Με το σκάνδαλο σε ΗΠΑ και Μ. Βρετανία για τη χρήση προσωπικών δεδομένων μέσω Διαδικτύου για πολιτική χειραγώγηση να παίρνει διαστάσεις, οι ελληνικές αρχές καλούνται να ανταποκριθούν σε ένα ακόμη εγχείρημα. Πρόκειται για την εφαρμογή του ευρωπαϊκού κανονισμού προστασίας προσωπικών δεδομένων στις ηλεκτρονικές πλατφόρμες (General Data Protection Regulation - GDPR) στις 25 Μαΐου. Ο χρόνος ήδη μετρά αντίστροφα για τα κράτη - μέλη.
Στην Ελλάδα η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ως εποπτεύουσα Αρχή «καλείται να λειτουργήσει σε ένα ταχύτατα εξελισσόμενο τεχνολογικό περιβάλλον, από το οποίο απορρέουν σοβαροί κίνδυνοι για την ιδιωτικότητα», όπως τονίζει χαρακτηριστικά ο πρόεδρός της Κ. Μενουδάκος. Να σημειωθεί, ότι σε περίπτωση που ιδιώτες ή Δημόσιο δεν εφαρμόσουν τον κανονισμό, τα πρόστιμα αγγίζουν ακόμη και τα 20 εκατ. ευρώ.
«Στην εποχή της ασύρματης σύνδεσης με το Διαδίκτυο η συλλογή δεδομένων από τις διάφορες πλατφόρμες γίνεται όλο και πιο εύκολη» υπογραμμίζει ο διδάκτωρ σε θέματα ασφαλούς προσομοίωσης, Ν. Σφυρής επισημαίνοντας ότι «στις ΗΠΑ έχει καταγραφεί πως από τις 100 πλατφόρμες τουλάχιστον οι 70 συλλέγουν δεδομένα».
«Με αυτόν τον τρόπο κάποιος μπορεί να παρακολουθεί το ηλεκτρονικό ίχνος του χρήστη» προσθέτει ο Ν. Σφυρής εξηγώντας: «Μπορεί ο διαχειριστής της διαδικτυακής πλατφόρμας να μην ξέρει ποιος είμαι, ξέρει όμως τι γυρεύω». Κι όπως επισημαίνει «όλα τα στοιχεία μπαίνουν στην Google Analytics και ο καθένας μπορεί να αναλύσει την προτίμηση του χρήστη».
Ανοχύρωτοι στη νέα εποχή
«Στη σύγχρονη εποχή τα προσωπικά δεδομένα της πλειονότητας των πολιτών είναι ανοχύρωτα» αναγνώρισε ο πρόεδρος της Βουλής Ν. Βούτσης μιλώντας χθες σε επετειακή εκδήλωση για τη συμπλήρωση 20 χρόνων από τη λειτουργία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Επισήμανε, μάλιστα, πως το ζητούμενο είναι «ο πολίτης να αισθανθεί ότι γίνονται συγκεκριμένα βήματα για την προστασία των προσωπικών του δεδομένων».
«Η νέα ευρωπαϊκή νομοθεσία επιχειρεί να τιθασεύσει το νέο τεχνολογικό περιβάλλον με σκοπό να αποτρέψει αυτούς τους κινδύνους» υπογράμμισε ο πρόεδρος της Αρχής Κ. Μενουδάκος επισημαίνοντας ότι από το νέο κανονισμό προκύπτει η αναγκαιότητα συνεργασίας με ομόλογες αρχές της Ε.Ε. εντός αυστηρών προθεσμιών. «Με τον νέο κανονισμό ενισχύεται σταδιακά αλλά και ριζικά το νομικό καθεστώς προστασίας δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση» σημείωσε ο υπουργός Δικαιοσύνης Στ. Κοντονής.
Τι είναι το GDPR
Ο νέος κανονισμός (GDPR) σκοπό έχει να ενισχύσει την προστασία των προσωπικών δεδομένων των φυσικών προσώπων. Αφορά όλους τους φορείς δημόσιους και ιδιωτικούς, που διαχειρίζονται, επεξεργάζονται, αποθηκεύουν και διακινούν δεδομένα προσωπικού χαρακτήρα. Ιδίως για τους ιδιωτικούς φορείς αυτοί δεσμεύονται, είτε έχουν έδρα σε χώρα της Ε.Ε. είτε όχι, εφ’ όσον τα δεδομένα αφορούν Ευρωπαίους πολίτες ή σχετίζονται με οποιουδήποτε είδους υπηρεσίες και αγαθά προς τους Ευρωπαίους πολίτες.
Ο νέος κανονισμός θέτει όρια στο πώς και ποια προσωπικά δεδομένα συλλέγονται με σκοπό να είναι μεγαλύτερος ο έλεγχός τους από τα φυσικά πρόσωπα. Προηγείται σαφής συγκατάθεση του φυσικού προσώπου για την επεξεργασία των δεδομένων που δίνει, όπως και το δικαίωμα να μεταφερθούν από πάροχο σε πάροχο χρήσης δεδομένων.
Το φυσικό πρόσωπο έχει το δικαίωμα να ανακαλέσει τη συγκατάθεσή του, να ζητήσει διόρθωσή τους, όπως και τη διαγραφή τους από τις ηλεκτρονικές πλατφόρμες. Επίσης, προβλέπεται και προστασία προσωπικών δεδομένων για ανήλικους για τους οποίους απαιτείται η συγκατάθεση του γονέα.
Ενημέρωση, συμμόρφωση... αλλιώς πρόστιμο
Με τον νέο κανονισμό τίθενται σαφείς περιορισμοί στη μεταφορά δεδομένων σε άλλες χώρες. Για όλα αυτά, ορίζεται πρωτόκολλο ενεργειών σε περίπτωση παραβίασης και εντός 72 ωρών ο διαχειριστής της πλατφόρμας πρέπει να προβεί σε ενέργειες στις οποίες τον καλεί το φυσικό πρόσωπο ή πρέπει να γνωστοποιήσει στο φυσικό πρόσωπο τυχόν διαρροή των προσωπικών του δεδομένων. Σε περίπτωση μη συμμόρφωσης του διαχειριστή της πλατφόρμας το φυσικό πρόσωπο μπορεί να προσφύγει δικαστικά αξιώνοντας αποζημίωση και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα να επιβάλει πρόστιμο που να αγγίζει ακόμη και τα 20 εκατ. ευρώ ή πρόστιμο που να αντιστοιχεί στο 4% του ετήσιου κύκλου εργασιών του παραβάτη.
Κρυπτογραφημένα τα στοιχεία που αποθηκεύονται στους δήμους
Το θέμα απασχολεί και τους δήμους καθ’ όσον έχουν άμεση εμπλοκή στη διαχείριση προσωπικών δεδομένων, αφού τα συλλέγουν για κάθε λειτουργία που αφορά τον δημότη. «Η Τοπική Αυτοδιοίκηση οφείλει να προστατεύσει τα προσωπικά δεδομένα» τόνισε χθες ο πρόεδρος της ΠΕΔΑ Γ. Ιωακειμίδης σε σεμινάριο που διοργάνωσε για την ενημέρωση των στελεχών της αυτοδιοίκησης.
Ενημερώνοντας για τις ενέργειες που πρέπει να ακολουθήσουν οι δήμοι, ο Γ. Βιτσάκης, εκπροσωπώντας την εταιρεία διαχείρισης περιουσίας του Πανεπιστημίου Κρήτης, σημείωσε ότι «τα αποθηκευμένα στοιχεία για λόγους ασφαλείας θα πρέπει να είναι κρυπτογραφημένα, όπως και τα στοιχεία συνδέσεων των υπολογιστών, για αποφευχθεί το ενδεχόμενο υποκλοπής των στοιχείων».
Ο Δήμος Τρικάλων, που έχει κάνει άλματα σε επίπεδο τεχνολογικής υποδομής, έχει ήδη ξεκινήσει τη διαδικασία πιστοποίησης με τον δήμαρχο Δημ. Παπαστεργίου να εκτιμά ότι «στις 25 Μαΐου θα είμαστε έτοιμοι».
«Από την αρχή του έτους έχουμε ξεκινήσει σεμινάρια στους υπαλλήλους για να πιστοποιηθούν ως υπεύθυνοι προστασίας δεδομένων (Data Protection Officer - DPO) σχεδόν σε όλες τις διευθύνσεις του δήμου που διαχειρίζονται προσωπικά δεδομένα» σημειώνει στην «Α» ο Δημ. Παπαστεργίου υπογραμμίζοντας πως «το επόμενο διάστημα θα έχει εναρμονιστεί και το λογισμικό που υποστηρίζει το μηχανογραφικό σύστημα του δήμου προκειμένου να λάβει τη σχετική πιστοποίηση ISO 27001».
Ηλέκτρα Βισκαδουράκη - Αυγή