O Ρόλος και η ευθύνη του Data Protection Officer σύμφωνα με το νέο Γενικό Κανονισμό Προσωπικών Δεδομένων (GDPR) - Μέρος 1ο
Στις 16 Απριλίου 2016 ψηφίσθηκε από
το Ευρωπαικό Κοινοβούλιο ο Γενικός Κανονισμός Προσωπικών
Δεδομένων, νομοθέτημα άμεσης εφαρμογής σε όλα τα κράτη μέλη της
Ευρωπαικής Ενωσης, το οποίο θα τεθεί σε ισχύ μετά την παρέλευση της μεταβατικής
περιόδου για την προσαρμογή των κρατών δηλαδή στις 25 Μαίου 2018.
Το νομοθέτημα αυτό αλλάζει ριζικά το τοπίο
στον χώρο της Προστασίας των Προσωπικών Δεδομένων επιβάλλοντας πρόσθετες υποχρεώσεις
σε Υπεύθυνους Επεξεργασίας και Εκτελούντες την Επεξεργασία προσωπικών δεδομένων
ανάμεσα στις οποίες είναι ο υποχρεωτικός διορισμός Data Protection Officer.
(Σ.Σ. Θα διατηρήσω τον αγγλικό όρο καθώς αποδίδει πληρέστερα την ουσία του
συγκεκριμένου όρου).
Ηδη από τον Φεβρούαριο 2016 η Επιτροπή του
άρθρου 29 (Article 29 Working Party) η
οποία αποτελεί την εποπτεύουσα αρχή των εθνικών Αρχών Προστασίας Δεδομένων
Προσωπικού Χαρακτήρα και Συμβουλευτικό Οργανο της Ευρωπαικής Επιτροπής
ανακοίνωσε ότι θα εκδώσει διευκρινιστικές οδηγίες σχετικά με τον ρόλο και την
ευθύνη του Data Protection Officer, όπως αυτή προδιαγράφεται στα άθρα 37-39 του
Κανονισμού. Οι Οδηγίες αυτές εκδόθηκαν στις 16 Δεκεμβρίου 2016 αποσαφήνιζοντας
αρκετά – όχι όμως όλα – ερωτήματα αναφορικά με τον θεσμό που αποκτά νέα
βαρύτητα μετά την εισαγωγή του Κανονισμού
Τα βασικά σημεία της Διευκρινιστικής
Οδηγίας της Επιτροπής του άρθρου 29 συνοψίζονται ως εξής :
Ι. Σε ποιές περιπτώσεις είναι
υποχρεωτικός ο διορισμός του Υπεύθυνου Προσωπικών Δεδομένων (Data Protection
Officer)
– O Κανονισμός προδιάγραφει τρεις
βασικές κατηγορίες περιπτώσεων :
Ο υπεύθυνος επεξεργασίας και ο εκτελών την
επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:
α) η επεξεργασία διενεργείται από δημόσια
αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής
τους αρμοδιότητας,
β) οι βασικές δραστηριότητες του υπευθύνου
επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας
οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν
τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη
κλίμακα, ή
γ) οι βασικές δραστηριότητες του υπευθύνου
επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας
επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9
και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο
άρθρο 10.
Οι διευκρινήσεις της Επιτροπής του
άρθρου 29 εστιάζουν στην διασαφήνιση της έννοιας «βασικές δραστηριότητες»
(Core Activities) οι οποίος περιγράφονται ως «αναπόσπαστο τμήμα της επίδιωξης
των εταιρικών σκοπών του Υπευθύνου ή Εκτελούντος την Επεξεργασία όπως για
παράδειγμα οι δραστηριότητες παρακολούθησης μιας εταιρίας παροχής
υπηρεσιών ασφαλείας, με τις οποίες ελέγχει/παρακολουθεί έναν δημόσιο ή
ιδιωτικό χώρο , οι δραστηριότητες επεξεργασίας ιατρικών φακέλων ασθενών που
νοσηλεύονται σε ένα νοσοκομείο καθώς και οι δραστηριότητες επεξεργασίας
προσωπικών δεδομένων υπαλλήλων από έναν εξωτερικό συνεργάτη που διαχειρίζεται
την μισθοδοσία του προσωπικού μιας εταιρίας.
Η έννοια « Συστηματική» και «Τακτική» Παρακολούθηση
των υποκειμένων σε μεγάλη κλίμακα (regular and systematic monitoring)
στην οποία εντάσσονται όλες οι μορφες on line παρακολούθησης όπως για
παράδειγμα η παρακολούθηση των μετακινήσεων του υποκειμένου (location tracking)
η επεξεργασία που στοχεύει στον καθορισμό της καταναλωτικής συμπεριφοράς
και συνηθειών του υποκειμένου για διαφημιστιούς σκοπούς (behavioral
advertising) καθώς και ο καθορισμός του Προφίλ του υποκειμένου με βάση
συγκεκριμένα προσωπικά δεδομένα που αφορούν την καταναλωτική του ταυτότητα, τις
προτιμήσεις του, επισκεψιμότητα σε συγκεκριμένα καταστήματα, (Profiling).
Η επεξεργασία ειδικών κατηγοριών
δεδομένων προσωπικού χαρακτήρα (των «Ευαίσθητων Προσωπικών Δεδομένων της
Οδηγίας 96/45) σε «μεγάλη κλίμακα, όπως δεδομένων που αφορουν την
θρησκεία, πολιτικές πεποιθήσεις, σεξουαλικό προσανατολισμό, συμμετοχή σε
συνδικαλιστικές οργανώσεις αλλά και Γενετικα Δεδομένων ή Υλικό όπως και
Βιομετρικά Στοιχεία τα οποία ορίζονται ως «
Ειδικά Προσωπικά Δεδομένα» με το Νέο Κανονισμό.
Πηγή:
Του Ιωάννη Ε.
Γιαννακάκη
Σχόλια
Δημοσίευση σχολίου