Ευαίσθητα δεδομένα

Ευαίσθητα δεδομένα

Ποια δεδομένα προσωπικού χαρακτήρα θεωρούνται ευαίσθητα;

Τα δεδομένα προσωπικού χαρακτήρα που θεωρούνται «ευαίσθητα» και υπόκεινται σε συγκεκριμένες προϋποθέσεις επεξεργασίας είναι:

· δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν φυλετική ή εθνική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις

· συμμετοχή σε συνδικαλιστική οργάνωση

· γενετικά δεδομένα, βιομετρικά δεδομένα που υποβάλλονται σε επεξεργασία αποκλειστικά για την ταυτοποίηση ενός ατόμου

· δεδομένα σχετικά με την υγεία

· δεδομένα σχετικά με τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό ενός ατόμου.

Ο γενικός κανόνας είναι ότι η επεξεργασία δεδομένων των ανωτέρω κατηγοριών απαγορεύεται. Ωστόσο, υπάρχουν ορισμένες εξαιρέσεις βάσει των οποίων μια εταιρεία ή ένας οργανισμός μπορεί ενδεχομένως να επεξεργάζεται ευαίσθητα δεδομένα προσωπικού χαρακτήρα, όταν για παράδειγμα:

· έχετε δώσει ρητή συγκατάθεση

· υπάρχει νόμος ο οποίος διέπει έναν συγκεκριμένο τύπο επεξεργασίας δεδομένων για συγκεκριμένο σκοπό που αφορά το δημόσιο συμφέρον ή τη δημόσια υγεία

· νόμος που συμπεριλαμβάνει επαρκείς εγγυήσεις προβλέπει την επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα σε τομείς όπως η δημόσια υγεία, η απασχόληση και η κοινωνική προστασία.

Τι είναι η παραβίαση δεδομένων και τι πρέπει να κάνουμε;

Παραβίαση δεδομένων έχουμε όταν τα δεδομένα για τα οποία είναι υπεύθυνη μία εταιρεία ή ένας οργανισμός προσβάλλονται από συμβάν ασφαλείας που έχει ως αποτέλεσμα παραβίαση της εμπιστευτικότητας, της διαθεσιμότητας ή της ακεραιότητας. Αν συμβεί αυτό και είναι πιθανό η παραβίαση να θέσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες ενός ατόμου, η εταιρεία/οργανισμός πρέπει να ειδοποιήσει την εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός 72 ωρών από τη στιγμή που έχει λάβει γνώση της παραβίασης. Εάν η εταιρεία ή ο οργανισμός σας είναι επεξεργαστής δεδομένων, πρέπει να ειδοποιήσει τον υπεύθυνο επεξεργασίας δεδομένων για την παραβίαση δεδομένων.

Εάν η παραβίαση των δεδομένων δημιουργεί υψηλό κίνδυνο για τα άτομα που πλήττονται τότε πρέπει όλοι να ενημερωθούν, εκτός εάν υπάρχουν αποτελεσματικά μέτρα τεχνικής και οργανωτικής προστασίας που έχουν τεθεί σε εφαρμογή ή άλλα μέτρα που εξασφαλίζουν ότι ο κίνδυνος δεν είναι πλέον πιθανό να υλοποιηθεί .

Ως οργανισμός είναι ζωτικής σημασίας η εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων για την αποφυγή πιθανών παραβιάσεων δεδομένων.

Παραδείγματα

Ο οργανισμός πρέπει να ενημερώνει την Αρχή Προστασίας Δεδομένων και τα άτομα:

• Τα στοιχεία των υπαλλήλων μίας εταιρείας κλωστοϋφαντουργίας έχουν αποκαλυφθεί. Τα δεδομένα περιλάμβαναν τις προσωπικές διευθύνσεις, την οικογενειακή κατάσταση, το μηνιαίο εισόδημα και τις ιατρικές απαιτήσεις κάθε εργαζομένου. Στην περίπτωση αυτή, η εταιρεία κλωστοϋφαντουργίας πρέπει να ενημερώσει την εποπτική αρχή για την παραβίαση. Δεδομένου ότι περιλαμβάνει ευαίσθητα δεδομένα, όπως τα δεδομένα για την υγεία, η εταιρεία πρέπει να ενημερώνει και τους υπαλλήλους.

• Ένας υπάλληλος νοσοκομείου αποφασίζει να αντιγράψει τα στοιχεία των ασθενών σε ένα CD και να τα δημοσιεύσει στο διαδίκτυο. Το νοσοκομείο ανακαλύπτει το συμβάν λίγες μέρες αργότερα. Μόλις το νοσοκομείο διαπιστώσει τι έχει συμβεί, έχει 72 ώρες για να ενημερώσει την εποπτική αρχή και, δεδομένου ότι τα προσωπικά στοιχεία περιέχουν ευαίσθητες πληροφορίες, όπως εάν ένας ασθενής έχει καρκίνο, είναι έγκυος κλπ., πρέπει επίσης να ενημερώσει τους ασθενείς. Στην περίπτωση αυτή, μπορεί να υπάρξουν αμφιβολίες σχετικά με το εάν το νοσοκομείο έχει εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας. Αν είχαν πράγματι εφαρμόσει κατάλληλα μέτρα προστασίας (για παράδειγμα κρυπτογράφηση των δεδομένων), θα ήταν απίθανος ένας σημαντικός κίνδυνος και θα μπορούσε να εξαιρεθεί από την κοινοποίηση στους ασθενείς.

Η εταιρεία οφείλει να ενημερώνει τους πελάτες και μπορεί στη συνέχεια να ενημερώνει την ΑΠΔ και τα άτομα:

• Μια υπηρεσία cloud χάνει αρκετούς σκληρούς δίσκους που περιέχουν προσωπικά δεδομένα που ανήκουν σε πολλούς από τους πελάτες της. Πρέπει να ειδοποιήσει τους πελάτες αυτούς αμέσως μόλις λάβει γνώση της παραβίασης. Οι πελάτες της πρέπει να ειδοποιήσουν την ΑΠΔ και τα άτομα ανάλογα με τα δεδομένα που επεξεργάστηκε ο επεξεργαστής δεδομένων.

Πηγή: European Commission

Πώς μπορώ να έχω πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που κατέχει για το άτομό μου μια εταιρεία ή ένας οργανισμός;

Ο νέος κανονισμός για τα προσωπικά δεδομένα GDPR δίνει το δικαίωμα σε κάθε χρήστη να ζητήσει και να λάβει από εταιρείες και οργανισμούς όσα δεδομένα προσωπικού χαρακτήρα διαθέτουν για το άτομό του. Επιπρόσθετα δίνει το δικαίωμα να λάβει επιπλέον σχετικές πληροφορίες όπως ο λόγος επεξεργασίας των δεδομένων, οι κατηγορίες των δεδομένων προσωπικού χαρακτήρα που χρησιμοποιούνται κ.λπ.

Όπως ορίζει ο κανονισμός, το δικαίωμα πρόσβασης θα πρέπει να μπορεί να ασκηθεί με ευκολία και να παρέχεται ανά «εύλογο χρονικό διάστημα». Η εταιρεία ή ο οργανισμός θα πρέπει να παρέχει ένα αντίγραφο των δεδομένων σας προσωπικού χαρακτήρα δωρεάν. Τυχόν επιπλέον αντίγραφα είναι δυνατό να υπόκεινται σε λογικές χρεώσεις. Όταν το αίτημα υποβάλλεται με ηλεκτρονικά μέσα (π.χ. μέσω ηλεκτρονικού μηνύματος) οι πληροφορίες θα πρέπει να παρέχονται σε ηλεκτρονική μορφή, εκτός και αν διατυπώσετε διαφορετικό αίτημα.

Παραδείγματα δικαιώματος πρόσβασης

Δανείζεστε βιβλία από μια βιβλιοθήκη. Μπορείτε να ζητήσετε από τη βιβλιοθήκη να σας παράσχει τα δεδομένα προσωπικού χαρακτήρα που έχει για σας. Η βιβλιοθήκη θα πρέπει τότε να σας παράσχει όλες τις αποθηκευμένες πληροφορίες που σας αφορούν, για παράδειγμα πότε ξεκινήσατε να χρησιμοποιείτε για πρώτη φορά τις υπηρεσίες της βιβλιοθήκης, ποια βιβλία έχετε δανειστεί, εάν ποτέ καθυστερήσατε να επιστρέψετε κάποιο βιβλίο και πρόστιμα τα οποία μπορεί να σας έχουν επιβληθεί.

Εγγραφήκατε σε ένα σύστημα ανταμοιβής πελατών με τη χρήση καρτών μιας αλυσίδας σουπερμάρκετ που διαθέτει καταστήματα σε διαφορετικά μέρη της πόλης και της χώρας. Εάν χρησιμοποιήσετε το δικαίωμά σας να ζητήσετε και να λάβετε προσωπικές πληροφορίες που έχουν αποθηκευτεί από το σύστημα ανταμοιβής πελατών με τη χρήση καρτών, θα πρέπει να λάβετε πληροφορίες π.χ. σχετικά με το πόσο συχνά χρησιμοποιήσατε την κάρτα, σε ποια σουπερμάρκετ κάνατε τις αγορές σας, τυχόν έκπτωση που σας έγινε και εάν έγινε στόχευσή σας μέσω της χρήσης τεχνικών κατάρτισης προφίλ (και πώς), εάν το σουπερμάρκετ, το οποίο ανήκει σε πολυεθνική αλυσίδα εταιρειών, έχει κοινολογήσει τα δεδομένα σας σε αδελφή εταιρεία που π.χ πουλά αρώματα και καλλυντικά.

Πηγή: European Commision