Νομικό Πλαίσιο & GDPR (Άρθρο 32) για την Ασφάλεια Δεδομένων – Σύνδεση με Ανοικτά Δεδομένα

Η διάθεση ανοικτών δεδομένων συνιστά ένα από τα πιο φιλόδοξα εγχειρήματα ψηφιακής διακυβέρνησης, αλλά φέρνει στο προσκήνιο τον πυρήνα του δικαίου προστασίας προσωπικών δεδομένων: την υποχρέωση διασφάλισης ασφάλειας επεξεργασίας. Το κεντρικό σημείο αναφοράς είναι το Άρθρο 32 GDPR, που δεν αποτελεί απλή «κατευθυντήρια αρχή», αλλά δεσμευτικό κανόνα ευθύνης, εφαρμόσιμο σε κάθε στάδιο του κύκλου ζωής των δεδομένων.

1. Το γράμμα και το πνεύμα του Άρθρου 32 GDPR

Το άρθρο 32 με τίτλο «Ασφάλεια επεξεργασίας» ορίζει:

«Λαμβάνοντας υπόψη την τεχνολογική πρόοδο, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, τα συμφραζόμενα και τους σκοπούς της επεξεργασίας καθώς και τον κίνδυνο διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίσουν επίπεδο ασφάλειας ανάλογο με τον κίνδυνο.»

Η διάταξη:

  • Εισάγει risk-based προσέγγιση: δεν υπάρχει απόλυτη λίστα μέτρων, αλλά μέτρα «ανάλογα με τον κίνδυνο».

  • Αναφέρεται σε “state of the art”: τα μέτρα πρέπει να αντικατοπτρίζουν το σύγχρονο επίπεδο τεχνολογίας, όχι ξεπερασμένες πρακτικές.

  • Υποχρεώνει σε accountability: ο φορέας πρέπει να αποδείξει ότι αξιολόγησε τον κίνδυνο και έλαβε επαρκή μέτρα.

Ενδεικτικά μέτρα που αναφέρει το άρθρο είναι:

  • Ψευδωνυμοποίηση και κρυπτογράφηση.

  • Διασφάλιση εμπιστευτικότητας, ακεραιότητας, διαθεσιμότητας, ανθεκτικότητας.

  • Σχέδια αποκατάστασης (disaster recovery).

  • Διαδικασίες δοκιμής και αξιολόγησης αποτελεσματικότητας μέτρων.

2. Σχέση με άλλες κρίσιμες διατάξεις GDPR

Το άρθρο 32 συνδέεται οργανικά με:

  • Άρθρο 5(1)(f): αρχή «ακεραιότητας και εμπιστευτικότητας». Το άρθρο 32 είναι η εξειδίκευση αυτής της αρχής.

  • Άρθρο 25: «προστασία δεδομένων by design & by default». Η ασφάλεια πρέπει να ενσωματώνεται στον σχεδιασμό κάθε dataset πριν την κυκλοφορία του.

  • Άρθρο 33: υποχρέωση γνωστοποίησης παραβίασης εντός 72 ωρών. Εάν παραβίαση οφείλεται σε έλλειψη μέτρων άρθρου 32, το πρόστιμο είναι αυξημένο.

  • Άρθρο 35: DPIA. Σε περιπτώσεις υψηλού κινδύνου (π.χ. open data με γεωχωρικές λεπτομέρειες), το άρθρο 32 καθορίζει ποια μέτρα πρέπει να τεκμηριωθούν στο DPIA.

3. Η ενσωμάτωση στην ελληνική νομοθεσία

Ο Ν. 4624/2019 ενσωμάτωσε τον GDPR και περιλαμβάνει ειδικές διατάξεις:

  • Άρθρο 24 Ν. 4624/2019: υποχρέωση των δημοσίων φορέων να εφαρμόζουν τα μέτρα ασφάλειας του άρθρου 32.

  • Άρθρο 38: ποινικές κυρώσεις για παράνομη διάδοση ή μη ασφαλή επεξεργασία προσωπικών δεδομένων.

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) έχει εκδώσει αποφάσεις όπου έκρινε ότι δήμοι ή υπουργεία δεν εφάρμοσαν επαρκή μέτρα (π.χ. απουσία κρυπτογράφησης email, έλλειψη πολιτικής πρόσβασης). Στην πράξη, η ΑΠΔΠΧ κρίνει με γνώμονα το άρθρο 32 εάν ένα περιστατικό είναι αποτέλεσμα «αντικειμενικής αδυναμίας» ή «ελλιπών μέτρων».

4. Σύνδεση με τα Ανοικτά Δεδομένα

Εδώ είναι το κομβικό σημείο: η δημοσίευση open data αποτελεί διάδοση σε απεριόριστο αριθμό αποδεκτών. Αυτό από μόνο του χαρακτηρίζεται πράξη υψηλού κινδύνου.

  • Διαφάνεια vs. Ασφάλεια: Ενώ ο Ν. 4305/2014 και η Οδηγία 2019/1024 προωθούν την ανοικτότητα, το άρθρο 32 GDPR λειτουργεί ως «φίλτρο»: αν δεν μπορούν να ληφθούν επαρκή μέτρα, η διάθεση δεν επιτρέπεται.

  • Ανωνυμοποίηση: σε open data η ψευδωνυμοποίηση (π.χ. αντικατάσταση ΑΦΜ με κωδικούς) δεν αρκεί, διότι υπάρχει πάντα το ενδεχόμενο επαναπροσδιορισμού ταυτότητας. Απαιτείται πλήρης, μη αναστρέψιμη ανωνυμοποίηση.

  • Residual risk: αν μετά από όλα τα μέτρα εξακολουθεί να υπάρχει σοβαρός κίνδυνος αναγνώρισης, τότε το dataset δεν πρέπει να δημοσιευθεί ως open.

5. Παραδείγματα από πρακτική

  • Ελλάδα – Στατιστικά υγείας: Ένας φορέας σχεδίαζε να δημοσιεύσει στοιχεία για επισκέψεις στα νοσοκομεία ανά δήμο. Η ανάλυση έδειξε ότι σε μικρούς δήμους με λίγους κατοίκους μπορούσε να προκύψει αναγνώριση (π.χ. «άνδρας 87 ετών – δήμος Χ» μοναδικός). Με εφαρμογή άρθρου 32, αποφασίστηκε δημοσίευση μόνο σε επίπεδο περιφερειακής ενότητας.

  • COVID-19 open data (ΕΕ): Αρκετά κράτη μέλη επέλεξαν να μην δημοσιεύουν στοιχεία ανά ταχυδρομικό κώδικα, αλλά σε μεγαλύτερες γεωγραφικές ενότητες, για να αποφευχθεί αναγνώριση.

  • Υπόθεση “mosaic effect”: Σε διεθνές επίπεδο, δημοσιευμένα datasets κινητικότητας συνδυάστηκαν με ανοικτά κοινωνικά δεδομένα και οδήγησαν σε ταυτοποίηση ατόμων. Η ΑΠΔΠΧ σε γνωμοδότησή της έχει αναφέρει ότι τέτοιο ενδεχόμενο πρέπει να σταθμίζεται πριν τη δημοσίευση.

6. «State of the art» και open data

Η απαίτηση του άρθρου 32 ΓΚΠΔ (GDPR) για εφαρμογή μέτρων τεχνολογικής επικαιρότητας («state of the art») αποκτά ιδιαίτερη σημασία όταν πρόκειται για τη διάθεση Ανοικτών Δεδομένων. Ειδικότερα, για να διασφαλίζεται η προστασία των προσωπικών δεδομένων και να αποτρέπονται κίνδυνοι από την αλόγιστη επαναχρησιμοποίηση, απαιτούνται τα εξής:

  • Εφαρμογή τεχνικών differential privacy σε σύνολα δεδομένων με μεγάλο όγκο ατομικών καταγραφών, ώστε να μειώνεται ο κίνδυνος αναγνώρισης προσώπων.

  • Καταστολή (suppression) μικρών κελιών σε στατιστικούς πίνακες, ιδίως όταν περιέχουν λιγότερες από 3 παρατηρήσεις, για να αποφεύγεται η έμμεση ταυτοποίηση.Με την καταστολή μικρών κελιών (cell suppression), τα κελιά με πολύ μικρές τιμές δεν εμφανίζονται στον δημοσιευμένο πίνακα, είτε αντικαθίστανται με σύμβολα (π.χ. «<3» ή «*»), είτε συγχωνεύονται με άλλα κελιά ώστε να «χαθεί» η λεπτομέρεια που μπορεί να αποκαλύψει ταυτότητα.

  • Συνεχής παρακολούθηση (monitoring) των API χρήσης, με στόχο τον εντοπισμό καταχρήσεων ή προσπάθειας επανασυναρμολόγησης δεδομένων (data re-identification).

Με τον τρόπο αυτό, η διάθεση ανοικτών δεδομένων συνδυάζεται με την τήρηση των κανόνων ασφάλειας και ιδιωτικότητας, ανταποκρινόμενη στις αρχές της τεχνολογικής επικαιρότητας που επιβάλλει το δίκαιο προστασίας δεδομένων

7. Η αρχή της λογοδοσίας (accountability)

Το άρθρο 5(2) GDPR επιβάλλει accountability: ο φορέας πρέπει να αποδείξει ότι τα μέτρα του άρθρου 32 ελήφθησαν και ήταν επαρκή. Στην πράξη, αυτό σημαίνει:

  • Σύνταξη DPIA για datasets υψηλού κινδύνου. Για datasets που θεωρούνται υψηλού κινδύνου (π.χ. δεδομένα υγείας, δεδομένα που μπορεί να οδηγήσουν σε ταυτοποίηση), πρέπει να εκπονηθεί Μελέτη Εκτίμησης Αντικτύπου. Αυτή δείχνει ότι ο φορέας εξέτασε κινδύνους, μέτρα μετριασμού και κατέληξε τεκμηριωμένα στη διάθεση.

  • Τεκμηρίωση μεθοδολογίας ανωνυμοποίησης. Δεν αρκεί να «σβήσει» κάποιος προσωπικά στοιχεία· πρέπει να τεκμηριώσει πώς έγινε η ανωνυμοποίηση (π.χ. suppression μικρών κελιών, randomization, differential privacy), ώστε να αποδεικνύεται ότι τα μέτρα ήταν κατάλληλα.

  • Δημοσίευση disclaimers («as is», χωρίς εγγυήσεις ακρίβειας) μαζί με τα δεδομένα. Όταν δημοσιεύονται δεδομένα, συνήθως συνοδεύονται από αποποιήσεις ευθύνης (π.χ. «Τα δεδομένα παρέχονται ως έχουν («as is»), χωρίς εγγύηση για την πληρότητα ή την ακρίβεια»). Αυτό προστατεύει τον φορέα από τυχόν απαιτήσεις χρηστών που θα επικαλεστούν λάθη ή ελλείψεις στα δεδομένα.

8. Σχέση με την Οδηγία 2019/1024 (Open Data Directive)

Η Οδηγία επιβάλλει στα κράτη-μέλη να διαθέτουν high value datasets. Ωστόσο, στο άρθρο 1§4 ξεκαθαρίζει:

«Η παρούσα οδηγία δεν θίγει την προστασία προσωπικών δεδομένων κατά τον GDPR.»

Δηλαδή: ο GDPR υπερισχύει. Αν το άρθρο 32 οδηγεί στο συμπέρασμα ότι η δημοσίευση ενέχει μη αποδεκτό κίνδυνο, το dataset μπορεί να εξαιρεθεί, ακόμη κι αν είναι «υψηλής αξίας».

9. Συνέπειες μη συμμόρφωσης

Αν φορέας ανοίξει δεδομένα χωρίς μέτρα άρθρου 32:

  • Διοικητικά πρόστιμα GDPR: έως 20 εκατ. € ή 4% ετήσιου τζίρου.

  • Ευθύνη αποζημίωσης: οι πολίτες μπορούν να στραφούν κατά του φορέα για βλάβη (άρθρο 82 GDPR).

  • Ποινικές κυρώσεις (Ν. 4624/2019).

  • Απώλεια εμπιστοσύνης: κρίσιμο στην πολιτική ανοικτών δεδομένων.

Συμπέρασμα

Το άρθρο 32 GDPR αποτελεί το «φίλτρο» που καθορίζει ποια datasets μπορούν να γίνουν ανοικτά και ποια όχι. Δεν αρκεί να «σβήσουμε τα ονόματα». Χρειάζεται ολιστική προσέγγιση ασφάλειας: risk assessment, ανωνυμοποίηση, κρυπτογράφηση, monitoring, τεκμηρίωση.

Στο πλαίσιο της στρατηγικής open data, το άρθρο 32 λειτουργεί ως θεματοφύλακας: εξασφαλίζει ότι η διαφάνεια και η καινοτομία δεν επιτυγχάνονται σε βάρος των θεμελιωδών δικαιωμάτων των πολιτών. Μόνο όταν οι φορείς το εφαρμόζουν πλήρως, τα ανοικτά δεδομένα αποκτούν βιώσιμη και ασφαλή υπόσταση.

PreviousΝομικό Πλαίσιο & GDPRNextΠρότυπα & Κατευθυντήριες Οδηγίες (ISO, ENISA, NIS2)

Last updated