Στη δημιουργία ενιαίου μηχανισμού μέσω του οποίου θα γίνεται η υποστήριξη των μελών των Δήμων του Νοτίου Αιγαίου για τα θέματα των προσωπικών δεδομένων και της σταδιακής εναρμόνισης με τις νέες νομοθετικές απαιτήσεις σε ό,τι αφορά στην προστασία των προσωπικών δεδομένων και στην ψηφιακή τους ασφάλεια, προχωρά η ΠΕΔ Νοτίου Αιγαίου.
Όπως ομοφώνως αποφασίστηκε στην τελευταία της συνεδρίαση με την παρούσα σύνθεση θα αναπτυχθεί μηχανισμός υποστήριξης των Δήμων της Περιφέρειας Νοτίου Αιγαίου και των ΝΠΔΔ σε θέματα εφαρμογής του Γενικού Κανονισμού Προστασίας δεδομένων της ΕΕ και της απαιτούμενης νομοθετικής συμμόρφωσης με το ν. 4624/2019 και του ν. 4961/2022.
Σύμφωνα με τον πιστοποιημένο επιθεωρητή για προσωπικά δεδομένα κ. Γ. Σκοκέα ο οποίος εισηγήθηκε και το θέμα στη συνεδρίαση, οι πολίτες έχουν το δικαίωμα να προσφύγουν στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και να καταγγείλουν οποιαδήποτε περίπτωση θεωρούν ότι θίγονται τα δικαιώματά τους από την υφιστάμενη επεξεργασία που διενεργείται από εταιρείες και Δημόσιους Φορείς.
Επιπλέον, η Αρχή Προστασίας δεδομένων Προσωπικού Χαρακτήρα έχει το δικαίωμα ελέγχου και σε περίπτωση παραβίασης να επιβάλλει πρόστιμα το ύψος των οποίων φτάνει έως 4% του συνολικού προϋπολογισμού του Νομικού Προσώπου που έχει υποπέσει σε παράβαση.
ΥΠΟΧΡΕΩΣΕΙΣ
ΟΤΑ – ΝΠΔΔ
Κάθε Δήμος καθώς και τα Νομικά του πρόσωπα οφείλουν να έχουν εκπονήσει μελέτη GDPR, τόσο για τον Δήμο όσο και τα Νομικά πρόσωπά του.
Επιπλέον, οι ΟΤΑ και τα Νομικά Πρόσωπα αυτών σύμφωνα με τα ανωτέρω θα πρέπει να διαθέτουν μηχανισμό μέσω του οποίου:
1. Αναγνωρίζονται και καταγράφονται τα σημεία που κρατούνται προσωπικά δεδομένα των πολιτών, καθώς και οι ροές τους.
2. Εξασφαλίζεται η συμμόρφωση των διαδικασιών πρόσβασης αποθήκευσης, μεταφοράς και ανάλυσης των δεδομένων με το GDPR, όπως και οι μηχανισμοί διασφάλισης της διαθεσιμότητας των δεδομένων.
3. Συντάσσονται όλες οι απαραίτητες κατά GDPR διαδικασίες, όπως η ανεύρεση των προσωπικών δεδομένων, η διαδικασία διαγραφής/λήθης, η καταχώρηση απόδειξης συγκατάθεσης των υποκειμένων και η αντίδραση σε περίπτωση συμβάντος.
4. Να αξιολογούν το μέγεθος της επίπτωσης στους ανθρώπους από τυχόν διαρροή ή τη μη διαθεσιμότητα των προσωπικών τους δεδομένων.
5. Να εφαρμόζουν τις κατάλληλες επεμβάσεις/διορθώσεις ή προτάσεις στα συστήματα, τις υποδομές και τις εφαρμογές, καθώς και στις διαδικασίες και λειτουργίες.
6. Να ενημερώνουν τους εργαζομένους για ό,τι αφορά την εφαρμογή του Κανονισμού και τον καταμερισμό των αρμοδιοτήτων
7. Και τέλος όλοι οι Φορείς οφείλουν να έχουν Υπεύθυνο Επεξεργασίας Δεδομένων (DPO)
ΠΡΟΒΛΗΜΑΤΑ –
ΚΙΝΔΥΝΟΙ
• Οι υπάρχουσες μελέτες έχουν εκπονηθεί από διαφορετικούς Αναδόχους και δεν ακολουθούν ένα κοινό «πρότυπο» το οποίο να καλύπτει με οριοθετημένη μεθοδολογία τις υποχρεώσεις των Φορέων – παρότι το νομικό πλαίσιο λειτουργίας των Φορέων είναι κοινό.
• Δεν έχει γίνει επικαιροποίηση των μελετών για αλλαγές σε πληροφοριακά συστήματα, προμήθειες εξοπλισμού – λογισμικών, νέες διαδικασίες, αλλαγές ΟΕΥ και οποιαδήποτε αλλαγή του τρόπου λειτουργίας των Φορέων
• Η παροχή μεμονωμένων υπηρεσιών DPO σε κάθε Φορέα δεν δημιουργεί ένα κοινό πλαίσιο και γνωσιακή βάση αντιμετώπισης των προβλημάτων με κοινό σκεπτικό με αποτέλεσμα να υπάρχει κίνδυνος αστοχιών και κίνδυνος επιβολής προστίμων σε περιπτώσεις καταγγελιών
• Δεν υπάρχει οργανωμένο πλαίσιο διαβούλευσης με την Αρχή Προστασίας Δεδομένων
• Σε πολλά ΝΠΔΔ δεν έχουν εκπονηθεί μελέτες GDPR και δεν έχει ορισθεί DPO
• Πολλαπλές δαπάνες για ένα έργο το οποίο απαιτεί κοινή και συλλογική αντιμετώπιση.
• Η εφαρμογή του Ν. 4961/2022, αποτελεί προέκταση και εξειδίκευση του ισχύοντος Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR). Συγκεκριμένα εισάγει νέες διατάξεις:
• Για τη θωράκιση των Οργανισμών έναντι κυβερνοεπιθέσεων μέσω της δημιουργίας νέων οργανωτικών σχημάτων (Άρθρα 16 – 19 Ν. 4961/2022).
• Για τη διαμόρφωση των κατάλληλων εγγυήσεων για τη διασφάλιση των δικαιωμάτων των φυσικών και νομικών προσώπων (Άρθρο 20 Ν. 4961/2022).
• Για την ενίσχυση της λογοδοσίας και της διαφάνειας κατά τη χρήση πληροφοριακών συστημάτων (Άρθρα 19 – 26 Ν. 4961/2022).
• Εισάγονται νέες αυστηρές απαιτήσεις και προδιαγραφές, με τις οποίες κάθε Οργανισμός με κρίσιμη υποδομή για το Κράτος όπως οι ΟΤΑ και τα ΝΠΔΔ αυτών, οφείλει στο εξής να συμμορφώνεται προκειμένου να διασφαλίζει την προστασία των δεδομένων και των πληροφοριών του.
• Πολλοί Δήμοι έχουν ή σκέφτονται να χρησιμοποιήσουν Συστήματα Τεχνητής Νοημοσύνης η χρήση των οποίων επηρεάζει άμεσα την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
ΠΡΟΤΕΙΝΟΜΕΝΗ ΛΥΣΗ
Η ΠΕΔ Νοτίου Αιγαίου στο πλαίσιο των σκοπών της και ειδικότερα:
• Την έρευνα και μελέτη ζητημάτων σχετικών με την τοπική αυτοδιοίκηση και την τοπική ανάπτυξη.
• Τη συγκέντρωση και επεξεργασία στοιχείων και πληροφοριών επί γενικών και ειδικών ζητημάτων, σχετικών με την αποστολή και το έργο των δήμων.
• Τη συστηματική ενημέρωση και επιμόρφωση του προσωπικού και των μελών, των οργάνων των δήμων.
• Τη συνεργασία με φορείς του δημόσιου και του ιδιωτικού τομέα οι οποίοι δραστηριοποιούνται σε θέματα τοπικής αυτοδιοίκησης, αποκέντρωσης και ανάπτυξης.
• Τον προγραμματισμό, υποστήριξη και συντονισμό δράσεων για την αναβάθμιση της θέσης και του ρόλου του προσωπικού των Δήμων και των μελών των αιρετών οργάνων καθώς και για την αποδοτικότερη λειτουργία των υπηρεσιακών μονάδων»
Προτείνει τη δημιουργία ενός κοινού μηχανισμού μέσω του οποίου θα γίνεται η υποστήριξη των μελών της ΠΕΔ ΝΑ για τα θέματα των προσωπικών δεδομένων και σταδιακής εναρμόνισης με τις νέες νομοθετικές απαιτήσεις ως αναφέρθηκαν παραπάνω.
Ο σκοπός του προτεινόμενου μηχανισμού – ο οποίος θα υλοποιηθεί μέσω ασφαλούς πληροφοριακού συστήματος είναι:
• Η κάλυψη κενών στην εφαρμογή της νομοθεσίας και την επίτευξη πλήρους συμμόρφωσης τόσο με την ισχύουσα όσο και τις εκδιδόμενες οδηγίες -αποφάσεις της Αρχής Προστασίας Προσωπικών Δεδομένων και την αποφυγή παραβάσεων και επιβολής προστίμων
• Η παροχή ολιστικής υποστήριξης στα μέλη της μέσω μίας ενιαίας πλατφόρμας και μέσω εξειδικευμένης ομάδας στελεχών
• Η δημιουργία ηλεκτρονικού μητρώου τήρησης μελετών, αποφάσεων, παροχής οδηγιών, καθώς και κάθε άλλου πληροφοριακού υλικού σε βάση δεδομένων της ΠΕΔ όπου θα έχουν πρόσβαση τα εξουσιοδοτημένα στελέχη κάθε Δήμου και ΝΠΔΔ.
• Η παροχή υποστήριξης σε τεχνικά θέματα ασφάλειας πληροφοριών και ΠΔ– ειδικά σε μικρούς Δήμους όπου η στελέχωση της Πληροφορικής είναι ατελής ή απουσιάζει.
• Την ενιαία παροχή υπηρεσιών Υπεύθυνου Επεξεργασίας Δεδομένων (DPO)
• Την επίτευξη οικονομίας κλίμακος στις σχετικές δαπάνες των μελών της, για την παρακολούθηση θεμάτων σχετικά με διαχείριση ΠΔ.
• Την εκπαίδευση & ευαισθητοποίηση του στελεχιακού δυναμικού των ΟΤΑ και των ΝΠΔΔ αυτών σε θέματα διαχείρισης ΠΔ.
ΠΛΕΟΝΕΚΤΗΜΑΤΑ – ΟΦΕΛΗ
• Ενιαία και ολιστική αντιμετώπιση σε θέματα προστασίας προσωπικών δεδομένων
• Εξοικονόμηση δαπανών & πόρων
• Κάλυψη νομοθετικής υποχρέωσης θέσης Data Protection Officer
• Διαρκής ενημέρωση επί νομικών και τεχνικών θεμάτων
• Ορθότερη τήρηση – συμμόρφωση με νομοθετικές απαιτήσεις (GDPR)
• 24ωρη υποστήριξη
• Οργανωμένη και αποτελεσματική υποστήριξη από εξειδικευμένα στελέχη
• Εξειδικευμένη νομική υποστήριξη
• Πρόσβαση σε γνωσιακή βάση δεδομένων με νομοθεσία και σχετική αρθρογραφία για εύρεση λύσεων
• Δημιουργία ενιαίου μηχανισμού επικοινωνίας με την Αρχή Προστασίας Δεδομένων
• Επιμόρφωση στελεχών Τοπικής Αυτοδιοίκησης μέσα από εκπαιδευτικά video και on line εκπαίδευση