Ο σεβασμός στην προστασία των προσωπικών δεδομένων αποτελεί ακρογωνιαίο λίθο όχι μόνο της ευρωπαϊκής ανθρωποκεντρικής προσέγγισης της καινοτομίας, αλλα και της παρούσας Βίβλου Ψηφιακού Μετασχηματισμού. Εντάσσεται στο κανονιστικό υπόβαθρο ενός διευρυνόμενου φάσματος πολιτικών, συμπεριλαμβανομένων αυτών για την υγεία και την έρευνα, την τεχνητή νοημοσύνη, τις μεταφορές, την ενέργεια, τον ανταγωνισμό.
Ο Γενικός Κανονισμός ισχύει άμεσα στα κράτη-μέλη, σε εκπλήρωση της σχετικής υποχρέωσης για λήψη ορισμένων νομικών ενεργειών σε εθνικό επίπεδο, η Ελλάδα με το ν. 4624/2019 επικαιροποίησε τη νομοθεσία της. Στην παρούσα κατάσταση, επανεξέταση τυχόν απαιτήσεων της νομοθεσίας επιπλέον αυτών του Γενικού Κανονισμού μπορεί να οδηγήσει σε κατακερματισμό και να έχει ως αποτέλεσμα τη δημιουργία περιττών βαρών. Οι σχετικές δράσεις εναρμόνισης πρέπει να πλαισιώνονται από τυχόν διατάξεις που προσδιορίζουν περαιτέρω την εφαρμογή του Γενικού Κανονισμού, πληρούν τις απαιτήσεις του Χάρτη των Θεμελιωδών Δικαιωμάτων και δεν υπερβαίνουν τα όρια που θέτει ο Γενικός Κανονισμός, εξασφαλίζοντας ταυτόχρονα ότι δεν θίγεται η ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα εντός της Ε.Ε.
Σχετικά με το ρόλο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), ο Γενικός Κανονισμός παρέχει στις εθνικές αρχές προστασίας δεδομένων ένα σύνολο αρμοδιοτήτων. Δράσεις για την ενάσκηση των αρμοδιοτήτων της ΑΠΔΠΧ που περιλαμβάνουν τη δημιουργία Ολοκληρωμένου Πληροφοριακού Συστήματος διαχείρισης αιτημάτων πολιτών, επιχειρήσεων και δημόσιων υπηρεσιών μέσω της Διαδικτυακής Πύλης της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).
Παρακάτω παρουσιάζεται ένας συνοπτικός πίνακας ενδεικτικών έργων. Σημειώνεται ότι η καταγραφή των έργων δεν είναι εξαντλητική.
8.3.1.Έργα
Ολοκληρωμένο Πληροφοριακό σύστημα διαχείρισης αιτημάτων πολιτών, επιχειρήσεων, δημόσιων υπηρεσιών και λοιπών φορέων μέσω της Διαδικτυακής Πύλης της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).
Το πληροφοριακό σύστημα ουσιαστικά θα έχει ως στόχο την υποβοήθηση του έργου της Αρχής σχετικά με το GDPR, έτσι ώστε να να παρέχονται στα υποκείμενα των δεδομένων και τους υπευθύνους και εκτελούντες την επεξεργασία οι κατάλληλες ηλεκτρονικές υπηρεσίες.
Πιο συγκεκριμένα θα περιλαμβάνει τα ακόλουθα :
- Εργαλείο υποβοήθησης υπεύθυνων επεξεργασίας σχετικά με τη διαχείριση περιστατικών παραβίασης προσωπικών δεδομένων και εργαλείο υποβοήθησης της ΑΠΔΠΧ σχετικά με τη διαχείριση γνωστοποιήσεων περιστατικών παραβίασης προσωπικών δεδομένων.
- Εργαλείο αυτοαξιολόγησης (self assessment) σχετικά με την ασφάλεια και την προστασία προσωπικών δεδομένων (προσανατολισμένο κυρίως σε μικρομεσαίες επιχειρήσεις και οργανισμούς).
- Εργαλείο υποβοήθησης προγραμματισμού-εκτέλεσης διοικητικών ελέγχων ΑΠΔΠΧ.
- Υποβοήθηση πολιτών στην υποβολή καταγγελίας στην ΑΠΔΠΧ.
- Υποβοήθηση πολιτών στην άσκηση των δικαιωμάτων προς τους υπεύθυνους επεξεργασίας.
- Δημιουργία περιεχομένου (web αλλά και mobile apps) ενημέρωσης και ευαισθητοποίησης ιδίως για τα παιδιά.
- Εργαλείο/Πληροφοριακό Σύστημα Διοίκησης (Μ.Ι.S).
- Εικονικοί σταθμοί εργασίας.
Διαμόρφωση σχεδίου δράσης προκειμένου η Δημόσια Διοίκηση να επεξεργάζεται τα προσωπικά δεδομένα με ασφάλεια και τηρώντας πλήρως τον Γενικό Κανονισμό για την προστασία δεδομένων (ΓΚΠΔ) και τους κανόνες της Ε.Ε. για την ιδιωτικότητα
Θα διαμορφωθεί σχέδιο δράσης, προκειμένου η Δημόσια Διοίκηση να επεξεργάζεται τα προσωπικά δεδομένα με ασφάλεια και τηρώντας πλήρως τον Γενικό κανονισμό για την προστασία δεδομένων (ΓΚΠΔ) και τους κανόνες της Ε.Ε. για την ιδιωτικότητα. Ταυτόχρονα θα προωθηθούν δράσεις για μεγαλύτερη ευαισθητοποίηση του κοινού όσον αφορά τα δικαιώματα προστασίας των δεδομένων, καθώς ένας σημαντικός αριθμός πολιτών εξακολουθεί να μην λαμβάνει ενεργά μέτρα για την προστασία των δεδομένων του προσωπικού χαρακτήρα όταν χρησιμοποιεί το διαδίκτυο.
Παροχή Τεχνικής Βοήθειας προς φορείς του Δημοσίου με στόχο τη συμμόρφωσή τους ως προς τον Κανονισμό (ΕΕ) 2016/679 (Γενικός Κανονισμός για την Προστασία Δεδομένων / General Data Protection Regulation – GDPR), όπως αυτός εφαρμόζεται στην ελληνική έννομη τάξη ν. 4624/2019
Στόχος είναι η υποστήριξη των φορέων του Δημοσίου που δεν έχουν προβεί έως σήμερα σε ολες τις απαιτούμενες ενέργειες για τη συμμόρφωση τους με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (General Data Protection Regulation). Η υποστήριξη αυτή θα παρασχεθεί μέσω εξειδικευμένων συμβούλων που θα επιλεγούν από το Υπουργείο Ψηφιακής Διακυβέρνησης με τις προβλεπόμενες διαδικασίες.
Πίνακας 14: Ενδεικτικά έργα σχετικά με την ιδιωτικότητα και την προστασία προσωπικών δεδομένων
Πηγή: Ιδία επεξεργασία
ΚΕΦΑΛΑΙΟ 8: ΟΡΙΖΟΝΤΙΕΣ ΠΑΡΕΜΒΑΣΕΙΣ 124
8.1. Οριζόντια ψηφιακά έργα μετασχηματισμού της Δημόσιας Διοίκησης 124
8.2. Ανοικτή και Συμμετοχική Διακυβέρνηση 148
8.3. Ιδιωτικότητα και προστασία δεδομένων 150
8.3.1.Έργα 150
Προσωπικά Δεδομένα
1. Ενημέρωση και ευαισθητοποίηση των παιδιών όχι μόνο στο ζήτημα των προσωπικών δεδομένων αλλά και στη διαχείριση αυτών μέσα από το διαδίκτυο και social media.
2. Ενημέρωση τόσο για τα δικαιώματα πολιτών όσο και για τις υποχρεώσεις των ελληνικών επιχειρήσεων να συμμορφωθούν στη σχετική Οδηγία (ελάχιστες έχουν προβεί σε προσαρμογή). Ίσως μέσω των επιμελητηρίων να μπορεί να υλοποιηθεί αυτό.
Ενότητα 8.3.1
Σε συνδυασμό με το πληροφοριακό σύστημα για την υποβοήθηση της ΑΠΔΠΧ, ιδανική θα ήταν η πρόβλεψη για αύξηση του προϋπολογισμού της και του προσωπικού το οποίο απασχολεί. Θεωρείται κρίσιμο να αυξηθεί η χρηματοδότηση και εν γένει η υποστήριξη στα εποπτικά όργανα που θα διαδραματίσουν κρίσιμο ρόλο στην εφαρμογή των προβλεπόμενων στην ΒΨΜ.
Επίσης, το πληροφοριακό σύστημα που θα αναπτυχθεί για την ΑΠΔΠΧ θα μπορούσε να είναι διαλειτουργικό και να χρησιμοποιείται συνδυαστικά και από άλλες κρίσιμες για την ψηφιακή αγορά εποπτικές αρχές όπως η ΕΕΤΤ, ο συνήγορος του Καταναλωτή, η Επιτροπή Ανταγωνισμού, η ΕΑΔ, η Εθνική Αρχή Κυνερνοασάλειας και η ΑΔΑΕ.
Εν γένει η συμμόρφωση του Δημοσίου αντιμετωπίζεται από την τεχνική της διάσταση. Το σκέλος “Διαμόρφωση σχεδίου δράσης προκειμένου η Δημόσια Διοίκηση να επεξεργάζεται τα προσωπικά δεδομένα με ασφάλεια και τηρώντας πλήρως τον Γενικό Κανονισμό για την προστασία δεδομένων (ΓΚΠΔ) και τους κανόνες της Ε.Ε. για την ιδιωτικότητα” θα πρέπει να καλύψει το οργανωτικό και νομικό σκέλος της συμμόρφωσης.
Ενότητα 8.3
Εν γένει στη Δημόσια Διοίκηση υπάρχει μια μεγάλη ασάφεια και σύγχυση ως προς τους ρόλους και τις ευθύνες των εμπλεκομένων φορέων και Υπουργείων, από πλευράς Προστασίας Προσωπικών Δεδομένων. Για πολλές επεξεργασίες ο προσδιορισμός του Υπευθύνου της επεξεργασίας είναι ιδιαιτέρως δύσκολος, έως και ακατόρθωτος τόσο για τους πολίτες όσο για την ίδια τη Διοίκηση.
Συνεπώς, στο πλαίσιο της πληρότητας της Βίβλου Ψηφιακού Μετασχηματισμού και της διασφάλισης της πλήρους ευθυγράμμισης της με το ενωσιακό και εθνικό ρυθμιστικό καθεστώς για την προστασία των προσωπικών δεδομένων, είναι επιτακτικό να γίνει στην παρούσα ρητός προσδιορισμός για τον ρόλο όλων των εμπλεκόμενων μερών (Υπεύθυνοι, Εκτελούντες, Συνυπεύθυνοι, Αυτοτελώς Υπεύθυνοι). Μόνο έτσι η συμμόρφωση του Δημοσίου θα γίνει ενιαία, έχοντας εξαρχής ξεκάθαρους και ευδιάκριτους ρόλους. Ένας τέτοιος προσδιορισμός θα εισφέρει σημαντικά όχι μόνο στη συμμόρφωση της Διοίκησης με το νομικό πλαίσιο προστασίας προσωπικών δεδομένων, αλλά και στον εξορθολογισμό της Διοίκησης, των οργανογραμμάτων και της διαλειτουργικότητας των συστημάτων και των φορέων.
Όλες οι δημόσιες υπηρεσίες χρειάζονται DPO ο οποίος πρέπει να εκτελεί τα DPIAs ώστε να παίρνονται τα ανάλογα μέτρα προστασίας. Ο DPO πρέπει να γνωρίζει ποια συστήματα διαχειρίζονται ποιές πληροφορίες ώστε μαζί με τον CISO να θέσουν στρατηγική Mitigation σε περίπτωση προβλήματος