Ο Κανονισμός 2016/679 της ΕΕ ο οποίος ισχύει από τις 25/5/2018 έφερε μια νέα πραγματικότητα στον τρόπο εργασίας όχι μόνο των εταιρειών δημόσιων και ιδιωτικών αλλά και στους Φορείς Τοπικής Αυτοδιοίκησης, όπως οι Δήμοι, καθώς επίσης και τα νομικά πρόσωπα που έχουν συσταθεί από τους Δήμους για εξυπηρέτηση των σκοπών τους. Η προσαρμογή με τον Κανονισμό είναι Υποχρεωτική για ιδιωτικούς και δημόσιους φορείς.
ΤΙ ΣΗΜΑΙΝΕΙ ΑΥΤΟ ΓΙΑ ΤΟΥΣ ΔΗΜΟΥΣ?
Οι Δήμοι οφείλουν να προβούν σε ενέργειες (τεχνικές, διοικητικές, νομικές) που να αποδεικνύουν την προσαρμογή και την συμμόρφωση τους στον Κανονισμό. Ουσιαστικά θα πρέπει να διαμορφώσουν τις σωστές και κατάλληλες πολιτικές για την προστασία των προσωπικών δεδομένων των δημοτών τους (και όχι μόνο), τα οποία διαχειρίζονται κατά τη λειτουργία τους και για την εκτέλεση των νόμιμων υποχρεώσεων τους.
Οι Δήμοι επεξεργάζονται μεγάλο όγκο προσωπικών δεδομένων καθημερινά. Και με τον όρο επεξεργάζονται εννοούμε κάθε ενέργεια που γίνεται στα προσωπικά δεδομένα (συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή).
ΠΟΙΕΣ ΕΝΕΡΓΕΙΕΣ ΟΦΕΙΛΟΥΝ ΝΑ ΠΡΑΞΟΥΝ?
Με βάση τον Κανονισμό οι Δήμοι πρέπει αρχικά να συστήσουν μια Ομάδα Εργασίας η οποία να απαρτίζεται από εκπροσώπους Διευθύνσεων που εμπλέκονται περισσότερο με την προστασία των προσωπικών δεδομένων (πχ Διευθύνσεις Πληροφορικής, Νομικής και Ανθρώπινου Δυναμικού). Η ομάδα αυτή θα πρέπει να έχει την δυνατότητα λήψης αποφάσεων και θα προβεί σε Μελέτη Συμμόρφωσης που περιλαμβάνει τις παρακάτω ενέργειες:
-Διορισμός Υπεύθυνου Προστασίας Δεδομένων ΥΠΔ (DPO): Ο ΥΠΔ έχει συμβουλευτικό ρόλο και διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων. Ο ΥΠΔ παρέχει συνδρομή στον Δήμο, τον συμβουλεύει για τις υποχρεώσεις που απορρέουν από τον Κανονισμό και παρακολουθεί τις ενέργειες συμμόρφωσης με αυτόν. Συμμετέχει ενεργά σε όλα τα ζητήματα που σχετίζονται με τον Κανονισμό και αποτελεί το πρόσωπο επικοινωνίας τόσο με τα υποκείμενα των δεδομένων όσο και με την εποπτική Αρχή. Ο ΥΠΔ πρέπει να είναι άτομο κατάλληλα καταρτισμένο και προσεκτικά επιλεγμένο ώστε να είναι σε θέση να διεκπεραιώσει τις υποχρεώσεις του.
Ο Υπεύθυνος Προστασίας Δεδομένων είναι το πρόσωπο που με πλήρη ανεξαρτησία:
α) αναλαμβάνει την τήρηση των διαδικασιών συμμόρφωσης και της πολιτικής προστασίας σύμφωνα με τα συμπεράσματα από τη Μελέτη Συμμόρφωσης καθώς και τη μέριμνα για την επικαιροποίηση της
β) δίνοντας οδηγίες σχετικά με την επεξεργασία και την ασφάλεια των δεδομένων και για την εφαρμογή του Πρωτοκόλλου Διαχείρισης Κινδύνων
γ) συμβουλεύοντας τους υπαλλήλους και μεριμνώντας για την εκπαίδευση τους
δ) αποτελώντας ταυτόχρονα το σημείο επικοινωνίας με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
-Χαρτογράφηση (Data Mapping): Θα χρειαστεί να χαρτογραφήσουν τις ροές δεδομένων και πληροφοριών τους προκειμένου να αξιολογήσουν τους κινδύνους. Όλα τα δεδομένα καθώς και οι πράξεις επεξεργασίας (που προβαίνουν οι υπηρεσίες του Δήμου) θα πρέπει να καταγραφούν και να αναγνωριστούν.
– Εκτίμηση ελλείψεων (GAP Analysis): Εντοπισμός και ανάλυση κινδύνων και ελλείψεων. Με την εκτίμηση ελλείψεων αναγνωρίζονται και εντοπίζονται οι ελλείψεις στην επεξεργασία και προστασία. Ενδεικτικά παραδείγματα σχετικών «κενών» είναι: πολύ μεγάλη περίοδος διατήρησης των δεδομένων άνευ λόγου, διατήρηση των ίδιων δεδομένων σε περισσότερα του ενός σημεία και ανεμπόδιστη πρόσβαση σε δεδομένα από όλα τα στελέχη ενώ δεν χρειάζεται.
– Εκτίμηση Αντικτύπου (DPIA): Η Εκτίμηση Αντικτύπου είναι μελέτη η οποία βασίζεται στην περιγραφή των πράξεων επεξεργασίας, και η οποία εκτιμά αν αυτές οι πράξεις είναι αναγκαίες αλλά και αναλογικές σε σχέση με τον σκοπό που επιδιώκεται, την πρόβλεψη αλλά και την αντιμετώπιση των πιθανόν κινδύνων που αφορούν τα προσωπικά δεδομένα στο πλαίσιο των αρμοδιοτήτων του Δήμου. Όταν ένα νέο είδος επεξεργασίας, ιδίως με την χρήση νέων τεχνολογιών, ενδέχεται να επιφέρει αυξημένο κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων τότε η Εκτίμηση Αντικτύπου είναι επιβεβλημένη.
– Πολιτική Προστασίας – Εφαρμογή: Το επόμενο στάδιο είναι αξιολόγηση των συμπερασμάτων της εκτίμησης Αντικτύπου και η ετοιμασία μιας σωστής πολιτικής προστασίας των Προσωπικών Δεδομένων.
-Διαχείριση Γεγονότων: Ετοιμασία σχεδίου δράσης από τον Δήμο σε περίπτωση κινδύνου ή παραβίασης προσωπικών δεδομένων, λαμβάνοντας υπόψιν τις εκτιμήσεις, στο οποίο θα περιγράφονται με σαφήνεια όλα τα βήματα και η διαδικασία που θα ακολουθηθούν, καθώς και άσκησης των δικαιωμάτων των πολιτών.
-Συγκαταθέσεις και Αρχείο Δραστηριοτήτων Επεξεργασίας: Η υποχρέωση βαραίνει οργανισμούς που ενεργούν ως υπεύθυνοι επεξεργασίας ή ως εκτελούντες την επεξεργασία. Η απαίτηση διατήρησης αυτού του αρχείου δεν ισχύει για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων π.χ. δεδομένα για την υγεία ή βιομετρικά δεδομένα (άρθρο 30, παράγραφος 5).
Στο Αρχείο Δραστηριοτήτων Επεξεργασίας ο κάθε Δήμος καταγράφει:
- Την περιγραφή της κάθε δραστηριότητας του οργανισμού
- Αν η δραστηριότητα είναι κύρια ή παρεπόμενη
- Τη νομική βάση της επεξεργασίας
- Τα στοιχεία του υπεύθυνου ή/και του εκτελών την επεξεργασία
- Το σκοπό της επεξεργασίας
- Τις κατηγορίες των υποκειμένων των δεδομένων
- Τις κατηγορίες των προσωπικών δεδομένων
- Τις κατηγορίες των αποδεκτών
- Τη διαβίβαση σε τρίτες χώρα/ διεθνή οργανισμό
- Τη διαγραφή των δεδομένων
-Εκπαίδευση Προσωπικού: Οι υπάλληλοι κάθε Δήμου και των νομικών προσώπων του οφείλουν με ευθύνη της Διοίκησης, να ενημερωθούν σαφώς σχετικά με τον Κανονισμό, να εκπαιδευτούν με βάση τις διαδικασίες συμμόρφωσης και να τηρούν αποτελεσματικά την Πολιτική Προστασίας
Αν και θα έπρεπε όλοι οι Δήμοι να είχαν συμμορφωθεί με τον Κανονισμό η πλειοψηφία δεν έχει προβεί σε καμία πράξη εναρμόνισης, και αυτό είναι ιδιαίτερα ανησυχητικό αφενός γιατί η παραβίαση επιφέρει δυσβάσταχτα πρόστιμα και αφετέρου η σχέση εμπιστοσύνης μεταξύ δημότη και Δήμου σε περίπτωση παραβίασης θα κλονιστεί σε τεράστιο βαθμό.