17η Ημέρα Προστασίας Δεδομένων - Απολογιστικό Δελτίο Τύπου για την Ενημερωτική Ημερίδα της Αρχής

Κατηγορία
Δελτίο Τύπου
Ημερομηνία
Αριθμός Πρωτοκόλλου
357

Με αφορμή τον εορτασμό της 17ης Ημέρας Προστασίας Δεδομένων στις 28 Ιανουαρίου, η Αρχή Προστασίας Δεδομένων διοργάνωσε με επιτυχία τη Δευτέρα 30 Ιανουαρίου ενημερωτική ημερίδα με τίτλο «Επίκαιρα ζητήματα προστασίας προσωπικών δεδομένων - πρόσφατες εξελίξεις» στο αμφιθέατρο του Εθνικού Ιδρύματος Ερευνών, με ομιλητές μέλη και ειδικούς επιστήμονες της Αρχής.

Χαιρετισμό απηύθυνε ο Κωνσταντίνος Μενουδάκος, Πρόεδρος της Αρχής, Επίτιμος Πρόεδρος του Συμβουλίου της Επικρατείας. Στην ημερίδα παραβρέθηκαν οι Γεώργιος Μπατζαλέξης, Αναπληρωτής Πρόεδρος της Αρχής, Επίτιμος Αρεοπαγίτης, Δημήτριος Γουργουράκης, πρώην Πρόεδρος της Αρχής και Επίτιμος Αντιπρόεδρος Αρείου Πάγου, Χρίστος Γεραρής, πρώην Πρόεδρος της Αρχής και Επίτιμος Πρόεδρος ΣτΕ και Πέτρος Χριστόφορος, τέως Πρόεδρος της Αρχής και Επίτιμος Σύμβουλος ΣτΕ.

Βασικά σημεία ομιλιών - παρουσιάσεων:

Ο Πρόεδρος της Αρχής, Κωνσταντίνος Μενουδάκος, στον χαιρετισμό του υπό μορφή ανασκόπησης ανέφερε μεταξύ άλλων:

«Aπό τις 25/5/2018, ημερομηνία έναρξης εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων, έως τον Δεκέμβριο του 2021, το συνολικό ύψος προστίμων σε ευρωπαϊκό επίπεδο ήταν πάνω από 1,5 δισ. ευρώ ενώ τον Δεκέμβριο 2022 ανήλθε σχεδόν στα 2,5 δισ. ευρώ. H ελληνική Αρχή, παρά τα διαχρονικά προβλήματα υποστελέχωσης και έλλειψης επαρκών πόρων, ανταποκρίθηκε και το 2022 στον μέγιστο δυνατό βαθμό στις αρμοδιότητες και τα καθήκοντα που της ανατέθηκαν με τον ευρωπαϊκό Κανονισμό και τον εθνικό νόμο 4624/2019. Μεταξύ των πολλών δραστηριοτήτων της, η Αρχή εξέτασε σημαντικά ζητήματα και εξέδωσε πλήθος αποφάσεων και γνωμοδοτήσεων. Συγχρόνως, ανταποκρίθηκε στις πάγιες ευρωπαϊκές και διεθνείς υποχρεώσεις της και ήταν ενεργώς παρούσα στις ομάδες εργασίας και τις επιτροπές που λειτουργούν με βάση την ευρωπαϊκή νομοθεσία προστασίας των προσωπικών δεδομένων. Στις προτεραιότητές της για το 2023 είναι να διαθέσει μεγαλύτερο μέρος της δραστηριότητάς της στην αυτεπάγγελτη δράση και ιδιαίτερα στο ελεγκτικό έργο και τις πρωτοβουλίες ενημέρωσης – ευαισθητοποίησης ιδίως των παιδιών, καθώς και στην ανάλυση νέων τεχνολογιών και επιχειρηματικών μοντέλων από την οπτική της προστασίας δεδομένων και τη συμβολή σε ερευνητικές προσπάθειες στον τομέα της προστασίας δεδομένων και ασφάλειας πληροφοριών. Ωστόσο, το εξαιρετικά μικρό μέγεθος της Αρχής είναι αντιστρόφως ανάλογο του εύρους της αρμοδιότητάς της, της πολυπλοκότητας των απαιτούμενων παρεμβάσεων, τις οποίες καλείται να υλοποιήσει, και των προσδοκιών και απαιτήσεων που έχει από την Αρχή η κοινωνία».

Στο πρώτο μέρος της ημερίδας, το οποίο συντόνισε ο Πρόεδρος της Αρχής, ο Δρ. Κωνσταντίνος Λιμνιώτης, ΕΕΠ, ανέπτυξε εισήγηση με τίτλο «Πιστοποίηση επεξεργασιών προσωπικών δεδομένων – επισκόπηση τρέχουσας κατάστασης», στην οποία αποτύπωσε τις πλέον πρόσφατες εξελίξεις στον χώρο των πιστοποιήσεων πράξεων επεξεργασίας δεδομένων σύμφωνα με το άρθρο 42 του Γενικού Κανονισμού Προστασίας Δεδομένων. Συγκεκριμένα, αφού επεξηγήθηκε η διαδικασία που ακολουθείται για την έγκριση κριτηρίων πιστοποίησης είτε από εθνική εποπτική Αρχή είτε από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ), ακολούθως παρουσιάστηκαν οι σχετικές γνώμες του ΕΣΠΔ που έχουν μέχρι σήμερα εκδοθεί αναφορικά με εξέταση κριτηρίων πιστοποίησης, είτε για εθνικά σχήματα πιστοποίησης είτε για ευρωπαϊκές «σφραγίδες» πιστοποίησης. Εν κατακλείδι, παρουσιάστηκαν κάποιες βασικές πτυχές, ως απόρροια της εμπειρίας που αποκτήθηκε στο πλαίσιο έκδοσης των σχετικών γνωμοδοτήσεων του ΕΣΠΔ, αναφορικά με το πώς θα πρέπει να καταρτίζονται τα κριτήρια πιστοποίησης προκειμένου να αξιολογούνται ως έγκυρα, ενώ τέλος έγινε αναφορά στη ελληνική πραγματικότητα μέχρι σήμερα, καθώς επίσης και σε ανοιχτά σχετικά ζητήματα που ήδη εξετάζει το ΕΣΠΔ.

Στη συνέχεια η Μαρία Αλικάκου, ΔΝ, ΕΕΠ, στην παρουσίασή της με τίτλο «Συμφωνία ΕΕ – ΗΠΑ για διατλαντικές ροές δεδομένων: αληθινή προστασία δεδομένων ή απλή πολιτική συμφωνία;» ανέφερε μεταξύ άλλων:

«Μετά την απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ C131/2018) το καλοκαίρι του 2020 γνωστή ως «SCHREMS II», με την οποία ακυρώθηκε η Ασπίδα Προστασίας («Privacy Shield»), οι διαβιβάσεις δεδομένων από την Ευρωπαϊκή Ένωση προς τις ΗΠΑ ουσιαστικά έμειναν στο κενό. Έπρεπε άμεσα να συμφωνηθεί ένας νέος μηχανισμός που θα παρείχε τις εγγυήσεις που επέβαλε η απόφαση του ΔΕΕ. Μετά από σχεδόν 2 χρόνων διαπραγματεύσεις μεταξύ Ευρωπαϊκής Επιτροπής (ΕΕ) και κυβέρνησης ΗΠΑ, τον Μάρτιο του 2022 δημοσιεύθηκε η «Κατ’ αρχήν συμφωνία» και στη συνέχεια, τον Οκτώβριο του 2022, το Εκτελεστικό Διάταγμα 14086 του Προέδρου Biden, το οποίο εμπεριείχε τα συμφωνηθέντα στην «Κατ’ αρχήν συμφωνία». Το εν λόγω διάταγμα αποτελεί τη βάση του σχεδίου απόφασης επάρκειας που ετοίμασε η ΕΕ και υπέβαλε τον Δεκέμβριο του 2022 στο EDPB για έκδοση μη δεσμευτικής γνώμης εκκινώντας τη διαδικασία έγκρισης σχετικής απόφασης επάρκειας (ΕΕ-ΗΠΑ)».

Στην ομιλία της αναλύθηκε το προτεινόμενο νομικό πλαίσιο προστασίας δεδομένων (ΠΠΔ), αποτυπώθηκαν τα θετικά σημεία αυτού βάσει των απαιτήσεων του ΔΕΕ και, στο τέλος, επισημάνθηκαν βασικοί προβληματισμοί για συγκεκριμένα σημεία του εν λόγω ΠΠΔ, τα οποία, όπως επεσήμανε, «ενδεχομένως αδυνατούν, εκ των πραγμάτων, να εφαρμοσθούν στην πράξη, με αποτέλεσμα να καταστήσουν το προτεινόμενο ΠΠΔ αναποτελεσματικό και, ενδεχομένως, να καταλήξουμε σε μια SCHREMS III».

Το πρώτο μέρος ολοκληρώθηκε με την εισήγηση της Φαίης Καρβέλα, L.L.M. Eur., ΕΕΠ, με τίτλο «Η πιστοποίηση ως εργαλείο διεθνών διαβιβάσεων» στην οποία, μεταξύ άλλων, σημείωσε:

«Η πιστοποίηση, ως εργαλείο λογοδοσίας, κατοχυρώνεται στο άρθρο 42 του ΓΚΠΔ και αφορά πράξεις επεξεργασίας υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία. Επιπλέον, κατοχυρώνεται στο άρθρο 46 παρ. 2 στοιχ. στ’ του ΓΚΠΔ και ως εργαλείο διαβίβασης προσωπικών δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς. Σε αυτό το πλαίσιο, η πιστοποίηση χορηγείται σε υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία που δεν υπόκεινται στον ΓΚΠΔ για να αποδειχθεί ότι αυτοί παρέχουν κατάλληλες εγγυήσεις σύμφωνα με όσα ορίζει το άρθρο 46 παρ. 2 στοιχ στ’. Επιπλέον, οι ως άνω υπεύθυνοι επεξεργασίας και εκτελούντες την επεξεργασία υποχρεούνται να αναλαμβάνουν δεσμευτικές και εκτελεστές υποχρεώσεις, κατά κανόνα μέσω συμβάσεων, προκειμένου να εφαρμόσουν τις εν λόγω κατάλληλες εγγυήσεις. Η διαδικασία χορήγησης της πιστοποίησης στο πλαίσιο των διαβιβάσεων βασίζεται στην αξιολόγηση κριτηρίων, ορισμένα εκ των οποίων αφορούν ειδικά τις απαιτήσεις που ανακύπτουν κατά τη διαβίβαση δεδομένων εκτός ΕΕ».

Στο δεύτερο μέρος της ημερίδας, το οποίο συντόνισε ο Αναπληρωτής Πρόεδρος της Αρχής, Γεώργιος Μπατζαλέξης, η Δρ. Ευφροσύνη Σιουγλέ, ΕΕΠ, πραγματοποίησε ομιλία με τίτλο «Υπηρεσίες υπολογιστικού νέφους και ζητήματα προστασίας δεδομένων» στην οποία ανέφερε:

«Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) δημιούργησε το Συντονισμένο Πλαίσιο Επιβολής (Coordinated Enforcement Framework-CEF) βάσει της στρατηγικής του 2021-2023 για την προαγωγή της συνεργασίας μεταξύ των εποπτικών αρχών. Το CEF παρέχει τη δομή και τους κανόνες για τον συντονισμό των τακτικών ετήσιων κοινών δράσεων των εποπτικών αρχών. Τον Οκτώβριο 2021 το ΕΣΠΔ επέλεξε για την 1η Δράση CEF το ακόλουθο θέμα: «Χρήση υπηρεσιών υπολογιστικού νέφους από δημόσιους φορείς. Από τον Νοέμβριο 2021 έως τον Ιανουάριο 2023, 22 εποπτικές αρχές, συμπεριλαμβανομένης της ελληνικής Αρχής, πραγματοποίησαν συντονισμένη έρευνα σε εθνικό επίπεδο. Αφού καθόρισαν το χρονοδιάγραμμα και τη μεθοδολογία της 1ης Δράσης, έστειλαν δομημένο ερωτηματολόγιο, με 5 ενότητες και 33 ερωτήσεις, σε 100 περίπου δημόσιους φορείς και κατάρτισαν αναφορά με την ανάλυση των ευρημάτων. Η εν λόγω δράση αποτυπώνει την παρούσα κατάσταση και παρουσιάζει πολλά σημεία ενδιαφέροντος για υπευθύνους και εκτελούντες την επεξεργασία δεδομένων. Η 1η Δράση CEF θα συνεχιστεί το 2023 με επόμενες ενέργειες όπως ολοκλήρωση ερευνών σε εξέλιξη, περαιτέρω συνεργασία με τους ενδιαφερόμενους φορείς, έκδοση σχετικών συστάσεων ή λήψη διορθωτικών μέτρων όπου απαιτείται. Η μεθοδολογία και η εναρμονισμένη προσέγγιση της δράσης αυτής θα διευκολύνουν τις επόμενες δράσεις CEF του ΕΣΠΔ».

Στη συνέχεια οι Χρήστος Καλλονιάτης, Καθηγητής Τμήματος Πολιτισμικής Τεχνολογίας και Επικοινωνίας του Πανεπιστημίου Αιγαίου, μέλος της Αρχής και Κωνσταντίνος Λαμπρινουδάκης, Καθηγητής Τμήματος Ψηφιακών Συστημάτων Πανεπιστημίου Πειραιά, μέλος της Αρχής, στην εισήγησή τους με τίτλο «Γενικός Κανονισμός και Προστασία Προσωπικών Δεδομένων: Από την Τυπική Συμμόρφωση στην Ουσιαστική Εφαρμογή» σημείωσαν μεταξύ άλλων:

«Ο Γενικός Κανονισμός Προστασίας Δεδομένων, με στόχο τη διευκόλυνση των υπευθύνων επεξεργασίας, προτείνει συγκεκριμένα «εργαλεία», όπως ενδεικτικά την τήρηση των αρχείων δραστηριοτήτων, την εκπόνηση μελέτης εκτίμησης αντικτύπου, τον ορισμό υπευθύνου προστασίας δεδομένων, την υιοθέτηση τεχνικών μέτρων κ.λπ., τα οποία μπορούν να αξιοποιηθούν για την τυπική αλλά κυρίως ουσιαστική συμμόρφωση του εκάστοτε οργανισμού με τις απαιτήσεις του Κανονισμού αλλά και για τη διευκόλυνση της αρχής της λογοδοσίας. 

Παρ’ όλα αυτά, από περιστατικά που έχουν απασχολήσει και απασχολούν την Αρχή, προκύπτει πληθώρα περιπτώσεων όπου οι υπεύθυνοι επεξεργασίας υιοθετούν τα προαναφερόμενα εργαλεία  συμμόρφωσης χωρίς ουσιαστική μελέτη των ιδιαίτερων χαρακτηριστικών της επεξεργασίας των προσωπικών δεδομένων, γεγονός που τελικά οδηγεί σε μια αναποτελεσματική εφαρμογή του Κανονισμού. Στόχος της παρουσίασης είναι αφενός μεν η ανάδειξη περιστατικών που απασχόλησαν την Αρχή λόγω της αναποτελεσματικής εφαρμογής του Κανονισμού και αφετέρου η παρουσίαση προτάσεων για την ουσιαστική και αποτελεσματική εφαρμογή του Κανονισμού».

Το δεύτερο μέρος ολοκληρώθηκε με την παρουσίαση της Γεωργίας Παναγοπούλου, μηχανικού Η/Υ MSc, ΕΕΠ, στην παρουσίασή της με τίτλο «Διαδίκτυο της συμπεριφοράς και ζητήματα προστασίας προσωπικών δεδομένων», η οποία σημείωσε μεταξύ άλλων:

«Το Διαδίκτυο της Συμπεριφοράς αποτελεί συνδυασμό τεχνολογίας, ανάλυσης δεδομένων και επιστήμης της συμπεριφοράς, με στόχο την αποτελεσματικότερη παροχή υπηρεσιών μέσω της ερμηνείας και του επηρεασμού της συμπεριφοράς των χρηστών. Η ανάλυση των δεδομένων που παράγονται από τη αλληλεπίδραση υπηρεσιών και φυσικών αντικειμένων συνδεδεμένων στο διαδίκτυο γίνεται με τη χρήση των δυνατοτήτων της μηχανικής εκμάθησης και της τεχνητής νοημοσύνης. Ενέχει περίπλοκα ζητήματα ιδιωτικότητας και ασφάλειας τα οποία περιλαμβάνουν τις υποχρεώσεις των εμπλεκόμενων μερών, τα δικαιώματα των χρηστών και τον τρόπο εποπτείας. Στον ΓΚΠΔ περιλαμβάνονται ρυθμίσεις για την κατάρτιση προφίλ και την αυτοματοποιημένη λήψη αποφάσεων, οι οποίες έχουν ερμηνευτεί σε κατευθυντήριες γραμμές του ΕΣΠΔ με συστάσεις ορθών πρακτικών. Για τις τεχνικές ιχνηλάτησης ισχύουν οι απαιτήσεις της Οδηγίας για τις ηλεκτρονικές επικοινωνίες. Σχετικές ρυθμίσεις περιλαμβάνονται επίσης σε πρόσφατες νομοθετικές πρωτοβουλίες της ΕΕ. Οι Αρχές Προστασίας Δεδομένων έχουν πολύ σημαντικό ρόλο τόσο στη διαμόρφωση των ρυθμίσεων όσο και στην εποπτεία του τομέα».

Στην ημερίδα έκανε παρέμβαση εκ μέρους του Σωματείου του Επιστημονικού Προσωπικού (ΕΕΠ) της Αρχής Προστασίας Δεδομένων ο Δρ. Γιώργος Ρουσόπουλος, ο οποίος ανέφερε μεταξύ άλλων:

 «Αν και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα είναι μια προβεβλημένη και με κρίσιμο ρόλο δημόσια υπηρεσία, η Γραμματεία της, ως υπηρεσία, είναι εξαιρετικά μικρή. Το αντικείμενό της έχει γίνει πολύ πιο απαιτητικό και οι ειδικοί επιστήμονες αναλαμβάνουν την προετοιμασία κάθε πτυχής του κυρίως έργου της Αρχής τόσο στην Ελλάδα όσο και στην Ευρώπη. Για μια δεκαετία, οι επιστήμονες της Αρχής στήριξαν τη λειτουργία της χωρίς προσθήκες, παρά τις πολλές αποχωρήσεις και παραιτήσεις. Πρόσφατα, η πρόσληψη 13 νέων επιστημόνων επανάφερε τον αριθμό του στα επίπεδα του… 2008. Αλλά, χωρίς καμία μισθολογική διαφοροποίηση, όπως έχει ήδη γίνει σε άλλες Αρχές και υπηρεσίες, αναμένεται νέο κύμα παραιτήσεων, καθώς οι προτάσεις του Προέδρου της Αρχής για βελτίωση των αποδοχών των νέων συναδέλφων δεν φαίνεται να εισακούγονται. Το Σωματείο απαιτεί άμεσα να δοθεί λύση για το μισθολογικό των ειδικών επιστημόνων της Αρχής και προαναγγέλλει ότι πρόκειται να εντείνει τις κινητοποιήσεις του, ζητώντας τη συμπαράσταση και την κατανόηση όλων για τυχόν δυσλειτουργίες που θα προκύψουν στην Αρχή».

Στο τέλος κάθε ενότητας της ημερίδας, ο Πρόεδρος, ο Αναπληρωτής Πρόεδρος και οι ομιλητές, μέλη και ειδικοί επιστήμονες της Αρχής, έδωσαν αναλυτικές απαντήσεις σε σειρά ερωτημάτων, τα οποία τέθηκαν από το πολυπληθές ακροατήριο.

Σημειώνεται ότι η εκδήλωση αναμεταδόθηκε ζωντανά μέσω διαδικτύου και της υπηρεσίας ΔΙΑΥΛΟΣ του Εθνικού Δικτύου Υποδομών, Τεχνολογίας και Έρευνας.

Οι παρουσιάσεις και το βίντεο της εκδήλωσης είναι διαθέσιμα στο https://www.dpa.gr/el/enimerwtiko/ekdiloseis/eyropaiki-imera-prostasias-prosopikon-dedomenon-2812023.

 

Τμήμα Επικοινωνίας

Λεωφ. Κηφισίας 1-3, 11523 Αθήνα
Τ: 210 6475 655 • E: info@dpa.gr • www.dpa.gr