Συζήτηση περί προσωπικών δεδομένων

[NikosVy]

Βλέπω πως η συζήτηση διαξάγεται στο στυλ του Phorum.gr

- Άσπρο.

- Όχι δεν είναι άσπρο, είναι μαύρο (δεν το αιτιολογώ, έτσι γουστάρω).

Οπότε, δεν συνεχίζω.

[foscilis]

--deleted--

δε θα κάτσουμε να συζητάμε με τον δικηγόρο της γειτονιάς.

Ή μάλλον όχι, θα συζητήσουμε:

Άρθρο 9 παράγραφος 2 περίπτωση (ε):

(η επεξεργασία ιδιαίτερα ευαίσθητων προσωπικών δεδομένων όπως οι θρησκευτικές πεποιθήσεις επιτρέπεται εφόσον)
(e) processing relates to personal data which are manifestly made public by the data subject;

Όπως είπα αν πάω και ποστάρω κάπου ότι είμαι ο Τάδε Ταδόπουλος και περήφανος που πιστεύω στο Γιαραμπή λόγω της ανάγκης μου να καμαρώσω για την πίστη μου, αυτό δε δημιουργεί κάποιου είδους πρόβλημα για τον χώρο όπου το πόσταρα επειδή GDPR. Μη το μπερδεύουμε με την περίπτωση που είπα στον γιατρό μου ότι έχω AIDS και αυτός πουλάει αυτήν την πληροφορία σε φαρμακευτική για να μου στείλει διαφημίσεις ή σε ασφαλιστική για να μου ανεβάσει τα ασφάλιστρα.

Γενικά το GDPR δεν αλλάζει κανένα υπάρχον δικαίωμα, όπως είναι αυτό της ελεύθερης δημόσιας έκφρασης των πιστεύω σου εφόσον το θες.

[hellegennes]

Αλλάζει τα πάντα με το 5.1 (f), γιατί οι απαιτήσεις που εισάγει είναι πρακτικά αδύνατον να εκπληρωθούν από μικρά σχήματα και εταιρείες.

Επιπροσθέτως, απαγορεύεται παντελώς η οποιαδήποτε επεξεργασία προσωπικών δεδομένων ανηλίκων, όπου ακόμα κι αν δεν το όριζαν κρατικοί νόμοι, ορίζεται μέσα από το ίδιο το GDPR ότι δεν μπορεί να δώσει συγκατάθεση άτομο μικρότερο των 16 ετών. Ως εκ τούτου κι επειδή δεν ξέρεις την ηλικία των χρηστών, αυτό αποτελεί ακόμα ένα εμπόδιο.

Σε κάθε περίπτωση, όλες οι παράγραφοι που επιτρέπουν την επεξεργασία δεδομένων οποιουδήποτε τύπου, έχουν σαν προϋπόθεση την τήρηση του 5.1 (f). Το phorum προφανώς δεν δύναται να τηρήσει με συνέπεια αυτήν την παράγραφο.

[Πάνας]

Τιποτα δεν απαγορευεται εφοσον ειναι με ρητη συναινεση. Αν ο αλλος θελει να ποσταρει πού ψελνει δε θα τον εμποδισεις επειδη GDPR.

Απο την αλλη αν το αναλογιο ή καποιος επισκεπτης παρει αυτες τις πληροφοριες χωρις εγκριση και τις χρησιμοποιησει πχ για να φτιαξει διαδραστικο χαρτη πυκνοτητας ψαλτων που τους αρεσει το παστελι, τοτε αυτος ειναι παρανομος.

Ακριβώς, το φόρουμ δεν έχει καμία δουλειά. Δημιουργείται όμως όταν ο χρήστης ζητήσει την διαγραφή όλων αυτών που έχει αναρτήσει και περιέχουν προσωπικά δεδομένα.

[Spiros252]

Οι αναρτήσεις δεν θεωρούνται προσωπικά δεδομένα εκτός αν σε αυτές περιέχονται τέτοια, που μπορούν με βεβαιότητα να ταυτοποιήσουν το φυσικό πρόσωπο.

[foscilis]

Τιποτα δεν απαγορευεται εφοσον ειναι με ρητη συναινεση. Αν ο αλλος θελει να ποσταρει πού ψελνει δε θα τον εμποδισεις επειδη GDPR.

Απο την αλλη αν το αναλογιο ή καποιος επισκεπτης παρει αυτες τις πληροφοριες χωρις εγκριση και τις χρησιμοποιησει πχ για να φτιαξει διαδραστικο χαρτη πυκνοτητας ψαλτων που τους αρεσει το παστελι, τοτε αυτος ειναι παρανομος.

Ακριβώς, το φόρουμ δεν έχει καμία δουλειά. Δημιουργείται όμως όταν ο χρήστης ζητήσει την διαγραφή όλων αυτών που έχει αναρτήσει και περιέχουν προσωπικά δεδομένα.

Κοίτα σε αυτό που κάνεις quote υπεραπλουστεύω (αν και δεν αλλάζει η ουσία):

Λέω "συναίνεση" αλλά εννοώ "ελεύθερη βούληση". Η διαφορά είναι λεπτή αλλά σημαντική. Το πρώτο είναι η περίπτωση που το φόρουμ σου ζητάει να δώσεις κάποια δεδομένα και να συναινέσεις στη χρήση τους για αυτόν και αυτόν τον σκοπό. Είναι μία από τις νόμιμες βάσεις συλλογής προσωπικών δεδομένων σύμφωνα με τον GDPR (υπάρχουν κι άλλες όπως π.χ. το έννομο συμφέρον[1] ή η συμβατική υποχρέωση[2]) και οι πιο πολλοί την προτιμούν γιατί όπως είπα μπορείς να συναινέσεις στα πάντα. Είναι όμως όπως λες κι εσύ δίκοπο μαχαίρι γιατί δεδομένα που το υποκείμενο παραχωρεί με συναίνεση, θεμελιώνει και δικαίωμα διαγραφής τους.

Εγώ όμως αναφερόμουν σε εντελώς διαφορετική περίπτωση: που κάποιος, χωρίς να του έχει ζητηθεί ρητά, με την εντελώς ελεύθερη βούλησή του πάει και αναρτά προσωπικά του δεδομένα. Είτε "απλά" όπως το ονοματεπώνυμο είτε εξαιρετικά ευαίσθητα όπως οι θρησκευτικές πεποιθήσεις. Αυτά όμως ο GDPR λέει ότι αφού πας και τα δημοσιοποιείς μόνος σου, ε δεν είναι πια προσωπικά δεδομένα αλλά δημόσια. Δικαίωμα διαγραφής σε αυτήν την περίπτωση δεν υπάρχει, ή τουλάχιστον δε θεμελιώνεται στον GDPR (μπορεί να θεμελιώνεται σε άλλους νόμους, για παράδειγμα έχεις το copyright των δημοσιεύσεών σου και δικαιούσαι να απαιτήσεις να αποσυρθούν).

Σε κάθε περίπτωση είναι πολύ δύσκολο πληροφορίες που δίνει κάποιος σε δημόσιο φόρουμ χωρίς να είναι αναγκασμένος να το κάνει, να έχουν το ίδιο επίπεδο προστασίας με πληροφορίες που δίνει περιμένοντας εμπιστευτικότητα.

[1] παράδειγμα: το phorum διατηρεί logs που φαίνεται η IP που είναι προσωπικό δεδομένο κατά GDPR αλλά το κάνει για προφανείς λόγους ασφαλείας, παροχής πληροφοριών στις αρχές σε περίπτωση που κάποια ανάρτηση παραβιάζει το νόμο κλπ
[2] παράδειγμα: το phorum έχει το email σου που είναι προσωπικό δεδομένο αλλά είναι υποχρεωμένο να το έχει από τη μεταξύ σας "σύμβαση" για να σου παρέχει κάποιες υπηρεσίες όπως αλλαγή password.

[NikosVy]

Οι αναρτήσεις δεν θεωρούνται προσωπικά δεδομένα εκτός αν σε αυτές περιέχονται τέτοια, που μπορούν με βεβαιότητα να ταυτοποιήσουν το φυσικό πρόσωπο.

Όπως στην περίπτωση του ΑΡΙΣΤΟΥ όπου κάνει μπαμ (όσο και να καμουφλαριστεί στα Φόρουμ) αφού τα ίδια και τα ίδια γράφει με κανονικό ονοματεπώνυμο και φωτογραφία σε διαδικτυακή εφημερίδα, ως δημοσιογράφος.

Το ίδιο συμβαίνει και με τους περισσότερους. Η ταυτοποίηση γίνεται α) λίγο από εδώ, β) λίγο από εκεί, γ) λίγο από το Facebook με κανονικό ονοματεπώνυμο, δ) λίγο στο e-psychology που ξερνάνε όλα τα ψυχοπαθολογικά τους, ε) στο analogion.com κλπ

και στο τέλος για όλους στ) μέσω της ip την οποία η νομοθεσία θεωρεί ότι "μπορεί κάποιος να την διαβάσει και να ταυτοποιήσει οπότε υπεύθυνος δεν είναι αυτός που έβγαλε στη φόρα την ip αλλά εκείνος που επεξεργάστηκε όλα τα άλλα, λίγο ο ένας λίγο ο άλλος, ώστε να ταυτοποιηθεί φακελωθεί στο διαδίκτυο ο χρήστης".

Την άποψη αυτή δεν θα συμμεριστεί το 99,9% των χρηστών του διαδικτύου, και ίσως να μην υπάρξουν συνέπειες δεδομένου ότι για την εφαρμογή του Κανονισμού απαιτείται να υπάρχει κράτος, και στην Ελλάδα δεν υπάρχει κράτος.

Αυτά τα περί "συναίνεσης" πέστε τα αλλού. "Συναίνεση" υπάρχει όταν ο χρήστης έχει ειδοποιηθεί 100% για α) την επεξεργασία που θα γίνει (ηθελημένα ή άθελα από συνδυασμό Φόρουμ-Facebook-Google-epsychology αυτοαποκαλύψεις-ip) και β) αν ο χρήστης έχει ειδοποιηθεί 100% για το τι κινδυνεύει. Αυτό δεν μπορεί να γίνει στην πράξη από τα μικρά δίκτυα (Φόρουμς) και έτσι απλά θα επικρέμαται ο μπαλτάς.

[Spiros252]

Ο δημοσιογράφος νομίζω όμως Νίκο είναι δημόσιο πρόσωπο. Και εφόσον ο ίδιος δίνει τα άρθρα του με το αντίστοιχο link σε διάφορα φόρα και ιστοσελίδες (στα οποία εμφανίζεται και το όνομα του) δεν νομίζω ότι η ευθύνη βαραίνει το φόρουμ.

Η επεξεργασία που λες από διάφορες πηγές δεν συνεπάγεται ότι γίνεται από το ίδιο το φόρουμ, οπότε την ευθύνη έχει οποίος την κάνει.

[foscilis]

"Συναίνεση" υπάρχει όταν ο χρήστης έχει ειδοποιηθεί 100% για α) την επεξεργασία που θα γίνει (ηθελημένα ή άθελα από συνδυασμό Φόρουμ-Facebook-Google-epsychology αυτοαποκαλύψεις-ip) και β) αν ο χρήστης έχει ειδοποιηθεί 100% για το τι κινδυνεύει.

Αυτό ισχύει μόνο για τα δεδομένα ειδικών κατηγοριών του άρθρου 9 (ειδάλλως αρκεί μια γενική περιγραφή των χρήσεων που μπορούν να έχουν τα δεδομένα) και ΜΟΝΟ σε context συλλογής. Σου ζητάω τα δεδομένα για αυτόν κι εκείνο το λόγο και γίνεται αντιληπτό ότι αν δε στα ζήταγα δε θα μου τα έδινες. Το παράδειγμα γιατρού που σου ζητάει το ιστορικό σου για να σε παρακολουθεί και το σημειώνει στον υπολογιστή του όπου έχει φάκελο για σένα είναι νομίζω χαρακτηριστικό (αν και εδώ υπάρχει ούτως ή άλλως το απόρρητο), δε θα πήγαινες να πεις από μόνος σου "έχω AIDS" στα καλά καθούμενα και έχεις εύλογη απαίτηση να μην χρησιμοποιήσει αυτό το δεδομένο για άλλο λόγο.

Αν ο άλλος πάει στη φόρμα που λέει "γράψτε κάτι που θέλετε να πούμε στην εκπομπή μας" και βάλει το ονοματεπώνυμό του και ότι πιστεύει στον Γιαραμπή και σε παρακαλέσει να το πεις σε όσο το δυνατόν περισσότερους δε δημιουργείται καμία υποχρέωση γιατί αυτός ο ίδιος τα έχει κάνει δημόσια δεδομένα αντί προσωπικά.

[foscilis]

Γενικά το GDPR δε δημιουργεί σχεδόν καμία υποχρέωση για όλα αυτά τα πράγματα που να μην υπήρχε από πριν. Δεν ήταν νόμιμο να μαζεύεις προσωπικά δεδομένα για πλάκα και να τα επεξεργάζεσαι όπως γουστάρεις πριν το GDPR. Οι αλλαγές που εισάγει πάνω στο τι δεδομένα έχεις δικαίωμα να μαζεύεις και πώς μπορείς να τα χρησιμοποιείς είναι εντελώς επουσιώδεις (σημαντικές αλλαγές έχει μόνο στη σχετική χαρτούρα που πρέπει να κρατάς, κι αυτές κυρίως για μεγάλους οργανισμούς, αλλά δεν αλλάζει κατά θεμελιώδη τρόπο τι ήταν νόμιμο να συλλέγεις/επεξεργάζεσαι και τι όχι).

Οι βασικές διαφορές με πριν είναι:
1) η extra-territorial ισχύς
2) τα πολύ μεγαλύτερα πρόστιμα

[Πάνας]

Τιποτα δεν απαγορευεται εφοσον ειναι με ρητη συναινεση. Αν ο αλλος θελει να ποσταρει πού ψελνει δε θα τον εμποδισεις επειδη GDPR.

Απο την αλλη αν το αναλογιο ή καποιος επισκεπτης παρει αυτες τις πληροφοριες χωρις εγκριση και τις χρησιμοποιησει πχ για να φτιαξει διαδραστικο χαρτη πυκνοτητας ψαλτων που τους αρεσει το παστελι, τοτε αυτος ειναι παρανομος.

Ακριβώς, το φόρουμ δεν έχει καμία δουλειά. Δημιουργείται όμως όταν ο χρήστης ζητήσει την διαγραφή όλων αυτών που έχει αναρτήσει και περιέχουν προσωπικά δεδομένα.

Κοίτα σε αυτό που κάνεις quote υπεραπλουστεύω (αν και δεν αλλάζει η ουσία):

SpoilerShow

Λέω "συναίνεση" αλλά εννοώ "ελεύθερη βούληση". Η διαφορά είναι λεπτή αλλά σημαντική. Το πρώτο είναι η περίπτωση που το φόρουμ σου ζητάει να δώσεις κάποια δεδομένα και να συναινέσεις στη χρήση τους για αυτόν και αυτόν τον σκοπό. Είναι μία από τις νόμιμες βάσεις συλλογής προσωπικών δεδομένων σύμφωνα με τον GDPR (υπάρχουν κι άλλες όπως π.χ. το έννομο συμφέρον[1] ή η συμβατική υποχρέωση[2]) και οι πιο πολλοί την προτιμούν γιατί όπως είπα μπορείς να συναινέσεις στα πάντα. Είναι όμως όπως λες κι εσύ δίκοπο μαχαίρι γιατί δεδομένα που το υποκείμενο παραχωρεί με συναίνεση, θεμελιώνει και δικαίωμα διαγραφής τους.

Εγώ όμως αναφερόμουν σε εντελώς διαφορετική περίπτωση: που κάποιος, χωρίς να του έχει ζητηθεί ρητά, με την εντελώς ελεύθερη βούλησή του πάει και αναρτά προσωπικά του δεδομένα. Είτε "απλά" όπως το ονοματεπώνυμο είτε εξαιρετικά ευαίσθητα όπως οι θρησκευτικές πεποιθήσεις. Αυτά όμως ο GDPR λέει ότι αφού πας και τα δημοσιοποιείς μόνος σου, ε δεν είναι πια προσωπικά δεδομένα αλλά δημόσια. Δικαίωμα διαγραφής σε αυτήν την περίπτωση δεν υπάρχει, ή τουλάχιστον δε θεμελιώνεται στον GDPR (μπορεί να θεμελιώνεται σε άλλους νόμους, για παράδειγμα έχεις το copyright των δημοσιεύσεών σου και δικαιούσαι να απαιτήσεις να αποσυρθούν).

Σε κάθε περίπτωση είναι πολύ δύσκολο πληροφορίες που δίνει κάποιος σε δημόσιο φόρουμ χωρίς να είναι αναγκασμένος να το κάνει, να έχουν το ίδιο επίπεδο προστασίας με πληροφορίες που δίνει περιμένοντας εμπιστευτικότητα.

[1] παράδειγμα: το phorum διατηρεί logs που φαίνεται η IP που είναι προσωπικό δεδομένο κατά GDPR αλλά το κάνει για προφανείς λόγους ασφαλείας, παροχής πληροφοριών στις αρχές σε περίπτωση που κάποια ανάρτηση παραβιάζει το νόμο κλπ
[2] παράδειγμα: το phorum έχει το email σου που είναι προσωπικό δεδομένο αλλά είναι υποχρεωμένο να το έχει από τη μεταξύ σας "σύμβαση" για να σου παρέχει κάποιες υπηρεσίες όπως αλλαγή password.

Το γνωρίζω, εγώ λέω σε περίπτωση ανάρτησης φωτογραφίας ή κάποιου άλλου προσωπικού σου στοιχείου.

[Spiros252]

Αυτό μπορεί να διαγραφεί Πάνα δεν υπάρχει θέμα. Καλό είναι όμως να τηρούμε την ψευδωνυμοποίηση για πολλούς λόγους.

[NikosVy]

Συναίνεση ή Συγκατάθεση υπάρχει μόνο όταν το υποκείμενο της επεξεργασίας είναι 100% ενημερωμένο για τις συνέπειες.

Συγκατάθεση του υποκειµένου των δεδοµένων αποτελεί κάθε ελεύθερη, ρητή και ειδική δήλωση βουλήσεως που παρέχεται απ’ αυτό εγγράφως, εκφράζεται µε τρόπο σαφή και µε πλήρη επίγνωσή του, και µε την οποία το υποκείµενο των δεδοµένων, αφού προηγουµένως ενηµερωθεί, δέχεται να αποτελέσουν αντικείµενο επεξεργασίας τα δεδοµένα προσωπικού χαρακτήρα που το αφορούν. Η ενηµέρωση αυτή περιλαµβάνει πληροφόρηση τουλάχιστον για τον σκοπό της επεξεργασίας, τα δεδοµένα ή τις κατηγορίες δεδοµένων που αφορά η επεξεργασία, για τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδοµένων προσωπικού χαρακτήρα, καθώς και για το όνοµα, την επωνυµία και τη διεύθυνση του υπευθύνου επεξεργασίας και του τυχόν εκπροσώπου του…

[Spiros252]

Τί θα πει 100% ενημερωμένο για τις συνέπειες; Πρέπει να γράφουμε δηλαδή ότι μπορεί να τον βρει κάποιος και να τον πλακώσει στο ξύλο;

[foscilis]

Εφόσον πραγματοποιείται συλλογή και επεξεργασία δεδομένων κατά την έννοια του άρθρου 2δ και έχει επιλεγεί ως νόμιμη βάση η συναίνεση.

Π.χ. αν μια εταιρεία μου ζητάει ονοματεπώνυμο, φύλο και ηλικία προκειμένου να τα δώσει σε θυγατρική για να μου στέλνει διαφημιστικά (αν η εταιρεία είναι σπα και μου ζητάει τις ίδιες πληροφορίες για να έχω πρόσβαση στη σάουνα για γυναίκες 16-25 η βάση συλλογής δεν είναι η συναίνεση αλλά η συμβατική υποχρέωση)

Αν πάω και κολλήσω σε όλες τις κολώνες της ΔΕΗ αφίσες με τη φωτοτυπία της ταυτότητάς μου επειδή έτσι μου κάπνισε, δεν δημιουργείται με μαγικό τρόπο υποχρέωση της ΔΕΗ να με ενημερώσει για τις συνέπειες (ή να ασχοληθεί με τις αφίσες ή να με ενημερώσει ποιοι τις είδανε). Δεν υποχρεούται ο DPO της να προσθέσει στην πολιτική προσωπικών δεδομένων που περιέχονται σε περιουσιακά στοιχεία της ΔΕΗ ενότητα για μαλάκες που κολλάνε φωτοτυπίες με την ταυτότητά τους στις κολώνες.

Επίσης σύμφωνα με αυτό που παραθέτεις η ενημέρωση αρκεί να είναι γενικής φύσεως: "θα τα χρησιμοποιήσουμε για διαφημιστικούς σκοπούς". Μόνο για ειδικά δεδομένα του άρθρου 9 πρέπει να είναι απόλυτα λεπτομερής η περιγραφή ("θα χρησιμοποιήσω τα αποτελέσματα των εξετάσεων που έκανες για να βγάλω διάγνωση και θα τα δει η ιατρική μου ομάδα, δεσμευόμενη από το απόρρητο").