Ο Υπεύθυνος Προστασίας Δεδομένων στον Γενικό Κανονισμό για την Προστασία Δεδομένων

Επιμέλεια: Κωνσταντίνα Μαρκομιχάλη, Δικηγόρος - Μιράντα Γκανέτσου, Δικηγόρος

Ο νέος Κανονισμός της Ευρωπαϊκής Ένωσης για την Γενική Προστασία Δεδομένων (General Data Protection Regulation) αποτελεί τη μεγαλύτερη αλλαγή στην νομοθεσία περί προστασίας των δεδομένων τα τελευταία σχεδόν 20 χρόνια. Επιβάλλει ένα ενιαίο νομοθετικό πλαίσιο για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης και αντικαθιστά την Οδηγία 95/46/ΕΚ, που είχε ενσωματωθεί στην Ελληνική Νομοθεσία με το Ν. 2472/1997.

Με τον Γενικό Κανονισμό επιχειρείται η συνολική αναβάθμιση του πλαισίου προστασίας προσωπικών δεδομένων, προκειμένου να εξασφαλιστεί τόσο η ουσιαστική προστασία των ατόμων σε ένα διαρκώς μεταβαλλόμενο τεχνολογικό περιβάλλον, όσο και η ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα. Για να επιτύχει τους σκοπούς αυτούς εισάγει μία σειρά από καινοτόμες διατάξεις, μεταξύ των οποίων και ο θεσμός του Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer ή DPO).

Ο Υπεύθυνος Προστασίας Δεδομένων έχει ήδη αποτελέσει αντικείμενο μελέτης και συζητήσεων, καθώς αποτελεί ένα ρόλο-κλειδί στο νέο πλαίσιο προστασίας δεδομένων. Στο παρόν κείμενο θα επιχειρηθεί η παρουσίαση και σύντομη ανάλυση των χαρακτηριστικών του Υπευθύνου Προστασίας Δεδομένων μέσα από ερωταπαντήσεις.

Ο Data Protection Officer (DPO) αποτελεί ανεξάρτητο ειδικό στο χώρο των προσωπικών δεδομένων, με αποδεδειγμένη γνώση και εμπειρία στη νομοθεσία και πρακτική εφαρμογή των Προσωπικών Δεδομένων, ο οποίος θα έχει εχέγγυα ανεξαρτησίας και θα αναφέρεται απευθείας στον CEO ή σε μέλος του Δ.Σ μιας εταιρίας. Προβλέπεται από τον Γενικό Κανονισμό Προσωπικών Δεδομένων στα άρθρα 37-39, καθώς και στα άρθρα 32-34 της Οδηγίας 2016/680. Στις 16 Δεκεμβρίου 2016 η Ομάδα Εργασίας του άρθρου 29 (Article 29 Working Party) η οποία αποτελεί την εποπτεύουσα αρχή των εθνικών Αρχών Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και Συμβουλευτικό Όργανο της Ευρωπαϊκής Επιτροπής εξέδωσε διευκρινιστικές οδηγίες σχετικά με τον ρόλο και την ευθύνη του νέου θεσμού.

Στην προγενέστερη ελληνική νομοθεσία, συναφείς θεσμούς συναντάμε αναφορικά με τον κλάδο των παρόχων δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών. Ειδικότερα, στον Ν. 3674/2008 και τον Κανονισμό για τη Διασφάλιση του Απορρήτου των Ηλεκτρονικών Επικοινωνιών (ΥΑ αποφ. 165/2011/ΦΕΚ 2715/Β/17.11.2011) , θεσπίζεται υποχρέωση ορισμού Υπευθύνου Διασφάλισης του Απορρήτου των Επικοινωνιών με ενδεικτικές αρμοδιότητες την εξέταση συστημάτων διασφάλισης απορρήτου, την καταγραφή και αξιολόγηση κινδύνων σχετιζόμενων με την αξιοπιστία του εξοπλισμού και μέτρα αποφυγής των κινδύνων αυτών, ενώ στον Ν. 3917/2011 θεσπίζεται υποχρέωση ορισμού Υπευθύνου Ασφάλειας Δεδομένων για την διατήρηση δεδομένων προκειμένου αυτά να καθίστανται διαθέσιμα στις αρμόδιες αρχές για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων. Σημειωτέον ότι και στις δυο περιπτώσεις, τα διορισμένα πρόσωπα αποτελούν εξουσιοδοτημένα στελέχη - εργαζόμενοι της επιχείρησης.

Σύμφωνα με το άρθρο 37 παρ. 1 του ΓΚΠΔ, υποχρέωση ορισμού DPO έχουν:

α) οι δημόσιες αρχές ή φορείς, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,

β) οι επιχειρήσεις των οποίων οι βασικές δραστηριότητες συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα.

γ) οι επιχειρήσεις των οποίων οι βασικές δραστηριότητες συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως δεδομένων που αφορούν την θρησκεία, πολιτικές πεποιθήσεις, σεξουαλικό προσανατολισμό, συμμετοχή σε συνδικαλιστικές οργανώσεις αλλά και γενετικών δεδομένων ή υλικό όπως βιομετρικά στοιχεία, καθώς και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα.

Ως «βασικές δραστηριότητες» νοούνται οι ενέργειες εκείνες που συνδέονται με επεξεργασία δεδομένων και αποτελούν αναπόσπαστο κομμάτι για την ολοκλήρωση του παρεχόμενου έργου από την επιχείρηση. Παραδείγματα : η επεξεργασία φακέλων ασθενών κατά την νοσηλεία τους σε νοσοκομείο, η επεξεργασία δεδομένων εργαζομένων όταν η καταβολή της μισθοδοσίας τους έχει ανατεθεί σε εξωτερικό συνεργάτη, η επεξεργασία δεδομένων κατά την παρακολούθηση χώρου όταν η φύλαξη και προστασία αυτού έχει ανατεθεί σε τρίτη εταιρεία παροχής υπηρεσιών ασφάλειας.

Η «επεξεργασία σε μεγάλη κλίμακα» παραμένει ασαφής και μάλλον αόριστη στα πλαίσια του ΓΚΠΔ . Ενδεικτικά, προτείνεται η εξέταση του αριθμού των εμπλεκόμενων υποκειμένων, των οποίων τα δεδομένα υπόκεινται σε επεξεργασία, του όγκου των δεδομένων, της διάρκειας της επεξεργασίας και της γεωγραφικής έκτασης της δραστηριότητας επεξεργασίας. Παραδείγματα: η επεξεργασία δεδομένων ασθενών κατά τη λειτουργία νοσοκομείου, η επεξεργασία δεδομένων σχετικών με την μετακίνηση φυσικών προσώπων με δημόσια μέσα συγκοινωνιών εντός της πόλης μέσω χρήσης καρτών πολλαπλών διαδρομών, η δυνατότητα εντοπισμού σε πραγματικό χρόνο της γεωγραφικής θέσης πελάτη εκ μέρους διαδικτυακής σελίδας ταχυφαγείων προκειμένου να προταθούν και να παρασχεθούν υπηρεσίες delivery, η επεξεργασία δεδομένων πελατών από τράπεζες και ασφαλιστικές επιχειρήσεις, καθώς και από παρόχους υπηρεσιών τηλεφωνίας ή διαδικτύου. Όταν η επεξεργασία γίνεται από ιδιώτη (πχ γιατρό, δικηγόρο) δεν μπορεί να γίνει λόγος για μεγάλης κλίμακας επεξεργασία.

Στην έννοια, τέλος, της «τακτικής και συστηματικής παρακολούθησης» περιλαμβάνονται όλες οι μορφές παρακολούθησης και διαμόρφωσης «προφίλ» στο διαδίκτυο, μεταξύ άλλων, και για σκοπούς συμπεριφορικής διαφήμισης. Παραδείγματα: λειτουργία δικτύου τηλεπικοινωνιών, παροχή υπηρεσιών τηλεπικοινωνιών, καθορισμός του προφίλ του υποκειμένου με βάση συγκεκριμένα προσωπικά δεδομένα που αφορούν την καταναλωτική του ταυτότητα, τις προτιμήσεις του, επισκεψιμότητα σε συγκεκριμένα καταστήματα, παρακολούθηση δεδομένων σχετικά με την ευεξία, τη φυσική κατάσταση και την υγεία μέσω φορέσιμων συσκευών (πχ ρολόι), η τηλεόραση κλειστού κυκλώματος, συνδεδεμένες συσκευές, π.χ. έξυπνες συσκευές μέτρησης, έξυπνα αυτοκίνητα, οικιακός αυτοματισμός.

Συγκεντρωτικά, οι δραστηριότητες που φαίνεται ότι θα κληθούν άμεσα να συμμορφωθούν στον ΓΚΠΔ και θα επηρεαστούν σε μεγαλύτερο βαθμό λόγω της φύσης τους αποτελούν οι:

Υπηρεσίες Υγείας
Χρηματοοικονομικές Υπηρεσίες
Υπηρεσίες Ανθρώπινου Δυναμικού
Υπηρεσίες Φιλοξενίας και Μετακινήσεων
Υπηρεσίες Διαδικτυακών/Προσωποποιημένων Πωλήσεων
Παροχή Τηλεπικοινωνιακών Υπηρεσιών
Παροχή Υπηρεσιών Ενέργειας, καθώς και
Ο Κρατικός Τομέας

Αν μια επιχείρηση δεν υπάγεται στις περιπτώσεις υποχρεωτικού ορισμού DPO, μπορεί να ορίσει;

Ναι και μάλιστα ενθαρρύνεται ο εθελοντικός ορισμός DPO. Στην περίπτωση αυτή θα ισχύουν οι ίδιες απαιτήσεις ως εάν ο ορισμός να ήταν υποχρεωτικός.

Μπορούν οι οργανισμοί να ορίζουν από κοινού DPO; (Άρθρο 37 παράγραφοι 2 και 3 του ΓΚΠΔ)

Ναι, στην περίπτωση που υπάρχει α) όμιλος επιχειρήσεων ή β) περισσότερες δημόσιες αρχές ή φορείς. Απαραίτητο είναι όμως σε αυτή την περίπτωση να διαφυλάσσονται τα εχέγγυα πρόσβασης του DPO στις επιμέρους επιχειρήσεις / αρχές ή φορείς, να παραμένουν διαθέσιμα τα στοιχεία επικοινωνίας του και να διασφαλίζεται ότι ένας μόνο DPO, συνεπικουρούμενος από ομάδα, εφόσον απαιτείται, δύναται να επιτελεί αποτελεσματικά όλα τα καθήκοντα παρά το γεγονός ότι έχει οριστεί για όλον τον όμιλο επιχειρήσεων / για περισσότερες δημόσιες αρχές και φορείς.

Πού θα πρέπει να είναι εγκατεστημένος ο DPO;

Συνίσταται ο DPO να είναι εγκατεστημένος εντός Ευρωπαϊκής Ένωσης, χωρίς να είναι απόλυτο κάτι τέτοιο.

Ποια είναι η σχέση εργασίας που συνδέει DPO και επιχείρηση; ( Άρθρο 37 παράγραφος 6 του ΓΚΠΔ)

Ο DPO μπορεί να είναι μέλος του προσωπικού της επιχείρησης ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών (εξωτερικός συνεργάτης). Αν ως εξωτερικός συνεργάτης DPO ορίζεται οργανισμός, προτείνεται η σύσταση ομάδας, με σαφή καταμερισμό εργασιών. Κάθε πρόσωπο δε, εντός του οργανισμού που ασκεί καθήκοντα DPO πρέπει να πληροί όλες τις απαιτήσεις του ΓΚΠΔ.

Στον ελληνικό νόμο, η διαβούλευση του οποίου ολοκληρώθηκε και αναμένεται να ψηφισθεί σύντομα από το Ελληνικό Κοινοβούλιο, ο θεσμός του DPO (υπεύθυνος προστασίας δεδομένων, στο εξής: ΥΠΔ) ρυθμίζεται στα άρθρα 14 (για τον ΓΚΠΔ) και 48 έως 50 για την Οδηγία 2016/680 . Ακολουθούνται οι απαιτήσεις του ΓΚΠΔ, με κεντρικά σημεία τα εξής:

Πέρα από τις περιπτώσεις του άρθρου 37 του ΓΚΠΔ, υποχρέωση ορισμού υπευθύνου προστασίας έχουν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες επεξεργασία οι οποίοι εκτελούν πράξεις επεξεργασίας οι οποίες, σύμφωνα με τον κατάλογο που έχει καταρτίσει η Αρχή απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους.
Ο ορισμός υπευθύνου προστασίας δεδομένων γίνεται εγγράφως, ενώ κατά τον ορισμό προσδιορίζονται ειδικότερα ιδίως η θέση, τα καθήκοντα και ο τρόπος με τον οποίο θα τα ασκεί. Ο ορισμός γίνεται για ορισμένο χρονικό διάστημα , εκτός αν συντρέχει σοβαρός λόγος, και μπορεί να να ανανεώνεται.
Υπάρχει υποχρέωση εχεμύθειας (βλ. αναλυτικά στο επόμενο ερώτημα)
H υποχρέωση ορισμού ΥΠΔ δεν περιλαμβάνει τα δικαστήρια και τις εισαγγελικές αρχές, όταν ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα.
Δίνεται δυνατότητα ορισμού ενός κοινού ΥΠΔ για περισσότερες της μιας αρμόδιες αρχές, ανάλογα με την οργανωτική δομή και το μέγεθός τους (Οδηγία 2016/680).
Ο ορισμός ΥΠΔ, γίνεται με βάση τα επαγγελματικά προσόντα και την εμπειρογνωσία, κατά τα οριζόμενα στον ΓΚΠΔ. Ο ορισμός γίνεται εγγράφως, ενώ πρέπει να εξειδικεύονται η θέση, τα και ο τρόπος με τον οποίο θα τα ασκεί. Ο ορισμός γίνεται για ορισμένο χρονικό διάστημα, εκτός αν συντρέχει σοβαρός λόγος για την ανάκληση του ορισμού ή για την παύση του ΥΠΔ, ενώ μπορεί να ανανεώνεται. Μετά τον ορισμό υπάρχει υποχρέωση κοινοποίησης του ονόματος και της ιδιότητας του ΥΠΔ στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Οδηγία 2016/680).
Στα καθήκοντά του ΥΠΔ ( Οδηγία 2016/680) προβλέπονται κατ΄ ελάχιστο ο ενημερωτικός και συμβουλευτικός χαρακτήρας για την εφαρμογή του ΓΚΠΔ, η παρακολούθηση της συμμόρφωσης με τον ΓΚΠΔ και την εθνική νομοθεσία σχετικά με την προστασία των δεδομένων ων προσωπικού χαρακτήρα, η κατάρτιση του προσωπικού της επιχείρησης αναφορικά με τα ζητήματα αυτά, καθώς και η συνεργασία με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Αρχικά ο ΥΠΔ ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους (βλ. άρθρο 39 παρ. 1 στοιχείο α). Συγκεκριμένα ο ΥΠΔ οφείλει να ενημερώσει τον υπεύθυνο επεξεργασίας ή εκτελούντα για της εξής υποχρεώσεις τους:

Α) Τους κανόνες που διέπουν τις αρχές της συλλογής και επεξεργασίας, όπως την «αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας των δεδομένων», την αρχή του «περιορισμού του σκοπού», την αρχή της ελαχιστοποίησης των δεδομένων» την αρχή της «ακρίβειας» των δεδομένων, την αρχή του «περιορισμού της περιόδου αποθήκευσης των δεδομένων», την αρχή της «ακεραιότητας και εμπιστευτικότητας», την αρχή της «λογοδοσίας», καθώς και την ευθύνη του υπευθύνου επεξεργασίας να αποδείξει τη συμμόρφωσή του με τα ανωτέρω, όπως αυτά θεσπίζονται από το άρθρο 5 του Γ.Κ.Π.Δ. και το άρθρο 4 της Οδηγίας (ΕΕ) 2016/680.

Β) Την νομιμότητα της επεξεργασίας. Συγκεκριμένα ο ΥΠΔ, οφείλει να ενημερώσει τον φορέα για τις περιοριστικά απαριθμούμενες περιστάσεις υπό τις οποίες επιτρέπεται η επεξεργασία των δεδομένων, όπως αυτές ορίζονται στο άρθρο 6 παρ. 1 του Γ.Κ.Π.Δ.

Γ) Για το ποιες είναι οι προϋποθέσεις για τη νόμιμη συγκατάθεση του υποκειμένου των δεδομένων σύμφωνα με τα άρθρα 7 και 8 του ΓΚΠΔ. Συγκεκριμένα όταν η επεξεργασία βασίζεται στην συγκατάθεση ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδείξει ότι το υποκείμενο των δεδομένων είναι σύμφωνο με την αυτή επεξεργασία. Ιδιαίτερα, κρίνεται αναγκαίο να επισημανθεί ότι εάν η ως άνω συγκατάθεση παρέχεται με την μορφή γραπτής δήλωσης, η οποία αφορά και άλλα ζητήματα, το αυτό αίτημα συγκατάθεσης θα πρέπει να τίθεται με σαφώς διακριτό τρόπο από τα άλλα θέματα και με κατανοητό τρόπο και σαφή διατύπωση. Επιπλέον ο ΥΠΔ οφείλει να ενημερώσει για τις απαγορεύσεις επεξεργασίας ευαίσθητων δεδομένων, όπως και για τις περιπτώσεις που επιτρέπεται η εν λόγω επεξεργασία (βλ. άρθρο 9,10 ΓΠΔΚ και άρθρο 10 της Οδηγίας (ΕΕ) 2016/680).

Δ) Υποχρέωση γνωστοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό επεξεργασίας, η οποία διενεργείται σύμφωνα με το άρθρο 16, 17 παρ.1 και 18 του ΓΚΠΔ, σε κάθε αποδέκτη που γνωστοποιήθηκαν τα ως άνω δεδομένα, εκτός αν κάτι τέτοιο αποδεικνύεται ανέφικτο.

Ε) Για τις διατάξεις που ρυθμίζουν την έκταση και τις προϋποθέσεις ευθύνης του υπευθύνου επεξεργασίας, σύμφωνα με το άρθρο 24 και 25 του ΓΚΠΔ και το άρθρο 19 της Οδηγίας (ΕΕ) 2016/680, στα οποία ορίζεται ότι ο υπεύθυνος επεξεργασίας θα πρέπει να εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα (όπως λόγω χάριν η ψευδωνυμοποίηση, η δυνατότητα διασφάλισης του απορρήτου, η δυνατότητα αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση τεχνικού ή φυσικού συμβάντος), ώστε να διασφαλίζει εξ’ ορισμού ότι υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας και σύμφωνα πάντα με τις απαιτήσεις του κανονισμού. Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφαλείας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια κτλ.

ΣΤ) Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην Αρχή και το Υποκείμενο των δεδομένων. Ο ΥΠΔ οφείλει να ενημερώσει ότι σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας πρέπει να γνωστοποιεί άμεσα, εντός 72 ωρών από τη στιγμή που αποκτά σχετική γνώση την Αρχή, εκτός αν η παραβίαση δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Αντίστοιχα ο ΥΠΔ οφείλει να ενημερώσει ότι όταν η παραβίαση ενδέχεται να θέσει σε υψηλό κίνδυνο δικαιώματα φυσικών προσώπων, ο υπεύθυνος επεξεργασίας πρέπει να ανακοινώσει την εν λόγω παραβίαση στο υποκείμενο, περιγράφοντας με σαφήνεια την φύση της παραβίασης.

Ζ) Εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και διασυνοριακή μεταβίβαση δεδομένων. Όταν ένα είδος επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας θα πρέπει να προβεί πριν την διενέργεια της επεξεργασίας σε εκτίμηση των επιπτώσεων της εν λόγω πράξης, έχοντας ζητήσει την προηγούμενη γνώμη του ΥΠΔ (βλ. άρθρο 39 παρ. 1 γ του ΓΚΠΔ και άρθρο 34 στοιχείο γ της Οδηγίας (ΕΕ) 2016/680).

Επιπλέον ο ΥΠΔ ενημερώνει τον οργανισμό ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς Τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί μόνο εφόσον η Ευρωπαϊκή Επιτροπή έχει αποφασίσει ότι η Τρίτη χώρα προσφέρει τις αντίστοιχες εγγυήσεις της προστασίας των προσωπικών δεδομένων.

Η υποχρέωση εχεμύθειας του ΥΠΔ

Αυτονόητη προϋπόθεση άσκησης του επαγγέλματος του ΥΠΔ είναι η υποχρέωση εχεμύθειας των δεδομένων προσωπικού χαρακτήρα που έρχονται σε γνώση αυτού. Μάλιστα στο άρθρο 70 παρ. 5 του υπό διαβούλευση σχεδίου νόμου, ΥΠΔ που παραβιάζει την εν λόγω υποχρέωση με σκοπό να ωφεληθεί ο ίδιος ή τρίτος, ή για να βλάψει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ή το υποκείμενο των δεδομένων ή οποιονδήποτε τρίτο τιμωρείται με ποινή φυλάκισης τουλάχιστον ενός (1) έτους και χρηματική ποινή από δέκα χιλιάδες (10.000) ευρώ έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιμωρείται βαρύτερα από άλλες διατάξεις.

Η παρακολούθηση συμμόρφωσης από τον ΥΠΔ

Ο ΥΠΔ έχει ως καθήκον να παρακολουθεί τη συμμόρφωση με τον Γενικό Κανονισμό και την Οδηγία, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία των δεδομένων και τις πολιτικές που ακολουθούν ο υπεύθυνος ή ο εκτελών την επεξεργασία (βλ. άρθρα 39 παρ. 1 εδ. β’ του ΓΚΠΔ, 34 στοιχείο β’ της Οδηγίας (ΕΕ) 2016/680 και «τις Κατευθυντήριες Γραμμές» για τους ΥΠΔ της Ομάδας εργασίας του άρθρου 29.

Στο σημείο βέβαια αυτό θα πρέπει να επισημανθεί ότι η Ομάδα Εργασίας του άρθρου 29 καθιστά σαφές ότι η παρακολούθηση συμμόρφωσης δεν σημαίνει ότι ο ΥΠΔ είναι προσωπικά υπεύθυνος όταν υπάρχει ένα περιστατικό μη συμμόρφωσης. Σύμφωνα με τον ΓΚΠΔ ο υπεύθυνος επεξεργασίας είναι ο υπεύθυνος να λάβει όλα τα απαραίτητα μέτρα ώστε να διασφαλίζει ότι η επεξεργασία διεξάγεται σύμφωνα με τον Κανονισμό.

Η συμμόρφωση αφορά όχι μόνο τις υποχρεώσεις που προβλέπει το θεσμικό πλαίσιο, αλλά και την ικανοποίηση των δικαιωμάτων των υποκειμένων των δεδομένων. Ως εκ τούτου εάν το υποκείμενο ασκήσει ένα από τα δικαιώματα πρόσβασης, διαγραφής, διόρθωσης, φορητότητας, εναντίωσης κτλ και ο υπεύθυνος επεξεργασίας δεν το ικανοποιήσει, τότε το υποκείμενο μπορεί να προβεί σε καταγγελία στο ΥΠΔ, ζητώντας του να εξετάσει τη συμμόρφωση του υπευθύνου με τις διατάξεις. Ακολούθως ο ΥΠΔ μπορεί να εξετάσει για ποιους λόγους δεν ικανοποιήθηκε το δικαίωμα και αν η άρνηση εμπίπτει σε κάποια από τις εξαιρέσεις. Επίσης ο ΥΠΔ μπορεί να προβλέψει εάν το υποκείμενο των δεδομένων θα προσφύγει στην αρχή και να εισηγηθεί στον υπεύθυνο επεξεργασίας την επανεξέταση του εν λόγω αιτήματος.

Ο DPO διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάση της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39. Κατά την αιτιολογική σκέψη 97 του ΓΚΠΔ, ο ΥΠΔ ορίζεται ως «ένα πρόσωπο με ειδικές γνώσεις στο δίκαιο και στις πρακτικές της προστασίας δεδομένων». Σύμφωνα δε, με τις «Κατευθυντήριες γραμμές για τους ΥΠΔ» της Ομάδας εργασίας του άρθρου 29, το επίπεδο εξειδίκευσης του ΥΠΔ δεν προσδιορίζεται αυστηρά, αλλά θα πρέπει να βρίσκεται σε αντιστοιχία με την πολυπλοκότητα και τον όγκο των δεδομένων που επεξεργάζεται κάθε φορά.

Σύμφωνα με ανακοίνωση της Ελληνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) o ΓΚΠΔ δεν θέτει κάποια υποχρεωτική απαίτηση για πιστοποίηση του DPO, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση. Στην ίδια κατεύθυνση κινήθηκε και η Βελγική Αρχή με την οποία τονίστηκε ότι για τον διορισμό του DPO δεν απαιτείται από τον Κανονισμό κανένα δίπλωμα ή ειδική πιστοποίηση (υπ’ αριθ. 4/2017 Γνωμοδότηση, σημεία 43 και 44). Αντίθετα, η αντίστοιχη Γνωμοδότηση της Ισπανικής Αρχής θέσπισε γενικές κατευθυντήριες γραμμές σχετικά με το Σύστημα Πιστοποίησης Προσώπων με την ιδιότητα του DPO και την λειτουργία αυτού (υπ’ αριθ. 2017.10.07.2017-0207 Γνωμοδότηση).

Ωστόσο, αν και στον ΓΚΠΔ δεν προσδιορίζονται τα ειδικά επαγγελματικά προσόντα που θα πρέπει να λαμβάνονται υπόψη κατά τον ορισμό του DPO, κρίνεται ότι τελευταίος πρέπει να διαθέτει τα εξής χαρακτηριστικά:

1) εμπειρογνωσία στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, τόσο σε εθνικό όσο και ευρωπαϊκό επίπεδο

2) να έχει άριστη γνώση του ΓΚΠΔ.

3) Χρήσιμη θεωρείται δε η γνώση του τομέα δραστηριότητας καθώς και του οργανισμού του υπευθύνου επεξεργασίας στον οποίο θα απασχοληθεί.

4) O DPO θα πρέπει να έχει καλή γνώση των πράξεων επεξεργασίας που διενεργούνται, καθώς και των συστημάτων πληροφορικής, και των αναγκών του υπευθύνου επεξεργασίας σε επίπεδο ασφάλειας και προστασίας των δεδομένων.

5) Eιδικά στην περίπτωση δημόσιας αρχής ή δημόσιου φορέα, ο υπεύθυνος προστασίας δεδομένων θα πρέπει να έχει επιπλέον καλή γνώση των διοικητικών κανόνων και διαδικασιών του οργανισμού.

Στο σημείο αυτό θα ήταν χρήσιμο να αναφέρουμε, ότι αν και η πιστοποίηση εμπειρίας δεν είναι τυπική προϋπόθεση κατά τον ΓΚΠΔ, όπως έχουμε ήδη τονίσει και ανωτέρω, κατά τον χρόνο σύνταξης των «Επαγγελματικών Προτύπων για τους ΥΠΔ των θεσμικών οργάνων και οργανισμών της Ε.Ε. που εργάζονται σύμφωνα με τον Κανονισμό (ΕΚ) 45/2001» (το 2010), η πιστοποίηση με την μεγαλύτερη ισχύ, κατά την κρίση των κοινοτικών ΥΠΔ είναι αυτή που παρείχε η Διεθνής Ένωση Επαγγελματιών Ιδιωτικότητας (International Association of privacy Professionals (IAPP). Επίσης στον ως άνω έγγραφο καθορισμού των επαγγελματικών προτύπων για τους κοινοτικούς ΥΠΔ, γίνεται αναφορά σε τριετή ή επταετή σχετική εμπειρία του ΥΠΔ, στην εφαρμογή διατάξεων προστασίας προσωπικών δεδομένων, κάτι το οποίο ίσως θα μπορούσε να λειτουργήσει αναλογικά στο μέλλον και στην εσωτερική έννομη τάξη.

Σχετικά με τα εκπαιδευτικά προγράμματα και σεμινάρια που πραγματοποιούνται στην Ελλάδα, σχετικά με την πιστοποίηση επαγγελματικών προσόντων DPO και τον ρόλο του, η Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) εξέδωσε ανακοίνωση με την οποία επισημαίνεται ότι σήµερα κανένας φορέας στην Ελλάδα δεν έχει διαπιστευθεί για να πιστοποιεί τα επαγγελµατικά προσόντα/δεξιότητες ενός DPO. Αν και η ύλη των προσφερόμενων εκπαιδευτικών προγραμμάτων είναι συναφής µε τον ΓΚΠΔ και τη θέση του DPO, σε καμία περίπτωση δεν πρέπει να επικρατήσει η αντίληψη ότι οι προτεινόμενες πιστοποιήσεις DPO αποτελούν επίσημες ελληνικές πιστοποιήσεις και η συμμετοχή των ενδιαφερόμενων πρέπει να γίνεται με αποκλειστική δική τους ευθύνη, έχοντας υπόψιν ότι η ολοκλήρωση των συγκεκριμένων προγραμμάτων δεν αποτελεί στάδιο για την λήψη οποιασδήποτε πιστοποίησης στην ελληνική επικράτεια.

Η διαδικασία ανάθεσης καθηκόντων εξειδικευμένου τύπου όπως αυτά ενός ΥΠΔ είναι διαφορετική στον δημόσιο και τον ιδιωτικό τομέα. Στον δημόσιο τομέα η διαδικασία θα πρέπει να εκκινήσει με την δημοσίευση μιας πρόσκλησης ενδιαφέροντος, η οποία θα πρέπει να αναρτηθεί στην επίσημη ιστοσελίδα του φορέα, καθώς και στο Πρόγραμμα «Διαύγεια» (Ν.3861/2010) και στην οποία θα πρέπει να διευκρινίζεται εάν ο ΥΠΔ θα είναι πλήρους ή μερικής απασχόλησης ως προς τα συγκεκριμένα καθήκοντά του για την προστασία δεδομένων. Στο σημείο αυτό θα πρέπει να επισημανθεί ότι η ως άνω πρόσκληση θα πρέπει να διευκρινίζει κατά πόσο ο ορισμός ΥΠΔ αφορά ανάθεση καθηκόντων σε ήδη υφιστάμενο μέλος του προσωπικού ή εάν απευθύνεται στην ελεύθερη αγορά. Στην συνέχεια ακολουθεί η αξιολόγηση των υποψηφίων όπου τα βασικά προσόντα θα κριθούν είναι η εμπειρογνωσία στον τομέα του δικαίου και των πρακτικών της προστασίας προσωπικών δεδομένων, καθώς και της ικανότητας να ασκεί τα καθήκοντα του άρθρου 39 του ΓΚΠΔ. Το κεντρικό ζητούμενο βέβαια είναι η ικανότητα του προσώπου να ασκεί τα εν λόγω καθήκοντα με ανεξαρτησία. Στο σημείο αυτό αξίζει να σημειωθεί ότι ο Κανονισμός δεν θέτει κάποια υποχρεωτική απαίτηση για πιστοποίηση του ΥΠΔ, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση (βλ. την υπ’ αριθμ. πρωτ. Γ/ΕΞ/6007/09-08-2017 Ανακοίνωση και τη Γνωμοδότηση 7/2017 της Αρχής).

Στη συνέχεια καταρτίζεται πίνακας υποψηφίων, ο οποίος θα πρέπει να είναι προσβάσιμος για τους ενδιαφερόμενους ώστε να διασφαλίζονται οι αρχές της διαφάνειας και της ίσης μεταχείρισης. Η πράξη ορισμού του ΥΠΔ πρέπει να λάβει τη μέγιστη δυνατή δημοσιότητα είτε πρόκειται για δημόσια υπηρεσία είτε για ιδιωτική επιχείρηση. Το ανθρώπινο δυναμικό πρέπει να ενημερωθεί άμεσα για την ταυτότητα του ΥΠΔ με σχετική ανακοίνωση. Ακολούθως και ο ίδιος ο ΥΠΔ οφείλει να προσχωρήσει στην ενημέρωση των υποκειμένων των δεδομένων, τόσο εντός όσο και εκτός της οντότητας (πχ πελάτες, γενικό κοινό κτλ). Όπως έχουμε ήδη αναφέρει και ανωτέρω η διαδικασία ορισμού ΥΠΔ στο σχέδιο του ελληνικού νόμου προβλέπεται στο άρθρο 14 παρ. 3.

Βιβλιογραφία-Αρθρογραφία

«Ο Υπεύθυνος Προστασίας Δεδομένων κατά τον Κανονισμό 2016/679 και την Οδηγία 2016/680», Ιωάννης Δ. Ιγγλεζάκης, Δίκαιο και Νέες Τεχνολογίες, τ.125/2018, σελ. 54-57

«Υπεύθυνος Προστασίας Δεδομένων-Εργαλειοθήκη για τον νέο θεσμό σε δημόσιο και ιδιωτικό τομέα», Βασίλης Σωτηρόπουλος, Εκδόσεις Σάκκουλα

Online Πηγές

Άρθρο 38 - Γενικός Κανονισμός για την Προστασία Δεδομένων

GDPR και Υπεύθυνοι Προστασίας Δεδομένων (DPO): Τι πρέπει να γνωρίζετε

Κατευθυντήριες γραμμές Ομάδας Εργασίας Άρθρου 29 σχετικά με τους υπεύθυνους προστασίας δεδομένων

Γνωμοδότηση 7/2017 Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Ανακοίνωση Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για DPOs

Γνωμοδότηση 4/2017 Βελγικής Αρχής Προστασίας Προσωπικών Δεδομένων

Γνωμοδότηση Ισπανικής Αρχής Προστασίας Προσωπικών Δεδομεων για την πιστοποίηση των DPOs

Online εργαλείο Ευρωπαϊκής Επιτροπής για την πρσοτασία δεδομένων

Ανακοίνωση Βαυαρικής Αρχής Προστασίας Προσωπικών Δεδομένων

Επαγγελματικά Πρότυπα για DPOs από τον Ευρωπαίο Επόπτη για την Προστασία Δεδομέναν (EDPS)