Γενικός Κανονισμός για την Προστασία Δεδομένων Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ - Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) στον GDPR Ποιος είναι ο Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer) Ποιοι οργανισμοί υποχρεούνται να ορίζουν Υπεύθυνο Προστασίας Δεδομένων; Αν μια επιχείρηση δεν υπάγεται στις περιπτώσεις υποχρεωτικού ορισμού DPO, μπορεί να ορίσειΠού θα πρέπει να είναι εγκατεστημένος ο DPOΠοια είναι η σχέση εργασίας που συνδέει DPO και επιχείρηση Τι προβλέπει ο ελληνικός Νόμος για την εφαρμογή του GDPR σχετικά με τον Υπεύθυνο Προστασίας Δεδομένων Ποια είναι τα καθήκοντα του Yπευθύνου Προστασίας Δεδομένων Η υποχρέωση εχεμύθειας του ΥΠΔΗ παρακολούθηση συμμόρφωσης από τον ΥΠΔ Τι προσόντα πρέπει να έχει ο Yπεύθυνος Προστασίας Δεδομένων; Ποια είναι η διαδικασία ορισμού του Yπευθύνου Προστασίας Δεδομένων; - Οδηγία 95/46/ΕΚ, που είχε ενσωματωθεί στην Ελληνική Νομοθεσία με το Ν. 2472/1997

Γενικός Κανονισμός για την Προστασία Δεδομένων

Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ...

Προοίμιο - Γενικός Κανονισμός για την Προστασία Δεδομένων

ΚΕΦΑΛΑΙΟ I ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 1 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Αντικείμενο και στόχοι

Άρθρο 2 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Ουσιαστικό πεδίο εφαρμογής

Άρθρο 3 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εδαφικό πεδίο εφαρμογής

Άρθρο 4 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Ορισμοί

ΚΕΦΑΛΑΙΟ II Αρχές

Άρθρο 5 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα

Άρθρο 6 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Νομιμότητα της επεξεργασίας

Άρθρο 7 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Προϋποθέσεις για συγκατάθεση

Άρθρο 8 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Προϋποθέσεις που ισχύουν για τη συγκατάθεση παιδιού σε σχέση με τις υπηρεσίες της κοινωνίας των πληροφοριών

Άρθρο 9 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

Άρθρο 10 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα

Άρθρο 11 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Επεξεργασία η οποία δεν απαιτεί εξακρίβωση ταυτότητας

ΚΕΦΑΛΑΙΟ III Δικαιώματά του υποκειμένου των δεδομένων
Τμήμα 1 Διαφάνεια και ρυθμίσεις

Άρθρο 12 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Διαφανής ενημέρωση, ανακοίνωση και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων

Τμήμα 2 Ενημέρωση και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα

Άρθρο 13 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων

Άρθρο 14 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων

Άρθρο 15 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων

Τμήμα 3 Διόρθωση και διαγραφή

Άρθρο 16 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Δικαίωμα διόρθωσης

Άρθρο 17 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)

Άρθρο 18 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Δικαίωμα περιορισμού της επεξεργασίας

Άρθρο 19 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Υποχρέωση γνωστοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας

Άρθρο 20 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Δικαίωμα στη φορητότητα των δεδομένων

Τμήμα 4 Δικαίωμα εναντίωσης και αυτοματοποιημένη ατομική λήψη αποφάσεων

Άρθρο 21 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Δικαίωμα εναντίωσης

Άρθρο 22 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ

Τμήμα 5 Περιορισμοί

Άρθρο 23 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Περιορισμοί

ΚΕΦΑΛΑΙΟ IV Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία
Τμήμα 1 Γενικές υποχρεώσεις

Άρθρο 24 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Ευθύνη του υπευθύνου επεξεργασίας

Άρθρο 25 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού

Άρθρο 26 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Από κοινού υπεύθυνοι επεξεργασίας

Άρθρο 27 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εκπρόσωποι υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μη εγκατεστημένων στην Ένωση

Άρθρο 28 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εκτελών την επεξεργασία

Άρθρο 29 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Επεξεργασία υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία

Άρθρο 30 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Αρχεία των δραστηριοτήτων επεξεργασίας

Άρθρο 31 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Συνεργασία με την εποπτική αρχή

Τμήμα 2 Ασφάλεια δεδομένων προσωπικού χαρακτήρα

Άρθρο 32 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Ασφάλεια επεξεργασίας

Άρθρο 33 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή

Άρθρο 34 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων

Τμήμα 3 Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων και προηγούμενη διαβούλευση

Άρθρο 35 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων

Άρθρο 36 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Προηγούμενη διαβούλευση

Τμήμα 4 Υπεύθυνος προστασίας δεδομένων

Άρθρο 37 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Ορισμός του υπευθύνου προστασίας δεδομένων

Άρθρο 38 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Θέση του υπευθύνου προστασίας δεδομένων

Άρθρο 39 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Καθήκοντα του υπευθύνου προστασίας δεδομένων

Τμήμα 5 Κώδικες δεοντολογίας και πιστοποίηση

Άρθρο 40 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Κώδικες δεοντολογίας

Άρθρο 41 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Παρακολούθηση των εγκεκριμένων κωδίκων δεοντολογίας

Άρθρο 42 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Πιστοποίηση

Άρθρο 43 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Φορείς πιστοποίησης

ΚΕΦΑΛΑΙΟ V Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς

Άρθρο 44 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Γενικές αρχές για διαβιβάσεις

Άρθρο 45 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Διαβιβάσεις βάσει απόφαση επάρκειας

Άρθρο 46 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις

Άρθρο 47 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Δεσμευτικοί εταιρικοί κανόνες

Άρθρο 48 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Διαβιβάσεις ή κοινοποιήσεις που δεν επιτρέπονται από το δίκαιο της Ένωσης

Άρθρο 49 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Παρεκκλίσεις για ειδικές καταστάσεις

Άρθρο 50 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Διεθνής συνεργασία για την προστασία δεδομένων προσωπικού χαρακτήρα

ΚΕΦΑΛΑΙΟ VI Ανεξάρτητες εποπτικές αρχές
Τμήμα 1 Ανεξάρτητο καθεστώς

Άρθρο 51 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εποπτική αρχή

Άρθρο 52 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Ανεξαρτησία

Άρθρο 53 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Γενικές προϋποθέσεις για τα μέλη της εποπτικής αρχής

Άρθρο 54 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Κανόνες για τη σύσταση της εποπτικής αρχής

Τμήμα 2 Αρμοδιότητα, καθήκοντα και εξουσίες

Άρθρο 55 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Αρμοδιότητα

Άρθρο 56 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Αρμοδιότητα της επικεφαλής εποπτικής αρχής

Άρθρο 57 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Καθήκοντα

Άρθρο 58 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εξουσίες

Άρθρο 59 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εκθέσεις δραστηριοτήτων

ΚΕΦΑΛΑΙΟ VII Συνεργασία και συνεκτικότητα
Τμήμα 1 Συνεργασία

Άρθρο 60 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Συνεργασία μεταξύ της επικεφαλής εποπτικής αρχής και των άλλων ενδιαφερόμενων εποπτικών αρχών

Άρθρο 61 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Αμοιβαία συνδρομή

Άρθρο 62 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Κοινές επιχειρήσεις αρχών ελέγχου

Τμήμα 2 Συνεκτικότητα

Άρθρο 63 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Μηχανισμός συνεκτικότητας

Άρθρο 64 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Γνώμη του Συμβουλίου

Άρθρο 65 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Επίλυση διαφορών από το Συμβούλιο Προστασίας Δεδομένων

Άρθρο 66 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Επείγουσα διαδικασία

Άρθρο 67 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Ανταλλαγή πληροφοριών

Τμήμα 3 Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων

Άρθρο 68 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων

Άρθρο 69 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Ανεξαρτησία

Άρθρο 70 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Καθήκοντα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων

Άρθρο 71 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εκθέσεις

Άρθρο 72 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Διαδικασία

Άρθρο 73 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Πρόεδρος

Άρθρο 74 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Καθήκοντα του Προέδρου

Άρθρο 75 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Γραμματεία

Άρθρο 76 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εμπιστευτικότητα

ΚΕΦΑΛΑΙΟ VIII Προσφυγές, ευθύνη και κυρώσεις

Άρθρο 77 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή

Άρθρο 78 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Δικαίωμα πραγματικής δικαστικής προσφυγής κατά αρχής ελέγχου

Άρθρο 79 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Δικαίωμα πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία

Άρθρο 80 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εκπροσώπηση υποκειμένων των δεδομένων

Άρθρο 81 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Αναστολή των διαδικασιών

Άρθρο 82 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Δικαίωμα αποζημίωσης και ευθύνη

Άρθρο 83 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Γενικοί όροι επιβολής διοικητικών προστίμων

Άρθρο 84 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Κυρώσεις

ΚΕΦΑΛΑΙΟ IX Διατάξεις που αφορούν ειδικές περιπτώσεις επεξεργασίας

Άρθρο 85 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης

Άρθρο 86 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Επεξεργασία και πρόσβαση του κοινού σε επίσημα έγγραφα

Άρθρο 87 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Επεξεργασία του εθνικού αριθμού ταυτότητας

Άρθρο 88 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Επεξεργασία στο πλαίσιο της απασχόλησης

Άρθρο 89 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Διασφαλίσεις και παρεκκλίσεις σχετικά με την επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς

Άρθρο 90 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Υποχρεώσεις τήρησης απορρήτου

Άρθρο 91 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Υφιστάμενοι κανόνες προστασίας των δεδομένων εκκλησιών και θρησκευτικών ενώσεων

ΚΕΦΑΛΑΙΟ X Κατ' εξουσιοδότηση πράξεις και εκτελεστικές πράξεις

Άρθρο 92 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Άσκηση της εξουσιοδότησης

Άρθρο 93 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Διαδικασία επιτροπής

ΚΕΦΑΛΑΙΟ XI Τελικές διατάξεις

Άρθρο 94 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Κατάργηση της οδηγίας 95/46/ΕΚ

Άρθρο 95 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Σχέση με την οδηγία 2002/58/ΕΚ

Άρθρο 96 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Σχέση με συμφωνίες που έχουν συναφθεί παλαιότερα

Άρθρο 97 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εκθέσεις της Επιτροπής

Άρθρο 98 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Επισκόπηση άλλων νομικών πράξεων της Ένωσης για την προστασία των δεδομένων

Άρθρο 99 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Έναρξη ισχύος και εφαρμογή

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.
Βρυξέλλες, 27 Απριλίου 2016

 

Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) στον GDPR


Ο νέος Κανονισμός της Ευρωπαϊκής Ένωσης για την Γενική Προστασία Δεδομένων (General Data Protection Regulation) αποτελεί τη μεγαλύτερη αλλαγή στην νομοθεσία περί προστασίας των δεδομένων τα τελευταία σχεδόν 20 χρόνια. Επιβάλλει ένα ενιαίο νομοθετικό πλαίσιο για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης και αντικαθιστά την Οδηγία 95/46/ΕΚ, που είχε ενσωματωθεί στην Ελληνική Νομοθεσία με το Ν. 2472/1997.

Με τον Γενικό Κανονισμό...
επιχειρείται η συνολική αναβάθμιση του πλαισίου προστασίας προσωπικών δεδομένων, προκειμένου να εξασφαλιστεί τόσο η ουσιαστική προστασία των ατόμων σε ένα διαρκώς μεταβαλλόμενο τεχνολογικό περιβάλλον, όσο και η ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα. Για να επιτύχει τους σκοπούς αυτούς εισάγει μία σειρά από καινοτόμες διατάξεις, μεταξύ των οποίων και ο θεσμός του Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer ή DPO).

Ο Υπεύθυνος Προστασίας Δεδομένων έχει ήδη αποτελέσει αντικείμενο μελέτης και συζητήσεων, καθώς αποτελεί ένα ρόλο-κλειδί στο νέο πλαίσιο προστασίας δεδομένων. Στο παρόν κείμενο θα επιχειρηθεί η παρουσίαση και σύντομη ανάλυση των χαρακτηριστικών του Υπευθύνου Προστασίας Δεδομένων μέσα από ερωταπαντήσεις.

Ποιος είναι ο Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer);

Ο Data Protection Officer (DPO) αποτελεί ανεξάρτητο ειδικό στο χώρο των προσωπικών δεδομένων, με αποδεδειγμένη γνώση και εμπειρία στη νομοθεσία και πρακτική εφαρμογή των Προσωπικών Δεδομένων, ο οποίος θα έχει εχέγγυα ανεξαρτησίας και θα αναφέρεται απευθείας στον CEO ή σε μέλος του Δ.Σ μιας εταιρίας. Προβλέπεται από τον Γενικό Κανονισμό Προσωπικών Δεδομένων στα άρθρα 37-39, καθώς και στα άρθρα 32-34 της Οδηγίας 2016/680. Στις 16 Δεκεμβρίου 2016 η Ομάδα Εργασίας του άρθρου 29 (Article 29 Working Party) η οποία αποτελεί την εποπτεύουσα αρχή των εθνικών Αρχών Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και Συμβουλευτικό Όργανο της Ευρωπαϊκής Επιτροπής εξέδωσε διευκρινιστικές οδηγίες σχετικά με τον ρόλο και την ευθύνη του νέου θεσμού.
Στην προγενέστερη ελληνική νομοθεσία, συναφείς θεσμούς συναντάμε αναφορικά με τον κλάδο των παρόχων δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών. Ειδικότερα, στον Ν. 3674/2008 και τον Κανονισμό για τη Διασφάλιση του Απορρήτου των Ηλεκτρονικών Επικοινωνιών (ΥΑ αποφ. 165/2011/ΦΕΚ 2715/Β/17.11.2011) , θεσπίζεται υποχρέωση ορισμού Υπευθύνου Διασφάλισης του Απορρήτου των Επικοινωνιών με ενδεικτικές αρμοδιότητες την εξέταση συστημάτων διασφάλισης απορρήτου, την καταγραφή και αξιολόγηση κινδύνων σχετιζόμενων με την αξιοπιστία του εξοπλισμού και μέτρα αποφυγής των κινδύνων αυτών, ενώ στον Ν. 3917/2011 θεσπίζεται υποχρέωση ορισμού Υπευθύνου Ασφάλειας Δεδομένων για την διατήρηση δεδομένων προκειμένου αυτά να καθίστανται διαθέσιμα στις αρμόδιες αρχές για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων. Σημειωτέον ότι και στις δυο περιπτώσεις, τα διορισμένα πρόσωπα αποτελούν εξουσιοδοτημένα στελέχη - εργαζόμενοι της επιχείρησης.


Ποιοι οργανισμοί υποχρεούνται να ορίζουν Υπεύθυνο Προστασίας Δεδομένων;

Σύμφωνα με το άρθρο 37 παρ. 1 του ΓΚΠΔ, υποχρέωση ορισμού DPO έχουν:
α) οι δημόσιες αρχές ή φορείς, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
β) οι επιχειρήσεις των οποίων οι βασικές δραστηριότητες συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα.
γ) οι επιχειρήσεις των οποίων οι βασικές δραστηριότητες συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως δεδομένων που αφορούν την θρησκεία, πολιτικές πεποιθήσεις, σεξουαλικό προσανατολισμό, συμμετοχή σε συνδικαλιστικές οργανώσεις αλλά και γενετικών δεδομένων ή υλικό όπως βιομετρικά στοιχεία, καθώς και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα.
Ως «βασικές δραστηριότητες» νοούνται οι ενέργειες εκείνες που συνδέονται με επεξεργασία δεδομένων και αποτελούν αναπόσπαστο κομμάτι για την ολοκλήρωση του παρεχόμενου έργου από την επιχείρηση. Παραδείγματα : η επεξεργασία φακέλων ασθενών κατά την νοσηλεία τους σε νοσοκομείο, η επεξεργασία δεδομένων εργαζομένων όταν η καταβολή της μισθοδοσίας τους έχει ανατεθεί σε εξωτερικό συνεργάτη, η επεξεργασία δεδομένων κατά την παρακολούθηση χώρου όταν η φύλαξη και προστασία αυτού έχει ανατεθεί σε τρίτη εταιρεία παροχής υπηρεσιών ασφάλειας.
Η «επεξεργασία σε μεγάλη κλίμακα» παραμένει ασαφής και μάλλον αόριστη στα πλαίσια του ΓΚΠΔ . Ενδεικτικά, προτείνεται η εξέταση του αριθμού των εμπλεκόμενων υποκειμένων, των οποίων τα δεδομένα υπόκεινται σε επεξεργασία, του όγκου των δεδομένων, της διάρκειας της επεξεργασίας και της γεωγραφικής έκτασης της δραστηριότητας επεξεργασίας. Παραδείγματα: η επεξεργασία δεδομένων ασθενών κατά τη λειτουργία νοσοκομείου, η επεξεργασία δεδομένων σχετικών με την μετακίνηση φυσικών προσώπων με δημόσια μέσα συγκοινωνιών εντός της πόλης μέσω χρήσης καρτών πολλαπλών διαδρομών, η δυνατότητα εντοπισμού σε πραγματικό χρόνο της γεωγραφικής θέσης πελάτη εκ μέρους διαδικτυακής σελίδας ταχυφαγείων προκειμένου να προταθούν και να παρασχεθούν υπηρεσίες delivery, η επεξεργασία δεδομένων πελατών από τράπεζες και ασφαλιστικές επιχειρήσεις, καθώς και από παρόχους υπηρεσιών τηλεφωνίας ή διαδικτύου. Όταν η επεξεργασία γίνεται από ιδιώτη (πχ γιατρό, δικηγόρο) δεν μπορεί να γίνει λόγος για μεγάλης κλίμακας επεξεργασία.
Στην έννοια, τέλος, της «τακτικής και συστηματικής παρακολούθησης» περιλαμβάνονται όλες οι μορφές παρακολούθησης και διαμόρφωσης «προφίλ» στο διαδίκτυο, μεταξύ άλλων, και για σκοπούς συμπεριφορικής διαφήμισης. Παραδείγματα: λειτουργία δικτύου τηλεπικοινωνιών, παροχή υπηρεσιών τηλεπικοινωνιών, καθορισμός του προφίλ του υποκειμένου με βάση συγκεκριμένα προσωπικά δεδομένα που αφορούν την καταναλωτική του ταυτότητα, τις προτιμήσεις του, επισκεψιμότητα σε συγκεκριμένα καταστήματα, παρακολούθηση δεδομένων σχετικά με την ευεξία, τη φυσική κατάσταση και την υγεία μέσω φορέσιμων συσκευών (πχ ρολόι), η τηλεόραση κλειστού κυκλώματος, συνδεδεμένες συσκευές, π.χ. έξυπνες συσκευές μέτρησης, έξυπνα αυτοκίνητα, οικιακός αυτοματισμός.
Συγκεντρωτικά, οι δραστηριότητες που φαίνεται ότι θα κληθούν άμεσα να συμμορφωθούν στον ΓΚΠΔ και θα επηρεαστούν σε μεγαλύτερο βαθμό λόγω της φύσης τους αποτελούν οι:
  • Υπηρεσίες Υγείας
  • Χρηματοοικονομικές Υπηρεσίες
  • Υπηρεσίες Ανθρώπινου Δυναμικού
  • Υπηρεσίες Φιλοξενίας και Μετακινήσεων
  • Υπηρεσίες Διαδικτυακών/Προσωποποιημένων Πωλήσεων
  • Παροχή Τηλεπικοινωνιακών Υπηρεσιών
  • Παροχή Υπηρεσιών Ενέργειας, καθώς και
  • Ο Κρατικός Τομέας
Αν μια επιχείρηση δεν υπάγεται στις περιπτώσεις υποχρεωτικού ορισμού DPO, μπορεί να ορίσει;
Ναι και μάλιστα ενθαρρύνεται ο εθελοντικός ορισμός DPO. Στην περίπτωση αυτή θα ισχύουν οι ίδιες απαιτήσεις ως εάν ο ορισμός να ήταν υποχρεωτικός.
Μπορούν οι οργανισμοί να ορίζουν από κοινού DPO; (Άρθρο 37 παράγραφοι 2 και 3 του ΓΚΠΔ)
Ναι, στην περίπτωση που υπάρχει α) όμιλος επιχειρήσεων ή β) περισσότερες δημόσιες αρχές ή φορείς. Απαραίτητο είναι όμως σε αυτή την περίπτωση να διαφυλάσσονται τα εχέγγυα πρόσβασης του DPO στις επιμέρους επιχειρήσεις / αρχές ή φορείς, να παραμένουν διαθέσιμα τα στοιχεία επικοινωνίας του και να διασφαλίζεται ότι ένας μόνο DPO, συνεπικουρούμενος από ομάδα, εφόσον απαιτείται, δύναται να επιτελεί αποτελεσματικά όλα τα καθήκοντα παρά το γεγονός ότι έχει οριστεί για όλον τον όμιλο επιχειρήσεων / για περισσότερες δημόσιες αρχές και φορείς.
Πού θα πρέπει να είναι εγκατεστημένος ο DPO;
Συνίσταται ο DPO να είναι εγκατεστημένος εντός Ευρωπαϊκής Ένωσης, χωρίς να είναι απόλυτο κάτι τέτοιο.
Ποια είναι η σχέση εργασίας που συνδέει DPO και επιχείρηση; ( Άρθρο 37 παράγραφος 6 του ΓΚΠΔ)
Ο DPO μπορεί να είναι μέλος του προσωπικού της επιχείρησης ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών (εξωτερικός συνεργάτης). Αν ως εξωτερικός συνεργάτης DPO ορίζεται οργανισμός, προτείνεται η σύσταση ομάδας, με σαφή καταμερισμό εργασιών. Κάθε πρόσωπο δε, εντός του οργανισμού που ασκεί καθήκοντα DPO πρέπει να πληροί όλες τις απαιτήσεις του ΓΚΠΔ.

Τι προβλέπει ο ελληνικός Νόμος για την εφαρμογή του GDPR σχετικά με τον Υπεύθυνο Προστασίας Δεδομένων;


Στον ελληνικό νόμο, η διαβούλευση του οποίου ολοκληρώθηκε και αναμένεται να ψηφισθεί σύντομα από το Ελληνικό Κοινοβούλιο, ο θεσμός του DPO (υπεύθυνος προστασίας δεδομένων, στο εξής: ΥΠΔ) ρυθμίζεται στα άρθρα 14 (για τον ΓΚΠΔ) και 48 έως 50 για την Οδηγία 2016/680 . Ακολουθούνται οι απαιτήσεις του ΓΚΠΔ, με κεντρικά σημεία τα εξής:

  • Πέρα από τις περιπτώσεις του άρθρου 37 του ΓΚΠΔ, υποχρέωση ορισμού υπευθύνου προστασίας έχουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες επεξεργασία οι οποίοι εκτελούν πράξεις επεξεργασίας οι οποίες, σύμφωνα με τον κατάλογο που έχει καταρτίσει η Αρχή απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους.
  • Ο ορισμός υπευθύνου προστασίας δεδομένων γίνεται εγγράφως, ενώ κατά τον ορισμό προσδιορίζονται ειδικότερα ιδίως η θέση, τα καθήκοντα και ο τρόπος με τον οποίο θα τα ασκεί. Ο ορισμός γίνεται για ορισμένο χρονικό διάστημα , εκτός αν συντρέχει σοβαρός λόγος, και μπορεί να να ανανεώνεται.
  • Υπάρχει υποχρέωση εχεμύθειας (βλ. αναλυτικά στο επόμενο ερώτημα)
  • H υποχρέωση ορισμού ΥΠΔ δεν περιλαμβάνει τα δικαστήρια και τις εισαγγελικές αρχές, όταν ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα.
  • Δίνεται δυνατότητα ορισμού ενός κοινού ΥΠΔ για περισσότερες της μιας αρμόδιες αρχές, ανάλογα με την οργανωτική δομή και το μέγεθός τους (Οδηγία 2016/680).
  • Ο ορισμός ΥΠΔ, γίνεται με βάση τα επαγγελματικά προσόντα και την εμπειρογνωσία, κατά τα οριζόμενα στον ΓΚΠΔ. Ο ορισμός γίνεται εγγράφως, ενώ πρέπει να εξειδικεύονται η θέση, τα και ο τρόπος με τον οποίο θα τα ασκεί. Ο ορισμός γίνεται για ορισμένο χρονικό διάστημα, εκτός αν συντρέχει σοβαρός λόγος για την ανάκληση του ορισμού ή για την παύση του ΥΠΔ, ενώ μπορεί να ανανεώνεται. Μετά τον ορισμό υπάρχει υποχρέωση κοινοποίησης του ονόματος και της ιδιότητας του ΥΠΔ στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Οδηγία 2016/680).
  • Στα καθήκοντά του ΥΠΔ ( Οδηγία 2016/680) προβλέπονται κατ΄ ελάχιστο ο ενημερωτικός και συμβουλευτικός χαρακτήρας για την εφαρμογή του ΓΚΠΔ, η παρακολούθηση της συμμόρφωσης με τον ΓΚΠΔ και την εθνική νομοθεσία σχετικά με την προστασία των δεδομένων ων προσωπικού χαρακτήρα, η κατάρτιση του προσωπικού της επιχείρησης αναφορικά με τα ζητήματα αυτά, καθώς και η συνεργασία με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

    Ποια είναι τα καθήκοντα του Yπευθύνου Προστασίας Δεδομένων;

    Αρχικά ο ΥΠΔ ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους (βλ. άρθρο 39 παρ. 1 στοιχείο α). Συγκεκριμένα ο ΥΠΔ οφείλει να ενημερώσει τον υπεύθυνο επεξεργασίας ή εκτελούντα για της εξής υποχρεώσεις τους:
    Α) Τους κανόνες που διέπουν τις αρχές της συλλογής και επεξεργασίας, όπως την «αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας των δεδομένων», την αρχή του «περιορισμού του σκοπού», την αρχή της ελαχιστοποίησης των δεδομένων» την αρχή της «ακρίβειας» των δεδομένων, την αρχή του «περιορισμού της περιόδου αποθήκευσης των δεδομένων», την αρχή της «ακεραιότητας και εμπιστευτικότητας», την αρχή της «λογοδοσίας», καθώς και την ευθύνη του υπευθύνου επεξεργασίας να αποδείξει τη συμμόρφωσή του με τα ανωτέρω, όπως αυτά θεσπίζονται από το άρθρο 5 του Γ.Κ.Π.Δ. και το άρθρο 4 της Οδηγίας (ΕΕ) 2016/680.
    Β) Την νομιμότητα της επεξεργασίας. Συγκεκριμένα ο ΥΠΔ, οφείλει να ενημερώσει τον φορέα για τις περιοριστικά απαριθμούμενες περιστάσεις υπό τις οποίες επιτρέπεται η επεξεργασία των δεδομένων, όπως αυτές ορίζονται στο άρθρο 6 παρ. 1 του Γ.Κ.Π.Δ.
    Γ) Για το ποιες είναι οι προϋποθέσεις για τη νόμιμη συγκατάθεση του υποκειμένου των δεδομένων σύμφωνα με τα άρθρα 7 και 8 του ΓΚΠΔ. Συγκεκριμένα όταν η επεξεργασία βασίζεται στην συγκατάθεση ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδείξει ότι το υποκείμενο των δεδομένων είναι σύμφωνο με την αυτή επεξεργασία. Ιδιαίτερα, κρίνεται αναγκαίο να επισημανθεί ότι εάν η ως άνω συγκατάθεση παρέχεται με την μορφή γραπτής δήλωσης, η οποία αφορά και άλλα ζητήματα, το αυτό αίτημα συγκατάθεσης θα πρέπει να τίθεται με σαφώς διακριτό τρόπο από τα άλλα θέματα και με κατανοητό τρόπο και σαφή διατύπωση. Επιπλέον ο ΥΠΔ οφείλει να ενημερώσει για τις απαγορεύσεις επεξεργασίας ευαίσθητων δεδομένων, όπως και για τις περιπτώσεις που επιτρέπεται η εν λόγω επεξεργασία (βλ. άρθρο 9,10 ΓΠΔΚ και άρθρο 10 της Οδηγίας (ΕΕ) 2016/680).
    Δ) Υποχρέωση γνωστοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό επεξεργασίας, η οποία διενεργείται σύμφωνα με το άρθρο 16, 17 παρ.1 και 18 του ΓΚΠΔ, σε κάθε αποδέκτη που γνωστοποιήθηκαν τα ως άνω δεδομένα, εκτός αν κάτι τέτοιο αποδεικνύεται ανέφικτο.
    Ε) Για τις διατάξεις που ρυθμίζουν την έκταση και τις προϋποθέσεις ευθύνης του υπευθύνου επεξεργασίας, σύμφωνα με το άρθρο 24 και 25 του ΓΚΠΔ και το άρθρο 19 της Οδηγίας (ΕΕ) 2016/680, στα οποία ορίζεται ότι ο υπεύθυνος επεξεργασίας θα πρέπει να εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα (όπως λόγω χάριν η ψευδωνυμοποίηση, η δυνατότητα διασφάλισης του απορρήτου, η δυνατότητα αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση τεχνικού ή φυσικού συμβάντος), ώστε να διασφαλίζει εξ’ ορισμού ότι υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας και σύμφωνα πάντα με τις απαιτήσεις του κανονισμού. Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφαλείας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια κτλ.
    ΣΤ) Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην Αρχή και το Υποκείμενο των δεδομένων. Ο ΥΠΔ οφείλει να ενημερώσει ότι σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας πρέπει να γνωστοποιεί άμεσα, εντός 72 ωρών από τη στιγμή που αποκτά σχετική γνώση την Αρχή, εκτός αν η παραβίαση δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Αντίστοιχα ο ΥΠΔ οφείλει να ενημερώσει ότι όταν η παραβίαση ενδέχεται να θέσει σε υψηλό κίνδυνο δικαιώματα φυσικών προσώπων, ο υπεύθυνος επεξεργασίας πρέπει να ανακοινώσει την εν λόγω παραβίαση στο υποκείμενο, περιγράφοντας με σαφήνεια την φύση της παραβίασης.
    Ζ) Εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και διασυνοριακή μεταβίβαση δεδομένων. Όταν ένα είδος επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας θα πρέπει να προβεί πριν την διενέργεια της επεξεργασίας σε εκτίμηση των επιπτώσεων της εν λόγω πράξης, έχοντας ζητήσει την προηγούμενη γνώμη του ΥΠΔ (βλ. άρθρο 39 παρ. 1 γ του ΓΚΠΔ και άρθρο 34 στοιχείο γ της Οδηγίας (ΕΕ) 2016/680).
    Επιπλέον ο ΥΠΔ ενημερώνει τον οργανισμό ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς Τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνο εφόσον η Ευρωπαϊκή Επιτροπή έχει αποφασίσει ότι η Τρίτη χώρα προσφέρει τις αντίστοιχες εγγυήσεις της προστασίας των προσωπικών δεδομένων.
    Η υποχρέωση εχεμύθειας του ΥΠΔ
    Αυτονόητη προϋπόθεση άσκησης του επαγγέλματος του ΥΠΔ είναι η υποχρέωση εχεμύθειας των δεδομένων προσωπικού χαρακτήρα που έρχονται σε γνώση αυτού. Μάλιστα στο άρθρο 70 παρ. 5 του υπό διαβούλευση σχεδίου νόμου, ΥΠΔ που παραβιάζει την εν λόγω υποχρέωση με σκοπό να ωφεληθεί ο ίδιος ή τρίτος, ή για να βλάψει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ή το υποκείμενο των δεδομένων ή οποιονδήποτε τρίτο τιμωρείται με ποινή φυλάκισης τουλάχιστον ενός (1) έτους και χρηματική ποινή από δέκα χιλιάδες (10.000) ευρώ έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιμωρείται βαρύτερα από άλλες διατάξεις.
    Η παρακολούθηση συμμόρφωσης από τον ΥΠΔ
    Ο ΥΠΔ έχει ως καθήκον να παρακολουθεί τη συμμόρφωση με τον Γενικό Κανονισμό και την Οδηγία, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία των δεδομένων και τις πολιτικές που ακολουθούν ο υπεύθυνος ή ο εκτελών την επεξεργασία (βλ. άρθρα 39 παρ. 1 εδ. β’ του ΓΚΠΔ, 34 στοιχείο β’ της Οδηγίας (ΕΕ) 2016/680 και «τις Κατευθυντήριες Γραμμές» για τους ΥΠΔ της Ομάδας εργασίας του άρθρου 29.
    Στο σημείο βέβαια αυτό θα πρέπει να επισημανθεί ότι η Ομάδα Εργασίας του άρθρου 29 καθιστά σαφές ότι η παρακολούθηση συμμόρφωσης δεν σημαίνει ότι ο ΥΠΔ είναι προσωπικά υπεύθυνος όταν υπάρχει ένα περιστατικό μη συμμόρφωσης. Σύμφωνα με τον ΓΚΠΔ ο υπεύθυνος επεξεργασίας είναι ο υπεύθυνος να λάβει όλα τα απαραίτητα μέτρα ώστε να διασφαλίζει ότι η επεξεργασία διεξάγεται σύμφωνα με τον Κανονισμό.
    Η συμμόρφωση αφορά όχι μόνο τις υποχρεώσεις που προβλέπει το θεσμικό πλαίσιο, αλλά και την ικανοποίηση των δικαιωμάτων των υποκειμένων των δεδομένων. Ως εκ τούτου εάν το υποκείμενο ασκήσει ένα από τα δικαιώματα πρόσβασης, διαγραφής, διόρθωσης, φορητότητας, εναντίωσης κτλ και ο υπεύθυνος επεξεργασίας δεν το ικανοποιήσει, τότε το υποκείμενο μπορεί να προβεί σε καταγγελία στο ΥΠΔ, ζητώντας του να εξετάσει τη συμμόρφωση του υπευθύνου με τις διατάξεις. Ακολούθως ο ΥΠΔ μπορεί να εξετάσει για ποιους λόγους δεν ικανοποιήθηκε το δικαίωμα και αν η άρνηση εμπίπτει σε κάποια από τις εξαιρέσεις. Επίσης ο ΥΠΔ μπορεί να προβλέψει εάν το υποκείμενο των δεδομένων θα προσφύγει στην αρχή και να εισηγηθεί στον υπεύθυνο επεξεργασίας την επανεξέταση του εν λόγω αιτήματος.

    Τι προσόντα πρέπει να έχει ο Yπεύθυνος Προστασίας Δεδομένων;

    Ο DPO διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάση της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39. Κατά την αιτιολογική σκέψη 97 του ΓΚΠΔ, ο ΥΠΔ ορίζεται ως «ένα πρόσωπο με ειδικές γνώσεις στο δίκαιο και στις πρακτικές της προστασίας δεδομένων». Σύμφωνα δε, με τις «Κατευθυντήριες γραμμές για τους ΥΠΔ» της Ομάδας εργασίας του άρθρου 29, το επίπεδο εξειδίκευσης του ΥΠΔ δεν προσδιορίζεται αυστηρά, αλλά θα πρέπει να βρίσκεται σε αντιστοιχία με την πολυπλοκότητα και τον όγκο των δεδομένων που επεξεργάζεται κάθε φορά.
    Σύμφωνα με ανακοίνωση της Ελληνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) o ΓΚΠΔ δεν θέτει κάποια υποχρεωτική απαίτηση για πιστοποίηση του DPO, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση. Στην ίδια κατεύθυνση κινήθηκε και η Βελγική Αρχή με την οποία τονίστηκε ότι για τον διορισμό του DPO δεν απαιτείται από τον Κανονισμό κανένα δίπλωμα ή ειδική πιστοποίηση (υπ’ αριθ. 4/2017 Γνωμοδότηση, σημεία 43 και 44). Αντίθετα, η αντίστοιχη Γνωμοδότηση της Ισπανικής Αρχής θέσπισε γενικές κατευθυντήριες γραμμές σχετικά με το Σύστημα Πιστοποίησης Προσώπων με την ιδιότητα του DPO και την λειτουργία αυτού (υπ’ αριθ. 2017.10.07.2017-0207 Γνωμοδότηση).
    Ωστόσο, αν και στον ΓΚΠΔ δεν προσδιορίζονται τα ειδικά επαγγελματικά προσόντα που θα πρέπει να λαμβάνονται υπόψη κατά τον ορισμό του DPO, κρίνεται ότι τελευταίος πρέπει να διαθέτει τα εξής χαρακτηριστικά:
    1) εμπειρογνωσία στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, τόσο σε εθνικό όσο και ευρωπαϊκό επίπεδο
    2) να έχει άριστη γνώση του ΓΚΠΔ.
    3) Χρήσιμη θεωρείται δε η γνώση του τομέα δραστηριότητας καθώς και του οργανισμού του υπευθύνου επεξεργασίας στον οποίο θα απασχοληθεί.
    4) O DPO θα πρέπει να έχει καλή γνώση των πράξεων επεξεργασίας που διενεργούνται, καθώς και των συστημάτων πληροφορικής, και των αναγκών του υπευθύνου επεξεργασίας σε επίπεδο ασφάλειας και προστασίας των δεδομένων.
    5) Eιδικά στην περίπτωση δημόσιας αρχής ή δημόσιου φορέα, ο υπεύθυνος προστασίας δεδομένων θα πρέπει να έχει επιπλέον καλή γνώση των διοικητικών κανόνων και διαδικασιών του οργανισμού.
    Στο σημείο αυτό θα ήταν χρήσιμο να αναφέρουμε, ότι αν και η πιστοποίηση εμπειρίας δεν είναι τυπική προϋπόθεση κατά τον ΓΚΠΔ, όπως έχουμε ήδη τονίσει και ανωτέρω, κατά τον χρόνο σύνταξης των «Επαγγελματικών Προτύπων για τους ΥΠΔ των θεσμικών οργάνων και οργανισμών της Ε.Ε. που εργάζονται σύμφωνα με τον Κανονισμό (ΕΚ) 45/2001» (το 2010), η πιστοποίηση με την μεγαλύτερη ισχύ, κατά την κρίση των κοινοτικών ΥΠΔ είναι αυτή που παρείχε η Διεθνής Ένωση Επαγγελματιών Ιδιωτικότητας (International Association of privacy Professionals (IAPP). Επίσης στον ως άνω έγγραφο καθορισμού των επαγγελματικών προτύπων για τους κοινοτικούς ΥΠΔ, γίνεται αναφορά σε τριετή ή επταετή σχετική εμπειρία του ΥΠΔ, στην εφαρμογή διατάξεων προστασίας προσωπικών δεδομένων, κάτι το οποίο ίσως θα μπορούσε να λειτουργήσει αναλογικά στο μέλλον και στην εσωτερική έννομη τάξη.
    Σχετικά με τα εκπαιδευτικά προγράμματα και σεμινάρια που πραγματοποιούνται στην Ελλάδα, σχετικά με την πιστοποίηση επαγγελματικών προσόντων DPO και τον ρόλο του, η Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) εξέδωσε ανακοίνωση με την οποία επισημαίνεται ότι σήµερα κανένας φορέας στην Ελλάδα δεν έχει διαπιστευθεί για να πιστοποιεί τα επαγγελµατικά προσόντα/δεξιότητες ενός DPO. Αν και η ύλη των προσφερόμενων εκπαιδευτικών προγραμμάτων είναι συναφής µε τον ΓΚΠΔ και τη θέση του DPO, σε καμία περίπτωση δεν πρέπει να επικρατήσει η αντίληψη ότι οι προτεινόμενες πιστοποιήσεις DPO αποτελούν επίσημες ελληνικές πιστοποιήσεις και η συμμετοχή των ενδιαφερόμενων πρέπει να γίνεται με αποκλειστική δική τους ευθύνη, έχοντας υπόψιν ότι η ολοκλήρωση των συγκεκριμένων προγραμμάτων δεν αποτελεί στάδιο για την λήψη οποιασδήποτε πιστοποίησης στην ελληνική επικράτεια.

    Ποια είναι η διαδικασία ορισμού του Yπευθύνου Προστασίας Δεδομένων;

    Η διαδικασία ανάθεσης καθηκόντων εξειδικευμένου τύπου όπως αυτά ενός ΥΠΔ είναι διαφορετική στον δημόσιο και τον ιδιωτικό τομέα. Στον δημόσιο τομέα η διαδικασία θα πρέπει να εκκινήσει με την δημοσίευση μιας πρόσκλησης ενδιαφέροντος, η οποία θα πρέπει να αναρτηθεί στην επίσημη ιστοσελίδα του φορέα, καθώς και στο Πρόγραμμα «Διαύγεια» (Ν.3861/2010) και στην οποία θα πρέπει να διευκρινίζεται εάν ο ΥΠΔ θα είναι πλήρους ή μερικής απασχόλησης ως προς τα συγκεκριμένα καθήκοντά του για την προστασία δεδομένων. Στο σημείο αυτό θα πρέπει να επισημανθεί ότι η ως άνω πρόσκληση θα πρέπει να διευκρινίζει κατά πόσο ο ορισμός ΥΠΔ αφορά ανάθεση καθηκόντων σε ήδη υφιστάμενο μέλος του προσωπικού ή εάν απευθύνεται στην ελεύθερη αγορά. Στην συνέχεια ακολουθεί η αξιολόγηση των υποψηφίων όπου τα βασικά προσόντα θα κριθούν είναι η εμπειρογνωσία στον τομέα του δικαίου και των πρακτικών της προστασίας προσωπικών δεδομένων, καθώς και της ικανότητας να ασκεί τα καθήκοντα του άρθρου 39 του ΓΚΠΔ. Το κεντρικό ζητούμενο βέβαια είναι η ικανότητα του προσώπου να ασκεί τα εν λόγω καθήκοντα με ανεξαρτησία. Στο σημείο αυτό αξίζει να σημειωθεί ότι ο Κανονισμός δεν θέτει κάποια υποχρεωτική απαίτηση για πιστοποίηση του ΥΠΔ, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση (βλ. την υπ’ αριθμ. πρωτ. Γ/ΕΞ/6007/09-08-2017 Ανακοίνωση και τη Γνωμοδότηση 7/2017 της Αρχής).
    Στη συνέχεια καταρτίζεται πίνακας υποψηφίων, ο οποίος θα πρέπει να είναι προσβάσιμος για τους ενδιαφερόμενους ώστε να διασφαλίζονται οι αρχές της διαφάνειας και της ίσης μεταχείρισης. Η πράξη ορισμού του ΥΠΔ πρέπει να λάβει τη μέγιστη δυνατή δημοσιότητα είτε πρόκειται για δημόσια υπηρεσία είτε για ιδιωτική επιχείρηση. Το ανθρώπινο δυναμικό πρέπει να ενημερωθεί άμεσα για την ταυτότητα του ΥΠΔ με σχετική ανακοίνωση. Ακολούθως και ο ίδιος ο ΥΠΔ οφείλει να προσχωρήσει στην ενημέρωση των υποκειμένων των δεδομένων, τόσο εντός όσο και εκτός της οντότητας (πχ πελάτες, γενικό κοινό κτλ). Όπως έχουμε ήδη αναφέρει και ανωτέρω η διαδικασία ορισμού ΥΠΔ στο σχέδιο του ελληνικού νόμου προβλέπεται στο άρθρο 14 παρ. 3.
    ΠΗΓΗ: https://www.lawspot.gr Επιμέλεια: Κωνσταντίνα Μαρκομιχάλη, Δικηγόρος - Μιράντα Γκανέτσου, Δικηγόρος

Σχόλια