logo-print

Data Protection Officers: Μπορούν να λαμβάνουν κρατική πιστοποίηση από την αρχή προστασίας δεδομένων;

Πώς η Λετονία ανέθεσε στην αρχή προστασίας δεδομένων την πιστοποίηση των Υπευθύνων Προστασίας Δεδομένων

Το δίκαιο της ψηφιακής οικονομίας

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ

Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων και Ευθύνη για Αποζημίωση

Στις 10 Απριλίου 2024, η αρχή προστασίας προσωπικών δεδομένων της Λετονίας Datu valsts inspekcija (DVI) διοργανώνει τις πρώτες για το έτος εξετάσεις πιστοποίησης Υπευθύνων Προστασίας Δεδομένων. Σύμφωνα με τη σχετική προκήρυξη, που έχει δημοσιευτεί στον ιστότοπο της αρχής, όσοι επιθυμούν να συμμετάσχουν καλούνται να υποβάλουν ηλεκτρονική αίτηση, καταβάλλοντας παράβολο 188,78 ευρώ.

Η πιστοποίηση των DPO από δημόσια αρχή – και δη από την κατά τεκμήριο ικανότερη και πλεον αρμόδια να αναλάβει τη σχετική διαδικασία εποπτική αρχή του ΓΚΠΔ – προβλέπεται από τον ίδιο το νόμο της Λετονίας για την εφαρμογή διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων.

Ο Λετονός νομοθέτης έχει προτιμήσει να διαμορφώσει μια θεσμοθετημένη, οικονομικά προσιτή και απολύτως ελεγχόμενη από δημόσια αρχή διαδικασία πιστοποίησης, αποκλίνοντας από την πρακτική που ακολουθείται στις περισσότερες χώρες που εφαρμόζουν τον ΓΚΠΔ, όπου η πιστοποίηση αυτή δίνεται από πανεπιστημιακά ιδρύματα ή ιδιωτικές εταιρείες.

Η ρύθμιση αυτή δεν συνεπάγεται την απαγόρευση συμμετοχής σε προγράμματα πιστοποίησης τρίτων φορέων ή την υποχρέωση ορισμού ενός πιστοποιημένου από την εποπτική αρχή DPO. Όπως ρητώς προβλέπεται, η πιστοποίηση από τη DVI συνεπάγεται την ένταξη στο ειδικό μητρώο πιστοποιημένων DPO, το οποίο αναρτάται στον ιστότοπο της αρχής, προκειμένου να είναι στη διάθεση παντός ενδιαφερομένου προσώπου. Ωστόσο, οι φορείς έχουν τη δυνατότητα να επιλέξουν και να ορίσουν πρόσωπα και εκτός του μητρώου αυτού.

Παράλληλα, η ρύθμιση αυτή μοιάζει αρχικά να δυσκολεύει την ανάπτυξη προγραμμάτων πιστοποίησης από τρίτους παρόχους, καθώς είναι προφανές πως η πιστοποίηση από την ίδια την αρχή προστασίας δεδομένων έχει εξαιρετικά υψηλό κύρος. Ωστόσο, όπως θα αναλυθεί στη συνέχεια, ο νομοθέτης αφήνει ανοικτή τη δραστηριοποίηση τρίτων στη μεγάλη αυτή αγορά της πιστοποίησης των DPO. Τούτο διότι, η πιστοποίηση πρέπει να ανανεώνεται ανά 3ετία, με την ανανέωση να γίνεται μέσω συμμετοχής σε προγράμματα εκπαίδευσης.

Οι προβλέψεις του εθνικού νόμου

Σύμφωνα με το άρθρο 17 του εθνικού νόμου, κάθε πρόσωπο που πληροί τα κριτήρια του άρθρου 37 παρ.5 ΓΚΠΔ μπορεί να ορίζεται ως Υπεύθυνος Προστασίας Δεδομένων (DPO). Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασίας έχουν τη δυνατότητα να ορίζουν ως DPO ένα πρόσωπο που περιλαμβάνεται στο μητρώο των DPO, το οποίο τηρείται από την αρχή προστασίας δεδομένων της χώρας ή και πρόσωπο εκτός του μητρώου αυτού.

Σχετικά με το μητρώο των DPO, το άρθρο 18 προβλέπει πως, προκειμένου να αναγνωρίζονται οι Υπεύθυνοι Προστασίας Δεδομένων που έχουν δώσει επιτυχώς τις εξετάσεις πιστοποίησης και να διασφαλίζεται πως οι πληροφορίες για αυτούς είναι διαθέσιμες, η εποπτική αρχή διατηρεί κατάλογο Υπευθύνων Προστασίας Δεδομένων, ο οποίος περιλαμβάνει μόνο τα πρόσωπα που έχουν περάσει τις εξετάσεις. Ο κατάλογος αυτός τίθεται στη διάθεση του κοινού μέσα από τον ιστότοπο της εποπτικής αρχής.

Η διαδικασία πιστοποίησης ρυθμίζεται καταρχήν μέσα από το άρθρο 19 του νόμου, το οποίο με τη σειρά του παρέχει εξουσιοδότηση για ειδικότερη ρύθμιση των επιμέρους ζητημάτων μέσω Υπουργικής Απόφασης. Σύμφωνα με τη ρύθμιση του εθνικού νομοθέτη, οι εξετάσεις πιστοποίησης DPO διοργανώνονται από την αρχή προστασίας δεδομένων. Όταν ένα πρόσωπο επιτυγχάνει στις εξετάσεις αυτές, ο Διευθυντής της αρχής εκδίδει διοικητική πράξη για την ένταξή του στο μητρώο των DPO.

Τέλος, το άρθρο 21 του νόμου προβλέπει τους λόγους διαγραφής από το μητρώο των DPO, αλλά και τη διαδικασία επανένταξης σε αυτό μετά τη διαγραφή του.

Η διαδικασία των εξετάσεων

Η διαδικασία των εξετάσεων για την πιστοποίηση DPO ρυθμίζεται αναλυτικά με την Υπουργική Απόφαση 620 της 6ης Οκτωβρίου 2020.

Σύμφωνα με την ΥΑ αυτή, οι εξετάσεις χωρίζονται σε δύο μέρη. Στο πρώτο μέρος, η εξεταζόμενοι καλούνται να απαντήσουν σε 60 ερωτήσεις, οι οποίες χωρίζονται σε τρεις θεματικές ενότητες:

Στην πρώτη ενότητα (30 ερωτήσεις) τίθενται ερωτήματα σχετικά με το νομικό πλαίσιο του Γενικού Κανονισμού Προστασίας Δεδομένων και τις διατάξεις αυτού, όπως τις έννοιες της νομοθεσίας, το πεδίο εφαρμογής, τις αρχές και νομικές βάσεις, τις διαβιβάσεις και τα δικαιώματα των υποκειμένων. Στη δεύτερη ενότητα (20 ερωτήσεις) τα ερωτήματα που τίθενται αφορούν τις υποχρεώσεις των υπευθύνων επεξεργασίας και την ασφάλεια των δεδομένων, ενώ στην τρίτη και τελευταία ενότητα (10 ερωτήσεις), οι εξεταζόμενοι καλούνται να απαντήσουν επί ερωτημάτων σχετικά με το γενικότερο νομοθετικό πλαίσιο που ρυθμίζει την προστασία δεδομένων, αλλά και τη νομολογία επί του δικαιώματος.

Στο δεύτερο μέρος της εξέτασης, οι εξεταζόμενοι καλούνται να αναπτύξουν αναλυτικότερα τη σκέψη τους και να επιλύσουν δύο πρακτικές ασκήσεις που τους δίνονται. Κατά το στάδιο αυτό, οι εξεταζόμενοι μπορούν να χρησιμοποιούν υποστηρικτικό υλικό που τους παρέχεται από τη διοργανώτρια αρχή, ενώ σε κανένα σημείο της εξέτασης, η οποία γίνεται δια ζώσης, δεν επιτρέπεται η χρήση νομοθετικών κειμένων ή συγγραμμάτων.

Περαιτέρω, η Υπουργική Απόφαση ρυθμίζει αναλυτικά τη διαδικασία προκήρυξης για τη διενέργεια των εξετάσεων, τα απαιτούμενα δικαιολογητικά, την υποχρέωση καταβολής παραβόλου, το οποίο έχει καθοριστεί στα 188,78 ευρώ, αλλά και τις υποχρεώσεις και τα δικαιώματα των εξεταζομένων. Μεταξύ των δικαιωμάτων αυτών, και η δυνατότητα που τους δίνεται να εξεταστούν στην επόμενη σειρά, χωρίς την εκ νέου καταβολή παραβόλου, στην περίπτωση όπου απουσιάσουν δικαιολογημένα από την εξέταση.

Η λογική του εγχειρήματος και η ανανέωση της πιστοποίησης

Το μοντέλο που ακολουθείται από τη Λετονία παρουσιάζει, χωρίς αμφιβολία, ενδιαφέρον. Με μια πρώτη ματιά δίνεται ίσως η εντύπωση πως ο νομοθέτης αποκλείει στην πράξη τους τρίτους φορείς (πανεπιστήμια και εταιρείες) από την ιδιαίτερα ανεπτυγμένη στις περισσότερες χώρες αγορά της παροχής πιστοποιήσεων για DPO. Είναι προφανές πως, μολονότι η συμμετοχή στις εξετάσεις πιστοποίησης της DVI δεν είναι υποχρεωτική, το κύρος με το οποίο περιβάλλει την πιστοποίηση αυτή η άμεση ανάμειξη της αρμόδιας αρχής, καθιστά τη συμμετοχή αυτή μονόδρομο για τους ενδιαφερόμενους, ενώ δεν μπορεί κανείς να μην επισημάνει το χαμηλό κόστος για τη συμμετοχή.

Είναι επίσης προφανές πως, μολονότι οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία έχουν τη δυνατότητα να ορίσουν ως DPO πρόσωπο που δεν περιλαμβάνεται στο μητρώο της DVI, δύσκολα θα το κάνουν, γνωρίζοντας πως η επιλογή τους αυτή ενδέχεται να αξιολογηθεί και να κριθεί στην περίπτωση συμβάντος.

Ο νομοθέτης, ωστόσο, δεν κλείνει την πόρτα στην ιδιωτική πρωτοβουλία ή τη δυνατότητα πανεπιστημιακών ιδρυμάτων και λοιπών φορέων να αναμειχθούν στην πιστοποίηση των DPO. Αντιθέτως μάλιστα, την ανοίγει διάπλατα μέσω της ανανέωσης της πιστοποίησης. Τούτο διότι, η πιστοποίηση της DVI δεν ισχύει εσαεί.

Σύμφωνα με το Κεφάλαιο 6 της Υπουργικής Απόφασης, για τη διατήρηση της πιστοποίησης απαιτείται η συμμετοχή του πιστοποιηθέντος DPO σε προγράμματα εκπαίδευσης, ως εκπαιδευτή ή ως εκπαιδευομένου. Η εκπαίδευση αυτή πρέπει να έχει ελάχιστη διάρκεια 36 ωρών ανά τριετία μετά την ένταξη στο μητρώο, εκ των οποίων οι 18 ώρες πρέπει να αφορούν αποκλειστικά την προστασία των προσωπικών δεδομένων. Την εκπαίδευση αυτή μπορεί να παρέχει η ίδια η εποπτική αρχή, μέσω προγραμμάτων που διοργανώνει, αλλά και ένας ευρύτατος κύκλος τρίτων φορέων, όπως ιδρύματα ή νομικά πρόσωπα, πάροχοι υπηρεσιών εκπαίδευσης και κατάρτισης, επαγγελματικές ενώσεις DPO ή οργανώσεις προστασίας δεδομένων, εντός και εκτός της χώρας, ακόμη και τρίτες εποπτικές αρχές του ΓΚΠΔ.

Ως προς τους φορείς που παρέχουν την εκπαίδευση αυτή εντός Λετονίας, η απόφαση θέτει και κάποιες προϋποθέσεις για τη διασφάλιση της ποιότητας της παρεχόμενης υπηρεσίας. Οι εκπαιδευτές πρέπει να έχουν εμπειρία τουλάχιστον τεσσάρων ετών στο αντικείμενο της προστασίας δεδομένων, ενώ τα προγράμματα εκπαίδευσης πρέπει να κοινοποιούνται στην αρχή τουλάχιστον δύο μήνες πριν την πραγματοποίησή τους, προκειμένου να αξιολογείται η ποιότητα του προγράμματος και η εμπειρογνωσία των εκπαιδευτών και να δίδεται έγκριση για την αναγνώριση των ωρών της εκπαίδευσης που θα πραγματοποιηθεί.

Το αργότερο 3 έτη και 2 μήνες από την ένταξή τους στο μητρώο DPO, οι πιστοποιηθέντες οφείλουν να υποβάλουν προς την εποπτική αρχή αίτηση για ανανέωση της πιστοποίησής τους, συμπληρώνοντας σε ειδικό έντυπο τις ώρες εκπαίδευσης που αυτοί έχουν παρακολουθήσει και τις σχετικές πληροφορίες για το κάθε πρόγραμμα, προκειμένου τα στοιχεία αυτά να αξιολογηθούν. Στην περίπτωση όπου ο πιστοποιηθείς έχει συμμετάσχει σε πρόγραμμα εκπαίδευσης ως εκπαιδευτής ή έχει συμμετάσχει σε συνέδριο επί του αντικειμένου ως εισηγητής, οι ώρες προσμετρώνται διπλές. Στην περίπτωση όπου οι υποβληθείσες και αξιολογηθείσες ώρες δεν συμπληρώνουν το απαιτούμενο ελάχιστο όριο, ο πιστοποιηθείς έχει 4 μήνες για να τις συμπληρώσει και να επανέλθει με νέα αίτηση. Αν και πάλι δεν τα καταφέρει, ή αν δεν επιθυμεί να μπει στη διαδικασία της εκπαίδευσης, μπορεί απλώς και περιμένει τη διαγραφή του από το μητρώο, προκειμένου να ξαναδώσει εξετάσεις.

Ο δικαστικός έλεγχος της δράσης των ανεξάρτητων αρχών

ΣΥΝΤΑΓΜΑΤΙΚΟ ΔΙΚΑΙΟ & ΘΕΜΕΛΙΩΔΗ ΔΙΚΑΙΩΜΑΤΑ / ΣΥΝΤΑΓΜΑΤΙΚΟ ΔΙΚΑΙΟ

Δίκαιο Κοινωνικής Ασφάλισης

ΑΓΓΕΛΟΣ ΣΤΕΡΓΙΟΥ

ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΚΟΙΝΩΝΙΚΗ ΑΣΦΑΛΙΣΗ