dpo - PrivacyAdvocate

Καθώς διανύουμε μία περίοδο πρωτοφανούς κρίσης εντός του 2020, όλες οι χώρες έχουν αναγκαστεί να υιοθετήσουν μία σειρά μέτρων προστασίας και πρόληψης από τον ιό COVID-19, με στόχο την όσο το δυνατόν αποτελεσματικότερη μείωση των κρουσμάτων σε καθημερινή βάση. Μεταξύ των μέτρων που έχουν προταθεί από τις κυβερνητικές αρχές, είναι και αυτή της υποχρεωτικής καταγραφής προσωπικών δεδομένων πελατών σε αρχείο, ούτως ώστε να είναι δυνατή μία ενδεχόμενη ιχνηλάτηση κρούσματος του ιού.

Πρόκειται πιο συγκεκριμένα για καταγραφή του ονοματεπωνύμου και των στοιχείων επικοινωνίας (τηλέφωνο επικοινωνίας ή διεύθυνση ηλεκτρονικού ταχυδρομείου) του υποκειμένου των δεδομένων, όπως για παράδειγμα του πελάτη μίας επιχείρησης ή του επισκέπτη μίας δημόσιας υπηρεσίας. Αυτά τα αρχεία προτείνεται να τηρούνται για χρονικό διάστημα ενός μήνα, με σκοπό την παρακολούθηση των στενών επαφών του ασθενούς από τις υγειονομικές αρχές σε περίπτωση που ο τελευταίος ασθενήσει από τον ιό.

Για να κρατήσει κάθε οργανισμός και επιχείρηση τα δεδομένα αυτά ασφαλή, χρειάζεται να έχει λάβει προηγουμένως συγκεκριμένα μέτρα προστασίας. Έτσι, τα παρακάτω βήματα μπορούν να βοηθήσουν κάθε επιχείρηση και οργανισμό να συμμορφωθεί με τα νέα μέτρα, τηρώντας παράλληλα τις απαιτήσεις ασφαλείας που επιβάλει το εθνικό και ευρωπαϊκό πλαίσιο για την προστασία των δεδομένων.

Ελαχιστοποιήστε τον όγκο των δεδομένων που συλλέγετε

Συλλέξτε μόνο τις λεπτομέρειες που πρέπει να παρέχετε στις υγειονομικές αρχές για τον εντοπισμό των επαφών του ασθενούς, όπως για παράδειγμα το όνομα και το τηλέφωνο επικοινωνίας του, την ώρα και την ημερομηνία επαφής του με τον οργανισμό σας. Λάβετε υπόψη σας ότι δεν απαιτείται να ζητήσετε από τους πελάτες ή τους επισκέπτες σας να επαληθεύσουν την ταυτότητά τους.

Να είστε απολύτως σαφείς με τους πελάτες σας σχετικά με το «γιατί» συλλέγετε τα δεδομένα τους

Όλο το προσωπικό της επιχείρησης ή του οργανισμού πρέπει να είναι σε θέση να εξηγήσει με σαφήνεια τον σκοπό αυτής της συλλογής, σε κάθε σημείο της αλληλεπίδρασής σας μαζί τους. Εάν για παράδειγμα χρησιμοποιείτε κάποιο ηλεκτρονικό σύστημα κρατήσεων, θα μπορούσατε να προβάλετε σχετικές πληροφορίες πριν την πραγματοποίηση της κράτησης, ενημερώνοντάς τους ότι ορισμένα από τα στοιχεία τους θα διατηρηθούν με σκοπό την ενδεχόμενη ιχνηλάτηση των επαφών τους.

Αποθηκεύστε αυτές τις πληροφορίες με προσοχή

Δεν χρειάζεται απαραίτητα να χρησιμοποιείτε εξαιρετικά προηγμένη τεχνολογία για την αποθήκευσή τους. Ωστόσο, εάν αποφασίσετε να τις αποθηκεύσετε ηλεκτρονικά, βεβαιωθείτε ότι έχετε προβεί σε ασφαλή αποθήκευσή τους, με περιορισμένη πρόσβαση μέσω κωδικών ασφαλείας από συγκεκριμένο προσωπικό του οργανισμού.

Προσοχή! Οι λίστες με τα στοιχεία των πελατών σας δεν θα πρέπει να είναι ορατές στους υπόλοιπους πελάτες σας, με στόχο την αποφυγή οποιασδήποτε ενδεχόμενης παραβίασης προσωπικών δεδομένων.

Περιορίστε τα δεδομένα μόνο στον σκοπό για τον οποίο συλλέχθηκαν αρχικά

Μην χρησιμοποιείτε αυτά τα δεδομένα για σκοπούς άμεσου μάρκετινγκ ή για να δημιουργήσετε νέες σχέσεις με πελάτες για οποιονδήποτε λόγο. Επίσης, μην αποκαλύπτετε αυτά τα δεδομένα σε τρίτους, με εξαίρεση τις αρμόδιες υγειονομικές αρχές που θα τα αιτηθούν για σκοπούς ανίχνευσης των επαφών τους.

Βεβαιωθείτε ότι διαγράφετε τις πληροφορίες αυτές σε τακτά χρονικά διαστήματα, εφόσον έχει περάσει το νόμιμο υποχρεωτικό διάστημα τήρησής τους.

Η τρέχουσα περίοδος διατήρησης των πληροφοριών αυτών είναι ένας μήνας. Προγραμματίστε την τακτική τους διαγραφή και την καταστροφή τους. Βεβαιωθείτε επίσης ότι τα δεδομένα αυτά απορρίπτονται με ασφάλεια και τεμαχίστε τυχόν φυσικά αρχεία -εφόσον έχετε επιλέξει αυτόν τον τρόπο αποθήκευσής τους. Θυμηθείτε τέλος να τα διαγράψετε τόσο από τον κάδο ανακύκλωσης του υπολογιστή σας όσο και από τυχόν αρχεία cloud τηρείτε ως αντίγραφα ασφαλείας ηλεκτρονικά.

Πηγή: Data Protection Commission

Μία επισκόπηση του 2020 και μία πρόβλεψη για το μέλλον.

Έχουν περάσει πάνω από δύο χρόνια από την εφαρμογή του Γενικού Κανονισμού για την Προστασία των Δεδομένων (ΕΕ) 2016/679 “GDPR”, γεγονός που σίγουρα έχει αλλάξει πολλά, τόσο στις καθημερινές δραστηριότητες των οργανισμών, όσο και στην κουλτούρα των ανθρώπων που εργάζονται σε αυτούς. Καίριο ρόλο στη διαμόρφωση και υιοθέτηση αυτής της στάσης φυσικά έχουν παίξει οι σημαντικές προσπάθειες και κατευθυντήριες γραμμές των Εποπτικών Αρχών της κάθε Ευρωπαϊκής χώρας, παράλληλα με τα υπέρογκα πρόστιμα που έχουν κατά καιρούς επιβληθεί από αυτές.

«Οι ευρωπαϊκοί οργανισμοί πρέπει να επενδύσουν άμεσα στη ανάπτυξη στρατηγικής για τα προσωπικά δεδομένα των φυσικών προσώπων, ιδιαίτερα κατά την εποχή του κορωνοϊού, όταν ο κόσμος, κάνοντας μία τεράστια αλλαγή, στρέφεται στις ψηφιακές πλατφόρμες»

Ορμώμενη από την πραγματικότητα αυτή, μια ομάδα χρηματοοικονομικών αναλυτών από τη Finbold μελέτησε τα πρόστιμα και τις κυρώσεις που έχουν επιβληθεί, μέσω της διαδεδομένης πλέον βάσης δεδομένων “GDPR Enforcement Tracker”. Η μελέτη, η οποία κάλυψε την περίοδο μεταξύ 1ης Ιανουαρίου και 17 Αυγούστου 2020, έδειξε ότι οι ευρωπαϊκοί οργανισμοί πρέπει να επενδύσουν άμεσα στη ανάπτυξη στρατηγικής για τα προσωπικά δεδομένα των φυσικών προσώπων, ιδιαίτερα κατά την εποχή του κορωνοϊού, όταν ο κόσμος, κάνοντας μία τεράστια αλλαγή, στρέφεται στις ψηφιακές πλατφόρμες.

Σύμφωνα με την έρευνα αυτή, διαπιστώθηκε ότι τα κράτη μέλη της ΕΕ και οι χώρες του ΕΟΧ έχουν λάβει συνολικά πρόστιμα ύψους 60,1 εκατ. Ευρώ για παραβιάσεις του GDPR μόνο μέσα στο 2020. Ο πιο συχνός λόγος πίσω από τις παραβιάσεις των δεδομένων; Η ελλιπής ή ανεπαρκής νομική βάση για την επεξεργασία αυτών των δεδομένων, όπως ήταν φυσικό.

Αν θέλουμε να γίνουμε πιο σαφείς σχετικά με τον τοπικό καταμερισμό των προστίμων αυτών, από την έρευνα φαίνεται ότι η Ισπανία βρίσκεται στην πρώτη θέση, με 76 παραβιάσεις μέσα στο 2020, έχοντας λάβει τον υψηλότερο αριθμό συνολικών προστίμων σε ολόκληρη την ΕΕ/ΕΟΧ. Η τελευταία υπόθεση παραβίασης δεδομένων μάλιστα σχετίζεται με το Σοσιαλιστικό Κόμμα της Καταλονίας, το οποίο χρησιμοποίησε τα προσωπικά δεδομένα που του παρείχε ένας επαγγελματίας γιατρός για πολιτικούς σκοπούς. Το πρόστιμο ανήλθε στα 5.000 Ευρώ.

Η Ελλάδα βρίσκεται στην 13^ηθέση αυτής της λίστας, καθώς η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.) έχει επιβάλει συνολικά 4 πρόστιμα, τα οποία όμως ανέρχονται συνολικά στο ποσό των 33.000 Ευρώ.

Αναφορικά με το συνολικό ύψος των προστίμων, στους πρωτοπόρους βρίσκεται μία άλλη μεσογειακή χώρα, η Ιταλία, έχοντας επιβάλει πρόστιμα που ανέρχονται στα 45,6 εκατομμύρια ευρώ στο σύνολό τους. Η εταιρεία τηλεπικοινωνιών “TIM” αποτέλεσε τον χειρότερο παραβάτη του GDPR, αφού για πολλαπλές παραβιάσεις διατάχθηκε να πληρώσει 27 εκατομμύρια Ευρώ.

Η Κύπρος από την άλλη φαίνεται να έχει λάβει σοβαρά υπόψη τον GDPR, αφού μέσα στο 2020 έχουν επιβληθεί μόλις 2 πρόστιμα ύψους 10.000 Ευρώ. Ωστόσο, όπως αναφέρει στην επίσημη ανακοίνωσή της η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Κύπρου, πρόκειται να ξεκινήσει τη διενέργεια μαζικών ελέγχων σε ιδιωτικές επιχειρήσεις ανά τομέα δραστηριότητας. «Κύριος σκοπός των ελέγχων αυτών, είναι η αξιολόγηση του επιπέδου συμμόρφωσης των επιχειρήσεων αυτών με τον GDPR, ενώ επιμέρους σκοπούς αποτελούν η αξιολόγηση των πρακτικών που υιοθετούνται και η καταγραφή των διαδικασιών που εφαρμόζονται».

Οι έλεγχοι αυτοί θα εντάσσονται στο γενικότερο πλαίσιο ελέγχου συμμόρφωσης ορισμένων κλάδων του ιδιωτικού τομέα με τον GDPR, ενώ θα αφορούν μικρομεσαίες επιχειρήσεις στην Κύπρο, οι οποίες καταλαμβάνουν ένα σημαντικό ποσοστό της οικονομικής δραστηριότητας του τόπου.

Είναι έτσι περισσότερο από φανερό ότι προτεραιότητα της Ευρωπαϊκής Ένωσης αποτελεί ο σχηματισμός μίας κατάλληλης για την ψηφιακή εποχή Ευρώπης. Για την επίτευξη του σκοπού αυτού όλες οι αρχές προστασίας δεδομένων παραμένουν σε εγρήγορση και είναι σίγουρο ότι πρόκειται να διεξάγουν συνεχώς ελέγχους συμμόρφωσης, ούτως ώστε τα προσωπικά δεδομένα των φυσικών προσώπων να παραμένουν ασφαλή και διασφαλισμένα από παραβιάσεις στην σύγχρονη και συνεχώς εξελισσόμενη τεχνολογικά εποχή.