Με το άρθρο 37 του Γενικού Κανονισμού Προσωπικών Δεδομένων (ΓΚΠΔ) εισάγεται ο θεσμός του Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ) με τον οποίο εξυπηρετείται η λογική περί «οιονεί αυτορρύθμισης» στο πεδίο της προστασίας των δεδομένων προσωπικού χαρακτήρα όπου την πρωτοβουλία εφαρμογής και συμμόρφωσης έχουν πλέον οι «βασικοί παίκτες» (υπεύθυνος και εκτελών την επεξεργασία), όπως συμπεράναμε στο τέλος του Α’ μέρους του αφιερώματος.[1]

[1] Βλ. IT security τ49, σελ. 6 επ.

Του Γρηγόρη Τσόλια
Δικηγόρου – ΜΔ Ποινικών Επιστημών
Μέλους (αν.) της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Μέλους της Ειδικής Νομοπαρασκευαστικής Επιτροπής του Υπουργείου Δικαιοσύνης για τον Κανονισμό 2016/679 και την Οδηγία 2016/680
Μέλους του Expert Group της Ε.Ε. για τον Κανονισμό 2016/679 και την Οδηγία 2016/680

Εισαγωγικά.

Ο ρόλος του ΥΠΔ δεν είναι άγνωστος και νέος τόσο στο πλαίσιο του δικαίου της Ε.Ε.[1] και των κρατών μελών αυτής, όσο και στο ελληνικό δίκαιο.

Στην ελληνική έννομη τάξη προβλέπεται κατ’ αρ. 36 παρ. 1 Ν. 3979/2011 «για την ηλεκτρονική διακυβέρνηση» (ΦΕΚ Α’138/16-6-11) ο υποχρεωτικός διορισμός εσωτερικού ΥΠΔ σε κάθε φορέα του δημόσιου τομέα, όπου συγκροτείται Ομάδα Δ.Ε. με αντικείμενο τη διαδικαστική, οργανωτική και τεχνική υποστήριξη της εφαρμογής του εν λόγω νόμου.  Ο εσωτερικός υπεύθυνος προστασίας δεδομένων προσωπικού χαρακτήρα μεριμνά για τη λήψη όλων των αναγκαίων τεχνικών και οργανωτικών μέτρων για την τήρηση των αρχών και των υποχρεώσεων που περιγράφονται στον παρόντα νόμο και στο ν. 2472/1997, όπως η υιοθέτηση και εφαρμογή πολιτικών ασφάλειας και προστασίας δεδομένων προσωπικού χαρακτήρα, η περιοδική κατάρτιση και η ευαισθητοποίηση των υπαλλήλων και λειτουργών του φορέα ως προς την προστασία δεδομένων προσωπικού χαρακτήρα, η πρόταση για λήψη εσωτερικών διαδικασιών ελέγχου και επαλήθευσης της αποτελεσματικής εφαρμογής των μέτρων κατά τη λειτουργία των συστημάτων και υπηρεσιών ηλεκτρονικής διακυβέρνησης.

 

Υποχρεωτικός διορισμός DPO

Ο ΥΠΔ διορίζεται υποχρεωτικά:

  • Όταν η επεξεργασία διενεργείται από Δημόσια αρχή ή φορέα, εκτός των δικαστηρίων που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας.
  • Όταν οι βασικές (“core”) δραστηριότητες επεξεργασίας απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή μεγάλης κλίμακας επεξεργασίας ειδικών κατηγοριών (ευαίσθητων) δεδομένων των άρθρων 9 και 10 ΓΚΠΔ.

Στην έννοια των «βασικών δραστηριοτήτων» υπάγονται π.χ. τα νοσοκομεία όπου λαμβάνει χώρα συλλογή και επεξεργασία δεδομένων υγείας που καταλήγει στην δημιουργία σχετικού αρχείου (ιατρικός φάκελος ασθενούς) ή οι εταιρίες παροχής υπηρεσιών ασφαλείας (security), όπου συλλέγονται δεδομένα εικόνας και ήχου.

Στην έννοια των δραστηριοτήτων «μεγάλης κλίμακας» υπάγονται τα νοσοκομεία, οι ασφαλιστικές εταιρίες, οι τράπεζες, οι περιπτώσεις διαδικτυακής επεξεργασίας δεδομένων  με σκοπό την εμπορική προώθηση – διαφήμιση, καθώς και το profiling.

Στην έννοια της «τακτικής και συστηματικής παρακολούθησης των υποκειμένων των δεδομένων σε μεγάλη κλίμακας» υπάγονται περιπτώσεις όπως π.χ. η διαδικτυακή έρευνα συμπεριφοράς, το profiling, ο εντοπισμός θέσης μέσω δεδομένων κινητού τηλεφώνου, οι διαδικτυακές κάρτες «επιβράβευσης πίστης» (“loyalty cards”).

 

Προσόντα του DPO

Σύμφωνα με το άρθρο 37 παρ. 5 ΓΚΠΔ ο ΥΠΔ διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάση της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39.

Σύμφωνα με πρόσφατη ανακοίνωση της Ελληνικής ΑΠΔΠΧ[2] o ΓΚΠΔ δεν θέτει κάποια υποχρεωτική απαίτηση για πιστοποίηση του ΥΠΔ, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση. Στην ίδια κατεύθυνση κινήθηκε και η Βελγική ΑΠΔΠΧ η οποία με την υπ’ αρ. 4/2017 Γνωμοδότηση της[3] επεσήμανε ότι για τον διορισμό του ΥΠΔ δεν απαιτείται από τον Κανονισμό κανένα δίπλωμα ή ειδική πιστοποίηση (σημεία 43 και 44).

Αντίθετα, η Ισπανική ΑΠΔΠΧ με Γνωμοδότηση της 10-7-2017[4] προχώρησε στην θέσπιση γενικών κατευθυντήριων γραμμών που διέπουν την λειτουργία του Συστήματος Πιστοποίησης Προσώπων με την ιδιότητα του ΥΠΔ.

 

Ρόλος και καθήκοντα του DPO.

Ο κεντρικός ρόλος που αποδίδεται στον ΥΠΔ εντάσσεται στην λογική περί «οιονεί αυτορρύθμισης» του ΓΚΠΔ και σύμφωνα και με τις πρόσφατες Κατευθυντήριες Γραμμές  της Ομάδας Εργασίας αρ. 29 – WP 243 “Guidelines on Data Protection Officers (‘DPOs’)[5], περιλαμβάνει κατ’ ελάχιστον (“at least”) τα εξής καθήκοντα:

  • Αποτελεί «δίαυλο» (σημείο επικοινωνίας) μεταξύ εποπτικής αρχής και υπευθύνου/εκτελούντος για ζητήματα επεξεργασίας δεδομένων, προηγούμενης διαβούλευσης με την Αρχή κατ’ αρ. 36 ΓΚΠΔ, άλλες διαβουλεύσεις ή λήψη συμβουλών.
  • Παρέχει συμβουλές, γνωμοδοτήσεις και ενημέρωση σχετικά με την συμμόρφωση προς τον ΓΚΠΔ και την τήρηση της νομοθεσίας για τα προσωπικά δεδομένα αλλά και τις πολιτικές του οργανισμού (ανάθεση αρμοδιοτήτων, ευαισθητοποίηση, επιμόρφωση-κατάρτιση υπαλλήλων, έλεγχοι)
  • Παρακολουθεί την συμμόρφωση με τον ΓΚΠΔ και την εθνική νομοθεσία
  • Παρέχει συμβουλές αναφορικά με την διενέργεια εκτίμησης αντικτύπου (ΡΙΑ) και λαμβάνει υπόψη του τον κίνδυνο επεξεργασίας.

 

Εγγυήσεις λειτουργικής ανεξαρτησίας του DPO.

Ο ΥΠΔ χαίρει λειτουργικής και οικονομικής ανεξαρτησίας, αυτονομίας και ασυλίας. Έχει ως προτεραιότητα τα καθήκοντα του ΥΠΔ και δεν αναλαμβάνει άλλα καθήκοντα που έρχονται σε σύγκρουση συμφέροντος π.χ. ο ΥΠΔ δεν μπορεί παράλληλα να εκπροσωπεί  νομικά τον υπεύθυνο/εκτελούντα την επεξεργασία ενώπιον δικαστηρίων για παραβίαση προσωπικών δεδομένων ή δεν μπορεί να διορισθεί ως ΥΠΔ ο IT manager της εταιρίας όπως κρίθηκε πρόσφατα με απόφαση της Βαυαρικής ΑΠΔΠΧ[6] επιβάλλοντας πρόστιμο 50.000 ευρώ στην εταιρία και αξιώνοντας την αντικατάσταση του ΥΠΔ.

Επίσης, ο ΥΠΔ λογοδοτεί στο ανώτατο επίπεδο της διοίκησης, δεν λαμβάνει εντολές για την άσκηση των καθηκόντων του, δεν ευθύνεται για την μη συμμόρφωση του υπεύθυνου/εκτελούντος την  επεξεργασία, δεν απολύεται, ούτε του επιβάλλονται κυρώσεις επειδή άσκησε το καθήκον του ανεξάρτητα και τυχόν αντίθετα στην βούληση της εταιρίας.

Του παρέχονται οι προϋποθέσεις για την πραγματική και ανεξάρτητη άσκηση των καθηκόντων του και δη: αληθινή ενημέρωση του για όλα τα θέματα προσωπικών δεδομένων, πρόσβαση του σε κάθε είδους δεδομένα και πρόσκληση του σε  σχεδιαζόμενες πράξεις επεξεργασίας (δεν αποκλείεται αλλά προσκαλείται εγκαίρως σε συναντήσεις κ.λπ.), πρόσβαση του στους αναγκαίους πόρους για την εκτέλεση της αποστολής του (εγκαταστάσεις, εργαλεία, προσωπικό) και την διατήρηση της εμπειρογνωσίας του (συνεχής ενημέρωση και εκπαίδευση), παροχή επαρκούς χρόνου για την εκτέλεση των καθηκόντων του, συνεργασία με όλα τα τμήματα (ανθρωπίνων πόρων, ΙΤ, marketing, νομικό κ.λπ), τήρηση απορρήτου ή εμπιστευτικότητας χωρίς να αποτελεί αποτρεπτικό παράγοντα επικοινωνίας και συμβουλής με την εποπτική αρχή.

Η εταιρία συνυπολογίζει την γνώμη του ΥΠΔ, χωρίς να υποχρεούται να ακολουθήσει την άποψη ή συμβουλή του, πλην όμως σε αντίθετη περίπτωση οφείλει να καταγράψει την διαφωνία της και να τεκμηριώσει την αντίθεση της. Αντίστοιχα, ο ΥΠΔ ενδείκνυται να τεκμηριώνει εγγράφως την άποψη του.

 Θέση του ΥΠΔ μέσα στην επιχείρηση.

O ΥΠΔ μπορεί να είναι είτε εργαζόμενος της επιχείρησης ως μέλος αυτής (σύμβαση εργασίας), είτε να παρέχει ανεξάρτητες υπηρεσίες ως εξωτερικός συνεργάτης. Σε περίπτωση που παρέχει ανεξάρτητες υπηρεσίες σε περισσότερες από μια επιχειρήσεις θα πρέπει αφενός να διαθέτει τον αναγκαίο χρόνο για την παροχή των υπηρεσιών σε όλες τις επιχειρήσεις και αφετέρου να αποφεύγει τυχόν σύγκρουση συμφερόντων (conflict of interests) όταν παρέχει υπηρεσίες σε ανταγωνιστικές επιχειρήσεις.

Ο ΥΠΔ μπορεί να μην είναι ένα μόνο φυσικό πρόσωπο, αλλά ομάδα που αποτελείται τουλάχιστον από νομικό και πληροφορικό προσωπικό (νομικό πρόσωπο).

Ο ΥΠΔ πρέπει να συνεννοείται στην γλώσσα επικοινωνίας των υποκειμένων των δεδομένων, της εποπτικής αρχής, των εργαζομένων κ.λπ. κύκλου εμπλεκομένων και ενδιαφερομένων.

Τυχόν επιβολή διοικητικής κύρωσης από την αρμόδια εποπτική αρχή δεν επιβάλλεται στον ΥΠΔ, αλλά στον υπεύθυνο ή εκτελούντα την επεξεργασία. Παρά ταύτα, ο ΥΠΔ μπορεί να ευθύνεται αστικά έναντι της επιχείρησης για τυχόν παροχή εσφαλμένων συμβουλών με αποτέλεσμα να τεθεί ζήτημα αποζημίωσης.

 

Προτάσεις Ομάδας Εργασίας αρ. 29 Οδηγίας 95/46/ΕΚ

Η Ομάδα Εργασίας του άρθρου 29 προέβη σε σειρά προτάσεων, στο πλαίσιο των προαναφερόμενων Κατευθυντήριων Γραμμών, αναφορικά με τον ΥΠΔ και συγκεκριμένα:

  • Σε περίπτωση κατά την οποία υπάρχει αμφισβήτηση σχετικά με την υποχρέωση διορισμού ΥΠΔ, ενδείκνυται η έγγραφη τεκμηρίωση κατόπιν εσωτερικής ανάλυσης με βάση την αρχή της λογοδοσίας (βλ. και άρθρο 24 παρ. 1 ΓΚΠΔ)
  • Σε περίπτωση κατά την οποία διορισθεί προαιρετικά ΥΠΔ οι διατάξεις των άρθρων 37-39 ΓΚΠΔ εφαρμόζονται πλήρως.
  • Σε περίπτωση κατά την οποία αντί του προαιρετικού διορισμού ΥΠΔ παρέχονται εσωτερικά στην εταιρία υπηρεσίες σχετικά με την προστασία δεδομένων (π.χ. διορισμός chief privacy officer, compliance officer, ciso κ.λπ.) θα πρέπει να μην δημιουργείται η εσφαλμένη εντύπωση προς το κοινό ή προς τα υποκείμενα των δεδομένων κ.λπ. ότι πρόκειται για ΥΠΔ.
  • Τα στοιχεία επικοινωνίας του ΥΠΔ δημοσιεύονται υποχρεωτικά και ανακοινώνονται στην εποπτική αρχή. Η πρόσβαση στον ΥΠΔ θα πρέπει να είναι εύκολη και άμεση (τοπικά ή μη), τόσο από τα υποκείμενα των δεδομένων, όσο και από τους υπαλλήλους του υπευθύνου/εκτελούντος την επεξεργασία, αλλά και για τις ανάγκες επικοινωνίας με την εποπτική αρχή.

 Υπεύθυνος Προστασίας Δεδομένων και Υπεύθυνοι για την διασφάλιση του απορρήτου των επικοινωνιών.

Στη νομοθεσία για την διασφάλιση του απορρήτου των επικοινωνιών προβλέπεται σειρά αντίστοιχων ρόλων, με αυτές του ΥΠΔ, με την επιφύλαξη όμως ότι ο διορισμός του ίδιου προσώπου  σε δυο θέσεις (π.χ. ΥΠΔ και υπεύθυνος ασφαλείας δεδομένων του Ν. 3917/11) δύσκολα θα μπορούσε να θεωρηθεί συμβατός με το πνεύμα του Κανονισμού.

Έτσι, προβλέπεται αντίστοιχα:

  • Άρθρο 8 παρ. 8 Π.Δ. 47/05 «Διαδικασίες καθώς και τεχνικές και οργανωτικές εγγυήσεις για την άρση του απορρήτου των επικοινωνιών και για τη διασφάλιση του» (ΦΕΚ Α’ 64/10-3-2005) – Εξουσιοδοτημένο πρόσωπο για την άρση του απορρήτου
  • Άρθρο 3 παρ. 1 Ν. 3674/2008 (ΦΕΚ Α’ 136/10-7-08)- Υπεύθυνος διασφάλισης απορρήτου
  • Άρθρο 7 παρ. 2 Ν. 3917/2011 (ΦΕΚ Α’ 22/21-02-2011) για την υποχρεωτική διατήρηση δεδομένων – Υπεύθυνος ασφαλείας δεδομένων
  • Κοινή Πράξη ΑΠΔΠΧ – ΑΔΑΕ υπ’ αρ. 01/2013 (ΦΕΚ Β’ 3433/31-12-2013) –Υπεύθυνος ασφαλείας δεδομένων
  • Άρθρο 3 Κανονισμού Α.Δ.Α.Ε. 165/2011 (ΦΕΚ Β’ 2715/17-11-2011)-Υπεύθυνος Διασφάλισης του Απορρήτου των Επικοινωνιών
  • Άρθρο 3 Κανονισμού Α.Δ.Α.Ε. για την Ασφάλεια και την Ακεραιότητα Δικτύων και Υπηρεσιών Ηλεκτρονικών Επικοινωνιών (Αποφ. 205/2013 – ΦΕΚ Β’1742/15-7-2013) – Υπεύθυνος για την Ασφάλεια και την Ακεραιότητα των Δικτύων και Υπηρεσιών
  • Άρθρο 3.1.2. υπ’ αρ. 52/23-02-2009 Απόφασης ΑΔΑΕ «Σύσταση για τη Διασφάλιση του Απορρήτου των Επικοινωνιών από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών κατά τη λειτουργία του Συστήματος Άρσης Απορρήτου σε πραγματικό χρόνο» -Επικεφαλής ομάδας άρσης απορρήτου
  • Άρθρο 3.1.2. υπ’ αρ. 53/23-02-2009 Απόφασης ΑΔΑΕ «Σύσταση για τη Διασφάλιση του Απορρήτου των Επικοινωνιών από τις Αρμόδιες Αρχές κατά τη λειτουργία του Συστήματος Άρσης Απορρήτου σε πραγματικό χρόνο» – Επικεφαλής ομάδας άρσης απορρήτου
  • Άρθρο 3 Κανονισμού Α.Δ.Α.Ε. για την Ασφάλεια και την Ακεραιότητα Δικτύων και Υπηρεσιών Ηλεκτρονικών Επικοινωνιών (Αποφ. 205/2013 – ΦΕΚ Β’1742/15-7-2013) – Υπεύθυνος για την Ασφάλεια και την Ακεραιότητα των Δικτύων και Υπηρεσιών
  • Άρθρο 3.1.2. υπ’ αρ. 52/23-02-2009 Απόφασης ΑΔΑΕ «Σύσταση για τη Διασφάλιση του Απορρήτου των Επικοινωνιών από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών κατά τη λειτουργία του Συστήματος Άρσης Απορρήτου σε πραγματικό χρόνο» -Επικεφαλής ομάδας άρσης απορρήτου
  • Άρθρο 3.1.2. υπ’ αρ. 53/23-02-2009 Απόφασης ΑΔΑΕ «Σύσταση για τη Διασφάλιση του Απορρήτου των Επικοινωνιών από τις Αρμόδιες Αρχές κατά τη λειτουργία του Συστήματος Άρσης Απορρήτου σε πραγματικό χρόνο» – Επικεφαλής ομάδας άρσης απορρήτου

 Επίλογος

Η θεσμοθέτηση του ΥΠΔ συνιστά ακρογωνιαίο λίθο του οικοδομήματος του Κανονισμού, που πρόκειται να συμβάλει τα μέγιστα στην εφαρμογή και τήρηση της οικείας νομοθεσίας. Αρκεί ο ΥΠΔ να είναι πράγματι ανεξάρτητος και να μην καταστεί «αχυράνθρωπος» της επιχείρησης, ο οποίος θα ακολουθεί επί της ουσία την εμπορική πολιτική της.

 

[1] Βλ. άρθρο 18 παρ. 2 Οδηγίας 95/46/ΕΚ.

[2]http://www.dpa.gr/APDPXPortlets/htdocs/documentSDisplay.jsp?docid=81,138,99,231,213,1,187,76

[3]https://www.privacycommission.be/sites/privacycommission/files/documents/recommandation_04_2017.pdf

[4]http://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/Certificacion/ACREDITACION_DE_ENTIDADES_DE_CERTIFICACION.pdf

[5] http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

[6] https://www.lda.bayern.de/media/pm2016_08.pdf