Η Αρχή εξέδωσε τις υπ’ αριθμόν 1/2017 και 4/2017 Γνωμοδοτήσεις αναφορικά με τη γνωστοποίηση επεξεργασίας προσωπικών δεδομένων στο πλαίσιο του νέου Ενιαίου Αυτόματου Συστήματος Συλλογής Ηλεκτρονικού Εισιτηρίου. Σύμφωνα με αυτές ο Ο.Α.Σ.Α. πρέπει να προχωρήσει στα παρακάτω 7 βήματα συμμόρφωσης:
- Ο Ο.Α.Σ.Α. λαμβάνει ήδη τα προσωπικά στοιχεία των κατόχων των «προσωποποιημένων καρτών» μετακίνησης εντός των Μ.Μ.Μ. μέσω της διαδικτυακής υπηρεσίας της ΗΔΙΚΑ.
ΒΗΜΑ ΣΥΜΜΟΡΦΩΣΗΣ: O Ο.A.Σ.Α, ως υπεύθυνος επεξεργασίας, οφείλει αμελλητί να προβεί σε κατάλληλες τροποποιήσεις του συστήματος, ώστε η ΗΔΙΚΑ να μην του παρέχει καμία άλλη, πέραν των αναγκαίων, πληροφορία.
ΒΗΜΑ ΣΥΜΜΟΡΦΩΣΗΣ: O Ο.Α.Σ.Α. οφείλει να λαμβάνει τα πλέον ενδεδειγμένα μέτρα για την ασφάλεια της επεξεργασίας στο πλαίσιο της HΔΙΚΑ.
- Οι μετακινήσεις των επιβατών χάνουν με τις «προσωποποιημένες ηλεκτρονικές κάρτες» την ανωνυμία τους, ακόμα και αν οι εν λόγω πληροφορίες είναι διαμοιρασμένες σε ανεξάρτητα υποσυστήματα, με αποτέλεσμα να υπάρχει κίνδυνος συστημικής αντιστοίχισης του αριθμού της κάρτας με τον κάτοχό της και γνώσης του ιστορικού όλων των μετακινήσεων για το συγκεκριμένο επιβάτη.
ΒΗΜΑ ΣΥΜΜΟΡΦΩΣΗΣ: Ο Ο.Α.Σ.Α. οφείλει να βελτιώσει το εν συνολικό σύστημά του, ιδίως λόγω της τήρησης, για συγκεκριμένους έστω χρήστες, του αριθμού ΑΜΚΑ τους.
ΒΗΜΑ ΣΥΜΜΟΡΦΩΣΗΣ: O Ο.Α.Σ.Α οφείλει να διασφαλίσει με τις απαραίτητες εγγυήσεις ότι δεν είναι είναι εφικτή, κατά την επεξεργασία, η διασύνδεση και η εξαγωγή πλήρους πληροφόρησης για τις ακριβείς διαδρομές που πραγματοποιεί ο κάθε επιβάτης έτσι ώστε να διασφαλίζεται το δικαίωμα της ανώνυμης μετακίνησης του (π.χ. μη τήτηση ΑΜΚΑ σε αυτούσια μορφή αλλά αντ΄ αυτού αποθήκευση ενός μη αναστρέψιμου ψηφιακού αποτυπώματος – hashed value – του ΑΜΚΑ με οποιοδήποτε συνθηματικό και όχι αποκλειστικά με τετραψήφιο κωδικό).
- Το αρχείο που γνωστοποίησε ο Ο.Α.Σ.Α.για τους σκοπούς ενημέρωσης όσων επιθυμούν για τις προσφορές του Οργανισμού κ.λπ., δεν προσκρούει, υπό επιφυλάξεις, στις διατάξεις του N. 2472/1997.
ΒΗΜΑ ΣΥΜΜΟΡΦΩΣΗΣ: Ο Ο.Α.Σ.Α. οφείλει να λάβει τα κατάλληλα μέτρα ασφάλειας σύμφωνα με το Άρθρο 10 του Ν. 2472/1997.
- Η εν λόγω επεξεργασία προσωπικών δεδομένων από τον Ο.Α.Σ.Α. αφορά μεγάλο αριθμό υποκειμένων των δεδομένων.
ΒΗΜΑ ΣΥΜΜΟΡΦΩΣΗΣ: Kατά το σχεδιασμό του ηλεκτρονικού συστήματος, ο Ο.Α.Σ.Α. οφείλει να διασφαλίζει ότι πληρούνται οι κατάλληλες προϋποθέσεις για την αντιμετώπιση των κινδύνων ως προς την προστασία των προσωπικών δεδομένων (data protection by design – Άρθρο 25 του G.D.P.R.).
ΒΗΜΑ ΣΥΜΜΟΡΦΩΣΗΣ: Ο Ο.Α.Σ.Α. οφείλει να προβεί στην εκπόνηση μελέτης εκτίμησης των επιπτώσεων στην προστασία των προσωπικών δεδομένων (Data Protection Impact Assessment/DPIA – Άρθρο 35 του G.D.P.R.), η οποία θα πρέπει να περιέχει τουλάχιστον:
α) Συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας,
β) Εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τουςεπιδιωκόμενους σκοπούς,
γ) Εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και
δ) Τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας (όπως ανωνυμοποίηση ή/και ψευδωνυμοποίηση), ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα.
*ΠΡΟΣΟΧΗ: Η μελέτη αυτή θα πρέπει να αποτυπώνεται σε εγκεκριμένο από τη διοίκηση του Ο.Α.Σ.Α. έγγραφο και να είναι διαθέσιμη έως τις 25 Μαΐου 2018.
To παράδειγμα της υπόθεσης του Ο.Α.Σ.Α. μας δίνει τη δυνατότητα να εξάγουμε ορισμένα χρήσιμα και ευρύτερα συμπεράσματα:
Από τη μία πλευρά, το νομοθετικό πλαίσιο προστασίας των προσωπικών δεδομένων σε όλη την Ευρώπη (στο οποίο συγκαταλέγεται και το Ελληνικό πλαίσιο), ενόψει του G.D.P.R., δείχνει να αλλάζει και να απαιτεί, πλέον, την άμεση συμμόρφωση των εκάστοτε υπευθύνων επεξεργασίας στις νέες νομοθετικές απαιτήσεις, προκειμένου να μην δεχθούν τις δυσμενείς επιπτώσεις και τις σοβαρές κυρώσεις που πλέον προβλέπονται.
Από την άλλη πλευρά, η συμμόρφωση στις νέες νομοθετικές ρυθμίσεις ενδέχεται να απαιτεί ένα διαφορετικό τρόπο προσέγγισης των κανονιστικών Αρχών της Ε.Ε., καθώς η απειλή κατασταλτικών κυρώσεων δεν μπορεί να επιτύχει από μόνη της το επιθυμητό αποτέλεσμα.
Ειδικότερα, το νέο προβλεπόμενο πλαισίο της αυτορρύθμισης δείχνει να απαιτεί περισσότερες και μεγαλύτερες προσπάθειες των εν λόγω Αρχών για διαρκή ενημέρωση και ευαισθητοποίηση των επιχειρήσεων και των πολιτών τόσο για τις υποχρεώσεις τους όσο και για τα δικαιώματά τους.
Μήπως, λοιπόν, μέσω και της προβλεπόμενης από τον G.D.P.R. διαδικασίας διαβούλευσης του υπευθύνου επεξεργασίας με τις κανονιστικές Αρχές, παρουσιάζεται η δυνατότητα αλλαγής του «modus operandi» τους;
Ειδικότερα, μέσω της παροχής ενός βελτιωμένου πλαισίου συνεργασίας (λαμβάνοντας υπόψιν τις περιορισμένες δυνατότητες σε υποδομές και έμψυχο δυναμικό της Ελληνικής Αρχής), θα υπάρξει η δυνατότητα αφενός επίλυσης των προκυπτόντων ζητημάτων αφετέρου ανάληψης πρωτοβουλιών με βάση τις κατευθυντήριες γραμμές και γνώμες που η ίδια η Αρχή είναι σε θέση, λόγω του έμπειρου και εξειδικευμένου προσωπικού της, να δώσει.
Συνταχθέν από τη Δήμητρα Παναγίδη