logo-print

Ο ορισμός και η θέση του DPO στο μικροσκόπιο του ΕΣΠΔ

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δημοσίευσε την έκθεση της Συντονισμένης Δράσης του για τους Υπευθύνους Προστασίας Δεδομένων

18/01/2024

18/01/2024

Το δίκαιο της ψηφιακής οικονομίας

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ

Δίκαιο πληροφορικής - E έκδοση

Δημοσιεύτηκε από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων η Έκθεση για τη Συντονισμένη Δράση του 2023 με θέμα τον ορισμό και τη θέση του Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ – DPO) στους οργανισμούς που εφαρμόζουν τον Γενικό Κανονισμό Προστασίας Δεδομένων.

Η Συντονισμένη Δράση, άλλως Πλαίσιο Συντονισμένης Επιβολής, του ΕΣΠΔ είναι μια πρωτοβουλία του Συμβουλίου για την ανάδειξη και εξέταση ενός ειδικότερου ζητήματος κάθε χρόνο. Μετά την πρώτη Δράση του 2022 για τη χρήση υπηρεσιών cloud από δημοσίους φορείς, σειρά είχε το κομβικό ζήτημα του ρόλου των DPO.

Στο πλαίσιο της Συντονισμένης Δράσης αυτής, 25 εποπτικές αρχές του ΓΚΠΔ πραγματοποίησαν έρευνες σε εθνικό επίπεδο και με τη χρήση ερωτηματολογίων συνέλεξαν χρήσιμες πληροφορίες ως προς τον τρόπο με τον οποίο εφαρμόζονται στην πράξη τα άρθρα 37-38-39 Γενικού Κανονισμού Προστασίας Δεδομένων.

Από τις πληροφορίες αυτές αντλήθηκαν σημαντικά συμπεράσματα και κρίσιμοι προβληματισμοί ως προς τις αδυναμίες, τα λάθη και τις ελλείψεις που διαπιστώνονται κατά την εφαρμογή των διατάξεων του ΓΚΠΔ.

Οι προβληματισμοί αυτοί αποτυπώνονται συνοπτικά στο ακόλουθο εισαγωγικό κείμενο της Έκθεσης του 2023, όπου και καταγράφονται κάποιες πρώτες σκέψεις του Συμβουλίου και των εποπτικών αρχών ως προς τις ενέργειες για την αντιμετώπιση των προβλημάτων.

Ειδικότερα και σύμφωνα με την εισαγωγή του κειμένου:

Τον Οκτώβριο του 2020, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) αποφάσισε να δημιουργήσει ένα πλαίσιο συντονισμένο επιβολής (Coordinated Enforcement Framework - CEF) με σκοπό τον εξορθολογισμό της επιβολής και της συνεργασίας μεταξύ των εποπτικών αρχών, σύμφωνα με τη στρατηγική 2021-2023 του Συμβουλίου. Ένα πρώτο CEF διεξήχθη το 2021 σχετικά με τη χρήση υπηρεσιών cloud από δημόσιους φορείς.

Ως δεύτερο CEF, το ΕΣΠΔ επέλεξε τον Σεπτέμβριο του 2022 τον «Ορισμό και θέση των Υπευθύνων Προστασίας Δεδομένων», για τη Συντονισμένη Δράση του για το έτος 2023.

Κατά τη διάρκεια του 2023, 25 εποπτικές αρχές σε ολόκληρο τον ΕΟΧ διενήργησαν συντονισμένες έρευνες ως προς τον ρόλο των Υπευθύνων Προστασίας Δεδομένων (ΥΠΔ).  Το CEF εφαρμόστηκε σε εθνικό επίπεδο με έναν ή περισσότερους από τους ακόλουθους τρόπους: (1) άσκηση διερεύνησης γεγονότων, (2) ερωτηματολόγιο για να προσδιοριστεί εάν δικαιολογείται επίσημη έρευνα, και/ή (3) έναρξη επίσημης έρευνας επιβολής ή παρακολούθηση εν εξελίξει επίσημων ερευνών.

Μεταξύ Νοεμβρίου 2022 και Φεβρουαρίου 2023, οι εν λόγω εποπτικές αρχές συζήτησαν τους στόχους και τα μέσα των ενεργειών τους στο πλαίσιο του CEF. Στο πλαίσιο αυτό, οι εποπτικές αρχές συνέταξαν ένα ερωτηματολόγιο με ουδέτερο τρόπο, ώστε να είναι δυνατή η συμπλήρωσή του είτε από τον υπεύθυνο επεξεργασίας/εκτελούντα την επεξεργασία, είτε από τον ΥΠΔ. Παράλληλα, εξασφάλισαν ότι οι εποπτικές αρχές θα ήταν μπορούσαν να προσαρμόσουν το ερωτηματολόγιο ή να συντάξουν το δικό τους, με βάση (ή εμπνευσμένο από) το κοινά συνταχθέν ερωτηματολόγιο. Η παρούσα έκθεση συγκεντρώνει τα πορίσματα όλων των εποπτικών αρχών που συμμετείχαν στο CEF. Ιδιαίτερη προσοχή δίνεται στις προκλήσεις που εντοπίστηκαν από τις εποπτικές αρχές ή/και τους ερωτηθέντες κατά τη διάρκεια της δράσης του CEF. Σε αυτές περιλαμβάνονται θέματα όπως οι ανεπαρκείς πόροι που διατίθενται στους ΥΠΔ, η ανεπαρκής γνώση και κατάρτιση των ΥΠΔ και οι κίνδυνοι σύγκρουσης συμφερόντων.

Η παρούσα έκθεση παρέχει, μεταξύ άλλων, κατάλογο συστάσεων που μπορούν να λάβουν υπόψη οι οργανισμοί, οι ΥΠΔ ή/και οι εποπτικές αρχές για την αντιμετώπιση των προκλήσεων που εντοπίστηκαν, με την επιφύλαξη των διατάξεων του ΓΚΠΔ/ΕUDPR και των εξουσιών των εποπτικών αρχών.

Κατάλογος συστάσεων / Σημεία που χρήζουν προσοχής

1. Απουσία ορισμού ΥΠΔ, αν και υποχρεωτικού

- Περισσότερες πρωτοβουλίες από τις εποπτικές αρχές θα μπορούσαν να ευαισθητοποιήσουν τους οργανισμούς σχετικά με την υποχρέωσή τους να ορίσουν ΥΠΔ, συμπεριλαμβανομένου του κατά πόσον απαιτείται ή όχι πράγματι ένας ΥΠΔ. Περαιτέρω καθοδήγηση από τις εποπτικές αρχές σχετικά με τις ισχύουσες απαιτήσεις για τον ορισμό ΥΠΔ, περαιτέρω εκστρατείες ευαισθητοποίησης για την προώθηση της υφιστάμενης καθοδήγησης για το θέμα αυτό και δράσεις επιβολής μπορούν να αποτελέσουν μέρος της λύσης για την εκπαίδευση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία.

2. Διάθεση ανεπαρκών πόρων στον ΥΠΔ         

- Περισσότερες πρωτοβουλίες και δράσεις από τις εποπτικές αρχές θα μπορούσαν να δώσουν κίνητρο στη διοίκηση των οργανισμών να διαθέσει περισσότερους πόρους στους ΥΠΔ και την ομάδα τους.

- Ανά πάσα στιγμή, οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία πρέπει να διενεργούν κατάλληλη, ανά περίπτωση, ανάλυση των πόρων που χρειάζεται ένας ΥΠΔ. Συστήνεται στους υπευθύνους επεξεργασίας να λαμβάνουν σοβαρά υπόψη τους αυτή την υποχρέωση και να είναι έτοιμοι να παρουσιάσουν τα αποτελέσματα των ενεργειών τους.

- Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία πρέπει να επαληθεύουν προσεκτικά ότι ο ΥΠΔ διαθέτει επαρκείς πόρους για την ορθή άσκηση των καθηκόντων του. Σε ορισμένες περιπτώσεις, όταν απασχολούν εξωτερικό ΥΠΔ, μπορεί να απαιτείται από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία να επαληθεύσουν πόσους πελάτες έχει ο εν λόγω ΥΠΔ, ώστε να διασφαλίσουν ότι διαθέτει επαρκή χρόνο και ικανότητα για την εκπλήρωση των σχετικών υποχρεώσεων του βάσει ΓΚΠΔ.

- Περαιτέρω καθοδήγηση από τις εποπτικές αρχές καθώς και πρόσθετο εκπαιδευτικό υλικό θα μπορούσαν να βοηθήσουν τους ΥΠΔ να χειριστούν πολύπλοκα ζητήματα και να εξοικονομήσουν χρόνο.

3. Ανεπαρκής εμπειρογνωσία και κατάρτιση του ΥΠΔ

- Οι εποπτικές αρχές ή/και το ΕΣΠΔ θα μπορούσαν να παρέχουν περαιτέρω καθοδήγηση και εκπαιδευτικά σεμινάρια για τους ΥΠΔ. Αυτές οι εκπαιδεύσεις (και ο αριθμός των αναγκαίων εκπαιδεύσεων) μπορούν να προσαρμοστούν ανάλογα με τις ειδικές ανάγκες κάθε κράτους μέλους.

- Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα πρέπει να διασφαλίζουν ότι τεκμηριώνουν τις ανάγκες και την πρόοδο των οργανισμών τους σε γνώσεις και κατάρτιση. Αυτό μπορεί να είναι σημαντικό και για τη διασφάλιση της συμμόρφωσης με το άρθρο 24 και το άρθρο 5 παρ.2 ΓΚΠΔ, καθώς και με το άρθρο 26 και το άρθρο 4 παρ.2 EUDPR.

- Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα πρέπει να διασφαλίζουν ότι στους ΥΠΔ παρέχονται επαρκείς ευκαιρίες, χρόνος και πόροι για την ανανέωση των γνώσεών τους και την εκπαίδευση επί των τελευταίων εξελίξεων, μεταξύ άλλων, εάν αυτό είναι σχετικό με τις δραστηριότητές τους, σχετικά με τη νέα νομοθεσία της ΕΕ για την ψηφιακή τεχνολογία και τη νομοθεσία που σχετίζεται με την Τεχνητή Νοημοσύνη.

- Αυξημένη χρήση μηχανισμών και πρωτοβουλιών πιστοποίησης, όπου αυτό κρίνεται σκόπιμο.

- Αυξημένη συνεργασία των ενδιαφερομένων με πανεπιστήμια και μαθήματα κατάρτισης στην αγορά.

4. Οι ΥΠΔ δεν είναι πλήρως ή ρητώς επιφορτισμένοι με τα καθήκοντα που απαιτούνται βάσει ΓΚΠΔ/ΕUDPR

- Περισσότερες πρωτοβουλίες και δράσεις από τις εποπτικές αρχές θα μπορούσαν να αποτελέσουν κίνητρο για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία ώστε να διατηρήσουν τον κατάλληλο διαχωρισμό μεταξύ, αφενός, των υποχρεώσεων του υπευθύνου επεξεργασίας/εκτελούντος την επεξεργασία και, αφετέρου, των υποχρεώσεων και των καθηκόντων του ίδιου του ΥΠΔ, όπως ορίζονται στον ΓΚΠΔ/ΕUDPR.

- Οι υπεύθυνοι επεξεργασίας θα πρέπει να φροντίζουν να προωθούν τον ρόλο του ΥΠΔ τους εσωτερικά.

- Οι υπεύθυνοι επεξεργασίας θα πρέπει να συνεργάζονται με τους ΥΠΔ τους για να αναπτύξουν τους ρόλους τους με κατάλληλα ολοκληρωμένο και ανεξάρτητο τρόπο.

- Οι εποπτικές αρχές θα μπορούσαν να συμπεριλάβουν τους ΥΠΔ ή/και τις γνώμες τους με δημιουργικό τρόπο στις διαδικασίες που αυτές ακολουθούν όταν έρχονται σε επαφή με έναν υπεύθυνο επεξεργασίας ή/και εκτελούντα την επεξεργασία, γεγονός που θα συμβάλει στην ενεργοποίηση και προώθηση των ΥΠΔ στον ρόλο τους.

- Όλα τα ενδιαφερόμενα μέρη θα πρέπει να προωθήσουν το ρόλο του ΥΠΔ εντός των οργανισμών, ώστε να διασφαλιστεί ότι ο ΥΠΔ θεωρείται απαραίτητος και ότι παρέχεται αποτελεσματική υποστήριξη από τον υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, σύμφωνα με τον ΓΚΠΔ/ΕUDPR.

- Οι εποπτικές αρχές μπορούν να υποστηρίξουν και να ενθαρρύνουν πρωτοβουλίες για την προστασία και την ενίσχυση της ανεξαρτησίας του ΥΠΔ, ανεξάρτητα από τη μορφή της σύμβασης βάσει της οποίας εκτελεί τα καθήκοντά του, έτσι ώστε οι ΥΠΔ να αισθάνονται ασφαλείς για την εκπλήρωση όλων των πτυχών του ρόλου τους.

- Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα πρέπει να διασφαλίζουν ότι επανεξετάζουν ενεργά και (όπου χρειάζεται) βελτιώνουν τη συμμετοχή του ΥΠΔ στον οργανισμό. Η εν λόγω επανεξέταση μπορεί, μεταξύ άλλων, να λαμβάνει υπόψη τις κατευθυντήριες γραμμές για τους ΥΠΔ, μια ετήσια έκθεση των δραστηριοτήτων του ΥΠΔ και τις εν γένει ορθές πρακτικές.

5. Σύγκρουση συμφερόντων και απουσία ανεξαρτησίας του ΥΠΔ

- Οι εποπτικές αρχές υπενθυμίζουν ότι ο όρος "σύγκρουση συμφερόντων" έχει ήδη αποσαφηνιστεί στις κατευθυντήριες γραμμές για τους ΥΠΔ και πιο πρόσφατα από το Δικαστήριο της Ευρωπαϊκής Ένωσης στην απόφαση X-Fab Dresden. Παρά ταύτα, τα αποτελέσματα της δράσης CEF κατέδειξαν κινδύνους πιθανής σύγκρουσης συμφερόντων. Με βάση αυτό, οι κατευθυντήριες γραμμές για τους ΥΠΔ θα πρέπει να αναπτυχθούν περαιτέρω, λαμβάνοντας επίσης υπόψη τους νέους ρόλους που αναλαμβάνουν οι ΥΠΔ σε ορισμένους οργανισμούς βάσει των νέων νομοθετικών πράξεων της ΕΕ στον ψηφιακό τομέα.

- Περισσότερες πρωτοβουλίες και δράσεις από τις εποπτικές αρχές θα μπορούσαν να επαληθεύσουν ότι οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία διαθέτουν κατάλληλες εγγυήσεις στις διαδικασίες τους, ώστε να διασφαλίζεται ότι ο ΥΠΔ δεν είναι υπεύθυνος για την εκτέλεση καθηκόντων που οδηγούν σε σύγκρουση συμφερόντων.

- Θα μπορούσαν να προβλεφθούν περισσότερες δραστηριότητες ευαισθητοποίησης, ενημέρωσης και δράσεις επιβολής της νομοθεσίας σχετικά με την ανεξαρτησία του ΥΠΔ (συμπεριλαμβανομένης της απαγόρευσης επιβολής κυρώσεων και απόλυσης των ΥΠΔ για την εκτέλεση των καθηκόντων τους), είτε από τις εποπτικές αρχές, είτε εσωτερικά από τους ίδιους τους οργανισμούς.

- Οι οργανισμοί και οι ΥΠΔ θα μπορούσαν να τυποποιούν τα καθήκοντα του ΥΠΔ και τους όρους άσκησης των καθηκόντων του σε ένα «έγγραφο ανάθεσης».

- Οι ΥΠΔ θα πρέπει να έχουν τη δυνατότητα να συλλέγουν αποδεικτικά στοιχεία σε περίπτωση παρεμπόδισης της ανεξαρτησίας τους.

6. Απουσία αναφοράς του ΥΠΔ στο ανώτατο διοικητικό επίπεδο των οργανισμών

- Η εκ του νόμου υποχρέωση λογοδοσίας του ΥΠΔ στο ανώτατο διοικητικό επίπεδο του οργανισμού μπορεί να ενισχυθεί από περαιτέρω καθοδήγηση, έτσι ώστε να βοηθηθούν οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία να την εφαρμόσουν στην πράξη. Οι εποπτικές αρχές θα μπορούσαν να ενθαρρύνουν τη σύνταξη και υιοθέτηση τομεακών προτύπων, εσωτερικών πολιτικών προστασίας δεδομένων και βέλτιστων πρακτικών για τον καλύτερο καθορισμό των όρων, της συχνότητας, του περιεχομένου και της αποτελεσματικότητας της άμεσης αναφοράς του ΥΠΔ στο ανώτατο διοικητικό επίπεδο.

- Οι εποπτικές αρχές ή το ΕΣΠΔ θα μπορούσαν να υιοθετήσουν συστάσεις ή/και ένα πρότυπο για την υποβολή εκθέσεων από τον ΥΠΔ (π.χ. την τουλάχιστον ετήσια υποβολή εκθέσεων) με βάση τις βέλτιστες πρακτικές, καθορίζοντας ένα διαρθρωμένο και προσαρμόσιμο περιεχόμενο που θα λαμβάνει υπόψη τις ιδιαιτερότητες των οργανισμών και του κλάδου.

- Οι εποπτικές αρχές θα μπορούσαν να αναλάβουν περισσότερες δράσεις και πρωτοβουλίες όσον αφορά την άμεση πρόσβαση του ΥΠΔ στην ανώτατη διοίκηση, η οποία αποτελεί σημαντική εγγύηση της ανεξαρτησίας του ΥΠΔ.

7. Περαιτέρω καθοδήγηση από τις εποπτικές αρχές

- Επιπροσθέτως της υπάρχουσας καθοδήγησης σε εθνικό επίπεδο και σε επίπεδο ΕΟΧ, περαιτέρω οδηγίες θα μπορούσαν να συμβάλουν στην ενδυνάμωση των ΥΠΔ και στην αντιμετώπιση ορισμένων από τις προκλήσεις που εντοπίστηκαν παραπάνω.

- Ειδικότερα και όπως αναφέρθηκε παραπάνω, οι κατευθυντήριες γραμμές για τους ΥΠΔ θα πρέπει να αναπτυχθούν περαιτέρω με βάση τα αποτελέσματα της έρευνας.

Ορισμένες από τις δράσεις που ανέλαβαν οι εποπτικές αρχές στο πλαίσιο του CEF εξακολουθούν να βρίσκονται σε εξέλιξη σε εθνικό επίπεδο, ιδίως όπου έχουν ξεκινήσει επίσημες έρευνες. Κατά συνέπεια, το παρόν έγγραφο δεν αποτελεί οριστική δήλωση των ενεργειών που πραγματοποιήθηκαν στο πλαίσιο του CEF και σκοπός της παρούσας έκθεσης δεν είναι να καταλήξει σε συμπεράσματα σχετικά με τα μέτρα που πρέπει να ληφθούν, αλλά να θέσει προβληματισμούς σχετικά με τις ενέργειες που αναλήφθηκαν από τις αρμόδιες εποπτικές αρχές και να εντοπίσει τα πιθανά σημεία που χρήζουν προσοχής. Ενδέχεται να χρειαστεί να επικαιροποιηθεί κατά τη διάρκεια του 2024, ώστε να ληφθεί υπόψη η πρόοδος των διαδικασιών που δεν έχουν ακόμη ολοκληρωθεί μέχρι σήμερα και δεδομένων των ζητημάτων που έχουν εντοπιστεί, εάν οι κατευθυντήριες γραμμές για τους υπευθύνους προστασίας δεδομένων αναπτυχθούν περαιτέρω από το ΕΣΠΔ.

Η Έκθεση του ΕΣΠΔ και τα παραρτήματα αυτής, με πλήρη καταγραφή των συλλεγέντων ανά κράτος μέλος αποτελεσμάτων, είναι διαθέσιμα εδώ.

Η μικρή και κλειστή οικογενειακή ανώνυμη εταιρία

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΓΕΝΙΚΟ ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ

Δίκαιο Δημοσίων Συμβάσεων Δ έκδοση

ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΔΗΜΟΣΙΕΣ ΣΥΜΒΑΣΕΙΣ

ΔΗΜΗΤΡΙΟΣ ΡΑΙΚΟΣ

send