Ποιος είναι ο ρόλος του DPO; Ποια είναι η απαραίτητη τεχνογνωσία που πρέπει να κατέχει και σε ποιες περιστάσεις είναι υποχρεωτική η παρουσία του; Ο Δρ. Αλέξανδρος Βαρβέρης γράφει για το epixeiro.gr και δίνει τις απαντήσεις.
O Υπεύθυνος Προστασίας Δεδομένων, γνωστός και ως DPO ή ΥΠΔ, αποτελεί τον καινούργιο «ηγετικό» ρόλο της επιχείρησης στον τομέα της ασφάλειας των προσωπικών δεδομένων που καθιερώνεται από τον Γενικό Κανονισμό Προστασίας Δεδομένων. Ο Κανονισμός τον αναγνωρίζει ως κύριο παράγοντα στο νέο σύστημα διακυβέρνησης δεδομένων και καθορίζει τους όρους για το διορισμό και τα καθήκοντά του.
Ο ορισμός ΥΠΔ ήταν ήδη γνωστός σε αρκετές χώρες υπό το προϊσχύσαν νομοθετικό καθεστώς. Ο ΓΚΠΔ καθιερώνει υποχρεωτικό ορισμό ΥΠΔ για τον δημόσιο τομέα [37§1α], παρέχοντας ταυτόχρονα τη δυνατότητα, σε περισσότερες δημόσιες αρχές ή φορείς να ορίσουν έναν ΥΠΔ για την εξυπηρέτηση πολλών τέτοιων υπηρεσιών [37§3].
Για τον ιδιωτικό τομέα ο ορισμός ΥΠΔ εμφανίζεται καταρχήν προαιρετικός εκτός αν:
α) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα π.χ. δεδομένα παρακολούθησης, γεωεντοπισμού, οικονομικά προφίλ κ.λπ.,
β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.
Όμως, όλες οι επιχειρήσεις, οφείλουν να εξετάσουν το ενδεχόμενο διορισμού ενός ΥΠΔ και να του διασφαλίσουν πρόσβαση σε όλους τους πόρους, την ανεξαρτησία και την αυτονομία του. Εάν μια επιχείρηση επιλέξει τελικώς να μην διορίσει ΥΠΔ, πρέπει να είναι σε θέση να αποδείξει ότι όλοι οι σχετικοί παράγοντες έχουν ληφθεί δεόντως υπόψη.
Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία έχουν επίσης καθοριστικό ρόλο στην αποτελεσματική εκτέλεση των καθηκόντων του ΥΠΔ.
Ο υπεύθυνος προστασίας αποτελεί αφενός μεν το πρώτο οχυρό απέναντι στην προσβολή των προσωπικών δεδομένων, αφετέρου δε, το κρίσιμο πρόσωπο μέσω του οποίου καθίσταται εφικτή η αποτελεσματική παρέμβαση της εποπτικής αρχής.
Τεχνογνωσία και Επαγγελματικά Προσόντα
Το απαιτούμενο επίπεδο γνώσεων δεν είναι αυστηρά καθορισμένο, αλλά πρέπει να είναι ανάλογο με την ευαισθησία, την πολυπλοκότητα και την ποσότητα των δεδομένων που επεξεργάζεται ένας οργανισμός. Για παράδειγμα, όταν μια δραστηριότητα επεξεργασίας δεδομένων είναι ιδιαίτερα περίπλοκη ή όταν υπάρχει μεγάλος αριθμός ευαίσθητων δεδομένων, ο ΥΠΔ μπορεί να χρειαστεί υψηλότερο επίπεδο εμπειρογνωμοσύνης και υποστήριξης. Υπάρχει επίσης μια διαφορά ανάλογα με το αν ο οργανισμός μεταφέρει συστηματικά δεδομένα προσωπικού χαρακτήρα εκτός της Ευρωπαϊκής Ένωσης ή εάν αυτές οι μεταφορές είναι περιστασιακές. Ο ΥΠΔ επομένως πρέπει να επιλεγεί προσεκτικά, λαμβάνοντας υπόψη τα ζητήματα προστασίας δεδομένων που προκύπτουν στο πλαίσιο του οργανισμού.
Παρόλο που το άρθρο 37§5 δεν καθορίζει τις επαγγελματικές ιδιότητες που πρέπει να λαμβάνονται υπόψη κατά τον ορισμό του ΥΠΔ, είναι σημαντικό το γεγονός ότι οι ΥΠΔ πρέπει να διαθέτουν βαθιά γνώση της εθνικής και ευρωπαϊκής νομοθεσίας, των προσωπικών δεδομένων καθώς και των πρακτικών για την προστασία των δεδομένων.
Ο ΥΠΔ πρέπει επίσης να έχει επαρκή κατανόηση των διεξαγομένων εργασιών επεξεργασίας, καθώς και των συστημάτων πληροφόρησης και των απαιτήσεων ασφάλειας και προστασίας των δεδομένων του υπεύθυνου επεξεργασίας.
Στην περίπτωση δημόσιας αρχής ή φορέα, ο ΥΠΔ πρέπει επίσης να έχει καλή γνώση της διοικητικής οργάνωσης του οργανισμού.
Ο ΥΠΔ έχει κρίσιμο ρόλο στη διαμόρφωση νοοτροπίας-κουλτούρας ως προς την προστασία των δεδομένων σε έναν οργανισμό και συμβάλλει ενεργά στην εφαρμογή του ΓΚΠΔ, ιδίως σε ζητήματα που σχετίζονται με τις αρχές της επεξεργασίας δεδομένων, τα δικαιώματα των υποκειμένων των δεδομένων, την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, τα αρχεία των δραστηριοτήτων επεξεργασίας, την ασφάλεια των δεδομένων προσωπικού χαρακτήρα και τη γνωστοποίηση παραβίασης δεδομένων.
Σημειώνεται ότι ο ΓΚΠΔ δεν θεσπίζει κάποια προϋπόθεση για πιστοποίηση του ΥΠΔ, ούτε σε προαιρετική βάση, μέχρι σήμερα δε, κανένας φορέας στην Ελλάδα δεν έχει διαπιστευθεί για να πιστοποιεί τα επαγγελματικά προσόντα/δεξιότητες ενός ΥΠΔ.
Υπεύθυνος προστασίας δεδομένων και η σχέση του με τον οργανισμό
Ο ΥΠΔ μπορεί να είναι μέλος του προσωπικού του οργανισμού (εσωτερικός υπεύθυνος προστασίας δεδομένων), όπου επιτρέπεται να επιτελεί και άλλα καθήκοντα, υπό την προϋπόθεση ότι δεν προκύπτουν συγκρούσεις συμφερόντων ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών. Αυτό σημαίνει ότι ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι εξωτερικός συνεργάτης και, σ’ αυτήν την περίπτωση, τα καθήκοντά του μπορούν να ασκηθούν βάσει σύμβασης παροχής υπηρεσιών, η οποία συνάπτεται με φυσικό ή νομικό πρόσωπο.
Αναλόγως του μεγέθους και της δομής του οργανισμού και για να είναι αποτελεσματική η άσκηση των καθηκόντων του, μπορεί ενδεχομένως να απαιτείται η σύσταση ομάδας υπευθύνου προστασίας δεδομένων (να υπάρχει δηλαδή υπεύθυνος προστασίας δεδομένων με δικό του προσωπικό). Σε τέτοιες περιπτώσεις, θα πρέπει να καθορίζεται με σαφήνεια η εσωτερική δομή της ομάδας, καθώς και τα καθήκοντα και οι αρμοδιότητες των μελών της. Κατά τον ίδιο τρόπο, όταν τα καθήκοντα του υπευθύνου προστασίας δεδομένων ασκούνται από εξωτερικό συνεργάτη, η αποτελεσματική άσκησή τους είναι δυνατό να εξασφαλιστεί με τη σύσταση ομάδας, τα μέλη της οποίας συνεργάζονται μεταξύ τους υπό την ευθύνη ατόμου το οποίο έχει οριστεί ως επικεφαλής επικοινωνίας.
Σχόλια