Αρθρογραφία

DPO και ιδιωτικός τομέας: Ποιες εταιρείες πρέπει να ορίσουν Υπεύθυνο Προστασίας Δεδομένων

Ακούστε το άρθρο

Γιατί πρέπει να ορίζεται DPO

Από τις 25 Μαΐου 2018 με βάση τον Ευρωπαϊκό Κανονισμό Προστασίας Προσωπικών Δεδομένων, που έχει καθολική ισχύ και στην Ελλάδα οι εταιρίες που επεξεργάζονται προσωπικά δεδομένα και ειδικότερα σε μεγάλη ή και συστηματική κλίμακα οφείλουν εκ του νόμου να ορίσουν DPO Data Protection Officer ή Υπεύθυνος Προστασίας Δεδομένων.

Απαραίτητο βήμα αποτελεί ο ορισμός DPO-Υπεύθυνος Προστασίας Δεδομένων, όπου θα έχει την ευθύνη να ενημερώνει, να συμβουλεύει και να μεσολαβεί για τη συνολική ενημέρωση και κατάσταση της εταιρείας και των υπεύθυνων προσώπων που επεξεργάζονται τα δεδομένα, αναφορικά με το νομικό πλαίσιο και τις εκπορευόμενες υποχρεώσεις.

Ποιες εταιρίες πρέπει να ορίζουν DPO

Ενδεικτικά με βάση το νομικό πλαίσιο ευθύνη ορισμού DPO έχουν Εταιρίες και Φορείς που συλλέγουν και επεξεργάζονται προσωπικά δεδομένα είναι εκείνες που αφορούν:

υπηρεσίες ασφάλισης-ασφαλιστικών υπηρεσιών, (ασφαλιστικά γραφεία, εταιρίες,)

υπηρεσίες υγείας – ιατρικής φροντίδας και παροχών (κλινικές, διαγνωστικά κέντρα, ιατρικά κέντρα – νοσοκομεία, μεταφοράς ασθενών κλπ)

υπηρεσίες μεταφορών, υπηρεσίες ταξιδίων – τουρισμού (οργάνωση, λειτουργία ταξιδίου, ξενοδοχεία και υπηρεσίες διαμονής),

υπηρεσίες παιδείας-εκπαίδευσης (ιδιωτικοί πάροχοι εκπαίδευσης όπως σχολεία, φροντιστήρια, διοργάνωσης σεμιναρίων, πιστοποιήσεων κλπ),

υπηρεσίες μετακινήσεων: εταιρίες αεροπορικών, θαλάσσιων, χερσαίων μετακινήσεων

υπηρεσίες παροχής ιδιωτικών μετακινήσεων όπως taxi, τουριστικών μεταφορών, έκδοσης εισιτηρίων κλπ),

υπηρεσίες διαχείρισης προσωπικού, εύρεσης εργασίας κλπ,

υπηρεσίες διαχείριση πελατολογίου και παροχής υποστήριξης, αποστολής μηνυμάτων

υπηρεσίες παροχής προμηθειών, τηλεπικοινωνιών, ενέργειας προς ιδιωτές και εταιρίες

υπηρεσίες επικοινωνίας, διαφήμισης-μαρκετινγκ, αποστολής email και sms

υπηρεσίες φύλαξης χώρων ή προσώπων, εκδηλώσεων κλπ

Τα καθήκοντα του DPO

Συγκεκριμένα σύμφωνα και με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ο DPO έχει τα καθήκοντα:

  • Να ενημερώνει και να συμβουλεύει τον οργανισμό και τους υπαλλήλους του σχετικά με τις υποχρεώσεις τους που απορρέουν από τον Κανονισμό και άλλες διατάξεις περί προστασίας δεδομένων.
  • Να παρακολουθεί την εσωτερική συμμόρφωση με τον Κανονισμό και άλλες διατάξεις περί προστασίας δεδομένων (π.χ. προσδιορισμός και διαχείριση δραστηριοτήτων επεξεργασίας, εκπαίδευση προσωπικού, διενέργεια εσωτερικών ελέγχων).
  • Να παρέχει συμβουλές για την εκτίμηση αντικτύπου και να παρακολουθεί την υλοποίησή της.
  • Να είναι το πρώτο σημείο επαφής για τις εποπτικές αρχές και τα υποκείμενα των δεδομένων (εργαζόμενοι, πελάτες κ.λπ.).
  • Να συνεργάζεται με την εποπτική αρχή.

Ποιος πρέπει να ορίζεται ως DPO

Με βάση το υφιστάμενο νομικό πλαίσιο ο DPO υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων του.

Στη θέση αυτή μπορεί να τεθεί άτομο του υφιστάμενου προσωπικού της εταιρίας που πληροί τις προυποθέσεις ή εξωτερικός συνεργάτης.

Πιο συγκεκριμένα το άρθρο 37 παρ. 5 του Κανονισμού ορίζει ότι ο DPO υπεύθυνος προστασίας δεδομένων πρέπει να διαθέτει, μεταξύ άλλων, τις ακόλουθες δεξιότητες και εμπειρογνωμοσύνη:

  • εμπειρογνωσία στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, τόσο σε εθνικό όσο και σε ευρωπαϊκό επίπεδο, καθώς και άριστη γνώση του ΓΚΠΔ,
  • γνώση των πράξεων επεξεργασίας που διενεργούνται,
  • γνώση του τομέα των τεχνολογιών πληροφοριών και της ασφάλειας δεδομένων,
  • γνώση του τομέα δραστηριότητας και του οργανισμού,
  • ικανότητα ανάπτυξης νοοτροπίας προστασίας των δεδομένων στους κόλπους του οργανισμού.

Δικηγόρος – Νομικός Σύμβουλος στη θέση του DPO

Με βάση τα ανωτέρω προκύπτει σαφώς η νομική υποχρέωση ορισμού DPO και ορίζονται τα επαγγελματικά προσόντα αυτού, που για την καλύτερη και ασφαλέστερη λειτουργία θα πρέπει να είναι δικηγόρος-νομικός σύμβουλος με γνώσεις (σπουδές, μεταπτυχιακά, κλπ) επί των ανθρωπίνων δικαιωμάτων και των διοικητικών διαδικασιών και με σχετική εμπειρία.

*Επιπλέον καμία άλλη διαδικασία πιστοποίησης δεν είναι υποχρεωτική παρά την διαφήμιση σχετικών σεμιναρίων κλπ)

*Λοιπά πρόσωπα που δεν έχουν την ιδιότητα του νομικού συμβούλου ή δικηγόρου δεν απαγορεύεται εκ του νόμου να τεθούν στη θέση του DPO όμως είναι σαφές με βάση το νομικό πλαίσιο και τις απαιτήσεις ότι δεν αποτελούν την καλύτερη και σωστή λύση.

Σταύρος Τασιόπουλος, Δικηγόρος-Νομικός Σύμβουλος,  st.tasiopoulos@gmail.com

Υπ. Διδ. Νομικής Αθήνας, Επιστημονικός Συνεργάτης ινστιτούτου IMODEV στο Παρίσι, για θέματα ψηφιακών πολιτικών

Όλη η επικαιρότητα