Κυριακή, Μαρτίου 22, 2020

Πώς η Κυβέρνηση παραβιάζει τον GDPR

Yπάρχει μια εσφαλμένη αντίληψη ότι επειδή βρισκόμαστε σε άλλη μια περίοδο κρίσης, δεν εφαρμόζονται οι κανόνες για την προστασία δεδομένων. Ότι δηλαδή, το κράτος μπορεί να κάνει ό,τι θέλει με τα προσωπικά δεδομένα των πολιτών και ότι αυτό θα δικαιολογηθεί ή δεν θα έχει επιπτώσεις.
Είναι αδιανόητο ένα κράτος να λαμβάνει τόσο παρεμβατικά μέτρα που περιορίζουν τα δικαιώματα των πολιτών, για το καλό τους (όλα για το καλό των πολιτών θα ισχυρίζεται πάντοτε ότι το κράτος ότι τα κάνει), χωρίς να έχει μεριμνήσει για τις απαραίτητες διασφαλίσεις δικαιωμάτων. Για παράδειγμα, προ καιρού εστάλη από το Υπουργείο Υγείας ένα μήνυμα ηλεκτρονικού ταχυδρομείου με ενημέρωση για τον κορονοϊό με άντληση των ηλεκτρονικών διευθύνσεων μας από το αρχείο της Ανεξάρτητης Αρχής Δημοσίων Εσόδων. Αυτό από μόνο του συνιστούσε μια δευτερεύουσα χρήση για σκοπό διαφορετικό από την συλλογή του (φορολογική διοίκηση) που θα μπορούσε, έχω υποστηρίξει, να δικαιολογηθεί για σκοπούς προστασίας της δημόσιας υγείας. Εφόσον όμως έγινε αυτή η δευτερεύουσα χρήση δεδομένων, έπρεπε προηγουμένως να έχει ολοκληρωθεί η ενημέρωση των πολιτών ότι τα δεδομένα τους θα χρησιμοποιηθούν για νέο σκοπό, διαφορετικό από τον σκοπό της συλλογής! Και έπρεπε να υπάρχει νομική βάση για αυτό. Η ενημέρωση έπρεπε να γίνει σύμφωνα με το άρθρο 14 του GDPR ("Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων"). Διότι κάθε τέτοια επεξεργασία δεδομένων πρέπει να γίνεται με πλήρη διαφάνεια, ώστε καθένας να γνωρίζει πότε, για ποιόν σκοπό και από ποιόν θα καταστούν τα προσωπικά δεδομένα που τον αφορούν αντικείμενο επεξεργασίας.
Υπάρχει βέβαια ως νόμιμη βάση επεξεργασίας ευαίσθητων δεδομένων η σχετική απαλλακτική ρήτρα του άρθρου 9 ("Ειδικές κατηγορίες δεδομένων") για την επεξεργασία με σκοπό την αποτροπή απειλών της δημόσιας υγείας, αλλά αυτό απλά επιτρέπει την συλλογή και επεξεργασία, ΧΩΡΙΣ να απαλλάσσει το κράτος από την τήρηση ΟΛΩΝ των άλλων υποχρεώσεων διαφάνειας και σχεδιασμού με ελαχιστοποίηση των δεδομένων που ζητούνται.
Μου φαίνεται πραγματικά αδιανόητο ότι ουδείς από την Κυβέρνηση ασχολείται με αυτό το θέμα, ενώ μπορεί να γίνει μια ωραιότατη καταγγελία ανά πάσα στιγμή στην Ευρωπαϊκή Επιτροπή για μη εφαρμογή της σχετικής νομοθεσίας και να έχουμε διαδικασίες ελέγχου, κυρώσεων και παραπομπής στο Δικαστήριο της Ε.Ε.
Ιδιαίτερα ανήσυχοι πρέπει να είμαστε και για το γεγονός ότι η διαδικασία γνωστοποίησης των μετακινήσεων των πολιτών για όσο διαρκεί το μέτρο της απαγόρευσης κυκλοφορίας δεν συνοδεύεται από ανακοινώσεις σχετικά με την τήρηση των εν λόγω διατάξεων.
Ξαφνικά το κράτος θα αρχίσει να συλλέγει σημαντικότατες πληροφορίες που αφορούν την ατομική κίνηση του ατόμου (σημειωτέον ότι κατά τον GDPR τα δεδομένα μετακινήσεων είναι εκείνα που αποτελούν τα ενδεικτικά στοιχεία της "κατάρτισης προφί", σύμφωνα με τις σχετικές διατάξεις) μέσω δηλώσεων με σύντομα μηνύματα κινητής τηλεφωνίας. Ενώ δηλαδή έχουν ανακοινωθεί αριθμοί και διαδικασίες, απολύτως τίποτε δεν έχει ανακοινωθεί για την τήρηση του GDPR!
Συγκεκριμένα:
1) Δεν υπάρχει καμία απολύτως ενημέρωση των πολιτών για την τύχη των δεδομένων αυτών όπως απαιτείται κατά το άρθρο 13 του Γενικού Κανονισμού Προστασίας Δεδομένων ("Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων").
2) Δεν υπάρχει απολύτως καμία ενημέρωση σχετικά με την τήρηση του κανόνα του άρθρου 25 του Γενικού Κανονισμού Προστασίας Δεδομένων ("Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού") που επιβάλλει στον υπεύθυνος επεξεργασίας να εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.
3) Δεν υπάρχει καμία ενημέρωση για την συμφωνία των "από κοινού υπεύθυνων επεξεργασίας", καθώς εδώ δεν είναι εμπλεκόμενη μόνο μία κρατική υπηρεσία, αλλά ένα μπουκέτο δημόσιων και ιδιωτικών (εταιρίες τηλεφωνίας) οργανισμών. Αυτό κατά το άρθρο 26 του Γενικού Κανονισμού Προστασίας Δεδομένων επιβάλλει, σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, να καθορίζουν με διαφανή τρόπο τις αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό, ιδίως όσον αφορά την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και τα αντίστοιχα καθήκοντά τους για να παρέχουν τις πληροφορίες που αναφέρονται στα άρθρα 13 και 14, μέσω συμφωνίας μεταξύ τους, εκτός εάν και στον βαθμό που οι αντίστοιχες αρμοδιότητες των υπευθύνων επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκεινται οι υπεύθυνοι επεξεργασίας. Στη συμφωνία μπορεί να αναφέρεται ένα σημείο επικοινωνίας για τα υποκείμενα των δεδομένων. Τίποτε από αυτά δεν έχει δημοσιοποιηθεί.
4) Δεν υπάρχει καμία απολύτως ενημέρωση σχετικά με την διενεργηθείσα εκτίμηση αντικτύπου που επιβάλλει το άρθρο 35 του Γενικού Κανονισμού Προστασίας Δεδομένων (" Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους.").
Αυτά δεν υποβαθμίζουν την συλλογική προσπάθεια που κάνει η χώρα για να αποφύγει τον τεράστιο κίνδυνο για την δημόσια υγεία. Είναι η απόδειξη ότι μπορείς να έχεις και δημοκρατία και κράτος δικαίου, μαζί με την επιδίωξη των στόχων γενικού συμφέροντος. Αλλά πρέπει κάποιοι να ασχοληθούν και μάλιστα σοβαρά. Τα χειροκροτήματα και η "επικοινωνία" δεν αρκούν. Ούτε πρέπει να επικαλούμαστε συνέχεια τις κυρώσεις που θα έρθουν. Είναι ζητήματα αρχής.

Δεν υπάρχουν σχόλια:

Έλεγχος συμμόρφωσης του Υπουργείου Παιδείας από το ΣτΕ

  Το γραφείο μας εκπροσώπησε σήμερα μία μητέρα και την μαθήτρια κόρη της ενώπιον του Τριμελούς Συμβουλίου Συμμόρφωσης της Διοίκησης με τις Δ...