Τι αναφέρει στην έκθεσή της η Αρχή Προστασίας Δεδομένων του Βερολίνου
Οι Υπεύθυνοι Προστασίας Δεδομένων (Data Protection Officer) δεν πρέπει να αποτελούν μέρος της “εξυπηρέτησης πελατών” σε μία εταιρεία, επισημαίνει σε έκθεσή της η Αρχή Προστασίας Δεδομένων του Βερολίνου.
Όπως επισημαίνει η γερμανική Αρχή, σε ορισμένες εταιρείες, τα αιτήματα προς τον υπεύθυνο προστασίας δεδομένων δεν διαβιβάζονται απευθείας ή όχι μόνο σε αυτόν, αλλά και σε άλλα τμήματα, ιδίως στο τμήμα εξυπηρέτησης πελατών.
Η Αρχή τονίζει ότι ο υπεύθυνος προστασίας δεδομένων υποχρεούται να διατηρεί το απόρρητο και την εμπιστευτικότητα κατά την εκτέλεση των καθηκόντων του. Αυτή η υποχρέωση υπάρχει επίσης έναντι του φορέα που τον διορίζει.
Επομένως, δεν επιτρέπεται η αποστολή αιτημάτων που απευθύνονται σε υπεύθυνο προστασίας δεδομένων με εμπιστευτικό απόρρητο, προς άλλα μέρη της εταιρείας.
Επομένως, αποτελεί παραβίαση της υποχρέωσης εμπιστευτικότητας, για παράδειγμα, εάν τα μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται σε έναν υπεύθυνο προστασίας δεδομένων προωθούνται επίσης σε μια λίστα διανομής η οποία περιλαμβάνει τη διεύθυνση πληροφορικής και την εξυπηρέτηση πελατών.
Σύμφωνα με την Αρχή, η επικοινωνία με τον υπεύθυνο προστασίας δεδομένων δεν πρέπει να γίνεται χρησιμοποιώντας την ίδια επαφή που χρησιμοποιείται για την επικοινωνία με την εταιρεία.
Η εισερχόμενη αλληλογραφία ή e-mail στον υπεύθυνο προστασίας δεδομένων ενδέχεται να μη διαβαστεί από άλλα μέλη της εταιρείας. Ωστόσο, είναι πιθανό και προβλεπόμενο ότι ο υπεύθυνος προστασίας δεδομένων μπορεί να υποστηρίζεται από υπαλλήλους κατά την εκτέλεση των καθηκόντων του. Τα πρόσωπα αυτά μπορούν επομένως να έχουν πρόσβαση σε δεδομένα, σύμφωνα με τις οδηγίες του υπευθύνου προστασίας δεδομένων και με τήρηση των υποχρεώσεων εμπιστευτικότητας.
Η Αρχή τονίζει ότι έχει ήδη εκδώσει προειδοποιήσεις σε ενδιαφερόμενες εταιρείες για μη τήρηση της εμπιστευτικότητας, ενώ έχει παρεπέμψει ορισμένες τέτοιες υποθέσεις και στο τμήμα ελεγκτών για περαιτέρω κυρώσεις.
Η ενημέρωση για το περιεχόμενο της αλληλογραφίας ή/και των e-mail του υπεύθυνο προστασίας δεδομένων πρέπει να παραμείνει αποκλειστική ευθύνη του ίδιου.
Οτιδήποτε άλλο έρχεται σε αντίθεση με την αρχή της εμπιστευτικότητας και του απορρήτου των υπευθύνων προστασίας δεδομένων.
Επομένως, απαιτούνται ξεχωριστές διευθύνσεις ηλεκτρονικού ταχυδρομείου και φόρμες επικοινωνίας για τις εταιρείες και τους DPO.
Δείτε αναλυτικά την έκθεση στα γερμανικά.