GDPR και ο ρόλος του DPO: Τι είναι ο DPO, τι αρμοδιότητες και τι υποχρεώσεις έχει;

GDPR και ο ρόλος του DPO: Τι είναι ο DPO, τι αρμοδιότητες και τι υποχρεώσεις έχει; Συχνές ερωτήσεις / απαντήσεις

Ποιοι οργανισμοί πρέπει να ορίζουν υπεύθυνο προστασίας δεδομένων (DPO);

Ο ορισμός υπευθύνου προστασίας δεδομένων είναι υποχρεωτικός:

  • εάν η επεξεργασία διενεργείται από δημόσια αρχή ή δημόσιο φορέα (ανεξάρτητα από το είδος των δεδομένων που υφίστανται επεξεργασία),
  • εάν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα,
  • εάν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.

Σημειώνεται ότι το δίκαιο της Ένωσης ή των κρατών μελών είναι δυνατό να επιβάλλει τον ορισμό υπευθύνου προστασίας δεδομένων και σε άλλες περιπτώσεις.

Τέλος, ακόμη κι αν ο ορισμός υπευθύνου προστασίας δεδομένων δεν είναι υποχρεωτικός, ενδέχεται να υπάρξουν οργανισμοί που θα κρίνουν σκόπιμο να ορίσουν υπεύθυνο προστασίας δεδομένων σε εθελοντική βάση.

Η ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα του άρθρου 29 («ομάδα του άρθρου 29») ενθαρρύνει τέτοιου είδους εθελοντικές ενέργειες.

Όταν ένας οργανισμός ορίζει υπεύθυνο προστασίας δεδομένων σε εθελοντική βάση, σε σχέση με τον ορισμό, τη θέση και τα καθήκοντά του θα ισχύουν οι ίδιες απαιτήσεις ως εάν ο ορισμός να ήταν υποχρεωτικός.

Πηγή: Άρθρο 37 παράγραφος 1 του ΓΚΠΔ

Τι σημαίνει «βασικές δραστηριότητες» για έναν οργανισμό σε σχέση με το GDPR και τον DPO;

Ως «βασικές δραστηριότητες» μπορούν να θεωρηθούν οι καίριες πράξεις για την επίτευξη των στόχων του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

Σ’ αυτές συμπεριλαμβάνονται επίσης όλες οι δραστηριότητες που επιτελούνται όταν η επεξεργασία δεδομένων αποτελεί αναπόσπαστο μέρος της δραστηριότητας του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

Για παράδειγμα, η επεξεργασία ιατρικών δεδομένων, όπως οι ιατρικοί φάκελοι ασθενών, θα πκαιρέπει να θεωρείται ως μία από τις βασικές δραστηριότητες κάθε νοσοκομείου.

Κατά συνέπεια, τα νοσοκομεία οφείλουν να ορίσουν υπεύθυνο προστασίας δεδομένων.

Από την άλλη πλευρά, όλοι οι οργανισμοί επιτελούν ορισμένες υποστηρικτικές δραστηριότητες όπως, π.χ., καταβάλλουν τους μισθούς των υπαλλήλων τους ή αναπτύσσουν συνήθεις δραστηριότητες
υποστήριξης ΤΠ.

Αυτά είναι παραδείγματα αναγκαίων λειτουργιών υποστήριξης της βασικής δραστηριότητας ή του κύριου τομέα δραστηριότητας του οργανισμού.

Μολονότι οι εν λόγω δραστηριότητες είναι αναγκαίες ή ουσιώδεις, θεωρούνται κατά κανόνα ως παρεπόμενες λειτουργίες του οργανισμού και όχι ως η βασική του δραστηριότητα.

Πηγή: Άρθρο 37 παράγραφος 1 στοιχεία β) και γ) του ΓΚΠΔ

Τι σημαίνει «μεγάλη κλίμακα» υπό τον GDPR ώστε να ορίσουμε DPO;

Ο GDPR δεν ορίζει τι συνιστά επεξεργασία μεγάλης κλίμακας. Η ομάδα του άρθρου 29 συνιστά να λαμβάνονται συγκεκριμένα υπόψη οι ακόλουθοι παράγοντες όταν επιχειρείται να προσδιοριστεί εάν η επεξεργασία διενεργείται σε μεγάλη κλίμακα ή όχι:

  • ο αριθμός των εμπλεκόμενων υποκειμένων των δεδομένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του συναφούς πληθυσμού,
  • ο όγκος των δεδομένων και/ή το εύρος των διαφόρων στοιχείων δεδομένων που υφίστανται επεξεργασία,
  • η διάρκεια ή ο μόνιμος χαρακτήρας της δραστηριότητας επεξεργασίας δεδομένων,
  • η γεωγραφική έκταση της δραστηριότητας επεξεργασίας.

Παραδείγματα επεξεργασίας σε μεγάλη κλίμακα είναι, μεταξύ άλλων, τα ακόλουθα:

  • η επεξεργασία δεδομένων ασθενών στο πλαίσιο της συνήθους λειτουργίας ενός νοσοκομείου,
  • η επεξεργασία δεδομένων μετακίνησης φυσικών προσώπων που χρησιμοποιούν το σύστημα δημόσιων μεταφορών μιας πόλης (π.χ., παρακολούθηση μέσω καρτών πολλαπλών διαδρομών),
  • η επεξεργασία σε πραγματικό χρόνο δεδομένων γεωγραφικού εντοπισμού πελατών διεθνούς αλυσίδας ταχυφαγείων για στατιστικούς σκοπούς από εκτελούντα την επεξεργασία που ειδικεύεται σε τέτοιου είδους δραστηριότητες,
  • η επεξεργασία δεδομένων πελατών στο πλαίσιο της συνήθους λειτουργίας μιας ασφαλιστικής εταιρείας ή μιας τράπεζας,
  • η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς συμπεριφορικής διαφήμισης από μηχανή αναζήτησης,
  • η επεξεργασία δεδομένων (περιεχόμενο, κίνηση, θέση) από παρόχους υπηρεσιών τηλεφωνίας ή διαδικτύου.

Παραδείγματα που δεν συνιστούν επεξεργασία μεγάλης κλίμακας είναι, μεταξύ άλλων, τα ακόλουθα:

  • η επεξεργασία δεδομένων ασθενών από ιδιώτη ιατρό,
  • η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα από ιδιώτη δικηγόρο.
    Πηγή: Άρθρο 37 παράγραφος 1 στοιχεία β) και γ) του ΓΚΠΔ

Τι σημαίνει «τακτική και συστηματική παρακολούθηση»;

Η έννοια της τακτικής και συστηματικής παρακολούθησης των υποκειμένων των δεδομένων δεν ορίζεται μεν στον GDPR, όμως περιλαμβάνει ξεκάθαρα όλες τις μορφές παρακολούθησης και διαμόρφωσης «προφίλ» στο διαδίκτυο, μεταξύ άλλων, και για σκοπούς συμπεριφορικής διαφήμισης.

Η έννοια της παρακολούθησης δεν περιορίζεται, πάντως, στο επιγραμμικό περιβάλλον.

Παραδείγματα δραστηριοτήτων που συνιστούν ενδεχομένως τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων:

  • λειτουργία δικτύου τηλεπικοινωνιών
  • παροχή υπηρεσιών τηλεπικοινωνιών
  • επαναστόχευση μηνυμάτων ηλεκτρονικού ταχυδρομείου·
  • δραστηριότητες μάρκετινγκ βάσει δεδομένων
  • διαμόρφωση προφίλ και βαθμολόγηση για σκοπούς εκτίμησης κινδύνου (π.χ., για σκοπούς βαθμολόγησης πιστοληπτικής ικανότητας, προσδιορισμού ασφαλίστρων, καταπολέμησης της απάτης, εντοπισμού πρακτικών νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες)·
  • εντοπισμός θέσης, για παράδειγμα, μέσω εφαρμογών για κινητά
    τηλέφωνα·
  • προγράμματα επιβράβευσης αφοσιωμένων πελατών·
  • συμπεριφορική διαφήμιση·
  • παρακολούθηση δεδομένων σχετικά με την ευεξία, τη φυσική κατάσταση και την υγεία μέσω φορέσιμων συσκευών·
  • τηλεόραση κλειστού κυκλώματος·
  • συνδεδεμένες συσκευές, π.χ. έξυπνες συσκευές μέτρησης, έξυπνα αυτοκίνητα, οικιακός αυτοματισμός κ.λπ.

Η ομάδα του άρθρου 29 δίδει στο επίθετο «τακτική» μία ή περισσότερες από τις ακόλουθες ερμηνείες:

  • συνεχής ή ανά συγκεκριμένα χρονικά διαστήματα για συγκεκριμένη χρονική περίοδο,
  • λαμβάνουσα χώρα τακτικά ή κατ’ επανάληψη σε σταθερές χρονικές στιγμές,
  • λαμβάνουσα χώρα αδιαλείπτως ή περιοδικά.

Η ομάδα του άρθρου 29 δίδει στο επίθετο «συστηματική» μία ή περισσότερες από τις ακόλουθες ερμηνείες:

  • λαμβάνουσα χώρα σύμφωνα με κάποιο σύστημα,
  • προκαθορισμένη, οργανωμένη ή μεθοδική,
  • λαμβάνουσα χώρα στο πλαίσιο γενικότερου σχεδίου για τη συλλογή δεδομένων,
  • διενεργούμενη στο πλαίσιο στρατηγικής.

Πηγή: Άρθρο 37 παράγραφος 1 στοιχείο β) του ΓΚΠΔ

Μπορούν οι οργανισμοί να ορίζουν από κοινού υπεύθυνο προστασίας δεδομένων (DPO); Αν ναι, υπό ποιους όρους;

Ναι. Όμιλος επιχειρήσεων μπορεί να διορίσει έναν μόνο υπεύθυνο προστασίας δεδομένων, υπό την προϋπόθεση ότι «κάθε εγκατάσταση έχει εύκολη πρόσβαση στον υπεύθυνο προστασίας δεδομένων».

Η έννοια της προσβασιμότητας αναφέρεται στα καθήκοντα του υπευθύνου προστασίας δεδομένων ως σημείου επικοινωνίας με τα υποκείμενα των δεδομένων, την εποπτική αρχή, αλλά και στο εσωτερικό του ίδιου του οργανισμού.

Προκειμένου να διασφαλιστεί η πρόσβαση στον υπεύθυνο προστασίας δεδομένων, είτε αυτός είναι εσωτερικός είτε εξωτερικός, είναι σημαντικό τα στοιχεία επικοινωνίας του να είναι διαθέσιμα.

Ο υπεύθυνος προστασίας δεδομένων, συνεπικουρούμενος από ομάδα εφόσον απαιτείται, πρέπει να ίναι σε θέση να επικοινωνεί με τα υποκείμενα των δεδομένων και να συνεργάζεται με τις ενδιαφερόμενες εποπτικές αρχές με αποτελεσματικό τρόπο.

Αυτό σημαίνει ότι η επικοινωνία πρέπει να γίνεται στη γλώσσα ή στις γλώσσες που χρησιμοποιούν οι ενδιαφερόμενες εποπτικές αρχές και τα οικεία υποκείμενα των δεδομένων.

Η διαθεσιμότητα του υπευθύνου προστασίας δεδομένων (είτε με φυσική παρουσία στις ίδιες εγκαταστάσεις με τους υπαλλήλους, είτε μέσω ανοικτής τηλεφωνικής γραμμής ή άλλου ασφαλούς μέσου επικοινωνίας) είναι καθοριστικής σημασίας για τη διασφάλιση της δυνατότητας επικοινωνίας των υποκειμένων των δεδομένων μαζί του.

Ένας μόνο υπεύθυνος προστασίας δεδομένων μπορεί να ορίζεται για πολλές δημόσιες αρχές ή δημόσιους φορείς, λαμβάνοντας υπόψη την οργανωτική τους δομή και το μέγεθός τους.

Τα ίδια ισχύουν και σε σχέση με τους πόρους και την επικοινωνία. Δεδομένου ότι ο υπεύθυνος προστασίας δεδομένων είναι επιφορτισμένος με ποικίλα καθήκοντα, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να διασφαλίζουν ότι ένας μόνο υπεύθυνος προστασίας δεδομένων, συνεπικουρούμενος από ομάδα εφόσον απαιτείται, δύναται να επιτελεί αποτελεσματικά όλα τα καθήκοντα παρά το γεγονός ότι έχει οριστεί για πολλές δημόσιες αρχές και φορείς.

Πηγή: Άρθρο 37 παράγραφοι 2 και 3 του ΓΚΠΔ

Πού θα πρέπει να είναι εγκατεστημένος ο υπεύθυνος προστασίας δεδομένων (DPO);

Για τη διασφάλιση της προσβασιμότητας στον υπεύθυνο προστασίας δεδομένων, η ομάδα του άρθρου 29 συνιστά να είναι εγκατεστημένος ο τελευταίος εντός Ευρωπαϊκής Ένωσης, ανεξάρτητα από το εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι ή όχι εγκατεστημένοι στην Ευρωπαϊκή Ένωση.

Δεν αποκλείεται, πάντως, σε κάποιες περιπτώσεις στις οποίες ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεν είναι εγκατεστημένοι εντός Ευρωπαϊκής Ένωσης, ο υπεύθυνος προστασίας δεδομένων να είναι σε θέση να εκτελεί τις δραστηριότητές του αποτελεσματικότερα εάν είναι εγκατεστημένος εκτός ΕΕ.

Είναι δυνατός ο ορισμός εξωτερικού υπευθύνου προστασίας δεδομένων;

Ναι. Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία (εσωτερικός υπεύθυνος προστασίας δεδομένων) ή
να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.

Αυτό σημαίνει ότι ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι εξωτερικός, και σ’ αυτήν την περίπτωση, τα καθήκοντά του μπορούν να ασκηθούν βάσει σύμβασης παροχής υπηρεσιών η οποία συνάπτεται με φυσικό πρόσωπο ή οργανισμό.

Όταν τα καθήκοντα του υπευθύνου προστασίας δεδομένων ασκούνται από εξωτερικό πάροχο υπηρεσιών, η αποτελεσματική άσκησή τους είναι δυνατό να εξασφαλιστεί με τη σύσταση ομάδας στους κόλπους της εν λόγω οντότητας, τα μέλη της οποίας συνεργάζονται μεταξύ τους υπό την ευθύνη ατόμου το οποίο έχει οριστεί επικεφαλής επικοινωνίας και «υπεύθυνος» για κάθε πελάτη.

Σ’αυτήν την περίπτωση, είναι σημαντικό κάθε μέλος του εξωτερικού οργανισμού που ασκεί καθήκοντα υπευθύνου προστασίας δεδομένων να πληροί όλες τις ισχύουσες απαιτήσεις του ΓΚΠΔ.

Για λόγους νομικής σαφήνειας, καλής οργάνωσης και αποφυγής των συγκρούσεων συμφερόντων για τα μέλη της ομάδας, οι κατευθυντήριες γραμμές συνιστούν να υπάρχει, στη σύμβαση παροχής υπηρεσιών, σαφής καταμερισμός των καθηκόντων στους κόλπους της ομάδας του εξωτερικού υπευθύνου προστασίας δεδομένων και να ορίζεται ένα μόνο άτομο ως επικεφαλής επικοινωνίας και υπεύθυνος για κάθε πελάτη.

Πηγή: Άρθρο 37 παράγραφος 6 του ΓΚΠΔ

Τι επαγγελματικά προσόντα θα πρέπει να έχει ο υπεύθυνος προστασίας δεδομένων (DPO);

Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων του.

Το αναγκαίο επίπεδο εμπειρογνωσίας θα πρέπει να καθορίζεται ανάλογα με τις πράξεις επεξεργασίας δεδομένων που διενεργούνται και από την προστασία την οποία απαιτούν τα δεδομένα προσωπικού χαρακτήρα που υφίστανται επεξεργασία.

Για παράδειγμα, όταν μια δραστηριότητα επεξεργασίας δεδομένων είναι ιδιαίτερα πολύπλοκη, ή όταν εμπλέκεται μεγάλος όγκος ευαίσθητων δεδομένων, ο υπεύθυνος προστασίας δεδομένων είναι πιθανό να χρειάζεται υψηλότερο επίπεδο εμπειρογνωμοσύνης
και υποστήριξης.

Ο υπεύθυνος προστασίας δεδομένων πρέπει να διαθέτει, μεταξύ άλλων, τις ακόλουθες δεξιότητες και εμπειρογνωμοσύνη:

  • εμπειρογνωσία στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, τόσο σε εθνικό όσο και σε ευρωπαϊκό επίπεδο, καθώς και άριστη γνώση του ΓΚΠΔ,
  • γνώση των πράξεων επεξεργασίας που διενεργούνται,
  • γνώση του τομέα των τεχνολογιών πληροφοριών και της ασφάλειας δεδομένων,
  • γνώση του τομέα δραστηριότητας και του οργανισμού,
  • ικανότητα ανάπτυξης νοοτροπίας προστασίας των δεδομένων στους κόλπους του οργανισμού.

Πηγή: Άρθρο 37 παράγραφος 5 του ΓΚΠΔ

Τι πόρους θα πρέπει να θέτει στη διάθεση του υπευθύνου προστασίας δεδομένων ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία;

Ο υπεύθυνος προστασίας δεδομένων πρέπει να έχει στη διάθεσή του τους απαραίτητους πόρους για την άσκηση των καθηκόντων του.

Αναλόγως της φύσης των πράξεων επεξεργασίας και των δραστηριοτήτων και του μεγέθους του οργανισμού, ο υπεύθυνος προστασίας δεδομένων θα πρέπει να έχει στη διάθεσή του τους ακόλουθους πόρους:

  • ενεργή στήριξη του υπευθύνου προστασίας δεδομένων από τα ανώτερα διοικητικά στελέχη,
  • επάρκεια χρόνου ώστε να μπορούν οι υπεύθυνοι προστασίας δεδομένων να επιτελούν τα καθήκοντά τους,
  • προσήκουσα στήριξη σε επίπεδο οικονομικών πόρων, υποδομών (χώροι, εγκαταστάσεις, εξοπλισμός) και προσωπικού, κατά περίπτωση,
  • επίσημη ανακοίνωση του ορισμού του υπευθύνου προστασίας δεδομένων σε όλο το προσωπικό, πρόσβαση σε άλλα τμήματα του οργανισμού, ώστε οι υπεύθυνοι προστασίας δεδομένων να μπορούν να λαμβάνουν ουσιαστική στήριξη, συνδρομή ή πληροφόρηση από αυτά,
  • συνεχή κατάρτιση.

Πηγή: Άρθρο 38 παράγραφος 2 του ΓΚΠΔ

Ποιες εγγυήσεις απαιτούνται προκειμένου να είναι σε θέση ο υπεύθυνος προστασίας δεδομένων να εκτελεί τα καθήκοντά του με ανεξάρτητο τρόπο; Τι σημαίνει «σύγκρουση συμφερόντων»;

Υπάρχουν διάφορες εγγυήσεις προκειμένου ο υπεύθυνος προστασίας δεδομένων να είναι σε θέση να εκτελεί τα καθήκοντά του με ανεξάρτητο τρόπο:

  • να μην δίνουν οι υπεύθυνοι επεξεργασίας ή οι εκτελούντες την επεξεργασία εντολές στον υπεύθυνο προστασίας δεδομένων σχετικά με την άσκηση των καθηκόντων του,
  • να μην απολύει ο υπεύθυνος επεξεργασίας τον υπεύθυνο προστασίας δεδομένων ή να μην του επιβάλλει κυρώσεις για λόγους σχετικούς με την άσκηση των καθηκόντων του,
  • να μην υπάρχουν συγκρούσεις συμφερόντων με πιθανά άλλα καθήκοντα και υποχρεώσεις.
  • Τα άλλα καθήκοντα και υποχρεώσεις του υπευθύνου προστασίας δεδομένων δεν πρέπει να συνεπάγονται σύγκρουση συμφερόντων. Αυτό σημαίνει, καταρχάς, ότι ο υπεύθυνος προστασίας
    δεδομένων δεν μπορεί να κατέχει στους κόλπους του οργανισμού θέση από την οποία μπορεί να καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Επειδή κάθε οργανισμός έχει διαφορετική οργανωτική δομή, το συγκεκριμένο ζήτημα θα πρέπει να εξετάζεται για κάθε περίπτωση χωριστά.

Θα μπορούσε να ειπωθεί, με βάση την εμπειρία, ότι θέσεις στιςοποίες εντοπίζονται συνήθως συγκρούσεις συμφερόντων στους κόλπους ενός οργανισμού είναι, μεταξύ άλλων, οι θέσεις της ανώτερης διοίκησης (όπως, διευθύνων σύμβουλος, διοικητικός γενικός διευθυντής, οικονομικός διευθυντής, αρχίατρος, προϊστάμενος τμήματος μάρκετινγκ, προϊστάμενος ανθρωπίνων πόρων ή προϊστάμενος τμήματος πληροφορικής), και άλλες θέσεις κατώτερων βαθμίδων της οργανωτικής δομής, εφόσον από τις θέσεις αυτές είναι δυνατός ο καθορισμός των σκοπών και των μέσων της επεξεργασίας.

Σύγκρουση συμφερόντων μπορεί επίσης να προκύψει, π.χ., σε περίπτωση που ζητηθεί από εξωτερικό καιυπεύθυνο προστασίας δεδομένων να εκπροσωπεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ενώπιον των δικαστηρίων σε υποθέσεις που σχετίζονται με ζητήματα προστασίας των δεδομένων.

Πηγή: Άρθρο 38 παράγραφοι 3 και 6 του ΓΚΠΔ

Καθήκοντα του υπευθύνου προστασίας δεδομένων

Τι σημαίνει «παρακολούθηση συμμόρφωσης»;

Στο πλαίσιο των καθηκόντων παρακολούθησης της συμμόρφωσης, οι υπεύθυνοι προστασίας δεδομένων μπορούν συγκεκριμένα:

  • να συλλέγουν πληροφορίες με σκοπό τον προσδιορισμό δραστηριοτήτων επεξεργασίας,
  • να αναλύουν και να ελέγχουν τη συμμόρφωση των δραστηριοτήτων επεξεργασίας,
  • να ενημερώνουν τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία,
  • να τους παρέχουν συμβουλές και να εκδίδουν συστάσεις υπ’ όψιν τους.

Πηγή: Άρθρο 39 παράγραφος 1 στοιχείο β) του ΓΚΠΔ

Ο υπεύθυνος προστασίας δεδομένων φέρει προσωπική ευθύνη για περιπτώσεις μη συμμόρφωσης με τις απαιτήσεις περί προστασίας των δεδομένων;

Όχι. Οι υπεύθυνοι προστασίας δεδομένων δεν φέρουν προσωπική ευθύνη για περιπτώσεις μη συμμόρφωσης με τις απαιτήσεις περί προστασίας των δεδομένων.

Υπεύθυνος να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό είναι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία.

Η συμμόρφωση με τους κανόνες προστασίας των δεδομένων είναι ευθύνη του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

 

Ποιος είναι ο ρόλος του υπευθύνου προστασίας δεδομένων όσον αφορά τις εκτιμήσεις αντικτύπου σχετικά με την προστασία των δεδομένων και τα αρχεία των δραστηριοτήτων επεξεργασίας;

Όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ζητεί τη γνώμη του υπευθύνου προστασίας δεδομένων για
ζητήματα όπως, ενδεικτικά, τα ακόλουθα:

  • εάν πρέπει ή όχι να διενεργήσει εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων
  • ποια μεθοδολογία πρέπει να ακολουθήσει κατά τη διενέργεια της εκτίμησης αντικτύπουσχετικά με την προστασία των δεδομένων,
  • εάν πρέπει να διενεργήσει την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων εσωτερικά ή να την αναθέσει σε εξωτερικό συνεργάτη,
  • τι εγγυήσεις (περιλαμβανομένων των τεχνικών και οργανωτικών μέτρων) πρέπει να εφαρμόσει προκειμένου να μετριαστούν οι κίνδυνοι για τα δικαιώματα και τα συμφέροντα των υποκειμένων των δεδομένων,
  • εάν διενεργήθηκε σωστά ή όχι η εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και εάν τα συμπεράσματά της (σχετικά με το εάν θα δοθεί ή όχι συνέχεια στην
    επεξεργασία και τι εγγυήσεις θα εφαρμοστούν) είναι σύμφωνα με τις απαιτήσεις περί προστασίας των δεδομένων.

Όσον αφορά τα αρχεία των δραστηριοτήτων επεξεργασίας, η τήρησή τους είναι ευθύνη του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, και όχι του υπευθύνου προστασίας δεδομένων.

Πάντως, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί άλλιστα να αναθέτει στον υπεύθυνο προστασίας δεδομένων το καθήκον να τηρεί τα αρχεία των πράξεων επεξεργασίας για τις οποίες είναι υπεύθυνος ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία.

Τα εν λόγω αρχεία θα πρέπει να θεωρούνται ως ένα από τα εργαλεία που επιτρέπουν στον υπεύθυνο προστασίας δεδομένων να επιτελεί δύο από τα καθήκοντά του, ήτοι την παρακολούθηση της συμμόρφωσης, και την ενημέρωση και παροχή συμβουλών στον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία.

Πηγή: Άρθρο 39 παράγραφος 1 στοιχείο γ) και άρθρο 30 του ΓΚΠΔ

 

 

Summary
GDPR και ο ρόλος του DPO: Τι είναι ο DPO,  αρμοδιότητες / υποχρεώσεις / Συχνές ερωτήσεις
Article Name
GDPR και ο ρόλος του DPO: Τι είναι ο DPO, αρμοδιότητες / υποχρεώσεις / Συχνές ερωτήσεις
Description
GDPR και ο ρόλος του DPO: Τι είναι ο DPO, τι αρμοδιότητες και τι υποχρεώσεις έχει; Συχνές ερωτήσεις / απαντήσεις
Author
Publisher Name
Niriis S.A.
Publisher Logo