DPO: Ένα πρόσωπο με συμβουλευτικές αρμοδιότητες και καθήκοντα, που καλείται να δίνει λύσεις στα φλέγοντα ζητήματα προστασίας της ιδιωτικότητας στον 21ο αιώνα
Ένας νέος θεσμός
Με τον Κανονισμό 2016/679 (εφεξής Κανονισμός) δεν αλλάζει απλώς το τοπίο της προστασίας προσωπικών δεδομένων στην Ε.Ε. και στη χώρα μας, αλλά εισάγονται και νέοι θεσμοί, όπως είναι ο θεσμός του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ), ενός προσώπου με συμβουλευτικές αρμοδιότητες και καθήκοντα, που διέπεται από ανεξαρτησία κατά τη λειτουργία του, ο οποίος καλείται να δίνει λύσεις στα φλέγοντα ζητήματα προστασίας της ιδιωτικότητας στον 21ο αιώνα1.
Με τον νέο αυτό θεσμό επιτυγχάνεται η αποκέντρωση του ελέγχου της προστασίας δεδομένων και γίνεται πιο ουσιαστική η εφαρμογή του κανονιστικού πλαισίου της προστασίας αυτής. Ένα επιτυχημένο παράδειγμα από άλλες χώρες, όπως είναι στην Ε.Ε., η Γερμανία, εισάγεται στο Ενωσιακό κεκτημένο.
Υποχρεωτικότητα
Ο διορισμός ΥΠΔ είναι υποχρεωτικός για υπεύθυνο επεξεργασίας, όπως και για τον εκτελούντα την επεξεργασία, σύμφωνα με το άρθρο 37 παρ. 1 ΓΚΠΔ, στις εξής περιπτώσεις:
α) όταν η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
β) όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή
γ) όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.
Ο Κανονισμός δεν είναι αρκετά σαφής, βεβαίως, όσον αφορά – εκτός από τις δημόσιες αρχές – το ερώτημα ποιοι φορείς υποχρεούνται στον ορισμό ΥΠΑ. Ωστόσο, σύμφωνα με την ομάδα εργασίας του άρθρου 292, εδώ εμπίπτουν οι ασφαλιστικές εταιρίες και οι τράπεζες, τα νοσοκομεία, όσες επιχειρήσεις κάνουν επεξεργασία δεδομένων για σκοπούς συμπεριφορικής διαφήμισης, οι εταιρίες που παρέχουν τηλεπικοινωνιακές υπηρεσίες, οι φορείς που προβαίνουν σε επεξεργασία δεδομένων για τη διαμόρφωση προφίλ και τη βαθμολόγηση για εκτίμηση κινδύνου, όπως και για το σκοπό του εντοπισμού πρακτικών νομιμοποίησης εσόδων, η παρακολούθηση δεδομένων μέσω ενδυτών συσκευών (wearable devices), κοκ.3
Σημαντικό είναι ότι η παραβίαση της υποχρέωσης διορισμού ΥΠΔ επισύρει διοικητικά πρόστιμα (άρθρο 83 παρ. 4 περ. α΄ ΓΚΠΔ) που ανέρχονται έως 10 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.
Tο νέο βιβλίο για τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων του Αν. Καθηγητή της Νομικής Σχολής του ΑΠΘ, κ. Ιωάννη Ιγγλεζάκη, είναι διαθέσιμο σε ebook και σε έντυπη έκδοση. Για περισσότερες πληροφορίες μπορείτε να επικοινωνήσετε στο info@e-interactive.gr 2310 510870 (Δευτέρα-Παρασκευή 09:00-21:00, Σάββατο 09:00 – 17:00)
Προσόντα διορισμού
Ο ΥΠΔ μπορεί να είναι εσωτερικός, δηλ. υπάλληλος του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, ή εξωτερικός. Τα προσόντα που πρέπει να διαθέτει περιγράφονται στο άρθρο 37 παρ. 5 ΓΚΠΔ, σύμφωνα με το οποίο, ότι ο ΥΠΔ διορίζεται βάσει επαγγελματικών προσόντων βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39 ΓΚΠΔ.
Η πιστοποίηση του ΥΠΔ δεν είναι υποχρεωτική και δεν προβλέπεται στον Κανονισμό 2016/679 και στον εφαρμοστικό νόμο, ο οποίος τέθηκε σε διαβούλευση και αναμένεται η κατάθεσή του στη Βουλή.
Διαδικασία ορισμού
Όπως προβλέπεται στο άρθρο 14 του σχεδίου του εφαρμοστικού νόμου, ο ορισμός υπευθύνου προστασίας δεδομένων γίνεται εγγράφως. δηλαδή πρέπει να καταρτισθεί σύμβαση μεταξύ του ΥΠΔ και του υπεύθυνου επεξεργασίας ή εκτελούντος επεξεργασίας που τον διορίζει.
O χρόνος μέσα στον οποίο πρέπει να γίνει η ανάθεση δεν αναφέρεται στον ΓΚΠΔ ούτε και στο ως άνω σχέδιο νόμου. Εύλογο είναι, όπως γίνεται δεκτό στην επιστήμη, ότι θα πρέπει να λαμβάνει χώρα ορισμός ΥΠΔ εντός ενός μηνός από την πλήρωση των προϋποθέσεων για υποχρεωτικό ορισμό ΥΠΔ4.
Καθήκοντα και αρμοδιότητες του ΥΠΔ
Σύμφωνα με το άρθρο 38 παρ. 1 του Κανονισμού, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία πρέπει να διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.
Περαιτέρω, σύμφωνα με το άρθρο 38 παρ. 2 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία στηρίζουν τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων του, παρέχοντας απαραίτητους πόρους για την άσκηση των εν λόγω καθηκόντων και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και πόρους απαραίτητους για τη διατήρηση της εμπειρογνωσίας του.
Ο θεσμός του ΥΠΔ διέπεται από καθεστώς ανεξαρτησίας. Στο άρθρο 38 παρ. 3 ΓΚΠΔ, προβλέπει, συγκεκριμένα, ότι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων, δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του, καθώς και ότι ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.
Τα καθήκοντα του ΥΠΔ περιγράφονται στο άρθρο 39 του Κανονισμού που προβλέπει ότι ο ΥΠΔ έχει τουλάχιστον τα εξής καθήκοντα:
α) ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων,
β) παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων,
γ) παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35,
δ) συνεργάζεται με την εποπτική αρχή,
ε) ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36, και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα.
Όπως είναι σαφές, μπορεί να του ανατίθενται και άλλα καθήκοντα, πάντοτε όμως σχετικά με τον έλεγχο συμμόρφωσης με το καθεστώς προστασίας δεδομένων.
Ευθύνη του ΥΠΔ
Ο ρόλος του ΥΠΔ είναι καθαρά συμβουλευτικός και αυτό σημαίνει ότι ο ΥΠΔ δεν ευθύνεται για τις πράξεις ή παραλείψεις του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία.
Η μόνη υποχρέωση που έχει είναι να τηρεί το απόρρητο και την εμπιστευτικότητα σχετικά με την εκτέλεση των καθηκόντων του (άρθρο 38 παρ. 5 Κανονισμού). Τη διάταξη αυτή εξειδικεύει το άρθρο 14 παρ. 5 του (σχεδίου) εφαρμοστικού νόμου που προβλέπει ότι ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από υποχρέωση εχεμύθειας και οφείλει να μην ανακοινώνει ή αποκαλύπτει σε οποιονδήποτε τρίτο γεγονότα ή πληροφορίες που περιήλθαν σε γνώση του από τη θέση του κατά την εκτέλεση των καθηκόντων του ή επ’ ευκαιρία αυτών. Για την περίπτωση παραβίασης της υποχρέωσης εχεμύθειας εκ μέρους του ΥΠΔ προβλέπονται στο σχέδιο νόμου ποινικές κυρώσεις.
- 1. Βλ. Ι. Ιγγλεζάκη, Ο Υπεύθυνος Προστασίας Δεδομένων κατά τον Κανονισμό 2016/679 και την Οδηγία 2016/680, Συνήγορος 125/2018, σελ. 66 επ.
- 2. Βλ. Ομάδα εργασίας του άρθρου 29, Κατευθυντήριες γραμμές σχετικά με τους υπεύθυνους προστασίας δεδομένων, 13.12.2016, WP 243, rev. 01 https://www.lawspot.gr/sites/default/files/misc/misc_legal/wp243rev01_el…
- 3. Βλ. Ι. Ιγγλεζάκη, Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων, εκδ. Interactive, 2018 σελ. 98 επ.
- 4. Βλ. Ιγγλεζάκη, Συνήγορος, ό.π., σελ. 68.