Πρακτικά παραδείγματα για υπεύθυνους επεξεργασίας (π.χ. ιστοσελίδες, applications) – Οδηγίες για την ερμηνεία της υποχρέωσης διαφάνειας στο πλαίσιο επεξεργασίας δεδομένων
Κατευθυντήριες γραμμές αναφορικά με την έννοια της διαφάνειας κατά τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDRP) εξέδωσε η Ομάδα Εργασίας 29 (WP 29*).
Ειδικότερα, με τις κατευθυντήριες γραμμές παρέχεται πρακτική καθοδήγηση και ερμηνευτική βοήθεια σχετικά με τη νέα υποχρέωση διαφάνειας αναφορικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του GDPR.
Η διαφάνεια αποτελεί γενική υποχρέωση στον GDPR, με εφαρμογή σε τρεις κεντρικούς τομείς:
1) την παροχή πληροφοριών στα υποκείμενα των δεδομένων σχετικά με τη σύννομη επεξεργασία των δεδομένων τους,
2) τον τρόπο με τον οποίο οι υπεύθυνοι επεξεργασίας δεδομένων επικοινωνούν με τα υποκείμενα των δεδομένων σχετικά με τα δικαιώματά τους βάσει του GDPR, και
3) τον τρόπο με τον οποίο οι υπεύθυνοι επεξεργασίας διευκολύνουν την άσκηση των δικαιωμάτων από τα υποκείμενα των δεδομένων.
Οι οδηγίες της WP29 τυγχάνουν επίσης εφαρμογής στην ερμηνεία της αρχής της διαφάνειας – στο μέτρο που απαιτείται συμμόρφωση με αυτήν – κατά την επεξεργασία δεδομένων σύμφωνα με την οδηγία (ΕΕ) 2016/680 (Law Enforcement Directive – LED).
Όπως επισημαίνεται στις οδηγίες της WP 29, η διαφάνεια, η οποία αποτελεί ένα χαρακτηριστικό με μακρά ιστορία στη νομοθεσία της Ευρωπαϊκής Ένωσης, αφορά στην καλλιέργεια εμπιστοσύνης στις διαδικασίες που επηρεάζουν τους πολίτες, επιτρέποντάς τους να κατανοήσουν και αν κριθεί αναγκαίο, να τις αμφισβητήσουν.
Σύμφωνα με το άρθρο 5 παρ. 1α του GDPR, η διαφάνεια αποτελεί θεμελιώδη πτυχή των αρχών της σύννομης και θεμιτής επεξεργασίας των δεδομένων, ενώ είναι άρρηκτα συνδεδεμένη με τη νεοείσακτη αρχή της λογοδοσίας στο πλαίσιο του GDPR.
Σύμφωνα άλλωστε με το άρθρο 5.2 του GDPR, ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι τα δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων.
Οι απαιτήσεις διαφάνειας του GDPR ισχύουν ανεξάρτητα από τη νομική βάση επεξεργασίας των δεδομένων και καθ’ όλη τη διάρκεια του «κύκλου ζωής» της.
Αυτό προκύπτει σαφώς από το άρθρο 12 το οποίο προβλέπει ότι η διαφάνεια εφαρμόζεται στα ακόλουθα στάδια του κύκλου επεξεργασίας δεδομένων:
– πριν ή κατά την έναρξη του κύκλου επεξεργασίας δεδομένων, δηλ. όταν τα προσωπικά δεδομένα συλλέγονται είτε από το υποκείμενο των δεδομένων είτε λαμβάνονται με άλλο τρόπο.
– καθ’ όλη την περίοδο επεξεργασίας, δηλ. κατά την επικοινωνία με τα υποκείμενα των δεδομένων σχετικά με τα δικαιώματά τους, και
– σε συγκεκριμένα σημεία κατά τη διάρκεια της επεξεργασίας, π.χ. όταν υπάρχει παραβίαση δεδομένων ή σε περίπτωση σημαντικών αλλαγών στην επεξεργασία.
Η έννοια της διαφάνειας και τα χαρακτηριστικά της
Δεν υπάρχει ορισμός της διαφάνειας στον Γενικό Κανονισμό για την Προστασία Δεδομένων.
Αρκετές πληροφορίες σχετικά με την έννοιά της και την επίδρασή της στο πλαίσιο της επεξεργασίας δεδομένων περιλαμβάνονται στην αιτιολογική σκέψη 39 του Κανονισμού:
«Θα πρέπει να είναι σαφές για τα φυσικά πρόσωπα ότι δεδομένα προσωπικού χαρακτήρα που τα αφορούν συλλέγονται, χρησιμοποιούνται, λαμβάνονται υπόψη ή υποβάλλονται κατ’ άλλο τρόπο σε επεξεργασία, καθώς και σε ποιο βαθμό τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται ή θα υποβληθούν σε επεξεργασία. Η αρχή αυτή απαιτεί κάθε πληροφορία και ανακοίνωση σχετικά με την επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα να είναι εύκολα προσβάσιμη και κατανοητή και να χρησιμοποιεί σαφή και απλή γλώσσα. Αυτή η αρχή αφορά ιδίως την ενημέρωση των υποκειμένων των δεδομένων σχετικά με την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας και την περαιτέρω ενημέρωση ώστε να διασφαλιστεί δίκαιη και διαφανής επεξεργασία σε σχέση με τα εν λόγω φυσικά πρόσωπα και το δικαίωμά τους να λαμβάνουν επιβεβαίωση και να επιτυγχάνουν ανακοίνωση των σχετικών με αυτά δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία».Τα βασικά άρθρα του Γενικού Κανονισμού σε σχέση με την αρχή της διαφάνειας, όπως αυτή εφαρμόζεται στα δικαιώματα του υποκειμένου των δεδομένων, περιλαμβάνονται στο Κεφάλαιο ΙΙΙ (Δικαιώματα του Υποκειμένου Δεδομένων).
Το άρθρο 12 θέτει τους γενικούς κανόνες που ισχύουν για την παροχή πληροφοριών στα υποκείμενα των δεδομένων (άρθρα 13– 14), για την επικοινωνία με τα υποκείμενα των δεδομένων σχετικά με την άσκηση των δικαιωμάτων τους (άρθρα 15–22) και τις ανακοινώσεις σχετικά με τις παραβιάσεις δεδομένων (άρθρο 34).
Συγκεκριμένα, το άρθρο 12 ορίζει ότι η εν λόγω παροχή πληροφοριών θα πρέπει να γίνεται σύμφωνα με τους ακόλουθους κανόνες:
– πρέπει να είναι σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή (άρθρο 12παράγραφος 1)·
– πρέπει να χρησιμοποιείται σαφής και απλή διατύπωση (άρθρο 12.1).
– η απαίτηση για σαφή και απλή διατύπωση έχει ιδιαίτερη σημασία όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά (άρθρο 12 παράγραφος 1) ·
– πρέπει να παρέχεται «γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς». (άρθρο 12.1).
– εφόσον ζητηθεί από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά (άρθρο 12 παράγραφος 1). και
– πρέπει να παρέχεται δωρεάν (άρθρο 12.5).
Παράδειγμα
Κάθε ιστοσελίδα θα πρέπει να έχει δημοσιευμένη μια δήλωση προστασίας προσωπικών δεδομένων, ενώ σε κάθε σελίδα θα πρέπει να υπάρχει ορατός σύνδεσμος προς αυτή τη δήλωση, ο οποίος θα χρησιμοποιεί έναν ευρέως γνωστό όρο (όπως “Προστασία δεδομένων”, “Πολιτική απορρήτου” ή “Ειδοποίηση για την Προστασία Δεδομένων”).
Η επιλογή θέσης ή χρωμάτων που καθιστά λιγότερο ευδιάκριτο ένα κείμενο ή έναν σύνδεσμο, ή καθιστά δύσκολη την ανεύρεσή του σε μια ιστοσελίδα, δεν θεωρείται εύκολα προσβάσιμα.
Για τις εφαρμογές, οι απαραίτητες πληροφορίες πρέπει επίσης να διατίθενται από ένα ηλεκτρονικό κατάστημα πριν από τη λήψη τους. Μόλις εγκατασταθεί η εφαρμογή, οι πληροφορίες δεν θα πρέπει ποτέ να βρίσκονται περισσότερα από “δύο αγγίγματα (taps) μακριά”.
Σε γενικές γραμμές, αυτό σημαίνει ότι η λειτουργικότητα του μενού χρησιμοποιείται συχνά στις εφαρμογές θα πρέπει πάντα να περιλαμβάνει μια επιλογή για την “Προστασία προσωπικών δεδομένων” / “Προστασία δεδομένων”.
Η Ομάδα Εργασίας του άρθρου 29 συνιστά ως βέλτιστες πρακτικές:
Α) να υπάρχει σύνδεσμος προς την ανακοίνωση προστασίας δεδομένων στο σημείο όπου συλλέγονται τα προσωπικά δεδομένα σε ένα online περιβάλλον
Β) οι πληροφορίες σχετικά με την προστασία δεδομένων να περιλαμβάνονται στην ίδια σελίδα στην οποία συλλέγονται τα προσωπικά δεδομένα.
Δείτε αναλυτικά τις κατευθυντήριες γραμμές της Ομάδας Εργασίας του άρθρου 29 για την διαφάνεια εδώ.
* Η Ομάδα Εργασίας του άρθρου 29 είναι ένα ανεξάρτητο συμβουλετικό σώμα που ασχολείται με την προστασία των δεδομένων προσωπικού χαρακτήρα και την ιδιωτικότητα στην Ευρωπαϊκή Ένωση. Συστάθηκε με βάση το άρθρο 29 της Οδηγίας 95/46/EC, ενώ οι αρμοδιότητές του περιγράφονται στο άρθρο 30 της ίδιας Οδηγίας, καθώς και στο άρθρο 15 της Οδηγίας 2002/58/EC.