COVID-19 KAI ΙΔΙΩΤΙΚΟΤΗΤΑ ΦΥΣΙΚΩΝ ΠΡΟΣΩΠΩΝ: ΟΙ ΠΙΟ ΣΥΧΝΕΣ ΕΡΩΤΗΣΕΙΣ

Ο Παγκόσμιος Οργανισμός Υγείας (WHO)  έχει ορίσει ως πανδημία το νέο μυστηριώδη ιό COVID-19 (Coronavirus). Ο νέος ιός, ενώ μοιάζει με μια εποχική γρίπη, έχει κάποια επικίνδυνα χαρακτηριστικά. Δεν είναι μόνο εξαιρετικά μεταδοτικός, αλλά εκείνοι που έχουν μολυνθεί μπορεί να μην εμφανίζουν συμπτώματα κατά τα πρώτα μολυσματικά στάδια. Αυτό καθιστά επιτακτική την ανάγκη, για λόγους προστασίας της δημόσιας υγείας, τα άτομα που εκτίθενται σε αυτόν, εφόσον αποκτούν επίγνωση ότι έχουν εκτεθεί, να ενημερώνουν αμέσως και τα άτομα με τα οποία έχουν έρθει σε επαφή, είτε είναι στο χώρο εργασίας τους,  είτε είναι συγγενικά ή φιλικά τους πρόσωπα.

Πώς προστατεύεται όμως το απόρρητο των ατόμων που έχουν μολυνθεί από το Covid-19, ενώ παράλληλα πρέπει να ενημερωθούν τα άτομα που έχουν τεθεί σε κίνδυνο; Σε μια εποχή έκτακτης ανάγκης για τη δημόσια υγεία, όπως η σημερινή, μήπως πρέπει ο GDPR και η νομοθεσία προστασίας προσωπικών δεδομένων να έρχεται σε δεύτερη θέση;

Ακολουθούν χρήσιμες ερωτήσεις-απαντήσεις για τη διαλεύκανση των ζητημάτων που προκύπτουν από αυτήν την αναπόφευκτη σύγκρουση αφενός του δικαιώματος προστασίας της αυτοδιάθεσης, της ιδιωτικής ζωής και των προσωπικών δεδομένων και αφετέρου του δημοσίου συμφέροντος, κυρίως υπό την ειδικότερη εκδοχή της δημόσιας υγείας,  αλλά και  των δικαιωμάτων των άλλων.

 

 

ΓΕΝΙΚΕΣ ΕΡΩΤΗΣΕΙΣ

Τι προσωπικά δεδομένα (ειδικής κατηγορίας/ ευαίσθητα) μπορεί να συλλέγω ως εταιρεία/οργανισμός λόγω του κορωνοϊού;

Οι πληροφορίες σχετικά µε την κατάσταση της υγείας ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας σε αυτό, συνιστούν προσωπικά δεδομένα που αφορούν την υγεία, δηλαδή ειδικής κατηγορίας δεδοµένα προσωπικού χαρακτήρα, τα οποία υπόκεινται σε αυστηρότερο καθεστώς προστασίας. Τέτοιες πληροφορίες συνιστούν:

  • η κατάσταση κατονοµαζοµένου ή ταυτοποιήσιµου υποκειµένου των δεδοµένων ως νοσούντος ή µη,
  • η κατ’ οίκον παραµονή του λόγω ασθένειας,
  • η διαπίστωση ενδείξεων ασθένειας, ενδεχοµένως και δια της κλινικής εικόνας του (βήχας, καταρροή, θερµοκρασία ανώτερη της φυσιολογικής κ.λπ.).
Εκτός από τα ειδικής κατηγορίας/ ευαίσθητα προσωπικά δεδομένα, τι άλλα (απλά) προσωπικά δεδομένα μπορεί να συλλέγω ως εταιρεία/ οργανισμός/δημόσιος φορέας σχετικά με τον ιό;

Γενικές πληροφορίες, όπως π.χ.

  • εάν ένα υποκείµενο των δεδοµένων ταξίδεψε πρόσφατα σε αλλοδαπό κράτος µε εκτεταµένη διάδοση του κορωνοϊού ή
  • εάν ένας οικείος ή συνεργάτης του είναι ασθενής ή έχει προσβληθεί από τον κορωνοϊό.
Σε ποιες περιπτώσεις εφαρμόζεται η νομοθεσία για την προστασία δεδομένων προσωπικού χαρακτήρα ενόψει του κορωνοϊού;

Η νοµοθεσία για την προστασία των δεδοµένων προσωπικού χαρακτήρα εφαρµόζεται:

  • Στην εν όλω ή εν µέρει αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη µη αυτοµατοποιηµένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.( κατ’ άρ. 2 παρ. 1 Κανονισµού 679/2016 (εφεξής «ΓΚΠ∆») και 2 ν. 4624/2019).
  • Στο µέτρο κατά το οποίο διενεργείται από τις αρμόδιες δημόσιες αρχές επεξεργασία δεδομένων προσωπικού χαρακτήρα για τη λήψη των αναγκαίων κατά περίπτωση µέτρων, σύμφωνα µε τις οικείες ΠΝΠ, προς τον σκοπό της αποφυγής κινδύνου εμφάνισης ή διάδοσης του κορωνοϊού που ενδέχεται να έχουν σοβαρές επιπτώσεις στη δημόσια υγεία.

Επομένως, η ανωτέρω νομοθεσία ΔΕΝ εφαρμόζεται:

  • Στην απλή προφορική ενημέρωση ότι το υποκείμενο των δεδομένων νοσεί από τον κορωνοϊό ή ότι η σωματική θερμοκρασία του έχει μετρηθεί ως ανώτερη του φυσιολογικού
  • Όταν οι ανωτέρω πληροφορίες δεν έχουν περιληφθεί σε σύστημα αρχειοθέτησης σε περίπτωση µη αυτοματοποιημένης (χειροκίνητης) επεξεργασίας ή δεν έχουν περιληφθεί σε αυτοματοποιημένη επεξεργασία.
Ποιες επεξεργασίες προσωπικών δεδομένων επιτρέπονται στην παρούσα κατάσταση;
  • Η επεξεργασία που είναι απαραίτητη για τη συµµόρφωση µε έννοµη υποχρέωση του υπευθύνου επεξεργασίας
  • Η επεξεργασία που είναι απαραίτητη για τη διαφύλαξη ζωτικού συµφέροντος του υποκειµένου των δεδοµένων ή άλλου φυσικού προσώπου
  • Η επεξεργασία που είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται για το δηµόσιο συµφέρον ή κατά την άσκηση δηµόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας
  • Η επεξεργασία που είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριµένων δικαιωµάτων του υπευθύνου επεξεργασίας ή του υποκειµένου των δεδοµένων στον τοµέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας
  • Η επεξεργασία που αφορά δεδοµένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δηµοσιοποιηθεί από το υποκείµενο των δεδοµένων
  • Η επεξεργασία που είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελµατικής ιατρικής εκτίµησης της ικανότητας προς εργασία του εργαζοµένου, ιατρικής διάγνωσης, παροχής υγειονοµικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονοµικών και κοινωνικών συστηµάτων και υπηρεσιών
  • Η επεξεργασία που είναι απαραίτητη για λόγους δηµόσιου συµφέροντος στον τοµέα της δηµόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονοµικής περίθαλψης και των φαρµάκων ή των ιατροτεχνολογικών προϊόντων.
Τα μέτρα προστασίας που λαμβάνω ως Υπεύθυνος επεξεργασίας για την αντιμετώπιση της πανδημίας μπορεί να περιλαμβάνουν επέμβαση στην ιδιωτικότητα και τα προσωπικά δεδομένα των φυσικών προσώπων. Θεωρείται παράνομη η επεξεργασία των προσωπικών δεδομένων για αυτόν τον σκοπό;

Όχι. Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα. Πρέπει να εκτιμάται σε σχέση µε τη λειτουργία του στην κοινωνία και να σταθµίζεται σε σχέση µε άλλα θεµελιώδη δικαιώµατα, σύµφωνα µε την αρχή της αναλογικότητας (αιτ. σκ. 4 ΓΚΠ∆). Η εφαρµογή του νοµικού πλαισίου για την προστασία των δεδοµένων προσωπικού χαρακτήρα δεν συνιστά εµπόδιο στη λήψη των αναγκαίων µέτρων αντιµετώπισης του κορωνοϊού. Αντιθέτως, παρέχονται οι νοµικές βάσεις για την αναγκαία επεξεργασία, µε την επιφύλαξη ότι τηρούνται οι βασικές αρχές και εξασφαλίζονται οι σχετικές ουσιαστικές και διαδικαστικές εγγυήσεις και προϋποθέσεις σύννομης επεξεργασίας.

Χρειάζεται η συγκατάθεση των φυσικών προσώπων προκειμένου να τους αποσταλλεί ενημερωτικό μήνυμα από αρμόδιο φορέα σχετικά με τον κορωνοϊό;

Όχι. Οι νόμοι για την προστασία δεδομένων δεν εμποδίζουν την κυβέρνηση και το εθνικό σύστημα υγείας από το να αποστέλλουν μηνύματα για την προστασία της δημόσιας υγείας στους πολίτες, είτε μέσω τηλεφώνου, κειμένου ή ηλεκτρονικού ταχυδρομείου, καθώς αυτά τα μηνύματα δεν αποτελούν ενέργειες άμεσου μάρκετινγκ. Η επεξεργασία δεδοµένων προσωπικού χαρακτήρα υγείας στο πλαίσιο λήψης µέτρων κατά του κορωνοϊού που διενεργείται από τις αρµόδιες δηµόσιες αρχές είναι απαραίτητη για λόγους δηµοσίου συµφέροντος στον τοµέα της δηµόσιας υγείας, στις οποίες περιλαµβάνεται και η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας. Ως εκ τούτου, δεν απαιτείται συγκατάθεση των φυσικών προσώπων για την επεξεργασία  των προσωπικών τους δεδομένων κατά την εφαρμογή μέτρων προστασίας κατά του κορωνοϊού.

Το προσωπικό της εταιρείας μου κατά τη διάρκεια της πανδημίας θα εργάζεται από το σπίτι. Τι είδους μέτρα ασφαλείας θα πρέπει να ληφθούν για την προστασία των προσωπικών δεδομένων;
  • Η σύνδεση στο εταιρικό δίκτυο θα πρέπει να γίνεται μέσω ασφαλών καναλιών επικοινωνίας (π.χ. VPN, RAS)
  • Θα πρέπει να γίνεται αυστηρά χρήση μόνο του εξοπλισμού που έχει παραχωρήσει η εταιρεία
  • Οι κωδικοί πρόσβασης που χρησιμοποιούνται θα πρέπει να εμφανίζουν αυξημένο επίπεδο πολυπλοκότητας, να αλλάζουν συχνά σύμφωνα και με όσα ορίζει η πολιτική της εταιρείας και να μην κοινοποιούνται  σε μέλη της οικογένειάς του εργαζόμενου (και φυσικά σε κανένα άλλο τρίτο πρόσωπο)
  • Δεν θα πρέπει να παραβλέπεται η πραγματοποίηση ενημερώσεων στο λογισμικό προστασίας που είναι εγκατεστημένο στους υπολογιστές που έχουν παραχωρηθεί στους εργαζόμενους
  • Απαγορεύεται η σύνδεση σε ιστότοπους με υψηλό κίνδυνο προσβολής από κακόβουλο λογισμικό (porn, gambling, p2p sites)
  • Απαγορεύεται η σύνδεση σε δημόσια ασύρματα δίκτυα ή ασύρματα δίκτυα τρίτων
  • Δεν επιτρέπεται η αποθήκευση προσωπικών δεδομένων ή εταιρικών πληροφοριών σε οικιακά αποθηκευτικά μέσα ή σε ιστότοπους αποθήκευσης δεδομένων (dropbox, onedrive, box, κλπ.) που είναι συνδεμένοι με προσωπικούς λογαριασμούς των εργαζόμενων
  • Θα πρέπει να γίνεται σε τακτά χρονικά διαστήματα αποθήκευση των αρχείων που επεξεργαζόνται οι εργαζόμενοι στο κεντρικό αποθηκευτικό μέσο της εταιρείας
  • Σε περίπτωση εντοπισμού ύποπτης συμπεριφοράς ή δυσλειτουργίας στο λογισμικό θα πρέπει να υπάρχει άμεση επικοινωνία με το τμήμα ΙΤ της εταιρείας
  • Η διακίνηση των εγγράφων, εφόσον απαιτείται, θα γίνεται αποκλειστικά με ηλεκτρονικά μέσα. Σε κάθε περίπτωση θεωρείται δεδομένη η εχεμύθεια που πρέπει να τηρεί ο υπάλληλος κατ’ άρθρο 26 του Υ.Κ. (Ν.3528/2007) ή άλλων αντίστοιχων διατάξεων κατά την εξ αποστάσεως παροχή εργασίας
  • Ιδιαίτερη προσοχή πρέπει να δίδεται σε ευαίσθητα προσωπικά δεδομένα, καθώς και σε έγγραφα εμπιστευτικού – απόρρητου χαρακτήρα, για τα οποία απαιτείται ιδιαίτερος χειρισμός.

 

Mπορώ να λάβω μέτρα προστασίας κατά του κορωνοϊού στην εταιρεία μου;

Ναι. Ο εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζομένων λαμβάνοντας τα αναγκαία συναφή προστατευτικά µέτρα προς αποφυγή επέλευσης σοβαρού, άμεσου και αναπόφευκτου κινδύνου αυτών, εγγυώµενος το ασφαλές και υγιές περιβάλλον εργασίας. Προκειμένου να προστατεύεται η υγεία όλων των εργαζομένων  πρέπει να σημειώσουμε ότι όχι μόνο είναι θεμιτό και αποδεκτό να λαμβάνονται μέτρα αλλά και επιβάλλεται από τις υποχρεώσεις για την φροντίδα για την υγεία και την ασφάλεια των εργαζομένων (ν. 3850/10 όπως τροποποιήθηκε από τον ν. 4578/18).

Επισηµαίνεται ωστόσο ότι η συλλογή και η εν γένει επεξεργασία των δεδοµένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισµό ατοµικών δικαιωµάτων, όπως π.χ. η θερµοµέτρηση στην είσοδο του χώρου εργασίας πρέπει να λαµβάνει χώρα, τηρουµένων των νοµίµων προϋποθέσεων, αφού θα έχει προηγουµένως αποκλειστεί κάθε διαθέσιµο πρόσφορο µέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρµόζεται η νοµοθεσία για τα προσωπικά δεδοµένα.

Επιτρέπεται να ενημερώσω τους εργαζόμενους ότι αλλος εργαζόμενος της εταιρείας έχει μολυνθεί από τον ιό COVID-19;

Ναι. Η ενημέρωση των εργαζομένων γίνεται για τους σκοπούς της προστασίας της υγείας τους στο πλαίσιο υποχρέωσης του εργοδότη να εξασφαλίζει την υγεία και την ασφάλεια των εργαζοµένων. Ωστόσο η γνωστοποίηση αυτών των πληροφοριών θα πρέπει να γίνεται με τρόπο που να τηρεί τις αρχές του περιορισµού της επεξεργασίας σε συνδυασµό µε την αρχή της αναλογικότητας δηλαδή για παράδειγμα να μπορεί να αποφευχθεί η αποκάλυψη ονόματος του φορέα του ιού και απλά να γίνει ενημέρωση ότι υπάρχει κρούσμα στην εταιρεία. Η ΑΠΔΠΧ επισημαίνει ότι  η από μέρους των υπευθύνων επεξεργασίας γνωστοποίηση σε τρίτους πληροφοριών για την κατάσταση υγείας των υποκειμένων των δεδομένων όταν αυτή συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν είναι επιτρεπτή αν δημιουργεί κλίκα προκατάληψης και στιγματισμού. Επιπλέον, ενδέχεται να δρα αποτρεπτικά στην τήρηση των μέτρων που ανακοινώθηκαν από τις αρμόδιες δημόσιες αρχές µε αποτέλεσμα να αντιστρατεύεται τελικά την αποτελεσματικότητα τους.

Είναι υποχρεωμένοι οι εργαζόμενοι που έχουν προσβληθεί από τον ιό COVID-19  να  ενημερώσουν το εργοδότη;

Ναι. Οι εργαζόµενοι υποχρεούνται να εφαρµόζουν τους κανόνες υγείας και ασφάλειας των ιδίων αλλά και άλλων ατόµων που επηρεάζονται από πράξεις ή παραλείψεις τους, περιλαµβανοµένης της υποχρέωσής τους να αναφέρουν αµέσως στον εργοδότη ή/και στον εκτελούντα καθήκοντα ιατρού εργασίας όλες τις καταστάσεις που µπορεί να θεωρηθεί εύλογα ότι παρουσιάζουν άµεσο και σοβαρό κίνδυνο για την ασφάλεια και την υγεία. Ταυτόχρονα, οι αρχές προστασίας συμπίπτουν στη διαπίστωση ότι πρέπει να υποδειχθεί στους εργαζόμενους η υποχρέωσή τους, ακόμη και αν δεν είναι βέβαιο ότι έχουν μολυνθεί από τον ιό να τον ενημερώνουν και για π.χ. τυχόν αδιαθεσία ασθένεια, τυχόν παραμονή ή τον σκοπό τους να ταξιδέψουν σε περιοχές εκτεθειμένες στον ιό.

Επιτρέπεται η επεξεργασία προσωπικών δεδομένων επισκεπτών, προμηθευτών κτλ στα γραφεία ή εγκαταστάσεις της εταιρείας προς εξασφάλιση της υγείας των εργαζοµένων μέσω π.χ. θερµοµέτρησης των εισερχοµένων ή η υποβολή συµπλήρωσης ερωτηµατολογίου σχετικά µε την κατάσταση της υγείας των εργαζοµένων ή οικείων τους, πρόσφατου ιστορικού ταξιδίου σε αλλοδαπό κράτος µε αυξηµένο κίνδυνο µετάδοσης του κορωνοϊου κτλ;

Ναι, τηρουµένων των νοµίµων προϋποθέσεων, αφού θα έχει προηγουµένως αποκλειστεί κάθε διαθέσιµο πρόσφορο µέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρµόζεται η νοµοθεσία για τα προσωπικά δεδοµένα και τηρείται η αρχή της αναλογικότητας. Τα δεδομένα αυτά επιτρέπεται να χρησιμοποιηθούν μόνο για τον σκοπό και στο πλαίσιο της καταπολέμησης των συνεπειών και της πρόληψης της διάδοσης του κορωνοϊού και όχι για άλλους σκοπούς.

Εφαρμόζεται η νομοθεσία για την προστασία προσωπικών δεδομένων θανόντων στην περίπτωση του κορωνοϊού;

Η επεξεργασία δεδοµένων προσωπικού χαρακτήρα θανόντων δεν εµπίπτει καταρχήν στο προστατευτικό πεδίο των κανόνων προστασίας δεδοµένων προσωπικού χαρακτήρα (αιτ. σκ. 27 ΓΚΠ∆). ∆εδοµένου, ωστόσο, ότι η αποκάλυψη των στοιχείων ταυτοποίησης θανόντων από τον κορωνοϊό ενδέχεται να οδηγεί σε έµµεση ταυτοποίηση ζώντων φυσικών προσώπων που είχαν έρθει σε επαφή ή υπήρξαν οικείοι των θανόντων για τους οποίους εφαρµόζονται οι συναφείς κανόνες, προτείνεται  η εταιρεία να τα αντιμετωπίσει ως δεδομένα ζώντων και να τηρήσει τις απαιτήσεις του GDPR, σύµφωνα µε τις γενικές αρχές επεξεργασίας του άρθρου 5 παρ. 1 σε συνδυασµό µε το άρθρο 6 ΓΚΠ∆.

Σε περίπτωση που το ίδιο το υποκείμενο γνωστοποιήσει ότι έχει προσβληθεί από τον ιό, είναι νόμιμη η επεξεργασία των προσωπικών του δεδομένων;

Ναι. Η από µέρους των ήδη νοσούντων από τον κορωνοϊό ασθενών, οικειοθελής δηµοσιοποίηση της κατάστασης της υγείας τους, παρέχει σύµφωνα µε το άρθρο 9 παρ. 2 εδ. ε’ ΓΚΠ∆ νοµική βάση επεξεργασίας των συγκεκριµένων δεδοµένων υγείας υπό τον όρο της τήρησης των αρχών του άρθρου 5 ΓΚΠ∆ σε συνδυασµό µε τυχόν ειδικότερες διατάξεις της εθνικής νοµοθεσίας, περιλαµβανοµένων και των ΠΝΠ.

 Επιτρέπεται η επεξεργασία πρoσωπικών δεδομένων για δημοσιογραφικούς σκοπούς;

Προ της τυχόν επεξεργασίας δεδοµένων προσωπικού χαρακτήρα για δηµοσιογραφικούς σκοπούς, ιδίως ως προς την κατάσταση υγείας των υποκειµένων σε σχέση µε τον κορωνοϊό, θα πρέπει πρωταρχικά να αξιολογείται η αναγκαιότητα αποκάλυψης στοιχείων ταυτοποίησης του υποκειµένου (π.χ. ονοµατεπώνυµο, φωτογραφία και άλλα προσδιοριστικά στοιχεία), δεδοµένου µάλιστα ότι οι αρµόδιες αρχές [Εθνικός Οργανισµός ∆ηµόσιας Υγείας (Ε.Ο.∆.Υ.) και Γενική Γραµµατεία Πολιτικής Προστασίας (Γ.Γ.Π.Π.)] επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα πολιτών επιδηµιολογικού συσχετισµού, δίχως τον προσδιορισµό προσωπικών στοιχείων ταυτότητας (βλ. άρ. 19 παρ. 2 ΠΝΠ ΦΕΚ Α’55/11-3-2020) ή κατόπιν ψευδωνυµοποίησης και λήψης των αναγκαίων τεχνικών και οργανωτικών µέτρων ασφαλείας (βλ. άρθρο πέµπτο ΠΝΠ ΦΕΚ Α’64/14-3-2020).

Ως Υπεύθυνος Επεξεργασίας, είμαι υποχρεωμένος στην παρούσα κατάσταση να τηρώ την αρχής της λογοδοσίας;

Ναι. Σε κάθε επεξεργασία  προσωπικών δεδομένων θα πρέπει να είναι σαφές στο φυσικό πρόσωπο γιατί η εταιρεία συλλέγει τα δεδομένα, πώς τα χρησιμοποιεί και ποια είναι τα δικαιώματα των φυσικών προσώπων σε σχέση με αυτά. Εάν η εταιρεία διαπιστώσει ότι χρειάζεται να συλλέξει νέους τύπους δεδομένων για να αντιμετωπίσει το πρόβλημα του κορωνοϊού, θα πρέπει να παρέχει την κατάλληλη ενημέρωση στα φυσικά πρόσωπα για αυτό. Παράλληλα, θα πρέπει το αρχείο δραστηριοτήτων που τηρεί η εταιρεία να συμπεριλάβει και αυτή τη νέα επεξεργασία και να τεκμηριωθεί και η νομική βάση επεξεργασίας που εν προκειμένω μπορεί να  είναι η διαφύλαξη ζωτικού συµφέροντος του υποκειµένου των δεδοµένων ή η εκπλήρωση καθήκοντος που εκτελείται για το δηµόσιο συµφέρον ή κατά την άσκηση δηµόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας κτλ.

ΕΙΔΙΚΟΤΕΡΑ ΕΡΩΤΗΜΑΤΑ ΔΙΑΓΝΩΣΤΙΚΩΝ ΚΕΝΤΡΩΝ ΚΑΙ ΔΗΜΟΣΙΩΝ ΝΟΣΟΚΟΜΕΙΩΝ:

Στον τομέα δημόσιας υγείας, χρειάζεται συγκατάθεση των φυσικών προσώπων για την επεξεργασία των προσωπικών τους δεδομένων κατά την εφαρμογή μέτρων προστασίας κατά του κορωνοϊού;

Όχι. Οι αρµόδιες δηµόσιες αρχές αποτελούν τους υπευθύνους επεξεργασίας που επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα απλά και υγείας (ειδικής κατηγορίας) για την προστασία της δηµόσιας υγείας.  Η επεξεργασία δεδοµένων προσωπικού χαρακτήρα υγείας στο πλαίσιο λήψης µέτρων κατά του κορωνοϊού που διενεργείται από τις αρµόδιες δηµόσιες αρχές είναι απαραίτητη για λόγους δηµοσίου συµφέροντος στον τοµέα της δηµόσιας υγείας, στις οποίες περιλαµβάνεται και η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας κατ’ άρ. 9 παρ. 2 εδ. θ’ ΓΚΠ∆ (βλ. αιτ. σκ. 46 και 52 ΓΚΠ∆). Ως εκ τούτου, δεν απαιτείται συγκατάθεση των φυσικών προσώπων για την επεξεργασία  των προσωπικών τους δεδομένων κατά την εφαρμογή μέτρων προστασίας κατά του κορωνοϊού.

Επιτρέπεται η αποστολή αποτελεσμάτων εξετάσεων μέσω email χωρίς προηγούμενη συγκατάθεση από τον ασθενή;

Ναι, στην παρούσα χρονική κρίσιµη και πρωτόγνωρη συγκυρία ο υπεύθυνος επεξεργασίας προβαίνει στις αναγκαίες πράξεις επεξεργασίας δεδοµένων προσωπικού χαρακτήρα για την επίτευξη των επιδιωκόµενων σκοπών χωρίς να µπορεί να αποκλειστεί ως απαγορευμένη οποιαδήποτε πράξη επεξεργασίας, τηρουμένης της αρχής της ασφαλούς επεξεργασίας (ιδίως της εµπιστευτικότητας πληροφοριών) δια της λήψης της απαραίτητων τεχνικών και οργανωτικών µέτρων ασφαλείας. Η αποστολή δηλαδή αποτελεσμάτων μέσω email χρειάζεται να  γίνεται με κρυπτογράφηση όπου το κλειδί θα στέλνεται στον ασθενή με άλλο μέσο (π.χ κινητό τηλέφωνο).

Επιτρέπεται η διεξαγωγή συνεδριών μέσω skype με ασθενείς του Νοσοκομείου για την παρακολούθηση της πορείας της ψυχικής τους υγείας;

Ναι. Οι πληροφορίες σχετικά µε την κατάσταση της υγείας ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας σε αυτό, συνιστούν δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία, δηλαδή ειδικής κατηγορίας δεδομένα προσωπικού χαρακτήρα, τα οποία υπόκεινται σε αυστηρότερο καθεστώς προστασίας. Για τη νομιμότητα της επεξεργασίας προσωπικών δεδομένων ασθενών, που ανήκουν στην ειδική αυτή κατηγορία θα πρέπει να προσδιοριστεί μία από τις νομικές βάσεις τους άρθρου 9 του ΓΚΠΔ. Εν προκειμένω, για τους σκοπούς παροχής ιατρικών υπηρεσιών oi οποίες θα μπορέσουν να επιτευχθούν μέσω της διεξαγωγής συνεδριών Skype, η νομιμότητα της επεξεργασίας θεμελιώνεται στο άρθρο 9 παρ. 2 περ. η «Η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει δικαίου ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας με υποχρέωση επαγγελματικού απορρήτου και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στο άρθρο 9.3 (άρθρο 9.2 η)».

 Επιτρέπεται η τηλεργασία προσωπικού του Νοσοκομείου;

Ναι. Με την επιφύλαξη έκδοσης νεότερης οδηγίας από το Υπουργείο Εσωτερικών, σύμφωνα με την ήδη εκδοθείσα Εγκ φ69/109/οικ.8000/16.03.2020, που αφορά σε υπηρεσίες του Δημοσίου, αλλά και σύμφωνα με τις διατάξεις της παρ. 6 του άρθρου 5 της από 11-3-2020 ΠΝΠ, όπως τροποποιήθηκε με την παρ. 8 του άρ. εικοστού τέταρτου της από 14/3/2020 ΠΝΠ, ο οικείος Υπουργός ή το αρμόδιο όργανο διοίκησης κάθε φορέα καλείται να προβεί σε πλάνο εργασιών έκτακτης ανάγκης, λαμβάνοντας υπόψη του τον αριθμό των υπηρετούντων υπαλλήλων και κυρίως αυτών που δύνανται να εργαστούν είτε με αυτοπρόσωπη παρουσία στην υπηρεσία είτε με εξ αποστάσεως παροχή εργασίας (τηλεργασία). Είναι αυτονόητο ότι στους υπαλλήλους αυτούς δεν θα συνυπολογίζονται οι ευπαθείς ομάδες, οι τελούντες σε άδεια ειδικού σκοπού καθώς εκείνοι οι υπάλληλοι, οι οποίοι απουσιάζουν ήδη με μακροχρόνια άδεια (π.χ. αναρρωτική, άνευ αποδοχών, άδεια ανατροφής, άδεια κυοφορίας λόγω επαπειλούμενης κύησης κ.α.). Υπό τις δεδομένες συνθήκες και για την άμεση εφαρμογή του μέτρου της εξ αποστάσεως παροχής εργασίας οι υπάλληλοι θα πρέπει να διαθέτουν πρόσβαση στο διαδίκτυο, σταθερό ή φορητό ηλεκτρονικό υπολογιστή, σταθερό ή κινητό τηλέφωνο για τη δυνατότητα επικοινωνίας, καθώς επίσης και λογαριασμό ηλεκτρονικού ταχυδρομείου.

 

GDPR FINES 2018-2019

15 Απριλίου 2019

Πρόστιμο σε Ελληνικά Πετρέλαια Α.Ε 30.000 ευρώ από την ΑΠΔΠΧ:

EUR 20,000 για μη νόμιμη επεξεργασία προσωπικών δεδομένων και EUR 10,000 για αποτυχία υιοθέτησης κατάλληλων μέτρων ασφαλείας.

 

12 Απριλίου 2019

Πρόστιμο 400,000 λιρών από την ICO Ηνωμένου Βασιλείου στην εταιρεία Bounty UK Limited.

Ο έλεγχος της αρχής ICO αποκάλυψε ότι η εταιρεία Bounty, μοιραζόταν προσωπικά δεδομένα με πολυάριθμους οργανισμούς χωρίς να το έχει γνωστοποιήσει στα υποκείμενα παραβιάζοντας την αρχή της διαφάνειας.

10 Απριλίου 2019

Πρόστιμο 120,000 λιρών της αρχής ICO του Ηνωμένου Βασιλείου στην εταιρεία τηλεοπτικής παραγωγής True Visions Productions η οποία βιντεοσκοπούσε παράνομα ασθενείς σε κλινική. Παρόλο που είχε άδεια από την κλινική δεν παρείχε στους ασθενείς επαρκή πληροφόρηση σχετικά με αυτήν την ενέργεια.

4 Aπριλίου 2019

Πρόστιμο 50.000 ευρώ  της ιταλικής αρχής Garante  στην  ηλεκτρονική πλατφόρμα- εκτελούντα την επεξεργασία 5 Star Movement Association  για αποτυχία εφαρμογής των απαραίτητων μέτρων ασφαλείας.

15 Μαρτίου 2019

Πρόστιμο 220,000 ευρώ της πολωνικής αρχής σε Σουηδική εταιρεία digital marketing με έδρα στην Ευρώπη και γραφείο στην Πολωνία. Η εταιρεία απέτυχε να συμμορφωθεί με τις υποχρεώσεις της αναφορικά με τα δικαιώματα των υποκειμένων των δεδομένων και την υποχρέωση πληροφόρησης του άρθρου 14 του GDPR.

Μάρτιος 2019

Η Νορβηγική Εποπτική Αρχή (Datatilsynet) επέβαλε διοικητικό πρόστιμο ύψους 1,6 εκατομμυρίων νορβηγικών κορώνων ποσό που αντιστοιχεί σε 170.000 ευρώ στο δήμο του Bergen. Το περιστατικό σχετίζεται με αρχεία ηλεκτρονικών υπολογιστών με ονόματα χρηστών και κωδικούς πρόσβασης σε περισσότερους από 35.000 λογαριασμούς χρηστών στο σύστημα υπολογιστών του δήμου.

21 Ιανουαρίου 2019

Πρόστιμο 50.000.000 ευρώ από γαλλική αρχή προστασίας προσωπικών δεδομένων σε Google για (i) Έλλειψη διαφάνειας, ανεπαρκή πληροφόρηση (ii) Έλλειψη έγκυρης συγκατάθεσης σχετικά με την εξατομικευμένη διαφήμιση.

Νοέμβριος 2018

Πρόστιμο 20.000 ευρώ της  γερμανικής αρχής προστασίας σε εταιρεία Knuddels για 808,000 διαρροές emails, 1,8 εκατομμύρια διαρροές ονομάτων χρηστών και κωδικών.

Νοέμβριος 2018

Πρόστιμο 1.385.000 ευρώ από τις αρχές Γαλλίας, Κάτω Χωρών και Ηνωμένου Βασιλείου κατά της εταιρείας UBER για παράβαση υποχρέωσης διασφάλισης δεδομένων, αποτυχία κοινοποίησης περιστατικού παραβίασης και  διαρροή στοιχείων 57 εκατομμυρίων χρηστών.

Ιούνιος 2018

Πρόστιμο 4,800 ευρώ αυστριακής αρχής κατά της εταιρείας SME για παράνομο έλεγχο δημόσιου χώρου χωρίς ενημέρωση σύμφωνα με αρχή της διαφάνειας. Η κάμερα παρακολούθησης σε χώρο λιανικής εγκατάστασης κατέγραφε και παραπάνω χώρο από το πεζοδρόμιο.

Ιούνιος 2018

Πρόστιμο 400.000 ευρώ στο νοσοκομείο Βarreiro της Ποτογαλίας για παράβαση αρχών ακεραιότητας και εμπιστευτικότητας δεδομένων, παράβαση αρχής περιορισμού πρόσβασης και ανικανότητα του ΥΕ να διασφαλίσει ακεραιότητα δεδομένων.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ΑΥΞΑΝΟΝΤΑΙ ΤΑ ΠΡΟΣΤΙΜΑ ΣΕ ΟΡΓΑΝΙΣΜΟΥΣ ΥΓΕΙΑΣ: ΠΡΟΣΤΙΜΟ 139.000 ΕΥΡΩ ΣΕ ΕΤΑΙΡΕΙΑ ΤΗΛΕΟΠΤΙΚΗΣ ΠΑΡΑΓΩΓΗΣ ΗΝΩΜΕΝΟΥ ΒΑΣΙΛΕΙΟΥ

Η Αρχή Προστασίας Προσωπικών Δεδομένων του Ηνωμένου Βασιλείου, (ICO), επέβαλε πρόστιμου ύψους 120.000 λιρών, ποσό που αντιστοιχεί σε 139.000 ευρώ σε εταιρεία τηλεοπτικής παραγωγής που συνεργαζόταν με μαιευτική κλινική.

Η εταιρεία  True Visions Productions (TVP) του Λονδίνου είχε εγκαταστήσει κάμερες παρακολούθησης και μικρόφωνα σε εξεταστήρια στην κλινική του νοσοκομείου Addenbrooke’s Hospital του  Cambridge για τις ανάγκες προβολής ενός ντοκιμαντέρ σχετικά με την θνησιγένεια. Σύμφωνα με τα ευρήματα της Αρχής,  παρ΄όλο που η εταιρεία είχε λάβει σχετική άδεια από το νοσοκομείο, δεν είχε φροντίσει να ενημερώνει επαρκώς τους ασθενείς σχετικά με την βιντεοσκόπηση η οποία διεξαγόταν από τον Ιούλιο μέχρι το Νοέμβριο του 2017.

Η Αρχή επεσήμανε ότι αναγνωρίζει πως τέτοιου είδους προγράμματα προβάλλονται για λόγους δημοσίου συμφέροντος για τους σκοπούς εκπαίδευσης και ενημέρωσης, ωστόσο αδυνατούσε να δικαιολογήσει την αιτία που η εν λόγω εταιρεία δεν ενημέρωνε εκ των προτέρων τους ασθενείς ότι θα υποβάλλονταν σε βιντεοσκόπηση.

Η εταιρεία TVP είχε αναρτήσει ενημερωτικά έντυπα στην αίθουσα αναμονής τα οποία όμως ήταν ελλιπή και  δεν παρείχαν επαρκείς εξηγήσεις στους ασθενέις σχετικά με την επεξεργασία προσωπικών δεδομένων στο πλαίσιο της βιντεοσκόπησης, ενώ μάλιστα ένα από τα έντυπα ψευδώς ανέφερε ότι οι μητέρες και οι επισκέπετες δεν θα βιντεοσκοπούνταν χωρίς την προηγούμενη συγκατάθεση τους.

Η νομοθεσία σχετικά με τα προσωπικά δεδομένα ορίζει ότι τα δεδομένα πρέπει να υποβάλλονται σε επεξεργασία με τρόπο σύννομο και διαφανή. Ένας ασθενής της κλινικής επομένως, δεν θα περίμενε ότι στους χώρους εξέτασης θα υπήρχαν εγκατεστημένες κάμερες χωρίς να το γνωρίζει.

Η βιντεοσκόπηση διεκόπη το Νοέμβριο του 2017 μετά από την αρνητική δημοσιότητα που έλαβε το θέμα στα ΜΜΕ.

Εν συνεχεία επαναλήφθηκε μέχρι την άνοιξη του 2018 χρησιμοποιώντας όμως διαφορετικές τεχνικές βιντεοσκόπησης και το ντοκιμαντέρ μεταδόθηκε τον Οκτώβριο του 2018.

Το βιντεοσκοπημένο υλικό που λήφθηκε παράνομα δεν μεταδόθηκε ποτέ και διαγράφηκε.

Συμπερασματικά, από το συγκεκριμένο περιστατικό προκύπτει ότι για την τήρηση της αρχής της λογοδοσίας που επιβάλλει ο GDPR, η συνοπτική ενημέρωση των ασθενών για την επεξεργασία των δεδομένων τους δεν αρκεί. Αντίθετα, θα πρέπει να παρέχονται στο υποκείμενο των δεδομένων όλες οι πληροφορίες που επιβάλλει η νομοθεσία και σε κάθε περίπτωση οι ενημερώσεις να ανταποκρίνονται στις πραγματικές πρακτικές που εφαρμόζει ο κάθε οργανισμός και όχι στην κατ’ επίφαση παροχή πληροφοριών.

 

 

Ο Γενικός Κανονισμός Προστασίας Προσωπικών δεδομένων (GDPR) και η εφαρμογή του στο πλαίσιο της δημοσιογραφικής δραστηριότητας

Oι ρυθμίσεις του GDPR, καταλαμβάνουν ένα τεράστιο εύρος δραστηριοτήτων μεταξύ των οποίων και η δημοσιογραφία που περιλαμβάνει τα συγκροτήματα Τύπου και λοιπών ΜΜΕ, τα τοπικά, περιφερειακά και εθνικά μέσα ενημέρωσης, αλλά και τις νέες μορφές διάχυσης της πληροφορίας που φθάνουν μέχρι και τον ενεργό πολίτη – δημοσιογράφο – χρήστη τυποποιημένων εφαρμογών για να πληροφορήσει και να πληροφορηθεί.

Σκοπός των νέων ρυθμίσεων του GDPR είναι η ενίσχυση των δικαιωμάτων των φυσικών προσώπων σχετικά με την επεξεργασία των προσωπικών τους δεδομένων και η λήψη μέτρων προστασίας από τους υπεύθυνους επεξεργασίας για την αποτροπή παραβίασης- διαρροής των προσωπικών τους δεδομένων.

Ωστόσο ο νέος κανονισμός προβλέπει στο άρθρο 85 μια θετική υποχρέωση των κρατών-μελών να συμβιβάζουν τους κανόνες του γενικού μέρους του Κανονισμού με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς. Ο Ευρωπαίος νομοθέτης θεωρεί ότι η επεξεργασία προσωπικών δεδομένων για δημοσιογραφικούς σκοπούς πρέπει να τυγχάνει ευνοϊκής μεταχείρισης σε σχέση με τις άλλες μορφές επεξεργασίας, χωρίς μάλιστα να περιορίζει την έννοια των δημοσιογραφικών σκοπών μόνο στη δραστηριότητα των παραδοσιακών μέσων ενημέρωσης (Τύπος και ραδιοτηλεόραση), αλλά συμπεριλαμβάνοντας σε αυτή κάθε μορφή άσκησης της ελευθερίας της πληροφόρησης, π.χ. μέσω blogs.

Παρ’ όλα αυτά, τα δικαιώματα των φυσικών προσώπων όπως ορίζονται στο γενικό μέρος του κανονισμού έρχονται σε αντίφαση με το δικαίωμα στην ελευθερία της έκφρασης και ο νομοθέτης δεν θεσπίζει κριτήρια για την πρακτική εναρμόνιση τους.

Για το λόγο αυτό θα η ΑΠΔΠΧ θα πρέπει να προωθήσει και να ενθαρρύνει την κατάρτιση ενός  κώδικα δημοσιογραφικής δεοντολογίας που θα είναι σύμφωνος και συμβατός με τις αλλαγές του νόμου.

Η ΕΕ και το Συμβούλιο της Ευρώπης, δημοσίευσαν κατευθυντήριες γραμμές για τα ΜΜΕ και τους δημοσιογράφους στην προσπάθεια τους να εξισορροπήσουν αυτήν την αντίφαση.

  • Σύμφωνα με τον Κανονισμό τα άτομα έχουν το δικαίωμα πρόσβασης και λήψης πληροφοριών σχετικά με προσωπικά τους δεδομένα που είναι αποθηκευμένα σε κάποιο μέσο μαζικής ενημέρωσης π.χ εφημερίδα. Το αίτημα αυτό μπορεί να απορριφθεί εάν η αποκάλυψη των πληροφοριών έχει αρνητικές συνέπειες στις δημοσιογραφικές δραστηριότητες (αποκάλυψη των πηγών, διεξαγωγή έρευνας, κλπ.), ή αν  παραβιάζει τα δικαιώματα τρίτων ή αν επηρεάζει δυσανάλογα την ελευθερία έκφρασης. Σε περίπτωση δε που τα μέσα μαζικής ενημέρωσης αρνηθούν να εκπληρώσουν το αίτημα αυτό, θα πρέπει να καταγράφουν τους λόγους της απόφασης αυτής και να τους κοινοποιήσουν στον ενδιαφερόμενο.
  • Σε περίπτωση που δημοσιευθούν ειδήσεις ή ισχυρισμοί, οι οποίοι στη συνέχεια αποδεικνύονται λανθασμένοι, θα πρέπει να  διορθωθούν  αμέσως με τον κατάλληλο τρόπο από τον συντάκτη. Η διόρθωση που θα δημοσιεύει τα πραγματικά γεγονότα θα πρέπει να αναφέρεται στο εσφαλμένο άρθρο. Σε περίπτωση ηλεκτρονικής (on line)  δημοσίευσης, η διόρθωση θα πρέπει να συνδέεται με το αρχικό περιεχόμενο και να εμπεριέχει αντίστοιχο link (σύνδεσμο). Η οποιαδήποτε διόρθωση, απόσυρση ή απόρριψη θα πρέπει να διατηρείται  μαζί με την πρωτότυπη δημοσίευση για το ίδιο χρονικό διάστημα. Τα μέσα ενημέρωσης θα πρέπει να διαθέτουν αντίστοιχες διαδικασίες για να διασφαλίσουν την απάντηση στο αίτημα άσκησης του δικαιώματος πληροφόρησης και του δικαιώματος διόρθωσης για πριν και μετά τη δημοσίευση.
  • Θα πρέπει να εμποδίζεται εξ’ αρχής η συλλογή προσωπικών δεδομένων που έγινε κατά παράβαση δικαιωμάτων των ενδιαφερόμενων και τα δεδομένα να διαγράφονται από τον συντάκτη.
  • Κάθε ενδιαφερόμενος θα πρέπει έχει τη δυνατότητα να υποβάλει καταγγελία και η προσφυγή του αυτή να είναι αποτελεσματική σε περίπτωση παραβίασης κάποιου δικαιώματός του όσον αφορά την προστασία των προσωπικών του δεδομένων. Παράλληλα, τα επανορθωτικά μέτρα θα πρέπει να είναι αποτελεσματικά στην πράξη και να μην παραμένουν σε θεωρητικό επίπεδο. Τα ενδιαφερόμενα πρόσωπα θα πρέπει να μπορούν να απευθύνονται απευθείας στα καταγγελλόμενα μέσα ενημέρωσης ή σε οριζόμενο από αυτά Υπεύθυνο Προστασίας δεδομένων προτού προσφύγουν στην αρχή προστασίας δεδομένων ή στα δικαστήρια. Θα πρέπει επίσης να έχουν δικαίωμα  αποζημίωσης ανάλογα με την παράβαση και τις συνέπειές της.
  • Θα πρέπει να λαμβάνονται τα κατάλληλα μέτρα ασφαλείας για την προστασία των δεδομένων προσωπικού χαρακτήρα που αποθηκεύονται σε αυτοματοποιημένα αρχεία δεδομένων από καταστροφή ή  απώλεια,  μη εξουσιοδοτημένης πρόσβαση, μετατροπή ή διάδοσης τους.
  • Τα μέσα μαζικής ενημέρωσης πρέπει επίσης να προστατεύουν τις τεχνικές συσκευές (ισχυρή πολιτική κωδικού πρόσβασης, σύνδεση ελέγχους, κρυπτογράφηση, κατάλληλο αντίγραφο ασφαλείας, antivirus και τείχος προστασίας κ.λπ.) που χρησιμοποιούνται μέσα και έξω από τον οργανισμό (USB, smartphones, φορητοί υπολογιστές κ.λπ.). Τα μέσα ενημέρωσης θα πρέπει ταυτόχρονα να υιοθετήσουν μέτρα και πολιτικές ασφάλειας (κλειδαριές, συναγερμοί, περιορισμένη πρόσβαση στις εγκαταστάσεις κ.λπ.). όσον αφορά τη διαχείριση και οργάνωση, για παράδειγμα για τη ρύθμιση των σχέσεων με τους υπεργολάβους που χρησιμοποιούν, να περιορίσουν τον αριθμό των ατόμων που θα μπορούν να έχουν πρόσβαση προσωπικά δεδομένα  και να προβούν σε αυστηρό και σαφή διαχωρισμό δημοσιογραφικών και μη δημοσιογραφικών δραστηριοτήτων.

 

Προσοχή:

Η «απαλλαγή»  του άρθρου 85  περιορίζεται αυστηρά στα συντακτικό και δημοσιογραφικό περιεχόμενο. Η εν λόγω εξαίρεση δεν ισχύει για τις άλλες δραστηριότητες των μέσων μαζικής ενημέρωσης όπως για παράδειγμα όταν επεξεργάζονται προσωπικά δεδομένα για εμπορικούς σκοπούς. Στην τελευταία περίπτωση, τα μέσα μαζικής ενημέρωσης πρέπει να συμμορφώνονται πλήρως με τις απαιτήσεις προστασίας δεδομένων.

 

Βέλτιστες πρακτικές διασφάλισης της συμμόρφωσης

 

  • Ορισμός Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ)
  • Τήρηση αρχείου δραστηριοτήτων επεξεργασίας
  • Κατάρτιση πολιτικής απορρήτου προσωπικών δεδομένων
  • Εσωτερικές πολιτικές για την εξέταση και αντιμετώπιση των επιπτώσεων  από την προστασία των δεδομένων στο πλαίσιο  μιας δημοσιογραφικής δραστηριότητας και σε περιπτώσεις ηθικών διλημμάτων και δυσκολιών·
  • Εσωτερικές πολιτικές για την σύνταξη των απαντήσεων αιτημάτων άσκησης δικαιωμάτων των υποκειμένων, τη διαχείριση παραπόνων, τις περιπτώσεις παραβίασης προσωπικών δεδομένων
  • Διεξαγωγή τακτικών ελέγχων για την τήρηση των μέτρων ασφαλείας
  • Εκπαίδευση των δημοσιογράφων και του προσωπικού της εταιρείας
  • Επανεξέταση συμβάσεων με υπεργολάβους (π.χ φωτογράφους)

 

Αξίζει να σημειωθεί ότι οι ανωτέρω κατευθυντήριες γραμμές δεν εισάγουν νέα πρότυπα και θα είναι ανοικτές για διορθώσεις, ενημερώσεις και προσθήκες.

Επικοινωνία - Νομικοί Σύμβουλοι – PrivacyAdvocate

Πακέτο.. προστίμων

Πόσες φορές έχετε δεχτεί τηλεφωνήματα από εταιρείες κινητής και σταθερής τηλεφωνίας, σε εργάσιμες ή ακατάλληλες ώρες, σχετικά με μία δελεαστική προσφορά που θα αλλάξει την καθημερινότητά σας και θα σας παρέχει νέες, καινοτόμες υπηρεσίες; Έχετε αντιταχθεί σε τέτοιου είδους τηλεφωνικές κλήσεις, χωρίς ωστόσο το παραμικρό αποτέλεσμα; Ήρθε η στιγμή που η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα πήρε -επιτέλους- την κατάσταση στα χέρια της.

Πρόστιμα ύψους 150.000 Ευρώ επιβλήθηκαν από την Αρχή σε κάθε μία από τις εταιρείες Wind, Vodafone, OTE και Cosmote για μη νόμιμες κλήσεις που πραγματοποιήθηκαν σε συνδρομητές (ή και σε μη συνδρομητές) για την προώθηση των προϊόντων τους. Έπειτα από καταγγελίες που δέχτηκε η Αρχή από άτομα που είχα δηλώσει ρητά την εναντίωσή τους σε τέτοιου είδους κλήσεις, διενήργησε εξονυχιστικούς ελέγχους στις εγκαταστάσεις της κάθε εταιρείας αλλά και στις εγκαταστάσεις των συνεργαζόμενων εταιρειών που διατηρούν τα “call-centers” για λογαριασμό των παραπάνω. Διαπιστώθηκε πλήθος παραβάσεων που διαφοροποιούνται ανάλογα με την εταιρεία. Αν εξεταστεί ξεχωριστά η κάθε απόφαση που εκδόθηκε από την Αρχή, παρατηρείται πως η κάθε εταιρεία εφαρμόζει διαφορετικούς τρόπους χειρισμού του δικαιώματος των ατόμων να αντιτάσσονται στη λήψη προωθητικών κλήσεων.

Σύμφωνα με το άρθρο 11 του ν. 3471/2006, οι εταιρείες τηλεπικοινωνιών υποχρεούνται να τηρούν ένα ενημερωμένο μητρώο opt-out στο οποίο θα πρέπει ατελώς να εγγράφεται κάθε άτομο που δεν επιθυμεί να λαμβάνει από εταιρείες κινητής και σταθερής τηλεφωνίας προωθητικές κλήσεις. Το μητρώο αυτό θα πρέπει να παραμένει στη διάθεση κάθε ενδιαφερόμενου προκειμένου να το συμβουλεύεται και να μην προβαίνει σε κλήσεις σε άτομα που δήλωσαν ρητά ότι δεν το επιθυμούν, συμπεριλαμβανομένων των εταιρειών “call-center”, οι οποίες ενεργούν για λογαριασμό των εταιρειών τηλεφωνίας και αποτελούν Εκτελούντα την επεξεργασία. Αντίστοιχα, οι εταιρείες τηλεπικοινωνιών, εφόσον ορίζουν πλήρως τον σκοπό και τα μέσα με τα οποία πραγματοποιείται η επικοινωνία με τον κάθε πελάτη, αποτελούν τον Υπεύθυνο της Επεξεργασίας.

Έπειτα από ελέγχους, η Αρχή διαπίστωσε ότι το εν λόγω μητρώο είτε δεν τηρείται προσηκόντως είτε δεν λαμβάνεται υπόψη από τις εταιρείες που προβαίνουν στις τηλεφωνικές κλήσεις. Πιο αναλυτικά, διαπιστώθηκε πως η εταιρεία Wind είχε πραγματοποιήσει 140.395 μη νόμιμες κλήσεις σε συνδρομητές της που είχαν εγγραφεί στο μητρώο opt-out (απ. 60/2018). Η Vodafone δε, είχε προβεί σε 6.244.854 κλήσεις σε πελάτες της που είχαν εγγραφεί στο μητρώο. Επιπλέον, όταν η εταιρεία “call-center” της Vodafone καλούσε τους πελάτες για τις προωθητικές ενέργειες απέκρυπτε ότι καλούσε εκ μέρους της, με αποτέλεσμα να δημιουργείται σύγχυση από την μεριά των πελατών όσον αφορά την ταυτότητα της εταιρείας που τους καλεί (απ. 61/2018).

Διαφορετική περίπτωση αποτελούν οι εταιρείες ΟΤΕ και η Cosmote (απ. 62 και 63/2018). Το μητρώο opt-out τηρούταν προσηκόντως, ενημερωνόταν συχνά και παράλληλα η εταιρεία “call-center” το συμβουλευόταν με σκοπό να προβεί μόνο στις «νόμιμες» κλήσεις. Πού ανέκυψε όμως το πρόβλημα; Στο γεγονός ότι το μητρώο αυτό τηρούταν μόνο για τους συνδρομητές των εταιρειών και όχι για μη συνδρομητές. Έτσι, συνολικά πραγματοποιήθηκαν 15.794.944 μη νόμιμες κλήσεις σε άτομα που εξ αρχής εναντιώθηκαν στις κλήσεις τέτοιου περιεχομένου. Επιπρόσθετα, οι εν λόγω εταιρείες αποθήκευαν τα στοιχεία των παλαιών τους συνδρομητών με σκοπό την εκ νέου προσέλκυσή τους. Οι εταιρείες αρνήθηκαν ότι παραβιάζεται κάποια διάταξη νόμου και προέβαλαν το επιχείρημα ότι ένας πρώην συνδρομητής έχει την εύλογη προσδοκία να ενημερώνεται από την εταιρεία σχετικά με προσωποποιημένες, ανάλογες µε τις ανάγκες του προσφορές. Επιπλέον, αν και οι εταιρείες υποστήριξαν ότι ορισμένοι συνδρομητές επιθυμούσαν το λεγόμενο “call-back”, η απαιτούμενη από το άρθρο 5 του ν. 3471/2006 συγκατάθεση, δεν μπορεί σε καμία περίπτωση να αποδειχθεί.

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα προχώρησε σε αντιπαραβολή των κλήσεων που πραγματοποιήθηκαν με τα μητρώα opt-out που της είχαν παρασχεθεί από τις εταιρείες και, λαμβάνοντας υπόψη της όλα τα στοιχεία που συγκέντρωσε από τους διενεργούμενους ελέγχους αλλά και τους ισχυρισμούς που πρόβαλε η κάθε εταιρεία, αποφάνθηκε ότι οι κλήσεις αυτές ήταν μη νόμιμες, σύμφωνα με το άρθρο 11 του ν. 3471/2006.

Κατά τις αποφάσεις που εξέδωσε η Αρχή, οι εταιρείες, σε πρώτο στάδιο, βελτίωσαν τα μέτρα που λαμβάνουν για την προστασία των δικαιωμάτων των συνδρομητών τους, έπειτα από τις συστάσεις που έγιναν το 2016 (αποφάσεις 66, 65, 63 και 64/2016). Ωστόσο, αν και είχαν όλο τον απαιτούμενο χρόνο στη διάθεσή τους, ακόμα δεν έχουν ληφθεί όλα τα κατάλληλα τεχνικά μέτρα για την προστασία των υποκειμένων και τη νομιμότητα της δράσης τους. Επέβαλε έτσι σε κάθε εταιρεία πρόστιμο ύψους 150.000 Ευρώ στην κάθε μία, ποσό το οποίο αποτελεί το μέγιστο προβλεπόμενο πρόστιμο με βάση την προ του Γενικού Κανονισμού για την Προστασία των Δεδομένων ΕΕ 679/2016 «GDPR» νομοθεσία, εφόσον οι παραβιάσεις αφορούσαν την περίοδο πριν την έναρξη της εφαρμογής του.

Είναι έκδηλη παρόλα αυτά η διάθεση της Αρχής. Αν αναλογιστεί κανείς ότι με τον Νέο Κανονισμό τα πρόστιμα μπορεί να αγγίξουν τα 20 εκατομμύρια Ευρώ ή ακόμα για τις επιχειρήσεις το 4 % του ετήσιου τζίρου τους, αυτή ίσως είναι η αρχή μίας ανοδικής πορείας προστίμων που θα επιβάλλονται από την Αρχή σε περιπτώσεις παραβιάσεων προσωπικών δεδομένων των υποκειμένων.

Φτάνουμε έτσι στο συμπέρασμα ότι οι εταιρείες χρειάζεται να είναι εξαιρετικά προσεκτικές.  Θα πρέπει να θέτουν σε ισχύ μηχανισμούς που θα προστατεύουν τόσο τα προσωπικά δεδομένα και τα δικαιώματα των πελατών τους, όσο και τις ίδιες, εφόσον επικρέμεται η δαμόκλειος σπάθη των υψηλών προστίμων και, ενδεχομένως, μίας επακόλουθης οικονομικής και επιχειρηματικής καταστροφής.

 

«Γιατί συμφέρει η εξωτερική ανάθεση DPO;»

Ο Γενικός  Κανονισμός Προστασίας Προσωπικών δεδομένων ήρθε για να αλλάξει το τοπίο της προστασίας προσωπικών δεδομένων στην Ε.Ε. και στη χώρα μας.

Ένας από τους βασικότερους θεσμούς που εισάγει είναι αυτός του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ) DPO https://privacyadvocate.gr/ta-kathikonta-dpo/, ο οποίος καλείται να δίνει λύσεις στα φλέγοντα ζητήματα προστασίας της ιδιωτικότητας, παρέχοντας συμβουλές και καθοδήγηση στους  οργανισμούς και τις επιχειρήσεις.

 

Με τον νέο αυτό θεσμό επιτυγχάνεται η αποκέντρωση του ελέγχου της προστασίας δεδομένων και καθίσταται ουσιαστικότερη η εφαρμογή του κανονιστικού πλαισίου της εν λόγω προστασίας.

 

Ποιες εταιρείες υποχρεούνται να προσλάβουν DPO;

 

Ο διορισμός ΥΠΔ είναι υποχρεωτικός από δημόσιες αρχές και φορείς, όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα.

 

 

Χαρακτηριστικά παραδείγματα υποχρεωτικού διορισμού αποτελούν οι ασφαλιστικές εταιρίες και οι τράπεζες, τα νοσοκομεία, όσες επιχειρήσεις επεξεργάζονται προσωπικά δεδομένα για σκοπούς διαφήμισης, οι εταιρίες που παρέχουν τηλεπικοινωνιακές υπηρεσίες, οι φορείς που προβαίνουν σε επεξεργασία δεδομένων για τη διαμόρφωση προφίλ και τη βαθμολόγησή τους για εκτίμηση κινδύνου, όπως και για το σκοπό του εντοπισμού πρακτικών νομιμοποίησης εσόδων, η παρακολούθηση δεδομένων μέσω wearable devices, κοκ.

 

H παραβίαση της υποχρέωσης διορισμού ΥΠΔ επισύρει διοικητικά πρόστιμα (άρθρο 83 παρ. 4 περ. α΄ ΓΚΠΔ) που ανέρχονται έως 10.000.000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

 

O DPO διορίζεται βάσει των επαγγελματικών προσόντων που διαθέτει, αλλά και  της εμπειρογνωσίας του στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39 του ΓΚΠΔ.

Ο DPO μπορεί να είναι είτε εσωτερικός, δηλ. υπάλληλος του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία,  είτε εξωτερικός.

 

 

Ποια είναι όμως η καλύτερη επιλογή για την εταιρεία σας;

 

Αναμφισβήτητα, στην περίπτωση που η εταιρεία  ή ο οργανισμός σας δεν διαθέτει ειδικό τμήμα διαχείρισης ζητημάτων ιδιωτικότητας και προσωπικών δεδομένων, η λύση της εξωτερικής ανάθεσης είναι ιδανική για εσάς.

 

Η εξωτερική ανάθεση είναι πιο αποδοτική καθώς:

  • Από άποψη κόστους, η ευκαιριακή απασχόληση μόνιμου DPO είναι πιο οικονομική λύση, συγκριτικά με την πλήρη.
  • Δεν περιορίζεται αποκλειστικά σε ένα πρόσωπο αλλά μπορεί να περιλαμβάνει μία ομάδα ειδικών συνεργατών της εταιρείας, η οποία συνακόλουθα, σε περίπτωση περιστατικού παραβίασης θα ανταποκριθεί αμεσότερα και με μεγαλύτερη επιτυχία.
  • Οι εξωτερικοί DPOs θα είναι διαθέσιμοι 24/7 χωρίς να προβλέπεται περίοδος διακοπών ή ασθένειας.
  • Δεν θα υπάρχει σύγκρουση συμφερόντων στην εταιρεία. Ο GDPR απαιτεί από τον υπεύθυνο προστασίας δεδομένων να ενεργεί με πλήρη ανεξαρτησία. Οι κατευθυντήριες γραμμές του WP29 συνιστούν ότι, για την αποτροπή ενδεχόμενης σύγκρουσης συμφερόντων, ο DPO “δεν πρέπει να κατέχει θέση που να του επιτρέπει να καθορίζει το σκοπό και τον τρόπο επεξεργασίας των προσωπικών δεδομένων”. Το W29 τονίζει επίσης ότι όσοι κατέχουν ανώτερες διοικητικές θέσεις ή σε θέσεις σε επίπεδο διοίκησης γενικότερα δεν αποτελούν κατάλληλο υποψήφιο υποψήφιοι για τον κρίσιμο ρόλο του DPO.

 

Γιατί να διαλέξετε την Privacy Advocate;

 

  • Επανεξετάζουμε και ελέγχουμε διεξοδικά τις υφιστάμενες πολιτικές της εταιρείας σας και προβαίνουμε σε αναθεώρηση τους.
  • Δημιουργούμε εύχρηστο μητρώο επεξεργασίας δεδομένων προσωπικού χαρακτήρα και φροντίζουμε να το συντηρούμε με τα πλέον κατάλληλα και σύγχρονα τεχνολογικά μέσα.
  • Παρέχουμε συμβουλές σχετικά με την αναγκαιότητα σύνταξης έκθεσης εκτίμησης αντικτύπου για την προστασία των δεδομένων, τον τρόπο εφαρμογής και τα αποτελέσματά της.
  • Σας καθοδηγούμε σχετικά με την παρακολούθηση, τη διαχείριση και την αναφορά των περιστατικών παραβίασης δεδομένων.
  • Συντάσσουμε τις απαντήσεις στα αιτήματα φυσικών προσώπων που ασκούν ένα ή όλα τα δικαιώματά τους (ενημέρωση, πρόσβαση, διόρθωση, διαγραφή, φορητότητα δεδομένων, περιορισμός της επεξεργασίας, αυτοματοποιημένη λήψη αποφάσεων και δημιουργία προφίλ).
  • Λειτουργούμε ως δίαυλος επικοινωνίας μεταξύ της εταιρείας σας και της Aρχής  Προστασίας δεδομένων για όλα τα ζητήματα προστασίας δεδομένων.
  • Ελέγχουμε συστηματικά όλα τα επίπεδα συμμόρφωσης με τον GDPR σε όλα τα τμήματα της εταιρείας σας.
  • Eκπαιδεύουμε τον data protection champion που θα ορίσει η εταιρεία σας.
  • Χρησιμοποιούμε αποτελεσματικά το δίκτυο μας , αποτελώντας πρωτοπόρο σε ζητήματα ενημέρωσης σχετικά με τις εξελίξεις στον τομέα προστασίας προσωπικών δεδομένων
  • Κατανοούμε σε βάθος τον τρόπο που η τεχνολογία, η κοινωνία και φυσικά η αγορά συνδέονται και αλληλεπιδρούν.
  • Χρησιμοποιούμε τα πιο εξελιγμένα file analytics tools.
  • Η Προστασία Δεδομένων απαιτεί γνώση των τρεχουσών επιχειρηματικών πρακτικών. Το τεχνικό μας προσωπικό θα συνεργαστεί με την ομάδα σας για να χαρτογραφήσει τις τρέχουσες διαδικασίες, να τονίσει και να μετριάσει τους κινδύνους και να βελτιώσει την παραγωγικότητα της και την ασφάλεια σε όλα τα επίπεδα.
  • Συνδυάζουμε ρεαλιστικές πρακτικές με βαθιά γνώση των κανονιστικών απαιτήσεων και της αποτελεσματικότητας του ελέγχου ασφάλειας.
  • Η ομάδα μας απαρτίζεται από νομικούς μέλη του IT, PR, Legal/Compliance και Information Security ούτως ώστε να παρέχει αξιόπιστη και εμπεριστατωμένη καθοδήγηση τόσο στα τεχνικά όσο και στα νομικά ζητήματα που ανακύπτουν.
  • Προσδίδουμε ιδιαίτερη αξία στην ασφάλεια και στην πρόληψη. Ήδη η εταιρεία μας εκτελεί έργο DPO για το μεγαλύτερο ποσοστό ιδιωτικών διαγνωστικών κέντρων και κλινικών της Ελλάδας.
  • Διαθέτουμε σύγχρονη, ολοκληρωμένη τεχνολογική υποδομή με εξοπλισμό και λογισμικό τελευταίας τεχνολογίας.

 

 

 

 

 

 

 

 

Top