Το άρθρο της κας Ιωάννας Μιχαλοπούλου που δημοσιεύτηκε στις 19 Μαΐου στο capital.gr.
Ποιος ακριβώς είναι ο ρόλος του Υπεύθυνου Προστασίας δεδομένων (DPO);
• Ο DPO πρέπει να συμμετέχει ενεργά σε όλα τα ζητήματα που αφορούν την προστασία δεδομένων προσωπικού χαρακτήρα ενώ η επιχείρηση θα πρέπει να διασφαλίζει αντιστοίχως την πρόσβαση του σε κάθε απαραίτητη για τον σκοπό αυτό πληροφορία σχετικά με προσωπικά δεδομένα και τις διαδικασίες επεξεργασίας τους.
• Ο DPO πρέπει να έχει την αμέριστη υποστήριξη της επιχείρησης η οποία οφείλει να τον εφοδιάζει με όλα τα απαραίτητα μέσα για την προσήκουσα εκπλήρωση των αρμοδιοτήτων του
• Ο DPO πρέπει να είναι σε θέση να δρα και να λειτουργεί αυτόνομα στο εσωτερικό της επιχείρησης.
• Σε καμία περίπτωση δεν θα πρέπει ο ρόλος του DPO και η συνέπεια προς αυτόν να επιφέρει την τιμωρία του τελευταίου ή την απαλλαγή του εκ των καθηκόντων του εκ μέρους του υπευθύνου ή του εκτελούντος την επεξεργασία.
• Η επιχείρηση οφείλει να μην αναθέτει στον DPO καθήκοντα τα οποία ενδέχεται να συγκρούονται με εκείνα τα οποία ο ίδιος έχει αναλάβει ως Υπεύθυνος Προστασίας Δεδομένων (π.χ. καθήκοντα θέσης Οικονομικού Διευθυντή, Διευθυντή τμήματος HR, Ιατρικού Διευθυντή κλπ)
• Ο DPO μπορεί να συμβάλλει δυναμικά στην καταγραφή και τήρηση αρχείου αναφορικά με τις διαδικασίες επεξεργασίας που λαμβάνουν χώρα εντός της επιχείρησης, σύμφωνα πάντα με τις πληροφορίες που θέτουν υπ’οψη του ο υπεύθυνος ή ο εκτελών την επεξεργασία. Με αυτόν τον τρόπο μπορεί να ενδυναμωθεί η συμμόρφωση της επιχείρησης μέσω της συχνής πληροφόρησης και αναφοράς στον DPO.
Ποιος κανονισμός επιβάλλει τη θέση του DPO στις επιχειρήσεις;
Ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) ο οποίος αναμένεται να τεθεί σε εφαρμογή από τις 25 Μαΐου 2018, θα αποτελέσει σύμφωνα με την Ομάδα Εργασίας του άρθρου 29 (Article 29 Data Protection Working Party) ένα νέο ευρωπαϊκό πλαίσιο προστασίας των προσωπικών δεδομένων το οποίο θα βασίζεται στην απευθείας ανάληψη ευθυνών εκ μέρους των ίδιων πλέον των εταιρειών.
1) Είναι υποχρεωτικός σύμφωνα με τον Γενικό Κανονισμό ο διορισμός ενός DPO;
Σύμφωνα με το κείμενο του Γενικού Κανονισμού ο διορισμός DPO στο εσωτερικό μίας επιχείρησης είναι υποχρεωτικός για συγκεκριμένες κατηγορίες υπευθύνων και εκτελούντων την επεξεργασία, η δραστηριότητα των οποίων επιτάσσει τον διορισμό ενός Υπευθύνου Προστασίας Προστασίας Δεδομένων. Εν τούτοις, η παρουσία και δράση ενός DPO κρίνεται σκόπιμη σε όλες τις επιχειρήσεις, ακόμη και στις μικρομεσαίες, οι οποίες μπορούν κατά διακριτική ευχέρεια να διορίσουν DPO ο οποίος θα έχει κομβικό ρόλο ως προς την συμμόρφωση του υπευθύνου και εκτελούντος την επεξεργασία προς το ισχύον κανονιστικό πλαίσιο. Άλλωστε ο ρόλος του DPO στο εσωτερικό μίας επιχείρησης, ανεξαρτήτως του μεγέθους αυτής, μπορεί να συμβάλλει αποφασιστικά στην ενδυνάμωση της συμμόρφωσης της, η ύπαρξη της οποίας αποτελεί σήμερα σημαντικό ανταγωνιστικό πλεονέκτημα.
2) Σε ποιές περιπτώσεις κρίνεται απαραίτητος ο διορισμός DPO;
Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία οφείλουν σύμφωνα με τον Κανονισμό (άρθρο 37) να ορίζουν Yπεύθυνο Προστασίας Δεδομένων σε κάθε περίπτωση στην οποία:
α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή
γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα όπως γενετικά ή βιομετρικά δεδομένα, δεδομένα υγείας καθώς και δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα.
Σχόλιο της ειδικού:
Ο Γενικός Κανονισμός για την Προστασία Προσωπικών Δεδομένων καθιστά σαφές ότι βασικός υπόχρεος συμμόρφωσης προς το ανωτέρω κανονιστικό πλαίσιο είναι όχι ο DPO αλλά ο ίδιος ο υπεύθυνος επεξεργασίας ο οποίος και καλείται να εφαρμόσει όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να είναι σε θέση να αποδείξει ότι η επεξεργασία προσωπικών δεδομένων λαμβάνει χώρα σε συμμόρφωση με τις επιταγές του Κανονισμού. Αναδεικνύεται, έτσι, ένα ιδιαιτέρως σημαντικό ζήτημα, ήτοι ότι η συμμόρφωση προς το κανονιστικό πλαίσιο για την προστασία προσωπικών δεδομένων αποτελεί πρωταρχική εταιρική ευθύνη του ίδιου του υπευθύνου επεξεργασίας και όχι του DPO. Ο ρόλος, ωστόσο, του τελευταίου στο εσωτερικό μίας επιχείρησης θα αποτελέσει προϋπόθεση επίτευξης ενός υψηλού επιπέδου συμμόρφωσης, γεγονός που, αν μη τι άλλο, τον καθιστά αδιαμφισβήτητα απαραίτητο.
* Η κα Ιωάννα Μιχαλοπούλου είναι Corporate & Commercial Lawyer / Medical, Pharma and Life Sciences, Michalopoulou & Associates
