Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

ΣΥΣΤΑΣΕΙΣ: Συστάσεις Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα προς τους Δήμους


Αναφορικά με το θέμα της συλλογής και γενικά της επεξεργασίας προσωπικών δεδομένων των πολιτών / δημοτών στο πλαίσιο εξυπηρέτησης τους και/ή εκτέλεσης των καθηκόντων του προσωπικού, με βάση τις αρμοδιότητες που μου παρέχονται από το άρθρο 23 (γ) του περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμου του 2001 (Νόμος 138 (Ι) / 2001), όπως τροποποιήθηκε (στο εξής «ο Νόμος»), επιθυμώ να επισύρω την προσοχή σας στις ακόλουθες διατάξεις του Νόμου που αναφέρονται στο Μέρος Α και να απευθύνω τις συστάσεις που αναφέρονται στο Μέρος Β:

ΜΕΡΟΣ Α-ΔΙΑΤΑΞΕΙΣ ΤΟΥ ΝΟΜΟΥ

1. Σύµφωνα µε τις διατάξεις του άρθρου 2 του Νόμου, ως υπεύθυνος επεξεργασίας ορίζεται όποιος «καθορίζει το σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα».

Το άρθρο 2 του Νόμου ορίζει την έννοια των προσωπικών δεδομένων ως κάθε πληροφορία, που αναφέρεται στο υποκείμενο των δεδομένων, δηλαδή στο φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί αμέσως ή εμμέσως.

Για παράδειγμα προσωπικά δεδομένα είναι: το ονοματεπώνυμο, η ημερομηνία γέννησης, ο αριθμός δελτίου ταυτότητας, ο αριθμός κοινωνικών ασφαλίσεων, η κατάσταση τραπεζικού λογαριασμού, το ενοικιαστήριο συμβόλαιο κ.λ.π.

Επίσης, το ίδιο άρθρο προβλέπει τις κατηγορίες των ευαίσθητων δεδομένων, μεταξύ των οποίων είναι και τα δεδομένα που αφορούν στην υγεία.

2.1. Σύµφωνα µε το άρθρο 4 (1) του Νόμου, ο υπεύθυνος επεξεργασίας, στην προκειμένη περίπτωση, οι Δήμοι, διασφαλίζουν ότι τα προσωπικά δεδομένα:

(α) υφίστανται θεμιτή και νόμιμη επεξεργασία,

(β) συλλέγονται για προσδιορισμένους, σαφείς και νόµιµους σκοπούς και δεν υφίστανται μεταγενέστερη επεξεργασία ασυμβίβαστη με τους σκοπούς αυτούς (αρχή του σκοπού),

(γ) είναι συναφή, πρόσφορα και όχι περισσότερα από ότι κάθε φορά απαιτείται ενόψει των σκοπών της επεξεργασίας (αρχή της αναλογικότητας),

(δ) είναι ακριβή και, εφόσον χρειάζεται, υποβάλλονται σε ενημέρωση,

(ε) διατηρούνται μόνο για όσο χρονικό διάστημα είναι απαραίτητο για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους.

2.2. Η συλλογή και κάθε περαιτέρω επεξεργασία απλών και ευαίσθητων προσωπικών δεδομένων επιτρέπεται, καταρχήν, εφόσον το υποκείμενο των δεδομένων (δηλαδή ο πολίτης/δημότης) έχει δώσει τη συγκατάθεσή του. Ωστόσο, η συλλογή και κάθε περαιτέρω επεξεργασία τόσο των απλών όσο και των ευαίσθητων προσωπικών δεδομένων που αφορούν στους δημότες επιτρέπεται και χωρίς τη συγκατάθεση τους, σε εξαιρετικές περιπτώσεις που προβλέπει ο Νόμος.

2.3. Για τα απλά δεδομένα, επιτρέπεται υπό τις προϋποθέσεις του άρθρου 5 (2) του Νόμου και για τα ευαίσθητα δεδομένα υπό τις προϋποθέσεις του άρθρου 6 (2) του Νόμου.

Παραδείγματα τα οποία αφορούν στην πρώτη περίπτωση του άρθρου 5 (2) του Νόμου:
«Η επεξεργασία είναι απαραίτητη για την εκπλήρωση υποχρεώσεως του υπεύθυνου επεξεργασίας, η οποία επιβάλλεται από Νόμο ή Κανονισμούς που εκδίδονται δυνάμει Νόμου ή Κανονισμούς της Ευρωπαϊκής Ένωσης»

ή

«η επεξεργασία είναι απαραίτητη για την εκτέλεση έργου δημοσίου συμφέροντος ή έργου που εμπίπτει στην άσκηση δημόσιας εξουσίας και έχει ανατεθεί είτε στον υπεύθυνο επεξεργασίας είτε σε τρίτο, στον οποίο ανακοινώνονται τα δεδομένα»

ή

«η επεξεργασία είναι απαραίτητη για την ικανοποίηση του έννοµου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας ή ο τρίτος στον οποίο ανακοινώνονται τα δεδομένα προσωπικού χαρακτήρα, υπό τον όρο ότι τούτο υπερέχει των δικαιωμάτων, διαφερόντων και θεμελιωδών ελευθεριών των υποκειμένων των δεδομένων».

Παραδείγματα τα οποία αφορούν στη δεύτερη περίπτωση του άρθρου 6 (2) του Νόμου:
Οι Δήμοι μπορούν να συλλέγουν και γενικά να επεξεργάζονται ευαίσθητα προσωπικά δεδομένα δημοτών, όταν για παράδειγμα:

«η επεξεργασία είναι αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου προσώπου, αν το υποκείμενο των δεδομένων τελεί σε φυσική ή νομική αδυναμία να δώσει τη συγκατάθεσή του»

ή

«η επεξεργασία αφορά αποκλειστικά δεδομένα τα οποία το υποκείμενο των δεδομένων δημοσιοποιεί ή είναι αναγκαία για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματος ενώπιον δικαστηρίου».

Για παράδειγμα, τα δικαιολογητικά/πιστοποιητικά που ζητούνται από τους δημότες να προσκομίσουν για να επωφεληθούν έκπτωσης/μείωσης στα καταβλητέα δημοτικά τέλη θα πρέπει να είναι μόνο τα απολύτως απαραίτητα για την πραγματοποίηση του απαιτούμενου σκοπού και να μην τους ζητούνται πληροφορίες οι οποίες δεν σχετίζονται με το σκοπό της επεξεργασίας που είναι η εξέταση για έκπτωση/μείωση στα τέλη.ΜΕΡΟΣ Β - ΣΥΣΤΑΣΕΙΣ

1.Οι Δήμοι, ως οι υπεύθυνοι επεξεργασίας, έχουν υποχρέωση να διασφαλίζουν ότι, ο σκοπός της συλλογής και γενικά της επεξεργασίας προσωπικών δεδομένων είναι νόμιμος, σαφής και καθορισμένος και τα προσωπικά δεδομένα που ζητούν από τους δημότες να προσκομίσουν δεν είναι υπερβολικά σε σχέση με το σκοπό της επεξεργασίας (άρθρο 4 (1) του Νόμου)

Τέτοια συλλογή και επεξεργασία είναι θεμιτή και νόμιμη μόνο εφόσον το είδος των δεδομένων αυτών συνδέεται άμεσα με τη συγκεκριμένη εργασία που έχει να εκτελέσει ο δημοτικός υπάλληλος στο πλαίσιο των καθηκόντων του και της εξυπηρέτησης των πολιτών και είναι απολύτως απαραίτητα για την πραγματοποίηση των εν λόγω σκοπών.

2. Δεδομένου ότι τηρούνται οι βασικές αρχές που καθορίζονται στο άρθρο 4, οι Δήμοι επιτρέπεται να συλλέγουν / επεξεργάζονται προσωπικά δεδομένα δημοτών τους όταν εμπίπτει μία από τις προϋποθέσεις του άρθρου 5 του Νόμου (για τα απλά προσωπικά δεδομένα) και του άρθρου 6 (για τα απλά και ευαίσθητα προσωπικά δεδομένα).

3. Οι Δήμοι θα πρέπει να φροντίζουν να τηρείται το απόρρητο και η ασφάλεια της επεξεργασίας βάσει των διατάξεων του άρθρου 10 του Νόμου που προνοεί ότι:
«10.-(1) Η επεξεργασία δεδομένων είναι απόρρητη. Διεξάγεται αποκλειστικά και μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και μόνο κατ’ εντολή του».
(2) Για τη διεξαγωγή της επεξεργασία, ο υπεύθυνος επεξεργασίας οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιτότητας για την τήρηση του απορρήτου.
(3) Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας.
Ο Επίτροπος παρέχει εκάστοτε οδηγίες για το βαθμό ασφάλειας των δεδομένων καθώς και για τα μέτρα προστασίας που είναι αναγκαίο να λαμβάνονται για κάθε κατηγορία δεδομένων, ενόψει και των τεχνολογικών εξελίξεων.»,

4. Οι Δήμοι οφείλουν να διασφαλίζουν ότι σε περίπτωση που πρόκειται να συλλεχθούν από τρίτους προσωπικά δεδομένα που αφορούν σε δημότες τους, θα πρέπει να τους ενημερώνουν κατά την καταχώρηση των δεδομένων στα αρχεία τους ή όταν πρόκειται να ανακοινώσουν δεδομένα που τους αφορούν σε τρίτους, θα πρέπει προηγουμένως να τους έχουν ενημερώσει.

5. Οι Δήμοι πρέπει να σέβονται το δικαίωμα πρόσβασης που μπορούν οι δημότες τους να ασκήσουν στα προσωπικά δεδομένα που τους αφορούν.

01 Ιουλίου 2016

Back To Top