Πολλά ερωτηματικά γέννησε το ρεπορτάζ από την ΔΙΑΥΓΕΙΑ για την παροχή υπηρεσίας «Υπευθύνου Προστασίας Δεδομένων (D.P.O.), για τη συμμόρφωση στον Ευρωπαϊκό Κανονισμό 679/2016 (GDPR) για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα».
Συμβάσεις με τους Δήμους από 1.400 ευρώ έως 37.000 ευρώ. Όλες απευθείας αναθέσεις.
Και μην φανταστεί κανείς ότι το ύψος των συμβάσεων ακολουθεί τα μεγέθη των δήμων.
Όπως και το ρεπορτάζ ανέδειξε ένα αλαλούμ στο αντικείμενο των δραστηριοτήτων των νομικών και φυσικών προσώπων που ανέλαβαν την συγκεκριμένη υπηρεσία
Βρήκαμε δικηγόρους, βρήκαμε εταιρείες πληροφορικής και εταιρείες συμβούλων, βρήκαμε όμως και εταιρείες εκδηλώσεων, πολιτιστικά εργαστήρια και catering.
O νόμος απαιτεί απλά και αόριστα «εμπειρογνωμοσύνη» χωρίς όμως να υπεισέρχεται σε περισσότερες λεπτομέρειες και διευκρινήσεις. Και βέβαια δεν υπάρχει και καμία περιγραφή του τί σημαίνει αυτή η υπηρεσία και τελικά πώς ακριβώς καλύπτονται οι δημοτικές αρχές και οι υπηρεσίες των δήμων από τις ποινικές ευθύνες και για την προστασία των δεομένων τους.
Η υποχρέωση των δήμων για ορισμό Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer – DPO) προκύπτει απευθείας από τον Ευρωπαϊκό Κανονισμό (ΕΕ) 2016/679 (GDPR), και ειδικότερα από το άρθρο 37, σε συνδυασμό με την εθνική εφαρμοστική νομοθεσία.
Το άρθρο 37 §1 στοιχείο α’ και §1 στοιχείο β’ του Κανονισμού αναφέρει ότι:
Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία οφείλουν να ορίσουν DPO όταν:
α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εξαιρουμένων των δικαστηρίων,
β) οι βασικές δραστηριότητες περιλαμβάνουν τακτική και συστηματική παρακολούθηση υποκειμένων των δεδομένων σε μεγάλη κλίμακα,
γ) γίνεται εκτεταμένη επεξεργασία ευαίσθητων δεδομένων ή ποινικών δεδομένων.
Άρα, όλοι οι δήμοι (ως δημόσιοι φορείς) υποχρεούνται στον ορισμό DPO.
Ο Νόμος 4624/2019, που εφαρμόζει τον GDPR στην Ελλάδα, επιβεβαιώνει και εξειδικεύει την υποχρέωση αυτή. Συγκεκριμένα:
• Άρθρο 6 του Ν. 4624/2019:
Ορίζει ότι οι δημόσιοι φορείς (όπως οι δήμοι) υποχρεούνται να ορίζουν DPO, και ότι μπορούν να τον επιλέγουν είτε εσωτερικά είτε εξωτερικά (outsourcing).
• Άρθρο 5 επίσης αναφέρεται σε εσωτερικά μέτρα που πρέπει να ληφθούν για τη συμμόρφωση στον Κανονισμό.
Η μη συμμόρφωση επισύρει διοικητικές κυρώσεις από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).
Συνομιλώντας με αναδόχους διαπιστώσαμε ότι οι απόψεις διίστανται σε σχέση με το τι ακριβώς είναι αυτή η υπηρεσία και κυρίως στο κομμάτι του πότε ακριβώς οι δημοτικές αρχές και οι υπηρεσίες των δήμων μπορούν να κοιμόνται ήσυχες το βράδυ.
Υπάρχει η άποψη ότι οι «Υπηρεσίες Υπευθύνου Προστασίας Δεδομένων» είναι η προμήθεια 5-10 πρότυπων εγγράφων τα οποία θα πρέπει να υπογράφει κάθε εταιρεία ανάδοχος που συνάπτει μια σύμβαση με τους δήμους και διαχειρίζεται δεδομένα.
Υπάρχει και η άποψη ότι πρόκειται για μια πολυσύνθετη διαδικασία με σχεδόν καθημερινή απασχόληση που απαιτεί έρευνα, ανίχνευση των σημείων διακινδύνευσης και τεχνική προστασία, έκθεση εκτίμησης αντικτύπου, εσωτερικό έλεγχο, συχνά σχέδια συμμόρφωσης, παρακολούθηση και αναδιάρθρωση, Risk management, εκπαίδευση, κανονιστικά αρχεία και συμβουλευτική σε τεχνικό και νομικό επίπεδο, συχνές γνωμοδοτήσεις για κάθε ξεχωριστή περίπτωση και βέβαια έναν επικεφαλής που θα έχει από πίσω του πληροφορικάριους και νομικούς.
Άλλοι υποστηρίζουν ότι η υποχρέωση των δημοτικών αρχών εξαντλείται στο να είναι νομικά προστατευμένες όταν γίνει η διαρροή και άλλοι υποστηρίζουν οι δημοτικές αρχές πρέπει να προστατεύουν πραγματικά και έμπρακτα τα δεδομένα που διαχειρίζονται.
Συνομιλώντας με τους δημάρχους διαπιστώσαμε άγνοια. Και είναι πολύ λογικό αφού ούτε ο καθένας δύναται να έχει τις απαιτούμενες γνώσεις, αλλά ούτε και τα αρμόδια τμήματα των υπηρεσιών διαθέτουν στελέχη επαρκώς ενημερωμένα. Είναι σαφές ότι και σ΄αυτόν τον τομέα, οι δημοτικές αρχές αγοράζουν ότι τους πουλήσει μια εταιρεία που θα κατορθώσει να περάσει την πόρτα τους με βάση τις δικές της δυνατότητες και όχι με βάση τις ανάγκες κάθε δήμου.
Γεγονός πάντως είναι ότι τόσο οι δημοτικές αρχές, όσο και οι δημότες βρίσκονται σε μεγάλο ρίσκο. Οι κυβερνοεπιθέσεις μετά και την χρήση της Τεχνητής Νοημοσύνης αυξάνονται ραγδαία. Οι τζίροι του εμπορίου προσωπικών και μεγάλων δεδομένων πολλαπλασιάζονται χρόνο με το χρόνο δίνοντας ολοένα και περισσότερα κίνητρα και αποκαλύπτοντας την πολυτιμότητα τους. Και οι δήμοι επεξεργάζονται όλο και περισσότερα ευαίσθητα προσωπικά δεδομένα με την μεταβίβαση όλο και περισσότερων αρμοδιότητα και την χρήση περισσότερων εφαρμογών. Δεκάδες είναι οι περιπτώσεις όπου ανυποψίαστες δημοτικές αρχές αγοράζουν φτηνές ή εγκαθιστούν δωρεάν εφαρμογές καθώς οι εταιρείες εξασφαλίζουν πολύ περισσότερα έσοδα από την διάθεση των δεδομένων παρά από την πώληση της υπηρεσίας.
Το myota.gr θα συνεχίσει το ρεπορτάζ και θα αποστείλει σε όλους τους εμπλεκόμενους το άρθρο, ανοίγοντας έναν δημόσιο διάλογο για την διαλεύκανση ενός τόσο σοβαρού θέματος.
