Είναι δουλειά του Υπεύθυνου Προστασίας Δεδομένων (DPO) η σύνταξη των συμφωνητικών;

Η εποπτική αρχή προσωπικών δεδομέωνν της Σαξονίας στη γερμανία γίνεται συχνά αποδέκτης ερωτημάτων σχετικά με το εύρος των καθηκόντων των Υπευθύνων Προστασίας Δεδομένων, που ορίζονται σύμφωνα με το άρθρο 37 ΓΚΠΔ, και τον βαθμό στον οποίο είναι υπεύθυνοι ή συμμετέχουν στη σύνταξη και κατάρτιση συμφωνητικών.

Η Αρχή επισημαίνει στους ερωτώντες ότι, σύμφωνα με το άρθρο 39 παρ.1α’ ΓΚΠΔ, οι Υπεύθυνοι Προστασίας Δεδομένων έχουν το καθήκον να συμβουλεύουν τον υπεύθυνο επεξεργασίας.

Στο πλαίσιο αυτό, η αιτιολογική σκέψη 77 αναφέρει πως ο ΥΠΔ μπορεί να παρέχει καθοδήγηση στον υπεύθυνο επεξεργασίας σχετικά με την εφαρμογή των κατάλληλων μέτρων και τη συμμόρφωση με τις απαιτήσεις του ΓΚΠΔ.

Όπως αναφέρει η Αρχή, "από τις διατυπώσεις αυτές δεν μπορούμε να συνάγουμε την οποιαδήποτε υποχρέωση του ΥΠΔ να συνδράμει στη διαμόρφωση νομικών όρων, στο πλαίσιο της σύνταξης και κατάρτισης συμφωνητικών. Ωστόσο, ενδέχεται να είναι χρήσιμο να επισημαίνονται τυχόν προβληματισμοί σχετικά με την προστασία δεδομένων επί των σχετικών σχεδίων".

Στο πλαίσιο αυτό, η Αρχή επισημαίνει επίσης την άποψη της Συνόδου των γερμανικών αρχών προστασίας δεδομένων (DSK), όπως αυτή αποτυπώθηκε στο σημείωμα 12 με τίτλο «Υπεύθυνοι Προστασίας Δεδομένων για υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία»: Ο ΓΚΠΔ ρητώς διευκρινίζει στο άρθρο 24 παρ.1 πως η διασφάλιση και απόδειξη της συμμόρφωσης των πράξεων επεξεργασίας με τις απαιτήσεις του ΓΚΠΔ παραμένει καθήκον του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και όχι του Υπευθύνου Προστασίας Δεδομένων.

Από την ετήσια έκθεση 2023 της γερμανικής εποπτικής αρχής