Ημερομηνία 27 Φεβρουαρίου 2018
Σχόλια 0

Ο νέος Κανονισμός για τα Προσωπικά Δεδομένα (GDPR) και ο Υπεύθυνος Προστασίας Προσωπικών Δεδομένων (DPO)

Ο Κανονισμός  2016/679

Ο Γενικός κανονισμός  για την προστασία προσωπικών δεδομένων (General Data protection Regulation) ψηφίστηκε από το Ευρωπαϊκό κοινοβούλιο τον Απρίλιο του 2016 και τίθεται σε άμεση ισχύ σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης από την 25η Μαΐου 2018.

Πρόκειται για έναν κανονισμό τομή, όσον αφορά το πεδίο της προστασίας των προσωπικών δεδομένων, που επιβάλλει σε υπεύθυνους επεξεργασίας και εκτελούντες την επεξεργασία προσωπικών δεδομένων νέες υποχρεώσεις.

Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία

Ως υπεύθυνος επεξεργασίας ορίζεται από τον κανονισμό το νομικό ή φυσικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που καθορίζουν τους σκοπούς και τον τρόπο επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Ως εκτελών την επεξεργασία ορίζεται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας.

Τι είναι όμως  τα προσωπικά δεδομένα και τι σημαίνει «επεξεργασία»; Ποιος επεξεργάζεται τελικά προσωπικά δεδομένα;

Δεδομένο προσωπικού χαρακτήρα θεωρείται οποιαδήποτε πληροφορία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (π.χ. όνομα, αριθμός ταυτότητας, στοιχεία που καθορίζουν την οικονομική, κοινωνική σωματική ταυτότητα κ.α.)

Επεξεργασία δε, είναι κάθε πράξη που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα ή σύνολο αυτών (π.χ. συλλογή, καταχώρηση, οργάνωση, αποθήκευση, διάδοση, συνδυασμός, διαγραφή κ.α.)

Υποχρεωτικά επομένως ορίζεται υπεύθυνος επεξεργασίας (DPO) όταν:

  • Οι βασικές δραστηριότητες του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία αποτελούν πράξεις επεξεργασίας που απαιτούν συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα.
  • Οι βασικές δραστηριότητες του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία αποτελούν μεγάλης κλίμακας επεξεργασία δεδομένων ειδικών κατηγοριών και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα.
  • Η επεξεργασία τελείται από δημόσια αρχή ή φορέα (εκτός των δικαστηρίων στο πλαίσιο της δικαιοδοτικής τους δραστηριότητας).

Τι  είναι ο Data Protection Officer (DPO);

Μέσα στα πλαίσια των υποχρεώσεων που εισάγει ο κανονισμός αυτός για την προστασία των δεδομένων προσωπικού χαρακτήρα είναι και ο ορισμός Υπεύθυνου προστασίας δεδομένων (DPO).

Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία επομένως που εκτελούν τις προαναφερόμενες δραστηριότητες, θα υποχρεούνται να ορίσουν έναν DPO.

Ο DPO μπορεί να είναι μόνο φυσικό πρόσωπο, το οποίο έχει λάβει την πιστοποίηση ως τέτοιος.

Τα καθήκοντα του περιληπτικά είναι:

  • Να ενημερώνει και να συμβουλεύει τον υπεύθυνο και τον εκτελούντα την επεξεργασία, καθώς και το προσωπικό τους για τις υποχρεώσεις που απορρέουν από τον κανονισμό κι άλλες διατάξεις.
  • Να παρακολουθεί τη συμμόρφωση των παραπάνω με τις διατάξεις.
  • Να παρέχει συμβουλές όταν του ζητηθεί.
  • Να συνεργάζεται με την εποπτική αρχή (ενημερώνει για οποιαδήποτε παράβαση εντός 72 ωρών).
  • Να λειτουργεί ως δίαυλος επικοινωνίας μεταξύ της εποπτικής αρχής και του υπεύθυνου ή του εκτελούντα την επεξεργασία.
  • Να εκτιμά τον κίνδυνο-ρίσκο που προκύπτει από τις πράξεις επεξεργασίας.

Ανεξαρτησία

Ο υπεύθυνος επεξεργασίας, εκπίπτει του διευθυντικού δικαιώματος του υπεύθυνου επεξεργασίας ή του εκτελούντα την επεξεργασία με την έννοια ότι δε λαμβάνει εντολές, δεν απολύεται και δεν υφίσταται κυρώσεις (για ζητήματα πάντα που αφορούν τη δουλειά του ως Υπευθύνου προσωπικών δεδομένων), παρότι μπορεί σε κάθε περίπτωση να αποτελεί μέρος του προσωπικού του.

Ανεξάρτητη εποπτική αρχή προστασίας δεδομένων προσωπικού χαρακτήρα

Πρόκειται για μία συνταγματικά κατοχυρωμένη  ανεξάρτητη διοικητική αρχή, με την οποία θα συνεργάζεται ο DPO, προκειμένου να λαμβάνει γνώση και να «ελέγχει» αν τηρούνται οι αρχές που πρεσβεύει ο κανονισμός, όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα.

Ευθύνη και κυρώσεις

Βάσει του κανονισμού η ευθύνη σε περίπτωση μη συμμόρφωσης με τις γραμμές προστασίας κατά την επεξεργασία των προσωπικών δεδομένων σκιαγραφείται ως εξής:

  • Υπεύθυνος επεξεργασίας προσωπικών δεδομένων: Επέχει νόθο αντικειμενική ευθύνη απέναντι στην ανεξάρτητη αρχή σχετικά με οποιαδήποτε παράβαση.
  • Εκτελών την επεξεργασία προσωπικών δεδομένων: Επέχει αντικειμενική ευθύνη (ανεξαρτήτως υπαιτιότητας) απέναντι στην ανεξάρτητη αρχή σχετικά με οποιαδήποτε παράβαση.
  • Υπεύθυνος προστασίας δεδομένων (DPO): Δε φέρει καμία ευθύνη απέναντι στην ανεξάρτητη αρχή σχετικά με οποιαδήποτε παράβαση του υπεύθυνου επεξεργασίας ή του εκτελούντα την επεξεργασία κι είναι διάφορο αν ενδοσυμβατικά θα είναι υπόλογος για πλημμελή εκπλήρωση των υποχρεώσεών του.

Οι κυρώσεις (διοικητικής φύσεως πρόστιμα) σε περίπτωση παράβασης του χριστού τρόπου επεξεργασίας των προσωπικών δεδομένων από τον υπεύθυνο ή τον εκτελούντα την επεξεργασία μπορούν να γίνουν πολύ αυστηρές, ενδέχεται να φτάσουν στην επιβολή δηλαδή υψηλών προστίμων, που σχηματίζονται βάσει της σημασίας της παράβασης.

Leave a comment