Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR – Κανονισμός ΕΕ 2016/679)

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) είναι το βασικό νομικό πλαίσιο για την προστασία των φυσικών προσώπων στην Ευρωπαϊκή Ένωση. Για τα Open Data, έχει καθοριστική σημασία, καθώς καθορίζει τι επιτρέπεται να δημοσιευθεί και τι όχι, όταν τα δεδομένα συνδέονται με άτομα.

Στον GDPR, «προσωπικά δεδομένα» θεωρούνται όλες οι πληροφορίες που αφορούν ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Αυτό σημαίνει ότι ακόμη και αν ένα dataset δεν περιέχει ονόματα, μπορεί να θεωρείται προσωπικό εάν κάποιος συνδυασμός πεδίων μπορεί να οδηγήσει στην αναγνώριση ενός πολίτη (π.χ. ηλικία, ταχυδρομικός κώδικας και ημερομηνία γέννησης). Ειδική αναφορά γίνεται στις «ευαίσθητες κατηγορίες δεδομένων» (υγεία, θρησκευτικές πεποιθήσεις, πολιτικές απόψεις, σεξουαλικός προσανατολισμός κ.λπ.), οι οποίες απαγορεύεται να δημοσιοποιηθούν, εκτός εάν συντρέχουν εξαιρετικοί λόγοι και με αυστηρές εγγυήσεις.

Η συμμόρφωση με τον GDPR στη διάθεση ανοικτών δεδομένων στηρίζεται σε συγκεκριμένα βήματα. Το πρώτο είναι η εξέταση αν το dataset περιέχει προσωπικά δεδομένα. Εάν ναι, ο φορέας πρέπει να αποφασίσει εάν υπάρχει νόμιμη βάση επεξεργασίας (π.χ. διάθεση για σκοπούς δημοσίου συμφέροντος). Ακόμη κι αν υπάρχει, όμως, τα δεδομένα δεν μπορούν να δημοσιευθούν αδιακρίτως.

Το δεύτερο βήμα είναι η εφαρμογή ανωνυμοποίησης. Η ανωνυμοποίηση πρέπει να είναι ισχυρή και να εξασφαλίζει ότι δεν υπάρχει ρεαλιστική πιθανότητα επαναταυτοποίησης. Αυτό μπορεί να σημαίνει ότι αφαιρούνται άμεσα στοιχεία ταυτοποίησης (π.χ. ΑΦΜ, ονόματα, διευθύνσεις), αλλά και ότι γίνονται τεχνικές παρεμβάσεις όπως η γενίκευση (π.χ. ηλικιακές κατηγορίες αντί για ακριβή ηλικία), η συσσωμάτωση (π.χ. στατιστικά σε επίπεδο δήμου αντί για γειτονιά) ή η αφαίρεση σπάνιων τιμών που θα μπορούσαν να αποκαλύψουν ταυτότητες.

Ένα τρίτο βήμα είναι η εμπλοκή του Υπεύθυνου Προστασίας Δεδομένων (DPO). Ο GDPR απαιτεί κάθε δημόσιος φορέας να διαθέτει DPO, ο οποίος έχει την αρμοδιότητα να ελέγχει τις διαδικασίες επεξεργασίας και να γνωμοδοτεί για τον κίνδυνο που εμπεριέχει η διάθεση ενός dataset. Σε περιπτώσεις όπου υπάρχει πιθανότητα υψηλού κινδύνου για τα δικαιώματα των πολιτών, είναι υποχρεωτική η διενέργεια Εκτίμησης Αντικτύπου (DPIA) πριν από τη δημοσίευση.

Τέλος, είναι απαραίτητη η τεκμηρίωση των ενεργειών. Ο φορέας πρέπει να κρατά αρχείο στο οποίο θα καταγράφει ποια δεδομένα αφαιρέθηκαν, ποιες τεχνικές ανωνυμοποίησης εφαρμόστηκαν και με ποιο σκεπτικό ελήφθη η απόφαση για διάθεση. Αυτό διασφαλίζει ότι σε περίπτωση ελέγχου μπορεί να αποδείξει ότι έχει συμμορφωθεί με τον GDPR.

Παράδειγμα Εφαρμογής

Ένα δημοτικό dataset με όλες τις πληρωμές προμηθευτών περιέχει: ημερομηνία πληρωμής, ποσό, είδος δαπάνης, επωνυμία και ΑΦΜ προμηθευτή. Στη μορφή αυτή, το dataset θεωρείται ότι περιέχει προσωπικά δεδομένα, διότι τα ΑΦΜ ατομικών επιχειρηματιών ταυτοποιούν άμεσα φυσικά πρόσωπα. Για να δημοσιευθεί νόμιμα, ο φορέας αφαιρεί τα ΑΦΜ, κρατά τις επωνυμίες εταιρειών και διατηρεί μόνο τις πληροφορίες για τις κατηγορίες δαπανών και τα ποσά. Έτσι, το dataset συμμορφώνεται με τον GDPR και μπορεί να δημοσιευθεί ως ανοικτό δεδομένο με άδεια CC BY 4.0.