Α. Με βάση τον Κανονισμό 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της Ευρωπαϊκής Ένωσης για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (Γενικός Κανονισμός για την Προστασία των Δεδομένων–GDPR) o εκάστοτε Οργανισμός (π.χ. νομικό πρόσωπο δημοσίου ή ιδιωτικού δικαίου , εταιρεία, επιχείρηση κ.λ.π), ο οποίος προβαίνει σε επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με τα ειδικότερα οριζόμενα στις σχετικές διατάξεις, είτε είναι «υπεύθυνος επεξεργασίας» (controller) δεδομένων προσωπικού χαρακτήρα, όπως π.χ., κατά περίπτωση, ένα ηλεκτρονικό κατάστημα (e-shop) είτε είναι «εκτελών την επεξεργασία» (processor) δεδομένων προσωπικού χαρακτήρα, όπως π.χ ,κατά περίπτωση, μια επιχείρηση κατασκευής και τεχνικής υποστήριξης ενός e- shop, είναι υποχρεωμένος να ορίσει υπεύθυνο προστασίας δεδομένων (Data protection officer-Dpo) .
Πιο συγκεκριμένα, όπως προκύπτει από τις σχετικές διατάξεις του Κανονισμού 2016/679, την αιτιολογική έκθεσή του και τις κατευθυντήριες γραμμές της «Ομάδας του άρθρου 29» (WP 243rev.01) για τους υπευθύνους επεξεργασίας δεδομένων, η υποχρέωση για ορισμό DPO ισχύει για όλες τις δημόσιες αρχές και φορείς (ανεξαρτήτως του είδους δεδομένων που επεξεργάζονται), καθώς και για άλλους Oργανισμούς που έχουν ως κύρια δραστηριότητα τη συστηματική παρακολούθηση φυσικών προσώπων σε μεγάλη κλίμακα, ή την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα σε μεγάλη κλίμακα.
Η συμμόρφωσή τόσο των υπευθύνων επεξεργασίας όσο και των εκτελούντων την επεξεργασία δεδομένων προσωπικού χαρακτήρα σχετικά με την υποχρέωσή τους να ορίσουν υπεύθυνο προστασίας δεδομένων (Data protection officer-Dpo) θα έπρεπε να έχει πραγματοποιηθεί το αργότερο μέχρι την 25η Μαΐου 2018. [ Για να δείτε το κείμενο του Κανονισμού 2016/679 (GDPR) και την αιτιολογική του έκθεση, όπως δημοσιεύθηκε στη διαδικτυακή διεύθυνση https://eur-lex.europa.eu/homepage.html πατήστε εδώ]
Σημειώνουμε, ότι, σύμφωνα με τους περιλαμβανόμενους ορισμούς στο άρθρο 4 του Kανονισμού 2016/679 (GDPR) , υπεύθυνος επεξεργασίας (controller) είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή , η υπηρεσία ή άλλος φορέας που μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα ενώ εκτελών την επεξεργασία (processor) είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
Κατωτέρω επιχειρείται, με βάση τις διατάξεις του Κανονισμού 2016/679 (GRPR) αλλά και τις κατευθυντήριες γραμμές της «Ομάδας του άρθρου 29» σχετικά με το DPO, να περιγραφεί το περίγραμμα του ρόλου του υπευθύνου προστασίας δεδομένων (Data protection officer-Dpo) μέσω πέντε (5) ερωτήσεων και απαντήσεων αντίστοιχα.
Β.ΠΕΝΤΕ (5) ΕΡΩΤΗΣΕΙΣ ΚΑΙ ΑΠΑΝΤΗΣΕΙΣ ΓΙΑ ΤΟΝ ΥΠΕΥΘΥΝΟ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ(Data Protection Officer-DPO)
1. Σε ποιες περιπτώσεις ορίζεται υπεύθυνος προστασίας δεδομένων (Data protection officer-Dpo) σύμφωνα με το άρθρο 37 του GDPR και από ποιούς ;
Σύμφωνα με τα ειδικότερα οριζόμενα στην παρ.1 του άρθρο 37 του GDPR ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων (Data protection officer-Dpo) σε κάθε περίπτωση στην οποία:
α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή
γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.
Αξίζει να σημειωθεί ότι σύμφωνα με τις υπ.αριθμ. WP 243 rev.01 κατευθυντήριες γραμμές της «Ομάδας του άρθρου 29» σχετικά με τους υπεύθυνους προστασίας δεδομένων ενδέχεται να υπάρξουν Οργανισμοί που θα κρίνουν σκόπιμο να ορίσουν υπεύθυνο προστασίας δεδομένων (DPO) σε εθελοντική βάση ενώ η «Ομάδα του άρθρου 29» ενθαρρύνει τέτοιου είδους εθελοντικές ενέργειες. Ακολούθως διευκρινίζεται ότι, όταν και ο ορισμός DPO γίνει σε εθελοντική βάση σε σχέση με τον ορισμό , τη θέση και τα καθήκοντα του θα ισχύουν οι ίδιες απαιτήσεις ως εάν ο ορισμός να ήταν υποχρεωτικός.
Επιπλέον, στις ίδιες ως αναφερόμενες κατευθυντήριες γραμμές τονίζεται ότι και αν ακόμη ο υπεύθυνος επεξεργασίας πληροί τα κριτήρια με βάση το GDPR περί υποχρεωτικού ορισμού DPO, ο δικός του εκτελών την επεξεργασία δεν υποχρεούται απαραιτήτως να ορίσει υπεύθυνο προστασίας δεδομένων (DPO) αν και ο ορισμός και σε αυτή την περίπτωση θα μπορούσε να αποτελέσει ορθή πρακτική.
Μεγάλη πρακτική σημασία στην κατανόηση της περίπτωσης Οργανισμού,του οποίου οι βασικές δραστηριότητές συνιστούν πράξεις επεξεργασίας που , λόγω της φύσης και του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα και ακολούθως είναι υποχρεωμένος να ορίσει DPO, έχουν αφενός οι διευκρινίσεις που παρέχονται με τις ως άνω κατευθυντήριες γραμμές της «Ομάδας του άρθρου 29» σχετικά με το τί συνιστά τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα αφετέρου η παράθεση σχετικών παραδειγμάτων.
Σύμφωνα με αυτές τις διευκρινίσεις της «Ομάδας του άρθρου 29» παραδείγματα επεξεργασίας σε μεγάλη κλίμακα είναι :
● η επεξεργασία δεδομένων ασθενών στο πλαίσιο της συνήθους λειτουργίας ενός νοσοκομείου,
● η επεξεργασία δεδομένων μετακίνησης φυσικών προσώπων που χρησιμοποιούν το σύστημα δημόσιων μεταφορών μιας πόλης (π.χ., παρακολούθηση μέσω καρτών πολλαπλών διαδρομών)
● η επεξεργασία σε πραγματικό χρόνο δεδομένων γεωγραφικού εντοπισμού πελατών διεθνούς αλυσίδας ταχυφαγείων για στατιστικούς σκοπούς από εκτελούντα την επεξεργασία που ειδικεύεται στην παροχή τέτοιου είδους υπηρεσιών,
● η επεξεργασία δεδομένων πελατών στο πλαίσιο της συνήθους λειτουργίας μιας ασφαλιστικής εταιρείας ή μιας τράπεζας,
● η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς συμπεριφορικής διαφήμισης από μηχανή αναζήτησης,
● η επεξεργασία δεδομένων (περιεχόμενο, κίνηση, θέση) από παρόχους υπηρεσιών τηλεφωνίας ή διαδικτύου.
Αντίστοιχα η «Ομάδα του άρθρου 29» παραθέτει παραδείγματα δραστηριοτήτων που συνιστούν ενδεχομένως τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων όπως π.χ ενδεικτικά :
● η λειτουργία δικτύου τηλεπικοινωνιών
● η παροχή υπηρεσιών τηλεπικοινωνιών
● η επαναστόχευση μηνυμάτων ηλεκτρονικού ταχυδρομείου
● οι δραστηριότητες μάρκετινγκ βάσει δεδομένων
● ο εντοπισμός θέσης, για παράδειγμα, μέσω εφαρμογών για κινητά τηλέφωνα
● προγράμματα επιβράβευσης αφοσιωμένων πελατών
● η συμπεριφορική διαφήμιση
2. Όμιλος επιχειρήσεων μπορεί να διορίσει ένα μόνο υπεύθυνο προστασίας δεδομένων (Data Protection Officer-DPO);
Σύμφωνα με τα ειδικότερα οριζόμενα στην παρ.2 του άρθρου 37 του GDPR όμιλος επιχειρήσεων μπορεί να διορίσει ένα μόνο υπεύθυνο προστασίας δεδομένων (Data Protection Officer-DPO) υπό την προϋπόθεση ότι κάθε εγκατάσταση έχει εύκολη πρόσβαση στον υπεύθυνο προστασίας δεδομένων.
3. Με ποια κριτήρια ορίζεται από έναν Οργανισμό ένας υπεύθυνος προστασίας δεδομένων (Data Protection Officer-DPO);
Σύμφωνα με την παράγραφο 5 του άρθρου 37 του Κανονισμού 2016/679(GDPR) ένας υπεύθυνος προστασίας δεδομένων (Data Protection Officer-DPO) ορίζεται από έναν Οργανισμό βάσει των επαγγελματικών του προσόντων και ιδίως βάσει της εμπειρογνωσίας του στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39 του Κανονισμού 2016/679 (GDPR) . Ενδεικτικά σημειώνεται, ότι στα αναφερόμενα καθήκοντα του DPO στο άρθρο 39 του Κανονισμού 2016/679 (GDPR) είναι το να ενημερώνει και να συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που πηγάζουν από το Κανονισμό 2016/679 (GDPR) και από άλλες διατάξεις της Ένωσης ή του εκάστοτε κράτους μέλους σχετικά με την προστασία των δεδομένων καθώς και να συνεργάζεται με την εποπτική αρχή.(αναλυτικά για τα καθήκοντα του υπεύθυνου προστασίας δεδομένων (Data Protection Officer-DPO) βλ. κατωτέρω ερώτηση υπ.αριθμ. 5). Επομένως, λαμβανομένων υπόψιν των ειδικών καθηκόντων του υπεύθυνου προστασίας δεδομένων (Data Protection Officer-DPO) γίνονται κατανοητά και τα κριτήρια επιλογής του ,όπως αυτά περιγράφονται στον Κανονισμό 2016/679(GDPR).
Σημαντική είναι η επισήμανση στις κατευθυντήριες γραμμές της «Ομάδας του άρθρου 29» υπ.αριθμ. WP 243 rev.01 για το απαιτούμενο επίπεδο εμπειρογνωμοσύνης του ορισθέντα DPO, όπου τονίζεται, ότι αν και το απαιτούμενο επίπεδο εμπειρογνωμοσύνης δεν καθορίζεται αυστηρά , σε κάθε περίπτωση πρέπει να είναι ανάλογο της ευαισθησίας, της πολυπλοκότητας και της ποσότητας των δεδομένων που επεξεργάζεται ο εκάστοτε Οργανισμός . Η επισήμανση αυτή μπορεί να αποτελέσει σημαντικό οδηγό για τον εκάστοτε Οργανισμό,είτε υπό την ιδιότητα του υπεύθυνου είτε υπό την ιδιότητα του εκτελούντα την επεξεργασία δεδομένων προσωπικού χαρακτήρα , κατά την επιλογή του κατάλληλου προσώπου για το θέση του DPO.
Εξάλλου,διευκρινίζεται από την «Ομάδα του άρθρου 29» ότι η ικανότητα εκπλήρωσης των καθηκόντων που βαρύνουν τον υπεύθυνο προστασίας (DPO) θα πρέπει να ερμηνεύεται τόσο σε σχέση με τις προσωπικές ικανότητες και γνώσεις του όσο και με τη θέση που κατέχει εντός του Οργανισμού. Στις προσωπικές ικανότητες θα πρέπει να περιλαμβάνονται μεταξύ άλλων,η ακεραιότητα και το υψηλό αίσθημα επαγγελματικής δεοντολογίας, ενώ πρωταρχικό μέλημα του υπεύθυνου προστασίας (DPO) θα πρέπει να είναι η μέγιστη δυνατή συμμόρφωση με τον Κανονισμό 2016/679 (GDPR).
4. Ποιες είναι οι υποχρεώσεις του υπεύθυνου επεξεργασίας (controller) και του εκτελούντα (processor) την επεξεργασία δεδομένων προσωπικού χαρακτήρα προς τον ορισθέντα από αυτούς υπεύθυνο προστασίας (Data Protection Officer-DPO);
Ο υπεύθυνος επεξεργασίας (controller) και ο εκτελών την επεξεργασία (processor) στηρίζουν τον ορισθέντα από αυτούς υπεύθυνο προστασίας δεδομένων (Data Protection Officer-DPO) παρέχωντας του τους απαραίτητους πόρους. Ενδεικτικά μπορούν να αναφερθούν με βάση τα αναφερόμενα στις κατευθυντήριες γραμμές η υποχρέωση για προσήκουσα στήριξη σε επίπεδο οικονομικών πόρων , υποδομών (χώροι, εγκαταστάσεις , εξοπλισμός) και προσωπικού, κατά περίπτωση αλλά και η δυνατότητα για συνεχή κατάρτιση προκειμένου να παρακολουθούν τις εξελίξεις στον τομέα της προστασίας των δεδομένων.
Αξίζει να σημειωθεί ότι με βάση τις κατευθυντήριες γραμμές της «Ομάδας του άρθρου 29», όσο πιο περίπλοκες ή / και ευαίσθητες είναι οι πράξεις επεξεργασίας , τόσο περισσότεροι πόροι πρέπει να διατίθενται στον υπεύθυνο προστασίας δεδομένων (Data Protection Officer-DPO) .O DPO πρέπει να μπορεί να ασκεί αποτελεσματικά τα καθήκοντα του και να έχει στη διάθεσή του επαρκείς πόρους σε σχέση με τη διενεργούμενη επεξεργασία δεδομένων.
Επιπρόσθετα, το άρθρο 38 παρ. 3 του Κανονισμού 2016/679 (GDPR) θεσπίζει ορισμένες βασικές εγγυήσεις ώστε να διασφαλίζεται ότι o υπεύθυνος προστασίας δεδομένων( DPO) είναι σε θέση να εκτελεί τα καθήκοντα του με επαρκή βαθμό αυτονομίας στους κόλπους του οργανισμού όπου απασχολούνται. Ειδικότερα, ο υπεύθυνος προστασίας δεδομένων (Data Protection Officer-DPO) με βάση την ως άνω διάταξη δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων και δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του.
Ωστόσο ,διευκρινίζεται στις ίδιες ως άνω κατευθυντήριες γραμμές ,ότι η διασφάλιση της αυτονομίας των DPO δεν σημαίνει,πάντως,ότι αποκτούν εξουσίες λήψης αποφάσεων καθ’υπέρβαση των καθηκόντων τους , όπως αυτά ορίζονται στο άρθρο 39.
Τέλος,λαμβανομένου υπόψιν ότι ο υπεύθυνος προστασίας δεδομένων (Data Protection Officer-DPO) κατά ρητή επιταγή του Κανονισμού 2016/679 (GDPR) μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις και επομένως δύναται να οριστεί DPO πρόσωπο που κατέχει ήδη μια θέση στον εκάστοτε Oργανισμό, ο Οργανισμός πρέπει να διασφαλίζει ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων. Αυτό συνεπάγεται, σύμφωνα με τις κατευθυντήριες γραμμές ότι ο υπεύθυνος προστασίας δεδομένων (DPO) δεν μπορεί να κατέχει στους κόλπους του οργανισμού θέση από την οποία μπορεί να καθορίζει τους σκοπούς και τα μέσα επεξεργασίας. Εξάλλου, σημειώνεται ότι με βάση την εμπειρία θέσεις στις οποίες εντοπίζονται συνήθως συγκρούσεις συμφερόντων στους κόλπους ενός Οργανισμού είναι, μεταξύ άλλων, οι θέσεις της ανώτερης διοίκησης (όπως διευθύνων σύμβουλος , διοικητικός γενικός διευθυντής, οικονομικός διευθυντής, αρχίατρος, προϊστάμενος τμήματος μάρκετινγκ, προϊστάμενος ανθρωπίνων πόρων ή προϊστάμενος τμήματος πληροφορικής) και άλλες θέσεις κατώτερων βαθμίδων της οργανωτικής δομής , εφόσον από τις θέσεις αυτές είναι δυνατός ο καθορισμός των σκοπών και των μέσων της επεξεργασίας.
5. Ποια είναι τα καθήκοντα του υπευθύνου προστασίας δεδομένων (Data Protection Officer-DPO) και το πλαίσιο εντός του οποίου οφείλει να ενεργεί;
Ι. Ο υπεύθυνος προστασίας δεδομένων (Data Protection Officer-DPO) δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους. (παρ. 5 άρθρο 38 του Κανονισμού 2016/679)
Επιπλέον, κατά την εκτέλεση των καθηκόντων του ο υπεύθυνος προστασίας δεδομένων (Data Protection Officer-DPO) λαμβάνει δεόντως υπόψιν τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.
ΙΙ. Μεταξύ των καθηκόντων του υπευθύνου προστασίας δεδομένων (DPO) είναι:
● το να ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται δεδομένα τις υποχρεώσεις τους που απορρέουν από τον Κανονισμό 2016/679 και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία των δεδομένων.
● το να παρακολουθεί τη συμμόρφωση του εκάστοτε Οργανισμού με τον Κανονισμό 2016/679 (GDPR) , με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και τις πολιτικές του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία κατά περίπτωση σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας και των σχετικών ελέγχων.
● το να παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35, του Κανονισμού 2016/679(GDPR).
● το να συνεργάζεται με την εποπτική αρχή.
● το να ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36 του Κανονισμού 2016/679(GDPR) και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα.