ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Αθήνα, 21 Ιουνίου 2018
Γ/ΕΞ/5556
ANAKOINΩΣΗ
Διευκρινίσεις σχετικά με την πιστοποίηση πράξεων επεξεργασίας δεδομένων σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ)
To Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) εξέδωσε πρόσφατα Κατευθυντήριες Γραμμές (1/2018) σχετικά με την πιστοποίηση και τον προσδιορισμό των κριτηρίων πιστοποίησης, σύμφωνα με τα άρθρα 42 και 43 του Γενικού Κανονισμού Προστασίας Δεδομένων 2016/679, οι οποίες είναι σε δημόσια διαβούλευση έως τις 12/7/2018 (βλ. σχετικό σύνδεσμο στο Public consultation: Guidelines1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679).
Επισημαίνεται ότι η θέσπιση μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας δεδομένων έχει ως σκοπό την απόδειξη της:1
– συμμόρφωσης προς τον ΓΚΠΔ των πράξεων επεξεργασίας υπευθύνων επεξεργασίας και εκτελούντων επεξεργασία που υπόκεινται σε αυτόν (άρ. 42 (1)),
– παροχής κατάλληλων εγγυήσεων στο πλαίσιο διαβιβάσεων δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς (άρθρο 46 (2) (στ)) από υπευθύνους επεξεργασίας και εκτελούντες που δεν υπόκεινται στο ΓΚΠΔ (άρ. 42 (2)).
Η πιστοποίηση είναι:
– προαιρετική, εθελοντική και διαθέσιμη μέσω διαφανούς διαδικασίας,
– δεν περιορίζει την ευθύνη του υπευθύνου ή του εκτελούντος για συμμόρφωση στον ΓΚΠΔ,
– δεν θίγει τα καθήκοντα και τις αρμοδιότητες των εποπτικών αρχών.
– Λαμβάνεται, ωστόσο, υπόψη κατά την άσκηση της κυρωτικής διαδικασίας και ειδικότερα στη λήψη της απόφασης για την επιβολή της ποινής καθώς και για το ύψος αυτής.
Τέλος, σημειώνεται ότι η Αρχή ενθαρρύνει τη θέσπιση μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας δεδομένων και προτρέπει τους υπευθύνους και εκτελούντες να πιστοποιήσουν πράξεις επεξεργασίας, διότι έτσι βελτιώνεται η διαφάνεια, παρέχοντας τη δυνατότητα στα υποκείμενα των δεδομένων να αξιολογούν ταχέως τις επεξεργασίες από τη σκοπιά του επιπέδου προστασίας δεδομένων.
Όπως επισημάνθηκε και στην από 9/8/2017 ανακοίνωση της Αρχής για θέματα που αφορούν την πιστοποίηση επαγγελματικών προσόντων Υπευθύνων Προστασίας Δεδομένων (Data Protection Officers–DPOs), ο ΓΚΠΔ που τέθηκε σε εφαρμογή στις 25/5/2018 δεν θέτει κάποια υποχρεωτική απαίτηση, oύτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση (βλ. και www.dpa.gr → «Oδηγίες για υπεύθυνους επεξεργασίας» →“DPO” → «Συχνές ερωτήσεις»). Για το λόγο αυτό η Αρχή δεν έχει την οποιαδήποτε συμμετοχή στη διαδικασία διαπίστευσης φορέων που παρέχουν πιστοποιήσεις επαγγελματικών προσόντων DPO, ούτε οποιαδήποτε εμπλοκή στον καθορισμό των κριτηρίων πιστοποίησης ή των πιστοποιούμενων ειδικών γνώσεων και δεξιοτήτων. Επομένως, οι πιστοποιήσεις επαγγελματικών προσόντων DPO δεν αξιολογούνται ως στοιχείο εφαρμογής του ΓΚΠΔ.
Σε αυτό το πλαίσιο, σημειώνεται επίσης ότι σύμφωνα με τον ΓΚΠΔ ο DPO διορίζεται ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων του. Το αναγκαίο επίπεδο εμπειρογνωσίας θα πρέπει να καθορίζεται ανάλογα με τις πράξεις επεξεργασίας δεδομένων που διενεργούνται και από την προστασία την οποία απαιτούν τα δεδομένα προσωπικού χαρακτήρα που υφίστανται επεξεργασία. Παράλληλα, ο DPΟ πρέπει να έχει γνώση του τομέα δραστηριότητας του οργανισμού ή φορέα στον οποίο απασχολείται αλλά και των τεχνολογιών πληροφορίας και ασφάλειας των δεδομένων.2
Τέλος ως προς τα παρεχόμενα εκπαιδευτικά σεμινάρια/προγράμματα για το ρόλο και τη θέση του DPO, η Αρχή αξιολογεί μεν θετικά τις διάφορες πρωτοβουλίες που αναλαμβάνονται από τις επαγγελματικές ενώσεις και την αγορά διευκρινίζεται, ωστόσο, ότι ουδεμία ευθύνη φέρει για την εκπαιδευτική ύλη και την ποιότητα των εν λόγω προγραμμάτων.
Τμήμα Επικοινωνίας
Τηλ.: 210-6475696
1Βλ. www.dpa.gr «Οδηγίες για υπεύθυνους επεξεργασίας» «Πιστοποίηση – Διαπίστευση».
2Βλ. www.dpa.gr «Οδηγίες για Υπεύθυνους Επεξεργασίας» «Υπεύθυνος Προστασίας Δεδομένων»
→ «Συχνές ερωτήσεις».