GDPR Data Portability / Φορητότητα δεδομένων
GDPR . Νομικό εμπόδιο ή ευκαιρία;
Η φορητότητα δεδομένων δημιουργεί ένα νέο δικαίωμα στα άτομα να έχουν μεγαλύτερο έλεγχο στα δεδομένα τους. Αυτό το νέο δικαίωμα θα μπορούσε να οδηγήσει σε σημαντικά κόστη για τους οργανισμούς, αλλά παρέχει επίσης μια στρατηγική ευκαιρία εάν εφαρμοστεί με τον σωστό τρόπο.
Εισαγωγή: Δυσκολίες στην υποχρέωση GDPR
Σύμφωνα με την Ετήσια Έκθεση Διαχείρισης Απορρήτου 2016 του IAPP, οι ελεγκτές δεδομένων εξετάζουν τις τρεις δυσκολότερες ως προς την εφαρμογή τους πτυχές του GDPR στον οργανισμό τους: το δικαίωμα στη λήθη, τη φορητότητα των δεδομένων και τη λήψη ρητής συγκατάθεσης. Σε αυτό το ιστολόγιο θα αναλύσουμε γιατί η εφαρμογή του GDPR και το δικαίωμα φορητότητας δεδομένων/ data portability αξίζει την προσοχή σας και γιατί αυτό αντιπροσωπεύει έναν κίνδυνο αλλά και μια στρατηγική ευκαιρία για τον οργανισμό σας.
Τι είναι η φορητότητα δεδομένων / data portability;
Ως «Φορητότητα Δεδομένων» / data portability Εννοείται
1) η δυνατότητα και ικανότητα εξαγωγής δεδομένων που συλλέγονται ή αποθηκεύονται ψηφιακά σχετικά με ένα υποκείμενο δεδομένων
ΚΑΙ
2) η δυνατότητα λήψης δεδομένων σχετικά με το υποκείμενο των δεδομένων και η δυνατότητα άλλου ελεγκτή να λαμβάνει Φορητά Δεδομένα.
Η απαίτηση της φορητότητας δεδομένων / data portability συνεπάγεται τόσο την απαίτηση τεχνικού σχεδιασμού όσο και την απαίτηση δικαιωμάτων των υποκειμένων των δεδομένων. Από τεχνική άποψη, οι υπεύθυνοι επεξεργασίας δεδομένων θα πρέπει να διασφαλίσουν ότι τα συστήματά τους, τα συνδεδεμένα προϊόντα, οι εφαρμογές και οι συσκευές που συλλέγουν και αποθηκεύουν πληροφορίες για το υποκείμενο των δεδομένων έχουν επίσης την πρόσθετη λειτουργικότητα διαβίβασης και μετάδοσης δεδομένων.
Σε ορισμένες περιπτώσεις, αυτό θα απαιτήσει από τους ελεγκτές να τροποποιήσουν ή να επανασχεδιάσουν ορισμένα συστήματα, προϊόντα, εφαρμογές και συσκευές. Επιπλέον, η νέα λειτουργικότητα διαβίβασης πρέπει να εξάγει δεδομένα σε δομημένη, ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή, ώστε να είναι δυνατή η επαναχρησιμοποίηση των δεδομένων.
Από την πλευρά των δικαιωμάτων του υποκειμένου, το δικαίωμα στη φορητότητα δεδομένων / data portabilityδημιουργεί ένα νέο δικαίωμα για τα άτομα να ασκούν μεγαλύτερο έλεγχο στα δεδομένα τους. Τους δίνει τη δυνατότητα να λαμβάνουν προσωπικά δεδομένα που τους αφορούν, τα οποία έχουν παράσχει σε έναν υπεύθυνο επεξεργασίας.
Έτσι, οι υπεύθυνοι θα χρειαστεί να δημιουργήσουν και να εφαρμόσουν διαδικασίες, εκτός από πρόσθετα συστήματα και λειτουργίες ψηφιακών προτάσεων/προϊόντων, που θα βοηθήσουν στην επεξεργασία των αιτημάτων των υποκειμένων δεδομένων με αυτοματοποιημένο ή όχι τρόπο. Μετά τη λήψη των δεδομένων, το άτομο πρέπει να είναι σε θέση να διαβιβάσει αυτά τα δεδομένα σε έναν άλλο ελεγκτή χωρίς να δημιουργεί πρόσθετη επιβάρυνση ή εμπόδια στον προηγούμενο.
Το δικαίωμα στη μετάδοση δεδομένων συνεπάγεται επίσης ότι, όπου αυτό είναι τεχνικά εφικτό, τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται απευθείας από τον έναν υπεύθυνο επεξεργασίας στο άλλο. Λάβετε υπόψη ότι το δικαίωμα αίτησης αντίγραφου σε μηχανικά αναγνώσιμη μορφή είναι δυνατή μόνο εάν τα σχετικά δεδομένα
i) παρέχονται από τον ιδιώτη στον υπεύθυνο επεξεργασίας.
ii) επεξεργάστηκαν με αυτοματοποιημένα μέσα και
iii) επεξεργάστηκαν με βάση συγκατάθεση ή εκπλήρωση σύμβασης.
Φυσικά αυτό δεν μπορεί να αφήσει εκτός βολής μια ιστοσελίδα ή και το eshop σας. Σαν dreamweaver.gr τόσο στα πακέτα μας κατασκευής ιστοσελίδων όσο και σε αυτά κατασκευής eshop έχουμε ενσωματώσει όλους εκείνους τους μηχανισμούς που πληρούν τις απαιτήσεις του νέου γενικού κανονισμού προστασίας δεδομένων GDPR έτσι ώστε το website και τα eshop που παραδίδουμε στους πελάτες μας να γίνουν εστία αλίευσης δικών τους πελατών και όχι αντλία εξοντωτικών προστίμων που αγγίζουν το 4% επί του τζίρου της επιχείρησης και το κυριότερο αφήνοντας την επιχείρηση ευάλωτη σε αγωγές τρίτων. Φυσικά στα ίδια πλαίσια έχουμε εναρμονίσει τις τακτικές μας για προώθηση ιστοσελίδων καθώς και τις διαφημιστικές μας ενέργειες στο internet με τις απαιτήσεις του κανονισμού.
Στην νέα εποχή που ξημέρωσε από τις 25 Μαίου 2018 το διαδίκτυο δεν είναι το ίδιο με αυτό που ήταν. Πλέον το web design και το web development όπως και η διαφήμιση σε facebook , google και αλλού δεν μπορεί να γίνεται από ένα μεμονωμένο άτομο , όσο χαρισματικό και ταλαντούχο ενδεχομένως να είναι αυτό. Απαιτεί μια ομάδα εργασίας και μια ολιστική προσέγγιση για να μην καταλήξουν όχι μόνο στο κενό οι όποιες επενδυτικές σας προσπάθειες στο διαδίκτυο αλλά να μην αποτελέσουν και την ταφόπλακα των επιχειρηματικών σας δραστηριοτήτων στο σύνολο τους.
Ας επανέλθουμε όμως μετά από αυτή την σύντομη διακοπή αλλά πιστεύουμε απαραίτητη υποσημείωση / διευκρίνηση στο ζήτημα μας.
Σύνδεση με άλλα δεδομένα
Η φορητότητα δεδομένων / data portability αποτελεί μέρος ενός ευρύτερου φάσματος δικαιωμάτων των σχετικών προσώπων: πρόσβαση και διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα, δικαίωμα αμφισβήτησης των αποφάσεων που βασίζονται σε αυτοματοποιημένα μέσα, καθώς και ενημέρωση των υποκειμένων των δεδομένων για παραβίαση προσωπικών δεδομένων. Και πάλι, οι υπεύθυνοι επεξεργασίας δεδομένων θα χρειαστεί να εφαρμόσουν διαδικασίες υποστήριξης για να είναι σε θέση να συμμορφωθούν με αυτά τα αιτήματα. Για έναν υπεύθυνο, η διαδικασία για την υποβολή αίτησης για μεταφορά δεδομένων θα μπορούσε να σημαίνει ότι πρέπει να εκτελέσετε διαφορετικές ενέργειες παρόμοιες με την εκτέλεση άλλων δικαιωμάτων των υποκειμένων των δεδομένων.
Πρώτον, μπορεί να χρειαστεί να δώσετε στο άτομο πρόσβαση στις προσωπικές του πληροφορίες, ώστε να γνωρίζει ποια δεδομένα επεξεργάζονται.
Δεύτερον, θα πρέπει να διορθώσετε τις ανακρίβειες εάν το άτομο το ζητήσει.
Τρίτον, ίσως χρειαστεί να διαγράψετε όλα τα προσωπικά δεδομένα (σύμφωνα με τα καθιερωμένα χρονοδιαγράμματα κατακράτησης και τα νομικά συμβόλαια) εάν το άτομο ζητήσει τη μεταφορά των δεδομένων του σε άλλο πάροχο υπηρεσιών.
Ως εκ τούτου, τρία άλλα δικαιώματα υποκειμένων θα μπορούσαν να επηρεαστούν κατά την επεξεργασία αίτησης σχετικά με τη φορητότητα δεδομένων.
Σημειώστε, ωστόσο, ότι το δικαίωμα πρόσβασης, διόρθωσης και διαγραφής δεν είναι παρόμοιο με το δικαίωμα μεταφοράς δεδομένων, θα μπορούσε απλώς να σημαίνει ότι ο υπεύθυνος χρησιμοποιεί τις ίδιες διαδικασίες για τα δικαιώματα αυτά, όπως θα χρειαζόταν για να επιτρέψει το δικαίωμα μεταφοράς δεδομένων.
Στην πράξη
Στην πράξη αυτό σημαίνει ότι πρέπει να έχετε τη δυνατότητα να παρέχετε στον ενδιαφερόμενο ή τον πελάτη σας αντίγραφο όλων των προσωπικών δεδομένων που έχετε σχετικά με αυτόν/ήν και τη δυνατότητα μεταφοράς των δεδομένων σε άλλον υπεύθυνο επεξεργασίας δεδομένων ή φορέα παροχής υπηρεσιών. Ως δεδομένα που κατέχετε ερμηνεύονται όλα τα δεδομένα που το άτομο έχει παράσχει ενεργά και εν γνώσει του. Αυτό περιλαμβάνει τις πληροφορίες που σας έχει δώσει ο χρήστης χρησιμοποιώντας την υπηρεσία ή τη συσκευή (για παράδειγμα, δεδομένα θέσης ή καρδιακό παλμό από έναν fitness tracker).
Αυτό θα μπορούσε επομένως να είναι μια μεγάλη συλλογή δεδομένων. Επιπλέον, τα δεδομένα πρέπει να παρέχονται κατά τρόπο που να διευκολύνει την επαναχρησιμοποίηση. Για παράδειγμα, τα email πρέπει να παρέχονται με μορφή που διατηρεί όλα τα meta δεδομένα για να επιτραπεί η αποτελεσματική επαναχρησιμοποίηση.
Η παροχή email σε μορφή pdf δεν αρκεί, διότι δεν είναι επαρκώς δομημένη για επαναχρησιμοποίηση. Η συμμόρφωση με ένα αίτημα για φορητότητα δεδομένων / data portability μπορεί να είναι χρονοβόρα και να οδηγήσει σε σημαντικό κόστος για πολλούς οργανισμούς που δεν έχουν ήδη υιοθετήσει προσέγγιση ιδιωτικού απορρήτου εκ κατασκευής για το σχεδιασμό και την κατασκευή των συστημάτων τους και ψηφιακών προϊόντων και προτάσεων.
Ο Υπεύθυνος Προστασίας Δεδομένων – Data Protection Officer πρέπει να διαθέτει τις κατάλληλες γνώσεις για να ανταπεξέλθει που νομίζω όσοι έχουν διαβάσει το άρθρο αυτό και ενδεχομένως έχουν παρακολουθήσει κάποιο ταχύρυθμο γενικόλογο σεμινάριο για τον GDPR αρχίζουν να αντιλαμβάνονται ότι αυτό ενδεχομένως να μην είναι αρκετό και ικανό εφόδιο για την πλήρη και απρόσκοπτη εκτέλεση των καθηκόντων τους.
Μεγάλη επίδραση
Ο λόγος για τον οποίο το δικαίωμα αυτό αναμένεται να έχει μεγάλο αντίκτυπο στην επιχείρησή σας, είναι ότι αλλάζει τη σχέση μεταξύ ατόμων και υπευθύνων επεξεργασίας δεδομένων. Τα άτομα έχουν τη δυνατότητα να διαχειρίζονται τα δεδομένα τους σε διάφορες πλατφόρμες, για παράδειγμα μέσω ενός εργαλείου άμεσης λήψης ή μιας εφαρμογής.
Τελικά η πλατφόρμα που προτιμά το άτομο θα λαμβάνει όλα τα προσωπικά δεδομένα. Αν δεν είστε η προτιμώμενη πλατφόρμα, ίσως χρειαστεί να μεταφέρετε τα δεδομένα σας σε έναν ανταγωνιστή και ενδεχομένως να σας ζητηθεί να διαγράψετε τα (πολύτιμα) δεδομένα που συλλέξατε με τα χρόνια. Αυτό οδηγεί σε μεγαλύτερο ανταγωνισμό μεταξύ των υπευθύνων επεξεργασίας δεδομένων και θα πρέπει να λαμβάνεται υπόψη κατά τον καθορισμό της επιχειρηματικής σας στρατηγικής.
Μετατρέψτε το σε πλεονέκτημα
Προσπαθείστε να είστε αποτελεσματικοί. Οι ελεγκτές πρέπει να είναι σε θέση να συμμορφωθούν με την αίτηση χωρίς αδικαιολόγητη καθυστέρηση και, εν πάση περιπτώσει, εντός ενός μηνός από την παραλαβή της αίτησης. Αν εφαρμόσετε μια διαδικασία μεταφοράς δεδομένων, θα πρέπει να εφαρμόσετε μια διαδικασία επεξεργασίας των αιτημάτων άλλων προσώπων σύμφωνα με το νόμο και να παράσχετε επιπλέον υπηρεσίες, για παράδειγμα εξασφαλίζοντας μεγαλύτερη ασφάλεια δεδομένων.
Στοχεύστε στο ανταγωνιστικό πλεονέκτημα. Σκεφτείτε να αναπτύξετε ένα φιλικό προς το χρήστη εργαλείο ή περιβάλλον που να εμπλέκει το άτομο και να του παρέχει μεγαλύτερη διαφάνεια, γνώση και έλεγχο των δικών του δεδομένων από ό, τι άλλοι ανταγωνιστές.
Αυτό το δικαίωμα δίνει στους πελάτες τη δυνατότητα να αλλάζουν εύκολα τους παρόχους υπηρεσιών, βεβαιωθείτε ότι θα μεταφέρουν τα προσωπικά τους δεδομένα στον οργανισμό σας και όχι στον ανταγωνιστή σας.