Κύπρος: Έλεγχος του επίπεδου συμμόρφωσης του Δημόσιου Τομέα σε σχέση με τις πρόνοιες του ΓΚΠΔ

Ανακοίνωση του Γραφείου Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

0

Τον Ιούλιο του 2019 η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα διενήργησε τομεακό έλεγχο σε μορφή ερωτηματολογίου, με στόχο να αξιολογήσει το επίπεδο συμμόρφωσης του Δημόσιου και ευρύτερου Δημόσιου τομέα, σε σχέση με τις πρόνοιες του Γενικού Κανονισμού Προστασίας Δεδομένων (Κανονισμού (ΕΕ) 2016/679) και της εθνικής νομοθεσίας, Νόμου 125(Ι)/2018.

Το ερωτηματολόγιο αποστάληκε ηλεκτρονικά σε όλες τις Δημόσιες Αρχές και σε όλα τα Υπουργεία με το αίτημα να το κοινοποιήσουν στα Τμήματα, Υπηρεσίες, Νομικά Πρόσωπα Δημοσίου Δικαίου, οποιοδήποτε Νομικό Πρόσωπο Ιδιωτικού Δικαίου το οποίο λειτουργεί υπό τον έλεγχο του κράτους ή είναι ιδιοκτησία του κράτους, Αρχές και Οργανισμούς Τοπικής Αυτοδιοίκησης, Οργανισμούς Κοινής Ωφελείας, άλλους Οργανισμούς και Φορείς του Δημόσιου και ευρύτερου Δημόσιου τομέα που υπάγονται ή εμπίπτουν στη σφαίρα των αρμοδιοτήτων τους. Η χορηφηθείσα προθεσμία για υποβολή των απαντήσεων ήταν μέχρι τις 13 Σεπτεμβρίου 2019.

Με βάση τις διατάξεις του άρθρου 58 παράγραφος 1(β) του Κανονισμού (ΕΕ) 2016/679, η Επίτροπος, ως η εποπτική αρχή για την εφαρμογή του Κανονισμού, έχει εξουσία να διεξάγει έρευνες με τη μορφή ελέγχων για την προστασία των δεδομένων. Η συμβολή/ συμμετοχή στον έλεγχο των εν λόγω Τμημάτων, Υπηρεσιών, Νομικών Πρόσωπων Δημοσίου Δικαίου, ήταν επομένως υποχρεωτική.

Ο Κανονισμός τέθηκε σε ισχύ τον Απρίλιο του 2016 και δόθηκε προθεσμία 2 χρόνων στους υπεύθυνους επεξεργασίας, μέχρι τις 25 Μαΐου 2018, να λάβουν τα κατάλληλα μέτρα για την εφαρμογή του Κανονισμού. Στο Δημόσιο και ευρύτερο Δημόσιο τομέα, ο Κανονισμός εισήγαγε καινούργιες υποχρεώσεις, μεταξύ αυτών, τον ορισμό υπεύθυνου προστασίας δεδομένων (ΥΠΔ). Τα κύρια καθήκοντα του ΥΠΔ είναι να ενημερώνει και να συμβουλεύει τον υπεύθυνο επεξεργασίας, να παρακολουθεί τη συμμόρφωση με τον Κανονισμό, να συνεργάζεται και να ενεργεί ως σημείο επικοινωνίας με την εποπτική αρχή.

Βασικός στόχος του ελέγχου ήταν να διερευνηθεί κατά πόσο ο Δημόσιος τομέας έχει ανταποκριθεί επαρκώς στην υποχρέωση αυτή και αν έχουν δοθεί στο πρόσωπο που έχει οριστεί να εκτελεί τα εν λόγω καθήκοντα οι κατάλληλοι πόροι για την ενάσκηση των καθηκόντων του, με πλήρη ανεξαρτησία.

Επιπλέον, ο έλεγχος αποσκοπεί στο να αξιολογηθεί ο βαθμός εφαρμογής καλών πρακτικών εντός του οργανισμού όπως η εκπαίδευση του προσωπικού σε θέματα προστασίας δεδομένων, η ετοιμασία πολιτικής προστασίας προσωπικών δεδομένων (privacy policy), αν υπάρχουν σε ισχύ διαδικασίες ανταπόκρισης αιτημάτων (δικαίωμα πρόσβασης, διόρθωσης, διαγραφής) κ.α.

Αποτελέσματα του ελέγχου – Συνολικά λήφθηκαν 89 απαντήσεις.

Υπηρεσίες/ Τμήματα/ Υπουργεία που διεξάγουν μεγάλης κλίμακας και επικινδυνότητας επεξεργασίες δεν έχουν ανταποκριθεί στον έλεγχο. Ετοιμάζεται σχετικός κατάλογος καθότι ακόμα και εκπρόθεσμα δεχόμαστε συμπληρωμένα ερωτηματολόγια.

Στατιστικά αποτελέσματα

Από τις Υπηρεσίες που ανταποκρίθηκαν:

97 % έχουν ορίσει Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ)

65 % ανάρτησαν τα στοιχεία του ΥΠΔ στην ιστοσελίδα τους

86 % ανακοίνωσαν τον διορισμό του ΥΠΔ σε όλο το προσωπικό

80 % τηρούν αρχείο δραστηριοτήτων

63 % έχουν εκπαιδεύσει το προσωπικό σε θέματα προστασίας δεδομένων

41 % έχουν πολιτική προστασίας προσωπικών δεδομένων (privacy policy) στην ιστοσελίδα τους

52 % έχουν σε ισχύ διαδικασίες ανταπόκρισης σε αιτήματα άσκησης των δικαιωμάτων (πρόσβασης, διόρθωσης, διαγραφής).

Αντίστοιχα η Ελληνική Αρχή Προστασίας Προσωπικών Δεδομένων την 23/4/2019 δημοσίευσε την ακόλουθη ανακοίνωση για τους υπόχρεους φορείς του Δημοσίου:

“Ενόψει της 25.5.2019, δηλαδή της επετείου του ενός χρόνου από τη θέση σε ισχύ του ΓΚΠΔ (Γενικός Κανονισμός (ΕΕ) 2016/679), η Αρχή επιθυμεί να επιστήσει την προσοχή των υπευθύνων επεξεργασίας του Δημοσίου Τομέα (υπουργεία, δημόσιες υπηρεσίες, ΝΠΔΔ, ΟΤΑ, ανεξάρτητες Αρχές, κ.λπ.) στην τήρηση των υποχρεώσεών τους που απορρέουν από τον ΓΚΠΔ.

Βασική υποχρέωσή τους είναι ο ορισμός Υπευθύνου Προστασίας Δεδομένων (DPO), σύμφωνα με το άρθρο 37 παρ. 1 στοιχ. α΄ του ΓΚΠΔ. Ένα από τα βασικά καθήκοντα του DPO, όπως αυτά ενδεικτικά περιγράφονται στο άρθρο 39 του ΓΚΠΔ, είναι να συμβουλεύει τον υπεύθυνο επεξεργασίας σε ζητήματα επεξεργασίας προσωπικών δεδομένων. Τέτοια είναι και τα ζητήματα που αναφέρονται στην κοινοποίηση με οποιονδήποτε τρόπο (π.χ. χορήγηση σε τρίτο αιτούντα, ανάρτηση σε ιστοσελίδα υπουργείου, κ.λπ.) προσωπικών δεδομένων.

Πρέπει να καταστεί για μία ακόμα φορά σαφές ότι, κατόπιν της θέσης σε ισχύ από 25.5.2018 του ΓΚΠΔ, η Αρχή δεν έχει αρμοδιότητα να απαντά στα ερωτήματα και αιτήματα είτε των υπευθύνων επεξεργασίας είτε των υποκειμένων των δεδομένων ή τρίτων που αφορούν σε ζητήματα επεξεργασίας προσωπικών δεδομένων, όπως τα ανωτέρω αναφερόμενα, τα οποία δεν εμπίπτουν στις προβλεπόμενες με τις διατάξεις του ΓΚΠΔ αρμοδιότητές της (βλ. άρθρο 57 ΓΚΠΔ, καθώς και σχετική απόφαση της Αρχής 52/2018 διαθέσιμη στην ιστοσελίδα της: www.dpa.gr).

Στο πλαίσιο των αρμοδιοτήτων της, η Αρχή καλεί όσους φορείς του Δημοσίου Τομέα δεν έχουν ακόμα συμμορφωθεί με την ως άνω υποχρέωση να το πράξουν.
Με τον τρόπο αυτό θα διασφαλισθεί η ομαλότερη και αποτελεσματικότερη εφαρμογή του ΓΚΠΔ στη χώρα μας.”