Δημόσιοι Φορείς & GDPR
Ο Κανονισμός Ε.Ε., 2016/679 έχει τεθεί σε ισχύ τον Μάιο του 2018 και αφορά όλες τις επιχειρήσεις και τους φορείς, ιδιωτικούς και δημόσιους που επεξεργάζονται προσωπικά δεδομένα Ευρωπαίων πολιτών. Πρόκειται για την πιο πρόσφατη εξέλιξη σε επίπεδο Ευρωπαϊκής Ένωσης με στόχο τη διαφύλαξη της ασφάλειας των προσωπικών δεδομένων πολιτών, αναγνωρίζοντας σε αυτούς νέα δικαιώματα και αυξάνοντας την προστασία τους. Κάθε δημόσιος φορέας υπόκειται στους κανόνες του ΓΚΠΔ όταν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα που αφορούν σε φυσικό πρόσωπο.
Η πλειονότητα των δεδομένων προσωπικού χαρακτήρα που τηρούνται από δημόσιους φορείς συνήθως τίθενται σε επεξεργασία με βάση μια νομική υποχρέωση ή στον βαθμό που αυτό είναι απαραίτητο για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί σε αυτές.
Κάθε δημόσιος φορέας θα πρέπει να προετοιμαστεί σε ό,τι αφορά στην εφαρμογή του Κανονισμού ξεκινώντας από το βασικό βήμα της χαρτογράφησης της ροής των προσωπικών δεδομένων. Πρέπει επομένως σε κάθε δημόσιο φορέα να καταγραφούν πλήρως και επακριβώς οι κατηγορίες των δεδομένων προσωπικού χαρακτήρα, που τυγχάνουν επεξεργασίας (συλλογή, καταχώρηση, φύλαξη, διαβίβαση, κλπ.), οι αποδέκτες των δεδομένων, το χρονικό διάστημα τήρησής τους, ο τόπος αποθήκευσής τους, τα υφιστάμενα οργανωτικά και τεχνικά μέτρα που εφαρμόζει ο οργανισμός και μια σειρά από άλλες παραμέτρους όπως αυτές ορίζονται στον Κανονισμό. Η διαδικασία αυτή θα πρέπει να πραγματοποιηθεί για κάθε δημόσιο φορέα είτε υπέχει θέση υπευθύνου επεξεργασίας είτε εκτελούντος την επεξεργασία. Κρίνεται απαραίτητο να σχεδιασθούν και να τεθούν σε λειτουργία διαδικασίες, οι οποίες να αποσκοπούν στη διασφάλιση ενός υψηλού επιπέδου προστασίας δεδομένων προσωπικού χαρακτήρα. Οι εν λόγω διαδικασίες οφείλουν να λαμβάνουν υπόψη όλα τα ιδιαίτερα χαρακτηριστικά των κατηγοριών δεδομένων, που τυγχάνουν επεξεργασίας, αλλά και των επεξεργασιών, που διενεργούνται. Οφείλουν, επίσης, να επικαιροποιούνται σε τακτά χρονικά διαστήματα.
Κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, κάθε δημόσιος φορέας οφείλει να τηρεί ορισμένες βασικές αρχές, στις οποίες περιλαμβάνονται οι εξής:
- δίκαιη και νόμιμη επεξεργασία
- περιορισμός σκοπού
- ελαχιστοποίηση δεδομένων και διατήρηση δεδομένων.
Σε περίπτωση επεξεργασίας με βάση το δίκαιο, το εν λόγω δίκαιο θα πρέπει ήδη να διασφαλίζει ότι αυτές οι αρχές τηρούνται όπως προβλέπει ο Κανονισμός. Πριν από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, πρέπει να ενημερώνονται τα φυσικά πρόσωπα σχετικά με τους σκοπούς της επεξεργασίας, τα είδη δεδομένων που συλλέγονται, τους αποδέκτες, καθώς και για τα δικαιώματά τους όσον αφορά στην προστασία των δεδομένων.
Κάθε δημόσιος φορέας και σύμφωνα με τα οριζόμενα ιδίως στα άρθρα 37 και 38 ΓΚΠΔ, πρέπει να διορίσει έναν Υπεύθυνο Προστασίας Δεδομένων-ΥΠΔ (Data Protection Officer – DPO), είτε υπέχει θέση υπευθύνου επεξεργασίας είτε εκτελούντος την επεξεργασία.
Ωστόσο, μπορεί να διορίζεται ένας και μοναδικός υπεύθυνος προστασίας δεδομένων για πολλούς δημόσιους φορείς ή μπορεί να γίνει ανάθεση σε κάποιον εξωτερικό ΥΠΔ. Ο DPO θα πρέπει ιδίως:
- να ενημερώνει και να συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους εργαζόμενους, που διενεργούν επεξεργασίες, για τις υποχρεώσεις τους, που απορρέουν από τον ΓΚΠΔ και από άλλες διατάξεις της Ε.Ε., αλλά και εθνικές ρυθμίσεις σχετικά με την προστασία δεδομένων,
- να παρέχει συμβουλές, όταν ζητείται, όσον αφορά στην εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και να παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35 ΓΚΠΔ,
- να συνεργάζεται με την εποπτική αρχή και να ενεργεί ως σημείο επικοινωνίας με την εποπτική αρχή και τα υποκείμενα των δεδομένων για όλα τα ζητήματα που σχετίζονται με την επεξεργασία.
Ο ΥΠΔ πρέπει επίσης να διασφαλίζει την ορθή εφαρμογή των τεχνικών και οργανωτικών μέτρων ασφάλειας σε σχέση με τα δεδομένα προσωπικού χαρακτήρα. Σε περίπτωση εξωτερικής ανάθεσης μέρους της επεξεργασίας σε οργανισμό (που αποκαλείται «εκτελών την επεξεργασία»), πρέπει να υφίσταται σύμβαση ή άλλη νομική πράξη που να εγγυάται ότι ο εκτελών την επεξεργασία παρέχει επαρκείς εγγυήσεις για την υλοποίηση κατάλληλων τεχνικών και οργανωτικών μέτρων που να ανταποκρίνονται στα πρότυπα του ΓΚΠΔ.
Σε περίπτωση που δεδομένα προσωπικού χαρακτήρα που κατέχει δημόσιος φορέας κοινολογηθούν τυχαία ή παράνομα σε μη εξουσιοδοτημένους αποδέκτες ή είναι προσωρινά μη διαθέσιμα ή έχουν αλλοιωθεί, πρέπει να ειδοποιηθεί η Αρχή προστασίας δεδομένων (ΑΠΔ) σχετικά με την παραβίαση χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός 72 ωρών από τη στιγμή που διαπιστώνεται η παραβίαση. Κατ’ επέκταση θα πρέπει να εξεταστεί και η ανάγκη ενημέρωσης των υποκειμένων των δεδομένων.