https://www.lawspot.gr/gdpr/dpo?lspt_context=gdpr
Εισαγωγή
Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) διευκολύνει τη συμμόρφωση του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία με τις διατάξεις του ΓΚΠΔ και μεσολαβεί μεταξύ των διαφόρων ενδιαφερομένων (π.χ. εποπτικές αρχές, υποκείμενα των δεδομένων). Ο ρόλος του είναι συμβουλευτικός (όχι αποφασιστικός) και δε
φέρει προσωπική ευθύνη για τη μη συμμόρφωση με τον Κανονισμό. Υπεύθυνος να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον ΓΚΠΔ είναι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία. Προβλέπονται συγκεκριμένα καθήκοντα του DPO και αντίστοιχες υποχρεώσεις του εργοδότη του. Παράβαση των σχετικών με τον DPO διατάξεων επιφέρει κυρώσεις (βλ. άρθρα 37-38 και 83 σε συνδυασμό με αιτιολογική σκέψη 97 του ΓΚΠΔ).
Συχνές Ερωτήσεις
1. Ποιοι οργανισμοί πρέπει να ορίζουν DPO;
Ο ορισμός DPO είναι υποχρεωτικός όταν:
· Η επεξεργασία διενεργείται από δημόσια αρχή ή δημόσιο φορέα (συμπεριλαμβανομένων και φυσικών ή νομικών προσώπων δημοσίου ή ιδιωτικού δικαίου που ασκούν δημόσια εξουσία). Εξαιρούνται τα δικαστήρια όταν ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα.
· Απαιτείται τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα (π.χ. ασφαλιστικές ή τραπεζικές υπηρεσίες, υπηρεσίες τηλεφωνίας ή διαδικτύου, παροχή υπηρεσιών ασφαλείας, όλες οι μορφές παρακολούθησης και διαμόρφωσης «προφίλ» στο διαδίκτυο, όπως για σκοπούς συμπεριφορικής διαφήμισης).
· Διενεργείται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων (π.χ. στο πλαίσιο παροχής υπηρεσιών υγείας από νοσοκομεία) ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.
Για τον προσδιορισμό της μεγάλης κλίμακας επεξεργασίας πρέπει να λαμβάνονται υπόψη: α) ο αριθμός των εμπλεκομένων υποκειμένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του πληθυσμού, β) ο όγκος και το εύρος των δεδομένων, γ) η διάρκεια ή ο μόνιμος χαρακτήρας της επεξεργασίας, δ) η γεωγραφική έκταση της επεξεργασίας. Παραδείγματα που δεν συνιστούν επεξεργασία μεγάλης κλίμακας είναι, μεταξύ άλλων, η επεξεργασία δεδομένων ασθενών από ιδιώτη ιατρό και η επεξεργασία δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα από ιδιώτη δικηγόρο.
2. Δεν υποχρεούμαι, αλλά επιθυμώ να ορίσω DPO στην επιχείρησή μου. Τι ισχύει σε αυτή την περίπτωση;
Κάθε οργανισμός μπορεί να ορίσει DPO. Ακόμη και στις περιπτώσεις που ο ορισμός DPO δεν είναι υποχρεωτικός, ενθαρρύνονται τέτοιου είδους εθελοντικές ενέργειες. Όταν ένας οργανισμός ορίζει DPO σε εθελοντική βάση, σε σχέση με τον ορισμό, τη θέση και τα καθήκοντά του θα ισχύουν οι ίδιες απαιτήσεις ως εάν ο ορισμός να ήταν υποχρεωτικός (βλ. ερώτηση 5).
3. Μπορεί να οριστεί ένας DPO για περισσότερους φορείς ή οργανισμούς;
Ναι. Όμιλος επιχειρήσεων ή περισσότεροι δημόσιοι φορείς, λαμβάνοντας υπόψη το μέγεθος και την οργανωτική τους δομή, μπορούν να ορίσουν έναν μόνο DPO, υπό την προϋπόθεση να είναι διαθέσιμος και εύκολα προσβάσιμος σε κάθε εγκατάσταση ή φορέα είτε με φυσική παρουσία στις ίδιες εγκαταστάσεις με τους υπαλλήλους, είτε μέσω ανοικτής τηλεφωνικής γραμμής ή άλλου ασφαλούς μέσου επικοινωνίας και σε γλώσσα που χρησιμοποιούν οι ενδιαφερόμενες εποπτικές αρχές και τα οικεία υποκείμενα των δεδομένων.
4. Ποια είναι τα καθήκοντα του DPO;
Ο DPO προάγει την κουλτούρα της προστασίας προσωπικών δεδομένων εντός του οργανισμού ή φορέα. Τα ελάχιστα καθήκοντα του DPO είναι τα ακόλουθα:
· Να ενημερώνει και να συμβουλεύει τον οργανισμό και τους υπαλλήλους του σχετικά με τις υποχρεώσεις τους που απορρέουν από τον Κανονισμό και άλλες διατάξεις περί προστασίας δεδομένων.
· Να παρακολουθεί την εσωτερική συμμόρφωση με τον Κανονισμό και άλλες διατάξεις περί προστασίας δεδομένων (π.χ. προσδιορισμός και διαχείριση δραστηριοτήτων επεξεργασίας, εκπαίδευση προσωπικού, διενέργεια εσωτερικών ελέγχων).
· Να παρέχει συμβουλές για την εκτίμηση αντικτύπου και να παρακολουθεί την υλοποίησή της.
· Να είναι το πρώτο σημείο επαφής για τις εποπτικές αρχές και τα υποκείμενα των δεδομένων (εργαζόμενοι, πελάτες κ.λπ.).
· Να συνεργάζεται με την εποπτική αρχή.
5. Ποιες είναι οι υποχρεώσεις του εργοδότη ενός DPO;
Ο εργοδότης υποχρεούται να δημοσιεύσει τα στοιχεία επικοινωνίας του DPO και να τα ανακοινώσει στην εποπτική αρχή. Επίσης, οφείλει να διασφαλίζει ότι ο DPO:
· Συμμετέχει σε όλα τα ζητήματα σχετικά με την προστασία προσωπικών δεδομένων (π.χ. παρουσία σε συσκέψεις ανώτερων και μεσαίων στελεχών της διοίκησης και κατά τη λήψη αποφάσεων, καταγραφή λόγων διαφωνίας με τις συμβουλές του, έγκαιρη διαβίβαση πληροφοριών για παροχή γνώμης, άμεση λήψη γνώμης σε περίπτωση περιστατικού παραβίασης).
· Έχει ελεύθερη πρόσβαση σε δεδομένα και πράξεις επεξεργασίας
· Έχει στη διάθεσή του τους απαραίτητους πόρους για την εκπλήρωση των καθηκόντων του (π.χ. ενεργή στήριξη από τα ανώτερα διοικητικά στελέχη, οικονομικοί πόροι, υποδομές, συνεχής κατάρτιση).
· Εκπληρώνει τα καθήκοντά του με ανεξάρτητο τρόπο (δεν λαμβάνει εντολές για την άσκηση των καθηκόντων του) και δεν απολύεται ούτε υφίσταται κυρώσεις επειδή επιτέλεσε τα καθήκοντά του.
· Λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του εργοδότη.
· Όταν ασκεί πρόσθετα καθήκοντα, αυτά να μην συνεπάγονται σύγκρουση συμφερόντων (π.χ. δεν μπορεί να κατέχει θέση από την οποία μπορεί να καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας, όπως θέσεις ανώτερης διοίκησης).
· Δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του.
6. Ο DPO είναι υπάλληλος ή εξωτερικός συνεργάτης;
Είτε το ένα είτε το άλλο. Ο DPO μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία (εσωτερικός υπεύθυνος προστασίας δεδομένων) ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών (εξωτερικός συνεργάτης). Σε κάθε περίπτωση, μπορεί να συνεπικουρείται από ομάδα, εφόσον απαιτείται. Συνιστάται δε να είναι εγκατεστημένος εντός ΕΕ, ανεξάρτητα από το εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι ή όχι εγκατεστημένοι στην ΕΕ.
7. Τι επαγγελματικά προσόντα θα πρέπει να έχει ο DPO; Προβλέπεται σχετική πιστοποίηση;
Ο DPO διορίζεται ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων του. Το αναγκαίο επίπεδο εμπειρογνωσίας θα πρέπει να καθορίζεται ανάλογα με τις πράξεις επεξεργασίας δεδομένων που διενεργούνται και από την προστασία την οποία απαιτούν τα δεδομένα προσωπικού χαρακτήρα που υφίστανται επεξεργασία. Παράλληλα, ο DPΟ πρέπει να έχει γνώση του τομέα δραστηριότητας του οργανισμού ή φορέα στον οποίο απασχολείται αλλά και των τεχνολογιών πληροφορίας και ασφάλειας των δεδομένων.
Ο Κανονισμός δεν θέτει κάποια υποχρεωτική απαίτηση για πιστοποίηση του DPO, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση (βλ. την υπ’ αριθμ. πρωτ. Γ/ΕΞ/6007/09-08-2017 Ανακοίνωση και τη Γνωμοδότηση 7/2017 της Αρχής).
Για περισσότερες λεπτομέρειες και σχετικές διευκρινίσεις, βλ. Κατευθυντήριες γραμμές της ΟΕ του άρθρου 29 σχετικά με τους Υπεύθυνους Προστασίας Δεδομένων και Παράρτημα αυτών (στα αγγλικά).
++++++++++++++++++++++++++++++++++++++++++++++
Γενικός Κανονισμός για την Προστασία Δεδομένων
Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ...
Προοίμιο - Γενικός Κανονισμός για την Προστασία Δεδομένων
ΚΕΦΑΛΑΙΟ I ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 1 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Αντικείμενο και στόχοι
Άρθρο 2 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Ουσιαστικό πεδίο εφαρμογής
Άρθρο 3 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εδαφικό πεδίο εφαρμογής
Άρθρο 4 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Ορισμοί
ΚΕΦΑΛΑΙΟ II Αρχές
Άρθρο 6 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Νομιμότητα της επεξεργασίας
Άρθρο 7 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Προϋποθέσεις για συγκατάθεση
ΚΕΦΑΛΑΙΟ III Δικαιώματά του υποκειμένου των δεδομένων
Τμήμα 1
Διαφάνεια και ρυθμίσεις
Τμήμα 2 Ενημέρωση και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα
Τμήμα 3 Διόρθωση και διαγραφή
Άρθρο 16 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Δικαίωμα διόρθωσης
Άρθρο 17 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)
Άρθρο 18 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Δικαίωμα περιορισμού της επεξεργασίας
Άρθρο 20 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Δικαίωμα στη φορητότητα των δεδομένων
Τμήμα 4 Δικαίωμα εναντίωσης και αυτοματοποιημένη ατομική λήψη αποφάσεων
Άρθρο 21 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Δικαίωμα εναντίωσης
Τμήμα 5 Περιορισμοί
Άρθρο 23 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Περιορισμοί
ΚΕΦΑΛΑΙΟ IV Υπεύθυνος επεξεργασίας και εκτελών την
επεξεργασία
Τμήμα 1
Γενικές υποχρεώσεις
Άρθρο 24 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Ευθύνη του υπευθύνου επεξεργασίας
Άρθρο 26 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Από κοινού υπεύθυνοι επεξεργασίας
Άρθρο 28 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εκτελών την επεξεργασία
Άρθρο 30 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Αρχεία των δραστηριοτήτων επεξεργασίας
Άρθρο 31 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Συνεργασία με την εποπτική αρχή
Τμήμα 2 Ασφάλεια δεδομένων προσωπικού χαρακτήρα
Άρθρο 32 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Ασφάλεια επεξεργασίας
Τμήμα 3 Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων και προηγούμενη διαβούλευση
Άρθρο 36 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Προηγούμενη διαβούλευση
Τμήμα 4 Υπεύθυνος προστασίας δεδομένων
Άρθρο 38 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Θέση του υπευθύνου προστασίας δεδομένων
Τμήμα 5 Κώδικες δεοντολογίας και πιστοποίηση
Άρθρο 40 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Κώδικες δεοντολογίας
Άρθρο 42 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Πιστοποίηση
Άρθρο 43 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Φορείς πιστοποίησης
ΚΕΦΑΛΑΙΟ V Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς
Άρθρο 44 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Γενικές αρχές για διαβιβάσεις
Άρθρο 45 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Διαβιβάσεις βάσει απόφαση επάρκειας
Άρθρο 47 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Δεσμευτικοί εταιρικοί κανόνες
Άρθρο 49 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Παρεκκλίσεις για ειδικές καταστάσεις
ΚΕΦΑΛΑΙΟ VI Ανεξάρτητες εποπτικές αρχές
Τμήμα 1
Ανεξάρτητο καθεστώς
Άρθρο 51 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εποπτική αρχή
Άρθρο 52 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Ανεξαρτησία
Τμήμα 2 Αρμοδιότητα, καθήκοντα και εξουσίες
Άρθρο 55 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Αρμοδιότητα
Άρθρο 57 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Καθήκοντα
Άρθρο 58 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εξουσίες
Άρθρο 59 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εκθέσεις δραστηριοτήτων
ΚΕΦΑΛΑΙΟ VII Συνεργασία και συνεκτικότητα
Τμήμα 1
Συνεργασία
Άρθρο 61 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Αμοιβαία συνδρομή
Άρθρο 62 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Κοινές επιχειρήσεις αρχών ελέγχου
Τμήμα 2 Συνεκτικότητα
Άρθρο 63 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Μηχανισμός συνεκτικότητας
Άρθρο 64 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Γνώμη του Συμβουλίου
Άρθρο 66 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Επείγουσα διαδικασία
Άρθρο 67 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Ανταλλαγή πληροφοριών
Τμήμα 3 Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων
Άρθρο 68 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων
Άρθρο 69 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Ανεξαρτησία
Άρθρο 71 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εκθέσεις
Άρθρο 72 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Διαδικασία
Άρθρο 73 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Πρόεδρος
Άρθρο 74 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Καθήκοντα του Προέδρου
Άρθρο 75 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Γραμματεία
Άρθρο 76 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εμπιστευτικότητα
ΚΕΦΑΛΑΙΟ VIII Προσφυγές, ευθύνη και κυρώσεις
Άρθρο 80 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εκπροσώπηση υποκειμένων των δεδομένων
Άρθρο 81 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Αναστολή των διαδικασιών
Άρθρο 82 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Δικαίωμα αποζημίωσης και ευθύνη
Άρθρο 84 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Κυρώσεις
ΚΕΦΑΛΑΙΟ IX Διατάξεις που αφορούν ειδικές περιπτώσεις επεξεργασίας
Άρθρο 88 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Επεξεργασία στο πλαίσιο της απασχόλησης
Άρθρο 90 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Υποχρεώσεις τήρησης απορρήτου
ΚΕΦΑΛΑΙΟ X Κατ' εξουσιοδότηση πράξεις και εκτελεστικές πράξεις
Άρθρο 92 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Άσκηση της εξουσιοδότησης
Άρθρο 93 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Διαδικασία επιτροπής
ΚΕΦΑΛΑΙΟ XI Τελικές διατάξεις
Άρθρο 94 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Κατάργηση της οδηγίας 95/46/ΕΚ
Άρθρο 95 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Σχέση με την οδηγία 2002/58/ΕΚ
Άρθρο 97 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Εκθέσεις της Επιτροπής
Άρθρο 99 - Γενικός Κανονισμός για την Προστασία Δεδομένων - Έναρξη ισχύος και εφαρμογή
Ο παρών
κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε
κράτος μέλος.
Βρυξέλλες,
27 Απριλίου 2016
Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) στον GDPR
Ο νέος Κανονισμός της Ευρωπαϊκής Ένωσης για την Γενική Προστασία Δεδομένων (General Data Protection Regulation) αποτελεί τη μεγαλύτερη αλλαγή στην νομοθεσία περί προστασίας των δεδομένων τα τελευταία σχεδόν 20 χρόνια. Επιβάλλει ένα ενιαίο νομοθετικό πλαίσιο για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης και αντικαθιστά την Οδηγία 95/46/ΕΚ, που είχε ενσωματωθεί στην Ελληνική Νομοθεσία με το Ν. 2472/1997.
Με τον Γενικό Κανονισμό...
επιχειρείται η συνολική αναβάθμιση του πλαισίου προστασίας προσωπικών δεδομένων, προκειμένου να εξασφαλιστεί τόσο η ουσιαστική προστασία των ατόμων σε ένα διαρκώς μεταβαλλόμενο τεχνολογικό περιβάλλον, όσο και η ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα. Για να επιτύχει τους σκοπούς αυτούς εισάγει μία σειρά από καινοτόμες διατάξεις, μεταξύ των οποίων και ο θεσμός του Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer ή DPO).
Ο Υπεύθυνος Προστασίας Δεδομένων έχει ήδη αποτελέσει αντικείμενο μελέτης και συζητήσεων, καθώς αποτελεί ένα ρόλο-κλειδί στο νέο πλαίσιο προστασίας δεδομένων. Στο παρόν κείμενο θα επιχειρηθεί η παρουσίαση και σύντομη ανάλυση των χαρακτηριστικών του Υπευθύνου Προστασίας Δεδομένων μέσα από ερωταπαντήσεις.
Ποιος είναι ο Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer);
Ο Data Protection Officer (DPO)
αποτελεί ανεξάρτητο ειδικό στο χώρο των προσωπικών δεδομένων, με αποδεδειγμένη
γνώση και εμπειρία στη νομοθεσία και πρακτική εφαρμογή των Προσωπικών
Δεδομένων, ο οποίος θα έχει εχέγγυα ανεξαρτησίας και θα αναφέρεται απευθείας
στον CEO ή σε μέλος του Δ.Σ μιας εταιρίας. Προβλέπεται από τον Γενικό Κανονισμό Προσωπικών Δεδομένων
στα άρθρα 37-39, καθώς και στα άρθρα 32-34 της Οδηγίας 2016/680. Στις 16
Δεκεμβρίου 2016 η Ομάδα Εργασίας του άρθρου 29 (Article 29 Working Party) η
οποία αποτελεί την εποπτεύουσα αρχή των εθνικών Αρχών Προστασίας Δεδομένων
Προσωπικού Χαρακτήρα και Συμβουλευτικό Όργανο της Ευρωπαϊκής Επιτροπής εξέδωσε
διευκρινιστικές οδηγίες σχετικά με τον ρόλο και την ευθύνη του νέου θεσμού.
Στην
προγενέστερη ελληνική νομοθεσία, συναφείς θεσμούς συναντάμε αναφορικά με τον
κλάδο των παρόχων δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών.
Ειδικότερα, στον Ν. 3674/2008 και τον Κανονισμό για τη Διασφάλιση του Απορρήτου
των Ηλεκτρονικών Επικοινωνιών (ΥΑ αποφ. 165/2011/ΦΕΚ
2715/Β/17.11.2011) , θεσπίζεται υποχρέωση ορισμού Υπευθύνου Διασφάλισης του
Απορρήτου των Επικοινωνιών με ενδεικτικές αρμοδιότητες την εξέταση συστημάτων
διασφάλισης απορρήτου, την καταγραφή και αξιολόγηση κινδύνων σχετιζόμενων με
την αξιοπιστία του εξοπλισμού και μέτρα αποφυγής των κινδύνων αυτών, ενώ στον Ν. 3917/2011 θεσπίζεται
υποχρέωση ορισμού Υπευθύνου Ασφάλειας Δεδομένων για την διατήρηση δεδομένων
προκειμένου αυτά να καθίστανται διαθέσιμα στις αρμόδιες αρχές για τη διακρίβωση
ιδιαίτερα σοβαρών εγκλημάτων. Σημειωτέον ότι και στις δυο περιπτώσεις, τα
διορισμένα πρόσωπα αποτελούν εξουσιοδοτημένα στελέχη - εργαζόμενοι της
επιχείρησης.
Ποιοι οργανισμοί υποχρεούνται να ορίζουν Υπεύθυνο Προστασίας Δεδομένων;
Σύμφωνα με
το άρθρο 37 παρ. 1 του ΓΚΠΔ,
υποχρέωση ορισμού DPO έχουν:
α) οι δημόσιες
αρχές ή φορείς, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής
τους αρμοδιότητας,
β) οι
επιχειρήσεις των οποίων οι βασικές δραστηριότητες συνιστούν πράξεις
επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους,
απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε
μεγάλη κλίμακα.
γ) οι
επιχειρήσεις των οποίων οι βασικές δραστηριότητες συνιστούν μεγάλης κλίμακας
επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα ειδικών κατηγοριών
δεδομένων προσωπικού χαρακτήρα, όπως δεδομένων που αφορούν την θρησκεία,
πολιτικές πεποιθήσεις, σεξουαλικό προσανατολισμό, συμμετοχή σε συνδικαλιστικές
οργανώσεις αλλά και γενετικών δεδομένων ή υλικό όπως βιομετρικά στοιχεία, καθώς
και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα.
Ως «βασικές
δραστηριότητες» νοούνται οι ενέργειες εκείνες που συνδέονται με επεξεργασία
δεδομένων και αποτελούν αναπόσπαστο κομμάτι για την ολοκλήρωση του παρεχόμενου
έργου από την επιχείρηση. Παραδείγματα : η επεξεργασία φακέλων ασθενών κατά την
νοσηλεία τους σε νοσοκομείο, η επεξεργασία δεδομένων εργαζομένων όταν η
καταβολή της μισθοδοσίας τους έχει ανατεθεί σε εξωτερικό συνεργάτη, η
επεξεργασία δεδομένων κατά την παρακολούθηση χώρου όταν η φύλαξη και προστασία
αυτού έχει ανατεθεί σε τρίτη εταιρεία παροχής υπηρεσιών ασφάλειας.
Η «επεξεργασία
σε μεγάλη κλίμακα» παραμένει ασαφής και μάλλον αόριστη στα πλαίσια του ΓΚΠΔ
. Ενδεικτικά, προτείνεται η εξέταση του αριθμού των εμπλεκόμενων υποκειμένων,
των οποίων τα δεδομένα υπόκεινται σε επεξεργασία, του όγκου των δεδομένων, της
διάρκειας της επεξεργασίας και της γεωγραφικής έκτασης της δραστηριότητας
επεξεργασίας. Παραδείγματα: η επεξεργασία δεδομένων ασθενών κατά τη λειτουργία
νοσοκομείου, η επεξεργασία δεδομένων σχετικών με την μετακίνηση φυσικών
προσώπων με δημόσια μέσα συγκοινωνιών εντός της πόλης μέσω χρήσης καρτών
πολλαπλών διαδρομών, η δυνατότητα εντοπισμού σε πραγματικό χρόνο της
γεωγραφικής θέσης πελάτη εκ μέρους διαδικτυακής σελίδας ταχυφαγείων προκειμένου
να προταθούν και να παρασχεθούν υπηρεσίες delivery, η επεξεργασία δεδομένων
πελατών από τράπεζες και ασφαλιστικές επιχειρήσεις, καθώς και από παρόχους
υπηρεσιών τηλεφωνίας ή διαδικτύου. Όταν η επεξεργασία γίνεται από ιδιώτη (πχ
γιατρό, δικηγόρο) δεν μπορεί να γίνει λόγος για μεγάλης κλίμακας επεξεργασία.
Στην έννοια,
τέλος, της «τακτικής και συστηματικής παρακολούθησης» περιλαμβάνονται
όλες οι μορφές παρακολούθησης και διαμόρφωσης «προφίλ» στο διαδίκτυο, μεταξύ
άλλων, και για σκοπούς συμπεριφορικής διαφήμισης. Παραδείγματα: λειτουργία
δικτύου τηλεπικοινωνιών, παροχή υπηρεσιών τηλεπικοινωνιών, καθορισμός του
προφίλ του υποκειμένου με βάση συγκεκριμένα προσωπικά δεδομένα που αφορούν την
καταναλωτική του ταυτότητα, τις προτιμήσεις του, επισκεψιμότητα σε συγκεκριμένα
καταστήματα, παρακολούθηση δεδομένων σχετικά με την ευεξία, τη φυσική κατάσταση
και την υγεία μέσω φορέσιμων συσκευών (πχ ρολόι), η τηλεόραση κλειστού
κυκλώματος, συνδεδεμένες συσκευές, π.χ. έξυπνες συσκευές μέτρησης, έξυπνα
αυτοκίνητα, οικιακός αυτοματισμός.
Συγκεντρωτικά,
οι δραστηριότητες που φαίνεται ότι θα κληθούν άμεσα να συμμορφωθούν στον ΓΚΠΔ
και θα επηρεαστούν σε μεγαλύτερο βαθμό λόγω της φύσης τους αποτελούν οι:
- Υπηρεσίες Υγείας
- Χρηματοοικονομικές Υπηρεσίες
- Υπηρεσίες Ανθρώπινου Δυναμικού
- Υπηρεσίες Φιλοξενίας και Μετακινήσεων
- Υπηρεσίες Διαδικτυακών/Προσωποποιημένων Πωλήσεων
- Παροχή Τηλεπικοινωνιακών Υπηρεσιών
- Παροχή Υπηρεσιών Ενέργειας, καθώς και
- Ο Κρατικός Τομέας
Αν μια
επιχείρηση δεν υπάγεται στις περιπτώσεις υποχρεωτικού ορισμού DPO, μπορεί να ορίσει;
Ναι και
μάλιστα ενθαρρύνεται ο εθελοντικός ορισμός DPO. Στην περίπτωση αυτή θα ισχύουν
οι ίδιες απαιτήσεις ως εάν ο ορισμός να ήταν υποχρεωτικός.
Μπορούν οι
οργανισμοί να ορίζουν από κοινού DPO; (Άρθρο 37 παράγραφοι 2 και 3 του ΓΚΠΔ)
Ναι, στην
περίπτωση που υπάρχει α) όμιλος επιχειρήσεων ή β) περισσότερες δημόσιες αρχές ή
φορείς. Απαραίτητο είναι όμως σε αυτή την περίπτωση να διαφυλάσσονται τα
εχέγγυα πρόσβασης του DPO στις επιμέρους επιχειρήσεις / αρχές ή φορείς, να
παραμένουν διαθέσιμα τα στοιχεία επικοινωνίας του και να διασφαλίζεται ότι ένας
μόνο DPO, συνεπικουρούμενος από ομάδα, εφόσον απαιτείται, δύναται να επιτελεί
αποτελεσματικά όλα τα καθήκοντα παρά το γεγονός ότι έχει οριστεί για όλον τον
όμιλο επιχειρήσεων / για περισσότερες δημόσιες αρχές και φορείς.
Πού θα
πρέπει να είναι εγκατεστημένος ο DPO;
Συνίσταται ο
DPO να είναι εγκατεστημένος εντός Ευρωπαϊκής Ένωσης, χωρίς να είναι απόλυτο
κάτι τέτοιο.
Ποια είναι η
σχέση εργασίας που συνδέει DPO και επιχείρηση; ( Άρθρο 37 παράγραφος 6 του ΓΚΠΔ)
Ο DPO μπορεί
να είναι μέλος του προσωπικού της επιχείρησης ή να ασκεί τα καθήκοντά του βάσει
σύμβασης παροχής υπηρεσιών (εξωτερικός συνεργάτης). Αν ως εξωτερικός συνεργάτης
DPO ορίζεται οργανισμός, προτείνεται η σύσταση ομάδας, με σαφή καταμερισμό
εργασιών. Κάθε πρόσωπο δε, εντός του οργανισμού που ασκεί καθήκοντα DPO πρέπει
να πληροί όλες τις απαιτήσεις του ΓΚΠΔ.
Τι προβλέπει ο ελληνικός Νόμος για την εφαρμογή του GDPR σχετικά με τον Υπεύθυνο Προστασίας Δεδομένων;
Στον ελληνικό νόμο, η διαβούλευση του οποίου ολοκληρώθηκε και αναμένεται να ψηφισθεί σύντομα από το Ελληνικό Κοινοβούλιο, ο θεσμός του DPO (υπεύθυνος προστασίας δεδομένων, στο εξής: ΥΠΔ) ρυθμίζεται στα άρθρα 14 (για τον ΓΚΠΔ) και 48 έως 50 για την Οδηγία 2016/680 . Ακολουθούνται οι απαιτήσεις του ΓΚΠΔ, με κεντρικά σημεία τα εξής:
- Πέρα από τις περιπτώσεις του άρθρου 37 του ΓΚΠΔ, υποχρέωση ορισμού υπευθύνου προστασίας έχουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες επεξεργασία οι οποίοι εκτελούν πράξεις επεξεργασίας οι οποίες, σύμφωνα με τον κατάλογο που έχει καταρτίσει η Αρχή απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους.
- Ο ορισμός υπευθύνου προστασίας δεδομένων γίνεται εγγράφως, ενώ κατά τον ορισμό προσδιορίζονται ειδικότερα ιδίως η θέση, τα καθήκοντα και ο τρόπος με τον οποίο θα τα ασκεί. Ο ορισμός γίνεται για ορισμένο χρονικό διάστημα , εκτός αν συντρέχει σοβαρός λόγος, και μπορεί να να ανανεώνεται.
- Υπάρχει υποχρέωση εχεμύθειας (βλ. αναλυτικά στο επόμενο ερώτημα)
- H υποχρέωση ορισμού ΥΠΔ δεν περιλαμβάνει τα δικαστήρια και τις εισαγγελικές αρχές, όταν ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα.
- Δίνεται δυνατότητα ορισμού ενός κοινού ΥΠΔ για περισσότερες της μιας αρμόδιες αρχές, ανάλογα με την οργανωτική δομή και το μέγεθός τους (Οδηγία 2016/680).
- Ο ορισμός ΥΠΔ, γίνεται με βάση τα επαγγελματικά προσόντα και την εμπειρογνωσία, κατά τα οριζόμενα στον ΓΚΠΔ. Ο ορισμός γίνεται εγγράφως, ενώ πρέπει να εξειδικεύονται η θέση, τα και ο τρόπος με τον οποίο θα τα ασκεί. Ο ορισμός γίνεται για ορισμένο χρονικό διάστημα, εκτός αν συντρέχει σοβαρός λόγος για την ανάκληση του ορισμού ή για την παύση του ΥΠΔ, ενώ μπορεί να ανανεώνεται. Μετά τον ορισμό υπάρχει υποχρέωση κοινοποίησης του ονόματος και της ιδιότητας του ΥΠΔ στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Οδηγία 2016/680).
- Στα καθήκοντά του ΥΠΔ ( Οδηγία 2016/680) προβλέπονται κατ΄ ελάχιστο ο ενημερωτικός και συμβουλευτικός χαρακτήρας για την εφαρμογή του ΓΚΠΔ, η παρακολούθηση της συμμόρφωσης με τον ΓΚΠΔ και την εθνική νομοθεσία σχετικά με την προστασία των δεδομένων ων προσωπικού χαρακτήρα, η κατάρτιση του προσωπικού της επιχείρησης αναφορικά με τα ζητήματα αυτά, καθώς και η συνεργασία με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Ποια είναι τα καθήκοντα του Yπευθύνου Προστασίας Δεδομένων;
Αρχικά ο ΥΠΔ ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους (βλ. άρθρο 39 παρ. 1 στοιχείο α). Συγκεκριμένα ο ΥΠΔ οφείλει να ενημερώσει τον υπεύθυνο επεξεργασίας ή εκτελούντα για της εξής υποχρεώσεις τους:
Α) Τους κανόνες που διέπουν τις αρχές της συλλογής και επεξεργασίας, όπως την «αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας των δεδομένων», την αρχή του «περιορισμού του σκοπού», την αρχή της ελαχιστοποίησης των δεδομένων» την αρχή της «ακρίβειας» των δεδομένων, την αρχή του «περιορισμού της περιόδου αποθήκευσης των δεδομένων», την αρχή της «ακεραιότητας και εμπιστευτικότητας», την αρχή της «λογοδοσίας», καθώς και την ευθύνη του υπευθύνου επεξεργασίας να αποδείξει τη συμμόρφωσή του με τα ανωτέρω, όπως αυτά θεσπίζονται από το άρθρο 5 του Γ.Κ.Π.Δ. και το άρθρο 4 της Οδηγίας (ΕΕ) 2016/680.
Β) Την νομιμότητα της επεξεργασίας. Συγκεκριμένα ο ΥΠΔ, οφείλει να ενημερώσει τον φορέα για τις περιοριστικά απαριθμούμενες περιστάσεις υπό τις οποίες επιτρέπεται η επεξεργασία των δεδομένων, όπως αυτές ορίζονται στο άρθρο 6 παρ. 1 του Γ.Κ.Π.Δ.
Γ) Για το ποιες είναι οι προϋποθέσεις για τη νόμιμη συγκατάθεση του υποκειμένου των δεδομένων σύμφωνα με τα άρθρα 7 και 8 του ΓΚΠΔ. Συγκεκριμένα όταν η επεξεργασία βασίζεται στην συγκατάθεση ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδείξει ότι το υποκείμενο των δεδομένων είναι σύμφωνο με την αυτή επεξεργασία. Ιδιαίτερα, κρίνεται αναγκαίο να επισημανθεί ότι εάν η ως άνω συγκατάθεση παρέχεται με την μορφή γραπτής δήλωσης, η οποία αφορά και άλλα ζητήματα, το αυτό αίτημα συγκατάθεσης θα πρέπει να τίθεται με σαφώς διακριτό τρόπο από τα άλλα θέματα και με κατανοητό τρόπο και σαφή διατύπωση. Επιπλέον ο ΥΠΔ οφείλει να ενημερώσει για τις απαγορεύσεις επεξεργασίας ευαίσθητων δεδομένων, όπως και για τις περιπτώσεις που επιτρέπεται η εν λόγω επεξεργασία (βλ. άρθρο 9,10 ΓΠΔΚ και άρθρο 10 της Οδηγίας (ΕΕ) 2016/680).
Δ) Υποχρέωση γνωστοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό επεξεργασίας, η οποία διενεργείται σύμφωνα με το άρθρο 16, 17 παρ.1 και 18 του ΓΚΠΔ, σε κάθε αποδέκτη που γνωστοποιήθηκαν τα ως άνω δεδομένα, εκτός αν κάτι τέτοιο αποδεικνύεται ανέφικτο.
Ε) Για τις διατάξεις που ρυθμίζουν την έκταση και τις προϋποθέσεις ευθύνης του υπευθύνου επεξεργασίας, σύμφωνα με το άρθρο 24 και 25 του ΓΚΠΔ και το άρθρο 19 της Οδηγίας (ΕΕ) 2016/680, στα οποία ορίζεται ότι ο υπεύθυνος επεξεργασίας θα πρέπει να εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα (όπως λόγω χάριν η ψευδωνυμοποίηση, η δυνατότητα διασφάλισης του απορρήτου, η δυνατότητα αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση τεχνικού ή φυσικού συμβάντος), ώστε να διασφαλίζει εξ’ ορισμού ότι υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας και σύμφωνα πάντα με τις απαιτήσεις του κανονισμού. Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφαλείας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια κτλ.
ΣΤ) Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην Αρχή και το Υποκείμενο των δεδομένων. Ο ΥΠΔ οφείλει να ενημερώσει ότι σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας πρέπει να γνωστοποιεί άμεσα, εντός 72 ωρών από τη στιγμή που αποκτά σχετική γνώση την Αρχή, εκτός αν η παραβίαση δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Αντίστοιχα ο ΥΠΔ οφείλει να ενημερώσει ότι όταν η παραβίαση ενδέχεται να θέσει σε υψηλό κίνδυνο δικαιώματα φυσικών προσώπων, ο υπεύθυνος επεξεργασίας πρέπει να ανακοινώσει την εν λόγω παραβίαση στο υποκείμενο, περιγράφοντας με σαφήνεια την φύση της παραβίασης.
Ζ) Εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και διασυνοριακή μεταβίβαση δεδομένων. Όταν ένα είδος επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας θα πρέπει να προβεί πριν την διενέργεια της επεξεργασίας σε εκτίμηση των επιπτώσεων της εν λόγω πράξης, έχοντας ζητήσει την προηγούμενη γνώμη του ΥΠΔ (βλ. άρθρο 39 παρ. 1 γ του ΓΚΠΔ και άρθρο 34 στοιχείο γ της Οδηγίας (ΕΕ) 2016/680).
Επιπλέον ο ΥΠΔ ενημερώνει τον οργανισμό ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς Τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνο εφόσον η Ευρωπαϊκή Επιτροπή έχει αποφασίσει ότι η Τρίτη χώρα προσφέρει τις αντίστοιχες εγγυήσεις της προστασίας των προσωπικών δεδομένων.
Η υποχρέωση εχεμύθειας του ΥΠΔ
Αυτονόητη προϋπόθεση άσκησης του επαγγέλματος του ΥΠΔ είναι η υποχρέωση εχεμύθειας των δεδομένων προσωπικού χαρακτήρα που έρχονται σε γνώση αυτού. Μάλιστα στο άρθρο 70 παρ. 5 του υπό διαβούλευση σχεδίου νόμου, ΥΠΔ που παραβιάζει την εν λόγω υποχρέωση με σκοπό να ωφεληθεί ο ίδιος ή τρίτος, ή για να βλάψει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ή το υποκείμενο των δεδομένων ή οποιονδήποτε τρίτο τιμωρείται με ποινή φυλάκισης τουλάχιστον ενός (1) έτους και χρηματική ποινή από δέκα χιλιάδες (10.000) ευρώ έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιμωρείται βαρύτερα από άλλες διατάξεις.
Η παρακολούθηση συμμόρφωσης από τον ΥΠΔ
Ο ΥΠΔ έχει ως καθήκον να παρακολουθεί τη συμμόρφωση με τον Γενικό Κανονισμό και την Οδηγία, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία των δεδομένων και τις πολιτικές που ακολουθούν ο υπεύθυνος ή ο εκτελών την επεξεργασία (βλ. άρθρα 39 παρ. 1 εδ. β’ του ΓΚΠΔ, 34 στοιχείο β’ της Οδηγίας (ΕΕ) 2016/680 και «τις Κατευθυντήριες Γραμμές» για τους ΥΠΔ της Ομάδας εργασίας του άρθρου 29.
Στο σημείο βέβαια αυτό θα πρέπει να επισημανθεί ότι η Ομάδα Εργασίας του άρθρου 29 καθιστά σαφές ότι η παρακολούθηση συμμόρφωσης δεν σημαίνει ότι ο ΥΠΔ είναι προσωπικά υπεύθυνος όταν υπάρχει ένα περιστατικό μη συμμόρφωσης. Σύμφωνα με τον ΓΚΠΔ ο υπεύθυνος επεξεργασίας είναι ο υπεύθυνος να λάβει όλα τα απαραίτητα μέτρα ώστε να διασφαλίζει ότι η επεξεργασία διεξάγεται σύμφωνα με τον Κανονισμό.
Η συμμόρφωση αφορά όχι μόνο τις υποχρεώσεις που προβλέπει το θεσμικό πλαίσιο, αλλά και την ικανοποίηση των δικαιωμάτων των υποκειμένων των δεδομένων. Ως εκ τούτου εάν το υποκείμενο ασκήσει ένα από τα δικαιώματα πρόσβασης, διαγραφής, διόρθωσης, φορητότητας, εναντίωσης κτλ και ο υπεύθυνος επεξεργασίας δεν το ικανοποιήσει, τότε το υποκείμενο μπορεί να προβεί σε καταγγελία στο ΥΠΔ, ζητώντας του να εξετάσει τη συμμόρφωση του υπευθύνου με τις διατάξεις. Ακολούθως ο ΥΠΔ μπορεί να εξετάσει για ποιους λόγους δεν ικανοποιήθηκε το δικαίωμα και αν η άρνηση εμπίπτει σε κάποια από τις εξαιρέσεις. Επίσης ο ΥΠΔ μπορεί να προβλέψει εάν το υποκείμενο των δεδομένων θα προσφύγει στην αρχή και να εισηγηθεί στον υπεύθυνο επεξεργασίας την επανεξέταση του εν λόγω αιτήματος.
Τι προσόντα πρέπει να έχει ο Yπεύθυνος Προστασίας Δεδομένων;
Ο DPO διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάση της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39. Κατά την αιτιολογική σκέψη 97 του ΓΚΠΔ, ο ΥΠΔ ορίζεται ως «ένα πρόσωπο με ειδικές γνώσεις στο δίκαιο και στις πρακτικές της προστασίας δεδομένων». Σύμφωνα δε, με τις «Κατευθυντήριες γραμμές για τους ΥΠΔ» της Ομάδας εργασίας του άρθρου 29, το επίπεδο εξειδίκευσης του ΥΠΔ δεν προσδιορίζεται αυστηρά, αλλά θα πρέπει να βρίσκεται σε αντιστοιχία με την πολυπλοκότητα και τον όγκο των δεδομένων που επεξεργάζεται κάθε φορά.
Σύμφωνα με ανακοίνωση της Ελληνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) o ΓΚΠΔ δεν θέτει κάποια υποχρεωτική απαίτηση για πιστοποίηση του DPO, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση. Στην ίδια κατεύθυνση κινήθηκε και η Βελγική Αρχή με την οποία τονίστηκε ότι για τον διορισμό του DPO δεν απαιτείται από τον Κανονισμό κανένα δίπλωμα ή ειδική πιστοποίηση (υπ’ αριθ. 4/2017 Γνωμοδότηση, σημεία 43 και 44). Αντίθετα, η αντίστοιχη Γνωμοδότηση της Ισπανικής Αρχής θέσπισε γενικές κατευθυντήριες γραμμές σχετικά με το Σύστημα Πιστοποίησης Προσώπων με την ιδιότητα του DPO και την λειτουργία αυτού (υπ’ αριθ. 2017.10.07.2017-0207 Γνωμοδότηση).
Ωστόσο, αν και στον ΓΚΠΔ δεν προσδιορίζονται τα ειδικά επαγγελματικά προσόντα που θα πρέπει να λαμβάνονται υπόψη κατά τον ορισμό του DPO, κρίνεται ότι τελευταίος πρέπει να διαθέτει τα εξής χαρακτηριστικά:
1) εμπειρογνωσία στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, τόσο σε εθνικό όσο και ευρωπαϊκό επίπεδο
2) να έχει άριστη γνώση του ΓΚΠΔ.
3) Χρήσιμη θεωρείται δε η γνώση του τομέα δραστηριότητας καθώς και του οργανισμού του υπευθύνου επεξεργασίας στον οποίο θα απασχοληθεί.
4) O DPO θα πρέπει να έχει καλή γνώση των πράξεων επεξεργασίας που διενεργούνται, καθώς και των συστημάτων πληροφορικής, και των αναγκών του υπευθύνου επεξεργασίας σε επίπεδο ασφάλειας και προστασίας των δεδομένων.
5) Eιδικά στην περίπτωση δημόσιας αρχής ή δημόσιου φορέα, ο υπεύθυνος προστασίας δεδομένων θα πρέπει να έχει επιπλέον καλή γνώση των διοικητικών κανόνων και διαδικασιών του οργανισμού.
Στο σημείο αυτό θα ήταν χρήσιμο να αναφέρουμε, ότι αν και η πιστοποίηση εμπειρίας δεν είναι τυπική προϋπόθεση κατά τον ΓΚΠΔ, όπως έχουμε ήδη τονίσει και ανωτέρω, κατά τον χρόνο σύνταξης των «Επαγγελματικών Προτύπων για τους ΥΠΔ των θεσμικών οργάνων και οργανισμών της Ε.Ε. που εργάζονται σύμφωνα με τον Κανονισμό (ΕΚ) 45/2001» (το 2010), η πιστοποίηση με την μεγαλύτερη ισχύ, κατά την κρίση των κοινοτικών ΥΠΔ είναι αυτή που παρείχε η Διεθνής Ένωση Επαγγελματιών Ιδιωτικότητας (International Association of privacy Professionals (IAPP). Επίσης στον ως άνω έγγραφο καθορισμού των επαγγελματικών προτύπων για τους κοινοτικούς ΥΠΔ, γίνεται αναφορά σε τριετή ή επταετή σχετική εμπειρία του ΥΠΔ, στην εφαρμογή διατάξεων προστασίας προσωπικών δεδομένων, κάτι το οποίο ίσως θα μπορούσε να λειτουργήσει αναλογικά στο μέλλον και στην εσωτερική έννομη τάξη.
Σχετικά με τα εκπαιδευτικά προγράμματα και σεμινάρια που πραγματοποιούνται στην Ελλάδα, σχετικά με την πιστοποίηση επαγγελματικών προσόντων DPO και τον ρόλο του, η Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) εξέδωσε ανακοίνωση με την οποία επισημαίνεται ότι σήµερα κανένας φορέας στην Ελλάδα δεν έχει διαπιστευθεί για να πιστοποιεί τα επαγγελµατικά προσόντα/δεξιότητες ενός DPO. Αν και η ύλη των προσφερόμενων εκπαιδευτικών προγραμμάτων είναι συναφής µε τον ΓΚΠΔ και τη θέση του DPO, σε καμία περίπτωση δεν πρέπει να επικρατήσει η αντίληψη ότι οι προτεινόμενες πιστοποιήσεις DPO αποτελούν επίσημες ελληνικές πιστοποιήσεις και η συμμετοχή των ενδιαφερόμενων πρέπει να γίνεται με αποκλειστική δική τους ευθύνη, έχοντας υπόψιν ότι η ολοκλήρωση των συγκεκριμένων προγραμμάτων δεν αποτελεί στάδιο για την λήψη οποιασδήποτε πιστοποίησης στην ελληνική επικράτεια.
Ποια είναι η διαδικασία ορισμού του Yπευθύνου Προστασίας Δεδομένων;
Η διαδικασία ανάθεσης καθηκόντων εξειδικευμένου τύπου όπως αυτά ενός ΥΠΔ είναι διαφορετική στον δημόσιο και τον ιδιωτικό τομέα. Στον δημόσιο τομέα η διαδικασία θα πρέπει να εκκινήσει με την δημοσίευση μιας πρόσκλησης ενδιαφέροντος, η οποία θα πρέπει να αναρτηθεί στην επίσημη ιστοσελίδα του φορέα, καθώς και στο Πρόγραμμα «Διαύγεια» (Ν.3861/2010) και στην οποία θα πρέπει να διευκρινίζεται εάν ο ΥΠΔ θα είναι πλήρους ή μερικής απασχόλησης ως προς τα συγκεκριμένα καθήκοντά του για την προστασία δεδομένων. Στο σημείο αυτό θα πρέπει να επισημανθεί ότι η ως άνω πρόσκληση θα πρέπει να διευκρινίζει κατά πόσο ο ορισμός ΥΠΔ αφορά ανάθεση καθηκόντων σε ήδη υφιστάμενο μέλος του προσωπικού ή εάν απευθύνεται στην ελεύθερη αγορά. Στην συνέχεια ακολουθεί η αξιολόγηση των υποψηφίων όπου τα βασικά προσόντα θα κριθούν είναι η εμπειρογνωσία στον τομέα του δικαίου και των πρακτικών της προστασίας προσωπικών δεδομένων, καθώς και της ικανότητας να ασκεί τα καθήκοντα του άρθρου 39 του ΓΚΠΔ. Το κεντρικό ζητούμενο βέβαια είναι η ικανότητα του προσώπου να ασκεί τα εν λόγω καθήκοντα με ανεξαρτησία. Στο σημείο αυτό αξίζει να σημειωθεί ότι ο Κανονισμός δεν θέτει κάποια υποχρεωτική απαίτηση για πιστοποίηση του ΥΠΔ, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση (βλ. την υπ’ αριθμ. πρωτ. Γ/ΕΞ/6007/09-08-2017 Ανακοίνωση και τη Γνωμοδότηση 7/2017 της Αρχής).
Στη συνέχεια καταρτίζεται πίνακας υποψηφίων, ο οποίος θα πρέπει να είναι προσβάσιμος για τους ενδιαφερόμενους ώστε να διασφαλίζονται οι αρχές της διαφάνειας και της ίσης μεταχείρισης. Η πράξη ορισμού του ΥΠΔ πρέπει να λάβει τη μέγιστη δυνατή δημοσιότητα είτε πρόκειται για δημόσια υπηρεσία είτε για ιδιωτική επιχείρηση. Το ανθρώπινο δυναμικό πρέπει να ενημερωθεί άμεσα για την ταυτότητα του ΥΠΔ με σχετική ανακοίνωση. Ακολούθως και ο ίδιος ο ΥΠΔ οφείλει να προσχωρήσει στην ενημέρωση των υποκειμένων των δεδομένων, τόσο εντός όσο και εκτός της οντότητας (πχ πελάτες, γενικό κοινό κτλ). Όπως έχουμε ήδη αναφέρει και ανωτέρω η διαδικασία ορισμού ΥΠΔ στο σχέδιο του ελληνικού νόμου προβλέπεται στο άρθρο 14 παρ. 3.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου