GDPR τι είναι ;
«Ο ΡΟΛΟΣ ΤΟΥ GDPR ΣΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΗΣ ΙΔΙΩΤΙΚΗΣ ΚΑΙ ΕΠΑΓΓΕΛΜΑΤΙΚΗΣ ΖΩΗΣ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ ΑΠΟ ΤΗΝ ΧΡΗΣΗ ΤΗΣ ΨΗΦΙΑΚΗΣ ΤΕΧΝΝΟΛΟΓΙΑΣ»
Η εργασία αυτή εκπονήθηκε από σπουδαστές του Εργαστηρίου ΤΠΕ Ήρων στα πλαίσια του επαγγελματικού προγράμματος Πιστοποίηση DPO ( Data Protection Officer )
Καρτσάκης Ιωάννης
Παπαδάκη Μαρία
Τσαγκαροπούλου Βαρβάρα
Επιβλέπων καθηγητής : Δαβαλάς Αθανάσιος
Περιεχόμενα
4.1. GDPR στην καθημερινότητα. 6
Αύγουστος 2022
1. Εισαγωγή
Τα τελευταία χρόνια βιώνουμε, αδιαμφησβήτητα, μια «έξαρση» στην ανάπτυξη και την επιρροή της ψηφιακής τεχνολογίας σε κάθε κομμάτι της καθημερινής μας ζωής. Τεχνολογία που μέσω της εκτενέστατης χρήσης του διαδικτύου, μας επιτρέπει να εκτελούμε ενέργειες και διαδικασίες άμεσα, σε πολύ σύντομό χρόνο και με ελάχιστο κόπο. Για την επίτευξη αυτών των ενεργειών, η τεχνολογία βασίζεται, φυσικά, στην χρήση των προσωπικών δεδομένων του εκάστοτε ατόμου που την χρησιμοποιεί και επιτρέπει σε ιδιωτικές εταιρείες και δημόσιους φορείς να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα[1].
Αυτά τα προσωπικά δεδομένα, έχοντας υπόψη μας την έκταση των υπηρεσιών που προσφέρονται μέσω του διαδικτύου, δύναται να αποτελούνται από «κάθε πληροφορία που αφορά τακτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο…..του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα,….»[2] ή και «δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.»[3]
Αυτά τα δεδομένα, υπόκεινται καθημερινά σε επεξεργασία[4], πολλές φορές σε τεράστια κλίμακα από τους προαναφερόμενους φορείς, με την χρήση της τεχνητής νοημοσύνης και αυτοματοποιημένων διαδικασιών, που τους επιτρέπουν τα τεχνολογικά μέσα που διαθέτουν. Όπως αναφέρεται και στον ίδιο τον κανονισμό, στο 2ο άρθρο του, οι διατάξεις του εφαρμόζονται και στο πλαίσιο της εν μέρει ή εξ΄ ολοκλήρου αυτοματοποιημένης επεξεργασίας δεδομένων, η οποία μέσω της χρήσης αλγορίθμων, έχει επεκταθεί τόσο στην καθημερινή ζωή όσο και σε κάποιες μεθόδους αξιολόγησης και παρακολούθησης του εργασιακού βίου. Λόγω της τεχνολογικής φύσης αυτών των διαδικασιών, πάντα εγκυμονούν εξωτερικοί κίνδυνοι για την ασφάλεια των δεδομένων που είναι υπό επεξεργασία και που πολλοί δεν μπορούν να κατανοήσουν πλήρως.
Σε αυτό το paper , θα εξετάσουμε τον τρόπο που επηρεάζει η ψηφιακή τεχνολογία την καθημερινότητά μας όσον αφορά τα προσωπικά μας δεδομένα και πως ο Γενικός Κανονισμός Προστασίας Δεδομένων επιχειρεί να τα προστατεύσει και να εξασφαλίσει τις διάφορες κατηγορίες δεδομένων προσωπικού χαρακτήρα.
2. Η Ιδιωτική ζωή
Λίγοι θα μπορούσαμε να φανταστούμε την ζωή μας, χωρίς την χρήση των τεχνολογιών που έχουν αναπτυχθεί τα τελευταία χρόνια. Με την μορφή “έξυπνων κινητών τηλεφώνων” (Smartphones), του διαδικτύου και των πολλών εφαρμογών που τα συνοδεύουν, τα ψηφιακά μέσα έχουν διεισδύσει στην καθημερινότητά μας σε τεράστιο βαθμό και έχουμε συνηθίσει πλέον την ταχύτατη ροή πληροφοριών, την λήψη υπηρεσιών και την αμεσότητα στην επικοινωνία με άλλους ανθρώπους. Το σύνολο αυτών των υπηρεσιών όμως, δε θα ήταν διαθέσιμο χωρίς την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που χρησιμοποιούν οι επιχειρήσεις για να μας εξυπηρετήσουν.
Καθημερινά, εκατομμύρια οδηγοί χρησιμοποιούν συσκευές με λειτουργία GPS με σκοπό την ακριβής πλοήγησή τους, που όμως εκτός από τα αναγνωριστικά στοιχεία ταυτότητας (Ονοματεπώνυμο, E-mail, Διεύθυνση κ.α.), καταγράφει ιστορικό των τοποθεσιών που έχεις ή σκοπεύεις να επισκεφτείς στο μέλλον. Διάφορες εφαρμογές και ιστοσελίδες αεροπορικών εταιριών ή ξενοδοχεία επεξεργάζονται δεδομένα όπως οικογενειακή κατάσταση και στοιχεία ανηλίκων , δεδομένα υγείας (π.χ. αλλεργίες) για κρατήσεις και για την παροχή των υπηρεσιών τους.
Όλο και πιο διαδεδομένο, είναι τα ιατρικά στοιχεία να διαβιβάζονται και να επεξεργάζονται ηλεκτρονικά, μέσω του διαδικτύου από δημόσιους ή ιδιωτικούς φορείς, ακόμα και να υπόκεινται σε επεξεργασία από τεχνητή νοημοσύνη[5], ενώ ταυτόχρονα smartphones και άλλες παρόμοιες συσκευές, επιτρέπουν με γνώμονα την ασφάλεια της συσκευής, να αποθηκεύονται βιομετρικά στοιχεία όπως πρόσωπο ,φωνή ή δακτυλικό αποτύπωμά του χρήστη-ιδιοκτήτη τους, και να χρησιμοποιούνται για την ταυτοποίηση του χρήστη στην διαδικασία πρόσβασης. Βιομετρικά στοιχεία χρησιμοποιούν και τα “Smartwatches”, τα οποία μετρούν τους καρδιακούς μας παλμούς, των αριθμό των βημάτων που κάνουμε καθημερινά.
Κοινωνικές πλατφόρμες και δίκτυα και υπηρεσίες Streaming, με χρήστες από όλο τον κόσμο, χρησιμοποιούν cookies για την συλλογή δεδομένων από τους χρήστες τους και με βάση τις αναζητήσεις, τις αντιδράσεις και τις προτιμήσεις αυτών, καταρτίζουν ένα προφίλ[6] για κάθε χρήστη και τους προωθούν εξατομικευμένο περιεχόμενο.
Αυτά τα δεδομένα μπορεί να είναι από το αγαπημένο είδος μουσικής μέχρι και τις αγοραστικές του συνήθειες, πολιτικές απόψεις, σεξουαλικό προσανατολισμό, εθνοτική ή φυλετική καταγωγή και πολλά άλλα δεδομένα που εντάσσονται στην κατηγορία των ευαίσθητων προσωπικών δεδομένων.
“Data is the new oil. It’s valuable, but if unrefined it cannot really be used. It has to be changed into gas, plastic, chemicals, etc, to create a valuable entity that drives profitable activity; so, must data be broken down, analyzed for it to have value.”[7]
Όλα αυτά τα δεδομένα, στο πλαίσιο την εξυπηρέτησης από φορείς στους οποίους εμείς οι ίδιοι έχουμε δώσει την συγκατάθεσή μας ή έχουν τεκμηριωμένη νομική βάση για την νομιμότητα της επεξεργασίας τους[8], μπορούν να χρησιμοποιηθούν για το άμεσο ή έμμεσο όφελος μας . Όμως, υπάρχουν και αυτοί, που αντιλαμβάνονται τον θησαυρό που αποτελούν τα δεδομένα αυτά, και δεν διστάζουν να τα εκμεταλλευτούν, ώστε να επωφεληθούν με οποιοδήποτε τρόπο.
Παράδειγμα μιας τέτοιας κατάχρησης είναι η υπόθεση της “Cambridge Analytica”, η οποία το 2018, κατηγορήθηκε ότι έκανε κατάχρηση των δεδομένων εκατομμυρίων χρηστών, τα οποία ήταν συλλεγμένα μέσω της κοινωνικής πλατφόρμας Facebook, και μέσω αυτοματοποιημένης επεξεργασίας, τα χρησιμοποίησε για οικονομικούς και πολιτικούς σκοπούς[9].
3. Η Επαγγελματική Ζωή
“Τα όρια μεταξύ της προσωπικής οικίας και της εργασίας γίνονται ολοένα και πιο δυσδιάκριτα. Για παράδειγμα, όταν οι εργαζόμενοι τηλεεργάζονται (π.χ. από το σπίτι) ή βρίσκονται σε επαγγελματικό ταξίδι, μπορεί να πραγματοποιείται παρακολούθηση δραστηριοτήτων εκτός του υλικού περιβάλλοντος εργασίας, η οποία ενδέχεται να περιλαμβάνει παρακολούθηση του ατόμου σε ιδιωτικό πλαίσιο.”[10]
Αναπόσπαστο κομμάτι της καθημερινότητάς μας είναι και η εργασία μας. Στην σύγχρονή αγορά εργασίας, ένα κοινό χαρακτηριστικό των εργαζομένων είναι η παροχή υπηρεσιών σε ένα νομικό πρόσωπο/ επιχείρηση, η οποία ενεργώντας με βάσει την εθνική νομοθεσία (ως νομική βάση)[11] , διαθέτει και επεξεργάζεται ορισμένα προσωπικά τους δεδομένα.
Παράδειγμα τέτοιων δεδομένων θα μπορούσε είναι η οικογενειακή τους κατάσταση ή, αν μιλάμε για ευαίσθητα προσωπικά δεδομένα , στοιχεία που αφορούν την υγεία του εργαζομένου με σκοπό την χορήγηση αναρρωτικής αδείας .
Μια άλλη μορφή συλλογής δεδομένων είναι η παρακολούθηση τους από κάμερες. “Εφόσον ένα σύστημα βιντεοεπιτήρησης λαμβάνει εικόνα από πρόσωπα (ανεξάρτητα αν το σύστημα είναι σε μόνιμη λειτουργία ή όχι), τότε συντελείται επεξεργασία προσωπικών δεδομένων. Σημειώνεται ιδιαίτερα ότι ακόμα και η απλή λήψη εικόνας, χωρίς καταγραφή, συνιστά επίσης επεξεργασία προσωπικών δεδομένων. ”[12].
Το φαινόμενο της τοποθέτησης κλειστού κυκλώματος παρακολούθησης και καταγραφής των χώρων εργασίας είναι αρκετά διαδεδομένο και στους σκοπούς του συνήθως περιλαμβάνεται η προστασία και η ασφάλεια του χώρου και των εργαζομένων από παράνομες πράξεις.
Ιδιαίτερή περίπτωση αποτελεί ο χώρος στον οποίο η εργασία γίνεται με την χρήση ηλεκτρονικών υπολογιστών. Εάν το κλειστό κύκλωμα καταγράφει την οθόνη του υπολογιστή του εργαζομένου , η οποία μπορεί να περιέχει και προσωπικά δεδομένα του εργαζομένου (π.χ. το προσωπικό του E-mail), τίθεται και ζήτημα συλλογής δεδομένων που δεν θα έπρεπε να καταγράφονται από τον εργοδότη, όπως οι προσωπικές συνομιλίες του υπαλλήλου του.
“Οι τεχνολογίες παρακολούθησης της επικοινωνίας μπορούν επίσης να έχουν αρνητικό αντίκτυπο στα θεμελιώδη δικαιώματα των εργαζομένων ως προς την οργάνωση, τη σύγκληση συνελεύσεων εργαζομένων και την εμπιστευτική επικοινωνία (συμπεριλαμβανομένου του δικαιώματος στην πληροφόρηση.
Επιπλέον, λόγω των δυνατοτήτων αυτών των τεχνολογιών, οι εργαζόμενοι ενδέχεται να μην γνωρίζουν ποια προσωπικά δεδομένα υφίστανται επεξεργασία και για ποιους σκοπούς, ενώ είναι επίσης πιθανό να μην γνωρίζουν καν την ύπαρξη των ίδιων των τεχνολογιών παρακολούθησης.…
Αν δεν υπάρχουν όρια στην επεξεργασία και αν η επεξεργασία δεν είναι διαφανής, υπάρχει μεγάλος κίνδυνος να μετατραπεί το έννομο συμφέρον των εργοδοτών για τη βελτίωση της αποδοτικότητας και για την προστασία των περιουσιακών στοιχείων της εταιρείας σε αδικαιολόγητη και παρεμβατική παρακολούθηση.”[13]
Μια επιπλέον διαδικασία με χρήση προσωπικών δεδομένων, που μπορεί να χρησιμοποιηθεί από τον εργοδότη είναι η αξιολόγηση του εργαζομένου. Αυτή μπορεί να πραγματοποιηθεί μέσω της καταγραφής της γεωγραφικής του θέσης, της χρήσης καμερών ασφαλείας ή βιομετρικών στοιχείων ή αυτοματοποιημένης επεξεργασίας (π.χ. κάποιου αλγορίθμου).
Επιπλέον, η παρακολούθηση της γεωγραφικής θέσης του εργαζομένου, εφόσον αυτός εργάζεται στο δρόμο, είναι επίσης αρκετά διαδεδομένη με τα επαγγέλματα που απαιτούν την μετακίνηση στους δρόμους (π.χ. μεταφορείς) και αποτελεί συλλογή και επεξεργασία προσωπικών δεδομένων η οποία εγκυμονεί κίνδυνους για την ιδιωτικότητα του εργαζομένου.
Παράδειγμα ζητήματος προς εξέταση αποτελεί η υπόθεση της απόφασης ΑΠΔΠΧ 37/2019 , όπου αναφέρετε η πρόκληση οικογενειακού προβλήματος, λόγω κοινοποίησης της θέσης του εργαζομένου σε τρίτο πρόσωπο[14].
Από την άλλη “«κατάρτιση προφίλ» είναι οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου”[15].
Ενώ η αξιολόγηση από τεχνητή νοημοσύνη ή αλγορίθμους μπορεί να βοηθήσει τον εργοδότη να επιτύχει τις καλύτερες δυνατές αποδόσεις του κεφαλαίου του και μειώσεις κόστους σε επιχειρηματικό επίπεδο, μια μέθοδος αυτοματοποιημένων αποφάσεων που διαθέτει τα προσωπικά δεδομένα καθώς και την ικανότητα να αξιολογεί και να προβλέπει τις κινήσεις του εργαζομένου, αποτελεί ρίσκο για την ασφάλεια και την προστασία των ελευθεριών του.
Αξιολόγηση από εργοδότη μπορεί να γίνει ακόμα και στην διαδικασία πρόσληψης των εργαζομένων, και μάλιστα εκτός από την επεξεργασία του βιογραφικού του , συνηθίζεται και η εξέταση των προφίλ των κοινωνικών του δικτύων. “Η χρήση των μέσων κοινωνικής δικτύωσης από τους ιδιώτες είναι εκτεταμένη και είναι σχετικά σύνηθες προφίλ χρήστη να είναι δημοσίως διαθέσιμα, ανάλογα με τις ρυθμίσεις που έχει επιλέξει ο κάτοχος του λογαριασμού.
Ως εκ τούτου, οι εργοδότες μπορεί να πιστεύουν ότι η εξέταση του προφίλ που έχουν οι δυνητικοί υποψήφιοι στα μέσα κοινωνικής δικτύωσης μπορεί να είναι δικαιολογημένη στο πλαίσιο της διαδικασίας πρόσληψης. Το ίδιο μπορεί επίσης να ισχύει για άλλες δημόσια διαθέσιμες πληροφορίες για τον υποψήφιο εργαζόμενο.”[16]
4. Ο ρόλος του GDPR
Στο πλαίσιο της ανάγκης για προστασία των δεδομένων και όχι της απαγόρευσης της επεξεργασίας τους για οποιοδήποτε λόγο, ο Γενικός Κανονισμός για την Προστασία των Δεδομένων ορίζει ποιες είναι οι περιπτώσεις στις οποίες επιτρέπεται να συλλέγονται, χρησιμοποιούνται, αποθηκεύονται, διαγράφονται, κοινοποιούνται τα προσωπικά μας δεδομένα αλλά κυρίως, με ποιον τρόπο καλούνται υπεύθυνοι επεξεργασίας (οι επιχειρήσεις και οι δημόσιοι φορείς) να τα προστατεύσουν.
Ορίζει, επίσης, θεσμούς όπως εποπτικές αρχές [17](“Αρχη Προστασίας Δεδομένων Προσωπικού Χαρακτήρα”) και την «Ομάδα Εργασίας 29» οι οποίες ενημερώνουν όλους τους ενδιαφερόμενους ,με αποφάσεις και ανακοινώσεις, πάνω σε επίκαιρα και εξεζητημένα θέματα.
”…..ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο…..Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας.”[18]
4.1. GDPR στην καθημερινότητα
Στις περιπτώσεις όπου ένα νομικό πρόσωπο έχει συλλέξει προσωπικά δεδομένα από ένα φυσικό πρόσωπο, είναι υποχρεωμένο, από τον Γενικό Κανονισμό για την Προστασία των προσωπικών Δεδομένων , να έχει στηριχτεί σε κάποια νομική βάση. Εκτός της συναίνεσης, άλλοι τύποι νομικών βάσεων αποτελούν οι συμβάσεις, νομικές απαιτήσεις , ζωτικά συμφέροντα, δημόσια καθήκοντα και άλλα δικαιολογημένα συμφέροντα(τα οποία θα πρέπει να αποδειχτούν ως ισορροπημένα με αυτά των υποκειμένων, να υπάρχει ενημέρωση στα υποκείμενα και να υπάρχει δικαίωμα το υποκείμενο να αντιταχθεί).[19]
Στην περίπτωση που μιλάμε για επεξεργασία ευαίσθητων προσωπικών δεδομένων, όπως αυτά ορίζονται από το άρθρο 9 παρ.1 του Κανονισμού, η επεξεργασία επιτρέπετε αποκλειστικά και μόνο για τις περιπτώσεις της παραγράφου 2 του ίδιου άρθρου του Κανονισμού.[20]
Εκτός αυτού, ο υπεύθυνος επεξεργασίας θα πρέπει να λαμβάνει τα κατάλληλα μέτρα για την συμμόρφωση της ηλεκτρονικής του ιστοσελίδας, με τις ορθές πολιτικές cookies και της χρήσης των κατάλληλων plugins, ώστε να συνάδει με τις γραμμές που θέτει ο GDPR, κυρίως στα θέματα της ενημέρωσης, συναίνεσης και άσκησης των δικαιωμάτων του υποκείμενου. Το περιβάλλον της ιστοσελίδας θα πρέπει να παραμένει εύχρηστο και κατανοητό, χωρίς να απαιτείται η πληρότητά του στα θέματα που προαναφέραμε.
Έχοντας την πλήρη ευθύνη για την ασφάλεια των δεδομένων προσωπικού χαρακτήρα των υποκειμένων, ο εκάστοτε υπεύθυνος επεξεργασίας θα πρέπει να λάβει μέτρα που στοχεύουν στην προστασία των δεδομένων ήδη από τον σχεδιασμό και από προεπιλογή, δηλαδή να παίρνει προληπτικά μέτρα για κάθε εφαρμογή νέων πρακτικών και τεχνολογίας, να εκτελεί εκτιμήσεις αντικτύπου, ώστε να υπολογίζει την αποτελεσματικότητά τους και τις αδυναμίες τους καθώς και να ελαχιστοποιεί τα δεδομένα που συλλέγει , στα απολύτως απαραίτητα[21] .
“…..Κατά την ανάπτυξη, τον σχεδιασμό, την επιλογή και τη χρήση εφαρμογών, υπηρεσιών και προϊόντων που βασίζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα ή επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για την εκπλήρωση του έργου τους, οι παραγωγοί προϊόντων, υπηρεσιών και εφαρμογών θα πρέπει να ενθαρρύνονται να λαμβάνουν υπόψη τους το δικαίωμα προστασίας των δεδομένων, κατά την ανάπτυξη και τον σχεδιασμό τέτοιων προϊόντων, υπηρεσιών και εφαρμογών, ώστε, λαμβανομένων υπόψη των τελευταίων εξελίξεων, να διασφαλίζεται ότι οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα είναι σε θέση να εκπληρώνουν τις υποχρεώσεις τους όσον αφορά την προστασία των δεδομένων….”[22]
Πιο συγκεκριμένα , η “κατά τον σχεδιασμό” προστασία, από την πλευρά του υπευθύνου επεξεργασίας, περιλαμβάνει προληπτική δράση και προσχεδιασμένες ενέργειες απέναντι σε απειλές για την ιδιωτικότητα των υποκειμένων, τον ορισμό προεπιλεγμένων ενεργειών προστασίας (χωρίς να απαιτείται ενεργή δράση από το υποκείμενο), την διατήρηση της προστασίας καθ΄ όλη την διάρκεια της κατοχής των δεδομένων, την εφαρμογή κουλτούρας ικανοποίησης των συμφερόντων όλων των πλευρών καθώς και διαφάνεια των διαδικασιών και σεβασμό στην ιδιωτικότητα του υποκειμένου (user-centric)[23].
Παραδείγματα μέτρων που περιλαμβάνονται σε μια προστασία “by design” είναι η ελαχιστοποίηση επεξεργασίας και δεδομένων στα απολύτως απαραίτητα για την εκτέλεση κάποιας υποχρέωσης ή εντολής για το υποκείμενο, την ψευδονιμοποίηση/κωδικοποίηση των δεδομένων το συντομότερο δυνατό μετά από την συλλογή τους και την διαφάνεια των διαδικασιών, ώστε το υποκείμενο να μπορεί να τις παρακολουθεί εάν θέλει και να ασκεί τα δικαιώματά του, όπως τα ορίζει ο ΓΚΠΔ.[24]
Τα παραπάνω μέτρα έχουν στόχο, προφανώς, την ελαχιστοποίηση του κινδύνου για παραβίαση των δεδομένων προσωπικού χαρακτήρα, μέσω της πρόληψης και της σωστής ενημέρωσης, ιδιαίτερα σε περιπτώσεις που η ψηφιακή τεχνολογία παίζει σημαντικό ρόλο στην επεξεργασία αυτών.
4.2. GDPR στην εργασία
Στον εργασιακό χώρο, ο εργαζόμενος διατηρεί τα δικαιώματα για προστασία του «Υποκειμένου» ,όπως το ορίζει ο Γ.Κ.Π.Δ. και επομένως ο υπεύθυνος επεξεργασίας – σε αυτή την περίπτωση ο εργοδότης- θα πρέπει να λάβει τα κατάλληλα μέτρα , ώστε ο εργαζόμενος να ενημερώνεται για ποια προσωπικά του δεδομένα επεξεργάζεται και καλείται να προστατέψει. Στο επίκεντρο βρίσκεται η «αρχή της αναλογικότητας», η σωστή αναλογία των μέτρων και των σκοπών που θέλει να πέτυχει με την αντίστοιχη επεξεργασία ο εργοδότης.
Για την περίπτωση της βιντεοσκόπησης του εργαζομένου για παράδειγμα, στην ετήσια έκθεση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για το 2012, αναφέρεται ότι η παρακολούθηση και διαδικασία ελέγχου πρόσβασης των εργαζομένων με σκοπό την καταγραφή της αποδοτικότητάς ή συνέπειάς τους, από κάμερες ή παρόμοια μέσα καταγραφής βιομετρικών δεδομένων, δύναται κατά περίπτωση να είναι μια αθέμιτη πρακτική που μπορεί να υποκατασταθεί με πιο ήπια μέσα, τα οποία δεν απαιτούν ευαίσθητα προσωπικά δεδομένα (π.χ. κάρτες εισόδου υπαλλήλου), καθιστώντας τις τακτικές αυτές περιττές και δυσανάλογες σε σχέση με τον επιδιωκόμενο στόχο.[25]
Για την εφαρμογή συστήματος γεωτροπισμού, η Αρχή κρίνει ότι μπορεί να εφαρμοστεί, δεδομένου όμως, ότι η επεξεργασία πραγματοποιείται στα πλαίσια βελτίωσης των διαδρομών και των υπηρεσιών καθώς και για την ασφάλεια του προσωπικού και των αγαθών ή οχημάτων. Αν ο αποκλειστικός σκοπός της καταγραφής της θέσης του εργαζομένου είναι η παρακολούθηση της εργασία του, τότε η πρακτική μπορεί να κριθεί υπέρμετρη, δεδομένου και ότι υπάρχουν ηπιότερα μέτρα για την εκπλήρωση του σκοπού.
Σε ό,τι αφορά την κατάρτιση προφίλ, ”…….ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί κατάλληλες μαθηματικές ή στατιστικές διαδικασίες για την κατάρτιση του προφίλ, να εφαρμόζει τεχνικά και οργανωτικά μέτρα, ώστε να διορθώνονται οι παράγοντες που οδηγούν σε ανακρίβειες σε δεδομένα προσωπικού χαρακτήρα και να ελαχιστοποιείται ο κίνδυνος σφαλμάτων, να καθιστά ασφαλή τα δεδομένα προσωπικού χαρακτήρα κατά τρόπο που να λαμβάνει υπόψη τους πιθανούς κινδύνους που συνδέονται με τα συμφέροντα και τα δικαιώματα του υποκειμένου των δεδομένων και να προλαμβάνει, μεταξύ άλλων, τα αποτελέσματα διακρίσεων σε βάρος φυσικών προσώπων βάσει της φυλετικής ή εθνοτικής καταγωγής, των πολιτικών φρονημάτων, της θρησκείας ή των πεποιθήσεων, της συμμετοχής σε συνδικαλιστικές οργανώσεις, της γενετικής κατάστασης ή της κατάστασης της υγείας ή του γενετήσιου προσανατολισμού, ή την επεξεργασία που συνεπάγεται μέτρα ισοδύναμου αποτελέσματος…….”[26]
Επισημαίνεται ότι μόνο υπό ειδικές προϋποθέσεις, είναι αποδεκτή η διαδικασία κατάρτισης που είναι βασισμένη σε ευαίσθητα προσωπικά δεδομένα του εργαζομένου, ο οποίος έχει και το δικαίωμα να μην υπόκειται σε αποφάσεις που αποτελούν παράγωγα αποκλειστικά αυτοματοποιημένης επεξεργασίας.[27]
Μέσα από τα κοινωνικά δίκτυα, οι εργοδότες μπορούν να αντλούν επιπλέον πληροφορίες για του εργαζόμενους τους, με πολλές από αυτές να αποτελούν λεπτομέρειες για την ιδιωτική ζωή του και ευαίσθητα προσωπικά δεδομένα τα οποία δεν έχουν καμία σχέση με την εργασία τους.
“Ο έλεγχος των προφίλ των εργαζομένων στα μέσα κοινωνικής δικτύωσης κατά τη διάρκεια της εργασίας δεν θα πρέπει να λαμβάνει χώρα σε γενικευμένη βάση. Επιπλέον, οι εργοδότες θα πρέπει να αποφεύγουν να ζητούν από εργαζόμενο ή από υποψήφιο για θέση εργασίας πρόσβαση σε πληροφορίες τις οποίες μοιράζεται με άλλους στα μέσα κοινωνικής δικτύωσης.”[28]
Το ίδιο ισχύει και για την περίπτωση της διαδικασίας πρόσληψης εργαζομένων, στη οποία δεν υπάρχει νομική βάση που να δικαιολογεί την απαίτηση από τον εν δυνάμει εργοδότη, να του δώσει ο εργαζόμενος οποιουδήποτε είδους πρόσβαση στα προφίλ των κοινωνικών του δικτύων.
Εκτός αυτού, τα προσωπικά δεδομένα των υποψηφίων εργαζομένων που εν τέλη δε θα επιλεγούν για την κάλυψη μιας εργασιακής θέσης, θα πρέπει να διαγράφονται αμέσως μετά την λήψη της απόφασης αυτής. Υποχρέωση του υπεύθυνου προφανώς, είναι και η ενημέρωση του υποψήφιου εργαζόμενου για το ποια προσωπικά του δεδομένα τίθενται υπό επεξεργασία, πριν ακόμα την έναρξη της διαδικασίας πρόσληψης. [29]
5. Συμπεράσματα
Είναι ξεκάθαρο ότι ο Γενικός Κανονισμός για την Προστασία των Δεδομένων παίζει καθοριστικό ρόλο στο αντικείμενο που επιχειρεί, ανεξαρτήτως από το επίπεδο της τεχνολογικής προόδου έως και σήμερα. Υποχρεώνει τους υπευθύνους επεξεργασίας να προβούν στις απαραίτητες ενέργειες που θα εξασφαλίσουν την μέγιστη δυνατή προστασία των προσωπικών δεδομένων κάθε υποκειμένου.
Ακολουθώντας της κατευθυντήριες γραμμές των εποπτικών αρχών που ορίζονται από το άρθρο 51 του Κανονισμού και της Ομάδας Εργασίας 29, και λαμβάνοντας υπόψη όλα τα τεχνικά και οργανωτικά μέσα διαθέσιμα, καλούνται να εκτελούν τις προκαθορισμένες από τον κανονισμό πρακτικές (Εκτίμηση αντικτύπου, ελαχιστοποίηση των δεδομένων , ορισμούς Υπευθύνου Προστασίας Δεδομένων κ.α.) ώστε να αναπτύξουν μια νοοτροπία πρόληψης και ελαχιστοποίησης κινδύνου αλλά και μια κουλτούρα σεβασμού της ιδιωτικότητας των υποκειμένων.
Αναφορές
James, J. (2019, 7 11). Data as the new oil: The danger behind the mantra. Ανάκτηση από https://enterprisersproject.com/article/2019/7/data-science-data-can-be-toxic
Lawspot.gr. (2019, 12 10). Προϋποθέσεις νόμιμης λειτουργίας συστήματος γεωεντοπισμού και βιντεοεπιτήρησης από εργοδότη (ΑΠΔΠΧ 37/2019). Ανάκτηση από https://www.lawspot.gr/nomika-nea/proypotheseis-nomimis-leitoyrgias-systimatos-geoentopismoy-kai-vinteoepitirisis-apo
www.dpa.gr. (χ.χ.). Ανάκτηση 8 2, 2022, από https://www.dpa.gr/el/enimerwtiko/thematikes_enotites/eisagwgi_videoepitirisi
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ. (2013). Ανάκτηση από www.dpa.gr: https://www.dpa.gr/sites/default/files/2020-12/ARXH%20PROSTASIAS%20APOLOGISMOS%202012_%20WEBUSE.PDF
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ. (2016, 4 27). Ανάκτηση από www.dpa.gr: https://www.dpa.gr/sites/default/files/2019-10/GDPR%20%CE%9C%CE%95%20%CE%94%CE%99%CE%9F%CE%A1%CE%98%CE%A9%CE%A4%CE%99%CE%9A%CE%8C2-converted.pdf
Γιαννόπουλος, Γ. (2018). Προστασία των δεδομένων ήδη από το σχεδιασμό (by design) και εξ ορισμού (by default). Στο Γ. Γιαννόπουλος, Εισαγωγή στη Νομική Πληροφορική Μια πρώτη προσέγγιση της σχέσης δικαίου & νέων τεχνολογιών (σσ. 92-93). ΝΟΜΙΚΗ ΒΙΒΛΙΟΘΗΚΗ.
Γνώμη 2/2017 Ομάδας Εργασίας Άρθρου 29 . (2017, 6 8). LAWSPOT. Ανάκτηση 8 2, 2022, από www.lawspot.gr: https://www.lawspot.gr/nomikes-plirofories/loipa-nomika/gnomi/gnomi-2-2017-omadas-ergasias-arthroy-29-shetika-me-tin
Θανάσης Δαβαλάς, Ά. Α. (2020). Εξεταστέα ύλη για Data Protection Officer. Θεσσαλονίκη: Φυλάτος.
Παπακωνσταντίνου, Π. (2020). Τεχνητή νοημοσύνη στην Ιατρική. Στο Π. Παπακωνσταντίνου, ΑΝΘΡΩΠΟΙ ΚΑΙ ΡΟΜΠΟΤ (σσ. 69-61). Αθήνα: ΛΙΒΑΝΗ.
Παπακωνσταντίνου, Π. (2020). Τι μάθαμε από την Cambridge Analytica. Στο Π. Παπακωνσταντίνου, ΑΝΘΡΩΠΟΙ ΚΑΙ ΡΟΜΠΟΤ (σσ. 92-97). ΑΘΗΝΑ: ΛΙΒΑΝΗ.
[1] Αιτιολογική Σκέψη 6 του Γενικού Κανονισμού για τα Προσωπικά Δεδομένα
[2] Άρθρο 4 «Ορισμοί» του GDPR
[3] Άρθρο 9 «Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα» του GDPR
[4] Άρθρο 4 «Ορισμοί» του GDPR
[5] (Παπακωνσταντίνου, Τεχνητή νοημοσύνη στην Ιατρική, 2020)
[6] Άρθρο 4 «Ορισμοί» του GDPR
[7] Clive Humby, 2006
[8] (Θανάσης Δαβαλάς, 2020) Σελ. 16
[9] (Παπακωνσταντίνου, Τι μάθαμε από την Cambridge Analytica, 2020)
[10] (Γνώμη 2/2017 Ομάδας Εργασίας Άρθρου 29 , 2017) 2. Εισαγωγή
[11] (Θανάσης Δαβαλάς, 2020) Σελ. 16
[12] (www.dpa.gr)
[13] (Γνώμη 2/2017 Ομάδας Εργασίας Άρθρου 29 , 2017) 4. Κίνδυνοι
[14] (Lawspot.gr)
[15] Άρθρο 4 «Ορισμοί» του GDPR
[16] (Γνώμη 2/2017 Ομάδας Εργασίας Άρθρου 29 , 2017) 5.1 Επεξεργασία κατά τη διαδικασία πρόσληψης
[17] Άρθρο 51 «Εποπτική Αρχή» του GDPR
[18] Άρθρο 24§1 και 24§2 του GDPR
[19] (Θανάσης Δαβαλάς, 2020) Σελ.26-27
[20] Άρθρο 9 «Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα» του GDPR
[21] (Θανάσης Δαβαλάς, 2020) Σελ. 16
[22] Αιτιολογική Σκέψη 78 του Γενικού Κανονισμού για τα Προσωπικά Δεδομένα
[23] (Γιαννόπουλος, 2018) Σελ. 93-93
[24] (Θανάσης Δαβαλάς, 2020) Σελ. 22
[25] (ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ, 2013) Ετήσιά Έκθεση 2012, Αποφάσεις 127/2012, 81/2012, 62/2007
[26] Αιτιολογική Σκέψη 71 του Γενικού Κανονισμού για τα Προσωπικά Δεδομένα
[27] Άρθρο 22 «Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης και της κατάρτισης προφίλ» του GDPR
[28] (Γνώμη 2/2017 Ομάδας Εργασίας Άρθρου 29 , 2017) 5.2 Επεξεργασία που προκύπτει από έλεγχο κατά τη διάρκεια της εργασίας
[29] (Γνώμη 2/2017 Ομάδας Εργασίας Άρθρου 29 , 2017) 5.1 Επεξεργασία κατά τη διαδικασία πρόσληψης