H Συμπαραστάτης του Δημότη και της Επιχείρησης του Δήμου Κοζάνης, Τσιομπάνου Αικατερίνη, Δικηγόρος, για το Νέο Ευρωπαϊκό Κανονισμό 679/2016 σχετικά με την «προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ.»
Ο Νέος Ευρωπαϊκός Κανονισμός 679/2016 σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα ψηφίστηκε στις 27 Απριλίου 2016 και θα εφαρμοστεί σ’ όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης από τις 25 Μαΐου 2018. Ο Ευρωπαίος Νομοθέτης μετέθεσε την ημερομηνία εφαρμογής του κανονισμού, προκειμένου να έχουν τον χρόνο οι υπεύθυνοι επεξεργασίας να προσαρμοστούν στις απαιτήσεις του.
Η ενασχόληση του Συμπαραστάτη του Δημότη και της Επιχείρησης του Δήμου Κοζάνης με αυτό το θέμα έγινε κάτω από το πρίσμα τόσο της προστασίας των προσωπικών δεδομένων των δημοτών, όσο δε και της εξασφάλισης της νόμιμης λειτουργίας του Δήμου στο θέμα της συλλογής, επεξεργασίας και διακίνησης των προσωπικών δεδομένων που χειρίζεται. Είναι αναγκαίο να γίνει ένας διαχωρισμός των επιχειρήσεων και των φορέων που υποχρεούνται να προσαρμοστούν στις διατάξεις του νέου Κανονισμού και να καταγραφούν τα απαιτούμενα βήματα που πρέπει αυτές να ακολουθήσουν.
Δυνάμει του άρθρου 4 παρ. 7 του Κανονισμού υπεύθυνοι επεξεργασίας είναι : « το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για το διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους ».
Ο κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας και άρα χωρίς σύνδεση με κάποια επαγγελματική ή εμπορική δραστηριότητα.
Δεν εφαρμόζεται στα δεδομένα προσωπικού χαρακτήρα θανόντων.
Δυνάμει δε του άρθρου 4 παρ. 2 επεξεργασία είναι : « κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή ».
Το πιο σημαντικό είναι να αποφανθεί κάποιος εάν μία επιχείρηση ή ένας φορέας πρέπει να προσαρμοστεί στις διατάξεις του Νέου Κανονισμού. Ο Κανονισμός αφορά όλες τις ιδιωτικές επιχειρήσεις και τις δημόσιες αρχές που διαχειρίζονται προσωπικά δεδομένα εργαζομένων, πελατών, συνεργατών και άλλων φυσικών προσώπων.
Τα πρώτα βασικά βήματα που πρέπει να κάνει η επιχείρηση, ο φορέας ή ο οργανισμός που διενεργεί πράξεις επεξεργασίας συνοπτικά είναι :
- Μελέτη του κανονισμού για να διαπιστωθούν οι υποχρεώσεις των υπεύθυνων επεξεργασίας, τα δικαιώματα των υποκειμένων και οι αλλαγές που επέρχονται στον τομέα της προστασίας των προσωπικών δεδομένων.
- Εύρεση των διατάξεων του Κανονισμού που χρήζουν εφαρμογής στη συγκεκριμένη επιχείρηση, όταν ενεργεί ως υπεύθυνος επεξεργασίας. Στα δύο αυτά στάδια κρίνεται απαραίτητη η συνδρομή ενός νομικού προκειμένου να εντοπίσει τις υποχρεώσεις της επιχείρησης ή του φορέα.
- Καταγραφή των διαδικασιών που διενεργεί η εκάστοτε επιχείρηση ή φορέας. Στην περίπτωση που η επιχείρηση ή ο φορέας έχει περισσότερα τμήματα που επεξεργάζονται προσωπικά δεδομένα, πρέπει να γίνει καταγραφή των πράξεων επεξεργασίας του κάθε τμήματος. Για παράδειγμα, υπάρχουν επιχειρήσεις που διαθέτουν τμήμα προσωπικού και τμήμα λογιστηρίου, τα οποία ενεργούν διαφορετικές πράξεις επεξεργασίας προσωπικών δεδομένων.
- Τήρηση μητρώου πράξεων επεξεργασίας. Υπάρχει υποχρέωση δημιουργίας ενός αρχείου-μητρώου, όπου θα καταχωρούνται όλες οι πράξεις επεξεργασίας, δηλαδή το κάθε τμήμα θα καταχωρεί σ’ αυτό την κάθε πράξη επεξεργασίας που διενεργεί, όπως τη χορήγηση αντιγράφων σε τρίτο ή τη διαβίβαση φακέλου σε άλλο τμήμα. Ο Κανονισμός εξαιρεί από την υποχρέωση αυτή κάθε επιχείρηση η οποία απασχολεί λιγότερους από 250 εργαζόμενους.
- Κατάρτιση της Πολιτικής Ασφαλείας που θα ακολουθεί η εκάστοτε επιχείρηση ή ο φορέας. Εκεί θα καταγράφονται οι στόχοι της ασφάλειας και οι διαδικασίες, που πρέπει να ακολουθηθούν προκειμένου να επιτευχθούν αυτοί οι στόχοι. Στην ουσία πρόκειται για την καταγραφή του σχεδίου ασφαλείας της επιχείρησης ή του φορέα, στο οποίο θα περιγράφεται η υφιστάμενη κατάσταση, τα αγαθά (υλικό, λογισμικό, μηχανήματα), οι εργαζόμενοι που χειρίζονται το κάθε μηχάνημα, κανόνες για το σύνολο των εμπλεκομένων, διαδικασίες ελέγχου, επισκόπησης και αναθεώρησης του.
- Ανακοίνωση νομικής μορφής. Πρόκειται για την ενημέρωση νομικής φύσεως των υποκειμένων προσωπικών δεδομένων. Κάθε φορά που ο υπεύθυνος επεξεργασίας συλλέγει προσωπικά δεδομένα, πρέπει να ενημερώνει το υποκείμενο-φυσικό πρόσωπο για τον λόγο συλλογής τους, τη χρονική διάρκεια διατήρησής τους, τον τρόπο επεξεργασίας τους, τα στοιχεία του υπεύθυνου επεξεργασίας, καθώς και για το σύνολο των δικαιωμάτων του, δηλαδή το δικαίωμα ενημέρωσης, το δικαίωμα διόρθωσης δεδομένων, το δικαίωμα της διαγραφής δεδομένων, το δικαίωμα της ανάκλησης της δοθείσας συναίνεσης, όπου αυτό επιτρέπεται, το δικαίωμα της καταγγελίας στην εποπτική αρχή και την τυχόν διάρκεια της διατήρησης των προσωπικών δεδομένων.
- Απόκτηση εκσυγχρονισμένων τεχνικών μέσων για να διασφαλιστεί η συμμόρφωση της επιχείρησης ή του φορέα με την ασφάλεια των προσωπικών δεδομένων που χειρίζεται. Κάθε υπεύθυνος επεξεργασίας πρέπει να φροντίζει να είναι ασφαλή τα προσωπικά δεδομένα που χειρίζεται. Αυτό μπορεί να επιτευχθεί με τη δημιουργία αντιγράφων ασφαλείας, την τοποθέτηση συστημάτων αντιμετώπισης ιών, την τοποθέτηση συνθηματικών και μηχανισμών καταγραφής συμβάντων και περιστατικών ή προσπαθειών παραβίασης της ασφάλειας του Πληροφοριακού Συστήματος Πιστοποίησης Διαδικασιών.
- Κατάρτιση κώδικα δεοντολογίας που περιέχει κανόνες αυτοδέσμευσης της επιχείρησης ή του φορέα, προκειμένου να γνωρίζει το προσωπικό τους κανόνες, που οφείλουν να ακολουθούν και το πως πρέπει να συμπεριφέρονται κατά τη συλλογή-επεξεργασία των προσωπικών δεδομένων.
- Σχέδιο έκτακτης ανάγκης. Είναι η μελέτη και η ανάλυση των ενεργειών που θα ακολουθηθούν, οι ρόλοι που έχει ο κάθε εργαζόμενος, προκειμένου να αντιμετωπιστεί μια κατάσταση έκτακτης ανάγκης ανάλογα από τον κίνδυνο. Καταγράφει τους πιθανούς κινδύνους, τα κριτήρια με τα οποία μία κατάσταση κρίνεται ως έκτακτη και σαφείς διαδικασίες που θέτουν την επιχείρηση σε έκτακτη ανάγκη και την τυχόν ανάκληση του σχεδίου έκτακτης ανάγκης. Κίνδυνοι μπορεί να είναι είτε μια φυσική καταστροφή, είτε μία εξωτερική επίθεση από ιούς.
- Διενέργεια Εκτίμησης Αντίκτυπου σχετικά με την προστασία δεδομένων. Η εκτίμηση αντίκτυπου επιβάλλεται μόνο όταν η επεξεργασία προσωπικών δεδομένων ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Περιέχει μια καταγραφή των πράξεων επεξεργασίας και αξιολόγηση της αναγκαιότητας και της αναλογικότητας των στοιχείων που συλλέγονται και επεξεργάζονται, καθώς και τα προβλεπόμενα μέτρα ασφαλείας.
- Διορισμό υπεύθυνου προστασίας δεδομένων. Ο Νέος Ευρωπαϊκός Κανονισμός ορίζει ότι ο διορισμός υπεύθυνου προστασίας είναι υποχρεωτικός στην περίπτωση που η επεξεργασία γίνεται από δημόσια αρχή ή όταν οι βασικές δραστηριότητες του υπεύθυνου επεξεργασίας συνιστούν πράξεις επεξεργασίας που απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων ή όταν οι βασικές δραστηριότητες συνιστούν μεγάλης κλίμακας επεξεργασίες ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα. Ο υπεύθυνος προστασίας δεδομένων είναι το πρόσωπο κλειδί που επιμελείται τη νομιμότητα της συλλογής και επεξεργασίας των προσωπικών δεδομένων που συλλέγει η επιχείρηση ή ο φορέας. Είναι επιφορτισμένος με το έργο της ενημέρωσης, παρακολούθησης και της παροχής κατευθύνσεων προς τον υπεύθυνο επεξεργασίας κατά τη διενέργεια των πράξεων επεξεργασίας προσωπικών δεδομένων. Συνεργάζεται με την εποπτική αρχή και ενεργεί ως σημείο επικοινωνίας της. Το απαιτούμενο προσόν του υπεύθυνου επεξεργασίας είναι η γνώση του ευρωπαϊκού και εθνικού νομοθετικού πλαισίου και των σχετικών πρακτικών προστασίας σε σχέση με τα προσωπικά δεδομένα.
Για περαιτέρω πληροφορίες μπορείτε να παρακολουθήσετε μέσα από την ακόλουθη διεύθυνση : https://www.youtube.com/watch?v=U_kXGs9gUqo την εκδήλωση που διενήργησε ο Δήμος Κοζάνης με θέμα το νέο κανονισμό και τον Υπεύθυνο Προστασίας Δεδομένων.
Κοζάνη 21 Φεβρουαρίου 2018
H Συμπαραστάτης του Δημότη και της Επιχείρησης
Τσιομπάνου Αικατερίνη