Ευρωπαϊκή Ημέρα Προστασίας Προσωπικών Δεδομένων, 28 Ιανουαρίου 2017

Η Επιτροπή Υπουργών του Συμβουλίου της Ευρώπης έχει καθιερώσει, από τις 26/4/2006, την 28η Ιανουαρίου ως Ευρωπαϊκή Ημέρα Προστασίας Προσωπικών Δεδομένων. Ο εορτασμός της ημέρας αυτής αποσκοπεί στην ευαισθητοποίηση των πολιτών σε θέματα προστασίας προσωπικών δεδομένων.

Με αφορμή τον εορτασμό της 11ης Ευρωπαϊκής Ημέρας Προστασίας Προσωπικών Δεδομένων 2017, η Αρχή διοργανώνει την Πέμπτη 26 Ιανουαρίου και ώρα 10:30,* στην Αίθουσα Σεμιναρίων της, Λ. Κηφισίας 1-3, Αθήνα (1ος όροφος), Eνημερωτική Ημερίδα με ομιλητές ειδικούς επιστήμονες του τμήματος Ελεγκτών και τις εξής θεματικές ενότητες:

Privacy Shield και διαβίβαση προσωπικών δεδομένων στις ΗΠΑ
Προστασία των προσωπικών δεδομένων στις ηλεκτρονικές επικοινωνίες εν όψει της αναθεώρησης της οδηγίας e-privacy

Βλ. σχετικά εδώ

Ανάρτηση φωτογραφιών και λοιπών στοιχείων ταυτότητας οροθετικών γυναικών

Με Δελτίο Τύπου της 5ης Δεκεμβρίου 2016 (αρ. πρωτ.: Γ/ΕΞ/8005/05.12.2016), η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, εξέδωσε το ακόλουθο δελτίο Τύπου, αναφορικά με τις οροθετικές γυναίκες που είχαν κατηγορηθεί και στη συνέχεια αθωωθεί:

Η Αρχή, διαπιστώνοντας ότι εξακολουθούν να βρίσκονται αναρτημένες φωτογραφίες και λοιπά στοιχεία ταυτότητας των κατηγορούμενων ως οροθετικών εκδιδόμενων γυναικών σε ορισμένες ιστοσελίδες −στοιχεία στα οποία συγκαταλέγονται ευαίσθητα προσωπικά δεδομένα και τα οποία αναδημοσιεύτηκαν από σχετικές αναρτήσεις της ιστοσελίδας της Ελληνικής Αστυνομίας− αποφάσισε, στο πλαίσιο άσκησης των αρμοδιοτήτων της, να απευθύνει συστάσεις στις ιστοσελίδες αυτές, τονίζοντας ότι πρέπει:

  • Να αφαιρέσουν άμεσα τις σχετικές αναρτήσεις, ενημερώνοντας την Αρχή.
  • Να μη δημοσιεύουν στο εξής δεδομένα προσωπικού χαρακτήρα από την ιστοσελίδα της Ελληνικής Αστυνομίας όταν πλέον έχει παρέλθει το χρονικό διάστημα κατά το οποίο εξυπηρετούνταν ο επιδιωκόμενος σκοπός, ιδίως όταν η ανάρτηση έχει αφαιρεθεί από την ιστοσελίδα της Ελληνικής Αστυνομίας, όπως στη συγκεκριμένη περίπτωση.

Η Αρχή επισημαίνει, περαιτέρω, ότι η αρχική ανάρτηση και δημοσίευση φωτογραφιών και στοιχείων στην ιστοσελίδα της Ελληνικής Αστυνομίας, μεταξύ των οποίων και η δημοσίευση ευαίσθητων προσωπικών δεδομένων, πραγματοποιείται μόνον κατόπιν εισαγγελικής διάταξης (άρθρο 2, στοιχ. β’ του ν. 2472/1997) στην οποία προσδιορίζεται τόσο ο τρόπος δημοσιοποίησης όσο και το χρονικό διάστημα που θα διαρκέσει αυτή. Τέλος, η Αρχή καλεί όσους προβαίνουν σε παρόμοιες αναρτήσεις να προσαρμοστούν στις ανωτέρω συστάσεις.

Νομιμότητα επεξεργασίας ποινικών δεδομένων εργαζομένων από τον εργοδότη

Με την την υπ’ αριθμ. 101/2016 απόφασή της η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έκρινε τις προϋποθέσεις για τη νόμιμη επεξεργασία ποινικών μητρώων γενικής χρήσεως εργαζομένων από τους εργοδότες. Συγκεκριμένα, τα πραγματικά περιστατικά που τέθηκαν υπόψη της, αφορούσαν την επεξεργασία προσωπικών δεδομένων υπαλλήλων σε τηλεφωνικό κέντρο (Call Centre) εταιρείας και τμήµα υποστήριξης, ειδικότερα, δε, πιστοποιητικών ποινικού μητρώου γενικής χρήσεως και υπεύθυνων δηλώσεων περί μη καταδίκης για οποιοδήποτε οικονομικό έγκλημα.

Η Αρχή έκρινε ότι όπου δεν υπάρχει σαφής, ρητή και ειδική νοµοθετική πρόβλεψη για την απουσία ποινικής καταδίκης για συγκεκριµένα εγκλήµατα, η συλλογή και επεξεργασία πληροφοριών δεδοµένων προσωπικού χαρακτήρα από υποψήφιους προς εργασία ή προς κατάληψη θέσης σχετικά µε απουσία ποινικής καταδίκης μπορεί να πραγματοποιηθεί, κατά τις διατάξεις του άρθρου 7 παρ. 2 στοιχ. (γ΄) του Ν. 2472/1997.

Προκειµένου, ωστόσο, να πληρούται και η θεµελιώδης αρχή της αναλογικότητας των δεδοµένων εν όψει του προβαλλόµενου σκοπού επεξεργασίας, δηλαδή τη διαφύλαξη των εννόµων συµφερόντων της εργοδότριας εταιρείας, πρέπει να πληρούνται οι ακόλουθες προϋποθέσεις:

(1) Οι πληροφορίες σχετικά µε την απουσία ποινικής καταδίκης πρέπει να συλλέγονται απευθείας και µόνον από τον εκάστοτε ενδιαφερόµενο εργαζόµενο ή υποψήφιο, δια της υποβολής υπεύθυνης δήλωσης για την ανυπαρξία αµετάκλητης καταδίκης υπό την επιφύλαξη του άρθρου 576 παρ. 3 ΚΠοιν∆, ως προς το περιεχόµενο των αντιγράφων ποινικού µητρώου γενικής χρήσεως, µε την έννοια ότι η αναφερόµενη στην υπεύθυνη δήλωση ανυπαρξία καταδίκης αφορά πράξεις η καταδίκη στις οποίες εµφαίνεται στο ποινικό µητρώο γενικής χρήσεως υπό την προϋπόθεση ότι σχετίζονται µε την οικονοµική και παραγωγική δραστηριότητα της εταιρείας και µε τα καθήκοντα του υποψηφίου ή εργαζόµενου.

(2) Αποκλείεται η συλλογή και περαιτέρω επεξεργασία αντιγράφων ποινικού µητρώου γενικής χρήσεως, καθόσον υπερβαίνει τον προβαλλόµενο σκοπό επεξεργασίας. Και τούτο, ιδίως διότι τοιαύτη επεξεργασία δύναται να αποκαλύψει την ύπαρξη ποινικών καταδικών, που δεν έχουν σχέση µε την κύρια οικονοµική και παραγωγική δραστηριότητα της εργοδότριας εταιρείας, ως υπευθύνου επεξεργασίας.

(3) Η συλλογή και περαιτέρω επεξεργασία των ως άνω υπεύθυνων δηλώσεων επιτρέπεται όχι για όλες τις κατηγορίες προσωπικού, αλλά µόνο για εκείνες που έχουν σχέση µε την κύρια οικονοµική και παραγωγική δραστηριότητα της εργοδότριας εταιρείας, ως υπευθύνου επεξεργασίας, όπως τα καθήκοντα των εργαζοµένων των κατηγοριών αυτών προκύπτουν από τις συµβάσεις εργασίας τους και καθορίζουν το κύριο επάγγελµά τους, λαµβανοµένων υπόψη και των διατάξεων του Π∆ 156/1994 για την υποχρέωση του εργοδότη να ενηµερώνει τον εργαζόµενο για τους όρους που διέπουν τη σύµβαση ή τη σχέση εργασίας. Οι εν λόγω κατηγορίες µπορεί να οριοθετηθούν ως εξής: υπάλληλοι των τµηµάτων: α) Τηλεφωνικό Κέντρο (Call Centre) και β) Τµήµα Υποστήριξης (Office).

(4) Ο χρόνος τηρήσεως των δεδοµένων για τους ήδη εργαζοµένους πρέπει να προσδιοριστεί στα πέντε έτη από τη λήξη της εργασιακής σχέσεως, ενώ για τους υποψήφιους προς εργασία, οι οποίοι τελικώς δεν προσελήφθησαν στους έξι µήνες από την ολοκλήρωση της διαδικασίας προσλήψεως (ανακοίνωση προσληφθέντων).

European Union

Ο Γενικός Κανονισμός της ΕΕ για την Προστασία Προσωπικών Δεδομένων

European Union

Στις 6 Απριλίου το Συμβούλιο της ΕΕ δημοσίευσε το κείμενο του Κανονισμού για την προστασία δεδομένων, σε μεταφράσεις στις επίσημες γλώσσες της Ένωσης. Το κείμενο αυτό θα σταλεί στο Ευρωπαϊκό Κοινοβούλιο, όπου θα εγκριθεί πρώτα από την Επιτροπή LIBE και στη συνέχεια, από την ολομέλεια στις 14 Απριλίου. Ακολούθως, θα δημοσιευθεί στην Εφημερίδα της ΕΕ και θα τεθεί σε ισχύ μετά από δύο έτη.

Βλ. το κείμενο εδώ: ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/… ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)

Σημειώνεται ότι η Ομάδα εργασίας του άρθρου 29 εξέδωσε στις 2 Φεβρουαρίου δήλωση για το σχέδιο δράσης του 2016 για την εφαρμογή του Κανονισμού που θα εκδοθεί.

 

Βλ. παρουσίαση του Κανονισμού: https://www.youtube.com/watch?v=c2-ZBZMfl-0&nohtml5=False

 

Προδικαστικό ερώτημα προς το ΔΕΕ σχετικά με τη δικαιοδοσία των εθνικών αρχών προστασίας προσωπικών δεδομένων



Στο ΔΕΕ παραπέμπεται μια υπόθεση (C-230/14) που αφορά την προστασία προσωπικών δεδομένων και τη δικαιοδοσία, συγκεκριμένα, μιας εθνικής αρχής προστασίας προσωπικών δεδομένων, έναντι κατόχου ιστοσελίδας με εγκατάσταση σε άλλο κράτος μέλος της ΕΕ.

H συγκεκριμένη υπόθεση έχει ως εξής: Η Ουγγρική αρχή προστασίας προσωπικών δεδομένων επέβαλε το μέγιστο προβλεπόμενο διοικητικό πρόστιμο (€ 35.700) σε ένα διαδικτυακό μεσιτικό κατάστημα για παράνομη επεξεργασία προσωπικών δεδομένων που έχει ως έδρα τη Σλοβακία. Η εν λόγω εταιρία εξαπατούσε τους καταναλωτές, προσφέροντας αρχικώς δωρεάν υπηρεσίες, αλλά μετά από δοκιμαστική περίοδο τους χρέωνε με υψηλά ποσά. Ο υπεύθυνος επεξεργασίας αρνούνταν στους πελάτες να υπαναχωρήσουν και να αφαιρέσουν τις αγγελίες που έβαζαν, η ισχύς των οποίων έληγε εφόσον ο πελάτης δεν πλήρωνε. Και επίσης, μεταβίβαζαν τα δεδομένα των πελατών σε εξωτερικούς παροχείς χωρίς τη συναίνεσή τους και χωρίς ενημέρωση (βλ. αναλυτικά εδώ). Η Ουγγρική Αρχή προστασίας προσωπικών δεδομένων που διερεύνησε τις καταγγελίες των πελατών του καταστήματος αυτού καταδίκασε την εταιρία σε πρόστιμο και η τελευταία άσκησε προσφυγή ενώπιον δικαστηρίου. Στην κατ’ έφεση δίκη, το δικαστήριο απηύθυνε προδικαστικό ερώτημα προς το ΔΕΕ σχετικά με τη δικαιοδοσία της Ουγγρικής Αρχής και το εφαρμοστέο δίκαιο.

Ειδικότερα, τα προδικαστικά ερωτήματα είναι τα εξής:

Έχει το άρθρο 28, παράγραφος 1, της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (στο εξής: οδηγία για την προστασία των δεδομένων), την έννοια ότι η εθνική νομοθεσία κράτους μέλους μπορεί να εφαρμοσθεί, εντός του εδάφους του κράτους μέλους αυτού στην περίπτωση υπευθύνου επεξεργασίας δεδομένων με πλήρη εγκατάσταση σε άλλο κράτος μέλος, ο οποίος εκμεταλλεύεται διαδικτυακό ιστότοπο μεσιτείας ακινήτων και προωθεί, μεταξύ άλλων, ακίνητα ευρισκόμενα στο έδαφος του πρώτου κράτους μέλους, των οποίων οι ιδιοκτήτες διαβίβασαν τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν σε μέσο (εξυπηρετητή) αποθηκεύσεως και επεξεργασίας δεδομένων που ανήκει στον διαχειριστή του δικτυακού τόπου και βρίσκεται σε άλλο κράτος μέλος;


Έχει το άρθρο 4, παράγραφος 1, στοιχείο α΄, της οδηγίας για την προστασία των δεδομένων, υπό το πρίσμα των αιτιολογικών σκέψεων 18 έως 20 και των άρθρων 1, παράγραφος 2, και 28, παράγραφος 1, την έννοια ότι η Magyar Adatvédelmi és Információszabadság Hatóság (στο εξής: αρχή προστασίας δεδομένων) δεν μπορεί να εφαρμόσει το ουγγρικό δίκαιο περί προστασίας δεδομένων, ως εθνικό δίκαιο, στην περίπτωση διαχειριστή δικτυακού τόπου μεσιτείας ακινήτων εγκαταστημένου αποκλειστικώς σε άλλο κράτος μέλος, ούτε καν όταν αυτός προωθεί, μεταξύ άλλων, ουγγρικά ακίνητα των οποίων οι ιδιοκτήτες διαβίβασαν, πιθανώς από την Ουγγαρία, τα δεδομένα που αφορούν τα ακίνητά τους σε μέσο (εξυπηρετητή) αποθηκεύσεως και επεξεργασίας δεδομένων που ανήκει στον διαχειριστή του δικτυακού τόπου και βρίσκεται σε άλλο κράτος μέλος;

Έχει σημασία για την ερμηνεία το γεγονός ότι η υπηρεσία που παρέχει ο υπεύθυνος επεξεργασίας δεδομένων, ο οποίος εκμεταλλεύεται τον διαδικτυακό ιστότοπο, αφορά το έδαφος άλλου κράτους μέλους;

Έχει σημασία για την ερμηνεία το γεγονός ότι τα δεδομένα που αφορούν τα ακίνητα που βρίσκονται στο έδαφος του άλλου κράτους μέλους και τα δεδομένα προσωπικού χαρακτήρα των ιδιοκτητών των ακινήτων μεταφορτώθηκαν εντός του εδάφους του εν λόγω άλλου κράτους μέλους;

Έχει σημασία για την ερμηνεία το γεγονός ότι τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα εν λόγω ακίνητα είναι δεδομένα προσωπικού χαρακτήρα πολιτών άλλου κράτους μέλους;

Έχει σημασία για την ερμηνεία το γεγονός ότι οι ιδιοκτήτες της εγκαταστημένης στη Σλοβακία επιχειρήσεως διαμένουν στην Ουγγαρία;

Εάν από τις απαντήσεις στα προηγούμενα ερωτήματα προκύπτει ότι η ουγγρική αρχή προστασίας των δεδομένων μπορεί να κινήσει διαδικασία, αλλά δεν μπορεί να εφαρμόσει το εθνικό δίκαιο και πρέπει να εφαρμόσει το δίκαιο του κράτους μέλους εγκαταστάσεως, έχει το άρθρο 28, παράγραφος 6, της οδηγίας για την προστασία των δεδομένων την έννοια ότι η ουγγρική αρχή προστασίας δεδομένων μπορεί να ασκήσει μόνον τις εξουσίες που προβλέπονται στο άρθρο 28, παράγραφος 3, της οδηγίας για την προστασία των δεδομένων σύμφωνα με τα οριζόμενα στη νομοθεσία του κράτους μέλους εγκαταστάσεως και ότι, για τον λόγο αυτό, δεν έχει εξουσία επιβολής προστίμου;

Βλ. σχετικά:Vorlagefragen an den EuGH: Wie weit reicht der Arm nationaler Datenschutzbehörden? Posted on 


Επεξεργασία των δεδομένων ταυτότητας επισκεπτών των κτιριακών εγκαταστάσεων εταιρείας αμερικανικών αυμφερόντων

Στην υπόθεση αυτή, η Αρχή αντιμετώπισε αίτηση της εταιρείας FORD MOTOR ΕΛΛΑΣ, η οποία ζητούσε να πληροφορηθεί κατά πόσο είναι νόμιμη η επεξεργασία δεδομένων στην οποία προέβαινε. Συγκεκριμένα, η εν λόγω εταιρία προέβαινε στην καταγραφή στο ημερήσιο δελτίο επισκέψεων της εταιρείας, το όνομα και το επώνυμο κάθε προσώπου, που επισκεπτόταν με οποιαδήποτε ιδιότητα την έδρα της, καθώς επίσης και τον αριθμό της αστυνομικής του ταυτότητας ή του διαβατηρίου του. Τα στοιχεία αυτά αποτελούν απλά δεδομένα προσωπικού χαρακτήρα του υποκειμένου τους, σύμφωνα με την Αρχή.
Η Αρχή διαπίστωσε, επίσης, ότι η σύσταση και λειτουργία του αρχείου αυτού από την εταιρεία FORD MOTOR ΕΛΛΑΣ AEBE, ως υπεύθυνο επεξεργασίας, υπόκειται, καταρχήν, στην υποχρέωση γνωστοποίησης στην Αρχή, ενώ δεν εμπίπτει σε οποιαδήποτε από τις περιπτώσεις απαλλαγής από την υποχρέωση γνωστοποίησης του άρθρου 6, που προβλέπει κατά τρόπο περιοριστικό το άρθρο 7Α του νόμου αυτού. Από τα στοιχεία του φακέλου δεν προκύπτει ότι το εν λόγω αρχείο έχει γνωστοποιηθεί στην Αρχή. Συνεπώς, η εταιρεία FORD MOTOR ΕΛΛΑΣ AEBE, ως υπεύθυνος επεξεργασίας, έχει προβεί στη σύσταση και λειτουργία του εν λόγω αρχείου κατά παράβαση των διατάξεων του άρθρου 6 του Ν. 2472/1997.
Περαιτέρω, έκρινε ότι επειδή, ωστόσο – και κυρίως – η κατά τα ανωτέρω καταγραφή των στοιχείων ταυτότητας κάθε προσώπου, που – με οποιαδήποτε ιδιότητα – επισκέπτεται την έδρα της εν λόγω εταιρείας, όπου συστεγάζονται οι διοικητικές υπηρεσίες της και το υποκατάστημα της χρηματοδοτικής τράπεζας Ford Credit Europe Bank Pic, αντιβαίνει στις διατάξεις του άρθρου 4 παρ. 1 του Ν. 2472/1997, καθόσον η συλλογή και περαιτέρω επεξεργασία των δεδομένων ταυτότητας των ενδιαφερομένων προσώπων, καθώς, επίσης, και η σύσταση και λειτουργία του σχετικού αρχείου, δεν συνάδουν με την αρχή της αναλογικότητας των δεδομένων σε σχέση με τον προβαλλόμενο στην κρινόμενη υπόθεση σκοπό επεξεργασίας.

Και τούτο, διότι, καταρχάς, οι συγκεκριμένες κτιριακές εγκαταστάσεις, όπου συστεγάζονται οι διοικητικές υπηρεσίες της FORD MOTOR ΕΛΛΑΣ AEBE και το υποκατάστημα της χρηματοδοτικής τράπεζας Ford Credit Europe Bank Pic, αποτελούν τμήματα ιδιωτικών εμπορικών επιχειρήσεων εκ της φύσεώς τους προσιτά σε ευρύ κοινό και, συνεπώς, η συγκεκριμένη πρακτική είναι απρόσφορη για την εκπλήρωση του προβαλλόμενου από την εν λόγω εταιρεία σκοπού επεξεργασίας. Στο πλαίσιο αυτό, η εν λόγω εταιρεία αλυσιτελώς επικαλείται το γεγονός ότι η ίδια «ανήκει στον όμιλο εταιριών της FORD, αμερικανικών συμφερόντων, καθώς και όλες οι εταιρείες αμερικάνικων συμφερόντων, αντιμετωπίζουν με ιδιαίτερη ευαισθησία το θέμα της ασφάλειας στις εγκαταστάσεις και στα διοικητικά γραφεία τους». Η Ελληνική Δημοκρατία, ως χώρα, ουδόλως αντιμετωπίζει γενικευμένο πρόβλημα τρομοκρατικών επιθέσεων, που θα μπορούσε να δικαιολογήσει ενδεχομένως, τέτοιου είδους πρακτικές επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Συνεπώς, μόνο μετά από την επίκληση συγκεκριμένου περιστατικού εξαιρετικού χαρακτήρα, ικανού να δικαιολογήσει την προσωρινή χρήση αυτού του μέτρου, η FORD MOTOR ΕΛΛΑΣ AEBE – όπως και οποιαδήποτε άλλη εμπορική εταιρεία – θα μπορούσε ενδεχομένως να προβεί σε σύσταση και λειτουργία του αρχείου αυτού για περιορισμένο χρονικό διάστημα. Εξάλλου, η ίδια η FORD MOTOR ΕΛΛΑΣ AEBE συνομολογεί ότι ήδη διαθέτει προσωπικό ασφαλείας για το σκοπό της προστασίας των χώρων των κτιριακών της εγκαταστάσεων και των προσώπων, που βρίσκονται στους χώρους αυτούς. Ο σκοπός αυτός μπορεί να επιτευχθεί και με επεξεργασίες δεδομένων προσωπικού χαρακτήρα ηπιότερες από εκείνη της συλλογής και περαιτέρω επεξεργασίας των δεδομένων ταυτότητας των εισερχομένων στις κτιριακές εγκαταστάσεις της εν λόγω εταιρείας. Τέτοιου είδους επεξεργασία συνιστά, για παράδειγμα, η εγκατάσταση και λειτουργία κλειστού κυκλώματος τηλεόρασης, σύμφωνα με τα οριζόμενα στις οικείες διατάξεις του Ν. 2472/1997 και στην Οδηγία 1122/26.09.2000 της Αρχής για τα κλειστά κυκλώματα τηλεόρασης, στις εισόδους των κτιριακών εγκαταστάσεων της εν λόγω εταιρείας. Επιπλέον, το υποκατάστημα της χρηματοδοτικής τράπεζας Ford Credit Europe Bank Pic, που συστεγάζεται στις εν λόγω κτιριακές εγκαταστάσεις, υπόκειται εκ της φύσεως των εργασιών του στην ειδική νομοθεσία, που διέπει την πρόβλεψη μέτρων ασφαλείας στις εγκαταστάσεις τραπεζικών ιδρυμάτων. Το εν λόγω υποκατάστημα, ως υπεύθυνος επεξεργασίας, δικαιούται να προβαίνει στη συλλογή και περαιτέρω επεξεργασία των δεδομένων ταυτότητας των συναλλασσομένων με τις υπηρεσίες του μόνον στις ειδικές περιπτώσεις, που αυτό ορίζεται ρητά από τις οικείες διατάξεις που διέπουν τη λειτουργία των τραπεζικών εργασιών του (όπως είναι, ιδίως, εκείνες του Ν. 3691/2008 για την πρόληψη κλπ, νομιμοποίησης παράνομων εσόδων, τρομοκρατίας, κλπ.) και σύμφωνα και με τα οριζόμενα στις προαναφερόμενες διατάξεις των άρθρων 6 και 7Α του Ν. 2472/1997.

Διάλογος μεταξύ της Google και της επιτροπής του άρθρου 29 για ζητήματα προστασίας δεδομένων

Σε προηγούμενη ανάρτηση, σημειώσαμε τα ζητήματα προστασίας δεδομένων σε σχέση με τις μηχανές αναζήτησης. Η αντίδραση της Google στη γνωμοδότηση της επιτροπής του άρθρου 29 ήταν να ανακοινώσει συγκεκριμένες δράσεις.

Ειδικότερα, η εταιρία Google απάντησε στις 8.09.2008 δηλώνοντας το ενδιαφέρον της για τη λύση των ζητημάτων προστασίας προσωπικών δεδομένων.

Συγκεκριμένα, δήλωσε ότι θα προβεί σε δύο κινήσεις: α) την ανωνυμοποίηση των διευθύνσεων ΙΡ που συνδέονται με τις αναζητήσεις των χρηστών, μετά από 9 μήνες, αντί για 18 μήνες και β) την εισαγωγή συνδέσμου στην αρχική σελίδα της Google που θα παραπέμπει στην πολιτική προστασίας δεδομένων της εταιρίας.

Η Επιτροπή του άρθρου 29 δια του προέδρου της, Alex TÜRK, δήλωσε ικανοποίηση σε σχέση με τις αλλαγές αυτές. Ωστόσο, παραμένουν μια σειρά προβλήματα, όπως είναι η θεώρηση της εταιρίας ότι το ευρωπαϊκό δίκαιο προστασίας δεδομένων δεν βρίσκει εφαρμογή, η διατήρηση δεδομένων των χρηστών πέραν των 6 μηνών, η μη βελτίωση των μηχανισμών ανωνυμοποίησης, το ότι η Google δεν θεωρεί τις διευθύνσεις ΙΡ ως προσωπικά δεδομένα και δεν παρέχει δικαιώματα στους χρήστες, τέλος, δε το γεγονός ότι δεν προσφεύγει σε διαφανή αναζήτηση συγκατάθεσης.

Τα RFID-Tags και η προστασία της ιδιωτικότητας

Η ανίχνευση ραδιοσυχνοτήτων είναι μια αυτόματη μέθοδος ταυτοποίησης που βασίζεται στην αποθήκευση και αυτόματη ανάκτηση δεδομένων μέσω συστημάτων αναγνώρισης με ραδιοσυχνότητες (RFID tag) ή ανεπαφικών πλινθίων (RFID chips) ή πομποδεκτών. Ένα τέτοιο σύστημα αποτελείται από ένα ηλεκτρονικό κύκλωμα που τοποθετείται σε ένα αντικείμενο, το οποίο αποθηκεύει τον σειριακό αριθμό αναγνώρισης και άλλες πληροφορίες, και έναν δέκτη που εντοπίζει το κύκλωμα και “διαβάζει” τα στοιχεία που το κύκλωμα αποθηκεύει.

Η ανάγνωση δεδομένων από το RFID tag γίνεται από απόσταση 10 εκατοστών έως και μερικών μέτρων, με τη βοήθεια ενός αναγνώστη. Επίσης, διακρίνονται σε παθητικά και ενεργητικά, από τα οποία τα πρώρα τροφοδοτούνται με ενέργεια από τον πομποδέκτη, ενώ τα δεύτερα, έχουν αυτόνομη τροφοδοσία.

Οι εφαρμογές των RFID tags διευρύνονται συνεχώς, τελευταία δε χρησιμοποιούνται στα βιομετρικά διαβατήρια της ΕΕ, ενώ αναμένεται να διευρυνθεί περαιτέρω η χρήση τους.

Παρά τα θετικά στοιχεία που προσφέρει η τεχνολογία αυτή, συνεπάγεται μια σειρά από προβλήματα που πρέπει να αντιμετωπισθούν. Πέρα από τα προβλήματα ασφάλειας δεδομένων που μπορούν να προκύψουν από την υποκλοπή δεδομένων (skimming), η οποία συνιστά σημαντικό κίνδυνο, ανακύπτουν ζητήματα προστασίας προσωπικών δεδομένων

Το δίκαιο προστασίας προσωπικών δεδομένων, δηλ. ο ν. 2472/1997 στη χώρα μας, ο οποίος
αποτελεί την πράξη εφαρμογής της οδηγίας 95/46/ΕΟΚ, βρίσκει εφαρμογή όταν τα εν λόγω κυκλώματα έχουν αποθηκευμένα προσωπικά δεδομένα ή όταν δεν έχουν αποθηκευμένα τέτοια δεδομένα, αλλά χρησιμεύουν στην ταυτοτοποίηση φυσικών προσώπων.

Σε αυτή την περίπτωση, η επεξεργασία προσωπικών δεδομένων πρέπει να λαμβάνει χώρα με σεβασμό των κανόνων του δικαίου προστασίας των εν λόγω δεδομένων (βλ. σχετικά Article 29 Working Group, Working Document on data protection issues related to RFID technology). Ειδικότερα, πρέπει να εξασφαλίζεται ότι τα δεδομένα είναι πρόσφορα, αναγκαία και όχι περισσότερα από όσα χρειάζεται για την επίτευξη του σκοπού της επεξεργασίας, να είναι ακριβή και να μη διατηρούνται για περισσότερο από όσο απαιτείται (βλ. άρθρο 4 ν. 2472/1997). Επίσης, θα πρέπει να διασφαλίζεται η ασφάλεια δεδομένων, κατά τρόπο ώστε να είναι αδύνατη η υποκλοπή δεδομένων, πράγμα που γίνεται με τη χρησιμοποίηση κρυπτογράφησης.

Επιπλέον, η επεξεργασία θα πρέπει να είναι νόμιμη, δηλ. σύμφωνη με το άρθρο 5 του ν. 2472/1997, που σημαίνει ότι θα πρέπει να στηρίζεται στη συγκατάθεση του υποκειμένου των δεδομένων, ή σε κάποια άλλη προϋπόθεση, όπως το έννομο συμφέρον του υπεύθυνου της επεξεργασίας. Επίσης, θα πρέπει να ενημερώνονται τα υποκείμενα των δεδομένων για την επεξεργασία και τις επιμέρους συνθήκες αυτής.

Σε ειδικές περιπτώσεις, θα πρέπει να γίνει στάθμιση των εκάστοτε δεδομένων. Έτσι, λ.χ., η παρακολούθηση των εργαζομένων με παρόμοια συστήματα δεν μπορεί να θεωρηθεί θεμιτή μέθοδος, ενώ η χρήση της για την παρακολούθηση της μετακίνησης προσώπων θα είναι οριακά νόμιμη, εφόσον και μόνο εξυπηρετεί έναν θεμιτό και νόμιμο σκοπό. Γίνεται μνεία της υπ΄αριθ. 52/2003 απόφασης της Αρχής, με την οποία σε συναφή περίπτωση, κρίθηκε μη νόμιμη η επεξεργασία βιομετρικών στοιχείων με σκοπό την ασφάλεια των πτήσεων (βλ. ΠοινΔικ 2004, 37).

Σημαντική είναι η δράση της Ευρωπαϊκής Επιτροπής, η οποία δεν έχει μείνει απαθής μπροστά στα ζητήματα που ανακύπτουν από τις εφαρμογές της νέας αυτής τεχνολογίας, αλλά κινητοποιεί τους ενδιαφερόμενους φορείς μέσα από τον δικτυακό τόπο Information Society. Ειδικότερα, η Επιτροπή διοργάνωσε ημερίδες και ειδικές δράσεις για το ζήτημα, αλλά και διαβούλευση μέσω του δικτυακού τόπου www.rfidconsultation.eu, ενώ οργανώνει δημόσια διαβούλευση στην οποία μπορεί κάθε ενδιαφερόμενος να συμμετέχει (κάνε κλικ εδώ).

Ιωάννης Ιγγλεζάκης