Ένας ευρύς ορισμός των δεδομένων, των αρχείων και της επεξεργασίας τους

Απόσπασμα από το βιβλίο του Bruno DUMAY: ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΗ GDPR – Για διευθυντές, στρατηγικά τμήματα και υπαλλήλους εταιρειών και οργανισμών – Πρόλογος από την Gaëlle MONTEILLER

Νομίζουμε ότι γνωρίζουμε τι είναι τα προσωπικά δεδομένα (σημειώστε ότι ο όρος δεν χρησιμοποιείται στον ενικό, πιθανώς επειδή είναι απαραίτητο να συγκεντρωθούν τουλάχιστον δύο δεδομένα – ένα όνομα και μια διεύθυνση, για παράδειγμα – για να ξεκινήσει η επεξεργασία τους). Αλλά να είστε προσεκτικοί, για να αποφύγετε λάθη, ας λάβουμε υπόψη τον ορισμό όπως διατυπώνεται στο Άρθρο 4 του Κανονισμού: «οποιαδήποτε πληροφορία που αφορά ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο· ένα «ταυτοποιήσιμο φυσικό πρόσωπο» είναι αυτό που μπορεί να ταυτοποιηθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε ένα αναγνωριστικό στοιχείο όπως ένα όνομα, έναν αριθμό ταυτότητας, δεδομένα τοποθεσίας, ένα ηλεκτρονικό αναγνωριστικό στοιχείο ή σε έναν ή περισσότερους παράγοντες που αφορούν ειδικά τη φυσική, φυσιολογική, γενετική, ψυχική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα αυτού του φυσικού προσώπου».

Ενώ η διατύπωση δεν είναι καθόλου ρευστή, δεν αφήνει καμία αμφιβολία ως προς την ευρεία έννοια με την οποία θα πρέπει να νοείται ο όρος. Η φράση «οποιαδήποτε πληροφορία» που συνδέεται με ένα πρόσωπο συνιστά προσωπικό δεδομένο. Η λίστα των επιθέτων που σχετίζονται με την «ταυτότητα» του προσώπου υπογραμμίζει, εάν χρειάζεται, το εύρος της λέξης «πληροφορία». 

Η CNIL διευκρίνισε την έννοια των προσωπικών δεδομένων σε ένα σχόλιο επί του άρθρου 2 του Νόμου περί Προστασίας Δεδομένων: «Τα δεδομένα θεωρούνται «προσωπικά» όταν αφορούν άμεσα ή έμμεσα ταυτοποιημένα φυσικά πρόσωπα. Ένα πρόσωπο ταυτοποιείται όταν, για παράδειγμα, το όνομά του εμφανίζεται σε ένα αρχείο.»

Ένα άτομο είναι αναγνωρίσιμο όταν ένα αρχείο περιέχει πληροφορίες που επιτρέπουν έμμεσα την ταυτοποίησή του (π.χ.: διεύθυνση IP, όνομα, αριθμός μητρώου, αριθμός τηλεφώνου, φωτογραφία, βιομετρικά στοιχεία όπως δακτυλικό αποτύπωμα, DNA, Εθνικός Αριθμός Φοιτητικής Ταυτότητας (INE), σύνολο πληροφοριών που επιτρέπουν τη διάκριση ενός ατόμου εντός ενός πληθυσμού (ορισμένα στατιστικά αρχεία) όπως, για παράδειγμα, τόπος κατοικίας και επάγγελμα και φύλο και ηλικία). Δεδομένα που μπορεί να θεωρήσετε ανώνυμα ενδέχεται να συνιστούν προσωπικά δεδομένα εάν επιτρέπουν την έμμεση ταυτοποίηση ενός συγκεκριμένου ατόμου ή μέσω διασταυρούμενων παραπομπών σε πληροφορίες. Αυτές μπορεί στην πραγματικότητα να είναι πληροφορίες που δεν σχετίζονται με το όνομα ενός ατόμου, αλλά που επιτρέπουν εύκολα την ταυτοποίησή του και τη γνώση των συνηθειών ή των προτιμήσεών του.

Υπό αυτή την έννοια, τα προσωπικά δεδομένα περιλαμβάνουν επίσης όλες τις πληροφορίες που, όταν διασταυρώνονται, επιτρέπουν την ταυτοποίηση ενός συγκεκριμένου προσώπου (π.χ. δακτυλικό αποτύπωμα, DNA, ημερομηνία γέννησης που σχετίζεται με έναν δήμο κατοικίας)...

Ο ΓΚΠΔ εξαιρεί από το πεδίο εφαρμογής του τις δραστηριότητες των κρατών που σχετίζονται με την ασφάλειά τους (16^μι αιτιολογική σκέψη), και φυσικά δραστηριότητες καθαρά εγχώριας φύσης (άρθρο 2). Από την άλλη πλευρά, ο κανονισμός αφορά όλες τις εταιρείες (και τις διοικήσεις και τους οργανισμούς και τις ενώσεις) που επεξεργάζονται δεδομένα Ευρωπαίων πολιτών, είτε είναι εγκατεστημένοι στην ήπειρο είτε όχι. Ομοίως, εάν μια εταιρεία χρησιμοποιεί υπεργολάβο με έδρα εκτός ΕΕ, ο τελευταίος πρέπει επίσης να ενεργεί σύμφωνα με αυτόν (άρθρο 3).

Δεδομένου ότι αυτά τα δεδομένα αποθηκεύονται σε αρχεία, ας σημειώσουμε επίσης τον ορισμό αυτής της λέξης: «οποιοδήποτε δομημένο σύνολο προσωπικών δεδομένων προσβάσιμο σύμφωνα με συγκεκριμένα κριτήρια, είτε αυτό το σύνολο είναι κεντρικό, αποκεντρωμένο είτε κατανεμημένο λειτουργικά ή γεωγραφικά». Και εδώ, είναι σαφές ότι δεν μπορούμε να είμαστε πονηροί προσπαθώντας να αποθηκεύσουμε δεδομένα σε βάσεις δεδομένων που δεν θα μπορούσαν να ονομαστούν «αρχεία». Όχι μόνο το εργαλείο μας θα αναταξινομούνταν, αλλά η εποπτική αρχή αναμφίβολα θα το θεωρούσε αυτό επιβαρυντικό στοιχείο.

Ομοίως, ένας τεχνίτης που αντιστέκεται στην μηχανοργάνωση και τηρεί έντυπα αρχεία των πελατών του με αλφαβητική σειρά δεν μπορεί να αποφύγει τον ΓΚΠΔ (άρθρο 2, παράγραφος 1).

Ακριβώς επειδή προορίζονται για επεξεργασία, τα δεδομένα που αποτελούν τα αρχεία πρέπει να προστατεύονται. Τι είναι η επεξεργασία; «Κάθε πράξη ή σειρά πράξεων που εκτελείται σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, είτε με αυτοματοποιημένα μέσα είτε όχι, όπως συλλογή, καταγραφή, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή τροποποίηση, ανάκτηση, διαβούλευση, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη διάθεση, συσχέτιση ή συνδυασμός, περιορισμός, διαγραφή ή καταστροφή» (Άρθρο 4, παρ. 2). Η λίστα των λέξεων είναι σχεδόν εξαντλητική: μόλις αγγίξουμε δεδομένα, τα επεξεργαζόμαστε και, ως εκ τούτου, υποκείμεθα στον κανονισμό. Κατά μείζονα λόγο, η δημιουργία προφίλ - η επεξεργασία δεδομένων κατά τρόπο που να αξιολογεί ή να προβλέπει συμπεριφορά - πρέπει να παρακολουθείται αυστηρά.

Ο ΓΚΠΔ συνιστά την ψευδωνυμοποίηση όπου είναι δυνατόν, έτσι ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε φυσικό πρόσωπο χωρίς τη χρήση πρόσθετων πληροφοριών. «Η ψευδωνυμοποίηση των προσωπικών δεδομένων μπορεί να μειώσει τους κινδύνους για τα υποκείμενα των δεδομένων και να βοηθήσει τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία να εκπληρώσουν τις υποχρεώσεις τους περί προστασίας δεδομένων» (28).^μι αναλογώς).  

Ο έλεγχος της επεξεργασίας έχει εκτοξευθεί στα όριά του, καθώς εκτείνεται πέρα από τα σύνορα. Πράγματι, τα δεδομένα που διαβιβάζονται εκτός της Ευρωπαϊκής Ένωσης εξακολουθούν να υπόκεινται στο ευρωπαϊκό δίκαιο, για τη μεταφορά φυσικά, αλλά και για οποιαδήποτε μεταγενέστερη επεξεργασία. Κάποιος μπορεί επίσης να αναρωτηθεί εάν ενδέχεται να προκύψουν νομικές διαφορές, ιδίως με την Κίνα ή τις Ηνωμένες Πολιτείες. Προκειμένου να ενημερωθούν εκ των προτέρων οι εταίροι που είναι εγκατεστημένοι εκτός ΕΕ, ο κανονισμός συνιστά την υπογραφή δεσμευτικών εταιρικών κανόνων (BCR) ή την υιοθέτηση τυποποιημένων συμβατικών ρητρών, επικυρωμένων από τον ευρωπαϊκό φορέα.

Τέλος, ας διευκρινίσουμε ότι η παραβίαση προσωπικών δεδομένων είναι μια «παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα που διαβιβάζονται, αποθηκεύονται ή υποβάλλονται σε επεξεργασία με άλλο τρόπο» (άρθρο 4, παρ. 12). Και εδώ, ο όρος πρέπει επομένως να νοείται με πολύ ευρεία έννοια.