Γενικός Κανονισμός Προστασίας Δεδομένων

Transcript

1 Γενικός Κανονισμός Προστασίας Δεδομένων GDPR Ημέρα 4η

2 Περιεχόμενα Ο Ρόλος του DPO.. σελ 3 Διατάξεις που αφορούν ειδικές περιπτώσεις επεξεργασίας... σελ 27 Παρακολούθηση της συμμόρφωσης και της εφαρμογής του Κανονισμου σελ 36 Πρακτική Εφαρμογή και παραδείγματα Ερωτήσεις

3 Ο Ρόλος του DPO 1. Χρειαζόμαστε ή όχι; 2. Καθήκοντα και ευθύνη 3. Δεξιότητες και εκπαίδευση 4. Σύγκρουση συμφερόντων - επικοινωνία, πολιτικές, τεκμηρίωση 5. Εσωτερικός ή εξωτερικός DPO; 6. Ομάδα ή άτομο; 7. Case Studies

4 Ο DPO στο ισχύον σύστημα προστασίας προσωπικών δεδομένων Η θέση και ο ρόλος του DPO είναι γνωστός στο δίκαιο της Ε.Ε. αλλά και στο Ελληνικό Δίκαιο (αρ. 18 παρ.2) με τη διαφορά ότι: 28 Διαφορετικές Εθνικές Ερμηνείες με την οδηγία 95/46/E.K ισχύουν: με τον Νέο Κανονισμό GDPR θα ισχύει: 1 Kανονισμός για όλες τις χώρες της Ε.Ε.

5 Ορισμός του Υπευθύνου Προστασίας Δεδομένων - Άρθρο Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία: α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας. Πχ Υπουργεία, Νοσοκομεία, Μεταφορές, Υποδομές β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα. Πχ Εταιρείες Κοινωνικής Δικτύωσης, Εταιρείες παροχής υπηρ. Ασφαλείας, Εταιρείες που κάνουν χρήση geo-location data, online behaviour tracking γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10. Πχ φαρμακευτικές, κλινικές, κινητής τηλεφωνίας, διαφημιστικές, μεταφορικές, call centers 2. Όμιλος επιχειρήσεων μπορεί να διορίσει ένα μόνο υπεύθυνο προστασίας δεδομένων, υπό την προϋπόθεση ότι κάθε εγκατάσταση έχει εύκολη πρόσβαση σε αυτόν.

6 Ορισμός του Υπευθύνου Προστασίας Δεδομένων - Άρθρο Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή ή δημόσιος φορέας, ένας μόνο υπεύθυνος προστασίας δεδομένων μπορεί να ορίζεται για πολλές τέτοιες αρχές ή πολλούς τέτοιους φορείς, λαμβάνοντας υπόψη την οργανωτική τους δομή και το μέγεθός τους. 4. Σε περιπτώσεις πλην των αναφερόμενων στην παράγραφο 1, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ή ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να ορίζουν υπεύθυνο προστασίας δεδομένων ή, όπου απαιτείται από το δίκαιο της Ένωσης ή του κράτους μέλους, ορίζουν υπεύθυνο προστασίας δεδομένων. Ο υπεύθυνος προστασίας δεδομένων μπορεί να ενεργεί για τις εν λόγω ενώσεις και τους άλλους φορείς που εκπροσωπούν υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία. 5. Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών. 7. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δημοσιεύουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα ανακοινώνουν στην εποπτική αρχή.

7 Ορισμός του Υπευθύνου Προστασίας Δεδομένων - Άρθρο 37 Ανεξάρτητα από το αν το GDPR σας υποχρεώνει να διορίσετε έναν DPO, πρέπει να βεβαιωθείτε ότι ο οργανισμός σας διαθέτει επαρκές προσωπικό και πόρους για να εκπληρώσει τις υποχρεώσεις σας βάσει του GDPR. Ωστόσο, ένας υπεύθυνος προστασίας δεδομένων μπορεί να σας βοηθήσει να εργαστείτε εντός του νόμου, συμβουλεύοντας και συμβάλλοντας στην παρακολούθηση της συμμόρφωσης. Με αυτόν τον τρόπο, o DPO μπορεί να θεωρηθεί ότι διαδραματίζει βασικό ρόλο στη δομή διακυβέρνησης της προστασίας του οργανισμού σας και να συμβάλλει στη βελτίωση της λογοδοσίας. Αν αποφασίσετε να διορίσετε οικειοθελώς έναν DPO, θα πρέπει να γνωρίζετε ότι ισχύουν οι ίδιες απαιτήσεις της θέσης και των καθηκόντων όπως και στην περίπτωση που ο ορισμός DPO ήταν υποχρεωτικός.

8 Ορισμός του Υπευθύνου Προστασίας Δεδομένων - Άρθρο 37

9 Καθήκοντα του DPO - Άρθρο 39 Ο υπεύθυνος προστασίας δεδομένων έχει τουλάχιστον τα ακόλουθα καθήκοντα: α) ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων, β) παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων, γ) παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35. Να προστατέψει τον υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία από τους κινδύνους επιβολής των προστίμων που προβλέπει ο νέος κανονισμός δ) εκπροσωπεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία έναντι των Αρχών, Εθνικών ή Ευρωπαϊκών ε) ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36, και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα.

10 Καθήκοντα του DPO Επιπλέον καθήκοντα του υπευθύνου προστασίας δεδομένων: α) αποτελεί τον κύριο συνομιλητή της Διοίκησης για τα θέματα προστασίας δεδομένων και εξασφαλίζει την υποστήριξή της και το απαιτούμενο προϋπολογισμό για την εφαρμογή του προγράμματος προστασίας των δεδομένων, β) καταρτίζει το Πρόγραμμα και την Πολιτική Προστασίας Δεδομένων και εποπτεύει την εφαρμογή του, αξιολογεί τον βαθμό συμμετοχής και την επιτυχία του και προβαίνει στις αναγκαίες διορθώσεις, όπου απαιτείται, γ) καταρτίζει Ευρετήριο Προσωπικών Δεδομένων (Data Inventory), που αφορά το είδος των προσωπικών δεδομένων, τον τρόπο αποθήκευσης και επεξεργασίας τους, τον επιτρεπόμενο χρόνο αποθήκευσης τους και την μεθοδολογία διαγραφής ή καταστροφής τους δ) εκτιμά και συμβουλεύει για την κατά περίπτωση αναγκαιότητα κατάρτισης μιας Εκτίμησης Αντικτύπου (Data Privace Impact Assessment - DPIA) ε) συντονίζει τη διατμηματική συνεργασία με τα τμήματα Ανθρώπινου Δυναμικού, Ασφάλειας Πληροφοριών, Πληροφοριακών Συστημάτων - ΙΤ, Νομικής και Κανονιστικής Συμμόρφωσης, Μάρκετινγκ, Προμηθειών, για τη δημιουργία μιας διαρκούς εταιρικής κουλτούρας προστασίας των δεδομένων ως πολύτιμου εταιρικού περιουσιακού στοιχείου ζ) σχεδιάζει και πραγματοποιεί εσωτερικά εκπαιδευτικά προγράμματα και τηρεί τα απαιτούμενα αρχεία ολοκλήρωσης ων εκπαιδεύσεων ανά τμήμα/ομάδα εργαζομένων

11 Ευθύνη του DPO Σύμφωνα με το άρθρο 38 (3) ο DPO δεν μπορεί να παυθεί ή να υποστεί κυρώσεις από τον Υπεύθυνο Επεξεργασίας ή των Εκτελούντα την Επεξεργασία, σαν απόρροια της εκτέλεσης των καθηκόντων του.

12 Δεξιότητες και Εκπαίδευση του DPO Ο DPO πρέπει να έχει εξειδικευμένη γνώση του νομικού πλαισίου προστασίας δεδομένων προσωπικού χαρακτήρα σε εθνικό και ευρωπαϊκό επίπεδο Να έχει βασική γνώση στοιχείων Ασφάλειας Πληροφοριών (Information Security) και Πληροφοριακών Συστημάτων (ΙΤ), ώστε να μπορεί να κατανοήσει, να σχεδιάσει και να εποπτεύσει την εφαρμογή ενός προγράμματος προστασίας ΔΠΧ Επικοινωνιακές ικανότητες και πειθώ ώστε να αναφέρεται απευθείας στον CEO ή το ΔΣ Την απαιτούμενη εμπειρία για να συντονίζει μια εσωτερική ομάδα που ασχολείται με το πρόγραμμα προστασίας ΔΠΧ ως επικεφαλής ομάδας (managerial skills) Σύμφωνα με το άρθρο 38 του Κανονισμού αλλά και την διευκρινιστική οδηγία της επιτροπής του άρθρου 29, ο DPO θα πρέπει να διαθέτει αποδείξεις ως προς την επάρκεια της ειδικής και εξειδικευμένης γνώσης και πείρας στον τομέα της προστασίας προσωπικών δεδομένων Δεν υπάρχουν ακόμη εθνικοί φορείς εκπαίδευσης και πιστοποίησης Σε ευρωπαϊκό επίπεδο ειδικά εκπαιδευτικά προγράμματα: IAPP, IT Governance, ISABE, Data Guidance Τα προγράμματα αυτά δύναται να οδηγήσουν σε λήψη διεθνούς πιστοποίησης EU GDPR Practitioner κατά το πρότυπο ISO 17024:2013

13 Δεξιότητες και Εκπαίδευση του DPO Νομικό Πλαίσιο Προστασίας Προσωπικών Δεδομένων Project Management DPO Ασφάλεια Πληροφοριών Πληροφοριακά Συστήματα - ΙΤ

14 DPO και σύγκρουση συμφερόντων Ο GDPR και η Διευκρινιστική Οδηγία της Επιτροπής του Άρθρου 29 διασαφηνίζουν ότι δεν θα πρέπει να δημιουργείται σύγκρουση συμφερόντων εξαιτίας τυχών πρόσθετων αρμοδιοτήτων του DPO. O DPO δεν θα πρέπει να κατέχει και θέση η οποία οδηγεί στο να επηρεάζει ή να παρεμβαίνει στους σκοπούς και τα μέσα επεξεργασίας προσωπικών δεδομένων εντός της επιχείρησης ή οργανισμού που εκπροσωπεί ως DPO. O DPO πρέπει να έχει λόγο για όλα τα θέματα που αφορούν την προστασία προσωπικών δεδομένων στην επιχείρηση και για το λόγο αυτό πρέπει να έχει πρόσβαση σε όλες τι ς βάσεις δεδομένων και στα συστήματα της επιχείρησης ή οργανισμού Ο DPO πρέπει να αναφέρεται στον CEO ή στο Δ.Σ. χωρίς να παρεμβάλλεται ενδιάμεσος αναφοράς. Είναι λειτουργικά ανεξάρτητο στέλεχος. Γενικότερα υποστηρίζεται ότι συγκεκριμένοι ρόλοι, όπως Chief Information Security Officer, HR Director, Marketing Director, IT Director, εσωτερικός Νομικός Σύμβουλος δεν μπορούν να ασκούν ταυτόχρονα με το ρόλο τους και καθήκοντα DPO.

15 Εσωτερικός ή Εξωτερικός DPO; Οι διευκρινιστικές Οδηγίες της Επιτροπής του Άρθρου 29, αναφέρουν ότι ο DPO δεν έχει προσωπική ευθύνη σε ό,τι αφορά την άσκηση των καθηκόντων του, ούτε απαλάσσει τον Διευθύνοντα Σύμβουλο ή το Δ.Σ. από την ευθύνη τους σε περίπτωση παραβίασης της ασφάλειας των δεδομένων που επεξεργάζονται από το νομικό πρόσωπο που εκπροσωπούν. Εσωτερικός DPO Γνωρίζει καλύτερα τη φιλοσοφία, τις πολιτικές και τα πρόσωπα εντός ενός οργανισμού / φορέα Εξασφαλίζει δύσκολα την απαιτούμενη λειτουργική ανεξαρτησία που απαιτείται Εξωτερικός DPO Δεν έχει το ίδιο επίπεδο γνώσης του τρόπου λειτουργία ενός οργανισμού / φορέα Εξασφαλίζει την απαιτούμενη λειτουργική ανεξαρτησία Ενδέχεται να διαφωνεί με τη Διοίκηση κατά την άσκηση των καθηκόντων Σε κάθε περίπτωση πρέπει να αποκτήσει πλήρη πρόσβαση στα προσωπικά δεδομένα που τηρεί και επεξεργάζεται ο οργανισμός και γνώση των μεθόδων επεξεργασίας.

16 Κατευθυντήριες Γραμμές Working Party 29/243 Οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σύμφωνα με την αιτιολογική σκέψη 97 αφορούν τις κύριες δραστηριότητές του και όχι την επεξεργασία δεδομένων προσωπικού χαρακτήρα ως παρεπόμενη δραστηριότητα. Σύμφωνα με τις κατευθυντήριες γραμμές της Επιτροπής του άρθρου 29 οι βασικές δραστηριότητες αποτελούν αναπόσπαστο τμήμα για την επίτευξη των εταιρικών σκοπών του Υπευθύνου ή του Εκτελούντος την Επεξεργασία. Για παράδειγμα ένα νοσοκομείο ως βασική δραστηριότητα έχει τη παροχή υγειονομικής περίθαλψης. Ωστόσο το νοσοκομείο δεν θα μπορούσε να παράσχει υγειονομική περίθαλψη με ασφάλεια και αποτελεσματικότητα χωρίς την επεξεργασία των δεδομένων υγείας των ασθενών. Ένα ακόμη παράδειγμα αποτελεί η επεξεργασία προσωπικών δεδομένων των υπαλλήλων από έναν εξωτερικό συνεργάτη που διαχειρίζεται τη μισθοδοσία τους. Στην αιτιολογική σκέψη 24 του GDPR αναφέρεται πως για τον καθορισμό του κατά πόσον μια δραστηριότητα επεξεργασίας μπορεί να θεωρηθεί ότι παρακολουθεί τη συμπεριφορά του υποκειμένου των δεδομένων, θα πρέπει να εξακριβωθεί κατά πόσον φυσικά πρόσωπα παρακολουθούνται στο Διαδίκτυο, συμπεριλαμβανομένης της δυνητικής μετέπειτα χρήσης τεχνικών επεξεργασίας δεδομένων προσωπικού χαρακτήρα οι οποίες συνίστανται στη διαμόρφωση του «προφίλ» ενός φυσικού προσώπου, ιδίως με σκοπό να ληφθούν αποφάσεις που το αφορούν ή να αναλυθούν ή να προβλεφθούν οι προσωπικές προτιμήσεις, οι συμπεριφορές και οι νοοτροπίες του. Έτσι το WP29 ερμηνεύει ως τακτική παρακολούθηση των υποκειμένων των δεδομένων ως ένα ή περισσότερα από τα εξής:

17 Κατευθυντήριες Γραμμές Working Party 29/243 Συνεχής ή σε συγκεκριμένα χρονικά διαστήματα για μια συγκεκριμένη περίοδο Επαναλαμβανόμενη ή επαναλαμβανόμενη σε καθορισμένους χρόνους Συνεχής ή περιοδική πραγματοποίηση Επίσης ερμηνεύει ως συστηματική παρακολούθηση ως ένα ή περισσότερα από τα εξής: Γίνεται σύμφωνα με ένα σύστημα Προρυθμισμένα, οργανωμένα ή μεθοδικά Πραγματοποιείται ως μέρος ενός γενικού σχεδίου συλλογής δεδομένων Διεξάγεται ως μέρος στρατηγικής Παραδείγματα: παροχή τηλεπικοινωνιακών υπηρεσιών, παρακολούθηση τοποθεσίας από εφαρμογές κινητών, παρακολούθηση δεδομένων φυσικής κατάστασης και υγείας μέσω φορητών συσκευών, κλειστό κύκλωμα τηλεόρασης, συνδεδεμένες συσκευές π.χ. έξυπνοι μετρητές, έξυπνα αυτοκίνητα, αυτοματισμοί σπιτιών κ.λπ Ούτε ο Κανονισμός GDPR αλλά ούτε και οι οδηγίες της Επιτροπής του άρθρου 29 ορίζουν τι εννοούμε με τον όρο μεγάλης κλίμακας δεδομένα και η έννοια παραμένει ασαφής και αόριστη. Παρόλα αυτά το WP 29 συνιστά να λαμβάνονται υπόψη οι ακόλουθοι παράγοντες κατά τον καθορισμό του κατά πόσον η επεξεργασία πραγματοποιείται σε μεγάλη κλίμακα :

18 Κατευθυντήριες Γραμμές Working Party 29/243 Ο αριθμός των ενδιαφερόμενων προσώπων στα οποία αναφέρονται τα δεδομένα - είτε ως αριθμός είτε ως ποσοστό Ο όγκος δεδομένων και / ή το φάσμα των διαφορετικών στοιχείων δεδομένων που υποβάλλονται σε επεξεργασία Η διάρκεια ή η μονιμότητα της δραστηριότητας επεξεργασίας δεδομένων Τη γεωγραφική έκταση της δραστηριότητας επεξεργασίας Παραδείγματα μεγάλης κλίμακας επεξεργασίας δεδομένων: επεξεργασία δεδομένων ασθενών από νοσοκομείο επεξεργασία δεδομένων ταξιδιού ατόμων που χρησιμοποιούν το σύστημα δημόσιων συγκοινωνιών της πόλης (π.χ. παρακολούθηση μέσω ταξιδιωτικών καρτών) επεξεργασία δεδομένων (περιεχόμενο, κίνηση, τοποθεσία) από τηλεφωνικούς παρόχους ή παρόχους υπηρεσιών Διαδικτύου Παραδείγματα που δεν αποτελούν επεξεργασία μεγάλης κλίμακας : επεξεργασία δεδομένων ασθενών από ιδιώτη ιατρό επεξεργασία προσωπικών δεδομένων σχετικά με ποινικές καταδίκες και αδικήματα από ιδιώτη δικηγόρο

19 Κατευθυντήριες Γραμμές Working Party 29/243 Παρά το γεγονός ότι ο ορισμός DPO, δεν είναι υποχρεωτικός για όλους εν τοις πράγμασι αποτελεί προτιμητέα επιλογή. Ο εθελοντικός ορισμός DPO συστήνεται ανεπιφύλακτα από τους ειδήμονες του Κανονισμού. Αυτό δεν εμποδίζει έναν οργανισμό, ο οποίος δεν επιθυμεί και δεν είναι νομικά υποχρεωμένος να ορίσει έναν DPO σε εθελοντική βάση, να απασχολήσει ωστόσο προσωπικό ή εξωτερικούς συμβούλους με καθήκοντα σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα. Στην περίπτωση αυτή, είναι σημαντικό να διασφαλιστεί ότι δεν υπάρχει σύγχυση όσον αφορά τον τίτλο, τη θέση και τα καθήκοντά τους.

20 Οι κατευθυντήριες γραμμές του Working Party29/243 για τον DPO μέσα από 10 ερωτήσεις 1. Για ποιόν λόγο πρέπει να κοινοποιούνται τα στοιχεία του DPO? Στόχος της συγκεκριμένης απαίτησης είναι να εξασφαλιστεί ότι τα υποκείμενα των δεδομένων ή οι εποπτικές αρχές να μπορούν να επικοινωνήσουν εύκολα, άμεσα και εμπιστευτικά με ένα συγκεκριμένο άτομο χωρίς να απαιτείται να εμπλακεί κάποιο τμήμα της οργάνωσης. 2. Xρονικά πότε είναι το ιδανικότερο να εμπλέξουμε τον DPO? Είναι ζωτικής σημασίας ο DPO να συμμετέχει από το αρχικό στάδιο σε όλα τα επίπεδα της προετοιμασίας του οργανισμού και ο υπεύθυνος επεξεργασίας να ζητήσει τη συνεισφορά του στη μελέτη εκτίμησης αντικτύπου. 3. Ο ορισμός του DPO είναι από μόνος του αρκετός για να είμαστε καλυμμένοι απέναντι στο GDPR? Όχι δεν αρκεί. Ο οργανισμός πρέπει να παρέχει τους απαραίτητους πόρους (εγκαταστάσεις, εξοπλισμό) για την εκπλήρωση των καθηκόντων του καθώς και στη διατήρηση των ειδικών γνώσεων του με διαρκή εκπαίδευση.

21 Οι κατευθυντήριες γραμμές του Working Party29/243 για τον DPO μέσα από 10 ερωτήσεις 4. Πρέπει να ορίζονται στόχοι στον DPO ανεξάρτητα από το εάν λειτουργεί ως εξωτερικός πάροχος ή ως υπάλληλος? Όχι απαγορεύεται ρητά. Οι υπεύθυνοι επεξεργασίας ή οι εκτελούντες την επεξεργασία οφείλουν να εξασφαλίζουν ότι ο DPO δεν λαμβάνει οδηγίες σχετικά με την άσκηση των καθηκόντων του. 5. Πόσο δεσμευτικές είναι οι συμβουλές του DPO για την επιχείρηση? Εάν ο υπεύθυνος επεξεργασίας ή ο ελεγκτής δεν συμφωνεί με τις συμβουλές που παρέχει ο DPO θα πρέπει να δικαιολογήσουν γραπτώς γιατί δεν ελήφθησαν υπόψη οι συμβουλές του με την μελέτη DPIA 5. Μπορούμε να απολύσουμε ή να επιβάλουμε ποινές στον DPO για την εκτέλεση των καθηκόντων του? Όχι οι DPO απολαμβάνουν την επαρκή προστασία κατά την εκτέλεση των καθηκόντων τους καθώς ο GDPR απαγορεύει τις κυρώσεις εφόσον επιβάλλονται ως αποτέλεσμα της εκτέλεσης του DPO.

22 Οι κατευθυντήριες γραμμές του Working Party29/243 για τον DPO μέσα από 10 ερωτήσεις 7. Μπορεί ο DPO να παρέχει παράλληλα και άλλες δραστηριότητες? Οι DPO επιτρέπεται να έχουν και άλλα καθήκοντα υπό την προϋπόθεση ότι αυτά δεν δημιουργούν σύγκρουση συμφερόντων. 7. Μπορεί ο DPO να είναι ο ίδιος ο επιχειρηματίας? Ο DPO δεν μπορεί να κατέχει θέση εντός του οργανισμού που να τον οδηγεί από τη φύση της να καθορίζει τους σκοπούς και τα μέσα επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. 9. Eίναι υπεύθυνος στην περίπτωση μη συμμόρφωσης με τον κανονισμό GDPR o DPO? Ο έλεγχος της συμμόρφωσης δεν σημαίνει ότι ο DPO είναι εκείνος που είναι προσωπικά υπεύθυνος εκεί όπου υπάρχει περίπτωση μη συμμόρφωσης. Το GDPR καθιστά σαφές ότι ο υπεύθυνος της επεξεργασίας είναι και όχι ο DPO.

23 Οι κατευθυντήριες γραμμές του Working Party29/243 για τον DPO μέσα από 10 ερωτήσεις 10. Μέχρι πού είναι υπεύθυνος ο DPO? Υποχρεούται να «εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για να εξασφαλίσει και να αποδείξει ότι η επεξεργασία πραγματοποιείται σύμφωνα με τον παρόντα κανονισμό ενώ η συμμόρφωση με την προστασία προσωπικών δεδομένων αποτελεί εταιρική ευθύνη του υπεύθυνου επεξεργασίας δεδομένων και όχι του DPO.

24 Συνίσταται: Κατευθυντήριες Γραμμές Working Party 29/243 Best Practices Για σκοπούς επικοινωνίας με το κοινό να παρέχεται αποκλειστικό μέσο επικοινωνίας π.χ. ειδική τηλεφωνική γραμμή ή αφιερωμένη φόρμα επικοινωνίας στον ιστότοπο του οργανισμού για τον DPO. Tο όνομα και τα στοιχεία επικοινωνίας του DPO να δημοσιευθούν εσωτερικά στον εσωτερικό τηλεφωνικό κατάλογο και τα οργανωτικά διαγράμματα, προς πληροφόρηση του προσωπικού. Να συμμετέχει τακτικά σε συνεδριάσεις ανώτερων και μεσαίων στελεχών. Να παρίσταται όταν λαμβάνονται αποφάσεις με συνέπειες στην προστασία των δεδομένων και πάντοτε να λαμβάνεται υπόψη η γνώμη του. Σε περίπτωση διαφωνίας, με τον DPO να τεκμηριώνονται οι λόγοι για τους οποίους δεν ακολουθήθηκε η συμβουλή. Να του παρέχονται όλες οι σχετικές πληροφορίες και να διαβιβάζονται έγκαιρα προκειμένου μπορεί να παρέχει επαρκείς συμβουλές. Να ενημερώνεται αμέσως όταν υπάρχει περιστατικό παραβίασης. H ενεργή υποστήριξη της λειτουργίας του DPO από ανώτερα στελέχη (όπως σε επίπεδο διοικητικών συμβουλίων).

25 Κατευθυντήριες Γραμμές Working Party 29/243 Best Practices Συνίσταται: Η διάθεση επαρκούς χρόνου για την εκπλήρωση των καθηκόντων τους. Η αποφυγή ανάθεσης του έργου σε εξωτερικό συνεργάτη με μερική απασχόληση ή σε εργαζόμενο του οργανισμού με παράλληλη άσκηση και άλλων καθηκόντων καθώς οι αντικρουόμενες προτεραιότητες θα μπορούσαν να οδηγήσουν στην παραμέληση των καθηκόντων του DPO. Η αφιέρωση ενός ημερήσιου χρόνου για τη λειτουργία του DPO, όταν δεν εκτελείται με πλήρη απασχόληση και η κατάρτιση σχεδίου εργασίας. Η πλήρης πρόσβαση σε άλλες υπηρεσίες, όπως το τμήμα ανθρωπίνου δυναμικού, νομικής, πληροφορικής, ασφάλειας κ.λπ., Όταν η λειτουργία του DPO ασκείται από ομάδα ατόμων για την εν λόγω οντότητα θα πρέπει στο πλαίσιο της να καθοριστεί ο επικεφαλής. Να διασφαλίζεται η ανεξαρτησία του DPO χωρίς να τίθενται όρια ή στόχοι. Να παρουσιάζει η συνεργασία με τον DPO την ανάλογη σταθερότητα. Να συμπεριλαμβάνεται στους όρους της σύμβασης ότι με την επιφύλαξη του εφαρμοστέου εθνικού εργασιακού και ποινικού δικαίου, ο DPO δύναται να απολυθεί νομίμως για λόγους άλλους εκτός από την αυτόνομη εκπλήρωση των καθηκόντων του ως DPO

26 Κατευθυντήριες Γραμμές Working Party 29/243 Best Practices Συνίσταται ο υπεύθυνος επεξεργασίας ή ο εκτελών: Ανάλογα με τις δραστηριότητες, το μέγεθος και τη δομή του οργανισμού, να προσδιορίσουν τις θέσεις που θα ήταν ασυμβίβαστες με τη λειτουργία του DPO, να εκπονήσει τους κατάλληλους εσωτερικούς κανόνες, προκειμένου να αποφευχθούν συγκρούσεις συμφερόντων, να δηλώσουν ότι ο DPO δεν έχει σύγκρουση συμφερόντων όσον αφορά τη λειτουργία του, να περιγράψουν επαρκώς με ακρίβεια και λεπτομέρεια στη σύμβαση παροχής υπηρεσιών την ιδιότητα του DPO προκειμένου να αποφευχθεί η σύγκρουση συμφερόντων. Οι συγκρούσεις συμφερόντων μπορούν να λαμβάνουν διάφορες μορφές ανάλογα με το εάν ο DPO προσλαμβάνεται εσωτερικά ή εξωτερικά.

27 Διατάξεις που αφορούν ειδικές περιπτώσεις επεξεργασίας 1. Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης 2. Επεξεργασία και πρόσβαση του κοινού σε επίσημα έγγραφα 3. Επεξεργασία του εθνικού αριθμού ταυτότητας 4. Επεξεργασία στο πλαίσιο της απασχόλησης 5. Διασφαλίσεις και παρεκκλίσεις σχετικά με την επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς 6. Υφιστάμενοι κανόνες προστασίας των δεδομένων εκκλησιών και θρησκευτικών ενώσεων

28 Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης - Άρθρο Τα κράτη μέλη διά νόμου συμβιβάζουν το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς και για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης. 2. Για την επεξεργασία που διενεργείται για δημοσιογραφικούς σκοπούς ή για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, τα κράτη μέλη προβλέπουν εξαιρέσεις ή παρεκκλίσεις από το κεφάλαιο ΙΙ (αρχές), το κεφάλαιο ΙΙΙ (δικαιώματα του υποκειμένου των δεδομένων), το κεφάλαιο IV (υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία), το κεφάλαιο V (διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς), το κεφάλαιο VI (ανεξάρτητες εποπτικές αρχές), το κεφάλαιο VII (συνεργασία και συνεκτικότητα) και το κεφάλαιο ΙΧ (ειδικές περιπτώσεις επεξεργασίας δεδομένων), εφόσον αυτές είναι αναγκαίες για να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με την ελευθερία της έκφρασης και πληροφόρησης. 3. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 2 και, χωρίς καθυστέρηση, κάθε επακόλουθο τροποποιητικό νόμο ή τροποποίησή τους.

29 Επεξεργασία και πρόσβαση του κοινού σε επίσημα έγγραφα - Άρθρο 86 Τα δεδομένα προσωπικού χαρακτήρα σε επίσημα έγγραφα που κατέχει δημόσια αρχή ή δημόσιος ή ιδιωτικός φορέας για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον μπορούν να κοινοποιούνται από την εν λόγω αρχή ή φορέα σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται η δημόσια αρχή ή ο φορέας, προκειμένου να συμβιβάζεται η πρόσβαση του κοινού σε επίσημα έγγραφα με το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού.

30 Επεξεργασία του εθνικού αριθμού ταυτότητας - Άρθρο 87 Τα κράτη μέλη μπορούν να καθορίζουν περαιτέρω τις ειδικές προϋποθέσεις για την επεξεργασία εθνικού αριθμού ταυτότητας ή άλλου αναγνωριστικού στοιχείου ταυτότητας γενικής εφαρμογής. Στην περίπτωση αυτή, ο εθνικός αριθμός ταυτότητας ή οποιοδήποτε άλλο αναγνωριστικό στοιχείο ταυτότητας γενικής εφαρμογής χρησιμοποιείται μόνο με τις δέουσες εγγυήσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων δυνάμει του παρόντος κανονισμού.

31 Επεξεργασία στο πλαίσιο της απασχόλησης - Άρθρο Τα κράτη μέλη, μέσω της νομοθεσίας ή μέσω των συλλογικών συμβάσεων, μπορούν να θεσπίζουν ειδικούς κανόνες προκειμένου να διασφαλίζουν την προστασία των δικαιωμάτων και των ελευθεριών έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων στο πλαίσιο της απασχόλησης, ιδίως για σκοπούς πρόσληψης, εκτέλεσης της σύμβασης απασχόλησης, συμπεριλαμβανομένης της εκτέλεσης των υποχρεώσεων που προβλέπονται από τον νόμο ή από συλλογικές συμβάσεις, διαχείρισης, προγραμματισμού και οργάνωσης εργασίας, ισότητας και πολυμορφίας στον χώρο εργασίας, υγείας και ασφάλειας στην εργασία, προστασίας της περιουσίας εργοδοτών και πελατών και για σκοπούς άσκησης και απόλαυσης, σε ατομική ή συλλογική βάση, δικαιωμάτων και παροχών που σχετίζονται με την απασχόληση και για σκοπούς καταγγελίας της σχέσης απασχόλησης. 2. Οι εν λόγω κανόνες περιλαμβάνουν κατάλληλα και ειδικά μέτρα για τη διαφύλαξη της ανθρώπινης αξιοπρέπειας, των έννομων συμφερόντων και των θεμελιωδών δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, με ιδιαίτερη έμφαση στη διαφάνεια της επεξεργασίας, τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκούν κοινή οικονομική δραστηριότητα και τα συστήματα παρακολούθησης στο χώρο εργασίας. 3. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τις διατάξεις που θεσπίζει στο δίκαιό του δυνάμει της παραγράφου 1, έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε επακολουθούσα τροποποίησή τους.

32 Διασφαλίσεις και παρεκκλίσεις σχετικά με την επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς - Άρθρο Η επεξεργασία για σκοπούς αρχειοθέτησης για το δημόσιο συμφέρον ή για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς υπόκειται σε κατάλληλες εγγυήσεις, σύμφωνα με τον παρόντα κανονισμό, ως προς τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, σύμφωνα με τον παρόντα κανονισμό. Οι εν λόγω εγγυήσεις διασφαλίζουν ότι έχουν θεσπιστεί τα τεχνικά και οργανωτικά μέτρα, ιδίως για να διασφαλίζουν την τήρηση της αρχής της ελαχιστοποίησης των δεδομένων. Τα εν λόγω μέτρα μπορούν να περιλαμβάνουν τη χρήση ψευδωνύμων, εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν κατ' αυτόν τον τρόπο. Εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν από περαιτέρω επεξεργασία η οποία δεν επιτρέπει ή δεν επιτρέπει πλέον την ταυτοποίηση των υποκειμένων των δεδομένων, οι εν λόγω σκοποί εκπληρώνονται κατ' αυτόν τον τρόπο. 2. Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί να προβλέπει παρεκκλίσεις από τα δικαιώματα που αναφέρονται στα άρθρα 15, 16, 18 και 21, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, εφόσον τα εν λόγω δικαιώματα είναι πιθανό να καταστήσουν αδύνατη ή να παρακωλύσουν σοβαρά την επίτευξη των ειδικών σκοπών και εφόσον οι εν λόγω παρεκκλίσεις είναι απαραίτητες για την εκπλήρωση των εν λόγω σκοπών.

33 Διασφαλίσεις και παρεκκλίσεις σχετικά με την επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς - Άρθρο Όταν δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, το δίκαιο της Ένωσης ή κράτους μέλους μπορεί να προβλέπει παρεκκλίσεις από τα δικαιώματα που αναφέρονται στα άρθρα 15, 16, 18, 19, 20 και 21, με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, εφόσον τα εν λόγω δικαιώματα είναι πιθανό να καταστήσουν αδύνατη ή να παρακωλύσουν σοβαρά την επίτευξη των ειδικών σκοπών και εφόσον οι εν λόγω παρεκκλίσεις είναι απαραίτητες για την εκπλήρωση των εν λόγω σκοπών. 4. Όταν η επεξεργασία που αναφέρεται στις παραγράφους 2 και 3 εξυπηρετεί την ίδια στιγμή και άλλο σκοπό, οι παρεκκλίσεις εφαρμόζονται μόνο στην επεξεργασία για τους σκοπούς που προβλέπουν οι εν λόγω παράγραφοι.

34 Υποχρεώσεις τήρησης απορρήτου - Άρθρο Τα κράτη μέλη μπορούν να θεσπίζουν ειδικούς κανόνες για τον καθορισμό των εξουσιών των ελεγκτικών αρχών, οι οποίες προβλέπονται στο άρθρο 58 παράγραφος 1 στοιχεία ε) και στ), σε σχέση με υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία οι οποίοι υπέχουν, βάσει του δικαίου της Ένωσης ή κράτους μέλους ή των κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς, υποχρέωση τήρησης του επαγγελματικού απορρήτου ή άλλες αντίστοιχες υποχρεώσεις τήρησης του απορρήτου, εάν αυτό είναι αναγκαίο και αναλογικό, προκειμένου να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με την υποχρέωση τήρησης του απορρήτου. Οι εν λόγω κανόνες εφαρμόζονται μόνο σε σχέση με δεδομένα προσωπικού χαρακτήρα τα οποία ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έλαβαν ή εξασφάλισαν στο πλαίσιο δραστηριότητας που καλύπτεται από την εν λόγω υποχρέωση απορρήτου. 2. Κάθε κράτος μέλος κοινοποιεί στην Επιτροπή τους κανόνες που θεσπίζει δυνάμει της παραγράφου 1, έως τις 25 Μαΐου 2018 και, χωρίς καθυστέρηση, κάθε επακολουθούσα τροποποίησή τους.

35 Υφιστάμενοι κανόνες προστασίας των δεδομένων εκκλησιών και θρησκευτικών ενώσεων - Άρθρο Εάν σε κράτος μέλος εκκλησίες και θρησκευτικές ενώσεις ή κοινότητες εφαρμόζουν, κατά την έναρξη ισχύος του παρόντος κανονισμού, ολοκληρωμένους κανόνες οι οποίοι αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας, οι εν λόγω κανόνες μπορούν να συνεχίσουν να εφαρμόζονται, εφόσον εναρμονιστούν με τις διατάξεις του παρόντος κανονισμού. 2. Οι εκκλησίες και θρησκευτικές ενώσεις που εφαρμόζουν ολοκληρωμένους κανόνες σύμφωνα με την παράγραφο 1 του παρόντος άρθρου υπόκεινται στον έλεγχο ανεξάρτητης εποπτικής αρχής, που μπορεί να είναι εξειδικευμένος, υπό τον όρο ότι πληροί τις προϋποθέσεις του κεφαλαίου VI του παρόντος κανονισμού.

36 Παρακολούθηση της συμμόρφωσης και της εφαρμογής του Κανονισμού

37 Παρακολούθηση της συμμόρφωσης και της εφαρμογής του Κανονισμού 1. Επανεξέταση και βελτίωση των διαδικασιών διαχείρισης κινδύνου 2. Επανεξέταση όλων των δηλώσεων προστασίας Δεδομένων Προσωπικού Χαρακτήρα (privacy notices) και επιβεβαίωση ότι τα υποκείμενα είναι ενημερωμένα για το πως χρησιμοποιούνται τα δεδομένα τους 3. Διασφάλιση ότι οι διαδικασίες εξασφαλίζουν τα δικαιώματα των υποκειμένων, συμπεριλαμβανομένων της διαγραφής και της φορητότητας 4. Επανεξέταση του τρόπου διαχείρισης αιτημάτων εντός των προβλεπόμενων χρονικών ορίων 5. Επανεξέταση του τρόπου λήψης και καταγραφής της συγκατάθεσης και συμμόρφωσης με τον κανονισμό

38 Παρακολούθηση της συμμόρφωσης και της εφαρμογής του Κανονισμού 6. Επανεξέταση καταλληλότητας συστημάτων διαχείρισης των παραβιάσεων δεδομένων και των διαδικασιών και μηχανισμών εντοπισμού αυτών. 7. Εκπόνηση PIA σε τυχόν νέες διεργασίες δεδομένων 8. Ενημέρωση υφιστάμενων PIA βάσει των καθορισμένων χρονικών πλαισίων 9. Επανεξέταση υφιστάμενων και έλεγχος τυχόν νέων συμβάσεων με νέους πελάτες ή/και προμηθευτές, για την επιβεβαίωση εναρμόνισης με τον Κανονισμό. 10. Επανεκπαίδευση προσωπικού της επιχείρησης ή φορέα σε θέματα που αφορούν τον Κανονισμό.

39 Ευχαριστούμε! Διονύσιος Καλογεράς Σύμβουλος σε θέματα συστημάτων και επεξεργασίας δεδομένων Business Intelligence, ICT, Digital Growth & Security Solutions