Ο Υπεύθυνος Προστασίας (DPO) και το υπάρχον πλαίσιο Πιστοποίησης υπό τον GDPR

Ο Υπεύθυνος Προστασίας (DPO) και το υπάρχον πλαίσιο Πιστοποίησης υπό τον GDPR
  • 02/04/2018
  • Michalopoulou & Associates

Ο  νέος Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (GDPR) καταφθάνει στις 25 Μαΐου 2018 και μαζί με αυτόν αναμένεται να εφαρμοστούν για πρώτη φορά και οι νέες επιταγές του. Το ρυθμιστικό πλαίσιο αναμένεται να αλλάζει άρδην αναφορικά με τους υπεύθυνους και εκτελούντες την επεξεργασία των προσωπικών δεδομένων των υποκειμένων, ενώ υποχρεωτικός καθίσταται πλέον, για συγκεκριμένες περιπτώσεις επεξεργασίας, ο διορισμός του λεγόμενου Υπεύθυνου Προστασίας των Προσωπικών Δεδομένων (Data Protection Officer – DPO) στα πλαίσια των εταιρειών και επιχειρήσεων, καθώς επίσης προβλέπεται για πρώτη φορά η δυνατότητα Πιστοποίησης των εταιρειών ως υπεύθυνων και εκτελούντων την επεξεργασία. Τι συμβαίνει όμως αναφορικά με την πολυσυζητημένη αυτή Πιστοποίηση που μπορούν να λάβουν οι εταιρείες; Τι ορίζει ο GDPR στο κείμενο του Κανονισμού και τι ισχύει πραγματικά αναφορικά με τις Πιστοποιήσεις στην Ελλάδα; Στη συνέχεια του άρθρου μας θα προσπαθήσουμε να παρουσιάσουμε συνοπτικά τις νέες ρυθμίσεις σχετικά με τον Υπεύθυνο Προστασίας (DPO) αλλά και να απαντήσουμε στα καίρια ερωτήματα περί των δυνατοτήτων Πιστοποίησης , με βάση τα πραγματικά δεδομένα που ισχύουν στην ελληνική επικράτεια αλλά και στην ευρωπαϊκή έννομη τάξη.

Ο διορισμός του DPO

Με το άρθρο 37 του Γενικού Κανονισμού Προσωπικών Δεδομένων (ΓΚΠΔ) εισάγεται ο θεσμός του Υπευθύνου Προστασίας Δεδομένων (DPO) και σύμφωνα με το γράμμα του ως άνω άρθρου ο διορισμός του κρίνεται απαραίτητος για τον υπεύθυνο επεξεργασίας και τον εκτελών την  επεξεργασία σε κάθε περίπτωση όπου:
α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή
γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα όπως γενετικά ή βιομετρικά δεδομένα, δεδομένα υγείας καθώς και δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα.

Στην έννοια των δραστηριοτήτων «μεγάλης κλίμακας» υπάγονται τα νοσοκομεία, οι ασφαλιστικές εταιρείες, οι τράπεζες, οι περιπτώσεις διαδικτυακής επεξεργασίας δεδομένων  με σκοπό την εμπορική προώθηση – διαφήμιση, όπως και οι φαρμακευτικές επιχειρήσεις που δύνανται να επεξεργάζονται πληθώρα προσωπικών δεδομένων και δη ευαίσθητων, όπως δεδομένων υγείας ασθενών.

Ο ρόλος και τα καθήκοντα του DPO σε μια επιχείρηση

Ουσιαστικά στα πλαίσια των επιχειρήσεων που λειτουργούν είτε ως υπεύθυνοι επεξεργασίας είτε ως εκτελούντες, ο DPO διαδραματίζει έναν εξέχοντα ρόλο, του συνδέσμου επικοινωνίας μεταξύ της επιχείρησης και της εποπτικής αρχής, όπως ρητά αναφέρει και ο  GDPR στο άρθρο 39 σχετικά με τα ζητήματα επεξεργασίας προσωπικών δεδομένων. Ο ρόλος του DPO είναι πρωτίστως συμβουλευτικός και υποστηρικτικός, ενώ θα πρέπει να του παρέχεται ο χώρος ώστε να δρα και να λειτουργεί αυτόνομα στο εσωτερικό της επιχείρησης.Λαμβάνοντας υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ο υπεύθυνος προστασίας οφείλει να ενημερώνει και να συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία δεδομένων και τους υπαλλήλους της επιχείρησης σχετικά με τις προβλεπόμενες νομοθετικές επιταγές  για την προστασία δεδομένων, καθώς επίσης να παρακολουθεί τη συμμόρφωση με τον Κανονισμό με σκοπό την ελαχιστοποίηση του κινδύνου παραβίασης. Επιπλέον, το άρθρο 38 του GDPR ορίζει πως ο DPO λογοδοτεί στο ανώτατο επίπεδο της διοίκησης, δεν λαμβάνει εντολές για την άσκηση των καθηκόντων του, δεν ευθύνεται για την μη συμμόρφωση του υπεύθυνου/εκτελούντος την  επεξεργασία, δεν απολύεται, ούτε του επιβάλλονται κυρώσεις επειδή άσκησε το καθήκον του ανεξάρτητα και τυχόν αντίθετα στη βούληση της εταιρίας.

Τι προβλέπει ο GDPR σχετικά με τις δυνατότητες Πιστοποίησης;

Η δυνατότητα Πιστοποίησης των υπευθύνων ή των εκτελούντων την επεξεργασία εισάγεται, για πρώτη φορά στο κείμενου του Νέου Κανονισμού για τα Προσωπικά Δεδομένα. Σε αντίθεση με όσα προέβλεπε η Οδηγία 95/46/ΕΕ, ο GDPR αναγνωρίζει ρητώς τις πιστοποιήσεις (καθώς και τις σφραγίδες και τα σήματα) ως αποδεκτούς μηχανισμούς για την απόδειξη της συμμόρφωσης με τις επιταγές του Κανονισμού, αλλά πάντα υπό συγκεκριμένες προϋποθέσεις.

Συγκεκριμένα στο άρθρο 42 του GDPR, γίνεται ρητή αναφορά για τις δυνατότητες Πιστοποίησης με μέγιστη διάρκεια τα τρία έτη, μια Πιστοποίηση βέβαια που δεν περιορίζει την ευθύνη του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για συμμόρφωση προς τον παρόντα κανονισμό και δεν θίγει τα καθήκοντα και τις αρμοδιότητες των εποπτικών αρχών. Αυτό όμως που μπορεί να πιστοποιηθεί, είναι η τήρηση (ή αλλιώς: συμμόρφωση) με τα κριτήρια πιστοποίησης που καθορίζονται στον GDPRΗ τήρηση αυτών των κριτηρίων συνεπάγεται ότι ένας υπεύθυνος ή εκτελών την επεξεργασία για μια ορισμένη χρονική περίοδο έχει λάβει μέτρα για να διασφαλίσει ότι πληροί ορισμένες υποχρεώσεις. Επιπλέον όπως ρητά αναφέρεται και στον Κανονισμό, η λήψη μιας προβλεπόμενης Πιστοποίησης είναι εθελοντική (όχι υποχρεωτική) και γίνεται μέσω διαφανούς διαδικασίας.

Οι Πιστοποιήσεις όμως που αναφέρονται παραπάνω παρέχονται είτε από την αρμόδια εποπτική αρχή είτε από τους ρητά αναφερόμενους στο κείμενο του Κανονισμού φορείς Πιστοποίησης οι οποίοι είναι οι αποκλειστικά και μόνο αρμόδιοι για να χορηγούν ύστερα από ενδελεχή έρευνα πιστοποιήσεις στους διάφορους οργανισμούς.Oι φορείς αυτοί για να δύνανται να χορηγούν Πιστοποιήσεις θα πρέπει να έχουν διαπιστευτεί , όπως με σαφήνεια καθορίζει το άρθρο 43 του GDPR, από ένα ή αμφότερα τα ακόλουθα:

α) την εποπτική αρχή που είναι αρμόδια, στην Ελλάδα επομένως η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,

 β) τον εθνικό οργανισμό διαπίστευσης που ορίζεται σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 765/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, δηλαδή το Εθνικό Σύστημα Διαπίστευσης (Ε.ΣΥ.Δ.) που  έχει ορισθεί ως ο Εθνικός Οργανισμός Διαπίστευσης της Ελλάδας σύμφωνα και με τις απαιτήσεις του Άρθρου 4 του Κανονισμού (EK) αριθ. 765/2008 (θα αποκτήσει δυνατότητα διαπίστευσης ύστερα και από σχετική πρόβλεψη της εθνικής νομοθεσίας κατόπιν της εφαρμογής του GDPR).

Τι πραγματικά ισχύει με τους φορείς που παρέχουν δυνατότητες Πιστοποίησης στην Ελληνική επικράτεια;

Όπως με ακρίβεια αναφέρουμε ως άνω, οι μόνοι αρμόδιοι για να χορηγούν Πιστοποιήσεις στην Ελλάδα είναι η Αρχή Προστασίας Δεδομένων και οι διαπιστευμένοι φορείς πιστοποίησης, οι οποίοι αποκτούν την ιδιότητα τους αυτή ύστερα και μόνο από διαπίστευσης της Αρχής είτε (εν δυνάμει) του Ε.ΣΥ.Δ. Όπως όμως πρόσφατα γνωστοποίησε η Αρχή ΠΔΠΧ, μέσω της επίσημης ανακοίνωσης  που εξέδωσε και επ αφορμή των διάφορων εκπαιδευτικών προγραμμάτων/σεµιναρίων  για τον ρόλο του Υπευθύνου Προστασίας ∆εδοµένων (Data Protection Officer – DPO), κανένας φορέας στην Ελλάδα δεν έχει διαπιστευτεί για να πιστοποιεί τα επαγγελµατικά προσόντα/δεξιότητες ενός DPO. Συνεπώς, οι προτεινόµενες πιστοποιήσεις DPO δεν εµπίπτουν στην κατηγορία των υφιστάµενων επίσηµων ελληνικών πιστοποιήσεων, όπως αυτές αναλυτικά προβλέπονται και στον GDPR. Mάλιστα η Αρχή υποστηρίζει πως ο GDPR δεν θέτει κάποια υποχρεωτική απαίτηση για πιστοποίηση του DPO, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση.

Στην ίδια κατεύθυνση κινήθηκε σε ευρωπαϊκό επίπεδο πήρε και η Βελγική ΑΠΔΠΧ η οποία με την υπ’ αρ. 4/2017 Γνωμοδότηση της επεσήμανε ότι για τον διορισμό του ΥΠΔ δεν απαιτείται από τον Κανονισμό κανένα δίπλωμα ή ειδική πιστοποίηση (σημεία 43 και 44). Επίσης κομβικής σημασίας είναι και η αναφορά που κάνει ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών(Enisa), που στην Γνωμοδότηση που εξέδωσε το Νοέμβριο του 2017 αναφορικά με την Πιστοποίηση υπό τον GDPR για τους υπεύθυνους και εκτελούντες την επεξεργασία, τονίζει πως κάθε πιστοποίηση που παρέχεται σε αυτούς στον τομέα της προστασίας των δεδομένων δεν είναι αυτόματα ο προβλεπόμενος από τον GDPR μηχανισμός πιστοποίησης προστασίας των δεδομένων. Η εθνική εποπτική αρχή είναι η μόνη αρμόδια να εγκρίνει επίσημα τα κριτήρια με βάση τα οποία παρέχεται η προβλεπόμενη από τον GDPR πιστοποίηση. Τέλος όπως υπογραμμίζει και η ENISA η προβλεπόμενη πιστοποίηση υπό τον GDPR αφορά αποκλειστικά και μόνο τον υπεύθυνο ή τον εκτελούντα την επεξεργασία και όχι οποιοδήποτε άλλο φυσικό ή νομικό πρόσωπο.

Σχόλιο του γραφείου μας:

Ενόψει της επικείμενης εφαρμογής του νέου Γενικού Κανονισμού για την Προστασία Προσωπικών δεδομένων (GDPR) οι αλλαγές που αναμένονται σε ό,τι αφορά την επεξεργασία προσωπικών δεδομένων από εταιρείες οι οποίες ενέχουν θέση υπευθύνου αλλά και εκτελούντος την επεξεργασία είναι πολλές και πολυεπίπεδες. Ο νέος Κανονισμός θα θέσει νέες προκλήσεις αναφορικά με τον τρόπο διαχείρισης και προστασίας προσωπικών δεδομένων, στο πλαίσιο των οποίων εντάσσεται και ο νέος ρόλος του DPO. Ωστόσο, η επιτακτική ανάγκη συμμόρφωσης υπό  τον GDPR δεν θα πρέπει να μεταφράζεται με την ανάγκη εξασφάλισης μίας οποιαδήποτε εκπαίδευσης υπό το πέπλο μίας πιστοποίησης, αλλά θα πρέπει να μετουσιώνεται σε μία ουσιαστική αλλαγή της φιλοσοφίας και των εταιρικών διαδικασιών όλων των υπευθύνων και εκτελούντων την επεξεργασία ούτως ώστε να διασφαλίζεται κατά τρόπο αποτελεσματικό η  προστασία των προσωπικών δεδομένων.