O Ρόλος και η ευθύνη του Data Protection Officer σύμφωνα με το νέο Γενικό Κανονισμό Προσωπικών Δεδομένων (GDPR) - Μέρος 1ο




Στις 16 Απριλίου 2016  ψηφίσθηκε από το Ευρωπαικό Κοινοβούλιο ο Γενικός Κανονισμός Προσωπικών Δεδομένων, νομοθέτημα άμεσης εφαρμογής σε όλα τα κράτη μέλη της Ευρωπαικής Ενωσης, το οποίο θα τεθεί σε ισχύ μετά την παρέλευση της μεταβατικής περιόδου για την προσαρμογή των κρατών δηλαδή στις 25 Μαίου 2018.

Το νομοθέτημα αυτό αλλάζει ριζικά το τοπίο στον χώρο της Προστασίας των Προσωπικών Δεδομένων επιβάλλοντας πρόσθετες υποχρεώσεις σε Υπεύθυνους Επεξεργασίας και Εκτελούντες την Επεξεργασία προσωπικών δεδομένων ανάμεσα στις οποίες είναι ο υποχρεωτικός διορισμός Data Protection Officer. (Σ.Σ. Θα διατηρήσω τον αγγλικό όρο καθώς αποδίδει πληρέστερα την ουσία του συγκεκριμένου όρου).


Ηδη από τον Φεβρούαριο 2016 η Επιτροπή του άρθρου 29 (Article 29 Working Party) η οποία αποτελεί την εποπτεύουσα αρχή των εθνικών Αρχών Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και Συμβουλευτικό Οργανο της Ευρωπαικής Επιτροπής  ανακοίνωσε ότι θα εκδώσει διευκρινιστικές οδηγίες σχετικά με τον ρόλο και την ευθύνη του Data Protection Officer, όπως αυτή προδιαγράφεται στα άθρα 37-39 του Κανονισμού. Οι Οδηγίες αυτές εκδόθηκαν στις 16 Δεκεμβρίου 2016 αποσαφήνιζοντας αρκετά – όχι όμως όλα – ερωτήματα αναφορικά με τον θεσμό που αποκτά νέα βαρύτητα μετά την εισαγωγή του Κανονισμού

Τα βασικά σημεία της Διευκρινιστικής Οδηγίας της Επιτροπής του άρθρου 29 συνοψίζονται ως εξής :

Ι.  Σε ποιές περιπτώσεις είναι υποχρεωτικός ο διορισμός του Υπεύθυνου Προσωπικών Δεδομένων (Data Protection Officer)

– O Κανονισμός προδιάγραφει τρεις βασικές  κατηγορίες περιπτώσεων :

Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:

α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,

β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή

γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

Οι διευκρινήσεις της  Επιτροπής του άρθρου 29  εστιάζουν στην διασαφήνιση της έννοιας «βασικές δραστηριότητες» (Core Activities) οι οποίος περιγράφονται ως «αναπόσπαστο τμήμα της επίδιωξης των εταιρικών σκοπών του Υπευθύνου ή Εκτελούντος την Επεξεργασία όπως για παράδειγμα  οι δραστηριότητες παρακολούθησης μιας εταιρίας παροχής υπηρεσιών ασφαλείας,  με τις οποίες ελέγχει/παρακολουθεί έναν δημόσιο ή ιδιωτικό χώρο , οι δραστηριότητες επεξεργασίας ιατρικών φακέλων ασθενών που νοσηλεύονται σε ένα νοσοκομείο καθώς και οι δραστηριότητες επεξεργασίας προσωπικών δεδομένων υπαλλήλων από έναν εξωτερικό συνεργάτη που διαχειρίζεται την μισθοδοσία του προσωπικού μιας εταιρίας.

Η έννοια « Συστηματική» και «Τακτική» Παρακολούθηση των υποκειμένων σε μεγάλη κλίμακα (regular and systematic monitoring)  στην οποία εντάσσονται όλες οι μορφες on line παρακολούθησης όπως για παράδειγμα η παρακολούθηση των μετακινήσεων του υποκειμένου (location tracking) η επεξεργασία που στοχεύει στον καθορισμό της καταναλωτικής συμπεριφοράς  και συνηθειών του υποκειμένου για διαφημιστιούς σκοπούς (behavioral advertising) καθώς και ο καθορισμός του Προφίλ του υποκειμένου με βάση συγκεκριμένα προσωπικά δεδομένα που αφορούν την καταναλωτική του ταυτότητα, τις προτιμήσεις του, επισκεψιμότητα σε συγκεκριμένα καταστήματα, (Profiling).

Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (των «Ευαίσθητων Προσωπικών Δεδομένων της Οδηγίας 96/45) σε «μεγάλη κλίμακα, όπως  δεδομένων που αφορουν την θρησκεία, πολιτικές πεποιθήσεις, σεξουαλικό προσανατολισμό, συμμετοχή σε συνδικαλιστικές οργανώσεις αλλά και Γενετικα Δεδομένων ή Υλικό όπως και Βιομετρικά Στοιχεία τα οποία  ορίζονται ως « Ειδικά Προσωπικά Δεδομένα» με το Νέο Κανονισμό.




Πηγή: Του  Ιωάννη Ε. Γιαννακάκη



Σχόλια

Δημοσίευση σχολίου

Δημοφιλείς αναρτήσεις από αυτό το ιστολόγιο

Ο ρόλος του νέου επιχειρηματία ασφαλιστή, πέρα από την ψηφιοποίηση

Εικόνα
Το άμεσο μέλλον απαιτεί από τις ασφαλιστικές επιχειρήσεις διαμεσολάβησης (μεσίτες & πράκτορες ) να αλλάξουν ριζικά το επιχειρηματικό τους μοντέλο , την οργανωτική τους κουλτούρα, την Στρατηγική τους ,  τον τρόπο επικοινωνίας με τους πελάτες και να δημιουργήσουν νέες πηγές εσόδων επανεξετάζοντας τους παραδοσιακούς ρόλους τους και υιοθετώντας μια νοοτροπία οικοσυστήματος.
Διαβάστε περισσότερα

Οι Αλλαγές στις επιχειρήσεις ασφαλιστικής διαμεσολάβησης μέχρι το 2030

Εικόνα
Οι δυνάμεις της παγκοσμιοποίησης και η 4η Βιομηχανική επανάσταση ( Industry 4.0 ) μετασχηματίζουν τις οικονομίες, τους χώρους εργασίας και τις οικογένειες μας και θα συνεχίζουν να το κάνουν ακόμη πιο έντονα τα επόμενα χρόνια.
Διαβάστε περισσότερα