Data Protection Officer (DPO) – Υπεύθυνος Προστασίας Δεδομένων
Ο Υπεύθυνος Επεξεργασίας (που είναι πάντοτε η Επιχείρηση) και ο Εκτελών την Επεξεργασία ορίζουν Υπεύθυνο Προστασίας Δεδομένων (DPO) σε κάθε περίπτωση στην οποία:
- Η Επεξεργασία διενεργείται από Δημόσια Αρχή ή Φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
- Οι βασικές δραστηριότητες του Υπευθύνου Επεξεργασίας ή του Εκτελούντος την Επεξεργασία συνιστούν πράξεις Επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των Υποκειμένων των Δεδομένων σε μεγάλη κλίμακα, ή
- Οι βασικές δραστηριότητες του Υπευθύνου Επεξεργασίας ή του Εκτελούντος την Επεξεργασία συνιστούν μεγάλης κλίμακας Επεξεργασία ειδικών κατηγοριών Δεδομένων κατά το άρθρο 9 ή Δεδομένων Προσωπικού Χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10. Δείτε την σελίδα μας <Συχνές Ερωτήσεις και Απαντήσεις> σχετικά με τον Υπεύθυνο Επεξεργασίας και των Εκτελούντα την Επεξεργασία.
Για τον προσδιορισμό της μεγάλης κλίμακας Επεξεργασίας πρέπει να λαμβάνονται υπόψη:
- Ο αριθμός των εμπλεκομένων υποκειμένων, είτε ως απόλυτος αριθμός είτε ως ποσοστό επί του Προσωπικού
- Ο όγκος και το εύρος των Δεδομένων
- Η διάρκεια ή ο μόνιμος χαρακτήρας της Επεξεργασίας
- Η γεωγραφική έκταση της Επεξεργασίας.
Παραδείγματα που ΔΕΝ συνιστούν Επεξεργασία μεγάλης κλίμακας είναι, μεταξύ άλλων:
- Η Επεξεργασία Δεδομένων Ασθενών από ιδιώτη ιατρό και
- Η Επεξεργασία Δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα από ιδιώτη δικηγόρο.
Όμιλος επιχειρήσεων μπορεί να διορίσει ένα μόνο Υπεύθυνο Προστασίας Δεδομένων (DPO), υπό την προϋπόθεση ότι κάθε εγκατάσταση έχει εύκολη πρόσβαση στον Υπεύθυνο Προστασίας Δεδομένων. Εάν ο Υπεύθυνος Επεξεργασίας ή ο Εκτελών την Επεξεργασία είναι Δημόσια Αρχή ή Δημόσιος Φορέας, ένας μόνο Υπεύθυνος Προστασίας Δεδομένων μπορεί να ορίζεται για πολλές τέτοιες Αρχές ή πολλούς τέτοιους φορείς, λαμβάνοντας υπόψη την οργανωτική τους δομή και το μέγεθός τους.
Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) μπορεί να είναι μέλος του Προσωπικού του Υπευθύνου Επεξεργασίας ή του Εκτελούντος την Επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών (να είναι δηλαδή Εξωτερικός συνεργάτης).
Αν θέλαμε να αποτυπώσουμε διαγραμματικά την ανάγκη ύπαρξης DPO σε μία επιχείρηση, το διάγραμμα αυτό θα ήταν:
Θέση του Υπευθύνου Προστασίας Δεδομένων (DPO)
- Ο Υπεύθυνος Επεξεργασίας και ο Εκτελών την Επεξεργασία διασφαλίζουν ότι ο Υπεύθυνος Προστασίας Δεδομένων συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την Προστασία Δεδομένων Προσωπικού Χαρακτήρα.
- Ο Υπεύθυνος Επεξεργασίας και ο Εκτελών την Επεξεργασία στηρίζουν τον Υπεύθυνο Προστασίας Δεδομένων στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 39 παρέχοντας απαραίτητους πόρους για την άσκηση των εν λόγω καθηκόντων και πρόσβαση σε Δεδομένα Προσωπικού Χαρακτήρα και σε πράξεις Επεξεργασίας, καθώς και πόρους απαραίτητους για τη διατήρηση της εμπειρογνωσίας του.
- Ο Υπεύθυνος Επεξεργασίας και ο Εκτελών την Επεξεργασία διασφαλίζουν ότι ο Υπεύθυνος Προστασίας Δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον Υπεύθυνο Επεξεργασίας ή τον Εκτελούντα την Επεξεργασία επειδή επιτέλεσε τα καθήκοντά του. Ο Υπεύθυνος Προστασίας Δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του Υπευθύνου Επεξεργασίας ή του Εκτελούντος την Επεξεργασία.
- Τα Υποκείμενα των Δεδομένων μπορούν να επικοινωνούν με τον Υπεύθυνο Προστασίας Δεδομένων για κάθε ζήτημα σχετικό με την Επεξεργασία των Δεδομένων τους Προσωπικού Χαρακτήρα και με την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος Κανονισμού.
- Ο Υπεύθυνος Προστασίας Δεδομένων δεσμεύεται από την τήρηση του Απορρήτου ή της Εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους.
- Ο Υπεύθυνος Προστασίας Δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο Υπεύθυνος Επεξεργασίας ή ο Εκτελών την Επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων.
Καθήκοντα του Υπευθύνου Προστασίας Δεδομένων (DPO)
- Ενημερώνει και συμβουλεύει τον Υπεύθυνο Επεξεργασίας ή τον Εκτελούντα την Επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα Κανονισμό και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την Προστασία Δεδομένων.
- Παρακολουθεί τη συμμόρφωση με τον παρόντα Κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την Προστασία Δεδομένων και με τις πολιτικές του Υπευθύνου Επεξεργασίας ή του Εκτελούντος την Επεξεργασία σε σχέση με την Προστασία των Δεδομένων Προσωπικού Χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις Επεξεργασίας, και των σχετικών ελέγχων.
- Παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την Προστασία των Δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35.
- Συνεργάζεται με την Εποπτική Αρχή.
- Ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36, και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα.
- Κατά την εκτέλεση των καθηκόντων του, λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με τις πράξεις Επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας
Λοιπές Επισημάνσεις
- Ο Κανονισμός GDPR δεν θέτει κάποια υποχρεωτική απαίτηση για Πιστοποίηση του DPO, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση.
- Ο ρόλος του DPO είναι Συμβουλευτικός (όχι Αποφασιστικός) και δεν φέρει προσωπική ευθύνη για τη μη συμμόρφωση της Επιχείρησης με τον Κανονισμό GDPR.
- Ο DPO, μπορεί να είναι και υπάλληλος της Επιχείρησης, αλλά μπορεί να είναι και Εξωτερικός Συνεργάτης. Ειδικότερα, ο DPO μπορεί να είναι μέλος του προσωπικού του Υπευθύνου Επεξεργασίας ή του Εκτελούντος την Επεξεργασία (εσωτερικός Υπεύθυνος Προστασίας Δεδομένων) ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών (εξωτερικός συνεργάτης). Σε κάθε περίπτωση, μπορεί να συνεπικουρείται από ομάδα, εφόσον απαιτείται. Συνιστάται δε να είναι εγκατεστημένος εντός ΕΕ, ανεξάρτητα από το εάν ο Υπεύθυνος Επεξεργασίας ή ο Εκτελών την Επεξεργασία είναι ή όχι εγκατεστημένοι στην ΕΕ.
- Για τον Ορισμό του DPO, πρέπει να γίνει χρήση του Εντύπου (δείτε εδώ) και να το υποβάλλει ο Υπεύθυνος Επεξεργασίας και να το αποστείλει dpo-announcement@dpa.gr
- Για την Αντικατάσταση του DPO, ο Υπεύθυνος Επεξεργασίας συμπληρώνει εκ νέου το σχετικό έντυπο με τα στοιχεία του νέου DPO και το αποστέλλει στο dpo-announcement@dpa.gr. Το παλιό έντυπο καταργείται αυτομάτως.
- Για την Κατάργηση του DPO, ο Υπεύθυνος Επεξεργασίας ενημερώνει με απλό e-mail στο dpo-announcement@dpa.gr ότι καταργείται ο DPO και δεν αντικαθίσταται.