Ελλειμματική η προστασία προσωπικών δεδομένων στο Δημόσιο

ΕΙΡΗΝΗ ΛΟΪΖΙΔΟΥ ΝΙΚΟΛΑΪΔΟΥ : Η Κύπρος έχει ακόμη δρόμο να διανύσει

Συνέντευξη στην Αντωνία Λαμπράκη

Περισσότερο ενήμερος, ευαισθητοποιημένος και υποψιασμένος από πριν είναι πλέον ο πολίτης σε ζητήματα που άπτονται της προστασίας προσωπικών δεδομένων, ο οποίος διεκδικεί τα δικαιώματά του και σεβασμό της ιδιωτικότητάς του. Η Επίτροπος Προστασίας Προσωπικών Δεδομένων, Ειρήνη Λοϊζίδου Νικολαΐδου, σε συνέντευξη στην «Κυριακάτικη Χαραυγή», αναγνωρίζει ότι γίνονται βήματα προόδου από τις Αρχές και οργανισμούς που κατέχουν και επεξεργάζονται προσωπικά δεδομένα. Όμως, συνάμα, σημειώνει ότι εντοπίζονται αδυναμίες και εστιάζει ιδιαίτερα στις υποχρεώσεις του δημοσίου τομέα, όπου παρατηρούνται τα μεγαλύτερα ελλείμματα στις πολιτικές ασφάλειας δεδομένων. Αντίθετα, ο ιδιωτικός τομέας παρουσιάζεται να έχει επενδύσει περισσότερα στη διασφάλιση προσωπικών δεδομένων.

 

Εξετάζετε το ζήτημα που έχει προκύψει αναφορικά με την κυκλοφορία του οχήματος βαν εξοπλισμένου με υψηλής τεχνολογίας υποδομή παρακολούθησης και υποκλοπής προσωπικών δεδομένων;
Από την πρώτη στιγμή που ενημερωθήκαμε είμαι σε συνεχή επικοινωνία με την Αστυνομία και ζήτησα γραπτή ενημέρωση και διερεύνηση αδικημάτων που ενδεχομένως να προκύψουν και αφορούν την παραβίαση προνοιών, τόσο του κανονισμού όσο και της εθνικής νομοθεσίας προστασίας προσωπικών δεδομένων.

 

Η εμπειρία σας λέει ότι ο πολίτης ενοχλείται, καταγγέλλει και διεκδικεί σεβασμό των προσωπικών δεδομένων του;
Το Γραφείο μας καθημερινά είναι δέκτης ερωτημάτων και παραπόνων τόσο από πολίτες όσο και από οργανισμούς, παρατηρείται αύξηση στον όγκο και αυτό, κατά την άποψή μου, δηλώνει ευαισθητοποίηση της κοινωνίας ως προς την ανάγκη προστασίας των προσωπικών δεδομένων του ατόμου. Η συντριπτική πλειοψηφία των παραπόνων παραμένουν τα μηνύματα εμπορικής προώθησης (spam), για τα οποία απαιτείται η συγκατάθεση του πολίτη και συνάμα πρέπει να παρέχεται η επιλογή ανάκλησής τους προκειμένου να είναι νόμιμα. Όσον αφορά άλλα δικαιώματα που ασκούνται από πολίτες, στην πρώτη γραμμή είναι η άσκηση του δικαιώματος πρόσβασης. Δικαίωμα που στο πρόσφατο παρελθόν ήταν ελάχιστα διαδεδομένο, οι πολίτες αγνοούσαν εν πολλοίς, ότι έχουν δικαίωμα να ζητήσουν πρόσβαση σε στοιχεία και πληροφορίες που αφορούν αποκλειστικά και μόνο το άτομό τους, από κάποιον οργανισμό, δημόσιο ή ιδιωτικό. Λέγοντας αυτά, πρέπει να ξεκαθαρίσω ότι το δικαίωμα πρόσβασης δεν πρέπει να συγχέεται με αυτό της επιθεώρησης σε διοικητικούς φακέλους που διενεργείται στη βάση διοικητικής διαδικασίας. Άλλο δικαίωμα που ασκείται είναι αυτό που αφορά τη διόρθωση ή και διαγραφή προσωπικών δεδομένων, όπου επιτρέπεται από τη νομοθεσία. Διαπιστώνω ότι υπάρχει σύγχυση και παρερμηνεία ανάμεσα στο κοινό. Προφανώς, δεν μπορούμε να καταστούμε αόρατοι, ούτε να εξαφανιστούμε από βάσεις δεδομένων που διατηρούνται νόμιμα, π.χ. κρατικά μητρώα, όπως της Υπηρεσίας ΦΠΑ, από τα οποία ο πολίτης δεν έχει δικαίωμα να ζητήσει διαγραφή του.

 

Δηλαδή θα λέγατε ότι ωριμάζει η ανάγκη προστασίας προσωπικών δεδομένων;
Η αλήθεια είναι ότι σταδιακά γίνονται βήματα προόδου. Απομένει, βεβαίως, δρόμος να διανύσουμε. Από τα αποτελέσματα μιας έρευνας (ημερ. Σεπτέμβρης 2019), που διενήργησε το Γραφείο του Επιτρόπου Προστασίας Προσωπικών Δεδομένων μέσω αποστολής ερωτηματολογίου, και κάλυψε τον δημόσιο και ημιδημόσιο τομέα, για να μετρήσουμε την ετοιμότητα και το επίπεδο συμμόρφωσης με τον ευρωπαϊκό κανονισμό και την εθνική νομοθεσία, προκύπτει ότι σε αρκετά ζητήματα επιτεύχθηκε ο στόχος. Διαπιστώσαμε επίσης ότι οι δημόσιες υπηρεσίες έλαβαν κάποια μέτρα και προχώρησαν σε διορισμό υπεύθυνου προστασίας προσωπικών δεδομένων. Συνάμα, όμως, διαπιστώνονται κενά και αδυναμίες όσον αφορά τις πολιτικές ασφάλειας και την εκπαίδευση των λειτουργών που ασχολούνται με το αντικείμενο της προστασίας προσωπικών δεδομένων.
Επίσης, από τον Μάιο του 2018, όταν τέθηκε σε εφαρμογή ο γενικός κανονισμός προστασίας προσωπικών δεδομένων, διενεργήσαμε 19 διοικητικούς ελέγχους. Οι έλεγχοι ήταν δειγματοληπτικοί και κάλυψαν σχεδόν όλο το εύρος της οικονομίας, περιλαμβανομένων τράπεζας, ασφαλιστικής εταιρείας, ξενοδοχειακής μονάδας, την κάρτα φιλάθλου, τα αεροδρόμια, το σημείο ελέγχου βιομετρικών στοιχείων και μπορώ να πω ότι τα αποτελέσματα ήταν ικανοποιητικά.

 

Είστε ικανοποιημένη από τη συμμόρφωση του ιδιωτικού τομέα;
Από τους ελέγχους προκύπτει ότι ο ιδιωτικός τομέας είναι πιο μπροστά από τον δημόσιο, κυρίως σε πολιτικές ασφάλειας και στα οργανωτικά και τεχνικά μέτρα που έχουν υιοθετήσει για καλύτερη προστασία προσωπικών δεδομένων. Ο ιδιωτικός τομέας έχει επενδύσει στο κεφάλαιο της προστασίας προσωπικών δεδομένων προσλαμβάνοντας εξωτερικούς συνεργάτες, οι οποίοι καθοδηγούν τους οργανισμούς πώς να συμμορφωθούν και να αποφύγουν κακοτοπιές, πώς να μη βρεθούν εκτεθειμένοι. Ξέρετε, δεν είναι εύκολη διαδικασία η εφαρμογή του ευρωπαϊκού κανονισμού. Στην ουσία αποτελεί ένα εργαλείο αυτοελέγχου, μας επιβάλλει να εξετάσουμε τις εσωτερικές διαδικασίες συλλογής και διαχείρισης δεδομένων και πληροφοριών που ένας οργανισμός, εταιρεία ή δημόσια Αρχή, κατέχει και επεξεργάζεται.

 

Πώς διαμορφώνεται η εικόνα στο δημόσιο; Για να νιώθει ασφάλεια ο πολίτης ότι δεν θα βρεθεί εκτεθειμένος;
Καταγράφονται βήματα βελτίωσης. Παραμένουν όμως αδυναμίες. Τα μεγαλύτερα κενά παρατηρούνται σε μεγάλα Υπουργεία που διαθέτουν πολλά τμήματα και επεξεργάζονται μεγάλο όγκο προσωπικών δεδομένων.
Ένα άλλο στοιχείο που είχαμε ως Γραφείο να ασχοληθούμε αφορά την άσκηση του δικαιώματος πρόσβασης σε προσωπικά δεδομένα. Αυτό το δικαίωμα δεν ήταν ευρέως γνωστό. Διαπίστωσα ότι επικρατούσε λανθασμένη αντίληψη ότι επειδή πρόκειται για στοιχεία που κατέχει μια δημόσια Αρχή, ο πολίτης δεν δύναται να έχει πρόσβαση σε προσωπικά του στοιχεία. Πλέον, μετά από συστάσεις μου στις Αρχές, ο πολίτης έχει δικαίωμα πρόσβασης στον προσωπικό του φάκελο.

 

Μεγάλο όγκο προσωπικών δεδομένων κατέχουν οι τράπεζες και οι ασφαλιστικές εταιρείες. Κατά καιρούς ακούγονται παράπονα από πολίτες για παραβίαση δεδομένων τους. Έρχονται τέτοιες καταγγελίες ενώπιόν σας;
Μεγάλοι οργανισμοί, όπως τράπεζες και ασφαλιστικές εταιρείες, έχουν δημιουργήσει τμήμα συμμόρφωσης με τον ευρωπαϊκό κανονισμό προστασίας προσωπικών δεδομένων. Είναι οργανισμοί οι οποίοι διαχειρίζονται μεγάλο όγκο δεδομένων και ευαίσθητων, που αφορούν το ιατρικό απόρρητο. Η μη συμμόρφωση με τις πρόνοιες της νομοθεσίας θα στοίχιζε στους οργανισμούς πολύ περισσότερα από τη συμμόρφωση. Συνεπώς, ορθά έχουν επενδύσει στην ενίσχυση της προστασίας των προσωπικών δεδομένων. Στις τράπεζες, το πιο συχνό δικαίωμα που ασκείται είναι αυτό της πρόσβασης σε προσωπικά δεδομένα. Μετά τις εξελίξεις στον τραπεζικό τομέα, με τις εξαγορές και συγχωνεύσεις ιδρυμάτων, τα δεδομένα των πολιτών έχουν μεταφερθεί σε άλλους οργανισμούς οι οποίοι τα διαχειρίζονται. Οι πολίτες είναι ανήσυχοι, θέλουν να γνωρίζουν τι κατέχουν οι τράπεζες και οι εταιρείες που επεξεργάζονται κατ’ εντολή των τραπεζών. Πρέπει να αναφέρω ότι αρκετοί πολίτες οι οποίοι αποτάθηκαν στο Γραφείο μου, ζητώντας πρόσβαση στα προσωπικά τους δεδομένα, ικανοποιήθηκαν από τις τράπεζες. Διαφορετικά ζητήματα είχαμε να αντιμετωπίσουμε στις ασφαλιστικές εταιρείες. Που αφορούσε την αρχή της αναλογικότητας. Συγκεκριμένα, κατά την εξέταση ενός αιτήματος ασφαλισμένου, για σκοπούς αποζημίωσης, εταιρείες ζητούσαν υπερβολικά προσωπικά δεδομένα, δηλαδή πρόσβαση σε ιατρικά δεδομένα που καμία απολύτως σχέση είχαν με τη φύση του αιτήματος.
Για παράδειγμα, ζητούσαν αποτελέσματα ελέγχου μαστογραφίας ή δισκάκια της επέμβασης του ασθενούς προκειμένου να αποζημιώσουν. Υπερβολικά και μη συναφή στοιχεία για σκοπούς αποζημίωσης. Μετά από παρέμβαση του Γραφείου μου, ξεκαθαρίσαμε ότι είναι υπερβολικές απαιτήσεις που αγγίζουν ευαίσθητα προσωπικά δεδομένα. Είναι με ικανοποίηση που διαπιστώνω ότι έχουν μειωθεί αυτά τα περιστατικά. Συνάμα, ο πολίτης είναι πλέον περισσότερο υποψιασμένος και μπορεί να αντιδράσει σε υπέρμετρες απαιτήσεις των οργανισμών.

 

Συχνά, ζητήματα υγείας ενός ατόμου στο χώρο εργασίας του κυκλοφορούν ως έκτακτο παράρτημα σε βάρος του επηρεαζόμενου. Πώς μπορεί να αποφύγει την έκθεση ο επηρεαζόμενος;
Αναφορικά με τη διαχείριση ευαίσθητων προσωπικών δεδομένων από εργοδότες και στο εργασιακό περιβάλλον, κατά καιρούς έχουμε καταγγελίες από εργαζομένους, οι οποίοι απουσίαζαν από την εργασία τους για λόγους υγείας και το υπόλοιπο προσωπικό γνώριζε με λεπτομέρεια τι πρόβλημα αντιμετώπιζε ο/η επηρεαζόμενος υπάλληλος.
Πρόκειται για σοβαρή παραβίαση προσωπικών δεδομένων, που πηγάζει από την έλλειψη επαρκούς κουλτούρας και ευαισθητοποίησης από την κοινωνία, που κακώς υποβαθμίζεται σε κουτσομπολιό. Αν όμως, ο/η επηρεαζόμενη προβεί σε καταγγελία, τότε σίγουρα ο οργανισμός θα βρεθεί εκτεθειμένος, που δεν έθεσε σε εφαρμογή τις απαιτούμενες διαδικασίες διασφάλισης της προστασίας ειδικής κατηγορίας προσωπικών δεδομένων.

 

Να αναμένουμε ότι στην επόμενη προεκλογική εκστρατεία τα κόμματα δεν θα αποστέλλουν μηνύματα στους ψηφοφόρους χωρίς τη συγκατάθεσή τους;
Θα ήταν ευχής έργο να μην υπάρχουν καθόλου παραβιάσεις. Το θετικό είναι ότι υπάρχει πρόοδος και παρατηρείται συμμόρφωση. Τα μέχρι σήμερα πρόστιμα που έχουν επιβληθεί για αποστολή πολιτικών μηνυμάτων ανέρχονται στις €72.900. Σαφώς πολύ λιγότερα ήταν τα πρόστιμα κατά την τελευταία προεκλογική περίοδο που ανήλθαν σε €7.000.

 

Πρόοδος στον δημοσιογραφικό κόσμο

Συχνά τα ΜΜΕ δημοσιεύουν προσωπικά δεδομένα που πλήττουν την αξιοπρέπεια του ατόμου. Ποιας διαχείρισης τυγχάνουν;
Διαπιστώνω ουσιαστική πρόοδο από τον δημοσιογραφικό κόσμο ως προς τη διαχείριση προσωπικών δεδομένων. Μετά την έκδοση σειράς αποφάσεων και επιβολής χρηματικών προστίμων, διοργάνωσης σχετικών εκδηλώσεων, η εικόνα βελτιώνεται. Κατά την εκτίμησή μου, στον Τύπο είναι καλύτερη η εικόνα, ενώ στις διαδικτυακές σελίδες εντοπίζονται περισσότερα προβλήματα, λόγω και της ταχύτητας διάχυσης της πληροφορίας.

Πηγή ενημέρωσης των δημοσιογράφων είναι η Αστυνομία, που προφανώς φέρει ευθύνη για τη διάδοση προσωπικών δεδομένων, έτσι δεν είναι;
Η Αστυνομία, όπως και άλλοι οργανισμοί, έχει την ευθύνη της διαχείρισης της πληροφορίας που λαμβάνει και υποχρέωση να τη μοιράζεται με το κοινό. Σε αρκετές περιπτώσεις έχει δοθεί από το Γραφείο του Επιτρόπου καθοδήγηση για τον ενδεδειγμένο χειρισμό υποθέσεων και συστάσεις επί παραπόνων. Έχουμε διεξάγει αρκετές εκπαιδεύσεις, θα ακολουθήσουν και άλλες με τα μέλη της Αστυνομίας κάθε βαθμίδας.