Προστασία δεδομένων ήδη από το σχεδιασμό (by design) και εξ ορισμού (by default)
Μία πρώτη προσέγγιση του άρθρου 25 ΓΚΠΔΗ προστασία δεδομένων προσωπικού χαρακτήρα (data protection) και η ασφάλεια πληροφοριών (information security) αποτελούν δύο τομείς, οι οποίοι συνδέονται διαχρονικά από μία σχέση αλληλεπίδρασης. Αν και το αντικείμενο της ασφάλειας πληροφοριών θα μπορούσε να χαρακτηριστεί κατ΄ αρχήν ευρύτερο, καθώς αφορά στην προστασία δεδομένων, όχι απαραίτητα προσωπικού χαρακτήρα αλλά - κατά κανόνα - με αυξημένη ανάγκη προστασίας για επιχειρηματικούς ή άλλους λόγους, μεταξύ των δύο τομέων παρατηρούνται αρκετά συχνά επικαλύψεις.
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων, γνωστός ως ΓΚΠΔ ή GDPR, επιδιώκει να παρέχει πειστικές και ανθεκτικές απαντήσεις στις προκλήσεις που δημιουργούν οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση. Με την κλίμακα της συλλογής και της ανταλλαγής δεδομένων προσωπικού χαρακτήρα να αυξάνεται σημαντικά και την τεχνολογία να επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές τη χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την επιδίωξη των δραστηριοτήτων τους[1], η αναβάθμιση και η καθιέρωση της αλληλεπίδρασης μεταξύ προστασίας δεδομένων και ασφάλειας πληροφοριών μοιάζει αναπόφευκτη.
Η αναβάθμιση της σχέση αυτής είναι εμφανής, μεταξύ άλλων, στην ενσωμάτωση της ασφάλειας (εμπιστευτικότητας και ακεραιότητας) ως μίας εκ των βασικών αρχών επεξεργασίας δεδομένων προσωπικού χαρακτήρα[2], αλλά και στην αναφορά ενός ολόκληρου τμήματος του ΓΚΠΔ στην ασφάλεια δεδομένων προσωπικού χαρακτήρα, στο οποίο συμπεριλαμβάνονται διατάξεις για την ασφάλεια επεξεργασίας[3] και την γνωστοποίηση και ανακοίνωση παραβιάσεων δεδομένων προσωπικού χαρακτήρα[4]. Ωστόσο, ίσως η πλέον κομβική διάταξη για την αναβάθμιση της σχέσης μεταξύ προστασίας δεδομένων και ασφάλειας πληροφοριών είναι, αυτή του άρθρου 25 για την προστασία δεδομένων ήδη από το σχεδιασμό και εξ ορισμού.
Προϋποθέσεις και εφαρμογή
Επιχειρώντας να αξιολογήσει κανείς τη διάταξη του άρθρου 25 δεν μπορεί παρά να παρατηρήσει αρχικώς τη θέση της. Διόλου τυχαία, η διάταξη για την προστασία δεδομένων ήδη από το σχεδιασμό και εξ ορισμού έρχεται αμέσως μετά τη γενική ρήτρα υποχρεώσεων του υπεύθυνου επεξεργασίας[5] και σε σημαντικό βαθμό αποτελεί ειδικότερη έκφανση ενός τμήματος των υποχρεώσεων του που σχετίζονται με την αρχή της ασφάλειας. Άλλωστε, όπως αναφέρθηκε ήδη, η σχέση μεταξύ ασφάλειας πληροφοριών και προστασίας δεδομένων δεν είναι καινοφανής, με το νομικό υπόβαθρο της DPbD² (Data Protection by Design and by Default) να είναι βαθύτατα επηρεασμένο από τη διατομεακή προσέγγιση των ζητημάτων προστασίας δεδομένων (βλέπε ειδικότερα privacy by design[6] και privacy enhancing technologies[7]).
Σε αρμονία με το συνολικό πνεύμα του ΓΚΠΔ, η διάταξη του άρθρου 25 ενσωματώνει στις παραμέτρους εφαρμογής της την κομβικής σημασίας έννοια της προσέγγισης με βάση τον κίνδυνο (risk based approach). Η προσέγγιση αυτή αποτελεί, μεταξύ άλλων, έναν σημαντικό λόγο για τον οποίο θεωρείται ότι υπάρχει μία στενή σχέση ανάμεσα αφενός στην υποχρέωση για προστασία δεδομένων ήδη από το σχεδιασμό και εξ ορισμού και αφετέρου στη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων, γνωστή ως ΕΑΠΔ ή DPIA[8]. Πρόκειται σαφώς για διαδικασίες που συνδέονται στενά και αλληλεπιδρούν, ωστόσο πρέπει να σημειωθεί πως, παρά τα κοινά τους χαρακτηριστικά, η υποχρέωση διεξαγωγής ΕΑΠΔ τελεί υπό προϋποθέσεις, ενώ η υποχρέωση εφαρμογής του άρθρου 25 ισχύει σε κάθε περίπτωση.
Περαιτέρω, ιδιαίτερη έμφαση προσδίδει το άρθρο 25 στα Κατάλληλα Τεχνικά και Οργανωτικά Μέτρα (ΚΤΟΜ) που πρέπει να λαμβάνει ο Υπεύθυνος Επεξεργασίας. Τα εν λόγω μέτρα, στα οποία ο νομοθέτης αναφέρεται περισσότερες από δέκα φορές στο κείμενο του ΓΚΠΔ, είναι απαραίτητα, όχι μόνο για να διασφαλίζεται ότι τηρούνται οι απαιτήσεις του κανονισμού σε σχέση με την προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων τους, αλλά και για να είναι σε θέση να αποδείξει τη συμμόρφωση προς αυτόν (λογοδοσία).
Ένα σημείο το οποίο χρήζει ιδιαίτερης αναφοράς είναι η σχέση μεταξύ της προστασίας δεδομένων εξ ορισμού (by default) και των βασικών αρχών επεξεργασίας δεδομένων, όπως αυτές αποτυπώνονται στο άρθρο 5 του ΓΚΠΔ. Φαίνεται πως η προστασία δεδομένων εξ ορισμού ενσωματώνει στην ουσία πολλές εκ των σημαντικών αυτών αρχών, καθιερώνοντας την υποχρέωση του υπευθύνου επεξεργασίας για τη λήψη μέτρων που θα διασφαλίζουν την εξ ορισμού τήρησή τους. Κάτι τέτοιο προκύπτει σαφώς και από την βασική διάταξη περί προστασίας εξ ορισμού (“υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας”), η οποία παραπέμπει στην αρχή της ελαχιστοποίησης των δεδομένων, αλλά και στο σκέλος της εξειδίκευσης της διάταξης, όπου διευκρινίζεται ότι ισχύει, μεταξύ άλλων, για την περίοδο αποθήκευσης (αντίστοιχα, αρχή του περιορισμού της περιόδου αποθήκευσης) και την προσβασιμότητά τους (αντίστοιχα ασφάλεια ως προς το σκέλος της εμπιστευτικότητας). Από την αιτιολογική σκέψη 78 του ΓΚΠΔ προκύπτει άλλωστε σαφώς η σχέση της προστασίας δεδομένων ήδη από το σχεδιασμό και εξ ορισμού με την λογοδοσία του υπευθύνου επεξεργασίας, καθώς «προκειμένου να μπορεί να αποδείξει συμμόρφωση προς τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας θα πρέπει να εφαρμόζει μέτρα τα οποία ανταποκρίνονται ειδικότερα στις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού»
Η σχέση με άλλες διατάξεις του ΓΚΠΔ
Στο πλαίσιο εξέτασης και αξιολόγησης της διάταξης του άρθρου 25 ΓΚΠΔ, ιδιαίτερο ενδιαφέρον παρουσιάζει η σχέση του με άλλες διατάξεις του Κανονισμού.
1. Διοικητικά πρόστιμα (άρθρο 83)
Δεδομένου ότι, δυστυχώς ή ευτυχώς, ένα σημαντικό κομμάτι των υπόχρεων αλλά και της κοινής γνώμης εν γένει, τοποθετεί σε πρώτο πλάνο αναφορικά με τον ΓΚΠΔ τον μηχανισμό κυρώσεών του, η σχέση της προστασίας δεδομένων ήδη από το σχεδιασμό και εξ ορισμού με την επιβολή διοικητικών προστίμων, παρουσιάζει, μοιραία, αυξημένο ενδιαφέρον.
Σύμφωνα με το άρθρο 83 του ΓΚΠΔ, κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνεται δεόντως υπόψη, μεταξύ άλλων, ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν δυνάμει των άρθρων 25 και 32.
Με τον τρόπο αυτό ο νομοθέτης καθιστά σαφές ότι η υποχρέωση τήρησης της ασφάλειας της επεξεργασίας και η προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού αποτελούν σημαντικούς παράγοντες για το εάν θα επιβληθεί πρόστιμο και ποιο θα είναι το ύψος αυτού.
2. Χρήση δεδομένων για άλλο σκοπό πέραν του αρχικού (άρθρο 6)
Σύμφωνα με την παράγραφο 4 του άρθρου 6 ΓΚΔΠ, όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα προσωπικού χαρακτήρα, λαμβάνει υπόψη, μεταξύ άλλων, την ύπαρξη κατάλληλων εγγυήσεων, που μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδωνυμοποίηση.
Στην εποχή των μεγάλων δεδομένων (big data), η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς πέραν του αρχικού αποτελεί ζήτημα κομβικής σημασίας. Ως εκ τούτου, η επεξεργασία δεδομένων πρέπει εξαρχής να λαμβάνει χώρα με τις διασφαλίσεις του άρθρου 25, όπως για παράδειγμα εντός ενός πληροφοριακού συστήματος που θα διαθέτει εξ ορισμού και ήδη από το σχεδιασμό του τις απαραίτητες δικλείδες για την ασφαλή και στοχευμένη επεξεργασία δεδομένων, προκειμένου να καταστεί δυνατή η τεκμηρίωση της νομιμότητας της περαιτέρω επεξεργασίας.
3. Δημόσιοι διαγωνισμοί (αιτιολογική σκέψη 78)
Σύμφωνα με την τελευταία περίοδο της αιτιολογικής σκέψης 78 του ΓΚΠΔ, «οι αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού θα πρέπει επίσης να λαμβάνονται υπόψη στο πλαίσιο των δημόσιων διαγωνισμών». Πρόκειται για μία ιδιαίτερα σημαντική πρόβλεψη, η οποία στοχεύει σαφώς στην καθιέρωση της ασφάλειας επεξεργασίας δεδομένων ως “industry standard” στην ανάπτυξη λογισμικού, και όχι μόνο, στο πλαίσιο δημόσιων διαγωνισμών.
«Αποκρυπτογραφώντας» τη διάταξη του άρθρου 25 ΓΚΠΔ
Επιχειρώντας μία πρώτη και συνοπτική αξιολόγηση, το άρθρο 25 ΓΚΠΔ για την προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού αποτελεί, κατά την άποψή μας, μία από τις πιο φιλόδοξες και καινοτόμες διατάξεις του Κανονισμού. Ισορροπώντας ανάμεσα στην ανάγκη για προστασία των υποκειμένων των δεδομένων απέναντι σε μία - συχνά - ανεξέλεγκτη έκθεση σε μηχανισμούς επεξεργασίας των δεδομένων τους, αλλά και στην αναπόφευκτη εξέλιξη της τεχνολογίας και της ανθρωπότητας εν γένει, η διάταξη του άρθρου 25 φαίνεται πως επιχειρεί να προσεγγίσει το ζήτημα της προστασίας δεδομένων στην «πηγή» του, προτείνοντας την ενσωμάτωση νομικών κανόνων και αρχών στην αρχιτεκτονική πληροφοριακών συστημάτων.
Αναμφίβολα, πρόκειται για ένα σύνθετο και δύσκολο εγχείρημα. Λαμβάνοντας πάντοτε υπόψη την ανάγκη για τεχνολογική ουδετερότητα του Κανονισμού, οι σχετικές διατάξεις θα μπορούσαν σε ορισμένα σημεία να χαρακτηριστούν ασαφείς ως προς τις διατυπώσεις αλλά και τα μέσα επίτευξης των σκοπών τους, οδηγώντας σε έλλειψη κινήτρων για συμμόρφωση αλλά και σαφούς καθοδήγησης ως προς τα μέτρα που πρέπει να ληφθούν. Οι τεχνολογικές εξελίξεις εγείρουν άλλωστε σύνθετα ζητήματα, όπως για παράδειγμα ο χαρακτηρισμός ενός προσώπου ως υπευθύνου επεξεργασίας στις περιπτώσεις παρόχων συσκευών συνδεδεμένων στο Internet of Things (IoT), υπολογιστικού νέφους (cloud providers), τεχνολογίες τεχνητής νοημοσύνης (artificial intelligence) κ.α..
Τα παραπάνω δεν αναιρούν, ωστόσο, τον κομβικής σημασίας ρόλο του άρθρου 25 ΓΚΠΔ στην προσπάθεια γεφύρωσης του κενού ανάμεσα στην τεχνολογία και στο νομικό πλαίσιο. Σε μία εποχή που εξελίξεις όπως η υπόθεση Facebook - Cambridge Analytica, τα κενά ασφαλείας σε hardware, όπως στην περίπτωση Meltdown & Spectre, αλλά και νομικές διαμάχες όπως αυτή του FBI με την Apple για την κρυπτογράφηση των συσκευών της, συνθέτουν μία νέα καθημερινότητα γεμάτη τεχνικές προσκλήσεις ως προς την προστασία δεδομένων, η ανάγκη διεπιστημονικής συνεργασίας νομικών και πληροφορικών είναι μεγαλύτερη από ποτέ. Στο πλαίσιο αυτό, η διάταξη περί προστασίας δεδομένων ήδη από το σχεδιασμό και εξ ορισμού αποτελεί μία καταλυτικής σημασίας βάση για το διαρκώς εξελισσόμενο «τεχνονομικό» περιβάλλον.
*Ο Βασίλης Καρκατζούνης είναι Δικηγόρος LLM, CIPP/E, Συνιδρυτής Lawspot.gr
[1] Αιτιολογική σκέψη 6 ΓΚΔΠ
[2] Άρθρο 5 ΓΚΠΔ
[3] Άρθρο 32 ΓΚΠΔ
[4] Άρθρα 33 και 34 ΓΚΠΔ
[5] Άρθρο 24 ΓΚΠΔ
[6] https://www.enisa.europa.eu/topics/data-protection/privacy-by-design
[7] https://www.enisa.europa.eu/topics/data-protection/privacy-enhancing-technologies
[8] Άρθρο 35 ΓΚΠΔ