Δευτέρα, Οκτωβρίου 29, 2018

Συμμόρφωση σωματείου με GDPR

Οι διάφοροι σύλλογοι που δραστηριοποιούνται σε τοπικό ή και πανελλήνιο επίπεδο, λειτουργώντας με την μορφή σωματείου ιδιωτικού δικαίου, έχουν κι αυτοί την υποχρέωση συμμόρφωσής τους με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR). 

Έχοντας ασχοληθεί ως δικηγόρος με την συμμόρφωση σωματείων προς τον GDPR προσπάθησα να κωδικοποιήσω τα βήματα που πρέπει να ακολουθήσουν για να μην προκύψουν προβλήματα. Θυμίζω ότι ο GDPR προσθέτει νέες υποχρεώσεις που αν δεν τηρηθούν υπάρχει ο κίνδυνος να ακυρωθούν ακόμη και δικαστικά οι αποφάσεις των διοικήσεων των σωματείων για διάφορους λόγους, οπότε μια σοβαρή διοίκηση που επιδιώκει την ομαλή λειτουργία του σωματείου πρέπει να έχει ολοκληρώσει την συμμόρφωση καταλλήλως. 

1. Κατάρτιση αρχείου δραστηριοτήτων επεξεργασιών

Διαδικασίες όπως η υποβολή αίτηση για απόκτηση της ιδιότητας μέλους, η καταβολή χρηματικού ποσού απο τα μέλη προς το ταμείο,  η υποβολή υποψηφιότητας για τις εσωτερικές εκλογές και η χρήση λίστας e-mail για αποστολή υλικού προς μέλη - υποστηρικτές - τρίτους δημοσιογράφους είναι ορισμένες από τις ροές δεδομένων που πρέπει να καταγραφούν στο Αρχείο Δραστηριοτήτων και να φυλάσσεται μαζί με τα υπόλοιπα έγγραφα του σωματείου όπως επιβάλλει το άρθρο 30 ΓΚΠΔ.

2. Ενημερώσεις υποκειμένων των δεδομένων

Όλες οι διαδικασίες εισροής δεδομένων προς το σωματείο πρέπει να γίνονται ύστερα από την κατάλληλη ενημέρωση των υποκειμένων των δεδομένων κατά τα άρθρα 12-14 του ΓΚΠΔ. Αυτό σημαίνει ενημέρωση πριν από την αποστολή ενημερωτικών e-mail, ενημέρωση εισόδου σε χώρο που βιντεοσκοπείται, ενημέρωση για την χρήση κάθε προσωπικού δεδομένου που συλλέγεται για τους σκοπούς της λειτουργίας του σωματείου. Η ενημέρωση δεν αφορά μόνο μέλη και υποστηρικτές αλλά και προμηθευτές του σωματείου, εφοσον είναι φυσικά πρόσωπα.

3. Συγκατάθεση του υποκειμένου των δεδομένων 

Σε ορισμένες περιπτώσεις η επεξεργασία προσωπικών δεδομένων προϋποθέτει την γραπτή συγκατάθεσή τους, η οποία πρέπει να τηρείται από την διοίκηση του σωματείου σε φυσική ή ψηφιακή μορφή ώστε να είναι ανά πάσα στιγμή αποδείξιμη η συλλογή της.

5. Πολιτική προστασίας προσωπικών δεδομένων

Νέες υποχρεώσεις που εισάγει ο ΓΚΠΔ αφορούν την ειδοποίηση της Αρχής σε περίπτωση διαρροής ή άλλων παραβιάσεων προσωπικών δεδομένων, από τον υπεύθυνο επεξεργασίας. Αυτό σημαίνει ότι χρειάζεται μια εσωτερική πολιτική προστασιας που θα υποδεικνύει τον υπεύθυνο που έχει την υποχρέωση να προχωρήσει στην εφαρμογή των σχετικών διατάξεων γνωστοποίησης της Αρχής ή και των υποκειμένων των δεδομένων

6. Σχέσεις με εκτελούντες την επεξεργασία

Εάν το σωματείο απασχολεί συνεργάτες που επεξεργάζονται προσωπικά δεδομένα (π.χ. λογιστές, δικηγόρους) για λογαριασμό του σωματείου, πρέπει να συντάξει και να υπογράψει τις σχετικές  συμβάσεις κατά το άρθρο 28 του ΓΚΠΔ.

7. Υπεύθυνος Προστασίας Δεδομένων

Ανάλογα με τις δραστηριότητές του, ένα σωματείο ιδίως αν δραστηριοποιείται σε περιφερειακό, εθνικό ή και υπερεθνικό επίπεδο θα πρέπει να ορίσει ένα πρόσωπο ως DPO και να γνωστοποιήσει τα στοιχεία επικοινωνίας του προς τα υποκείμενα των δεδομένων στο πλαίσιο της σχετικής ενημέρωσης.

Σάββατο, Οκτωβρίου 20, 2018

Το υστερικό κυνηγητό των ερασιτεχνικών φωτογραφιών στα δημόσια ιδρύματα πολιτισμού

Χτες ήμουν στην παράσταση του Τίμωνα του Αθηναίου στο Εθνικό Θέατρο - Σκηνή Κοτοπούλη (πολύ καλή η παράσταση) και, εντελώς ξαφνικά, ένα κόκκινο λέιζερ στοχεύει στην θεατή που καθόταν μπροστά μου. Προς στιγμή φοβήθηκα για τρομοκρατική ενέργεια (drama queen), αλλά τελικά ήταν η γνωστή γελοιότητα: ο ταξιθέτης προειδοποιούσε με αυτό τον τρόπο την θεατή να μην διανοηθεί να τολμήσει να χρησιμοποιήσει την κάμερα του κινητού της που είχε μόλις βγάλει από μία τσέπη. Νομίζω ότι η θεατής δεν στοχευε σε κάτι τέτοιο, ούτως ή άλλως, οπότε απλά έκλεισε το κινητό.
Αντίστοιχες υστερίες προ ημερών ζήσαμε και με την απαγόρευση φωτογραφιών στο Μουσείο Ακρόπολης, μια απαγόρευση που δεν ισχύει ή, μάλλον, δεν επιβάλλεται στο Εθνικό Αρχαιολογικό Μουσείο. Δηλαδή στο ένα Μουσείο απαγορεύεται αυτό που επιτρέπεται de facto στο άλλο Μουσείο, ενώ και τα δύο εποπτεύονται από το ίδιο Υπουργείο.
Το σκεπτικό προφανώς είναι ότι υπάρχουν οι επίσημες φωτογραφίες στο πρόγραμμα του θεάτρου ή στον κατάλογο εκθεμάτων και ότι η χρήση των ερασιτεχνικών φωτογραφιών στα κοινωνικά μέσα θα μειώσει τα έσοδα από την πώληση. Ειδικά στο θέατρο, καταλαβαίνω ότι είναι και εξαιρετικά ενοχλητικό να βγαίνουν φωτεινές οθόνες και να μας αποσπούν απο την δράση. Εγώ το κλείνω πάντα τελείως, για να μην έχουμε καμια Τόλμη και Γοητεία κατά την διάρκεια της παράστασης.
Υπάρχει, όμως, ένα μεγάλο "αλλά". Είναι άλλο το κοινό που θα αγοράσει το πρόγραμμα / τον κατάλογο των εκθεμάτων και άλλο το κοινό που θα βγάλει τις φωτογραφίες για να τις ανεβάσει ως story στο instagram; Κατά την γνώμη μου όχι: αυτός που θα αγοράσει, θα το κάνει για να προσθέσει έναν τόμο στην βιβλιοθήκη του, ενώ ταυτόχρονα μπορεί να θέλει να μοιραστεί την εμπειρία με τους φίλους του. Αυτή η λογική του sharing δεν μπορεί να μην αφορά την πολιτική των δημόσιων ιδρυμάτων πολιτισμού. Ειδικά για εκθέματα με διεθνές ενδιαφέρον και με αιτήματα επανένωσης, όπως είναι τα γλυπτά του Παρθενώνα, θεωρώ εξαιρετικά προβληματικο να απαγορεύεται η φωτογράφιση. Η απαγόρευση αποστερεί από το Μουσείο ένα νέο (διεθνές ή απλά πιο νεανικό) κοινό που δεν θα ενημερωνόταν αλλιώς και δεν θα του κέντριζε το ενδιαφέρον εξίσου ένα βιβλίο ιστορίας ή η ιστοσελίδα του Μουσείου.
Είναι υστερικό αυτό το κυνηγητό με λέιζερ πόιντερ, λες και ο θεατής είναι δολοφόνος.
Επίσης κάτι ακόμη πιο σημαντικό από την εσφαλμένη ιεράρχιση σκοπιμοτήτων: θεωρώ ότι υπάρχει πρόβλημα νομιμότητας. Η απαγόρευση λήψης φωτογραφιών μπορεί να αφορά μόνο συγκεκριμένες κατηγορίες δημόσιων αγαθών, όχι οτιδήποτε θεωρεί ένα Δ.Σ. ότι θέλει να προστατεύσει για δικούς του λόγους. Το δικαίωμα λήψης και μετάδοσης πληροφοριών δεν είναι απλά μια θεωρητική εξαγγελία, αλλά είναι μια πτυχή της ελευθερίας της έκφρασης όπως αυτή κατοχυρώνεται από το άρθρο 10 της Ευρωπαϊκής Σύμβασης των Δικαιωμάτων του Ανθρώπου. Σύμφωνα με την 2η παράγραφο του άρθρου 10, το δικαίωμα λήψης και μετάδοσης πληροφοριών, άρα και φωτογραφιών, περιορίζεται νομίμως μόνο όταν αυτό το προβλέπει ένας νόμος (άρα όχι απλά μια "πολιτική" απαγόρευσης φωτογραφιών που αποφάσισε ένα Δ.Σ.) και μόνο εφόσον αυτός ο νόμος στοχεύει στην προστασία ορισμένων, περιορισμένα αναφερόμενων από την ΕΣΔΑ, ανταγωνιστικών έννομων αγαθών (δημόσια τάξη, δημόσια υγεία, ηθική, δικαιώματα των άλλων, υπόληψη κτλ.). Δεν καταλαβαίνω τί ακριβώς προστατεύει η απαγόρευση της φωτογράφισης του Τρισώματου Δαίμονα, από υπαλλήλους του Μουσείου Ακρόπολης που σχεδόν στιγματίζουν όποιον σηκώσει το μηχάνημα του διαβόλου.
Κι επίσης, στον ίδιο τον Παρθενώνα γιατί δεν απαγορεύεται να φωτογραφηθούμε; Εκεί τί ακριβώς αλλάζει; Τίποτα.Νομικά είναι ακριβώς το ίδιο πράγμα: δημόσιο πολιτισμικό αγαθό στο, οποίο έχεις πρόσβαση με καταβολή αντιτίμου εισιτηρίου. Απλά δεν τόλμησαν.

Παρασκευή, Οκτωβρίου 12, 2018

Μεταβολή στοιχείων τρανς ατόμων σε υπηρεσίες ιδιωτικού τομέα

Μετά την ληξιαρχική μεταβολή στοιχείων φύλου και ονοματεπωνύμου κατά τον Ν.4491/2017, τα διεφυλικά άτομα αναμένουν την μεταβολή στοιχείων δημοτολογίου και μητρώου αρρένων για να ολοκληρώσουν την αρχική διαδικασία δημοσίων εγγράφων και να λάβουν την νέα αστυνομική ταυτότητα.

Στην συνέχεια όμως, ακολουθεί μια ευρύτερη διαδικασία επικαιροποίησης των στοιχείων τους σε διάφορες υπηρεσίες του ιδιωτικού τομέα, όπως οι τράπεζες, οι εταιρίες κινητής τηλεφωνίας, οι ασφαλιστικές εταιρίες, αλλά και οι ΔΕΚΟ και ο ΟΑΕΔ, τα Πανεπιστήμια και οι συμβολαιογραφικές καταχωρήσεις. Είναι συχνό το φαινόμενο οι υπάλληλοι αυτών των υπηρεσιών να μην αρκούνται στην αστυνομική ταυτότητα και την διορθωμένη ληξιαρχική πράξη γέννησης, αλλά να αναζητούν και την ... δικαστική απόφαση. Όμως, η δικαστική απόφαση είναι απόρρητη και ουδείς χρειάζεται να δει τους λόγους για τους οποίους μεταβλήθηκαν τα στοιχεία στην ληξιαρχική πράξη γέννησης. Η ληξιαρχική πράξη γέννησης είναι δημόσιο έγγραφο και αποτελεί "πλήρη απόδειξη" erga omnes. Εκτός βέβαια αν έχει προσβληθεί για πλαστότητα.

Αυτό σημαίνει ότι η αναζήτηση της δικαστικής απόφασης για την μεταβολή καταχωρίσεων διεμφυλικών ατόμων, πέραν του ληξιαρχείου και του δημοτολογίου - μητρώου αρρένων, είναι συλλογή και επεξεργασια δεδομένων προσωπικού χαρακτήρα που δεν είναι απαραίτητα ενόψει του σκοπού της επικαιροποίησης. Αυτή η επεξεργασία πέραν του σκοπού απαγορευεται από το άρθρο 25 του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) που τιτλοφορείται "προστασία δεδομένων από τον σχεδιασμό και εξ ορισμού" (by design and by default). Σε αυτό το άρθρο κατοχυρώνεται η αρχή της ελαχιστοποίησης της επεξεργασίας των δεδομένων και η μνεία ότι επιτρέπεται επεξεργασία μόνο των δεδομένων που είναι αναγκαία για τον σκοπό της επεξεργασίας.

Επομένως, η αναζήτηση της δικαστικής απόφασης νομικής αναγνώρισης ταυτότητας φύλου από τον ιδιωτικό τομέα προσκρούει στο άρθρο 25 GDPR. Το ίδιο ισχύει και για κάθε άλλη υπηρεσία του δημόσιου τομέα, εκτός από τα ληξιαρχεία - δημοτολόγια - μητρώα αρρένων και την Αποκεντρωμένη Διοίκηση που λαμβάνει τις σχετικές αποφάσεις μεταβολής καταχωρίσεων. 

To γερμανικό μοντέλο θρησκευτικής ουδετερότητας του κράτους

To Γερμανικό μοντέλο της θρησκευτικής ουδετερότητας του κράτους που φέρεται να προτιμά ο Αρχιεπίσκοπος Ιερώνυμος και θα συζητήσει με τον π...