Το βαρύ φορτίο για τους υπεύθυνους επεξεργασίας δεδομένων

Απόσπασμα από το βιβλίο του Bruno DUMAY: ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΗ GDPR – Για διευθυντές, στρατηγικά τμήματα και υπαλλήλους εταιρειών και οργανισμών – Πρόλογος από την Gaëlle MONTEILLER

Ο ΓΚΠΔ εστιάζει στην λογοδοσία των ενδιαφερόμενων μερών. Σε αντίθεση με την οδηγία του 1995 (το πρώτο σημαντικό ευρωπαϊκό κείμενο για την προστασία δεδομένων), δεν απαιτεί προηγούμενη άδεια ή δήλωση. Πρόκειται για μια έξυπνη κίνηση εκ μέρους των σχεδιαστών του: η έλλειψη προηγούμενου ελέγχου συμβάλλει στην αποδοχή των προσπαθειών που απαιτούνται για τη συμμόρφωση με τους νέους κανόνες.

Όπως είδαμε, ο ΓΚΠΔ προσδιορίζει έναν «υπεύθυνο επεξεργασίας δεδομένων» σε κάθε δομή, ο οποίος πρέπει να είναι υπεύθυνος για τη διασφάλιση της απαιτούμενης συμμόρφωσης και στη συνέχεια για τη διασφάλιση της ορθής λειτουργίας της επεξεργασίας δεδομένων. Τα καθήκοντα αυτού του υπευθύνου επεξεργασίας είναι επαχθή: όχι μόνο πρέπει να εφαρμόζει τα κατάλληλα μέτρα, αλλά πρέπει επίσης να είναι σε θέση να «αποδεικνύει» ότι η επεξεργασία πραγματοποιείται σύμφωνα με τον κανονισμό (άρθρο 24-1). Αυτό δεν αποτελεί υποχρέωση, αλλά η αναφορά σε έναν κώδικα δεοντολογίας (άρθρο 40) ή πιστοποίηση (άρθρο 42) που προτείνουν οι εποπτικές αρχές μπορεί να διευκολύνει την απαιτούμενη απόδειξη.

Η κατευθυντήρια αρχή του υπευθύνου επεξεργασίας είναι απλή: η χρήση προσωπικών δεδομένων όσο το δυνατόν λιγότερο. Το Άρθρο 25 συνιστά επομένως την «ψευδωνυμοποίηση» και την «ελαχιστοποίηση», που έχουν ήδη αναφερθεί παραπάνω. Προσθέτει την αρχή της προστασίας των δεδομένων εξ ορισμού: «Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίσει ότι, εξ ορισμού, υποβάλλονται σε επεξεργασία μόνο τα προσωπικά δεδομένα που είναι απαραίτητα για κάθε συγκεκριμένο σκοπό της επεξεργασίας» (άρθρο 25-2). Σε αντίθεση με τις τρέχουσες πρακτικές, όπου τα πάντα «λαμβάνονται», εκτός εάν ορίζεται ρητά διαφορετικά, πρέπει πλέον να χρησιμοποιείται μόνο ό,τι είναι απολύτως απαραίτητο για την επίτευξη του δηλωμένου στόχου. Η προστασία εξ ορισμού φαίνεται, κατά κάποιο τρόπο, κατά τη στιγμή της επεξεργασίας, να συμπληρώνει την ελαχιστοποίηση των δεδομένων κατά τη στιγμή της συλλογής.

Δύο επαγγελματίες μπορεί να είναι από κοινού υπεύθυνοι για την επεξεργασία· σε αυτήν την περίπτωση, ο ρόλος του καθενός ορίζεται με ακρίβεια και γνωστοποιείται στο υποκείμενο των δεδομένων (άρθρο 26). Όταν ο/οι υπεύθυνος/οι επεξεργασίας δεδομένων δεν είναι εγκατεστημένος/οι στην Ευρωπαϊκή Ένωση, ορίζουν έναν εκπρόσωπο εγκατεστημένο/ους σε ένα από τα κράτη μέλη, ο/οι οποίος/α θα έχει την εντολή να είναι το πρόσωπο επικοινωνίας για το υποκείμενο των δεδομένων και τις εποπτικές αρχές (άρθρο 27). Η χρήση των υπηρεσιών υπεργολάβου είναι δυνατή, υπό την προϋπόθεση ότι ο τελευταίος παρέχει επαρκείς εγγυήσεις ότι η επεξεργασία διενεργείται σύμφωνα με τον ΓΚΠΔ (άρθρο 28-1).

Η τήρηση «μητρώου δραστηριοτήτων επεξεργασίας» είναι υποχρεωτική (άρθρο 30). Πρέπει να περιλαμβάνει τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας, τους σκοπούς της επεξεργασίας, τις κατηγορίες προσώπων, δεδομένων και αποδεκτών, τυχόν διαβιβάσεις σε τρίτη χώρα, τις προθεσμίες διαγραφής και μια γενική περιγραφή των μέτρων ασφαλείας. Το μητρώο αυτό πρέπει να τίθεται στη διάθεση της εποπτικής αρχής εάν το ζητήσει. Δεν είναι υποχρεωτικό για εταιρεία ή οργανισμό με λιγότερους από 250 υπαλλήλους, «εκτός εάν η επεξεργασία που πραγματοποιούν είναι πιθανό να ενέχει κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, εάν δεν είναι περιστασιακή...» (άρθρο 30-5). Προσέξτε, επομένως: το μέγεθος της εταιρείας από μόνο του δεν αποτελεί επαρκές κριτήριο για εξαίρεση από το μητρώο. Εάν επεξεργάζεστε δεδομένα συχνά ή εάν η δραστηριότητά σας μπορεί με οποιονδήποτε τρόπο να συνδεθεί με τα «δικαιώματα και τις ελευθερίες των ατόμων», υποχρεούστε να τηρείτε μητρώο των δραστηριοτήτων που πραγματοποιούνται.

Ένας κανονισμός δεν είναι τεχνικό εγχειρίδιο. Το Άρθρο 32, που είναι αφιερωμένο στην ασφάλεια της επεξεργασίας, υπενθυμίζει ωστόσο ορισμένες βασικές αρχές: την ψευδωνυμοποίηση και την κρυπτογράφηση, μέσα εγγύησης της εμπιστευτικότητας και της ακεραιότητας, της αποκατάστασης της διαθεσιμότητας των δεδομένων και της πρόσβασης σε αυτά σε περίπτωση συμβάντος. Οι συντάκτες του κειμένου δεν παραμελούν τον κίνδυνο της παραβίασης δεδομένων: «Κατά την αξιολόγηση του κατάλληλου επιπέδου ασφάλειας, λαμβάνονται ιδιαίτερα υπόψη οι κίνδυνοι που παρουσιάζει η επεξεργασία, οι οποίοι προκύπτουν ιδίως από την τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται, αποθηκεύονται ή υποβάλλονται σε επεξεργασία με άλλο τρόπο ή από μη εξουσιοδοτημένη πρόσβαση σε τέτοια δεδομένα» (άρθρο 32-2). Με άλλα λόγια, ένα σύστημα επεξεργασίας θα θεωρείται συμμορφούμενο μόνο εάν προσφέρει τις απαραίτητες εγγυήσεις, τουλάχιστον τις μέγιστες, όσον αφορά την προστασία και την ασφάλεια των δεδομένων. Θυμόμαστε την αναταραχή που προκλήθηκε από την παραβίαση της βάσης δεδομένων μελών του βορειοαμερικανικού ιστότοπου γνωριμιών για παντρεμένους, όταν δεκάδες χιλιάδες εμπιστευτικά προφίλ κυκλοφόρησαν στο διαδίκτυο.

Εάν, παρά τις προφυλάξεις που έχουν ληφθεί, διαπιστωθεί παραβίαση προσωπικών δεδομένων, ο υπεύθυνος επεξεργασίας δεδομένων οφείλει να ενημερώσει την εποπτική αρχή εντός 72 ωρών «εκτός εάν η εν λόγω παραβίαση είναι απίθανο να οδηγήσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων» (άρθρο 33-1). Αυτή η προειδοποίηση παρέχει κάποιο περιθώριο, ακόμη και αν ολόκληρο το κείμενο υποδηλώνει ότι δεν πρέπει να γίνεται κατάχρηση για την απόκρυψη ενός προβλήματος. Η έκθεση πρέπει να αναφέρει τη φύση της παραβίασης, τον κατά προσέγγιση αριθμό των εμπλεκομένων ατόμων, τις πιθανές συνέπειες αυτής της παραβίασης και τα μέτρα που ελήφθησαν ή προτάθηκαν για την αντιμετώπιση του προβλήματος ή τον περιορισμό των συνεπειών του.

Ο υπεύθυνος επεξεργασίας δεδομένων οφείλει επίσης να ενημερώσει το θύμα για την παραβίαση το συντομότερο δυνατό (Άρθρο 34). Η εν λόγω επικοινωνία δεν είναι απαραίτητη εάν τα κλεμμένα δεδομένα είναι «ακατανόητα», για παράδειγμα λόγω κρυπτογράφησης, ή εάν τα μέτρα που έχουν ληφθεί σημαίνουν ότι δεν υπάρχουν κίνδυνοι για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων ή εάν η εν λόγω επικοινωνία «θα απαιτούσε δυσανάλογες προσπάθειες. Σε τέτοιες περιπτώσεις, θα πρέπει να πραγματοποιείται δημόσια επικοινωνία ή παρόμοιο μέτρο που να επιτρέπει στα υποκείμενα των δεδομένων να ενημερώνονται με εξίσου αποτελεσματικό τρόπο» (Άρθρα 34-3γ). Η παρούσα παράγραφος στοχεύει στις μαζικές παραβιάσεις δεδομένων και απαλλάσσει τους υπεύθυνους επεξεργασίας δεδομένων από την αποστολή εξατομικευμένου email σε κάθε άτομο που βρίσκεται στα αρχεία του.

Τέλος, ας διευκρινίσουμε ότι το πνεύμα του GDPR είναι σαφές: σε μια εταιρεία που έχει συσταθεί με θυγατρικές, οι υποχρεώσεις των τελευταίων είναι οι ίδιες με αυτές της μητρικής εταιρείας.