα στους γενικούς κανόνες διαφάνειας που οφείλουν να τηρούν οι οργανισμοί, η Ομάδα Εργασίας αναφέρει και ορισμένα πρακτικά παραδείγματα με βέλτιστες πρακτικές.

Για την "Πολιτική απορρήτου" ή "Πολιτική προστασίας προσωπικών δεδομένων" που περιλαμβάνεται σε ιστοσελίδες, οι οδηγίες αναφέρουν ότι πρέπει να είναι ορατές κι ότι ο χρωματισμός ή η στοιχειοθεσία που καθιστά το κείμενό τους λιγότερο παρατηρήσιμο ή δύσκολα εντοπίσιμο στην ιστοσελίδα δεν τις καθιστούν "επαρκώς προσβάσιμες" όπως επιβάλλει ο ΓΚΠΔ.

Για τις εφαρμογές (apps), οι πληροφορίες ιδιωτικότητας πρέπει να είναι προσβάσιμες από το online καταστημα πριν από την καταφόρτωση (download) της εφαρμογής. Μετά την εγκατάσταση της εφαρμογής, η πρόσβαση στις πληροφορίες ιδιωτικότητας δεν πρέπει να βρίσκονται με περισσότερα από δύο κλικ ("two taps away")

Όταν συλλέγονται διαδικτυακά προσωπικά δεδομένα, η βέλτιστη πρακτική είναι να ενημερώνεται το υποκείμενο από την ίδια σελίδα στην οποία συλλέγονται. 

Η γλώσσα που χρησιμοποιείται πρέπει να είναι σαφής για το τί πρόκειται να συμβεί με τα προσωπικά δεδομένα. Οι οδηγίες αναφέρουν ως μη επαρκώς σαφείς τις διατυπώσεις:

"Ενδέχεται να χρησιμοποιήσουμε προσωπικά δεδομένα σας για την ανάπτυξη νέων υπηρεσιών
"Ενδέχεται να χρησιμοποιήσουμε προσωπικά δεδομένα σας για ερευνητικούς σκοπούς"
"Ενδέχεται να χρησιμοποιήσουμε προσωπικά δεδομένα σας για προσωποποιημένες υπηρεσίες"

Όταν μια υπηρεσία απευθύνεται σε παιδιά, θα πρέπει να χρησιμοποιείται γλώσσα κατανοητή από παιδιά. Ως παράδειγμα τέτοιας γλώσσας, οι οδηγίες αναφέρουν ένα έγγραφο της Unicef που παρουσιάζει την Διεθνή Σύμβαση για τα Δικαιώματα του Παιδιού σε Γλώσσα Φιλική για τα Παιδιά.

Σε περιπτώσεις που μια συσκευή συλλέγει προσωπικά δεδομένα χωρίς, όμως, να έχει οθόνη,  (π.χ. σταθερό τηλέφωνο) ή σε περίπτωση που απευθύνεται σε ανθρώπους με μειωμένη ή χωρίς ακοή, οι πληροφορίες πρέπει να δίνονται προφορικά, με ηχογραφημένο μήνυμα.

Σε περίπτωση μεταβολής της επεξεργασίας των προσωπικών δεδομένων, η πληροφόρηση πρέπει να γίνεται με το ίδιο μέσο, αλλά με τρόπο διακριτό από την υπηρεσία, όπως π.χ. στην περίπτωση της άμεσης διαφήμισης κι όχι ως μέρος και περιεχόμενο της υπηρεσίας.

Η δημοσιοποίηση ενός μέρους της Εκτίμησης Αντικτύπου ή του Κώδικα Συμπεριφοράς (ως προς την προστασία δεδομένων) ενδείκνυεται επίσης κατά τις οδηγίες ως μια καλή πρακτική για την εκπλήρωση των υποχρεώσεων διαφάνειας.

Για το δικαίωμα των ασθενών περί λήψης αντιγράφων των προσωπικών δεδομένων τους από υπηρεσίες υγείας, οι οδηγίες αναφέρουν ένα θετικό κι ένα αρνητικό παράδειγμα. Το θετικό παράδειγμα είναι η ύπαρξη διαδικτυακής φόρμας υποβολής του αιτήματος στην ιστοσελίδα της υπηρεσίας υγείας, αλλά και έντυπης φόρμας αίτησης στον χώρο της υπηρεσίας. Το αρνητικό παράδειγμα είναι μια γενικού τύπου ανακοίνωση στην ιστοσελίδα που λέει στους ασθενείς να απευθυνθούν στο τμήμα εξυπηρέτησης πελατών.

Για την υπενθύμιση των πληροφοριών σχετικά με την επεξεργασία προσωπικών δεδομένων, οι οδηγίες αναφέρουν το παράδειγμα του χρήστη που έχει εγκαταστήσει μια εφαρμογή, έχοντας λάβει όλες τις πληροφορίες, αλλά μετά από 6 μήνες ενεργοποιεί και την δυνατότητα άμεσων μηνυμάτων της ίδιας εφαρμογής, οπότε όμως λαμβάνει πληροφόρηση μόνο για το συγκεκριμένο εργαλείο, ενώ η Ομάδα Εργασίας αναφέρει ότι θα πρέπει να λάβει όλη την πληροφόρηση για το σύνολο της εφαρμογής εκ νέου.

Ως περίπτωση που είναι αδύνατη η παροχή πληροφοριών στο υποκείμενο των δεδομένων, οι οδηγίες αναφέρουν το παράδειγμα πληροφοριών που πληρώνονται εκ των υστέρων, δηλ. μετά την εγγραφή του χρήστη, αλλά ο υπεύθυνος επεξεργασίας αναζητά πληροφορίες πιστοληπτικής ικανότητας χωρίς να έχει συγκρατήσει έγκυρα στοιχεία επικοινωνίας με τον καταναλωτή.

Ως παράδειγμα δυσανάλογης προσπάθειας για την ενημέρωση των υποκειμένων η Ομάδα Εργασίας παραθέτει την έρευνα ιστορικών μελετητών επί βάσης δεδομένων επωνύμων 20.000 ατόμων, τα οποία συλλέχθηκαν πριν 50 έτη και δεν έχουν επικαιροποιηθεί από τότε, χωρίς να παρατίθεται και δεδομένα διευθύνσεων και εντοπισμού τους. Λαμβάνοντας υπόψη το μέγεθος της βάσης δεδομένων και ιδιαίτερα την ηλικία των δεδομένων μπορεί να θεωρηθεί δυσανάλογη η προσπάθεια να προσπαθήσουν οι μελετητές να εντοπίσουν τα υποκείκμενα των δεδομένων ατομικά για να τα ενημερώσουν.

Ως περίπτωση ακύρωσης του σκοπού της επεξεργασίας που επιτρέπει την μη ενημέρωση του υποκειμένου των δεδομένων, η Ομάδα Εργασίας αναφέρει την υποχρέωση μιας τράπεζας να επισημάνει την κίνηση ενός τραπεζικού λογαριασμού σύμφωνα με την νομοθεσία για την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες. Όμως, στο παράδειγμα αναφέρεται ότι η τράπεζα πρέπει εκ των προτέρων να έχει ενημερώσει τους κατόχους λογαριασμών ότι τα δεδομένα τους μπορεί να υποβληθούν σε επεξεργασία για αυτόν τον σκοπό.

Ως περίπτωση άρσης της υπόχρέωσης ενημέρωσης του υποκειμένου λόγω νομικής πρόβλεψης της επεξεργασίας των δεδομένων η Ομάδα Εργασίας αναφέρει το παράδειγμα φορολογικής αρχής που λαμβάνει δεδομένα εργαζομένων από τον εργοδότη βάσει νομοθετικής διάταξης. Σε αυτή την περίπτωση δεν χρειάζεται να ενημερώνονται τα υποκείμενα για την διαβίβαση των δεδομένων τους, διότι προβλέπεται από ρητή νομοθετική διάταξη.

Ως περίπτωση άρσης της υποχρέωσης ενημέρωσης του υποκειμένου λόγω νομοθετικά κατοχυρωμένης υποχρέωσης τήρησης απορρήτου από τον υπεύθυνο επεξεργασίας, η Ομάδα Εργασίας αναφέρει την περίπτωση ιατρού στον οποίο ανακοινώνονται δεδομένα συγγενών από μία ασθενή του που έχει γενετική πάθηση: ο γιατρός δεν χρειάζεται να ανακοινώσει την συλλογή αυτών των δεδομένων στους συγγενείς, διότι διαφορετικά θα παραβίαζε το ιατρικό απόρρητο.

Δευτέρα, Δεκεμβρίου 18, 2017

Αρνήθηκαν σύνταξη γήρατος σε τρανς επειδή παραμένει έγγαμη!

Η ΜΒ γεννήθηκε το 1948, καταχωρίστηκε κατά τη γέννησή της ως άνδρας και συνήψε γάμο το 1974. Το 1991, ξεκίνησε να ζει ως γυναίκα και, το 1995, υποβλήθηκε σε εγχείριση αλλαγής φύλου. Ωστόσο, η MB δεν ζήτησε τη χορήγηση πλήρους πιστοποιητικού αναγνώρισης φύλου σύμφωνα με την εθνική νομοθεσία επειδή τότε ο έγγαμος αιτών ένα τέτοιο πιστοποιητικό έπρεπε να έχει επιτύχει την ακύρωση του γάμου του, δεδομένου ότι κατά το δίκαιο του Ηνωμένου Βασιλείου δεν επιτρεπόταν γάμος μεταξύ ατόμων του ίδιου φύλου. Η MB και η σύζυγός της δεν επιθυμούσαν να ακυρωθεί ο γάμος τους. 
Το 2008, η MB συμπλήρωσε την ηλικία των 60 ετών, δηλαδή την ηλικία συνταξιοδότησης για όσες γυναίκες γεννήθηκαν πριν από τις 6 Απριλίου 1950. Υπέβαλε αίτηση για τη χορήγηση κρατικής σύνταξης γήρατος. Η αίτησή της απορρίφθηκε λόγω του ότι, ελλείψει πλήρους πιστοποιητικού αναγνώρισης φύλου, δεν μπορούσε να θεωρηθεί γυναίκα όσον αφορά την ηλικία συνταξιοδότησης. Η MB προσέβαλε την απόφαση αυτή ενώπιον των εθνικών δικαστηρίων. Υποστηρίζει ότι η προϋπόθεση αγαμίας συνεπάγεται δυσμενή διάκριση αντίθετη προς το δίκαιο της Ένωσης. 
Μια Οδηγία της ΕΕ απαγορεύει τις διακρίσεις λόγω φύλου όσον αφορά τις κρατικές παροχές, συμπεριλαμβανομένων των συντάξεων γήρατος. Η οδηγία αυτή προβλέπει εξαίρεση από την απαγόρευση αυτή, επιτρέποντας στα κράτη μέλη να αποκλείσουν από το πεδίο εφαρμογής της τον καθορισμό της ηλικίας συνταξιοδότησης για τη χορήγηση συντάξεων γήρατος. Το Ηνωμένο Βασίλειο άσκησε το δικαίωμα αυτό και όρισε ως ηλικία συνταξιοδότησης για τις γυναίκες που γεννήθηκαν πριν από τις 6 Απριλίου 1950 την ηλικία των 60 ετών, και για τους άνδρες που γεννήθηκαν πριν από τις 6 Δεκεμβρίου 1953 την ηλικία των 65 ετών. Ωστόσο, κατά τον χρόνο που η MB προσέφυγε ενώπιον των εθνικών δικαστηρίων, το επίκτητο φύλο ενός διεμφυλικού ατόμου δεν αναγνωριζόταν για τον προσδιορισμό της ηλικίας συνταξιοδότησης αν το άτομο αυτό ήταν και εξακολουθούσε να είναι έγγαμο 2. Το Supreme Court of the United Kingdom (Ανώτατο Δικαστήριο του Ηνωμένου Βασιλείου) ερωτά το Δικαστήριο της ΕΕ αν η κατάσταση αυτή είναι συμβατή με την οδηγία. 
Ακόμη δεν υπάρχει δικαστική απόφαση, αλλά ο γενικός εισαγγελέας του Δικαστηρίου της ΕΕ εκτιμά ότι η προϋπόθεση αγαμίας, εφαρμοζόμενη μόνο στα διεμφυλικά άτομα προκειμένου αυτά να αποκτήσουν πρόσβαση σε κρατική σύνταξη, αντίκειται στην Οδηγία!

Βλ. εδώ Προτάσεις.

Σάββατο, Δεκεμβρίου 02, 2017

Υπεύθυνος Προστασίας Δεδομένων: το βιβλίο

Ένα νέο πρόσωπο αναλαμβάνει καθήκοντα στις δημόσιες υπηρεσίες και σε ορισμένους οργανισμούς του ιδιωτικού τομέα από τον Μάιο του 2018: ο Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer). 
Πρόκειται για έναν θεσμό της προστασίας προσωπικών δεδομένων, ο οποίος στην πραγματικότητα δεν είναι νέος, καθώς η λειτουργία του προβλέπεται για τα όργανα και τους οργανισμούς της Ευρωπαϊκής Κοινότητας ήδη από τον Κανονισμό 45/2001, ενώ έχει λειτουργήσει εδώ και δεκαετίες σε διάφορες χώρες βάσει εθνικής νομοθεσίας. Η Οδηγία 95/46 προέβλεπε επίσης την προαιρετική θεσμοθέτηση της λειτουργίας Υπεύθυνου Προστασίας Δεδομένων ως ευχέρεια του εθνικού νομοθέτη, μια δυνατότητα που δεν αξιοποιήθηκε από τον Ν.2472/1997.
Όμως, με τον Κανονισμό (ΕΕ) 2016/679 και με την Οδηγία (ΕΕ) 2016/680, ο Υπεύθυνος Προστασίας Δεδομένων γίνεται υποχρεωτικός σε δημόσιο και σε ιδιωτικό τομέα. Υποχρεωτικός στην Ελλάδα είναι ο Υπεύθυνος Προστασίας Απορρήτου (Ν.3674/2008) και ο Υπεύθυνος Ασφάλειας Δεδομένων (Ν.3917/2011), ιδιότητες συγγενείς με τον θεσμό του ΥΠΔ.
Με το βιβλίο αυτό εξετάζεται η προϊστορία του θεσμού, η οποία εμπνέει και την σημερινή λειτουργία του, καθώς υποδεικνύει τα πρακτικά  βήματα που πρέπει να ακολουθεί ο ΥΠΔ, αλλά και ο οργανισμός στον οποίο υπηρετεί, για την ορθή προστασία των προσωπικών δεδομένων.
Το έργο αποτελεί μια εργαλειοθήκη, δηλαδή ένα σύνολο χρηστικών κειμένων που καθοδηγούν τους ενδιαφερόμενους στην κατανόηση, αλλά κυρίως στην πρακτική εφαρμογή των διατάξεων και των βέλτιστων πρακτικών για την επιλογή, τα καθήκοντα, την ευθύνη και τις αρμοδιότητες του Υπεύθυνου Προστασίας Δεδομένων.
Αξιοποιώντας τα σχετικά έγγραφα του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, της Ομάδας Εργασίας για την Προστασία Προσωπικών Δεδομένων (άρθρου 29 Οδηγίας 95/46) και κείμενα από την διεθνή και ευρωπαϊκή εμπειρία για την λειτουργία του θεσμού, το βιβλίο συγκεντρώνει όλες τις πληροφορίες που χρειάζεται ο νομικός ή και ο μη νομικός για να αντιληφθεί την αποστολή και να δρομολογήσει την λειτουργία του ΥΠΔ στο δικό του πεδίο. 
Το μεγάλο ερώτημα περί του ποιές ιδιωτικές επιχειρήσεις και άλλοι οργανισμοί του ιδιωτικού τομέα οφείλουν να ορίσουν Υπεύθυνο Προστασίας Δεδομένων, το ζήτημα του αν πρέπει ο ΥΠΔ να είναι μέλος του υπάρχοντος προσωπικού, εάν πρέπει να είναι πλήρους ή αποκλειστικής απασχόλησης όπως και ποια συγκεκριμένα βήματα πρέπει να ακολουθήσει για την έναρξη της λειτουργίας του και μέχρι τον πρώτο χρόνο της δράσης του, απαντώνται τεκμηριωμένα και με αναφορά στις βέλτιστες πρακτικές από την διεθνή εμπειρία. 
Στο παράρτημα του έργου παρατίθεται επίσης σχετικά πρακτικά υποδείγματα ως προς την διαδικασία επιλογής του Υπεύθυνου Προστασίας Δεδομένων, ως προς την πρόσληψή του και ως προς την ενημέρωση των ενδιαφερομένων για την λειτουργία του.
Το έργο δημιουργήθηκε κατά το στάδιο της πραγματοποίησης πρακτικών σεμιναρίων στα οποία ο συγγραφέας ήταν εισηγητής και κατά τη συγγραφή του έλαβε υπόψη σχετικά ερωτήματα που έλαβε από ανθρώπους της αγοράς και των δημόσιων υπηρεσιών για την λειτουργία του νέου θεσμού.

Παραγγελίες: εδώ.

Απαλλαγή από τα θρησκευτικά με γνωστοποίηση δεδομένων θρησκεύματος

Η απόφαση 660/2018 του Συμβουλίου της Επικρατείας για το μάθημα των θρησκευτικών αναφέρει ότι η οικειοθελής γνωστοποίηση προσωπικών δεδομέν...