Βροχή από προσφυγές και καταγγελίες δέχτηκε η Αρχή Προσωπικών Δεδομένων, που επέβαλλε χρηματικές κυρώσεις, συστάσεις και πρόστιμα ύψους 90.500 ευρώ.
Σύμφωνα με την ετήσια έκθεση της Αρχής, γιά το 2020, που παραδόθηκε από τον Πρόεδρο της, Κώστα Μενουδάκο στον πρόεδρο της Βουλής, ο αριθμός των εισερχόμενων υποθέσεων προσφυγών/καταγγελιών ανήλθε σε 973, μειωμένος κατά περίπου 1% σε σύγκριση με το 2019 (από 983), ενώ 700 υποθέσεις προσφυγών/καταγγελιών διεκπεραιώθηκαν, εμφανίζοντας αύξηση περίπου 15% ως προς το προηγούμενο έτος (από 608).
Στην εισαγωγή της ετήσιας έκθεσης της Αρχής, αναφέρει: «Μέσα στις έκτακτες συνθήκες και προκλήσεις που προέκυψαν, λόγω της πανδημίας, κατά τις οποίες το κρίσιμο πρόταγμα ήταν δικαιολογημένα η προάσπιση της δημόσιας υγείας, επιβλήθηκαν περιορισμοί στις ελευθερίες και χρησιμοποιήθηκε σε μεγάλο βαθμό τεχνολογία που προϋποθέτει επεξεργασία προσωπικών δεδομένων».
Ο μεγαλύτερος αριθμός των εισερχομένων καταγγελιών είχαν ως αντικείμενο τις ηλεκτρονικές επικοινωνίες και ειδικότερα τις τηλεφωνικές οχλήσεις για προώθηση προϊόντων και υπηρεσιών, την αζήτητη ηλεκτρονική επικοινωνία (SPAM), και ακολουθούν οι καταγγελίες με αντικείμενο την ιδιωτική οικονομία, τη βιντεοεπιτήρηση, τον χρηματοπιστωτικό τομέα, τη δημόσια διοίκηση, την υγεία και τις εργασιακές σχέσεις. Αναφορικά δε με τις αποφάσεις που εκδόθηκαν, οι περισσότερες αφορούσαν τις ηλεκτρονικές επικοινωνίες, τη δημόσια διοίκηση και τις εργασιακές σχέσεις.
Σύμφωνα με τα στοιχεία της έκθεσης, η προώθηση προϊόντων και υπηρεσιών (διαφήμιση, spam, τηλεφωνικές οχλήσεις), θέματα ιδιωτικής οικονομίας αλλά και υπηρεσίες ηλεκτρονικής επικοινωνίας (μέσω τηλεπικοινωνιακών παρόχων) καθώς και ζητήματα βιντεοεπιτήρησης, είναι στην πρώτη θέση της λίστας με τις προσφυγές - καταγγελίες, που δέχθηκε το 2020 η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, αλλά και στις περισσότερες από τις υποθέσεις, που διεκπεραίωσε.
Ο αριθμός των περιστατικών παραβίασης προσωπικών δεδομένων, που γνωστοποιήθηκαν στην Αρχή ανήλθε σε 130 και είναι μειωμένος κατά περίπου 2% σε σύγκριση με το περασμένο έτος (ήταν 132 το 2019), ενώ υποβλήθηκαν και 59 γνωστοποιήσεις παραβίασης δεδομένων από παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών, με βάση τον ν. 3471/2006, εμφανίζοντας υπερδιπλασιασμό (από 22 το 2019).
Το σύνολο των εισερχομένων εγγράφων στην Αρχή, το έτος 2020, ανήλθε σε 7.696, αυξημένο κατά περίπου 2% σε σύγκριση με το έτος 2019 (από 7.563), παρά τους περιορισμούς λόγω πανδημίας.
Ως προς τον τρόπο υποβολής των προσφυγών στην Αρχή, όπως τονίζεται στην έκθεση παρατηρείται αύξηση υποβολής με ηλεκτρονικό τρόπο, σε ποσοστό περίπου 90% (από περίπου 83% το περασμένο έτος).
Επικρατεί η υποβολή με ηλεκτρονικό ταχυδρομείο σε ποσοστό περίπου 84% (από 74% το 2019), μέσω της δικτυακής πύλης σε ποσοστό 4% και μέσω fax σε ποσοστό περίπου 1% (από περίπου 3% το 2019).
Οπως αναφέρεται στην έκθεση, η χρήση του ηλεκτρονικού ταχυδρομείου συνεχίζει να αυξάνεται σημαντικά, από 58% το 2018, σε 74% το 2019 και 84% το 2020, ενώ αντίθετα η χρήση της δικτυακής πύλης παρουσίασε φθίνουσα πορεία τα τελευταία έτη, από περίπου 11% το 2018 σε 5% το 2019 και 4% το 2020.
Σύμφωνα με τις αποφάσεις της Αρχής επιβλήθηκαν κυρώσεις σε 33 υπευθύνους επεξεργασίας. Σε 2 περιπτώσεις επιβλήθηκε της επίπληξης – προειδοποίησης μετά από καταγγελία και ακρόαση και σε 31 περιπτώσεις επιβλήθηκε πρόστιμο το ύψος του οποίου κυμάνθηκε από 1.000 έως 8.000 ευρώ. Διευκρινίζεται ότι σε 3 από τις 31 αυτές αποφάσεις της Αρχής επιβλήθηκε εκτός του χρηματικού προστίμου και εντολή συμμόρφωσης σύμφωνα με τις διατάξεις του ΓΚΠΔ. Συνολικά, επιβλήθηκαν πρόστιμα ύψους 90.500 ευρώ.
Παράλληλα, στις αρχές του 2020, η Αρχή απηύθυνε τελικές συστάσεις και επιβεβαίωσε τη συμμόρφωση με αυτές, σε 65 υπευθύνους επεξεργασίας, οι οποίοι δραστηριοποιούνται διαδικτυακά στους τομείς των χρηματοπιστωτικών υπηρεσιών, υπηρεσιών ασφάλισης, ηλεκτρονικού εμπορίου, υπηρεσιών εισιτηρίων και υπηρεσιών δημοσίου τομέα.
Επίσης, το 2020, η Αρχή ζήτησε ενημέρωση και διευκρινίσεις από τα αρμόδια υπουργεία και υπηρεσίες σχετικά με την ανάθεση της ανάλυσης επιδημιολογικών δεδομένων και της πρόβλεψης εξέλιξης της πανδημίας και από το Υπουργείο Προστασίας του Πολίτη σχετικά με την εγκατάσταση και λειτουργία από την Ελληνική Αστυνομία φορητού συστήματος επιτήρησης.
Περαιτέρω, η Αρχή εξέτασε περιστατικό παραβίασης δεδομένων σε εταιρεία κινητής και σταθερής τηλεφωνίας και ζήτησε ενημέρωση και διευκρινίσεις από τις τράπεζες οι οποίες προέβαιναν στην αντικατάσταση πιστωτικών και χρεωστικών καρτών πελατών τους λόγω διαρροής σχετικών δεδομένων, καθώς και σχετικά με τη διερεύνηση του περιστατικού παραβίασης από την εταιρία που λειτουργεί πλατφόρμα ηλεκτρονικών συναλλαγών και η οποία πιθανολογείται ως το σημείο διαρροής.
Στο προλογικό του σημείωμα ο πρόεδρος της Αρχής Κωνσταντίνος Μενουδάκος, αναφέρει:
"Το 2020 ήταν μια χρονιά απρόβλεπτων εξελίξεων. Οι έκτακτες συνθήκες που προέκυψαν λόγω της πανδημίας του κορωνοϊού COVID-19 είχαν καθολικό αντίκτυπο στον τρόπο ζωής μας. Μέσα σε αυτή την πρωτοφανούς έντασης παγκόσμια κρίση, όπου το κρίσιμο πρόταγμα ήταν δικαιολογημένα η προάσπιση της δημόσιας υγείας, ανέκυπταν πολύ συχνά ζητήματα που άπτονταν της προστασίας προσωπικών δεδομένων και της ιδιωτικότητας.
Από την πρώτη περίοδο επιβολής των περιοριστικών μέτρων καταπολέμησης του κορωνοϊού το ζήτημα της νομιμότητάς τους, από την οπτική της προστασίας των προσωπικών δεδομένων, απασχόλησε το Ευρωπαϊκό Κοινοβούλιο και την Ευρωπαϊκή Επιτροπή, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕDPB), τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (EDPS) και τις εθνικές εποπτικές αρχές προστασίας δεδομένων, αρκετές από τις οποίες, μεταξύ των οποίων και η ελληνική, εξέδωσαν ανακοινώσεις ή κατευθυντήριες γραμμές.
Eίναι αξιοσημείωτο ότι το έτος 2020 η Αρχή εξέδωσε, μεταξύ άλλων, χρήσιμες κατευθυντήριες γραμμές (1/2020) και απόφαση (5/2020) για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της διαχείρισης του CΟVID-19, κατευθυντήριες γραμμές για τη λήψη μέτρων ασφάλειας στο πλαίσιο της τηλεργασίας (2/2020) και γνωμοδότηση για τη σύγχρονη εξ αποστάσεως τηλεκπαίδευση στις σχολικές μονάδες της πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης (4/2020).
Όλες οι ανακοινώσεις και κατευθυντήριες οδηγίες είχαν ως αφετηρία τη σκέψη ότι ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) και η λοιπή σχετική νομοθεσία παρέχουν τη δυνατότητα επεξεργασίας δεδομένων υγείας για την καταπολέμηση της πανδημίας, αλλά με την τήρηση των εγγυήσεων και των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στην ίδια νομοθεσία. Οι ανεξάρτητες εποπτικές αρχές επιφορτίστηκαν με το δυσχερές έργο της προσπάθειας για εξισορρόπηση της προστασίας της ιδιωτικής ζωής και του δικαιώματος του πληροφοριακού αυτοκαθορισμο,
με την εξυπηρέτηση του γενικότερου κοινωνικού συμφέροντος.
Πρόκειται για ιδιαίτερα δύσκολες σταθμίσεις καθώς εφαρμόζονται σε δεδομένες κάθε φορά πραγματικές συνθήκες στο πεδίο των αλληλοσυγκρουόμενων ατομικών και κοινωνικών δικαιωμάτων.
Η Αρχή Προστασίας Δεδομένων επέδειξε καλά αντανακλαστικά ήδη από την αρχή της πανδημίας, με τη σχεδόν άμεση προσαρμογή − μετάβαση στην τηλεργασία, διασφαλίζοντας την αδιάλειπτη λειτουργία της και εκτελώντας στο ακέραιο τα καθήκοντά της.
Ενδεικτικά αναφέρω ότι, στο πλαίσιο των αρμοδιοτήτων της, εξέδωσε σημαντικές γνωμοδοτήσεις και αποφάσεις, η πλειονότητα των οποίων αφορούσε τις ηλεκτρονικές επικοινωνίες, τη δημόσια διοίκηση και τις εργασιακές σχέσεις. Υπέβαλε παρατηρήσεις στις νομοθετικές πρωτοβουλίες του Υπουργείου Ψηφιακής Διακυβέρνησης σχετικά με τις διατάξεις που αφορούν τον «Προσωπικό Αριθμό», όπως αυτές περιέχονται στο σχέδιο νόμου «Κώδικας Ψηφιακής Διακυβέρνησης», καθώς και στον σχεδιασμό εφαρμογής ιχνηλάτησης επαφών Covid-19. Συνέβαλε στις διαδικασίες προετοιμασίας του νέου Κανονισμού για τα προσωπικά δεδομένα στις ηλεκτρονικές επικοινωνίες (e-Privacy Regulation) και, τέλος, απέστειλε στη Διεύθυνση Ευρωπαϊκών Υποθέσεων και Διμερών Θεμάτων της Βουλής των Ελλήνων τις θέσεις της σε σχέση με το σχέδιο νομοθετικής πράξης για την αντιμετώπιση της σεξουαλικής εκμετάλλευσης ανηλίκων.
Επιπλέον, η Αρχή, διαπιστώνοντας έλλειψη συμμόρφωσης των παρόχων υπηρεσιών της κοινωνίας της πληροφορίας στις απαιτήσεις της νομοθεσίας για την επεξεργασία δεδομένων στις ηλεκτρονικές επικοινωνίες και του ΓΚΠΔ όσον αφορά τη διαχείριση cookies και συναφών τεχνολογιών, εξέδωσε ειδικές συστάσεις (1/2020) και αντίστοιχα συστάσεις με υποδείγματα για την ικανοποίηση του δικαιώματος ενημέρωσης κατά την επεξεργασία δεδομένων μέσω συστημάτων βιντεοεπιτήρησης (2/2020).
Παράλληλα, η Αρχή ανταποκρίθηκε στις πάγιες ευρωπαϊκές και διεθνείς υποχρεώσεις της και ήταν ενεργώς παρούσα στις ομάδες εργασίας και τις επιτροπές που λειτουργούν με βάση την ευρωπαϊκή νομοθεσία προστασίας των προσωπικών δεδομένων.
Από τον Νοέμβριο του 2020 και με σκοπό την ευαισθητοποίηση υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία σχετικά με τη νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα, η Αρχή ξεκίνησε να υλοποιεί έργο με τίτλο «Διευκόλυνση της συμμόρφωσης του ΓΚΠΔ για τις Μικρομεσαίες Επιχειρήσεις και προώθηση της προστασίας δεδομένων από τον σχεδιασμό σε προϊόντα και υπηρεσίες ΤΠΕ (“by Design”)».
Η υλοποίηση διαρκεί δύο έτη και πραγματοποιείται από κοινού με το Πανεπιστήμιο Πειραιώς και την ελληνική εταιρεία πληροφορικής ‘ABOVO’ με συγχρηματοδότηση από την Ευρωπαϊκή Επιτροπή. Το φιλόδοξο έργο της δημιουργίας της νέας διαδικτυακής πύλης της Αρχής ξεκίνησε επίσης εντός του 2020. Βασικός στόχος ήταν η αναβάθμιση της ενημέρωσης − ευαισθητοποίησης των πολιτών για τα δικαιώματά τους, αλλά και των φορέων για τις υποχρεώσεις τους, έτσι ώστε το έργο της Αρχής να έχει τη μεγαλύτερη δυνατή αποτελεσματικότητα για την ενίσχυση της προστασίας των προσωπικών δεδομένων στη χώρα μας. Με τη δημιουργία της νέας αυτής δικτυακής πύλης, πρωταρχική επιδίωξή μας είναι να παρέχεται στους πολίτες η δυνατότητα πιο ολοκληρωμένης πληροφόρησης και παράλληλα αξιοποίησης πολυδιάστατων και ασφαλών ηλεκτρονικών υπηρεσιών.
Τον Ιανουάριο του 2021 τέθηκε σε παραγωγική λειτουργία η νέα αυτή πύλη της Αρχής (www.dpa.gr), ένα σύγχρονο κανάλι επικοινωνίας, με πλήρως ανανεωμένη δομή και περιεχόμενο, εύκολη πλοήγηση αλλά και με δυνατότητες σύνθετης αναζήτησης. Το 2021 είναι μια δύσκολη και ρευστή περίοδος όπου σταδιακά αίρονται περιορισμοί λόγω πανδημίας χωρίς όμως να αποκλείεται το ενδεχόμενο εκ νέου λήψης περιοριστικών μέτρων ανάλογα με την εξέλιξη της επιδημιολογικής εικόνας.
Δεν πρέπει, ωστόσο, γενικότερα να παραβλέπεται ότι τα μέτρα αυτά είναι θεμιτά μόνο αν το περιεχόμενό τους και η διάρκεια εφαρμογής τους αντιστοιχούν στην ανάγκη να αντιμετωπιστεί η απειλή για τη δημόσια υγεία. Στην παρούσα φάση της πανδημίας τεχνολογικές εφαρμογές αξιοποιούνται ολοένα και περισσότερο για να υποβοηθήσουν τα μέτρα ανακοπής της διάδοσης του κορωνοϊού. Ταυτόχρονα, οι κίνδυνοι από την επεξεργασία προσωπικών δεδομένων αυξάνονται.
Σε αυτό το σημείο χρειάζεται να αναλογιζόμαστε ότι κάθε μέτρο που λαμβάνεται και συνεπάγεται την επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να τηρεί τις γενικές αρχές της αποτελεσματικότητας, της αναγκαιότητας και της αναλογικότητας. Αυτό εξάλλου έχουν υπενθυμίσει και πρόσφατα οι αρχές προστασίας δεδομένων της ΕΕ και μέσω της κοινής γνώμης ΕDPB και ΕDPS (4/2021) σχετικά με τις προτάσεις για το ψηφιακό πράσινο πιστοποιητικό. Η έκθεση πεπραγμένων της Αρχής για το 2020 αποτυπώνει το σύνολο των δραστηριοτήτων μας στη διάρκεια αυτής της ομολογουμένως πρωτόγνωρης χρονιάς, κατά την οποία δοκιμάστηκαν τα ανθρώπινα δικαιώματα. Συγχρόνως, καταδεικνύει την ικανότητα γρήγορης προσαρμογής, την εργατικότητα και την προσήλωση του προσωπικού της Αρχής στην εκτέλεση της σύνθετης αποστολής που της έχει ανατεθεί από την Πολιτεία. Σε μια κρίσιμη διεθνή συγκυρία όπου συνεχώς αναδύονται νέες προκλήσεις λόγω και της επιτάχυνσης του ψηφιακού μετασχηματισμού επιβάλλεται να είμαστε προσηλωμένοι στην κατοχύρωση των ατομικών δικαιωμάτων στην πράξη, η οποία σε μεγάλο βαθμό συναρτάται με την προστασία των προσωπικών δεδομένων".