Πρόστιμο 1,2 εκατομμυρίων σε ασφαλιστική εταιρεία από την Εποπτική Αρχή του Μπάντεν – Βυρτεμβέργης

Στις 30 Ιουνίου 2020, η Αρχή προστασίας δεδομένων του Μπάντεν – Βυρτεμβέργης («LfDI Baden-Württemberg») εξέδωσε μία απόφασή της, σύμφωνα με την οποία επέβαλε στην Allgemeine Ortskrankenkasse “AOK” Baden-Württemberg το πρόστιμο των 1,24 εκατομμυρίων Ευρώ για παραβίαση της νομοθεσίας τόσο αναφορικά με την παράνομη επεξεργασία προσωπικών δεδομένων στο πλαίσιο του άμεσου μάρκετινγκ όσο και για την λήψη ανεπαρκών εσωτερικών οργανωτικών και τεχνικών μέτρων για την προστασία της ιδιωτικότητας των υποκειμένων.

Συγκεκριμένα, η εταιρεία AOK Baden-Württemberg, μία από τις μεγαλύτερες ασφαλιστικές εταιρείες υγείας της Γερμανίας, μέσω διαγωνισμών που διοργάνωνε από το 2015 έως το 2019, συγκέντρωνε πλήθος προσωπικών δεδομένων συμμετεχόντων, συμπεριλαμβανομένων δεδομένων επικοινωνίας τους, αλλά και δεδομένων σχετικών με την ασφάλιση υγείας τους και τη σχέση τους με άλλες ασφαλιστικές εταιρείες υγείας. Επιπλέον, η AOK Baden-Württemberg ήθελε να χρησιμοποιήσει τα δεδομένα των συμμετεχόντων στους διαγωνισμούς αυτούς κυρίως για διαφημιστικούς σκοπούς, υπό την προϋπόθεση ότι οι τελευταίοι είχαν παράσχει τη συγκατάθεσή τους.

Η Εταιρεία, με τη βοήθεια τεχνικών και οργανωτικών μέτρων, επεδίωκε να διασφαλίσει ότι χρησιμοποιήθηκαν μόνο προσωπικά δεδομένα συμμετεχόντων που είχαν δώσει προηγουμένως ρητή συγκατάθεση για διαφημιστικούς σκοπούς. Ωστόσο, μετά από έρευνα της Εποπτικής Αρχής, διαπιστώθηκε ότι τα μέτρα αυτά ήταν τουλάχιστον ανεπαρκή και δεν πληρούσαν τις απαραίτητες προϋποθέσεις ασφαλείας. Ως αποτέλεσμα, τα προσωπικά δεδομένα περισσότερων από 500 συμμετεχόντων αξιοποιήθηκαν χωρίς τη συγκατάθεσή τους για διαφημιστικούς σκοπούς.

Αμέσως μετά την αναγγελία της κατηγορίας, η AOK σταμάτησε τις προωθητικές ενέργειες με τον τρόπο αυτό, προκειμένου να τεθούν ουσιαστικά σε δοκιμαστικό έλεγχο όλες οι διαδικασίες της και οι πολιτικές ασφαλείας της. Επιπλέον, η Εταιρεία αυτή ίδρυσε μια ειδική ομάδα για την προστασία των δεδομένων που αφορούν το Τμήμα των πωλήσεων και του μάρκετινγκ, ενώ εκτός από τις δηλώσεις παροχής συγκατάθεσης, προσάρμοσε και τις εσωτερικές της διαδικασίες.

Έτσι, η Εποπτική Αρχή δήλωσε επισήμως ότι οι εκτενείς εσωτερικές αναθεωρήσεις και προσαρμογές των τεχνικών και οργανωτικών μέτρων της Εταιρείας, καθώς και η εποικοδομητική και γόνιμη συνεργασία της με την Αρχή, αποτέλεσαν ευνοϊκούς παράγοντες για τον καθορισμό του προστίμου, σύμφωνα και με το άρθρο 83 παράγραφος 4 του GDPR.

Στο σημείο αυτό, θα πρέπει να υπογραμμιστεί ότι δεν είναι η πρώτη φορά που η Εποπτική Αρχή του Μπάντεν – Βυρτεμβέργης επιβάλει υψηλά πρόστιμα. Αντιθέτως, από την θέση σε ισχύ του GDPR προβαίνει σε τακτικούς ελέγχους οργανισμών, είτε έπειτα από καταγγελίες, είτε αυτεπαγγέλτως, έχοντας επιβάλει το πρόστιμο των 100.000€ σε Εταιρεία πώλησης φαγητού, 80.000€ σε Εταιρεία δραστηριοποιούμενη στον κλάδο των Οικονομικών, ενώ ήταν η Αρχή που επέβαλε το πρόστιμο των 20.000€ στην γνωστή υπόθεση της εφαρμογής διαδικτυακών γνωριμιών Knuddels.

Γνώμες και απόψεις: Πότε εφαρμόζεται ο GDPR.

Άποψη… όλοι έχουν μία. Ωστόσο, πολλές φορές σε αυτή μπορεί να περιέχονται προσωπικά δεδομένα τα οποία ίσως να πρέπει να προστατευτούν.

Συχνά υπάρχει έντονη κριτική σχετικά με το εάν μία άποψη είναι δίκαια ή ορθή. Για τη διαμόρφωση αυτής της κρίσης μπορεί να παίξουν ρόλο διάφορες παράμετροι, όπως για παράδειγμα η ελευθερία της έκφρασης ή η εμπιστευτικότητα των ανθρώπινων επικοινωνιών, με αποτέλεσμα η αξιολόγηση του σωστού ή του λάθος να καθίσταται ιδιαίτερα περίπλοκη ή και αμφισβητούμενη. Έτσι, γεννάται το ερώτημα εάν τελικά συγκρούεται η ελευθερία έκφρασης μίας άποψης με τη νομοθεσία για την προστασία των προσωπικών δεδομένων.

  • Αποτελούν οι απόψεις για ένα πρόσωπο προσωπικά δεδομένα;

Προσωπικό δεδομένο μπορεί να συνιστά οποιαδήποτε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, κάποιο πρόσωπο δηλαδή του οποίου η ταυτότητα μπορεί να εξακριβωθεί ή να αναγνωριστεί, μέσω αναφοράς σε συγκεκριμένα στοιχεία ταυτότητας, π.χ. μέσω του ονόματός του. Όσον αφορά τις απόψεις και τις γνώμες, συνήθως αυτές αφορούν ένα συγκεκριμένο άτομο που εύκολα μπορεί να ταυτοποιηθεί.

Σε πολλές περιπτώσεις, το όνομα ενός ατόμου μπορεί να αναφέρεται σε μία άποψη ή μπορεί να ταυτοποιηθεί μέσω του περιεχομένου της ή ακόμα μπορεί να χρησιμοποιηθούν περαιτέρω πληροφορίες για την ανάπτυξη και οριοθέτηση της άποψης.

Επιπλέον, ανάλογα με τον τρόπο με τον οποίο κάποιος ορίζει μία άποψη, θα μπορούσε αυτή να είναι εντελώς υποκειμενική, περιέχοντας προσωπικές προτιμήσεις ή εντυπώσεις, π.χ. «νομίζω πως ο τάδε φάνηκε ταραγμένος το πρωί», ή να βασίζεται απολύτως σε ένα αντικειμενικό γεγονός ή μία ειλικρινή πεποίθηση που μπορεί να είναι σωστή ή λανθασμένη, π.χ. «το συγκεκριμένο άτομο είναι ψεύτης».

Ωστόσο, ο ορισμός των προσωπικών δεδομένων είναι ευρύς και μόνο η φύση μιας συγκεκριμένης άποψης θα καθορίσει εάν εφαρμόζεται τελικά η νομοθεσία για την προστασία των δεδομένων, αλλά και πώς θα μπορούσαν να ασκηθούν τα δικαιώματα των φυσικών προσώπων σχετικά με τη άποψη αυτή.

  • Πότε μπορεί να εφαρμοστεί η νομοθεσία περί προστασίας προσωπικών δεδομένων;

Η νομοθεσία περί προστασίας δεδομένων δεν μπορεί να ισχύει για όλες τις περιπτώσεις στις οποίες εμπλέκονται γνώμες και απόψεις, καθώς αφορά μόνο προσωπικά δεδομένα που έχουν συμπεριληφθεί σε αρχείο, μέσω αυτοματοποιημένων ή μη αυτοματοποιημένων συστημάτων αρχειοθέτησης.  Για παράδειγμα, εάν κάποιος απλώς εκφράζει μια δυσάρεστη ή ανακριβή άποψη για κάποιο άλλο πρόσωπο και αυτή δεν έχει καταγραφεί κάπου, τότε η άποψη αυτή δεν θα εμπίπτει στο πεδίο της νομοθεσίας περί προστασίας προσωπικών δεδομένων.

Παρομοίως, υπάρχουν κάποια άλλα όρια για την εφαρμογή της εν λόγω νομοθεσίας. Χαρακτηριστική είναι η περίπτωση της «εξαίρεσης του νοικοκυριού», όπου η προστασία των προσωπικών δεδομένων δεν καλύπτει περιπτώσεις διατύπωσης ή καταγραφής απόψεων για αμιγώς προσωπικές ή οικιακές δραστηριότητες κάποιου, οι οποίες μάλιστα δεν έχουν σχέση με επαγγελματική ή εμπορική δραστηριότητα. Επομένως, εάν κάποιος καταγράφει στο προσωπικό ημερολόγιό του σημαντικά πράγματα για την οικογένειά του, αυτό δεν θα αποτελέσει σε καμία περίπτωση ζήτημα προστασίας δεδομένων. Αντιθέτως, ο μηχανισμός προστασίας ενδέχεται να εμπλακεί εάν ένα σχόλιο καταγράφηκε ή δημοσιεύτηκε σε ένα μέσο που δεν εμπίπτει σε αυτήν την εξαίρεση, εάν για παράδειγμα ένα τέτοιο σχόλιο εκφράστηκε δημοσίως σε ένα μέσο κοινωνικής δικτύωσης ή στον έγγραφο ή ηλεκτρονικό τύπο.

Αναφορικά με τις εμπιστευτικές απόψεις, υπάρχουν και εδώ συγκεκριμένοι δείκτες που μπορούν να καθορίσουν εάν μία άποψη εκφράστηκε εμπιστευτικά προς κάποιον. Συγκεκριμένα, για να εξεταστεί εάν μία άποψη χαρακτηρίζεται ως «εμπιστευτική» θα πρέπει να ληφθεί σοβαρά υπόψιν το περιβάλλον, ο τόπος και ο χρόνος έκφρασης αυτής της άποψης, ώστε ο λήπτης της άποψης να είναι πραγματικά σε θέση να κατανοήσει τον εμπιστευτικό χαρακτήρα της έκφρασης αυτής.

  • Τι συμβαίνει με τη δημοσιογραφία και την ελευθερία της έκφρασης;

Η προστασία δεδομένων είναι μόνο ένα από τα πολλά δικαιώματα και ελευθερίες που προστατεύονται στην Ε.Ε., ενώ πρέπει να σέβεται και να βρίσκεται σε ισορροπία με άλλα δικαιώματα και ελευθερίες, όπως η ελευθερία της έκφρασης, συμπεριλαμβανομένης της δημοσιογραφικής, ακαδημαϊκής, καλλιτεχνικής και λογοτεχνικής έκφρασης. Σε περιπτώσεις σύγκρουσης πολλαπλών δικαιωμάτων ή ελευθεριών, πρέπει να υπάρχει ισορροπία, προστατεύοντας τα προσωπικά δεδομένα των προσώπων και ερμηνεύοντας ευρέως τη ν έννοια της ελευθερίας της έκφρασης και της δημοσιογραφίας.

Σημαντικό παράδειγμα αλληλεπίδρασης των δύο αυτών δικαιωμάτων είναι αυτό του άρθρου 28 του ελληνικού νόμου Ν. 4624/2019, με τον τίτλο «Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης» , σύμφωνα με το οποίο το δικαίωμα της ελευθερίας της έκφρασης και της πληροφόρησης συμβιβάζεται με αυτό της προστασίας των προσωπικών δεδομένων. Συγκεκριμένα, το άρθρο αυτό αναφέρει ότι η επεξεργασία δεδομένων για δημοσιογραφικούς ή άλλους σκοπούς επιτρέπεται είτε όταν το φυσικό πρόσωπο έχει παράσχει την προηγούμενη ρητή του συγκατάθεση είτε όταν τα προσωπικά του δεδομένα έχουν προδήλως δημοσιοποιηθεί από το ίδιο το πρόσωπο. Επιπλέον, σύμφωνα με το άρθρο 28, υπερέχει το δικαίωμα στην ελευθερία της έκφρασης ιδίως για θέματα γενικότερου ενδιαφέροντος και όταν γίνεται λόγος για δεδομένα προσωπικού χαρακτήρα δημοσίων προσώπων, καθώς και όταν η ενημέρωση περιορίζεται στο μέτρο του αναγκαίου για την εκπλήρωση του σκοπού της ενημέρωσης του κοινού.

Στην πράξη λοιπόν, αυτό σημαίνει ότι η νομοθεσία ενδέχεται να μην βοηθά κάποιον που έχει ενοχληθεί ή αναστατωθεί από μία γνώμη ή άποψη για αυτόν, εκφρασμένη μέσω μίας ηλεκτρονικής ή έντυπης εφημερίδας, αφού ορισμένες φορές ο εκδότης μπορεί να βασίζεται σε μια «δημοσιογραφική εξαίρεση» που να επιτρέπει τη δημοσίευση της άποψής του. Η δικαιολογητική βάση πίσω από αυτό είναι ότι ο ελεύθερος τύπος σίγουρα παίζει καθοριστικό ρόλο στην διαμόρφωση της σύγχρονης κοινωνίας, ενώ η κοινωνία δεν θα ωφελούταν από τον ακραίο περιορισμό της ικανότητας των ειδησεογραφικών πρακτορείων να δημοσιεύουν απόψεις σχετικά με αναγνωρίσιμα άτομα, ειδικά για θέματα δημοσίου ενδιαφέροντος.

  • Πώς μπορεί να ικανοποιηθεί το δικαίωμα πρόσβασης, διόρθωσης ή διαγραφής των απόψεων για ένα πρόσωπο;

Οι απόψεις, όταν περιέχουν προσωπικά δεδομένα, ενδέχεται να υπόκεινται στην υποχρέωση ικανοποίησης δικαιωμάτων προστασίας δεδομένων, όπως το δικαίωμα πρόσβασης, διόρθωσης ή διαγραφής. Όλα τα δικαιώματα, συμπεριλαμβανομένου του πολύ γνωστού δικαιώματος πρόσβασης στις πληροφορίες ενός προσώπου, μπορούν να περιοριστούν σε ορισμένες περιπτώσεις, όπως όταν ισχύει η εξαίρεση του νοικοκυριού ή άλλα δικαιώματα όπως η ελευθερία της έκφρασης. Για παράδειγμα, το δικαίωμα διαγραφής (ή «δικαίωμα στη λήθη» δεν ισχύει όταν η καταγραφή ή η χρήση αυτής της άποψης είναι απαραίτητη για την άσκηση του δικαιώματος της ελευθερίας έκφρασης.

Ωστόσο, ορισμένα δικαιώματα, όπως η διόρθωση ή η διαγραφή, ισχύουν μόνο όταν πληρούνται συγκεκριμένες προϋποθέσεις. Για το δικαίωμα διόρθωσης, τα προσωπικά δεδομένα πρέπει να είναι πραγματικά «ελλιπή» ή «ανακριβή», ενώ για τη διαγραφή χρειάζεται να υπάρχει σαφής και τεκμηριωμένος λόγος που να δικαιολογεί το αίτημα διαγραφής.

Σε κάθε περίπτωση η έκφραση μίας άποψης θα πρέπει να περιορίζεται στην χρήση μόνο όσων στοιχείων είναι απαραίτητων για τη στοιχειοθέτηση και δικαιολόγησή της. Οποιαδήποτε αποκάλυψη προσωπικών δεδομένων, που θα μπορούσε να προκαλέσει βλάβη -ηθική ή χρηματική- σε ένα πρόσωπο, ή να οδηγήσει σε πιθανή δυσφήμισή του, θα πρέπει να εξετάζεται με ιδιαίτερη προσοχή ούτως ώστε να αποφευχθεί οποιαδήποτε ενδεχόμενη παραβίαση των προσωπικών δεδομένων αυτού του προσώπου, καθώς και άλλες δυσάρεστες συνέπειες.

Πηγή: DPC

ΠΩΣ ΛΕΙΤΟΥΡΓΕΙ Η ΕΦΑΡΜΟΓΗ COVID-19 ΤΟΥ ΒΡΕΤΑΝΙΚΟΥ ΕΘΝΙΚΟΥ ΣΥΣΤΗΜΑΤΟΣ ΥΓΕΙΑΣ

Η ομάδα κορυφαίων επιστημόνων και γιατρών του Εθνικού Συστήματος Υγείας της Μ.Βρετανίας ανέπτυξε μία δωρεάν εφαρμογή η οποία θα διαδραματίσει καθοριστικό ρόλο στην αντιμέτώπιση του ιού.

Πιο συγκεκριμένα, όποιος εμφανίζει συμπτώματα θα μπορεί μέσω της εφαρμογής να προμηθευτεί εύκολα το τεστ αλλά και να λάβει συμβουλές από το Βρετανικό Εθνικό Σύστημα Υγείας (NHS) σχετικά με τα βήματα που θα πρέπει να ακολουθήσει ούτως ώστε να σταματήσει την περαιτέρω εξάπλωση του ιού.

Η εφαρμογή προειδοποιεί ανώνυμα άλλους χρήστες που έχουν εγκαταστήσει την εφαρμογή και με τους οποίους ο υποψιασμένος χρήστης είχε κοντινή επαφή.

ΠΩΣ ΑΚΡΙΒΩΣ ΛΕΙΤΟΥΡΓΕΙ;

Μόλις ο χρήστης κατεβάσει την εφαρμογή στο τηλέφωνο του, η τεχνολογία Bluetooth καταγράφει την απόσταση μεταξύ άλλων τηλεφώνων που έχουν επίσης εγκατεστημένη την εφαρμογή. Εάν ο χρήστης αισθανθεί αδιαθεσία (με συμπτώματα κορονοϊού), ενημερώνει την εφαρμογή η οποία και ειδοποιεί  το NHS το οποίο και με τη σειρά του ειδοποιεί  εντός 4 ωρών ανώνυμα όλους τους άλλους χρήστες της εφαρμογής με τους οποίους ο χρήστης έχει βρεθεί σε κοντινή απόσταση τις προηγούμενες ημέρες. Οι επηρεαζόμενοι χρήστες της εφαρμογής θα λάβουν επίσημες συμβουλές του  NHS σχετικά με το τι πρέπει να κάνουν στη συνέχεια. Βέβαια το ότι θα λάβουν την ειδοποίηση δεν σημαίνει ότι έχουν προσβληθεί από τον ιό. Παρόλο που η εφαρμογή καταγράφει αποστάσεις μεταξύ μεμονωμένων τηλεφώνων, δεν ελέγχεται η τοποθεσία του χρήστη. Τα δεδομένα στην εφαρμογή θα χρησιμοποιηθούν μόνο για αξιολόγηση και έρευνα από το NHS. Ο χρήστης μπορεί  να διαγράψει την εφαρμογή και όλα τα δεδομένα της όποτε θέλει.

Η εφαρμογή χρησιμοποιεί ασύρματη τεχνολογία Bluetooth για την καταγραφή αποστάσεων μεταξύ των τηλεφώνων που την έχουν εγκαταστήσει. Η παρακολούθηση Bluetooth λειτουργεί αδιάλειπτα όσο η εφαρμογή είναι εγκατεστημένη και το Bluetooth ενεργοποιημένο.

Προς το παρόν λήψη της εφαρμογής μπορεί να κάνουν χρήστες έξυπνων κινητών τηλεφώνων Apple και Android.

Σε ένα πρώτο στάδιο η εφαρμογή δοκιμάζεται στη Nήσο Γουάιτ προκειμένου να ληφούν σχόλια από τους χρήστες και να γίνουν οι απαραίτητες βελτιώσεις προτού  διατεθεί στο Ηνωμένο Βασίλειο τις επόμενες εβδομάδες.

Η εφαρμογή αποτελεί βέβαια μόνο ένα μέρος της ευρύτερης στρατηγικής του NHS για τον εντοπισμό και τον έλεγχο του ιού, ωστόσο αυτή η μοντελοποίηση σύμφωνα με τις έρευνες του Ινστιτούτου Μεγάλων Δεδομένων του Πανεπιστημίου της Οξφόρδης, έχει τη δυνατότητα να σώσει χιλιάδες ζωές. Μάλιστα οι έρευνες δείχνουν ότι  για κάθε 1 έως 2 άτομα που την κατεβάζουν, προλαμβάνεται μία μόλυνση.

3 ΔΙΑΔΟΧΙΚΑ ΠΡΟΣΤΙΜΑ ΕΠΙΒΑΛΛΕΙ Η ΑΡΧΗ ΤΗΣ ΦΙΝΛΑΝΔΙΑΣ

H Αρχή Προστασίας Προσωπικών δεδομένων Φινλανδίας, επέβαλλε τρία πρόστιμα σε εταιρείες για παραβίαση της νομοθεσίας προστασίας προσωπικών δεδομένων στις 18 Μαϊου. Οι παραβιάσεις αυτές σχετίζονταν με την μη επαρκή παροχή πληροφοριών στα υποκείμενα κατά την άσκηση των δικαιωμάτων τους, την παραλέιψη διενέργειας έκθεσης εκτίμησης αντικτύπου και τη συλλογή μη απαραίτητων προσωπικών δεδομένων.

Ανεπάρκεια στις πληροφορίες που παρέχονται σε σχέση με τις ειδοποιήσεις αλλαγής διεύθυνσης

Τα φυσικά πρόσωπα  που υπέβαλαν καταγγελία στην Αρχή Προστασίας Δεδομένων είχαν λάβει επικοινωνίες άμεσου μάρκετινγκ από διάφορες εταιρείες αφού έκαναν ειδοποιήσεις αλλαγής διεύθυνσης στην Posti Oy, η οποία είναι ο βασικός φορέας παροχής ταχυδρομικών υπηρεσιών στη Φινλανδία. Η έρευνα που διενεργήθηκε από την Φινλανδική Αρχή, αποκάλυψε ότι η Posti δεν είχε ενημερώσει τα υποκείμενα των δεδομένων για τα δικαιώματά τους, συμπεριλαμβανομένου του δικαιώματος να εναντιωθούν στην αποκάλυψη δεδομένων, σε σχέση με την πραγματοποίηση ειδοποιήσεων αλλαγής διεύθυνσης.

Η εταιρεία θα έπρεπε να έχει ενημερώσει με ευκρίνεια  τους πελάτες της σχετικά με το δικαίωμά τους να αντιταχθούν στην επεξεργασία των προσωπικών τους δεδομένων. Η Posti είχε προβεί σε ενημερώσεις μόνο σε πελάτες που αγόρασαν επιπλέον υπηρεσίες εκτός από την πραγματοποίηση της ειδοποίησης αλλαγής διεύθυνσης. Η Posti είχε δηλώσει στην Αρχή Προστασίας Δεδομένων ότι θα εξετάσει δυνατότητες βελτίωσης της διαφάνειας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα ήδη από το 2017. Η εταιρεία βελτίωσε τελικά τις πρακτικές της για ενημέρωση των πελατών το 2020, μετά από δεύτερη επικοινωνία της Αρχής με την Posti. Οι παραβιάσεις επηρέασαν 161.000 πελάτες μόνο το 2019. Το συμβούλιο επιβολής κυρώσεων τελικά επέβαλε διοικητικό πρόστιμο 100.000 ευρώ στην Posti Oy.

Η έκθεση εκτίμησης αντικτύπου των επιπτώσεων στην προστασία των δεδομένων σχετικά με την  επεξεργασία των δεδομένων θέσης των εργαζομένων δεν είχε διενεργηθεί.

Η δεύτερη απόφαση αφορούσε μια καταγγελία στην Αρχή Προστασίας Δεδομένων σχετικά με τον τρόπο με τον οποίο η Kymen Vesi Oy επεξεργάστηκε τα δεδομένα τοποθεσίας των υπαλλήλων της παρακολουθώντας οχήματα με ένα σύστημα παροχής πληροφοριών οχήματος. Ο υπεύθυνος επεξεργασίας δεν είχε πραγματοποιήσει την εκτίμηση επιπτώσεων που απαιτείται από τον GDPR πριν αρχίσει να επεξεργάζεται τα δεδομένα τοποθεσίας. Τα δεδομένα τοποθεσίας χρησιμοποιήθηκαν για την παρακολούθηση των ωρών εργασίας, μεταξύ άλλων.

Όπως είναι γνωστό, απαιτείται εκτίμηση επιπτώσεων στην προστασία δεδομένων εάν η επεξεργασία ενδέχεται να οδηγήσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Η έκθεση εκτίμησης αντικτύπου είναι απαραίτητη για παράδειγμα εάν τα δεδομένα θέσης ευάλωτων ατόμων υποβάλλονται σε επεξεργασία ή χρησιμοποιούνται για συστηματική παρακολούθηση. Η απόφαση για περιπτώσεις όπου απαιτείται εκτίμηση κινδύνου για την επεξεργασία δεδομένων τοποθεσίας μπορεί να βρεθεί στον ιστότοπο της Φινλανδικής Αρχής προστασίας δεδομένων. Το συμβούλιο κυρώσεων της Αρχής επέβαλε στην Kymen Vesi Oy διοικητικό πρόστιμο ποσού 16.000 ευρώ.

Τα δεδομένα των υποψηφιών εργαζομένων που συλλέγονταν δεν ήταν όλα απαραίτητα

Στην τρίτη περίπτωση, η Αρχή Προστασίας Δεδομένων είχε ειδοποιηθεί για μια εταιρεία που συλλέγει περιττά προσωπικά δεδομένα από αιτούντες εργασία και υπαλλήλους. Σύμφωνα με τον φινλανδικό νόμο για την προστασία της ιδιωτικής ζωής στον εργασιακό βίο, ο εργοδότης επιτρέπεται να επεξεργάζεται δεδομένα που είναι απαραίτητα μόνο βάσει της εργασιακής σχέσης. Ανακαλύφθηκαν επίσης ελλείψεις στην τεκμηρίωση του υπεύθυνου επεξεργασίας σχετικά με τη συμμόρφωση με τον GDPR. Η εταιρεία είχε ζητήσει πληροφορίες για θέματα όπως θρησκευτικές πεποιθήσεις, κατάσταση υγείας, πιθανή εγκυμοσύνη και οικογενειακή κατάσταση των υποκειμένων των δεδομένων. Η Αρχή διέταξε την εταιρεία να διαγράψει τα περιττά δεδομένα η οποία επίσης δέχτηκε επίπληξη για τις ελλείψεις στην έγγραφη τεκμηρίωση. Το συμβούλιο κυρώσεων της  επέβαλε εν τέλει διοικητικό πρόστιμο 12.500 ευρώ.

Ωστόσο αξίζει να σημειωθεί ότι οι αποφάσεις αυτές δεν είναι οριστικές, δεδομένου ότι μπορεί να ασκηθεί έφεση στο διοικητικό δικαστήριο. Το Γραφείο του επιτρόπου για την Προστασία Δεδομένων δημοσιεύει το όνομα του οργανισμού στον οποίο επιβλήθηκε το διοικητικό πρόστιμο εάν το θέμα θεωρείται δημόσιου ενδιαφέροντος ή αν υπάρχει περίπτωση ο οργανισμός να συγχέεται με κάποιον άλλο.

Οι κυρώσεις πρέπει να είναι αναλογικές, αποτελεσματικές και προειδοποιητικές

Αυτή ήταν η πρώτη φορά που το συμβούλιο κυρώσεων επέβαλε διοικητικά πρόστιμα για παραβιάσεις του κανονισμού προστασίας δεδομένων. Το διοικητικό συμβούλιο έχει το δικαίωμα να επιβάλλει διοικητικά πρόστιμα για παραβιάσεις προστασίας δεδομένων. Το μέγιστο ποσό του διοικητικού προστίμου είναι 4% του κύκλου εργασιών της εταιρείας ή 20 εκατομμύρια ευρώ. Η λήψη αποφάσεων του συμβουλίου κυρώσεων και η νομική προστασία των υπεύθυνων επεξεργασίας  προβλέπονται στον Φινλανδικό Νόμο περί Προστασίας Δεδομένων.

 

2 ΧΡΟΝΙΑ GDPR: ΤΙ ΜΑΣ ΕΜΑΘΕ ΚΑΙ ΠΩΣ ΕΠΗΡΕΑΣΤΗΚΕ Η ΚΑΘΗΜΕΡΙΝΟΤΗΤΑ ΤΩΝ ΟΡΓΑΝΙΣΜΩΝ;

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΕΕ) 2016/679 “GDPR” εγκρίθηκε τον Απρίλιο του 2016 και εφαρμόζεται από τον Μάιο του 2018. Αναμφισβήτητα έχει αποτελέσει το πιο αναγνωρισμένο κεφάλαιο της νομοθεσίας της Ευρωπαϊκής Ένωσης σε παγκόσμιο επίπεδο, καθώς παρέχει ένα ολοκληρωμένο, ισορροπημένο και ομοιόμορφο σύνολο διασφαλίσεων που μπορούν να συνεχίσουν να προστατεύουν τα θεμελιώδη δικαιώματα των υποκειμένων των δεδομένων στην εποχή των τεχνολογικών εξελίξεων.

Ποια οφέλη αποκόμισαν όμως στην πραγματικότητα οι οργανισμοί από τις διαδικασίες συμμόρφωσής τους και ποια είναι τα συμπεράσματα δύο χρόνια μετά την αρχική του εφαρμογή;

Κατ’ αρχήν, έγινε εξαιρετικά σαφές ότι ο GDPR ενθάρρυνε τους οργανισμούς να αντιμετωπίζουν τη συμμόρφωση και τη στρατηγική τους για προστασία των δεδομένων που επεξεργάζονται ως επιχειρηματικό πλεονέκτημα, το οποίο θα αποφέρει κέρδος και αξία. Ο αντίκτυπος των απαιτήσεων του GDPR σήμαινε ότι οι οργανισμοί έπρεπε να είναι ιδιαίτερα προσεκτικοί για τα δεδομένα που επεξεργάζονται, συμπεριλαμβανομένου του τρόπου συλλογής, χρήσης, κοινοποίησης, ασφάλειας και διατήρησης δεδομένων τόσο εντός όσο και εκτός του οργανισμού.

Ο GDPR λειτούργησε ως ένας μοχλός πίεσης για όλες τις κυβερνήσεις, ώστε να επανεξετάσουν το νομοθετικό τους πλαίσιο σχετικά με την προστασία της ιδιωτικότητας και των προσωπικών δεδομένων. Χαρακτηριστικό παράδειγμα αποτελεί αυτό της Ελλάδας, με την έκδοση του Νόμου Ν. 4624/2019.

Με τον GDPR επισημάνθηκε ότι το μέγεθος του οργανισμού δεν αποτελεί κριτήριο για το επίπεδο συμμόρφωσης με τις απαιτήσεις ασφάλειας και προστασίας της ιδιωτικότητας, αφού όλοι οι οργανισμοί, δημόσιοι ή ιδιωτικοί, μεγάλοι ή μικροί, όφειλαν να συμμορφωθούν πλήρως με τις νέες απαιτήσεις.

Επιπλέον, ο GDPR αύξησε τη λογοδοσία, έχοντας ως αποτέλεσμα την μεγαλύτερη ευαισθητοποίηση για θέματα προστασίας δεδομένων σε όλα τα επίπεδα. Έδειξε ότι το ανθρώπινο λάθος είναι ο κυριότερος παράγοντας που οδηγεί συνήθως σε μία παραβίαση προσωπικών δεδομένων, ενώ έγινε αντιληπτό ότι όλοι χρειάζεται να λάβουν αυστηρότερα τεχνικά και οργανωτικά μέτρα για την αποτροπή ενός τέτοιου περιστατικού. Υπάρχουν πολλοί λόγοι για αυτό, συμπεριλαμβανομένων πιθανών προστίμων και κινδύνων φήμης, εξουσία επιβολής για τις Εποπτικές Αρχές προστασίας δεδομένων, τις απαιτήσεις υποχρεωτικού -σε ορισμένες περιπτώσεις- διορισμού υπευθύνου προστασίας δεδομένων (DPO), καθώς και η αυξημένη ευθύνη των εκτελούντων την επεξεργασία των δεδομένων.

Η απειλή ισχυρής επιβολής οδήγησε σε περαιτέρω επενδύσεις για τη συμμόρφωση με την προστασία δεδομένων σε ολόκληρο τον κλάδο. Είναι σημαντικό να τονιστεί ότι το συνολικό ύψος των προστίμων έφτασε τα 153.525.487 Ευρώ, με το μεγαλύτερο πρόστιμο να αποτελεί αυτό που επεβλήθη στην Google (50 εκατομμύρια Ευρώ).

Όσον αφορά την κρίση της πανδημίας του κορωνοϊού, ο GDPR αποτέλεσε έναν ευέλικτο νόμο, ικανό να προστατεύσει τα δικαιώματα και τις ελευθερίες των ανθρώπων που νόσησαν ή εκτέθηκαν στον ιό. Με βάση αυτό το νομικό πλαίσιο, τέθηκαν προϋποθέσεις για τις διαδικασίες συλλογής δεδομένων για την ιχνηλάτηση κρουσμάτων, αλλά και αυστηροί όροι για την σταδιακή επιστροφή στην εργασία και την αποφυγή στιγματισμού των εργαζομένων.

Σε κάθε περίπτωση, τα δύο αυτά χρόνια έκαναν παραπάνω από αντιληπτή την ανάγκη προσαρμογής στις απαιτήσεις συμμόρφωσης με τις αρχές της ιδιωτικότητας και της προστασίας των προσωπικών δεδομένων των υποκειμένων, αποδεικνύοντας ότι από αυτή την διαδικασία ο κάθε οργανισμός βγαίνει ισχυρότερος και πιο αποτελεσματικός.

ΚΟΡΩΝΟΪΟΣ ΚΑΙ ΗΛΕΚΤΡΟΝΙΚΗ ΠΑΡΑΚΟΛΟΥΘΗΣΗ: ΤΟ ΤΕΛΟΣ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ;

Τα ερωτήματα σχετικά με τη θεμιτή ή μη επεξεργασία των προσωπικών δεδομένων είναι πολλά σε ένα ταχέως μεταβαλλόμενο περιβάλλον, λόγω της παγκόσμιας εξάπλωσης του Κορωνοϊού . Οι εταιρείες DPO NETWORKPRIVACY ADVOCATE και TELECOM EXPERTS σας προσκαλούν στο webcast με θέμα “Κορωνοϊός και Ηλεκτρονική παρακολούθηση: το τέλος της Ιδιωτικότητας;”.

ΘΕΜΑΤΑ ΠΟΥ ΘΑ ΣΥΖΗΤΗΘΟΥΝ:

  • Τηλεργασία και οι προκλήσεις των εργοδοτών – κα Μαντά 
  • Προσωπικά Δεδομένα εργαζομένων στη νέα κανονικότητα – κα Καλπία 
  • Διαχείριση κινδύνου τρίτων μερών στην εφοδιαστική αλυσίδα – κ. Πολυκάρπου
  • Τηλεπικοινωνίες ως εργαλείο Ιχνηλάτησης πασχόντων – κ. Κανέλλος
  • Η υγεία την επόμενη μέρα: Προτάσεις και προβληματισμοί – κ. Κατσίκης.

Ημερομηνία: 20 Μαΐου 2020

Ώρα : 3:00 μ.μ. – 4:30 μ.μ.

Κόστος: Δωρεάν

Γλώσσα: Ελληνική

Τρόπος Διεξαγωγής: Live Webinar μέσω της πλατφόρμας WebEx

      

COVID-19 : Η ΠΟΡΕΙΑ ΠΡΟΣ ΤΗΝ ΕΠΙΧΕΙΡΗΜΑΤΙΚΗ ΑΝΑΚΑΜΨΗ

Οι εταιρείες Κinanis Law Firm, KKLegal & Privacy Advocate προσεγγίζουν τα κυριότερα ζητήματα που απασχολούν σήμερα τις επιχειρήσεις, με γνώμονα τα έκτακτα μέτρα που έχουν ληφθεί από την Κυπριακή και την Ελληνική Κυβέρνηση για την αντιμετώπιση της πανδημίας του Κορωνοϊού.

Θέματα: 
Ο αντίκτυπος του Covid 19 στις εργασιακές σχέσεις: Έκτακτα μέτρα στήριξης εργαζομένων και επιχειρήσεων Κάλλια ΑγρότουΑλεξάνδρα Ασουρματζιάν
Στην ενότητα αυτή θα παρουσιάσουμε τα βασικά έκτακτα μέτρα στο επίπεδο των εργασιακών σχέσεων, που έλαβε τόσο η Eλληνική όσο και η Kυπριακή Kυβέρνηση στο πλαίσιο αντιμετώπισης της κρίσης από την εξάπλωση του κορωνοϊού.
Θα εστιάσουμε στα σημεία που αναδεικνύουν τη διαφορετική προσέγγιση των δύο κρατών και τέλος θα δώσουμε έμφαση στις βέλτιστες πρακτικές που μπορούν να οδηγήσουν τον επιχειρηματικό κόσμο ξανά σε τροχιά ανάκαμψης.

Η εξέλιξη των συμβάσεων την εποχή του Covid-19 Αντριάνα ΣολομωνίδουΝάσια Kανακοπούλου
Με αφορμή την πανδημία του κορωνοϊού COVID-19, η οποία πλήττει ολόκληρο τον πλανήτη και τα πλείστα προβλήματα που έχουν δημιουργηθεί εξ αιτίας της αναστολής λειτουργίας πολλών κλάδων της οικονομίας, στην ενότητα αυτή θα αναλύσουμε πώς επιδρά ο κορωνοϊός ως λόγος ανωτέρας βίας στις συμβάσεις, τί ισχύει αν υπάρχει ή όχι η ρήτρα ανωτέρας βίας σε μία σύμβαση καθώς και πώς θα επηρεάσει η εμφάνιση του Covid-19 την εξέλιξη των συμβάσεων.

Η προστασία των προσωπικών δεδομένων των εργαζομένων μετά τον Covid-19 Άντρεα ΙωακείμΧριστίνα Μαντά
Στο επίκεντρο της συζήτησης για την πανδημία του Covid-19 βρίσκεται τον τελευταίο καιρό η προστασία των προσωπικών δεδομένων και πιο συγκεκριμένα των ευαίσθητων. Ο τομέας της απασχόλησης είναι ένας από τους τομείς που έχουν επηρεαστεί σοβαρά όσον αφορά τη συμμόρφωση με τους κανόνες προστασίας προσωπικών δεδομένων. Στην ενότητα αυτή, θα γίνει αναφορά στη νομιμότητα της επεξεργασίας των ευαίσθητων προσωπικών δεδομένων από τους εργοδότες καθώς και στο ρόλο που έχουν να διαδραματίσουν οι εργοδότες στη διασφάλιση της συμμόρφωσης με τον ΕΕ Κανονισμό.
Επιπλέον, οι εργοδότες που λόγω της νέας συνθήκης σκοπεύουν να συνεχίσουν το μοντέλο work from home, καλούνται να λάβουν μέτρα συμμόρφωσης με τη νομοθεσία προστασίας προσωπικών δεδομένων. Μέσα από παραδείγματα πρόσφατης νομολογίας θα δούμε πότε ελλοχεύει κίνδυνος υπέρβασης των ορίων ιδιωτικότητας των εργαζομένων και τι μπορούν να κάνουν οι εργοδότες για να αντιμετωπίσουν αυτήν την πρόκληση.

Ημερομηνία: 7 Μαΐου 2020

Ώρα : 3:00 μ.μ. – 4:30 μ.μ.

Γλώσσα: Ελληνική

Κόστος: Δωρεάν

Τρόπος Διεξαγωγής: Live Webinar μέσω της πλατφόρμας ZOOM – (click to download)

Για  περισσότερες πληροφορίες μπορείτε να αποταθείτε στην Ελένη Παπανικολάου στο τηλέφωνο 22-558888 και στο e-mail επικοινωνίας  academy@kinanis.com

Terms of Service
By registering to this event, you agree and accept the terms and conditions.

Privacy Policy
By registering to this event you agree with the processing of your personal data according to the privacy policy. By completing the registration form, link below, you accept that your data will be securely stored and processed within our tools. Your data will be used with caution, aiming to give us a better understanding of your needs as well as helping us to reach you with relevant information.

ΥΦΙΣΤΑΤΑΙ ΣΥΓΚΡΟΥΣΗ ΣΥΜΦΕΡΟΝΤΩΝ ΜΕΤΑΞΥ ΤΗΣ ΘΕΣΗΣ ΤΟΥ DPO ΚΑΙ ΑΛΛΩΝ ΟΡΓΑΝΙΚΩΝ ΘΕΣΕΩΝ;

Ναι, σύμφωνα με την απόφαση της Εποπτικής Αρχής Προστασίας Δεδομένων του Βελγίου, η οποία επέβαλε σε οργανισμό για τον λόγο αυτό πρόστιμο 50.000 Ευρώ.

Για πολλούς οργανισμούς τα τελευταία χρόνια, ο διορισμός ενός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer – “DPO”) αποτελεί μια από τις πιο περίπλοκες απαιτήσεις που πρέπει να αντιμετωπίσουν, εάν θέλουν να συμμορφωθούν πλήρως με τις απαιτήσεις του GDPR. Η λεπτομερής περιγραφή της εργασίας του, οι υψηλές απαιτήσεις από άποψη εμπειρογνωμοσύνης, αλλά και οι προσδοκίες για την συνεχή διαθεσιμότητα και τις γλωσσικές και επικοινωνιακές του δεξιότητες θέτουν τον πήχη πολύ ψηλά. Εάν μάλιστα κανείς αναλογιστεί το γεγονός ότι η θέση αυτή αποτελεί πρωτοπορία των τελευταίων ετών για τα κράτη μέλη της ΕΕ, δημιουργώντας τεράστια ζήτηση όσον αφορά τις νομικές απαιτήσεις και τα προσόντα ενός DPO, φαίνεται μάλλον εναργώς γιατί πολλοί οργανισμοί αντιμετωπίζουν ζητήματα στο να βρουν το … «σωστό άτομο για την δουλειά».

Δεν είναι λοιπόν περίεργο που πολλοί οργανισμοί αποφάσισαν να διορίσουν ως DPO κάποιον εσωτερικό υπάλληλό τους. Σε τελική ανάλυση, το άρθρο 38 παρ. 6 του GDPR επιτρέπει στους οργανισμούς να ορίσουν έναν DPO που εκπληρώνει και «άλλα καθήκοντα» εφόσον δεν οδηγεί σε σύγκρουση συμφερόντων.

Σύμφωνα ωστόσο με την απόφαση της Βελγικής Αρχής Προστασίας Δεδομένων, πρόστιμο επεβλήθη σε Εταιρεία επειδή η τελευταία είχε αναθέσει τα καθήκοντα του DPO στο πρόσωπο του ίδιου υπάλληλου που τελούσε Προϊστάμενος των Τμημάτων Εσωτερικού Ελέγχου, Risk Management και Εταιρικής Συμμόρφωσης.

Συγκεκριμένα, η εναγόμενη Εταιρεία ισχυρίστηκε ότι δεν υπήρχε σύγκρουση συμφερόντων μεταξύ αυτών των θέσεων, στον βαθμό που ο DPO δεν συμμετείχε στη λήψη αποφάσεων σχετικά με τον τρόπο επεξεργασίας προσωπικών δεδομένων. Η Εποπτική Αρχή όμως διαφώνησε, επισημαίνοντας ότι το πρόσωπο αυτό, υπό την ιδιότητα του Προϊσταμένου Εταιρικής Συμμόρφωσης, Risk Management και Εσωτερικού Ελέγχου, διαφαίνεται ξεκάθαρα ότι ως DPO αποτελεί πάντοτε τον τελικό υπεύθυνο για τον καθορισμό των σκοπών και των μέσων επεξεργασίας.

Ως εκ τούτου, η Εποπτική Αρχή έκρινε ότι ήταν αδύνατο για τον DPO να ασκήσει ανεξάρτητη εποπτεία σε αυτές τις δραστηριότητες επεξεργασίας. Επιπλέον, θεώρησε ότι η συγκέντρωση των ιδιοτήτων αυτών σε ένα πρόσωπο θα μπορούσε να συνιστά και παραβίαση της υποχρέωσης τήρησης του απορρήτου και της εμπιστευτικότητας του DPO, η οποία και προβλέπεται στο άρθρο 38 παρ. 5. του GDPR.

Έτσι, η Εταιρεία υποχρεώθηκε να προβεί άμεσα στη λύση αυτής της σύγκρουσης συμφερόντων και επιπλέον της επιβλήθηκε πρόστιμο ύψους 50.000€.

Το ύψος του προστίμου μπορεί να φαίνεται ασήμαντο (πρόκειται περίπου για το 0,001% του ετήσιου κύκλου εργασιών), ωστόσο είναι μακράν το υψηλότερο διοικητικό πρόστιμο που έχει επιβληθεί από τη βελγική Εποπτική Αρχή μέχρι στιγμής, ενώ παράλληλα υποδεικνύει και μία σαφή κατεύθυνση για τον διορισμό προσώπων κατάλληλων για την καίρια αυτή θέση του DPO σε έναν οργανισμό.

APPLE KAI GOOGLE ΓΙΑ ΤΟΝ ΣΧΕΔΙΑΣΜΟ ΕΦΑΡΜΟΓΩΝ ΑΝΙΧΝΕΥΣΗΣ COVID-19

Η πρώτη έκδοση του API (Διεπαφή Προγραμματισμού εφαρμογών) που η Apple και Google αναπτύσσουν από κοινού σε εφαρμογές ανίχνευσης επαφών, φορείς του COVID-19,  θα είναι διαθέσιμη στους προγραμματιστές από την επόμενη εβδομάδα. Ο Ευρωπαίος Επίτροπος, Thierry Breton, δημοσίευσε μια φωτογραφία από το γραφείο του που δείχνει τη συνομιλία του μέσω βίντεο με τον CEO της Apple,  Tim Cook, ο οποίος τον ενημέρωσε  ότι στις 28 Απριλίου το API ανίχνευσης επαφών θα είναι διαθέσιμο στους προγραμματιστές λογισμικού που θα κατασκευάσουν εφαρμογές ανίχνευσης και θα το χρησιμοποιήσουν εξ ονόματος των οργανισμών δημόσιας υγείας.

Η Apple και η Google ανακοίνωσαν ότι εργάζονταν καιρό για το σύστημα ανίχνευσης επαφών, το οποίο λειτουργεί σε κινητές συσκευές iOS και Android.  Ανέλυσαν λεπτομερώς τον τρόπο με τον οποίο το δίκτυο opt-in χρησιμοποιεί τυχαιοποιημένα αναγνωριστικά (IDs) που δεν συνδέονται με την πραγματική ταυτότητα ενός χρήστη για την γνωστοποίηση πιθανών επαφών τους με άτομα με επιβεβαιωμένη θετική διάγνωση COVID-19. Είναι ένα αποκεντρωμένο σύστημα που δεν συλλέγει ποτέ γεωγραφικά δεδομένα προκειμένου να διατηρήσει το ιδιωτικό απόρρητο.  Η Apple και η Google επέλεξαν να συνεργαστούν για αυτό το έργο, έτσι ώστε οποιεσδήποτε εφαρμογές κατασκευαστούν για να το χρησιμοποιήσουν να έχουν τη πιο ακριβή προσέγγιση.

Η παρουσίαση του όλου συστήματος ανίχνευσης επαφών θα πραγματοποιηθεί σε δύο φάσεις: Πρώτον, το API θα διατίθεται στους προγραμματιστές . Αυτό αποτελεί την πρώτη φάση η οποία θα ξεκινήσει την επόμενη εβδομάδα, δηλαδή στις αρχές του Μαΐου. Αυτό το στάδιο αρχικά είχε προγραμματιστεί στα μέσα Μαΐου, αλλά φαίνεται ότι οι εταιρείες έχουν αλλάξει το χρονοδιάγραμμά τους (τουλάχιστον από την πλευρά της Apple) δεδομένης της επείγουσας ανάγκης της ανίχνευσης επαφών, προκειμένου να γίνει κατανοητό πώς και πότε θα πρέπει να αλλάξουν τα μέτρα κοινωνικής απόστασης.

Το δεύτερο μέρος του σχεδίου είναι η έκδοση μιας ενημέρωσης συστήματος για την κατασκευή ανίχνευσης επαφών σε επίπεδο λειτουργικού συστήματος. H διαχείριση του opt-in θα γίνεται στη συσκευή και τόσο τα smartphone Android όσο και τα iOS με αυτό το opt-in κουμπί θα μπορούν αυτόματα να συμμετέχουν στις προσπάθειες ανίχνευσης επαφών σε τοπικό επίπεδο, ανεξάρτητα από το αν οι χρήστες είχαν εγκαταστήσει συγκεκριμένες εφαρμογές υπηρεσιών υγείας. Η Apple και η Google διευκρίνισαν σχετικά με το σύστημα αυτό ότι οι χρήστες θα εξακολουθούν να παρακινούνται στο να κατεβάζουν και να εγκαθιστούν  μία εφαρμογή δημόσιας υγείας από την τοπική τους αρχή, εάν το τηλέφωνό τους τους ειδοποιήσει για μια πιθανή θετική στον ιό επαφή, έτσι ώστε να μπορούν να λάβουν επιπλέον πληροφορίες σχετικά με τα επόμενα βήματα από μια αξιόπιστη πηγή.

Θα πρέπει να σημειωθεί ότι η δεύτερη φάση αναμένεται να ξεκινήσει κάποια στιγμή αργότερα φέτος, αλλά η πρόωρη πρώτη έκδοση του API για προγραμματιστές είναι μια πολλά υποσχόμενη ένδειξη, υποδηλώνοντας ότι και οι δύο εταιρείες καταβάλλουν κάθε δυνατή προσπάθεια και σημαντικούς πόρους για  την  διάθεσή του στην αγορά.

Υπάρχουν βέβαια συστήματα ανίχνευσης επαφών που έχουν ήδη εφαρμοστεί, αλλά ένας κοινός τεχνολογικός κορμός που θα επιτρέπει να στις δημοφιλέστερες κινητές συσκευές που χρησιμοποιούνται αυτήν τη στιγμή να επικοινωνούν μεταξύ τους, έχει εξαιρετικά αυξημένες πιθανότητες να αποβεί πραγματικά αποτελεσματικός.

ΝΕΟΤΕΡΗ ΚΑΘΟΔΗΓΗΣΗ ΑΠΟ ΤΟ ΕΣΠΔ ΓΙΑ ΤΗΝ ΑΝΤΙΜΕΤΩΠΙΣΗ ΤΟΥ COVID-19

Κατά την 23η  σύνοδο ολομέλειάς του, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ),   εξέδωσε κατευθυντήριες γραμμές σχετικά με την επεξεργασία δεδομένων υγείας για ερευνητικούς σκοπούς όπως και για τον γεωεντοπισμό και τις σχετικές εφαρμογές του στο πλαίσιο της πανδημίας COVID-19. Οι κατευθυντήριες γραμμές σχετικά με την επεξεργασία δεδομένων υγείας για ερευνητικούς σκοπούς αποσκοπούν στο να ρίξουν φως στα πιο επείγοντα νομικά ζητήματα σχετικά με τη χρήση δεδομένων για την υγεία, όπως τη νομική βάση της επεξεργασίας, την περαιτέρω επεξεργασία δεδομένων υγείας για τους σκοπούς της επιστημονικής έρευνας, την εφαρμογή κατάλληλων διασφαλίσεων και την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων. Οι κατευθυντήριες γραμμές αναφέρουν ότι ο GDPR περιέχει διάφορες διατάξεις για την επεξεργασία δεδομένων υγείας για σκοπούς επιστημονικής έρευνας, οι οποίες ισχύουν επίσης στο πλαίσιο της πανδημίας COVID-19, ιδίως όσον αφορά τη συναίνεση και τις αντίστοιχες εθνικές νομοθεσίες. Ο GDPR προβλέπει τη δυνατότητα επεξεργασίας ορισμένων ειδικών κατηγοριών προσωπικών δεδομένων, όπως δεδομένα υγείας, όπου είναι απαραίτητο για σκοπούς επιστημονικής έρευνας.

Επιπλέον, οι κατευθυντήριες γραμμές αντιμετωπίζουν νομικά ζητήματα σχετικά με διεθνείς διαβιβάσεις δεδομένων που αφορούν δεδομένα υγείας για ερευνητικούς σκοπούς που σχετίζονται με την καταπολέμηση του COVID-19, ιδίως ελλείψει απόφασης επάρκειας ή άλλων κατάλληλων εγγυήσεων.

Ο Andrea Jelinek, πρόεδρος του ΕΣΠΔ, δήλωσε: «Επί του παρόντος, καταβάλλονται μεγάλες ερευνητικές προσπάθειες για την καταπολέμηση του COVID-19. Οι ερευνητές ελπίζουν να εξάγουν αποτελέσματα το συντομότερο δυνατό. Ο GDPR δεν εμποδίζει την επιστημονική έρευνα, αλλά επιτρέπει τη νόμιμη επεξεργασία δεδομένων υγείας για να υποστηρίξει τον σκοπό εύρεσης εμβολίου ή θεραπείας για το COVID-19 ».

Οι κατευθυντήριες γραμμές σχετικά με τον γεωεντοπισμό και άλλα εργαλεία ανίχνευσης στο πλαίσιο της πανδημίας COVID-19 στοχεύουν στην αποσαφήνιση των συνθηκών και των αρχών για την αναλογική χρήση δεδομένων τοποθεσίας και εργαλείων παρακολούθησης επαφών, για δύο συγκεκριμένους σκοπούς:

  1. χρήση δεδομένων θέσης για την υποστήριξη της αντιμετώπισης της πανδημίας με μοντελοποίηση της εξάπλωσης του ιού προκειμένου να εκτιμηθεί η συνολική αποτελεσματικότητα των μέτρων περιορισμού.
  2. χρήση ανίχνευσης επαφών, που στοχεύει στο να ειδοποιεί άτομα που ενδέχεται να βρίσκονται κοντά σε κάποιον που τελικά επιβεβαιώνεται ως φορέας του ιού, προκειμένου να σπάσουν οι αλυσίδες εξάπλωσης το συντομότερο δυνατό.

Οι κατευθυντήριες γραμμές τονίζουν ότι τόσο ο GDPR όσο και η οδηγία e-Privacy περιλαμβάνουν ειδικές διατάξεις που επιτρέπουν τη χρήση ανώνυμων ή προσωπικών δεδομένων για την υποστήριξη δημόσιων αρχών και άλλων φορέων τόσο σε εθνικό όσο και σε επίπεδο ΕΕ στις προσπάθειές τους να παρακολουθούν και να περιορίζουν τη διάδοση του COVID-19. Οι γενικές αρχές της αποτελεσματικότητας, της αναγκαιότητας και της αναλογικότητας θα πρέπει να καθοδηγούν τα μέτρα που θεσπίζουν τα κράτη μέλη ή τα θεσμικά όργανα της ΕΕ και περιλαμβάνουν την επεξεργασία προσωπικών δεδομένων για την καταπολέμηση του COVID-19. Το ΕΣΠΔ υποστηρίζει και υπογραμμίζει τη θέση που εκφράζεται στην επιστολή της προς την Ευρωπαϊκή Επιτροπή (14 Απριλίου) ότι η χρήση εφαρμογών ανίχνευσης επαφών πρέπει να είναι εθελοντική και να μην βασίζεται στον εντοπισμό  κινήσεων μεμονομένων ατόμων, αλλά σε πληροφορίες εγγύτητας που αφορούν τους χρήστες των εφαρμογών.

Ο Andrea Jelinek πρόσθεσε: «Οι εφαρμογές (apps) δεν μπορούν ποτέ να αντικαταστήσουν νοσηλευτές και γιατρούς. Ενώ τα δεδομένα και η τεχνολογία μπορεί να είναι σημαντικά εργαλεία, πρέπει να έχουμε κατά νου ότι περιλαμβάνουν εγγενείς περιορισμούς. Οι εφαρμογές μπορούν μόνο να συμπληρώσουν την αποτελεσματικότητα των μέτρων δημόσιας υγείας και την αφοσίωση των εργαζομένων στον τομέα της υγείας που είναι απαραίτητη για την καταπολέμηση του COVID-19. Σε κάθε περίπτωση, οι άνθρωποι δεν θα έπρεπε  να αναγκάζονται να επιλέγουν μεταξύ μιας αποτελεσματικής αντιμετώπισης  της κρίσης και της προστασίας των θεμελιωδών δικαιωμάτων. “

Επιπλέον, το ΕΣΠΔ συνέταξε έναν οδηγό για εφαρμογές ανίχνευσης επαφών ως παράρτημα των κατευθυντήριων. Ο σκοπός αυτού του οδηγού, ο οποίος δεν είναι εξαντλητικός, είναι να παρέχει γενική καθοδήγηση σε σχεδιαστές και χρήστες εφαρμογών ανίχνευσης επαφών, υπογραμμίζοντας ότι κάθε αξιολόγηση πρέπει να πραγματοποιείται κατά περίπτωση.

Και τα δύο σύνολα οδηγιών κατ ‘εξαίρεση δεν θα υποβληθούν σε δημόσια διαβούλευση λόγω του επείγοντος της τρέχουσας κατάστασης και της ανάγκης άμεσης διαθεσιμότητας τους. Δείτε τις οδηγίες εδώ.

 

Top