Είστε εδώ

Ο ρόλος του Υπευθύνου Προστασίας Δεδομένων (DPO) με βάση τον Γενικό Κανονισμό Προστασίας (GDPR)

Κατηγορία: 

Από την περασμένη Παρασκευή έχει τεθεί σε εφαρμογή ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR), ο οποίος ασφαλώς ισχύει και στην Ελλάδα παρά το γεγονός πώς ο εθνικός νόμος δεν έχει ψηφιστεί ακόμα. Ο Κανονισμός ρυθμίζει τα δικαιώματα των φυσικών προσώπων σχετικά με τα προσωπικά τους δεδομένα, την επεξεργασία τους, την ελεύθερη κυκλοφορία και μεταβίβαση των προσωπικών τους δεδομένων εντός των ορίων της Ευρωπαϊκής Ένωσης αλλά και τις διαδικασίες μεταφοράς τους εκτός αυτής.

Αναμφίβολα πρόκειται για μια σημαντική τομή που έχει ως στόχο την ομοιόμορφη εφαρμογή ενιαίων κανόνων για τα κράτη-μέλη, σε μια εποχή όπου παρατηρούνται ραγδαίες αλλαγές με την ανάπτυξη νέων τεχνολογιών (tracking, διασύνδεση μικροσυσκευών μέσω internet κλπ) αλλά και μεγάλες και στοχευμένες επιθέσεις σε επιχειρήσεις (hacking).

Κάποιες βασικές καινοτομίες του GDPR είναι το γεγονός ότι δεν απαιτείται πλέον προηγούμενη γνωστοποίηση στην αρμόδια Αρχή ούτε χρειάζεται σχετική άδεια σε περιπτώσεις επεξεργασίας ειδικών κατηγοριών δεδομένων όπως ίσχυε μέχρι σήμερα. Επί της ουσίας δηλαδή, ο έλεγχος δεν είναι προληπτικός αλλά κατασταλτικός, δηλαδή, όταν η κάθε επιχείρηση κληθεί ενώπιον των αρμόδιων Αρχών θα πρέπει να αποδείξει ότι είσαι συμμορφωμένη με τις επιταγές του Κανονισμού. Αυτή είναι η περίφημη αρχή της Λογοδοσίας.

Μια ακόμη βασική αλλαγή είναι και η δημουργία ενός νέου ρόλου, αυτού του Υπευθύνου Προστασίας Δεδομένων (DPO) ο οποίος εκπροσωπεί την επιχείρηση ενώπιον των Αρχών αλλά και των φυσικών προσώπων, συμβουλεύει τον επιχειρηματία για θέματα προστασίας Δεδομένων Προσωπικού Χαρακτήρα και εισηγείται τις κατάλληλες πολιτικές προστασίας τους αφού θεωρεί ότι τα προσωπικά δεδομένα αποτελούν εκ των βασικότερων περιουσιακών στοιχείων της εταιρείας.

Το εύλογο ερώτημα που γεννάται επομένως είναι ποιες εταιρείες/επιχειρήσεις/φορείς πρέπει να ορίσουν DPO. Ο Κανονισμός αναφέρει τρεις συγκεκριμένες κατηγορίες. Πιο αναλυτικά:

  1. Όταν η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από τα δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας. Κοντολογίς, όλα τα Ν.Π.Δ.Δ., τα Υπουργεία, οι Ο.Τ.Α α΄και β΄βαθμού είναι υποχρεωτικό να ορίσουν Υπεύθυνο Προστασίας Δεδομένων
  2. Μια δεύτερη κατηγορία αφορά στις επιχειρήσεις εκείνες όπου τακτικά και συστηματικά παρακολουθούν φυσικά πρόσωπα σε μεγάλη κλίμακα. Τέτοιες επιχειρήσεις είναι όσες παρέχουν υπηρεσίες ασφαλείας ή υπηρεσίες με χρήση geo-location data,  παρακολούθησης δηλαδή της πορείας των οχημάτων -άρα και κατ’ επέκταση επιβατών- σε πραγματικό χρόνο.
  3. Η τελευταία κατηγορία αφορά τις επιχειρήσεις εκείνες που προβαίνουν σε μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα. Συνεπώς, φαρμακευτικές εταιρείες και κλινικές που επεξεργάζονται ευαίσθητα προσωπικά δεδομένα που έχουν να κάνουν με την υγεία των φυσικών προσώπων, διαφημιστικές εταιρείες, media shops και call centers, είναι υποχρεωτικό να ορίσουν DPO.

Με βάση τα παραπάνω οδηγούμαστε αυτομάτως στο επόμενο ερώτημα: ποια τα κριτήρια επιλογής του κατάλληλου DPO; Με βάση τον Κανονισμό αλλά και την Διευκρινιστική Οδηγία της Επιτροπής του άρθρου 29 (WP29), ο DPO θα πρέπει να διαθέτει αποδείξεις ως προς την επάρκεια της ειδικής και εξειδικευμένης γνώσης και πείρας του στον τομέα της προστασίας των προσωπικών δεδομένων. Επομένως, εναπόκειται στον κάθε επιχειρηματία να ερευνήσει την αγορά και να επιλέξει αυτούς που θεωρεί κατάλληλους και ειδικούς να συνδράμουν το έργο του.

Επίσης, ο Κανονισμός δίνει την δυνατότητα, καθήκοντα DPO να μπορεί να αναλάβει και κάποιος υπάλληλος της εταιρείας. Ωστόσο, σε αυτή την περίπτωση δεν θα πρέπει να δημιουργείται σύγκρουση συμφερόντων εξαιτίας των πρόσθετων αυτών επαγγελματικών καθηκόντων.

Σε κάθε περίπτωση, η επιλογή του DPO είναι μια κομβικής σημασίας απόφαση για κάθε επιχείρηση που θέλει να προστατεύει στην πράξη τα προσωπικά δεδομένα τόσο των εργαζομένων της όσο και των προμηθευτών και πελατών της. Εξάλλου, όπως αναφέρθηκε, η συνδρομή του προς αυτή την κατεύθυνση είναι πολύ σημαντική για να αφεθεί στην τύχη η επιλογή του.

 

* Ο Δημήτρης Μπούκας είναι δικηγόρος-διαμεσολαβητής, πιστοποιημένος DPO Executive (ISO/IEC 17024) και σύμβουλος επιχειρήσεων σε θέματα συμμόρφωσης GDPR.