Διευκρινίσεις για τον GDPR από την Γαλλική Αρχή Προστασίας Δεδομένων

Η Γαλλική Αρχή Προστασίας Προσωπικών Δεδομένων (CNIL) παρέχει ενεργά πλήθος κατευθυντήριων γραμμών σε επιχειρήσεις, τόσο πριν όσο και μετά την θέση σε ισχύ του Γενικού Κανονισμού για την Προστασία των Δεδομένων (679/2016 ΕΕ «GDPR»). Μία περίληψη των πιο πρόσφατων διευκρινήσεων που δημοσιεύθηκαν στην ιστοσελίδα της Γαλλικής Αρχής αναφορικά με ποικίλα ζητήματα που σχετίζονται με τον GDPR παρατίθεται στο παρόν.

 

  1. Συγκατάθεση: Πώς να πείτε το «Ναι»

Το 2018 ήταν το «έτος της συγκατάθεσης» για τα υποκείμενα. Με την θέση του GDPR σε ισχύ, τα υποκείμενα κατακλύζονται από αμέτρητα αιτήματα συγκατάθεσης που αποστέλλονται από υπεύθυνους επεξεργασίας δεδομένων μέσω του Διαδικτύου ή μέσω προσωπικών emails. Αυτά τα αιτήματα συγκατάθεσης είχαν ως στόχο την «ανανέωση» της συγκατάθεσης που είχε προηγουμένως ληφθεί, με βάση την Οδηγία του 1995.

Ωστόσο, η λήψη μίας έγκυρης συγκατάθεσης από τα υποκείμενα δεν έχει καταστεί ακόμα εύκολη υπόθεση, καθώς θα πρέπει να πληρούνται συγκεκριμένες απαιτήσεις. Στα προηγούμενα χρόνια, με αφορμή τη συγκατάθεση, ανέκυψαν ορισμένα ζητήματα εκτέλεσης απόφασης, τα οποία απευθύνθηκαν από τη Γαλλική Αρχή Προστασίας Δεδομένων κατά της Google (το 2014), κατά της Meetic and Attractive World (το 2016), αλλά και κατά του Facebook (το 2017). Μεταξύ αυτών των κολοσσών, δύο αναπτυσσόμενες διαφημιστικές εταιρείες συμπεριλήφθηκαν σε μία απόφαση εκτέλεσης που εξέδωσε η Γαλλική Αρχή τον περασμένο Ιούλιο για την επεξεργασία προσωπικών δεδομένων χωρίς τη λήψη έγκυρης συγκατάθεσης. Επιπρόσθετα, μαζί με άλλες Αρχές Προστασίας Δεδομένων, κατατέθηκαν καταγγελίες κατά της Google, του Instagram, της Whatsapp και του Facebook, σχετικά με το ζήτημα της «ανελεύθερης συγκατάθεσης».

Σε αυτό το πλαίσιο, η Γαλλική Αρχή δημοσίευσε μία ανακοίνωση σχετικά με την «συγκατάθεση», όπου υπογραμμίζονται εκ νέου οι προϋποθέσεις για τη λήψη έγκυρης συναίνεσης, ορίζοντας ότι η συγκατάθεση θα πρέπει να είναι:

  • «Ελευθέρως δοθείσα»: η συγκατάθεση δεν θα πρέπει να είναι αποτέλεσμα εξαναγκασμού ή να έχει επηρεαστεί με οποιονδήποτε άλλο τρόπο. Επιπλέον, η άρνηση επεξεργασίας των δεδομένων δεν θα πρέπει να έχει αρνητικές συνέπειες. Πιο συγκεκριμένα, κατά την υπογραφή μίας συμφωνίας, η άρνηση επεξεργασίας δεδομένων που δεν είναι απαραίτητη για την εκπλήρωση αυτής της συμφωνίας, δεν θα πρέπει να οδηγεί σε άρνηση εκτέλεσης της εν λόγω συμφωνίας.
  • «Ρητή»: η συγκατάθεση θα πρέπει να χορηγείται για μία μόνο δραστηριότητα επεξεργασίας που να αντιστοιχεί σε έναν μόνο καθορισμένο σκοπό.
  • «Εν επιγνώσει συγκατάθεση»: για να καταστεί η συγκατάθεση «εν επιγνώσει», τέσσερις κατηγορίες πληροφοριών πρέπει να έχουν γνωστοποιηθεί και ειδικότερα: η ταυτότητα του Υπεύθυνου Επεξεργασίας, οι σκοποί της κάθε επεξεργασίας, οι κατηγορίες των δεδομένων που συλλέγονται και η ύπαρξη του δικαιώματος ανάκλησης της συγκατάθεσης. Εάν χρειάζεται, τα άτομα πρέπει να ενημερώνονται για οποιαδήποτε μεταφορά δεδομένων τους σε τρίτες χώρες ή/και για την χρήση των δεδομένων τους για αυτοματοποιημένη λήψη αποφάσεων. Η παραπάνω λίστα φαίνεται να είναι εξαντλητική.
  • «Αδιαμφισβήτητη»: Σύμφωνα με τη Γαλλική Αρχή, τα προσυμπληρωμένα κουτάκια, οι γενικευμένες συγκαταθέσεις (π.χ. με τη φράση «αποδέχομαι όλα τα ανωτέρω») ή η σιωπή δεν συνιστούν έγκυρη συγκατάθεση.

 

  1. Πρόσβαση: πρόσβαση από ποιον και σε τι;

 

Όσο ο αριθμός των αιτημάτων των υποκειμένων για πρόσβαση στα προσωπικά τους δεδομένα συνεχίζει να αυξάνεται υπό το πρίσμα του GDPR, η Γαλλική Αρχή δημοσίευσε επίσης μία ανακοίνωση σχετικά με το δικαίωμα πρόσβασης, δίνοντας τις απαραίτητες διευκρινίσεις στις επιχειρήσεις σχετικά με τους βασικούς κανόνες που πρέπει να ακολουθούν κατά την διαχείριση των αιτημάτων των υποκειμένων για πρόσβαση στα δεδομένα τους.

 

  • Ένα ευρύ δικαίωμα

Κατά την διαχείριση ενός αιτήματος πρόσβασης από ένα υποκείμενο, οι Υπεύθυνοι Επεξεργασίας θα πρέπει να παρέχουν στα υποκείμενα ένα αντίγραφο με τα προσωπικά τους δεδομένα τα οποία επεξεργάζονται, το οποίο θα πρέπει να διατίθεται χωρίς χρέωση. Αυτό το δικαίωμα επομένως, καλύπτει όλες τις κατηγορίες των προσωπικών δεδομένων -είτε έχουν συλλεγεί μέσω διαδικτύου είτε με άλλον τρόπο, άμεσα από τα υποκείμενα ή από άλλες πηγές.

  • ..αλλά όχι ένα απόλυτο δικαίωμα

Το δικαίωμα πρόσβασης δεν μπορεί να παραβιάζει δικαιώματα τρίτων όπως το δικαίωμα προστασίας προσωπικών δεδομένων τρίτων, δικαιώματα πνευματικής ιδιοκτησίας ή εμπορικά μυστικά. Προβλέπει ότι τα υποκείμενα μπορούν να ασκούν το δικαίωμα πρόσβασης μόνο σε σχέση με τα προσωπικά τους δεδομένα, εκτός εάν οριστούν ως πληρεξούσιοι για να ασκήσουν αυτό το δικαίωμα πρόσβασης για λογαριασμό άλλου υποκειμένου.

Οι επιχειρήσεις πρέπει να επαληθεύουν και να ελέγχουν την ταυτότητα των υποκειμένων των δεδομένων πριν τους παράσχουν ένα αντίγραφο των δεδομένων τους, χρησιμοποιώντας «όλα τα εύλογα μέτρα». Σύμφωνα με την Γαλλική Αρχή, ο έλεγχος ταυτότητας μπορεί απλά να προέρχεται από ένα αναγνωριστικό στοιχείο πελάτη ή από τη σύνδεση σε ένα λογαριασμό πελάτη. Σε περίπτωση εύλογης αμφιβολίας, οι επιχειρήσεις μπορούν να ζητήσουν αντίγραφο της ταυτότητάς τους. Πρόκειται για μια αλλαγή σε σχέση με τις προηγούμενες απαιτήσεις του εθνικού νόμου για την προστασία των δεδομένων πριν από τον GDPR, ο οποίος επέβαλε στις επιχειρήσεις την υποχρέωση να ζητούν αντίγραφο ενός εγγράφου με το οποίο αποδεικνύεται η ταυτότητα του υποκειμένου.

Ένα αίτημα πρόσβασης μπορεί επίσης να απορριφθεί όταν κρίνεται αβάσιμο ή υπερβολικό (π.χ. όταν έχουν αποσταλεί πολλαπλά αιτήματα πρόσβασης από το ίδιο υποκείμενο).

  • Μία προσεγμένη εσωτερική διαδικασία

Οι Υπεύθυνοι Επεξεργασίας πρέπει να απαντούν στα αιτήματα πρόσβασης μέσα σε ένα μήνα από την λήψη τους. Αυτή η σύντομη σχετικά χρονική περίοδος απαιτεί από τις επιχειρήσεις να διαθέτουν μία αποτελεσματική και προσεγμένη εσωτερική διαδικασία διαχείρισης των αιτημάτων των υποκειμένων για πρόσβαση στα δεδομένα τους, ιδίως με στόχο να προσεγγίσουν τα κατάλληλα μέλη του προσωπικού προκειμένου να μπορέσουν εγκαίρως να εντοπίσουν τα σχετικά με το αίτημα δεδομένα και να απαντήσουν εντός της νόμιμης προθεσμίας. Ωστόσο, σε περίπτωση αύξησης των αιτημάτων πρόσβασης ή λόγω της πολυπλοκότητάς τους, αυτή η χρονική περίοδος μπορεί να παραταθεί μέχρι και τρεις μήνες, υπό την προϋπόθεση ότι τα άτομα θα ενημερώνονται δεόντως.

  1. Ειδοποιήσεις για μια παραβίαση ασφάλειας δεδομένων

Στα μέσα Οκτωβρίου, η Γαλλική Αρχή εξέδωσε μία αρχική εκτίμηση των παραβιάσεων δεδομένων από την έναρξη ισχύος του GDPR. Η εκτίμηση έχει πρακτικό ενδιαφέρον:

  • Αριθμός παραβιάσεων δεδομένων: Από τις 25 Μαΐου μέχρι τις αρχές του Οκτωβρίου του 2018, αναφέρθηκαν 742 παραβιάσεις δεδομένων στην Γαλλική Αρχή (άρα περίπου 6 την ημέρα), επηρεάζοντας συνολικά 33 εκατομμύρια υποκείμενα δεδομένων στη Γαλλία και σε άλλες περιοχές.
  • Φύση της παραβίασης: Το 94% των ειδοποιήσεων ήταν απότοκο μίας παραβίασης εμπιστευτικότητας.
  • Τομείς που επηρεάζονται: Οι περισσότερες ειδοποιήσεις προέρχονταν από τις ξενοδοχειακές επιχειρήσεις, τις εταιρείες εμπορίας αυτοκινήτων και παροχής τεχνικών υπηρεσιών, τον πληροφοριακό και τηλεπικοινωνιακό τομέα και τον τομέα των οικονομικών και των ασφαλίσεων.
  • Η Γαλλική Αρχή υπογράμμισε την βέλτιστη πρακτική που εφαρμόζεται στους τρίτους παρόχους υπηρεσιών, μέσω του παραδείγματος μίας εταιρείας που παρέχει υπηρεσίες κρατήσεων σε πολλά ξενοδοχεία. Αυτή η εταιρεία αντιμετώπισε μία παραβίαση δεδομένων. Ενημέρωσε άμεσα τα επηρεαζόμενα ξενοδοχεία και τους παρείχε κατευθυντήριες οδηγίες και υποστήριξη. Δημιούργησε μία ανοιχτή τηλεφωνική γραμμή για να βοηθήσει τα ξενοδοχεία να αναφέρουν την παραβίαση στην αρμόδια Αρχή Προστασίας Δεδομένων και κυκλοφόρησε ένα πρότυπο επιστολής για να ενημερώνονται τα επηρεαζόμενα υποκείμενα.
  • Οι αιτίες: Το 65% των παραβιάσεων οφείλονται σε εξωτερικές κακόβουλες ενέργειες, ενώ το 15% πυροδοτούνται από εσωτερικά ανθρώπινα λάθη.
  • Εξωτερικές αιτίες: το 57% των παραβιάσεων δεδομένων είναι αποτέλεσμα hacking μέσω κακόβουλου λογισμικού ή μέσω «phishing».
  • Εσωτερικές αιτίες: το 10% είναι αποτέλεσμα δεδομένων που στάλθηκαν σε λάθος παραλήπτη. Εξοπλισμός που χάθηκε ή εκλάπη αποτελεί το 10% των αιτιών. Το ίδιο ισχύει και για τις ακούσιες δημοσιεύσεις δεδομένων.
  • Διαδικασία Ειδοποίησης της Γαλλικής Αρχής: Η Γαλλική Αρχή τάσσεται υπέρ μιας υποστηρικτικής προσέγγισης προς τα μέρη που προέβησαν στην ειδοποίηση, προκειμένου να τους συμβουλεύσει σχετικά με τη βελτίωση μέτρων περιορισμού και την αναγκαιότητα ενημέρωσης των υποκειμένων των δεδομένων.
  • Η Γαλλική Αρχή χρησιμοποίησε μία φορά τη διατακτική της εξουσία και επέβαλε στους Υπεύθυνους Επεξεργασίας την ενημέρωση των υποκειμένων δεδομένων (όπως ορίζεται στο άρθρο 58 (1)(ε) του GDPR).

 

  1. Μηχανισμοί Πιστοποίησης

 

Ο γαλλικός νόμος για την προστασία των δεδομένων, όπως τροποποιήθηκε με το νόμο της 20ής Ιουνίου 2018, παρέχει στην Γαλλική Αρχή νέες εξουσίες στον τομέα της πιστοποίησης της προστασίας δεδομένων. Ως αποτέλεσμα, στα τέλη Σεπτεμβρίου και έπειτα από δημόσια διαβούλευση, η Γαλλική Αρχή εξέδωσε δύο πρότυπα:

 

  • Ένα πρότυπο πιστοποίησης («référentiel de certification») το οποίο καθορίζει τις προϋποθέσεις για το παραδεκτό των αιτήσεων και τον κατάλογο των -17- δεξιοτήτων και της τεχνογνωσίας που απαιτείται για να πιστοποιηθεί κάποιος ως Υπεύθυνος Προστασίας Δεδομένων (π.χ. να γνωρίζει πώς να εντοπίζει την νομική βάση της επεξεργασίας, πώς να αναπτύσσει και να υλοποιεί την εκπαίδευση του προσωπικού αλλά και προγράμματα ευαισθητοποίησης, ή πώς να καθιερώνει διαδικασίες για την παραλαβή και διαχείριση αιτημάτων για την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων)
  • Ένα πρότυπο διαπίστευσης («référentiel d’agrément») το οποίο καθορίζει τα κριτήρια που πρέπει να εφαρμόζονται στους οργανισμούς που επιθυμούν να εξουσιοδοτηθούν από την Γαλλική Αρχή με σκοπό να πιστοποιούν τους Υπεύθυνων Προστασίας Δεδομένων (ΥΠΔ) και τις αρμοδιότητές τους, βάσει του ως άνω προτύπου πιστοποίησης.

 

Σε μία δημοσίευση στα μέσα Οκτωβρίου, η Γαλλική Αρχή συνοψίζει τα παρακάτω σημεία κλειδιά:

 

  • Η Γαλλική Αρχή Προστασίας Δεδομένων εκτιμάει ότι συνεισέφεραν περίπου 200 ΥΠΔ ή μελλοντικοί ΥΠΔ, Υπεύθυνοι Επεξεργασίας, υπο-εκτελούντες την επεξεργασία και φορείς πιστοποίησης για την κατάρτιση του σχεδίου προτύπου κατά τη διάρκεια της δημόσιας διαβούλευσης, η οποία πραγματοποιήθηκε από τις 23 Μαΐου 2018 έως τις 22 Ιουνίου 2018.
  • Αναφορικά με την πιστοποίηση των φυσικών προσώπων:
  • Η Γαλλική Αρχή δίνει έμφαση στον εθελοντικό χαρακτήρα του μηχανισμού, εφόσον η πιστοποίηση δεν αποτελεί προϋπόθεση για την εκπλήρωση καθηκόντων ΥΠΔ, δεν αποτελεί δε απαραίτητη προϋπόθεση για να οριστεί κάποιος ως ΥΠΔ στην Γαλλική Αρχή.
  • Αντιστρόφως, δεν απαιτείται να είναι διορισμένος ως ΥΠΔ προκειμένου να ζητήσει πιστοποίηση.
  • Η εξέταση πιστοποίησης αποτελείται από 100 τουλάχιστον ερωτήσεις πολλαπλής επιλογής. Δικαίωμα συμμετοχής στην εξέταση έχει ο υποψήφιος που διαθέτει τουλάχιστον 2 χρόνια επαγγελματικής εμπειρίας στον τομέα της προστασίας δεδομένων. Η πιστοποίηση ισχύει για 3 χρόνια από την ημέρα της έκδοσης. Η ανανέωσή της είναι εφικτή, υπό την προϋπόθεση ότι το φυσικό πρόσωπο συμμετάσχει σε νέα γραπτή δοκιμασία.
  • Η Γαλλική Αρχή επιμένει ότι δεν θα εκδώσει η ίδια πιστοποιήσεις ΥΠΔ, καθώς αυτή η αποστολή θα αποτελέσει αρμοδιότητα των φορέων πιστοποίησης που πρέπει να εγκριθούν από την Γαλλική Αρχή.

 

  • Αναφορικά με τη διαπίστευση των φορέων πιστοποίησης:
  • Εν αναμονή της ανάπτυξης ενός ειδικού προγράμματος διαπίστευσης για πιστοποίηση ΥΠΔ με την COFRAC (δηλαδή την Γαλλική Επιτροπή Διαπίστευσης), οι φορείς πιστοποίησης που αιτούνται διαπίστευση από την Γαλλική Αρχή θα πρέπει να είναι διαπιστευμένοι από έναν φορέα διαπίστευσης, σε συμφωνία με το ISO/IEC 17024:2012 πρότυπο για προγράμματα πιστοποίησης προσωπικού.
  • Μετά την έγκρισή τους, οι οργανισμοί πιστοποίησης πρέπει να υποβάλλουν στη Γαλλική Αρχή ένα διετές έγγραφο που να περιλαμβάνει τα στατιστικά των εξετάσεων, καθώς και το επικαιροποιημένο μητρώο του πιστοποιημένου ΥΠΔ και μια ετήσια έκθεση δραστηριοτήτων.
  • Η Γαλλική Αρχή υπενθυμίζει ότι η έγκρισή εκ μέρους της είναι υποχρεωτική μόνο για οργανισμούς που επιθυμούν να εκδώσουν πιστοποιήσεις βάσει του προτύπου πιστοποίησης που έχει αναπτύξει η ίδια. Αυτό σημαίνει ότι κάθε οργανισμός μπορεί να πιστοποιήσει Υπεύθυνους Προστασίας Δεδομένων, βάσει του προτύπου πιστοποίησης που έχουν οι ίδιοι αναπτύξει (και δεν έχει εγκριθεί ακόμα από την Γαλλική Αρχή), όπως συμβαίνει ήδη μέχρι σήμερα.

Leave a Reply

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.

Top