Αρχή Προστασίας Δεδομένων - Ετήσια έκθεση 2020
Προλογικό σημείωμα
Το 2020 ήταν μια χρονιά απρόβλεπτων εξελίξεων. Οι έκτακτες συνθήκες που προέκυψαν λόγω της πανδημίας του κορωνοϊού COVID-19 είχαν καθολικό αντίκτυπο στον τρόπο ζωής μας. Μέσα σε αυτή την πρωτοφανούς έντασης παγκόσμια κρίση, όπου το κρίσιμο πρόταγμα ήταν δικαιολογημένα η προάσπιση της δημόσιας υγείας, ανέκυπταν πολύ συχνά ζητήματα που άπτονταν της προστασίας προσωπικών δεδομένων και της ιδιωτικότητας. Από την πρώτη περίοδο επιβολής των περιοριστικών μέτρων καταπολέμησης του κορωνοϊού το ζήτημα της νομιμότητάς τους, από την οπτική της προστασίας των προσωπικών δεδομένων, απασχόλησε το Ευρωπαϊκό Κοινοβούλιο και την Ευρωπαϊκή Επιτροπή, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕDPB), τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (EDPS) και τις εθνικές εποπτικές αρχές προστασίας δεδομένων, αρκετές από τις οποίες, μεταξύ των οποίων και η ελληνική, εξέδωσαν ανακοινώσεις ή κατευθυντήριες γραμμές. Eίναι αξιοσημείωτο ότι το έτος 2020 η Αρχή εξέδωσε, μεταξύ άλλων, χρήσιμες κατευθυντήριες γραμμές (1/2020) και απόφαση (5/2020) για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της διαχείρισης του CΟVID-19, κατευθυντήριες γραμμές για τη λήψη μέτρων ασφάλειας στο πλαίσιο της τηλεργασίας (2/2020) και γνωμοδότηση για τη σύγχρονη εξ αποστάσεως τηλεκπαίδευση στις σχολικές μονάδες της πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης (4/2020).
Όλες οι ανακοινώσεις και κατευθυντήριες οδηγίες είχαν ως αφετηρία τη σκέψη ότι ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) και η λοιπή σχετική νομοθεσία παρέχουν τη δυνατότητα επεξεργασίας δεδομένων υγείας για την καταπολέμηση της πανδημίας, αλλά με την τήρηση των εγγυήσεων και των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στην ίδια νομοθεσία. Οι ανεξάρτητες εποπτικές αρχές επιφορτίστηκαν με το δυσχερές έργο της προσπάθειας για εξισορρόπηση της προστασίας της ιδιωτικής ζωής και του δικαιώματος του πληροφοριακού αυτοκαθορισμού με την εξυπηρέτηση του γενικότερου κοινωνικού συμφέροντος. Πρόκειται για ιδιαίτερα δύσκολες σταθμίσεις καθώς εφαρμόζονται σε δεδομένες κάθε φορά πραγματικές συνθήκες στο πεδίο των αλληλοσυγκρουόμενων ατομικών και κοινωνικών δικαιωμάτων.
Η Αρχή Προστασίας Δεδομένων επέδειξε καλά αντανακλαστικά ήδη από την αρχή της πανδημίας, με τη σχεδόν άμεση προσαρμογή − μετάβαση στην τηλεργασία, διασφαλίζοντας την αδιάλειπτη λειτουργία της και εκτελώντας στο ακέραιο τα καθήκοντά της. Ενδεικτικά αναφέρω ότι, στο πλαίσιο των αρμοδιοτήτων της, εξέδωσε σημαντικές γνωμοδοτήσεις και αποφάσεις, η πλειονότητα των οποίων αφορούσε τις ηλεκτρονικές επικοινωνίες, τη δημόσια διοίκηση και τις εργασιακές σχέσεις. Υπέβαλε παρατηρήσεις στις νομοθετικές πρωτοβουλίες του Υπουργείου Ψηφιακής Διακυβέρνησης σχετικά με τις διατάξεις που αφορούν τον «Προσωπικό Αριθμό», όπως αυτές περιέχονται στο σχέδιο νόμου «Κώδικας Ψηφιακής Διακυβέρνησης», καθώς και στον σχεδιασμό εφαρμογής ιχνηλάτησης επαφών Covid-19. Συνέβαλε στις διαδικασίες προετοιμασίας του νέου Κανονισμού για τα προσωπικά δεδομένα στις ηλεκτρονικές επικοινωνίες (e-Privacy Regulation) και, τέλος, απέστειλε στη Διεύθυνση Ευρωπαϊκών Υποθέσεων και Διμερών Θεμάτων της Βουλής των Ελλήνων τις θέσεις της σε σχέση με το σχέδιο νομοθετικής πράξης για την αντιμετώπιση της σεξουαλικής εκμετάλλευσης ανηλίκων.
Επιπλέον, η Αρχή, διαπιστώνοντας έλλειψη συμμόρφωσης των παρόχων υπηρεσιών της κοινωνίας της πληροφορίας στις απαιτήσεις της νομοθεσίας για την επεξεργασία δεδομένων στις ηλεκτρονικές επικοινωνίες και του ΓΚΠΔ όσον αφορά τη διαχείριση cookies και συναφών τεχνολογιών, εξέδωσε ειδικές συστάσεις (1/2020) και αντίστοιχα συστάσεις με υποδείγματα για την ικανοποίηση του δικαιώματος ενημέρωσης κατά την επεξεργασία δεδομένων μέσω συστημάτων βιντεοεπιτήρησης (2/2020).
Παράλληλα, η Αρχή ανταποκρίθηκε στις πάγιες ευρωπαϊκές και διεθνείς υποχρεώσεις της και ήταν ενεργώς παρούσα στις ομάδες εργασίας και τις επιτροπές που λειτουργούν με βάση την ευρωπαϊκή νομοθεσία προστασίας των προσωπικών δεδομένων. Από τον Νοέμβριο του 2020 και με σκοπό την ευαισθητοποίηση υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία σχετικά με τη νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα, η Αρχή ξεκίνησε να υλοποιεί έργο με τίτλο «Διευκόλυνση της συμμόρφωσης του ΓΚΠΔ για τις Μικρομεσαίες Επιχειρήσεις και προώθηση της προστασίας δεδομένων από τον σχεδιασμό σε προϊόντα και υπηρεσίες ΤΠΕ (“by Design”)». Η υλοποίηση διαρκεί δύο έτη και πραγματοποιείται από κοινού με το Πανεπιστήμιο Πειραιώς και την ελληνική εταιρεία πληροφορικής ‘ABOVO’ με συγχρηματοδότηση από την Ευρωπαϊκή Επιτροπή.
Το φιλόδοξο έργο της δημιουργίας της νέας διαδικτυακής πύλης της Αρχής ξεκίνησε επίσης εντός του 2020. Βασικός στόχος ήταν η αναβάθμιση της ενημέρωσης − ευαισθητοποίησης των πολιτών για τα δικαιώματά τους, αλλά και των φορέων για τις υποχρεώσεις τους, έτσι ώστε το έργο της Αρχής να έχει τη μεγαλύτερη δυνατή αποτελεσματικότητα για την ενίσχυση της προστασίας των προσωπικών δεδομένων στη χώρα μας. Με τη δημιουργία της νέας αυτής δικτυακής πύλης, πρωταρχική επιδίωξή μας είναι να παρέχεται στους πολίτες η δυνατότητα πιο ολοκληρωμένης πληροφόρησης και παράλληλα αξιοποίησης πολυδιάστατων και ασφαλών ηλεκτρονικών υπηρεσιών Τον Ιανουάριο του 2021 τέθηκε σε παραγωγική λειτουργία η νέα αυτή πύλη της Αρχής (www.dpa.gr), ένα σύγχρονο κανάλι επικοινωνίας, με πλήρως ανανεωμένη δομή και περιεχόμενο, εύκολη πλοήγηση αλλά και με δυνατότητες σύνθετης αναζήτησης.
Το 2021 είναι μια δύσκολη και ρευστή περίοδος όπου σταδιακά αίρονται περιορισμοί λόγω πανδημίας χωρίς όμως να αποκλείεται το ενδεχόμενο εκ νέου λήψης περιοριστικών μέτρων ανάλογα με την εξέλιξη της επιδημιολογικής εικόνας. Δεν πρέπει, ωστόσο, γενικότερα να παραβλέπεται ότι τα μέτρα αυτά είναι θεμιτά μόνο αν το περιεχόμενό τους και η διάρκεια εφαρμογής τους αντιστοιχούν στην ανάγκη να αντιμετωπιστεί η απειλή για τη δημόσια υγεία. Στην παρούσα φάση της πανδημίας τεχνολογικές εφαρμογές αξιοποιούνται ολοένα και περισσότερο για να υποβοηθήσουν τα μέτρα ανακοπής της διάδοσης του κορωνοϊού. Ταυτόχρονα, οι κίνδυνοι από την επεξεργασία προσωπικών δεδομένων αυξάνονται. Σε αυτό το σημείο χρειάζεται να αναλογιζόμαστε ότι κάθε μέτρο που λαμβάνεται και συνεπάγεται την επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να τηρεί τις γενικές αρχές της αποτελεσματικότητας, της αναγκαιότητας και της αναλογικότητας. Αυτό εξάλλου έχουν υπενθυμίσει και πρόσφατα οι αρχές προστασίας δεδομένων της ΕΕ και μέσω της κοινής γνώμης ΕDPB και ΕDPS (4/2021) σχετικά με τις προτάσεις για το ψηφιακό πράσινο πιστοποιητικό.
Η έκθεση πεπραγμένων της Αρχής για το 2020 αποτυπώνει το σύνολο των δραστηριοτήτων μας στη διάρκεια αυτής της ομολογουμένως πρωτόγνωρης χρονιάς, κατά την οποία δοκιμάστηκαν τα ανθρώπινα δικαιώματα. Συγχρόνως, καταδεικνύει την ικανότητα γρήγορης προσαρμογής, την εργατικότητα και την προσήλωση του προσωπικού της Αρχής στην εκτέλεση της σύνθετης αποστολής που της έχει ανατεθεί από την Πολιτεία. Σε μια κρίσιμη διεθνή συγκυρία όπου συνεχώς αναδύονται νέες προκλήσεις λόγω και της επιτάχυνσης του ψηφιακού μετασχηματισμού επιβάλλεται να είμαστε προσηλωμένοι στην κατοχύρωση των ατομικών δικαιωμάτων στην πράξη, η οποία σε μεγάλο βαθμό συναρτάται με την προστασία των προσωπικών δεδομένων.
Κωνσταντίνος Μενουδάκος, Πρόεδρος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Η έκθεση πεπραγμένων της Αρχής για το 2020 αποτυπώνει το σύνολο των δραστηριοτήτων μας στη διάρκεια αυτής της ομολογουμένως πρωτόγνωρης χρονιάς, κατά την οποία δοκιμάστηκαν τα ανθρώπινα δικαιώματα
Source/ Author:ΕΤΗΣΙΑ ΕΚΘΕΣΗ ΑΠΔΠΧ | Download PDF