Τον Ιούλιο του 2019 η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Κύπρου διενήργησε τομεακό έλεγχο σε μορφή ερωτηματολογίου, με στόχο να αξιολογήσει το επίπεδο συμμόρφωσης του Δημόσιου και ευρύτερου Δημόσιου τομέα, σε σχέση με τις πρόνοιες του Γενικού Κανονισμού Προστασίας Δεδομένων (Κανονισμού (ΕΕ) 2016/679) και της εθνικής νομοθεσίας, Νόμου 125(Ι)/2018.
Το ερωτηματολόγιο αποστάληκε ηλεκτρονικά σε όλες τις Δημόσιες Αρχές και σε όλα τα Υπουργεία με το αίτημα να το κοινοποιήσουν στα Τμήματα, Υπηρεσίες, Νομικά Πρόσωπα Δημοσίου Δικαίου, οποιοδήποτε Νομικό Πρόσωπο Ιδιωτικού Δικαίου το οποίο λειτουργεί υπό τον έλεγχο του κράτους ή είναι ιδιοκτησία του κράτους, Αρχές και Οργανισμούς Τοπικής Αυτοδιοίκησης, Οργανισμούς Κοινής Ωφελείας, άλλους Οργανισμούς και Φορείς του Δημόσιου και ευρύτερου Δημόσιου τομέα που υπάγονται ή εμπίπτουν στη σφαίρα των αρμοδιοτήτων τους. Δόθηκε προθεσμία για υποβολή των απαντήσεων μέχρι τις 13 Σεπτεμβρίου 2019.
Με βάση τις διατάξεις του άρθρου 58 παράγραφος 1(β) του Κανονισμού (ΕΕ) 2016/679, η Επίτροπος, ως η εποπτική αρχή για την εφαρμογή του Κανονισμού, έχει εξουσία να διεξάγει έρευνες με τη μορφή ελέγχων για την προστασία των δεδομένων. Η συμβολή/ συμμετοχή στον έλεγχο των εν λόγω Τμημάτων, Υπηρεσιών, Νομικών Πρόσωπων Δημοσίου Δικαίου, ήταν επομένως υποχρεωτική.
Ο Κανονισμός τέθηκε σε ισχύ τον Απρίλιο του 2016 και δόθηκε προθεσμία 2 χρόνων στους υπεύθυνους επεξεργασίας, μέχρι τις 25 Μαΐου 2018, να λάβουν τα κατάλληλα μέτρα για την εφαρμογή του Κανονισμού. Στο Δημόσιο και ευρύτερο Δημόσιο τομέα, ο Κανονισμός εισήγαγε καινούργιες υποχρεώσεις, μεταξύ αυτών, τον ορισμό υπεύθυνου προστασίας δεδομένων (ΥΠΔ). Τα κύρια καθήκοντα του ΥΠΔ είναι να ενημερώνει και να συμβουλεύει τον υπεύθυνο επεξεργασίας, να παρακολουθεί τη συμμόρφωση με τον Κανονισμό, να συνεργάζεται και να ενεργεί ως σημείο επικοινωνίας με την εποπτική αρχή.
Βασικός στόχος του ελέγχου ήταν να διερευνηθεί κατά πόσο ο Δημόσιος τομέας έχει ανταποκριθεί επαρκώς στην υποχρέωση αυτή και αν έχουν δοθεί στο πρόσωπο που έχει οριστεί να εκτελεί τα εν λόγω καθήκοντα οι κατάλληλοι πόροι για την ενάσκηση των καθηκόντων του, με πλήρη ανεξαρτησία.
Επιπλέον, ο έλεγχος αποσκοπεί στο να αξιολογηθεί ο βαθμός εφαρμογής καλών πρακτικών εντός του οργανισμού όπως η εκπαίδευση του προσωπικού σε θέματα προστασίας δεδομένων, η ετοιμασία πολιτικής προστασίας προσωπικών δεδομένων (privacy policy), σε ισχύ διαδικασίες ανταπόκρισης αιτημάτων (δικαίωμα πρόσβασης, διόρθωσης, διαγραφής) κ.α.
Αποτελέσματα του ελέγχου
Συνολικά λήφθηκαν 89 απαντήσεις.
Υπηρεσίες/ Τμήματα/ Υπουργεία που διεξάγουν μεγάλης κλίμακας και επικινδυνότητας επεξεργασίες δεν έχουν ανταποκριθεί στον έλεγχο. Ετοιμάζεται σχετικός κατάλογος καθότι ακόμα και εκπρόθεσμα δεχόμαστε συμπληρωμένα ερωτηματολόγια.
Στατιστικά αποτελέσματα
Από τις Υπηρεσίες που ανταποκρίθηκαν:
- 97% έχουν ορίσει Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ)
- 65% ανάρτησαν τα στοιχεία του ΥΠΔ στην ιστοσελίδα τους
- 86% ανακοίνωσαν τον διορισμό του ΥΠΔ σε όλο το προσωπικό
- 80% τηρούν αρχείο δραστηριοτήτων
- 63% έχουν εκπαιδεύσει το προσωπικό σε θέματα προστασίας δεδομένων
- 41% έχουν πολιτική προστασίας προσωπικών δεδομένων (privacy policy) στην ιστοσελίδα τους
- 52% έχουν σε ισχύ διαδικασίες ανταπόκρισης σε αιτήματα άσκησης των δικαιωμάτων (πρόσβασης, διόρθωσης, διαγραφής).
Συμπεράσματα και παρατηρήσεις
Αναφορικά με τον ορισμό του ΥΠΔ, υπενθυμίζεται αρχικά ότι ο ορισμός του είναι υποχρεωτικός για τις δημόσιες υπηρεσίες/ αρχές. Παρότι ο Κανονισμός είχε μπει σε εφαρμογή από τις 25.5.2018, με την αποστολή του ερωτηματολογίου τον Ιούλιο 2019 και την διενέργεια ελέγχου από την Επίτροπο, παρατηρήθηκε ότι πολλοί δημόσιοι οργανισμοί έσπευσαν να ορίσουν ΥΠΔ για να ανταποκριθούν έστω και εκπρόθεσμα σε αυτή τους την υποχρέωση.
Παρατηρήθηκε επίσης ότι παρόλο που πολλοί οργανισμοί έχουν ορίσει ΥΠΔ, δεν δίνονται οι κατάλληλοι πόροι στο άτομο αυτό για την άσκηση των καθηκόντων του όπως -
- επάρκεια χρόνου ώστε να επιτελεί τα καθήκοντά του
- επίσημη ανακοίνωση του ορισμού του ΥΠΔ σε όλο το προσωπικό,
- επιμόρφωση του ΥΠΔ σε θέματα προστασίας δεδομένων
Αναφορικά με την τήρηση του αρχείου δραστηριοτήτων, υπενθυμίζεται ότι αυτή είναι επίσης υποχρεωτική για όλες τις δημόσιες υπηρεσίες/ αρχές. Εντούτοις, ποσοστό 20% δεν τηρεί αρχείο δραστηριοτήτων.
Σε σχέση με την ετοιμασία πολιτικής προστασίας προσωπικών δεδομένων (privacy policy) και την ανάρτηση της στην ιστοσελίδα του εκάστοτε Υπουργείου/ Τμήματος/ Οργανισμού, ενώ κάποιοι από τους ανταποκρινόμενους δήλωσαν ότι έχουν privacy policy αναρτημένο στην ιστοσελίδα του Υπουργείου/ Υπηρεσίας/ Οργανισμού διαπιστώθηκε μετά από έλεγχο στην σχετική ιστοσελίδα ότι αυτό δεν ισχύει. Σημειώνεται ότι το ποσοστό που αναγράφεται πιο πάνω, ήτοι 41%, ανταποκρίνεται στον αριθμό των Υπουργείων/ Υπηρεσιών/ Οργανισμών που έχουν όντως αναρτήσει privacy policy στην ιστοσελίδα τους.
Ως γενική εικόνα, τα αποτελέσματα καταδεικνύουν ότι παρόλο που ο Δημόσιος τομέας έχει λάβει κάποια μέτρα για την συμμόρφωση με τις υποχρεώσεις που απορρέουν από τον Κανονισμό, θα χρειαστούν επίμονες και εντατικές προσπάθειες προκειμένου να εξασφαλιστεί η ποιότητα των ολοκληρωμένων συστημάτων διαχείρισης και διαδικασιών όσον αφορά στην επεξεργασία των προσωπικών δεδομένων και στον σεβασμό των δικαιωμάτων των υποκειμένων των δεδομένων.
Επόμενες ενέργειες
Σε συνέχεια του ελέγχου, το Γραφείο της Επιτρόπου προγραμματίζει επιτόπιους ελέγχους σε επιλεγμένα Τμήματα/ Υπηρεσίες/ Αρχές ούτως ώστε να ελέγξει την πρακτική εφαρμογή του Κανονισμού.
Με βάση τα αποτελέσματα του επιτόπιου ελέγχου θα αποφασιστεί η λήψη διορθωτικών μέτρων και ενδεχομένως η επιβολή διοικητικών προστίμων σε όσους δεν έχουν ανταποκριθεί επαρκώς στις υποχρεώσεις τους.
Σχόλια