Τις ενέργειες που πρέπει να κάνουν οι ΟΤΑ (δήμοι και περιφέρειες) προκειμένου να προσαρμοστούν στο Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ) ή General Data Protection Regulation (GDPR) της Ευρωπαϊκής Ένωσης (ΕΕ) που ισχύει από τις 25/5/2018, εξηγεί σε συνέντευξή της η κ. Γεωργία Λειβαδάρου, γενική διευθύντρια του Διαβαλκανικού Κέντρου Επιχειρηματικής Ανάπτυξης.
Όπως τονίζει, «οι δήμοι, μαζί με τα νομικά τους πρόσωπα οφείλουν αρχικά να κατανοήσουν την ανάγκη προσαρμογής στα δεδομένα του νέου ΓΚΠΔ και να μπουν σε διαδικασία να συμμορφωθούν, με τρόπο που θα διατηρεί τη λειτουργικότητά τους, αλλά και θα διασφαλίζει την ικανοποίηση των νέων, αυξημένων, υποχρεώσεων του ΓΚΠΔ».
Αναλυτικά η συνέντευξη της κ. Γεωργίας Λειβαδάρου στην aftodioikisi.gr:
Αφορά τους ΟΤΑ ο νέος Γενικός Κανονισμός για τα Προσωπικά Δεδομένα;
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) της Ευρωπαϊκής Ένωσης (ΕΕ) 2016/679, ρυθμίζει την επεξεργασία από άτομο, εταιρεία ή οργανισμό των δεδομένων προσωπικού χαρακτήρα που αφορούν άτομα στην ΕΕ. Υπό αυτή την έννοια το σύνολο των οργανισμών της Τοπικής Αυτοδιοίκησης, δήμοι, περιφέρειες, αλλά και τα νομικά τους πρόσωπα υπάγονται στο καθεστώς του Γενικού Κανονισμού.
Tι σημαίνει αυτό πρακτικά για τους δήμους;
Αυτό σημαίνει ότι και οι δήμοι, όπως το σύνολο των φορέων του δημόσιου και ιδιωτικού τομέα οφείλουν να προστατεύουν τα προσωπικά δεδομένα και να διαμορφώνουν κατάλληλες διαδικασίες και πολιτικές, ώστε τα υποκείμενα των δεδομένων, δηλαδή οι πολίτες να μπορούν να ασκήσουν τα δικαιώματά τους, όπως αυτά προβλέπονται από τον ΓΚΠΔ.
Το γεγονός ότι πολλές από τις αρμοδιότητες των δήμων προβλέπονται λόγω νόμιμων υποχρεώσεων δεν απαλλάσσει τους δήμους και τα νομικά τους πρόσωπα από την ευθύνη της λήψης των κατάλληλων οργανωτικών, νομικών και τεχνικών μέτρων προστασίας των δεδομένων. Και όταν λέμε προστασία εννοούμε κάθε ενέργεια με αυτοματοποιημένα ή μη μέσα που περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα.
Τι πρέπει να αλλάξουν οι δήμοι για να προσαρμοστούν;
Ο δήμοι, όπως και οι περισσότεροι δημόσιοι φορείς της χώρας δεν έχουν προσαρμοστεί ακόμη με το καθεστώς του ΓΚΠΔ. Δηλαδή, δεν έχουν δημιουργήσει ή αναπροσαρμόσει διαδικασίες και πολιτική προστασίας, ώστε να διασφαλίσουν τη λειτουργία τους με τον προβλεπόμενο τρόπο και με τη μεγαλύτερη δυνατή ελαχιστοποίηση του κινδύνου παραβίασης των δεδομένων που επεξεργάζονται. Και αυτό έχει σημασία, αφενός διότι η παραβίαση μπορεί να οδηγήσει σε υψηλά πρόστιμα και αφετέρου, ίσως και κυριότερα, γιατί στο πλαίσιο της λειτουργίας των δήμων, τίθεται ουσιαστικό ζήτημα διατήρησης των σχέσεων εμπιστοσύνης με τους πολίτες στη βάση της καθημερινής συναλλαγής και επικοινωνίας. Σκεφτείτε, ότι δήμοι και δημοτικές επιχειρήσεις διαχειρίζονται ένα τεράστιο εύρος προσωπικών δεδομένων, από τα απλά όπως το ονοματεπώνυμο, διεύθυνση, ΑΦΜ κλπ, όσο και ευαίσθητα, όπως δεδομένα υγείας και πρόνοιας, ακόμη και τα δεδομένα παιδιών.
Άρα, τι πρέπει να κάνουν με βάση τις επιταγές του ΓΚΠΔ;
Οι δήμοι, μαζί με τα νομικά τους πρόσωπα οφείλουν αρχικά να κατανοήσουν την ανάγκη προσαρμογής στα δεδομένα του νέου ΓΚΠΔ και να μπουν σε διαδικασία να συμμορφωθούν, με τρόπο που θα διατηρεί τη λειτουργικότητά τους, αλλά και θα διασφαλίζει την ικανοποίηση των νέων, αυξημένων, υποχρεώσεων του ΓΚΠΔ. Αυτό θα συμβεί αρχικά, με το να αναγνωρίσουν τα προσωπικά δεδομένα και τις ενέργειες επεξεργασίας στις υπηρεσίες τους, ώστε να αποτυπώσουν την πραγματική κατάσταση σε μία, εν πολλοίς, αχαρτογράφητη διαδικασία. Αυτός ο «χάρτης» θα δώσει τη δυνατότητα στη συνέχεια, να εντοπίσουν τα κενά στην προστασία, τόσο στο επίπεδο των διαδικασιών, εντύπων, πολιτικών όσο και στα πληροφοριακά συστήματα που διαχειρίζονται, ώστε να λάβουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα για να οχυρώσουν τα δεδομένα που διατηρούν.
Ανάμεσα στις απαιτήσεις του νέου ΓΚΠΔ είναι ο εντοπισμός της νόμιμης βάσης επεξεργασίας των προσωπικών δεδομένων, η σαφής συγκατάθεση του υποκειμένου όπου αυτή κρίνεται αναγκαία, η εύκολη πρόσβαση, η δυνατότητα άσκησης δικαιωμάτων, όπως αυτά της πρόσβασης, διόρθωσης, διαγραφής, το δικαίωμα στον περιορισμό της επεξεργασίας, όπου είναι επιτρεπτό καθώς και το δικαίωμα στην εναντίωση.
Και η ευθύνη των δήμων, ως υπεύθυνων επεξεργασίας, είναι αυξημένη αφού για το σύνολο των διαδικασιών και καθηκόντων που δρομολογούνται, είναι υπεύθυνοι να αποδεικνύουν ανά πάσα στιγμή τη συμμόρφωση με τις επιταγές του ΓΚΠΔ.
Πρέπει οι δήμοι να ορίσουν Υπεύθυνο Προστασίας Δεδομένων;
Ο ΓΚΠΔ ορίζει ότι ο ορισμός του ΥΠΔ είναι υποχρεωτικός όταν «η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας (αρθ. 37 ΓΚΠΔ)». Υπό αυτή την έννοια οι δήμοι οφείλουν να αναθέσουν καθήκοντα ΥΠΔ, ώστε να πληρούνται οι διατάξεις του Κανονισμού. Ο ΥΠΔ ουσιαστικά είναι αυτός που θα αναλάβει την τήρηση της συμμόρφωσης και της πολιτικής προστασίας που θα διαμορφωθεί σε κάθε δήμο, ή νομικό πρόσωπο ΟΤΑ, θα αποτελεί το «δίαυλο επικοινωνίας» με την εποπτική αρχή, που είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, θα συμβουλεύει τον Υπεύθυνο Επεξεργασίας, δηλαδή το δήμο, θα καθορίζει τις ανάγκες εκπαίδευσης του προσωπικού και θα καθοδηγεί κατάλληλα σε περίπτωση παραβίασης, κυρίως ως προς της υποχρέωση ενημέρωσης της εποπτικής αρχής εντός 72 ωρών.
Θα υπάρξει περίοδος προσαρμογής στο ΓΚΠΔ για όσους δεν έχουν προσαρμοστεί παρόλο που έχει τεθεί σε εφαρμογή;
Παρότι, σε κάποια κράτη-μέλη της ΕΕ αντιμετωπίζονται δυσκολίες ως προς την συμμόρφωση στο νέο ΓΚΠΔ, δεν έχει προβλεφθεί περίοδος «παράτασης» εφαρμογής ή ανοχής. Αυτή είναι μία συνειδητή επιλογή από την πλευρά των αρμόδιων οργάνων της ΕΕ, ωστόσο δεν πρέπει να παραβλέπουμε ότι πρόκειται για την σημαντικότερη νομοθετική παρέμβαση στο χώρο των προσωπικών δεδομένων τα τελευταία 20 χρόνια, οπότε η πρώτη περίοδος είναι, ουσιαστικά, περίοδος προσαρμογής.