Ποια είναι τα καθήκοντα του DPO (Υπεύθυνος Προστασίας Δεδομένων);

Με τον GDPR της ευρωπαϊκής ένωσης προ των πυλών, πολύς λόγος γίνεται και για τον περίφημο Υπεύθυνο Προστασίας Δεδομένων που θα χρειαστούν κάποιοι φορείς. Αν έχετε αμφιβολίες για το αν χρειάζεται Υπεύθυνος Προστασίας Δεδομένων για την επιχείρησή σας, τότε μια πρώτη απάντηση μπορείτε να βρείτε σε προηγούμενο άρθρο μας, εδώ.

Το βασικό ερώτημα ωστόσο που προκύπτει είναι το τι ακριβώς κάνει ένας DPO (Υπεύθυνος Προστασίας Δεδομένων), ποια είναι τα καθήκοντά του και τέλος ποια είναι η σχέση του με τον οργανισμό για τον οποίο εργάζεται; Τα πράγματα, καλώς ή κακώς, δεν είναι όσο απλά ακούγονται. Από τον ίδιο τον κανονισμό (για κάποιο περίεργο λόγο*, πολλοί από τους bloggers και «ειδήμονες» που ασχολούνται με τον GDPR, δεν αναφέρονται σ’ αυτόν και δεν αναδημοσιεύουν τμήματά του, ενώ είναι εξαιρετικά κατανοητός), μπορούμε να μάθουμε πότε χρειαζόμαστε DPO, ποια είναι τα καθήκοντα του, καθώς και μια δυο ακόμη ενδιαφέρουσες λεπτομέρειες σχετικά με τον DPO:

Πότε χρειάζεται DPO

«Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:

α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,

β)  οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή

γ)  οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.»

Τα παραπάνω καθιστούν πολύ κατανοητό το ΠΟΤΕ χρειάζεται ένας DPO, ενώ αμέσως μετά διευκρινίζονται όλες οι αρμοδιότητές του:

Ποιες αρμοδιότητες έχει

«Ο υπεύθυνος προστασίας δεδομένων έχει τουλάχιστον τα ακόλουθα καθήκοντα:

α) ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων,

β)  παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων,

γ)  παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35,

δ)  συνεργάζεται με την εποπτική αρχή,

ε)  ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36, και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα. 2. Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας

Όπως εύκολα διαπιστώνει κανείς, τα πράγματα είναι αρκετά ξεκάθαρα σχετικά με τον Υπεύθυνο Προστασίας Δεδομένων, σε αντίθεση με πολλές διατάξεις του κανονισμού που είναι μάλλον διφορούμενες και αόριστες: ενημερώνει τη διοίκηση σχετικά με τον κανονισμό, παρακολουθεί τις εργασίες συμμόρφωσης της επιχείρησης, παρέχει συμβουλές όταν του ζητούνται, συνεργάζεται με τις αρμόδιες αρχές και είναι ουσιαστικά ο δίαυλος επικοινωνίας μεταξύ επιχείρησης και εποπτικών αρχών. Ξεκάθαρες αρμοδιότητες, αν και όχι ιδιαίτερα εύκολες.

Για το τέλος αφήσαμε το κομμάτι που αφορά στον DPO και τη σχέση του με τον εργοδότη του και κάποιες «ευκολίες» που του παρέχει ο νέος κανονισμός. Ο Υπεύθυνος Προστασίας Δεδομένων επικοινωνεί φυσικά και με κάθε ενδιαφερόμενο (π.χ. πελάτη της επιχείρησης) για τα προσωπικά του δεδομένα. Επίσης, μπορεί να έχει και άλλη θέση μέσα στην επιχείρηση, αρκεί να μην παρουσιάζεται σύγκρουση συμφερόντων κατά την άσκηση των καθηκόντων του.

Από τον ίδιο τον κανονισμό:

Σχέση του με την εργοδοσία

«Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία στηρίζουν τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων […] παρέχοντας απαραίτητους πόρους για την άσκηση των εν λόγω καθηκόντων και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και πόρους απαραίτητους για τη διατήρηση της εμπειρογνωσίας του.

Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.»

Ίσως για αυτά τα παραπάνω να θεωρείται ήδη μια… περιζήτητη θέση.

Αναρωτιέστε ακόμη για τον GDPR και τον DPO; Επικοινωνήστε με την WebO2 τώρα και μάθετε πώς μπορούμε να σας βοηθήσουμε εν όψει των επικείμενων αλλαγών.

*Προσωπικά μιλώντας, έχω την αίσθηση ότι ο «περίεργος λόγος» για τον οποίο πολλοί δεν δημοσιεύουν λέξη από τον ίδιο τον Κανονισμό, είναι ότι το εν λόγω κείμενο είναι αρκετά απλό και κατανοητό για όποιον αποφασίσει να το διαβάσει. Μια τέτοια προσέγγιση όμως δε θεωρείται καλό… μάρκετινγκ, έτσι δεν είναι;

Tagged under: ,
TOP