Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού

Η προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα απαιτεί την αποτελεσματική λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε να διασφαλίζεται ότι τηρούνται οι απαιτήσεις του ΓΚΠΔ.

Παράγοντες που πρέπει να λαμβάνονται υπόψη είναι: οι τελευταίες εξελίξεις της τεχνολογίας, το κόστος εφαρμογής των μέτρων, η φύση, το πεδίο εφαρμογής, το πλαίσιο και οι σκοποί της επεξεργασίας, καθώς και οι κίνδυνοι, –των οποίων ο βαθμός πιθανότητας και σοβαρότητας ποικίλλει− για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία.

Προκειμένου, λοιπόν, ο υπεύθυνος επεξεργασίας να μπορεί να αποδείξει συμμόρφωση προς τον Κανονισμό, θα πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει μέτρα τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, ανταποκρινόμενος έτσι, μεταξύ άλλων, στις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού (data protection by design and by default – άρθρο 25, αιτιολογική σκέψη 78 ΓΚΠΔ).

Σύμφωνα με την αρχή της προστασίας των δεδομένων ήδη από τον σχεδιασμό, κατά τη στιγμή του σχεδιασμού των συστημάτων επεξεργασίας και του καθορισμού των μέσων επεξεργασίας, ο υπεύθυνος επεξεργασίας πρέπει να ενσωματώνει και να εφαρμόζει κατάλληλα μέτρα και να χρησιμοποιεί τεχνολογίες ενίσχυσης της ιδιωτικότητας, όπως ψευδωνυμοποίηση δεδομένων προσωπικού χαρακτήρα, το συντομότερο δυνατόν (δηλ. αντικατάσταση προσωπικά ταυτοποιήσιμων πληροφοριών με τεχνητά αναγνωριστικά στοιχεία), κρυπτογράφηση (κωδικοποίηση προσωπικών δεδομένων έτσι ώστε μόνο όσοι είναι εξουσιοδοτημένοι να μπορούν να τα διαβάζουν), ελαχιστοποίηση της επεξεργασίας των δεδομένων και ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία, κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του ΓΚΠΔ και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.

Κατά την ανάπτυξη, τον σχεδιασμό, την επιλογή και τη χρήση εφαρμογών, υπηρεσιών και προϊόντων που βασίζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα ή όταν επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για την εκπλήρωση του έργου τους, οι παραγωγοί προϊόντωνυπηρεσιών και εφαρμογών πρέπει να λαμβάνουν υπόψη τους το δικαίωμα προστασίας των δεδομένων, ώστε, συνεκτιμώντας τις τελευταίες εξελίξεις της τεχνολογίας, να διασφαλίζεται ότι οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα είναι σε θέση να εκπληρώνουν τις υποχρεώσεις τους όσον αφορά την προστασία των δεδομένων.

Σύμφωνα με την αρχή της προστασίας των δεδομένων εξ ορισμού, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, εξασφαλίζεται η ιδιωτικότητα και υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα, χωρίς την παρέμβαση φυσικού προσώπου, σε αόριστο αριθμό φυσικών προσώπων.

Για παράδειγμα, μια πλατφόρμα κοινωνικής δικτύωσης θα πρέπει να ενθαρρύνεται να ορίζει τις ρυθμίσεις των προφίλ των χρηστών έτσι ώστε να προστατεύεται, όσο το δυνατόν περισσότερο, το ιδιωτικό απόρρητο, όπως όταν περιορίζεται από την αρχή η προσβασιμότητα στα προφίλ των χρηστών για να μην είναι προσβάσιμα εξ ορισμού από αόριστο αριθμό ατόμων.

Τέλος, ένα μέτρο το οποίο ανταποκρίνεται στις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού είναι και η διαφάνεια όσον αφορά τις λειτουργίες και την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ώστε να μπορεί το υποκείμενο των δεδομένων να παρακολουθεί την επεξεργασία δεδομένων και να είναι σε θέση ο υπεύθυνος επεξεργασίας να δημιουργεί και να βελτιώνει τα χαρακτηριστικά ασφάλειας.

Κατευθυντήριες γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων αναφορικά με την προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού είναι διαθέσιμες εδώ.