Αν και στο ελληνικό δίκαιο ο θεσμός του Υπεύθυνου Προστασίας Δεδομένων προβλέπεται στο άρθρο 36 Ν. 3979/2011 «για την ηλεκτρονική διακυβέρνηση» και το άρθρο 18 παρ. 2 Οδηγίας 95/46/ΕΚ (εξαιρέσεις στην υποχρέωση κοινοποίησης προς την Αρχή Ελέγχου), παραμένει κατά βάσει άγνωστος στη μεγάλη πλειοψηφία. Εντούτοις, ο DPO είναι ήδη ιδιαίτερα διαδεδομένος σε χώρες όπως η Γερμανία.

Ο νέος κανονισμός (υπό τις προβλεπόμενες προϋποθέσεις) καθιστά υποχρεωτικό τον θεσμό του Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer – DPO). Βάσει του κανονισμού, ο Υπεύθυνος Προστασίας Δεδομένων έχει συγκεκριμένες αρμοδιότητες και καθήκοντα.

Σε ποιους θα ανατεθεί;

Ο Υπεύθυνος Προστασίας Δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και, ιδίως, με βάση την εμπειρογνωσία που διαθέτει στον τομέα του δικαίου και των πρακτικών προστασίας των δεδομένων και την ικανότητα εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 34.

Αναμένεται να ανατεθεί σε εξειδικευμένες επαγγελματικές ομάδες όπως δικηγόροι και δικηγορικές εταιρείες, στελέχη πληροφορικής & επικοινωνιών, υπεύθυνοι ασφάλειας πληροφοριών με πτυχίο νομικής, που εμπλέκονται στη συλλογή, επεξεργασία, και χρήση δεδομένων προσωπικού χαρακτήρα σε όλο των φάσμα των δραστηριοτήτων του ιδιωτικού και δημόσιου τομέα στην Ελλάδα.

Κρίσιμο είναι ότι δεν μπορεί να είναι ο υπάρχων νομικός σύμβουλος μιας επιχείρησης καθώς υπάρχει περίπτωση να δημιουργηθεί σύγκρουση συμφερόντων.

Σε ποιες περιπτώσεις είναι υποχρεωτικός ο διορισμός του Υπευθύνου Προστασίας Δεδομένων;

O Κανονισμός προδιαγράφει τρεις βασικές κατηγορίες περιπτώσεων (άρθρο 37).

Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:

α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,

β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή

γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακαςεπεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

*Δημόσιοι Φορείς ή Αρχές, που ασχολούνται με την Υγεία, Τηλεπικονωνίες, Μεταφορές, ΔΕΚΟ φαίνεται ότι θα υποχρεωθούν να διορίσουν Data Protection Officer.

Τι εντάσσεται στις βασικές δραστηριότητες του άρθρου 37 παρ.1;

Βασιζόμενοι και στις διευκρινήσεις της Επιτροπής του άρθρου 29 ως προς την αποσαφήνιση ορών που χρησιμοποιεί ο Κανονισμός:

Βασικές δραστηριότητες είναι το «αναπόσπαστο τμήμα της επιδίωξης των εταιρικών σκοπών του Υπευθύνου ή Εκτελούντος την Επεξεργασία όπως για παράδειγμα οι δραστηριότητες παρακολούθησης μιας εταιρίας παροχής υπηρεσιών ασφαλείας (δεδομένα εικόνας και ήχου), με τις οποίες ελέγχει/παρακολουθεί έναν δημόσιο ή ιδιωτικό χώρο, οι δραστηριότητες επεξεργασίας ιατρικών φακέλων ασθενών που νοσηλεύονται σε ένα νοσοκομείο καθώς και οι δραστηριότητες επεξεργασίας προσωπικών δεδομένων υπαλλήλων από έναν εξωτερικό συνεργάτη που διαχειρίζεται την μισθοδοσία του προσωπικού μιας εταιρίας».

Τι είναι η Συστηματική και Τακτική παρακολούθηση του άρθρου 37 παρ.1;

Η έννοια «Συστηματική» και «Τακτική» Παρακολούθηση των υποκειμένων σε μεγάλη κλίμακα (regular and systematic monitoring) στην οποία εντάσσονται όλες οι μορφές on Line παρακολούθησης όπως για παράδειγμα η παρακολούθηση των μετακινήσεων του υποκειμένου (location tracking) η επεξεργασία που στοχεύει στον καθορισμό της καταναλωτικής συμπεριφοράς και συνηθειών του υποκειμένου για διαφημιστικούς σκοπούς (behavioral advertising) καθώς και ο καθορισμός του Προφίλ του υποκειμένου με βάση συγκεκριμένα προσωπικά δεδομένα που αφορούν την καταναλωτική του ταυτότητα, τις προτιμήσεις του, επισκεψιμότητα σε συγκεκριμένα καταστήματα (Profiling), κάρτες επιβράβευσης πίστης -“loyaltyCards”.

Πότε μια επεξεργασία μπορεί να χαρακτηριστεί ως μεγάλης κλίμακας κατά το άρθρο 37 παρ.1;

Η διευκρίνηση της έννοια επεξεργασίας σε μεγάλη κλίμακα (Large Scale Processing) παραμένει ασαφής και μάλλον αόριστη καθώς τόσο το κείμενο του Κανονισμού όσο και οι Οδηγίες της Επιτροπής, δεν παραθέτουν αριθμητικά όρια για τον ορισμό της μεγάλης κλίμακας αλλά γενικά παραδείγματα όπως ασφαλιστική εταιρία ή τράπεζα, νοσοκομεία που επεξεργάζονται προσωπικά δεδομένων πελατών τους, τους, ή την επεξεργασία σε πραγματικό χρόνο των γεωτοπογραφικών δεδομένων (Geo - Location Data) πελατών μια διεθνούς εταιρίας fast food για στατιστικούς σκοπούς, διαδικτυακή επεξεργασία με σκοπό την εμπορική προώθηση-διαφήμιση, profiling.

Ποιος είναι ο ρόλος και τα καθήκοντα του Υπευθύνου Προστασίας Δεδομένων;

Ο DPO, καλείται να λειτουργήσει ως σημείο επικοινωνίας μεταξύ υπευθύνου /εκτελούντος την εργασία και εποπτικής αρχής για ζητήματα που αφορούν την επεξεργασία δεδομένων, την προηγούμενη διαβούλευση του άρθρου 36 ΓΚΠΔ, άλλες διαβουλεύσεις ή λήψη συμβουλών.

Παρέχει συμβουλές, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της, λαμβάνοντας υπόψη του τον κίνδυνο επεξεργασίας.

Ο Υπεύθυνος Προστασίας Δεδομένων τηρεί δημόσιο μητρώο όπου καταγράφονται όλες οι πράξεις επεξεργασίας προσωπικών δεδομένων από την Ευρωπαϊκή Επιτροπή.

Συνεργάζεται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

Μεριμνά για την τήρηση της νομοθεσίας εκ μέρους των υπηρεσιών της Ευρωπαϊκής Επιτροπής κατά την επεξεργασία προσωπικών δεδομένων και διερευνά περιπτώσεων που άπτονται της προστασίας δεδομένων.

Συμβουλεύει, γνωμοδοτεί και ενημερώνει σχετικά με θέματα συμμόρφωσης προς τον Κανονισμό και τη τήρηση της νομοθεσίας για τα προσωπικά δεδομένα αλλά και τις πολιτικές (ανάθεση αρμοδιοτήτων, έλεγχοι, επιμόρφωση- κατάρτιση υπαλλήλων.

Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.

Ο Υπεύθυνος Προστασίας Δεδομένων αναλαμβάνει ουσιαστικά να εκπροσωπήσει την Επιχείρηση έναντι των Αρχών, Εθνικών και Ευρωπαϊκών, να διασφαλίσει την εναρμόνιση της λειτουργίας της επιχείρησης σε ότι αφορά τις πολιτικές, πρακτικές και μεθοδολογία επεξεργασίας, αποθήκευσης και μεταφοράς Δεδομένων Προσωπικού Χαρακτήρα με το νέο αυστηρό νομοθετικό πλαίσιο και να προστατέψει την επιχείρηση από τους κινδύνους επιβολής των σημαντικότατων και βαρύτατων διοικητικών προστίμων που προβλέπει ο Κανονισμός τα οποία εκκινούν από 10.000.000 Ευρώ ή το 2% του παγκόσμιου τζίρου εάν πρόκειται για διεθνή όμιλο και φτάνουν σε περίπτωση παράβασης βασικών διατάξεων του κανονισμού σε 20.000.000 ή στο 4% του παγκόσμιου τζίρου.

Ποια είναι τα βασικά χαρακτηριστικά του Υπευθύνου Προστασίας Δεδομένων;

Ο Υπεύθυνος Προστασίας Δεδομένων πρέπει να είναι λειτουργικά και οικονομικά ανεξάρτητος. Οφείλει να έχει σε προτεραιότητα τα καθήκοντα του και δεν αναλαμβάνει άλλα καθήκοντα που οδηγούν σε σύγκρουση συμφερόντων.

Δεν λαμβάνει εντολές για την άσκηση των καθηκόντων του και λογοδοτεί στο ανώτατο επίπεδο της διοίκησης.

Δεν ευθύνεται προσωπικά για τη μη συμμόρφωση του Υπευθύνου/εκτελούντος την επεξεργασία.

Στο πλαίσιο της άσκησης των καθηκόντων του ενημερώνεται για όλα τα θέματα προσωπικών δεδομένων, έχει πρόσβαση σε κάθε είδους δεδομένα και λαμβάνει εγκαίρως και δεόντως γνώση κάθε σχεδιαζόμενης πράξης επεξεργασίας.

Μπορεί να είναι εργαζόμενος της επιχείρησης ή να παρέχει ανεξάρτητες υπηρεσίες σε αυτήν. Μπορεί επίσης να είναι ένα μόνο πρόσωπο, άλλα και ομάδα DPO.

Για το πλήρες κείμενο του Κανονισμού 679/2016 πατήστε εδώ.

Για την συγγραφή του άρθρου χρησιμοποιήθηκαν πληροφορίες από:

1. Τον διαδικτυακό τόπο: http://www.infocomsecurity.gr/presentations/2017/day1/tsolias.pdf: Παρουσίαση κ. Γρ. Τσόλια, Δικηγόρο – ΜΔ Ποινικών Επιστημών, Μέλος (αν.) της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Μέλος της Ειδικής Νομοπαρασκευαστικής Επιτροπής του Υπουργείου Δικαιοσύνης για τον Κανονισμό 2016/679 και την Οδηγία 2016/680, Μέλος του Expert Group της Ε.Ε. για τον Κανονισμό 2016/679 και την Οδηγία 2016/680.

2. Τον διαδικτυακό τόπο: http://www.cyberinsurancequote.gr/news/o-rolos-kai-oi-eythynes-toy-data-protection-officer/: άρθρο του Ιωάννη Ε. Γιαννακάκη, Certified Information Privacy Professional/ Europe και Certified Information Privacy Manager από τον International Association of Privacy Professionals (IAPP) και Certified GDPR/Foundation Consultant από το IT Governance κατά ISO17024.