1
2 Διαχείριση προσωπικών δεδομένων (data governance) υπό το νέο Κανονισμό Ανδριανή Φέρτη, Senior Associate Καρατζά και Συνεργάτες
Εν περιλήψει Ο Γενικός Κανονισμός περί Προστασίας Προσωπικών Δεδομένων (ΓΚΠΠΔ) επιβάλλει την H υποχρέωση εφαρμογής κατάλληλων μέτρων για τεχνικών να μειωθεί και οργανωτικών το ρίσκο παραβίασης μέτρων εκ του ΓΚΠΠΔ και ΓΚΠΠΔ ως μέσο αποσκοπεί απόδειξης στα εξής ότι η διαχείριση προσωπικών δεδομένων αντιμετωπίζεται - Μείωση του ρίσκου παραβίασης του ΓΚΠΠΔ με σοβαρότητα - Αποδεικτικό μέσο ότι η διαχείριση προσωπικών δεδομένων αντιμετωπίζεται με σοβαρότητα Αυτά τα μέτρα περιλαμβάνουν και μέτρα λογοδοσίας στην Αρχή όπως: measures) Εκτίμηση όπως: αντικτύπου ιδιωτικότητας (privacy impact assessment) - Εκτίμηση Ελέγχους αντικτύπου (audits) ιδιωτικότητας (privacy impact assessment) - Ελέγχοι (audits) - Αναθεώρηση Αναθεώρηση πολιτικών πολιτικών (Πιθανό) διορισμό του Υπεύθυνου Προστασίας Δεδομένων (DPO) Τα προαναφερθέντα μέτρα δύνανται να είναι και «μέτρα λογοδοσίας» (accountability - (Πιθανός) διορισμός του Υπεύθυνου Προστασίας Δεδομένων (DPO) Για πολλούς οργανισμούς οι οποίοι δεν είχαν προβεί σε κάτι ανάλογο με βάση το προηγούμενο που δεν είχε προβεί καθεστώς σε κάτι η ανάλογο συμμόρφωση είναι ιδιαιτέρως με αυτά δαπανηρή τα μέτρα και είναι πολύπλοκη ιδιαιτέρως - Είναι όμως και μια χρήσιμη άσκηση δαπανηρή Η διαμόρφωση ενός προγράμματος συμμόρφωσης με τον ΓΚΠΠΔ για έναν οργανισμό 3
Διαχείριση προσωπικών δεδομένων Ο ΓΚΠΠΔ προέβη στη θεσμοθέτηση πολλών εννοιών που αφορούν στη διαχείριση προσωπικών δεδομένων Η πρακτική εφαρμογή αυτών των εννοιών συνεπάγεται πολλαπλές λειτουργικές υποχρεώσεις (και αντίστοιχα κόστη) Οι αρχές χρησιμοποιούσαν πολλές από αυτές τις έννοιες / διαδικασίες (π.χ. εκτίμηση αντικτύπου ιδιωτικότητας) στα πλαίσια εφαρμογής της προηγούμενης νομοθεσίας Τόσο για ιδιωτικούς όσο και για τους δημόσιους οργανισμούς Ο ΓΚΠΠΔ προβλέπει μια γενικότερη υποχρέωση των υπεύθυνων επεξεργασίας Λήψη τεχνικών και οργανωτικών μέτρων προς συμμόρφωση με τον Κανονισμό (αλλά και για να μπορούν να αποδείξουν ότι έχουν συμμορφωθεί) 4
Υποχρεώσεις σχετικά με τη διαχείριση προσωπικών δεδομένων 5 Προστασία των δεδομένων κατά το σχεδιασμό (privacy by design) Εκτίμηση αντικτύπου ιδιωτικότητας (privacy impact assessment PIA) Τήρηση αρχείου δραστηριοτήτων επεξεργασίας Υποχρέωση επιμέλειας σε ό,τι αφορά τους παρόχους υπηρεσιών που χρησιμοποιεί ο υπεύθυνος επεξεργασίας Ορισμός DPO
Privacy by design 6 Εφαρμογή κατάλληλων οργανωτικών και τεχνικών μέτρων (π.χ. ψευδωνυμοποίηση) ήδη από το σχεδιασμό Κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας Κατά τη στιγμή της επεξεργασίας Εφαρμογή κατάλληλων οργανωτικών και τεχνικών μέτρων ούτως ώστε εξ ορισμού να υφίστανται επεξεργασία μόνο τα προσωπικά δεδομένα τα οποία είναι απαραίτητα για το σκοπό της επεξεργασίας Ένδειξη συμμόρφωσης με την υποχρέωση αυτή είναι η συμμόρφωση με εγκεκριμένους μηχανισμούς πιστοποίησης Π.χ. ISO 27001 Θεωρείται όμως ένδειξη και όχι απόδειξη συμμόρφωσης
Privacy Impact Assessment PIA Αφορά την αναγνώριση και την ελαχιστοποίηση των κινδύνων από μη συμμόρφωση Πρέπει να διενεργηθεί πριν από κάθε υψηλού κινδύνου επεξεργασία ιδίως σε περιπτώσεις όπως: Η έννοια προϋπήρχε και πρακτικά εφαρμοζόταν από πολλές εταιρίες, αλλά ο ΓΚΠΠΔ την εισήγαγε και επίσημα ως υποχρέωση Συστηματική και εκτενή αυτοματοποιημένη επεξεργασία όπως profiling και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα Μεγάλης κλίμακας επεξεργασία ευαίσθητων προσωπικών δεδομένων ή δεδομένων από ποινικές καταδίκες και αδικήματα Συστηματική παρακολούθηση δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα Συνύπαρξη άλλων παραγόντων όπως η παρουσία ευάλωτων υποκειμένων (π.χ. ανήλικοι ή εργαζόμενοι), καθημερινές διαβιβάσεις προσωπικών δεδομένων εκτός ΕΕ, επεξεργασία σχεδιασμένη με τέτοιο τρόπο ώστε να αρνείται στο φυσικό πρόσωπο την πρόσβασή του σε κάποια σύμβαση ή υπηρεσία 7
PIA Το PIA περιλαμβάνει κατ ελάχιστον: Αν έχει ορισθεί DPO, είναι απαραίτητο να ζητηθεί η συμβολή του κατά την διενέργεια της εκτίμησης αντικτύπου Δεν υπάρχει προκαθορισμένη μορφή / πρότυπο για PIA Περιγραφή των προβλεπόμενων λειτουργιών επεξεργασίας και των σκοπών της επεξεργασίας Εκτίμηση (α) της ανάγκης και της αναλογικότητας της επεξεργασίας και (β) των κινδύνων που ανακύπτουν για τα υποκείμενα των δεδομένων Έναν κατάλογο με τα μέτρα τα οποία προβλέπονται για να (α) περιοριστούν οι κίνδυνοι αυτοί και (β) προς συμμόρφωση με τον ΓΚΠΠΔ To WP29 έχει ήδη συντάξει διάφορα πρότυπα που είναι διαθέσιμα Επίσης υπάρχουν τα ISO 27001 (Information Security Management Systems), ISO 27005 (Information technology Security techniques Information security risk management) και ISO 31000 (Risk Management) Η σχετική υποχρέωση για PIA γεννάται αφού ο ΓΚΠΠΔ τεθεί σε ισχύ. Είναι όμως απαραίτητη η διενέργεια PIA προκειμένου να ελεγχθεί κατά πόσον πρόκειται για επεξεργασία που ενέχει κινδύνους 8
Αρχείο δραστηριοτήτων επεξεργασίας 9 Υποχρέωση από μέρους του υπεύθυνου επεξεργασίας να τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος Υποχρέωση παρεμφερής με την ισχύουσα υποχρέωση γνωστοποίησης στις αρχές συγκεκριμένων πληροφοριών σχετικά με την εκάστοτε επεξεργασία Το αρχείο περιλαμβάνει μεταξύ άλλων: Περιγραφή των κατηγοριών των δεδομένων που επεξεργάζεται και των υποκειμένων των δεδομένων Περιγραφή των σκοπών της επεξεργασίας Περιγραφή των κατηγοριών των αποδεκτών των δεδομένων Γενική περιγραφή των τεχνικών και οργανωτικών μέτρων που έχει λάβει όπου είναι δυνατόν Οι εκτελούντες την επεξεργασία ενέχουν την ίδια υποχρέωση τήρησης αρχείου Η υποχρέωση δεν ισχύει για επιχειρήσεις / οργανισμούς που απασχολούν λιγότερο από 250 άτομα (εκτός από ειδικές περιπτώσεις)
Επιλογή παρόχων υπηρεσιών σύμφωνη με ΓΚΠΠΔ 10 Ο ΓΚΠΠΔ επιβάλλει στον υπεύθυνο επεξεργασίας υποχρέωση επιμέλειας για την επιλογή εκτελούντων την επεξεργασία Οι τελευταίοι οφείλουν να παρέχουν επαρκείς διαβεβαιώσεις ως προς την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων Θα πρέπει να υπάρχει σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της ΕΕ ή κράτους μέλους η οποία να δεσμεύει τον εκτελούντα και να περιλαμβάνει κατ ελάχιστο: Συγκεκριμένες εντολές όσον αφορά την επεξεργασία και ειδικότερα τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα εκτός ΕΕ Διάρκεια της επεξεργασίας (και ενδεχομένως υποχρέωση διαγραφής των δεδομένων μετά την παρέλευση συγκεκριμένου διαστήματος) Τα πρόσωπα που θα έχουν πρόσβαση στα δεδομένα και τα οποία πρέπει να δεσμεύονται από την τήρηση εμπιστευτικότητας Καθοδήγηση σχετικά με το τι γίνεται σε περίπτωση παραβίασης των δεδομένων και τα τεχνικά και οργανωτικά μέτρα που πρέπει να εφαρμόσει ο εκτελών Η Ευρωπαϊκή Επιτροπή εξετάζει την προώθηση εγκεκριμένων προτύπων όρων για τις συμβάσεις με παρόχους υπηρεσιών αν και πιθανότατα αυτοί οι όροι να είναι επαχθείς για τους τελευταίους
Ορισμός DPO Ο ορισμός DPO είναι υποχρεωτικός μόνο σε συγκεκριμένες περιπτώσεις: Κατά τ άλλα ο ορισμός DPO είναι προαιρετικός και μπορεί ένας οργανισμός / επιχείρηση εθελοντικά να αποφασίσει να διορίσει DPO Δημόσια αρχή ή φορέας Οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας συνιστούν επεξεργασία που απαιτεί την τακτική και συστηματική παρακολούθηση των δεδομένων σε μεγάλη κλίμακα Οι βασικές δραστηριότητες του υπευθύνου συνιστούν μεγάλης κλίμακας επεξεργασία ευαίσθητων προσωπικών δεδομένων ή δεδομένων σχετικών με ποινικές καταδίκες και αδικήματα Περιπτώσεις που προβλέπεται από το δίκαιο κράτους μέλους Τo WP29 προβλέπει ότι αν υπάρχει αμφιβολία σχετικά με τον ορισμό DPO καλύτερα είναι να οριστεί DPO Σε περίπτωση που τελικά δεν ορισθεί DPO, το WP29 προτείνει να υπάρχει εγγράφως το σκεπτικό βάσει του οποίου ο οργανισμός / επιχείρηση κατέληξε στο συμπέρασμα αυτό Αν τελικά δεν ορισθεί DPO ούτε εθελοντικά, προσωπικό ή σύμβουλοι μπορούν να έχουν ανάλογα καθήκοντα, αλλά για αποφυγή οποιασδήποτε σύγχυσης δε θα πρέπει να αποκαλούνται DPO 11
«Βασικές δραστηριότητες» Δραστηριότητες που αποτελούν αναπόσπαστο κομμάτι για την επίτευξη των στόχων του υπευθύνου επεξεργασίας / εκτελούντων την επεξεργασία Παραδείγματα: Εταιρία security που έχει αναλάβει τη φύλαξη και την παρακολούθηση δημοσίου χώρου Νοσοκομείο που επεξεργάζεται τα δεδομένα των ασθενών Εξωτερικός πάροχος υπηρεσιών υγείας που χρησιμοποιεί κάποιος εργοδότης και ο οποίος επεξεργάζεται τα δεδομένα υγείας των εργαζομένων Η επεξεργασία των προσωπικών δεδομένων του προσωπικού είναι επικουρική και δε θεωρείται βασική δραστηριότητα 12
«Τακτική και συστηματική παρακολούθηση» Online tracking / profiling Παραδείγματα: Behavioural advertising και στοχευμένη επικοινωνία με email Profiling και scoring (π.χ. credit scoring, ορισμός premium για ασφάλειες) Location tracking CCTV Επεξεργασία από συνδεδεμένες συσκευές (π.χ. έξυπνα αυτοκίνητα) Δραστηριότητες data-driven marketing 13
«Μεγάλη κλίμακα» 14 Παράγοντες που συνυπολογίζονται είναι π.χ. ο αριθμός των υποκειμένων που μπορεί να επηρεάσει η επεξεργασία και το γεωγραφικό της εύρος Στο μέλλον μπορούν να τεθούν συγκεκριμένα κατώτατα όρια Παραδείγματα: Τράπεζες ή ασφαλιστικές που επεξεργάζονται δεδομένα πελατών τους\ Η επεξεργασία δεδομένων από έναν εξειδικευμένο πάροχο σχετικών με τα δεδομένα χώρου πελατών μεγάλης αλυσίδας fast-food 14
Προσόντα και προϋποθέσεις του DPO 15 Tα προσόντα και οι προϋποθέσεις για τον ορισμό DPO είναι ίδια ανεξαρτήτως αν ο DPO ορισθεί ελέω υποχρέωσης ή εθελοντικά Ο DPO ανεξαρτήτως υπό ποιες προϋποθέσεις έχει ορισθεί είναι υποχρεωμένος (και έχει το δικαίωμα) να εξετάσει όλες τις δραστηριότητες του οργανισμού που περιλαμβάνουν επεξεργασία προσωπικών δεδομένων Μπορεί επίσης ο DPO να είναι και ο υπεύθυνος τήρησης του αρχείου δραστηριοτήτων επεξεργασίας Ο DPO πρέπει να επιλέγεται βάσει επαγγελματικών προσόντων, της εμπειρίας και των γνώσεών του στο σχετικό τομέα και ανάλογα με το αντικείμενο και το σκοπό της επεξεργασίας Κατά κανόνα υπάρχει ένας DPO για κάθε οργανισμό, ο οποίος όμως μπορεί να υποστηρίζεται από μια ομάδα προσώπων, και ο οποίος θα ήταν προτιμότερο να βρίσκεται στην ΕΕ 15
O ρόλος του DPO 16 Ο πρωταρχικός του ρόλος είναι η συμμόρφωση με τον ΓΚΠΠΔ Κατ ελάχιστον τα καθήκοντά του συμπεριλαμβάνουν: Παροχή συμβουλών στους συναδέλφους και παρακολούθηση των δραστηριοτήτων του οργανισμού ούτως ώστε να εξασφαλίζεται η συμμόρφωση με τον ΓΚΠΠΔ Επιμορφωτικά και εκπαιδευτικά σεμινάρια Διενέργεια ελέγχων (audits) Παροχή συμβουλών σχετικά με το PIA Συνεργασία με τις υπεύθυνες αρχές Οι DPO δεν είναι προσωπικά υπεύθυνοι για τη μη συμμόρφωση του οργανισμού με τον ΓΚΠΠΔ H ευθύνη επαφίεται στον οργανισμό τον ίδιο Ο DPO πρέπει να έχει στη διάθεσή του τους απαραίτητους πόρους και να αναφέρεται απευθείας στην ανώτατη διοίκηση
Checklist όσον αφορά τις υποχρεώσεις σχετικές με τη διαχείριση προσωπικών δεδομένων Προβλέψτε στον προϋπολογισμό σας το κόστος συμμόρφωσης με τον ΓΚΠΠΔ και αναθέστε τη συμμόρφωση σε κάποιον / ους υπεύθυνους o Ορίστε ξεκάθαρα αν αυτός στον οποίο έχετε αναθέσει την υποχρέωση συμμόρφωσης θεωρείται DPO ή όχι o Ανεξαρτήτως του ορισμού DPO Με τον ορισμό DPO ανακύπτει θέμα συγκρούσεως συμφερόντων και επίσης η θέση τους προστατεύεται εργασιακά Ορίστε γραμμές αναφοράς στον οργανισμό και την περιγραφή του ρόλου αυτών που ασχολούνται με τη συμμόρφωση με τις υποχρεώσεις του ΓΚΠΠΔ Θέστε σε ισχύ ένα πλήρες πρόγραμμα συμμόρφωσης που να περιλαμβάνει PIA, τακτικούς ελέγχους, αναθεωρήσεις των πολιτικών ανθρώπινου δυναμικού, ενημερώσεις και επιμορφωτικά σεμινάρια Ελέγξτε τις συμφωνίες με τους ήδη υπάρχοντες παρόχους υπηρεσιών και ενημερώστε τα συμβόλαια που έχετε και τα πρότυπα RFP Ελέγξτε την έκδοση Κωδίκων Πρακτικής σχετικά με τους προμηθευτές ή προτύπων όρων για τα συμβόλαια με προμηθευτές που μπορεί να προτείνουν οι Αρχές Εφαρμόστε μέτρα που να επιτρέπουν την τήρηση αρχείου επεξεργασίας προσωπικών δεδομένων 17
www.karatza-partners.gr Καρατζά & Συνεργάτες Δικηγορική Εταιρεία, Κουμπάρη 8, 106 74 Αθήνα Τηλ.: +30 210 3713600, Fax: +30 210 3234363, e-mail: mail@karatza-partners.gr 18