Τετάρτη 24 Σεπτεμβρίου 2008

Έκθεση Πεπραγμένων Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα 2007

Πρόσφατα παρουσίασε την Έκθεση Πεπραγμένων Έτους 2007 η Αρχή Προστασίας Δεδομένων.

Στην Έκθεσή της η Αρχή παρουσιάζει τις θεματικές των αποφάσεων που εξέδωσε κατά το 2007. Αυτές περιλαμβάνουν τηλεφωνικές οχλήσεις, ζητήματα σχετικά με την Τειρεσίας ΑΕ, δημοσιοποίηση ονομάτων των ατόμων που απηλλάγησαν από την υποχρέωση στράτευσης, μέτρα ασφάλειας, βιομετρικά δεδομένα, εργασιακές σχέσεις, αλλοδαποί και ΜΜΕ.

Μια άλλη ενότητα αφορά διεθνή θέματα, στα οποία περιλαμβάνονται οι δεσμευτικοί εταιρικοί κανόνες, η διαβίβαση στοιχείων επιβατών αεροπορικών εταιρίων κοκ.

Τέλος, η Αρχή επισημαίνει τις ελλείψεις σε προσωπικό που αποτελούν τροχοπέδη στη λειτουργία της.

Ειδικότερα, η Έκθεση έχει ως εξής:

(...)
2. Δραστηριότητα σε στατιστικά στοιχεία
Η Αρχή εξέδωσε 65 αποφάσεις και απάντησε σε άλλες 980 περιπτώσεις προσφυγών ή καταγγελιών και ερωτημάτων. Οι απαντήσεις σε ερωτήματα αποτελούν σε μεγάλο βαθμό των περιπτώσεων γνωμοδοτικό έργο καθώς εξετάζουν τη νομιμότητα συγκεκριμένης επεξεργασίας που θέτει υπόψη της Αρχής ο υπεύθυνος επεξεργασίας. Η Αρχή σε 3 περιπτώσεις γνωμοδότησε επί σχεδίων νόμων καθώς και ισχυουσών διατάξεων που αφορούν στην προστασία των προσωπικών δεδομένων. Εξέτασε, επίσης, 560 γνωστοποιήσεις αρχείων και επεξεργασιών, εκ των οποίων οι 368 αφορούσαν στην εγκατάσταση και λειτουργία κλειστών κυκλωμάτων τηλεόρασης. Χορήγησε ή ανανέωσε 110 άδειες τήρησης αρχείων ευαίσθητων δεδομένων, διασύνδεσης αρχείων και διαβίβασης δεδομένων σε χώρες εκτός ΕΕ, καθώς και 8 άδειες για κλειστά κυκλώματα τηλεόρασης. Ακόμα, η Αρχή πραγματοποίησε 19 διοικητικούς ελέγχους αρχείων και επεξεργασιών σε 17 υπεύθυνους επεξεργασίας. Σε 12 περιπτώσεις, η Αρχή επέβαλε την κύρωση της αυστηρής προειδοποίησης, σε 17 περιπτώσεις πρόστιμα 1.500-50.000 Ευρώ και σε 3 άλλες περιπτώσεις την απεγκατάσταση κλειστού κυκλώματος τηλεόρασης.

Κατά το έτος 2007 υποβλήθηκαν συνολικά στην Αρχή 2005 προσφυγές/καταγγελίες και ερωτήματα, διεκπεραιώθηκαν 1045 υποθέσεις και παρέμειναν εκκρεμείς, συνυπολογίζοντας και τα προηγούμενα έτη, 2.264 υποθέσεις. Στον αριθμό αυτό πρέπει να προστεθούν 600 περίπου υποθέσεις με εισηγητές αποσπασμένους ελεγκτές, για τις οποίες λόγω ελλείψεως προσωπικού δεν έχει γίνει αναχρέωση. Το συνολικό απόθεμα των 3000 περίπου υποθέσεων υπογραμμίζει την αδυναμία της Αρχής να ανταποκριθεί με τα σημερινά δεδομένα στελέχωσης και λειτουργίας στον συνεχώς αυξανόμενο ρυθμό εισερχόμενων υποθέσεων. Παρατηρείται δηλαδή σημαντική αύξηση του αριθμού των πολιτών, αλλά και των υπευθύνων επεξεργασίας, οι οποίοι απευθύνονται στην Αρχή. Για παράδειγμα, λαμβάνοντας υπόψη μόνο τις προσφυγές και τα ερωτήματα, ενώ το 2002, όπως και το 2003, υποβλήθηκαν περίπου 1200, ο αριθμός αυτός τα έτη 2006 και 2007 ξεπέρασε τις 2000. Δηλαδή, παρατηρείται τα έτη 2006 και 2007 μία αύξηση μεγαλύτερη του 67% σε σχέση με τα έτη 2002 και 2003. Συγκρίνοντας τους αντίστοιχους αριθμούς των ετών 1999 και 2007, η αύξηση προσεγγίζει το 650%.

3. Αποφάσεις
Αποφάσεις που παρουσιάζουν γενικότερο ενδιαφέρον:
• Τηλεφωνικές οχλήσεις: Η τηλεφωνική επικοινωνία με σκοπό την προώθηση προϊόντων και υπηρεσιών επιτρέπεται μόνο με προηγούμενη ρητή και ειδική συγκατάθεση του αποδέκτη της τηλεφωνικής κλήσης. Το μητρώο του άρθρου 13 του Ν. 2472/1997, που τηρεί η Αρχή σχετικά με τα άτομα που δεν επιθυμούν να δέχονται διαφημίσεις, δεν εφαρμόζεται στις τηλεφωνικές και λοιπές ηλεκτρονικές επικοινωνίες (Απόφαση 57/2007).
• Τραπεζικός τομέας - ΤΕΙΡΕΣΙΑΣ: Οι τράπεζες οφείλουν να διαβιβάζουν ακριβή δυσμενή δεδομένα στην ΤΕΙΡΕΣΙΑΣ ΑΕ, η οποία υπέχει και αυτοτελώς το καθήκον να ελέγχει και να εξασφαλίζει τις απαιτήσεις του Ν. 2472/1997 για νόμιμη επεξεργασία των δεδομένων (Αποφάσεις 35/2007 και 49/2007). Δεν είναι νόμιμη χωρίς την προηγούμενη συγκατάθεση των δανειοληπτών η διαβίβαση από τις τράπεζες στην ΤΕΙΡΕΣΙΑΣ ΑΕ των στοιχείων των χορηγήσεών τους προς ιδιώτες σχετικά με δάνεια και πιστωτικές κάρτες, οι οποίες είχαν εγκριθεί πριν από το 2003 (Απόφαση 63/2007).
• Δημοσιοποίηση των ονομάτων των ατόμων που απηλλάγησαν από τη στράτευση: Πρόκειται για τις εξής τρεις κατηγορίες ατόμων: α) αυτών που νόμιμα απηλλάγησαν από την υποχρέωση στράτευσης για λόγους υγείας, β) αυτών που κρίθηκαν κατάλληλοι για στράτευση μετά από επανέλεγχο των δικαιολογητικών τους και γ) αυτών που παράνομα απηλλάγησαν από την υποχρέωση στράτευσης για λόγους υγείας. Και στις τρεις περιπτώσεις η δημοσιοποίηση κρίθηκε παράνομη, καθώς δεν υφίσταται σχετική διάταξη νόμου που να προβλέπει τη συγκεκριμένη επεξεργασία – δημοσιοποίηση, ούτε αυτή εμπίπτει σε κάποια από τις προϋποθέσεις νόμιμης επεξεργασίας που προβλέπει το άρθρο 7 του Ν. 2472/1997 για τα ευαίσθητα δεδομένα (Απόφαση 6/2007).
• Μέτρα ασφάλειας και ασφαλής καταστροφή δεδομένων: Ο υπεύθυνος επεξεργασίας υποχρεούται και στην ασφαλή καταστροφή των δεδομένων. Η απλή ρίψη των φακέλων σε κάδους απορριμάτων δεν πληροί τις απαιτήσεις του Ν. 2472/1997 για την λήψη των κατάλληλων οργανωτικών και τεχνολογικών μέτρων ασφάλειας (Αποφάσεις 1/2007, 2/2007, 8/2007, 12/2007, 13/2007, 14/2007, 15/2007, 20/2007, 21/2007, 32/2007, 33/2007, 46/2007, 47/2007, 55/2007).
• Βιομετρικά δεδομένα: Είναι παράνομη η χρησιμοποίηση από τον εργοδότη της βιομετρικής μεθόδου της ανάλυσης της γεωμετρίας του δακτύλου των εργαζομένων για τον έλεγχο της εισόδου και της εξόδου των τελευταίων από τις εγκαταστάσεις της επίχειρησης καθώς και για τον έλεγχο τήρησης του ωραρίου (Αποφάσεις 50/2007 και 62/2007).
• Εργασιακές σχέσεις και προστασία δεδομένων: Δεν επιτρέπεται η έρευνα από τον εργοδότη χωρίς τη συγκατάθεση του εργαζομένου των αρχείων που τηρεί στον ηλεκτρονικό του υπολογιστή (Απόφαση 37/2007).
• Διαγραφή αλλοδαπών από το Σύστημα Πληροφοριών Σένγκεν και από τον Εθνικό Κατάλογο Ανεπιθύμητων Αλλοδαπών: Η ανάκληση της ελληνικής ιθαγένειας δεν αποτελεί λόγο εγγραφής ενός αλλοδαπού στο Σύστημα Πληροφοριών Σένγκεν και στον Εθνικό Κατάλογο Ανεπιθύμητων Αλλοδαπών, καθώς η παρουσία του συγκεκριμένου αλλοδαπού στην ελληνική επικράτεια δεν συνιστά απειλή για τη δημόσια τάξη και ασφάλεια ή την εθνική ασφάλεια. Αυτοδίκαια διαγράφονται από τους παραπάνω καταλόγους και οι αλλοδαποί σε βάρος των οποίων είχε επιβληθεί το μέτρο της δικαστικής απέλασης, στην περίπτωση που οι ίδιοι έλαβαν στη συνέχεια άδεια παραμονής βάσει των διατάξεων των Ν. 2910/2001 και Ν. 3386/2005 που αφορούν την είσοδο και παραμονή αλλοδαπών στην Ελλάδα (Αποφάσεις 7/2007 και 10/2007).
• Δεδομένα αλλοδαπών: Το ΥΠΕΣΔΑ οφείλει να διαγράψει ως μη αναγκαία και μη πρόσφορα από τα έντυπα αιτήσεων για χορήγηση άδειας διαμονής σε αλλοδαπούς τα πεδία που είναι σχετικά με το θρήσκευμα και την εθνική καταγωγή των αιτούντων. Στην περίπτωση που επιθυμεί να συλλέγει τα παραπάνω στοιχεία για στατιστικούς σκοπούς, οφείλει να το κάνει με τη χορήγηση διαφορετικών εντύπων, τα οποία θα συμπληρώνονται ανώνυμα (απόφαση 16/2007).
• ΜΜΕ και προσωπικά δεδομένα: Στάθμιση των ανταγωνιστικών δικαιωμάτων της πληροφορικής αυτοδιάθεσης και της ελευθερίας του τύπου και της ενημέρωσης των πολιτών, κατά τις αρχές της πρακτικής εναρμόνισης των συνταγματικών διατάξεων. Η κρίση αν η συγκεκριμένη επεξεργασία ασκήθηκε νόμιμα ή αν, αντίθετα, παραβιάστηκε το δικαίωμα της πληροφοριακής αυτοδιάθεσης των θιγόμενων προσώπων και της ιδιωτικής ζωής, υπακούει τόσο στο κριτήριο κατά πόσο η επεξεργασία αυτή εξυπηρέτησε το συμφέρον της πληροφόρησης της κοινής γνώμης, όσο και στο κατά πόσο η εξεταζόμενη προσβολή ήταν στο πλαίσιο της αρχής της αναλογικότητας αναγκαία για την άσκηση του δικαιώματος πληροφόρησης (43/2007).

4. Διεθνή Θέματα
Στα ιδιαίτερα σημαντικά θέματα που απασχόλησαν την Αρχή, κυρίως στο πλαίσιο της συνεργασίας της με τις Αρχές Προστασίας Δεδομένων των χωρών μελών της ΕΕ, αλλά εν μέρει και σε εθνικό επίπεδο, συγκαταλέγονται και τα ακόλουθα:
• οι Δεσμευτικοί Εταιρικοί Κανόνες (Binding Corporate Rules) σχετικά με τη διαβίβαση δεδομένων σε χώρες εκτός ΕΕ,
• η διαβίβαση στοιχείων επιβατών αεροπορικών εταιρειών (PNRs),
• η παγκόσμια υπηρεσία ανταλλαγής χρηματοπιστωτικών μηνυμάτων SWIFT,
• το Πληροφοριακό σύστημα διοικητικής συνεργασίας και ανταλλαγής πληροφοριών (Internal Market Information – IMI) στο εσωτερικό της ΕΕ,
• οι Υπηρεσίες Κοινωνικής Δικτύωσης (social networks),
• οι μηχανές αναζήτησης,
• οι ιδιωτικές ασφαλίσεις ιατρικής περίθαλψης – υγείας,
• το spam,
• η προστασία προσωπικών δεδομένων ανηλίκων και
• η προστασία δεδομένων στον Τρίτο Πυλώνα της Ε.Ε.

5. Ολοκληρωμένο Πληροφοριακό Σύστημα
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, στο πλαίσιο του προγράμματος Κοινωνία της Πληροφορίας, ολοκλήρωσε, τον Δεκέμβρη του 2007, την πραγματοποίηση του Πληροφοριακού Συστήματος-Ηλεκτρονικού Κέντρου Εξυπηρέτησης, με σκοπό την παροχή ηλεκτρονικών υπηρεσιών προς το κοινό αλλά και τη βελτίωση της εσωτερικής της λειτουργίας. Το έργο βασίστηκε σε τεχνολογίες Διαδικτύου και ανοικτού λογισμικού και η υλοποίησή του διήρκεσε περίπου 2 έτη.

6. Προβλήματα και Μέτρα Αντιμετώπισης
Η Αρχή αντιμετωπίζει, σε μεγαλύτερο βαθμό σε σύγκριση με τα παρελθόντα έτη, σοβαρά προβλήματα λειτουργίας που προκαλούνται από τον ανεπαρκή αριθμό οργανικών θέσεων, την έλλειψη μισθολογικών και βαθμολογικών κινήτρων για την προσέλκυση και παραμονή στην υπηρεσία επιστημονικού προσωπικού, την υπέρμετρη αύξηση των εισερχόμενων υποθέσεων (ερωτημάτων, προσφυγών / καταγγελιών, γνωστοποιήσεων) καθώς και τις αυξημένες απαιτήσεις για πραγματοποίηση ελέγχων και υποστήριξη των υπευθύνων επεξεργασίας.
Τα προβλήματα του ανθρώπινου δυναμικού είχαν επισημανθεί και στις ετήσιες εκθέσεις των ετών 2005 και 2006. Συνεχίζουν να υφίστανται με αποτέλεσμα να καθίσταται σε πολλές περιπτώσεις ανεπίκαιρη, ακόμη και ανέφικτη, η ανταπόκριση της Αρχής κατά την άσκηση των αρμοδιοτήτων της.
Μετά την ανάληψη των καθηκόντων των μελών της νέας σύνθεσης της Αρχής, επιχειρήθηκε η λήψη ορισμένων οργανωτικών μέτρων για την αντιμετώπιση των προβλημάτων, όπως η σύσταση και λειτουργία Τμήματος παράλληλα με την Ολομέλεια, η αναπροσαρμογή της ειδικής πρόσθετης αμοιβής του προσωπικού (επιστημονικού και διοικητικού) της Γραμματείας, η πρόσληψη εκπαιδευομένων από το πρόγραμμα stage του ΟΑΕΔ και η προκήρυξη διαγωνισμού για την πλήρωση πέντε κενών οργανικών θέσεων.
Ήδη μελετάται, με στόχο την αποτελεσματικότερη και ταχύτερη διεξαγωγή των εργασιών, η κατανομή του επιστημονικού προσωπικού σε τέσσερα γραφεία με κριτήριο την επεξεργασία υποθέσεων σε συναφή αντικείμενα. Επίσης, πρόκειται να συγκροτηθεί ομάδα εργασίας που θα εισηγηθεί την τροποποίηση του ιδρυτικού νόμου υπό το φως της εμπειρίας της υπερδεκαετούς εφαρμογής του. Μεταξύ των τροποποιήσεων θα προταθεί η μεταβολή του υπηρεσιακού καθεστώτος των ελεγκτών από την κατηγορία ΠΕ σε θέσεις ειδικού επιστημονικού προσωπικού. Η μεταβολή αυτή θα επιτρέψει τη μισθολογική εξομοίωση με το προσωπικό άλλων ανεξάρτητων αρχών που έχει τα ίδια ή και λιγότερα τυπικά προσόντα.
Η γενναία πλην σταδιακή αύξηση των οργανικών θέσεων από 50 σε 90 είναι απαραίτητη προϋπόθεση για την εύρυθμη λειτουργία της Αρχής. Αυτή τη στιγμή παραμελείται, λόγω φόρτου εργασίας, μια κύρια αποστολή της Αρχής που είναι ο αυτεπάγγελτος διοικητικός έλεγχος αρχείων και επεξεργασιών με σοβαρούς κινδύνους για τον πολίτη (π.χ. τραπεζικός και ασφαλιστικός τομέας, οι τομείς προώθησης προϊόντων και υπηρεσιών, ηλεκτρονικών επικοινωνιών, υγείας, εργασιακών σχέσεων κ.ά.) και το ολιγάριθμο προσωπικό αγωνίζεται να ανταποκριθεί στη διαχείριση καταγγελιών ήσσονος σημασίας. Για τον ίδιο λόγο, τα τελευταία χρόνια, δεν καταρτίζονται οδηγίες και κανονιστικές πράξεις για τη ρύθμιση ειδικών θεμάτων και δεν εκπονούνται μελέτες για τις νέες τεχνολογίες και την υποστήριξη των υπευθύνων επεξεργασίας.
Η Αρχή πρέπει τα επόμενα χρόνια να αναπτύξει περισσότερο την προληπτική δράση. Για την επίτευξη του στόχου αυτού, η Πολιτεία πρέπει να εξασφαλίσει το αναγκαίο ανθρώπινο δυναμικό και την απαιτούμενη υλικοτεχνική υποδομή.

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου