Διαδικασία Συμμόρφωσης πριν από κάθε Δημοσίευση

Η δημοσίευση ανοικτών δεδομένων δεν είναι μια αυτόματη πράξη, αλλά αποτέλεσμα μιας οργανωμένης διαδικασίας ελέγχου, αξιολόγησης και τεκμηρίωσης. Κάθε dataset πρέπει να περνάει από συγκεκριμένα στάδια, ώστε να διασφαλίζεται ότι η διάθεσή του δεν παραβιάζει το ισχύον νομικό πλαίσιο και ότι πληροί τις τεχνικές και θεσμικές προδιαγραφές. Η διαδικασία αυτή λειτουργεί ως «φίλτρο» που προστατεύει τόσο τον πολίτη όσο και τον δημόσιο φορέα, ενώ παράλληλα ενισχύει την εμπιστοσύνη στη διαφάνεια και στην ποιότητα των δημοσιευμένων δεδομένων.

Το πρώτο βήμα είναι η απογραφή και ταξινόμηση των δεδομένων. Ο φορέας πρέπει να γνωρίζει ποια δεδομένα διαθέτει, από πού προέρχονται, ποιος είναι ο ιδιοκτήτης τους και ποιος τα διαχειρίζεται. Αυτή η απογραφή συνοδεύεται από την ταξινόμηση κάθε dataset σε κατηγορίες, ανάλογα με τον βαθμό ευαισθησίας και τους νομικούς περιορισμούς που το διέπουν. Έτσι, δημιουργούνται τρεις βασικές κατηγορίες: δεδομένα που μπορούν να διατεθούν ανοικτά, δεδομένα με περιορισμούς και δεδομένα που είναι απόρρητα ή εμπιστευτικά και δεν επιτρέπεται να δημοσιοποιηθούν.

Ακολουθεί ο έλεγχος της νομικής βάσης και των εξαιρέσεων. Σε αυτό το στάδιο εξετάζεται εάν ο φορέας έχει το δικαίωμα και την υποχρέωση να διαθέσει το συγκεκριμένο σύνολο. Ορισμένα δεδομένα ανήκουν στα «σύνολα υψηλής αξίας» που πρέπει υποχρεωτικά να διατεθούν. Άλλα όμως μπορεί να εμπίπτουν σε εξαιρέσεις, όπως όταν περιέχουν προσωπικά δεδομένα, εμπιστευτικές πληροφορίες ή στοιχεία που σχετίζονται με την εθνική ασφάλεια. Σε αυτές τις περιπτώσεις ο φορέας οφείλει να καταγράψει τεκμηριωμένα τον λόγο για τον οποίο δεν προχωρά στη διάθεση.

Το τρίτο στάδιο αφορά την αξιολόγηση των προσωπικών δεδομένων σύμφωνα με τον GDPR. Αν το dataset περιέχει στοιχεία που μπορούν να ταυτοποιήσουν φυσικά πρόσωπα, πρέπει να εξεταστεί η δυνατότητα ανωνυμοποίησης. Η ανωνυμοποίηση απαιτεί ειδικές τεχνικές, όπως η γενίκευση (π.χ. κατηγορίες ηλικίας αντί για ακριβή ηλικία), η συσσωμάτωση (π.χ. αριθμός περιστατικών σε επίπεδο δήμου και όχι σε επίπεδο γειτονιάς) ή η αφαίρεση πεδίων που ενέχουν υψηλό κίνδυνο ταυτοποίησης. Αν υπάρχει ενδεχόμενος υψηλός κίνδυνος για την ιδιωτικότητα, πρέπει να διενεργείται Εκτίμηση Αντικτύπου Προστασίας Δεδομένων (DPIA). Σε κάθε περίπτωση, ο Υπεύθυνος Προστασίας Δεδομένων (DPO) του φορέα πρέπει να έχει ενεργό ρόλο στην αξιολόγηση και στη λήψη αποφάσεων.

Στη συνέχεια πραγματοποιείται ο έλεγχος των δικαιωμάτων διανοητικής ιδιοκτησίας και των συμβατικών περιορισμών. Ο φορέας οφείλει να διαπιστώσει αν τα δεδομένα είναι δικά του ή αν περιέχουν έργα τρίτων, όπως χάρτες, φωτογραφίες ή βάσεις δεδομένων που προστατεύονται από δικαιώματα πνευματικής ιδιοκτησίας. Εάν δεν υπάρχουν τα αναγκαία δικαιώματα, η διάθεση δεν είναι επιτρεπτή ή πρέπει να τροποποιηθεί το περιεχόμενο ώστε να αφαιρεθούν τα προστατευμένα στοιχεία.

Ένα κρίσιμο βήμα είναι η επιλογή άδειας επαναχρησιμοποίησης. Η διάθεση ανοικτών δεδομένων συνοδεύεται πάντα από σαφή όρο αδειοδότησης, ώστε οι χρήστες να γνωρίζουν τι επιτρέπεται και τι όχι. Η συνήθης πρακτική είναι η χρήση των αδειών Creative Commons, με πιο συχνή την CC BY 4.0, η οποία απαιτεί μόνο την αναφορά της πηγής, ή την CC0, η οποία επιτρέπει πλήρη ελευθερία χρήσης χωρίς κανέναν περιορισμό. Η σαφής αναγραφή της άδειας αποτρέπει παρανοήσεις και ενισχύει την επαναχρησιμοποίηση.

Εξίσου σημαντική είναι η τεκμηρίωση και η παραγωγή μεταδεδομένων. Κάθε dataset πρέπει να συνοδεύεται από περιγραφή του περιεχομένου, του υπεύθυνου φορέα, της συχνότητας ενημέρωσης και της επιλεγμένης άδειας. Τα μεταδεδομένα πρέπει να ακολουθούν διεθνή πρότυπα, όπως το DCAT-AP, ώστε να διασφαλίζεται η διαλειτουργικότητα. Η τεκμηρίωση δεν είναι χρήσιμη μόνο για τους χρήστες, αλλά και για τον ίδιο τον φορέα, ο οποίος διατηρεί έτσι ίχνος συμμόρφωσης και μπορεί να αποδείξει ότι τήρησε όλες τις διαδικασίες.

Το τελευταίο στάδιο είναι η έγκριση, η δημοσίευση και η παρακολούθηση μετά τη διάθεση. Η έγκριση προέρχεται από τον ιδιοκτήτη του dataset, τον νομικό σύμβουλο και τον DPO. Αφού εξασφαλιστούν όλες οι εγκρίσεις, τα δεδομένα αναρτώνται στο επίσημο εθνικό portal (data.gov.gr) ή στην πύλη του φορέα, σε ανοικτή και μηχαναγνώσιμη μορφή, ιδανικά και μέσω API. Η συμμόρφωση όμως δεν σταματά στη στιγμή της δημοσίευσης. Ο φορέας πρέπει να παρακολουθεί τα αιτήματα επαναχρησιμοποίησης, να απαντά σε παράπονα και να ενημερώνει τα δεδομένα σε τακτά χρονικά διαστήματα. Σε περίπτωση που διαπιστωθεί ότι ένα δημοσιευμένο dataset δημιουργεί κινδύνους ή παραβιάζει δικαιώματα, πρέπει να υπάρχει μηχανισμός άμεσης διόρθωσης ή απόσυρσής του.

Η διαδικασία συμμόρφωσης, επομένως, δεν είναι μια τυπική γραφειοκρατική άσκηση, αλλά ένας μηχανισμός προστασίας, διαφάνειας και λογοδοσίας. Κάθε βήμα – από την απογραφή μέχρι την παρακολούθηση μετά τη δημοσίευση – εξασφαλίζει ότι τα ανοικτά δεδομένα διατίθενται με τρόπο νόμιμο, υπεύθυνο και ουσιαστικά χρήσιμο για την κοινωνία.