Από τον ΑΓΓΕΛΙΟΦΟΡΟ:
Η απόφαση εκδόθηκε μετά την αίτηση για αδεία λειτουργίας που υποβλήθηκε από δύο εταιρείες
ΤΟΥ ΒΑΣΙΛΗ ΚΥΡΙΑΚΟΥΛΗ
«Πράσινο φως» στη χρήση συσκευών παρακολούθησης και γεωεντοπισμού για ανήλικους και άτομα με προβλήματα υγείας έδωσε με απόφασή της η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Η απόφαση εκδόθηκε μετά την αίτηση για αδεία λειτουργίας που υποβλήθηκε από δύο εταιρίες παροχής τέτοιων υπηρεσιών 24ωρης παρακολούθησης, μέσω ειδικού κέντρου, με την καταβολή ανάλογης συνδρομής.
Η συσκευή
Στην απόφαση περιγράφεται η συσκευή και τεχνικές δυνατότητες που παρέχονται μέσω αυτής. Οπως επισημαίνεται, η συσκευή είναι μικρού μεγέθους, μπορεί να έχει μορφή κουτιού ή ρολογιού, περιλαμβάνει κύκλωμα κινητής τηλεφωνίας (GSM), σύστημα γεωγραφικού προσδιορισμού θέσης (GPS) και κουμπί πανικού. Ως «συνδρομητής» θεωρείται ο αιτών τη συνδρομή και υπόχρεος για την εξόφληση των λογαριασμών της συνδρομητικής υπηρεσίας, ενώ ως «κάτοχος» της συσκευής θεωρείται ο φέρων τη συσκευή εντοπισμού. Σύμφωνα με την απόφαση, «τα χαρακτηριστικά της υπηρεσίας καθορίζονται από το συνδρομητή». Παράδειγμα χαρακτηριστικών είναι ο ορισμός των συνθηκών στις οποίες ενεργοποιείται ο συναγερμός (π.χ. έξοδος από ορισμένη γεωγραφική ζώνη, υπέρβαση ταχύτητας, πτώση του φέροντα κ.λπ.), καθώς και ο τρόπος ενημέρωσης του συνδρομητή για τη γεωγραφική θέση του φέροντα, π.χ. αποστολή των δεδομένων γεωεντοπισμού μέσω SMS, πρόσβαση μέσω διαδικτύου ή μέσω τηλεφωνικής επικοινωνίας με το κέντρο παρακολούθησης. Τα δεδομένα γεωεντοπισμού των φερόντων, καθώς και προσωπικά τους δεδομένα, συμπεριλαμβανομένων και των δεδομένων υγείας, τα οποία σχετίζονται με τις παρεχόμενες υπηρεσίες (π.χ. ασθενείς με άνοια που λαμβάνουν υπηρεσίες 24ωρης παρακολούθησης από ειδικό κέντρο) είναι αντικείμενο επεξεργασίας τόσο από το συνδρομητή της υπηρεσίας όσο και από τον υπεύθυνο και τους εκτελούντες την επεξεργασία 24ωρης παρακολούθησης. Να σημειωθεί ότι οι συσκευές δεν έχουν δυνατότητα απενεργοποίησης και διαθέτουν επαναφορτιζόμενες μπαταρίες.
Ιδιαίτερα εξετάστηκαν οι περιπτώσεις που ο συνδρομητής και ο φέρων τη συσκευή γεωεντοπισμού είναι διαφορετικά πρόσωπα, καθώς και στις περιπτώσεις που ο φέρων είναι ανήλικος. Οπως υπογραμμίζεται στην απόφαση, «ο σκοπός της επεξεργασίας των προσωπικών δεδομένων των φερόντων είναι η ατομική τους ασφάλεια και η παροχή υπηρεσιών σε περίπτωση εκτάκτου ανάγκης». Σύμφωνα με την απόφαση, «στην περίπτωση που ο φέρων και ο συνδρομητής είναι διαφορετικά πρόσωπα, και ο συνδρομητής είναι αυτός που παρέχει τα προσωπικά δεδομένα του φέροντα, τότε θα πρέπει ο φέρων να έχει προηγουμένως ενημερωθεί και να έχει δώσει τη συγκατάθεσή του ως προς την επεξεργασία των προσωπικών του δεδομένων». Για τα ευαίσθητα προσωπικά δεδομένα θα πρέπει να υπάρχει η έγγραφη συγκατάθεση, ενώ στις περιπτώσεις ανηλίκων «απαιτείται η συγκατάθεση των ασκούντων τη γονική μέριμνα του ανηλίκου».
Οπως αναφέρεται στην απόφαση, ο υπεύθυνος επεξεργασίας των προσωπικών δεδομένων οφείλει να διαφυλάττει το απόρρητο της επεξεργασίας και να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων της επεξεργασίας. «Ο λογαριασμός χρήστη και το συνθηματικό που αρχικά δίνεται στο συνδρομητή θα πρέπει να αλλάζει υποχρεωτικά από τον ίδιο με την πρώτη του είσοδο στο διαδικτυακό τόπο. Θα πρέπει επίσης να έχει ελάχιστο μήκος 8 χαρακτήρες και να ορίζονται κανόνες πολυπλοκότητας. Κατά τη μεταφορά μέσω ανοικτών δικτύων, όπως το διαδίκτυο, προσωπικών δεδομένων γεωεντοπισμού, τα δεδομένα πρέπει να προστατεύονται μέσω κρυπτογράφησης. Αναγκαία είναι η εφαρμογή μέτρων φυσικής ασφάλειας των αποθηκευμένων δεδομένων των συστημάτων εντοπισμού GPS, ώστε να αποφεύγεται η διάδοσή τους σε μη νόμιμους αποδέκτες» σημειώνεται μεταξύ άλλων.
Ιδιαίτερα εξετάστηκαν οι περιπτώσεις που ο συνδρομητής και ο φέρων τη συσκευή γεωεντοπισμού είναι διαφορετικά πρόσωπα, καθώς και στις περιπτώσεις που ο φέρων είναι ανήλικος. Οπως υπογραμμίζεται στην απόφαση, «ο σκοπός της επεξεργασίας των προσωπικών δεδομένων των φερόντων είναι η ατομική τους ασφάλεια και η παροχή υπηρεσιών σε περίπτωση εκτάκτου ανάγκης». Σύμφωνα με την απόφαση, «στην περίπτωση που ο φέρων και ο συνδρομητής είναι διαφορετικά πρόσωπα, και ο συνδρομητής είναι αυτός που παρέχει τα προσωπικά δεδομένα του φέροντα, τότε θα πρέπει ο φέρων να έχει προηγουμένως ενημερωθεί και να έχει δώσει τη συγκατάθεσή του ως προς την επεξεργασία των προσωπικών του δεδομένων». Για τα ευαίσθητα προσωπικά δεδομένα θα πρέπει να υπάρχει η έγγραφη συγκατάθεση, ενώ στις περιπτώσεις ανηλίκων «απαιτείται η συγκατάθεση των ασκούντων τη γονική μέριμνα του ανηλίκου».
Οπως αναφέρεται στην απόφαση, ο υπεύθυνος επεξεργασίας των προσωπικών δεδομένων οφείλει να διαφυλάττει το απόρρητο της επεξεργασίας και να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων της επεξεργασίας. «Ο λογαριασμός χρήστη και το συνθηματικό που αρχικά δίνεται στο συνδρομητή θα πρέπει να αλλάζει υποχρεωτικά από τον ίδιο με την πρώτη του είσοδο στο διαδικτυακό τόπο. Θα πρέπει επίσης να έχει ελάχιστο μήκος 8 χαρακτήρες και να ορίζονται κανόνες πολυπλοκότητας. Κατά τη μεταφορά μέσω ανοικτών δικτύων, όπως το διαδίκτυο, προσωπικών δεδομένων γεωεντοπισμού, τα δεδομένα πρέπει να προστατεύονται μέσω κρυπτογράφησης. Αναγκαία είναι η εφαρμογή μέτρων φυσικής ασφάλειας των αποθηκευμένων δεδομένων των συστημάτων εντοπισμού GPS, ώστε να αποφεύγεται η διάδοσή τους σε μη νόμιμους αποδέκτες» σημειώνεται μεταξύ άλλων.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου