Του Δρ. Αλέξη Μιχαήλ - Επικεφαλής Υπηρεσιών Τεχνολογικού Κινδύνου BDO Cyprus
Η 25η Μαΐου του 2018, ήταν ημέρα ορόσημο για την προστασία των προσωπικών δεδομένων των Ευρωπαίων πολιτών, καθώς τέθηκε σε εφαρμογή ο Γενικός Κανονισμός για την προστασία των προσωπικών δεδομένων 2016/679, ευρύτερα γνωστός ως GDPR. Σκοπός του Κανονισμού, η προσαρμογή και ο εκσυγχρονισμός των αρχών, δικαιωμάτων και υποχρεώσεων των φυσικών και νομικών προσώπων, που θεσπίστηκαν με την (απαρχαιωμένη, πλέον) Οδηγία του 1995. Δυστυχώς, 4 χρόνια μετά την εφαρμογή του Κανονισμού, παρατηρούνται ακόμη φαινόμενα μη συμμόρφωσης των επιχειρήσεων με το σύνολο των σχετικών τους υποχρεώσεων. Παρακάτω, παρατίθενται πέντε απτά παραδείγματα τέτοιων παραβιάσεων, από οντότητες του κυπριακού επιχειρείν:
1. Λήψη και αποθήκευση φωτοαντίγραφου πολιτικής ταυτότητας/διαβατηρίου από ξενοδοχεία και τουριστικά καταλύματα.
Αρκετά καταλύματα συνεχίζουν ακόμη να απαιτούν, να επεξεργάζονται (συνήθως μέσω σαρωτή) και να αποθηκεύουν αντίγραφα της πολιτικής ταυτότητας/διαβατηρίου των επισκεπτών, κατά τη διαδικασία ελέγχου στοιχείων (check-in).
ΑΠΑΓΟΡΕΥΕΤΑΙ - Τα καταλύματα δικαιούνται να ζητούν και να ελέγχουν τα στοιχεία που περιλαμβάνονται στην ταυτότητα/διαβατήριο του πελάτη, όπως επίσης και να συλλέγουν/καταγράφουν τον αριθμό δελτίου ταυτότητας/διαβατηρίου, αλλά επ' ουδενί δεν δικαιούνται να φωτοτυπούν/διατηρούν αντίγραφο αυτής/αυτού.
2. Καταγραφή εικόνας από κλειστά κυκλώματα παρακολούθησης (CCTV) σε επιχειρήσεις, χώρους λιανικού εμπορίου, εστίασης, γυμναστήρια κλπ.
Τα δεδομένα εικόνας και ήχου αποτελούν δεδομένα προσωπικού χαρακτήρα. Η σχετική επεξεργασία επιτρέπεται μόνο αν δεν υπάρχει λιγότερο παρεμβατικός τρόπος για την πραγματοποίηση του σκοπού. Παρά ταύτα, πολλές επιχειρήσεις συνεχίζουν να καταγράφουν τους επισκέπτες/υπαλλήλους τους κατά το δοκούν. To γραφείο της Επιτρόπου, μέσω σχετικής ανακοίνωσης (06/2019), παραθέτει ενδεικτικά παραδείγματα:
Χώροι όπου επιτρέπεται η λήψη εικόνας με την χρήση CCTV:
- Είσοδος/έξοδος κτηρίου
- Έξω από ασανσέρ, εστιάζοντας αποκλειστικά σ’ αυτό
- Πάνω από μηχάνημα κάρτας/ταμείου, εστιάζοντας αποκλειστικά σ’ αυτό
- Χώρος στάθμευσης
Χώροι όπου δεν επιτρέπεται η λήψη εικόνας με την χρήση CCTV:
- Διάδρομοι
- Μέσα σε ασανσέρ
- Σε χώρο αναμονής
- Εσωτερικός/εξωτερικός χώρος εστίασης καφετέριας, εστιατορίου κλπ
3. Λήψη βιομετρικών δεδομένων για σκοπούς πρόσβασης σε χώρο/καταγραφής χρόνου προσέλευσης/αποχώρησης υπαλλήλων
Με τις τιμές των συσκευών επεξεργασίας βιομετρικών δεδομένων (π.χ. ταυτοποίηση με δακτυλοσκοπικό αποτύπωμα, αναγνώριση προσώπου κλπ) να έχουν γίνει πιο προσιτές τα τελευταία χρόνια, παρατηρείται ένας αυξανόμενος αριθμός επιχειρήσεων, να αξιοποιούν αυτές, για σκοπούς ελέγχου πρόσβασης του κοινού σε χώρο, για καταγραφή του χρόνου προσέλευσης/αποχώρησης των υπαλλήλων και για παρεμφερείς σκοπούς.
ΑΠΑΓΟΡΕΥΕΤΑΙ - Μία από τις βασικές αρχές επεξεργασίας των δεδομένων είναι η αρχή της ελαχιστοποίησης, βάσει της οποίας τα δεδομένα που συλλέγονται πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Η αρχή αυτή επιβάλλει όπως ο υπεύθυνος επεξεργασίας για οποιαδήποτε επεξεργασία, πρέπει να επιλέγει τα λιγότερο παρεμβατικά/επαχθή μέσα για την ανθρώπινη αξιοπρέπεια. Ως εκ τούτου, η χρήση βιομετρικών δεδομένων, όπως η δακτυλοσκόπηση και η αναγνώριση προσώπου, για τους ανωτέρω σκοπούς, απαγορεύεται, διότι αποτελεί μέτρο το οποίο κρίνεται ως υπέρμετρα παρεμβατικό, μη ανάλογο και, επομένως, αντίθετο με την αρχή της αναλογικότητας.
4. Συλλογή υπερβολικών δεδομένων των υποψηφίων μέσω αιτήσεων πρόσληψης για εργοδότηση
Αρκετοί εργοδότες, κατά τις διαδικασίες πρόσληψης προσωπικού και ως μέρος των αιτήσεων πρόσληψης που καλούν τους υποψήφιους να συμπληρώσουν, ζητούν υπερβολικά δεδομένα, εντελώς αχρείαστα και ασύμβατα με τον σκοπό επεξεργασίας.
ΑΠΑΓΟΡΕΥΕΤΑΙ – Η συλλογή στοιχείων όπως η οικογενειακή κατάσταση του υποψηφίου, ο αριθμός παιδιών, η εθνικότητα, η θρησκεία, στοιχεία πατέρα/μητέρας και οι προσωπικές συνήθειες του υποψηφίου (π.χ. καπνιστής) παραβιάζει την αρχή της ελαχιστοποίησης. Οι εργοδότες θα πρέπει να επανεξετάσουν τις διαδικασίες τους και να περιορίσουν την συλλογή στοιχείων στα άκρως απαραίτητα.
5. Απλή ενημέρωση των επισκεπτών σε ιστοσελίδες για τη χρήση «cookies», αντί για τη λήψη ρητής συγκατάθεσης
Αρκετές ιστοσελίδες δεν ζητούν συγκατάθεση για την εγκατάσταση μικρών αρχείων κειμένου (cookies) που αποθηκεύονται στους ηλεκτρονικούς υπολογιστές των επισκεπτών - αντ’ αυτού, απλά «ενημερώνουν» τον επισκέπτη για την εν λόγω χρήση.
ΑΠΑΓΟΡΕΥΕΤΑΙ – οι ιστοσελίδες που κάνουν χρήση των cookies θα πρέπει να λαμβάνουν την εκ των προτέρων συγκατάθεση των χρηστών, αφού πρώτα ενημερώσουν τους χρήστες σχετικά με τον τρόπο με τον οποίο χρησιμοποιούν τα cookies. Η συγκατάθεση θα πρέπει, μεταξύ άλλων:
-Να είναι ρητή: θα πρέπει να δίνεται με δήλωση ή σαφή θετική ενέργεια. Τα προεπιλεγμένα κουτάκια, ή η πληροφόρηση ότι οι χρήστες συνεχίζοντας την περιήγηση στην ιστοσελίδα αποδέχονται τοιουτοτρόπως τα cookies, δεν πληρούν τις προϋποθέσεις της νομοθεσίας.
- Να είναι συγκεκριμένη, ελεύθερη και να υπάρχει η δυνατότητα ανάκλησης της.
- Να λαμβάνεται πριν την έναρξη της επεξεργασίας (δηλαδή πριν την τοποθέτηση cookies) και με πλήρη επίγνωση του χρήστη: ο χρήστης θα πρέπει πρώτα να έχει ενημερωθεί σχετικά με τους σκοπούς για τους οποίους χρησιμοποιούνται τα cookies (ονομασία, είδος, κατηγορία, περιγραφή
του σκοπού χρήσης, χρονικό διάστημα διατήρησης κλπ). Επιπρόσθετα, δεν πρέπει να γίνεται προσπάθεια επηρεασμού των χρηστών ώστε να επιλέξουν την αποδοχή των cookies (π.χ. μέσω της χρήσης διαφορετικών χρωματισμών, μεγέθους γραμματοσειράς κλπ.).
Πέραν των πέντε, ως άνω -ενδεικτικά - αναφερθέντων παραδειγμάτων, υπάρχουν και πολλά άλλα παραδείγματα κατάφορων παραβιάσεων του δικαιώματος του πολίτη στην ιδιωτικότητα, από επιχειρήσεις που δραστηριοποιούνται στο νησί μας. Παρά ταύτα, πρέπει να σημειωθεί, πως ο σεβασμός του δικαιώματος στην ιδιωτικότητα, εδραιώνεται χρόνο με τον χρόνο στην κυπριακή κοινωνία και έχουν γίνει πολλά βήματα ως προς την συμμόρφωση των επιχειρήσεων με τις σχετικές νομοθεσίες. Εντούτοις, μπορούμε και πρέπει να βελτιωθούμε!
