Απολογιστικό δελτίο Τύπου - Ημέρα Προστασίας Δεδομένων 28/1/2022

Κατηγορία
Δελτίο Τύπου
Ημερομηνία
Αριθμός Πρωτοκόλλου
284

Διαδικτυακή Ημερίδα της Αρχής:

Βασικά σημεία ομιλιών - παρουσιάσεων

H Επιτροπή Υπουργών του Συμβουλίου της Ευρώπης έχει καθιερώσει, από το 2006, την 28η Ιανουαρίου ως Ημέρα Προστασίας Δεδομένων. Mε αφορμή τον εορτασμό της 16ης Ημέρας Προστασίας Δεδομένων, η Αρχή πραγματοποίησε την Παρασκευή 28 Ιανουαρίου με ιδιαίτερη επιτυχία διαδικτυακή ενημερωτική ημερίδα.

Α’ Μέρος

Στην εισαγωγική ομιλία του Α’ μέρους της εκδήλωσης με θέμα «Επίκαιρα ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα», ο Πρόεδρος της Αρχής και επίτιμος Πρόεδρος ΣτΕ, Κωνσταντίνος Μενουδάκος, σημείωσε, μεταξύ άλλων, τα εξής:

  • «Ο Γενικός Kανονισμός Προστασίας Δεδομένων δεν αποτελεί μόνο ένα νέο νομοθετικό πλαίσιο αλλά επιδιώκει να οικοδομήσει σταδιακά και μια νέα κουλτούρα ευθύνης και συμμόρφωσης. Υπό αυτή την έννοια, η αποτελεσματικότητά του δεν θα πρέπει να αξιολογείται μόνο με βάση τον αριθμό και το ύψος των προστίμων που επιβάλλονται, αλλά κυρίως με την αλλαγή νοοτροπίας και συμπεριφοράς όλων των εμπλεκομένων. Αυτό που έχει, σε γενικές γραμμές, καταστεί σαφές στην τέταρτη χρονιά από την έναρξη εφαρμογής του είναι ότι, σε έναν κόσμο που αλλάζει, η συμμόρφωση με τους νέους κανόνες είναι μια δυναμική διαδικασία, για την οποία απαιτείται διαρκής και συστηματική προσπάθεια».
  • «Η σημασία του Kανονισμού ήταν και είναι ορατή σε όλη την περίοδο της πανδημίας. Το 2021 ήταν μια χρονιά με ανατροπές και εναλλαγές επιβολής, άρσης και επανεπιβολής περιορισμών λόγω των νέων μεταλλάξεων και της επιδείνωσης της επιδημιολογικής κατάστασης. Είδαμε, επίσης, τεχνολογικές εφαρμογές να αξιοποιούνται ολοένα και περισσότερο για να υποβοηθήσουν τα μέτρα ανάσχεσης της διάδοσης του κορωνοϊού. Δεν πρέπει να παραβλέπεται, ωστόσο, ότι οι περιορισμοί και τα μέτρα αυτά είναι θεμιτά μόνο αν το περιεχόμενό τους και η διάρκεια εφαρμογής τους αντιστοιχούν στην ανάγκη να αντιμετωπιστεί η απειλή για τη δημόσια υγεία. Κάθε μέτρο που λαμβάνεται και συνεπάγεται την επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να είναι αναγκαίο και αναλογικό. Αυτό, εξάλλου, επεσήμαναν και εντός του 2021 οι αρχές προστασίας δεδομένων της ΕΕ μέσω της κοινής γνωμοδότησης EDPB και ΕDPS (4/2021) σχετικά με την πρόταση Κανονισμού της Ευρωπαϊκής Επιτροπής για τη θέσπιση του ευρωπαϊκού ψηφιακού πιστοποιητικού COVID, το οποίο κρίθηκε καταρχήν συμβατό με τους κανόνες προστασίας των προσωπικών δεδομένων και άρχισε να εφαρμόζεται από την 1/7/2021».
  • «Στις προτεραιότητες της Αρχής για το 2022 είναι να διαθέσει μεγαλύτερο μέρος της δραστηριότητάς της στην αυτεπάγγελτη δράση και ιδιαίτερα στο ελεγκτικό έργο και τις πρωτοβουλίες ενημέρωσης – ευαισθητοποίησης ιδίως των παιδιών, καθώς και στην ανάλυση νέων τεχνολογιών και επιχειρηματικών μοντέλων από την οπτική της προστασίας δεδομένων και τη συμβολή σε ερευνητικές προσπάθειες στον τομέα της προστασίας δεδομένων και ασφάλειας πληροφοριών. […] Eίναι μεγάλες οι προσδοκίες της κοινωνίας και των πολιτών από την Αρχή στη σημερινή εποχή κατά την οποία η ιδιωτικότητα είναι εκτεθειμένη σε ποικίλους κινδύνους. H Αρχή έχει χρέος να ανταποκριθεί στις προσδοκίες τους. Για τον σκοπό αυτόν τα αρμόδια όργανα της Πολιτείας πρέπει να εξασφαλίζουν ότι έχει τα αναγκαία μέσα, άλλωστε και με τις προαναφερθείσες σχετικές προβλέψεις του Κανονισμού. Τα υπόλοιπα είναι δική μας ευθύνη και χρέος».

Στη συνέχεια ο Κωνσταντίνος Λαμπρινουδάκης, καθηγητής τμήματος Ψηφιακών Συστημάτων Πανεπιστημίου Πειραιά, τακτικό Μέλος της Αρχής, στην παρουσίασή του με τίτλο «Επεξεργασία Προσωπικών Δεδομένων στο Πλαίσιο Εφαρμογών Ιχνηλάτησης Επαφών» τόνισε μεταξύ άλλων:

  • «Η πανδημία του κορωνοϊού (COVID-19) έχει αναγκάσει τις κυβερνήσεις και τους φορείς υγείας να εφαρμόζουν προληπτικά μέτρα, μεταξύ των οποίων πληροφοριακά συστήματα ή/και εφαρμογές, καθώς και νέους τρόπους εργασίας και εκπαίδευσης, που αποσκοπούν στην αντιμετώπισή της και τον περιορισμό της εξάπλωσης. Ενδεικτικά μπορούμε να αναφέρουμε τις εφαρμογές ινχνηλάτησης, τη στατιστική ανάλυση κρουσμάτων/νοσούντων, τις δηλώσεις self-test, τη χρήση των πιστοποιητικών εμβολιασμού/νόσησης για πρόσβαση σε χώρους και συμμετοχή σε δραστηριότητες, την τηλεκπαίδευση, την τηλεργασία κ.λπ. Σε όλες τις περιπτώσεις απαιτείται η επεξεργασία προσωπικών δεδομένων μεταξύ των οποίων και δεδομένων υγείας και τοποθεσίας. H εφαρμογή του νομικού πλαισίου για την προστασία των δεδομένων προσωπικού χαρακτήρα δεν συνιστά εμπόδιο στη λήψη των αναγκαίων μέτρων αντιμετώπισης του κορωνοϊού. Αντιθέτως, παρέχονται οι νομικές βάσεις για την αναγκαία επεξεργασία, με την επιφύλαξη ότι τηρούνται οι βασικές αρχές και εξασφαλίζονται οι σχετικές ουσιαστικές και διαδικαστικές εγγυήσεις και προϋποθέσεις σύννομης επεξεργασίας».

Το πρώτο μέρος ολοκληρώθηκε με την εισήγηση του Γρηγόρη Τσόλια, δικηγόρου ΜΔ Ποινικών Επιστημών, τακτικού Μέλους της Αρχής, με τίτλο «Τηλεργασία και προστασία προσωπικών δεδομένων», ο οποίος σημείωσε τα εξής:

  • «Η τηλεργασία ως μορφή οργάνωσης και εκτέλεσης εργασίας εξ αποστάσεως με τη χρήση ΤΠΕ συνεπάγεται την επεξεργασία προσωπικών δεδομένων που δημιουργεί μια σειρά κινδύνων για τα δικαιώματα των εμπλεκόμενων προσώπων και την ασφάλεια των υποδομών. Η Αρχή με τις υπ’ αρ. 1/2021 Κατευθυντήριες Γραμμές για την τηλεργασία (απόφαση 32/2021) εξέτασε βασικά σχετικά ζητήματα υπό το πρίσμα της εφαρμογής των αρχών επεξεργασίας του άρθρου 5 παρ. 1 ΓΚΠΔ, αναφερόμενη παράλληλα στις διατάξεις του ν. 4807/2021 και του άρθρου 67 ν. 4808/2021 για την τηλεργασία στον ιδιωτικό και τον δημόσιο τομέα αντίστοιχα, όπου έχουν σε μεγάλο βαθμό υιοθετηθεί οι ανωτέρω αρχές και έχουν εξειδικευθεί συγκεκριμένες μορφές επεξεργασίας προσωπικών δεδομένων που άπτονται του διευθυντικού δικαιώματος καθώς και της υποχρέωσης πίστης του εργαζομένου. Οι επεξεργασίες αυτές θα μπορούσαν να δημιουργήσουν εντάσεις και αμφιβολίες ως προς τη νομιμότητa και τον τρόπο διενέργειάς τους στο ευαίσθητο πεδίο των εργασιακών σχέσεων: ο έλεγχος της παρεχόμενης εργασίας μέσω καμερών, λογισμικών ΤΝ κ.λπ., η επιτήρηση του εργαζομένου, η πρόσβαση στα προσωπικά δεδομένα που επεξεργάζεται ο εργαζόμενος για την παροχή υπηρεσιών στον εργοδότη, η διεξαγωγή τηλεδιασκέψεων με τη λήψη εικόνας ή ήχου καθώς και η καταγραφή τους. Η λήψη των τεχνικών και οργανωτικών μέτρων συμμόρφωσης προς τις απαιτήσεις του ΓΚΠΔ, περιλαμβανομένων των μέτρων ασφαλείας, συνιστούν απαραίτητη προϋπόθεση αλλά και υποχρέωση των εργοδοτών, ως υπευθύνων επεξεργασίας, στο πλαίσιο της αρχής της λογοδοσίας κατ’ άρ. 5 παρ. 2 ΓΚΠΔ. Ο εργοδότης εξακολουθεί να είναι υπεύθυνος για την ασφάλεια των επεξεργασιών ανεξαρτήτως του γεγονότος ότι η παροχή υπηρεσιών λαμβάνει χώρα εξ αποστάσεως ή ακόμη και με συσκευές του εργαζομένου (BYOD). Η λήψη και εφαρμογή των αναγκαίων μέτρων εσωτερικής οργάνωσης και λογοδοσίας εξειδικεύονται από τα προβλεπόμενα υπό έκδοση Προεδρικά Διατάγματα του ν. 4807/2021 και ν. 4808/2021. Η Αρχή εφιστά την προσοχή των εργοδοτών ιδίως στην αναγκαιότητα κατάρτισης και εφαρμογής σχετικών Πολιτικών και Διαδικασιών για την τηλεργασία, την προστασία και την ασφάλεια των προσωπικών δεδομένων. Ιδίως στην περίπτωση του ν. 4808/2021 περιλαμβάνονται διατάξεις για την πρόσβαση σε δεδομένα επικοινωνιών των εργαζομένων που άπτονται της ειδικότερης νομοθεσίας για την προστασία του απορρήτου των επικοινωνιών και των συναφών δεδομένων επικοινωνίας. Η Αρχή, ήδη με τις ανωτέρω Κ.Γ., έχει επιφυλαχθεί να τοποθετηθεί αναλυτικότερα στις ειδικότερες προβλέψεις των ανωτέρω σχεδίων Π.Δ.».

 

Β’ Μέρος

Στο Β’ μέρος της εκδήλωσης με θέμα «Το έργο byDesign», ο διευθυντής Γραμματείας της Αρχής, Δρ. Βασίλειος Ζορκάδης στην παρουσίασή του με τίτλο «To έργο byDesign και άλλες σχετικές πρωτοβουλίες της Αρχής» εξήγησε συνοπτικά τις προσπάθειες της Αρχής για την κατάρτιση προτάσεων και πραγματοποίηση έργων που χρηματοδοτούνται από την Ευρωπαϊκή Ένωση, εστιάζοντας ειδικότερα στους στόχους του έργου byDesign (https://bydesign-project.eu/) που βρίσκεται στο 2ο έτος υλοποίησής του. Ειδικότερα, ο Δρ. Β. Ζορκάδης ανέφερε ότι το εν λόγω έργο αποσκοπεί στα εξής: α) Να υποστηρίξει τις μικρομεσαίες επιχειρήσεις στις προσπάθειές τους συμμόρφωσης με τον ΓΚΠΔ, παρέχοντάς τους πρότυπα έγγραφα, διαδικασίες, πολιτικές και ενημερωτικά κείμενα και εργαλείο προσαρμογής τους στις ανάγκες κάθε ενδιαφερόμενου, β) να σχεδιάσει ένα εκπαιδευτικό πρόγραμμα στο αντικείμενο της προστασίας δεδομένων εκ σχεδιασμού και εξ ορισμού για εμπλεκόμενους στην ανάπτυξη και προώθηση προϊόντων και υπηρεσιών πληροφορικής και επικοινωνιών και να πραγματοποιήσει σειρά σχετικών εκπαιδευτικών σεμιναρίων, γ) στην καλύτερη δυνατή αξιοποίηση των προαναφερόμενων. Κλείνοντας την παρουσίασή του, ο διευθυντής Γραμματείας της Αρχής αναφέρθηκε επίσης σε πρόταση έργου που υποβλήθηκε πρόσφατα από την Αρχή («byDefault»).

Στη συνέχεια στην ομιλία τους με τίτλο «Δημιουργία υποστηρικτικού εργαλείου συμμόρφωσης με τον ΓΚΠΔ για Μικρομεσαίες Επιχειρήσεις (ΜμΕ)» οι Δρ. Ευφροσύνη Σιουγλέ (πληροφορική ελέγκτρια) και Κάλλη Καρβέλη (νομική ελέγκτρια) παρουσίασαν τη μεθοδολογία που ακολουθήθηκε για τον εντοπισμό και προσδιορισμό των απαιτήσεων των ΜμΕ α) με τη χρήση δομημένων ερωτηματολογίων που δόθηκαν προς συμπλήρωση σε περισσότερες από 1000 ΜμΕ από αντιπροσωπευτικές ενώσεις των επιχειρήσεων, από τις ίδιες τις επιχειρήσεις, από ενώσεις καταναλωτών και από ενώσεις εργαζομένων των κλάδων της υγείας, λιανεμπορίου, εστίασης, τουρισμού, εκπαίδευσης και άθλησης, και β) με τη διοργάνωση workshops για τη συζήτηση των αναγκών και των επιπτώσεων, με βάση τα αποτελέσματα των ερωτηματολογίων. Οι ερωτήσεις αφορούσαν 4 βασικές θεματικές: 1) Νομιμότητα και διαφάνεια, 2) Λογοδοσία, 3) Επιχειρηματικές δραστηριότητες που περιλαμβάνουν επεξεργασία δεδομένων και 4) Ανάγκες και επιθυμίες καθοδήγησης και συμμόρφωσης. Μετά την ανάλυση των απαιτήσεων, παρουσιάστηκε η μεθοδολογία που ακολουθήθηκε για την κατάρτιση του παραγόμενου υλικού καθοδήγησης των ΜμΕ και της προσαρμογής του βάσει του κλάδου και των χαρακτηριστικών της κάθε ΜμΕ, μέσω υποδειγμάτων και προτύπων εγγράφων, πολιτικών και διαδικασιών, ενημερωτικών κειμένων, συχνών ερωτήσεων και λιστών ελέγχου για καθεμία από τις θεματικές ενότητες, το διαδικτυακό εργαλείο διευκόλυνσης της συμμόρφωσης με χρήση σύγχρονων web application τεχνολογιών και η επικείμενη έναρξη πιλοτικής λειτουργίας με αξιολόγηση του εργαλείου σε περιβάλλον παραγωγής πριν από τη γενική κυκλοφορία του και την τελική αξιολόγηση μέσω έρευνας παρακολούθησης (follow-up) που θα διεξαχθεί κυρίως με διαδικτυακά ερωτηματολόγια.

Ακολούθησε η ομιλία των πληροφορικών ελεγκτών της Αρχής Γεωργίας Παναγοπούλου – Δρ. Γιώργου Ρουσόπουλου με τίτλο «Δημιουργία εκπαιδευτικού υλικού και οργάνωση σεμιναρίων στο αντικείμενο της ‘Προστασίας δεδομένων εκ σχεδιασμού και εξ ορισμού», οι οποίοι παρουσίασαν τη μεθοδολογία ανάλυσης και προσδιορισμού των απαιτήσεων και τα σχετικά αποτελέσματα, καθώς και το εκπαιδευτικό υλικό το οποίο δημιουργήθηκε στο πλαίσιο του έργου byDesign που απευθύνεται σε ειδικούς που εμπλέκονται στην ανάπτυξη και προώθηση συστημάτων πληροφορικής και επικοινωνιών, όπως αναλυτές, σχεδιαστές λογισμικού, προγραμματιστές. Επίσης, έγινε αναφορά στην επικείμενη οργάνωση σεμιναρίων και τις περαιτέρω εργασίες που προβλέπονται για την ευρεία αξιοποίηση του εκπαιδευτικού προγράμματος και μετά την ολοκλήρωση του έργου.

 

Κατά την ολοκλήρωση κάθε ενότητας της ημερίδας οι ομιλητές έδωσαν απαντήσεις σε σειρά ερωτημάτων, τα οποία τέθηκαν από το πολυπληθές ακροατήριο. Σημειώνεται ότι η εκδήλωση μεταδόθηκε ζωντανά μέσω διαδικτύου και της υπηρεσίας ΔΙΑΥΛΟΣ του Εθνικού Δικτύου Υποδομών, Τεχνολογίας και Έρευνας.

Οι παρουσιάσεις των ομιλητών είναι διαθέσιμες στο https://www.dpa.gr/el/enimerwtiko/ekdiloseis/eyropaiki-imera-prostasias-prosopikon-dedomenon-2812022

 

 

Τμήμα Επικοινωνίας

Λεωφ. Κηφισίας 1-3, 11523 Αθήνα
Τ: 210 6475 655 • E: info@dpa.gr • www.dpa.gr