Υπεύθυνος Προστασίας Δεδοµένων ΥΠΔ (Data Protection Officer) Ιωάννης Ιγγλεζάκης Αν. Καθηγητής Νοµικής ΑΠΘ

Transcript

1 Υπεύθυνος Προστασίας Δεδοµένων ΥΠΔ (Data Protection Officer) Ιωάννης Ιγγλεζάκης Αν. Καθηγητής Νοµικής ΑΠΘ

2 Εισαγωγή του θεσµού του ΥΠΔ Ο υποχρεωτικός ορισµός του ΥΠΔ για µεγάλες κατηγορίες φορέων, όπως είναι δηµόσιες υπηρεσίες, ΝΠΔΔ και επιχειρήσεις, βάσει του Κανονισµού 2016/679 βρίσκεται στην κατεύθυνση της επιβολής της πραγµατικής εφαρµογής του νέου θεσµικού πλαισίου. Ο ΥΠΔ λειτουργεί σε άλλες χώρες εδώ και δεκαετίες, αποκεντρωµένα, ως ανεξάρτητος ελεγκτής, για την εφαρµογή των διατάξεων για την προστασία δεδοµένων.

3 Χαρακτηριστικά του θεσµού του ΥΠΔ Ο ΥΠΔ εντάσσεται στο προσωπικό ενός οργανισµού ή µιας επιχείρησης δίχως να δεσµεύεται από το διευθυντικό δικαίωµα ως προς την ενάσκηση των καθηκόντων του. Παράλληλα, οι αρµοδιότητές του είναι µόνο συµβουλευτικές, όχι αποφασιστικές. Δεν µπορεί να επιβάλλει το νόµο µέσα στον οργανισµό ή την επιχείρηση όπου εργάζεται, ούτε να επιβάλλει κυρώσεις ή απαγορεύσεις.

4 ΥΠΟΒΑΘΡΟ ΤΟΥ ΘΕΣΜΟΥ H Οδηγία 95/46 προβλέπει ρητά τον ΥΠΔ ως προαιρετική δυνατότητα Κανονισµός 45/2001 προστασία δεδοµένων από τα όργανα της ΕΕ ορίζει ως υποχρεωτικό ΥΠΔ στις υπηρεσίες της ΕΕ και θεσπίζει τον Ευρωπαίο Επόπτη Προστασίας Δεδοµένων Στη Γερµανία είναι υποχρεωτικός ο ορισµός ΥΠΔ στον δηµόσιο και ιδιωτικό τοµέα από το 1977 βλ. Οµοσπονδιακός ΥΠΔ:

5 Υπόχρεοι σε διορισµό Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδοµένων στον δηµόσιο τοµέα και σε ορισµένους φορείς του ιδιωτικού τοµέα. Δεν υπάρχει αριθµητικό όριο, όπως στην πρόταση του Κανονισµού (για επιχειρήσεις>250 εργαζόµενοι) Εξαιρούνται τα δικαστήρια - Αρθρ. 37 ΓΚΠΔ & άρθρ. 32 Οδηγία 2016/680 (όχι όµως η Αστυνοµία, Λιµενικό κλπ.)

6 Υπόχρεοι σε διορισµό α) όταν η επεξεργασία διενεργείται από δηµόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρµοδιότητας, H έννοια των δηµόσιων αρχών καθορίζεται από το εθνικό δίκαιο. Ως δηµόσιες αρχές νοούνται οι εθνικές, περιφερειακές και οι τοπικές αρχές -> ΟΤΑ (Περιφερεια, Δήµοι) Ερώτηµα: Κάθε διοικητική µονάδα ή τµήµα πρέπει να ορίζει ΥΠΔ; Απάντηση: ΥΠΔ ορίζεται από τον ΥπΕπεξ -> άρα, όποιος καθορίζει τους σκοπούς της επεξεργασίας ορίζει και ΥΠΔ, π.χ. σε ένα Υπουργείο κάθε Γ.Γ. και σε κάθε ΝΠΔΔ που επιβλέπεται από Υπουργείο.

7 Ένας ΥΠΔ για περισσότερες αρχές Αρθρ. 37 παρ. 3 Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δηµόσια αρχή ή δηµόσιος φορέας, ένας µόνο υπεύθυνος προστασίας δεδοµένων µπορεί να ορίζεται για πολλές τέτοιες αρχές ή πολλούς τέτοιους φορείς, λαµβάνοντας υπόψη την οργανωτική τους δοµή και το µέγεθός τους.

8 Δηµόσιες αρχές Φορείς που τυπικά ανήκουν στον ιδιωτικό τοµέα, αλλά ασκούν δηµόσιες αρµοδιότητες, θεωρούνται δηµόσιοι φορείς και έχουν υποχρέωση ορισµού ΥΠΔ δηµόσιες µεταφορές, παροχή ενέργειας & νερού, οδικές υποδοµές, ραδιοτηλεοπτικοί οργανισµοί, νοµικά πρόσωπα που παρέχουν υπηρεσίες δηµόσιας ωφέλειας, π.χ. ΟΛΠ, ΣΤΑΣΥ, ΕΥΔΑΠ, ΔΕΔΔΗΕ, ΕΡΤ, ΔΣΘ, ΤΕΕ.

9 Υπόχρεοι σε διορισµό β) Όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρµογής και/ή των σκοπών τους, απαιτούν τακτική και συστηµατική παρακολούθηση των υποκειµένων των δεδοµένων σε µεγάλη κλίµακα. Εδώ εµπίπτουν: Ιδιωτικές επιχειρήσεις, µη κυβερνητικές οργανώσεις, αστικές εταιρίες, σωµατεία Βασικές δραστηριότητες: απαραίτητες για την εκπλήρωση των σκοπών του υπεύθυνου επεξεργασίας, αλλά κι εκείνες που είναι αναπόσπαστο µέρος των δραστηριοτήτων του. Ιδιωτικές εταιρίες φύλαξης Επεξεργασίες για µισθοδοσία ή για υποστήριξη υποδοµών ηλ. επικοινωνιών θεωρούνται παρεπόµενες λειτουργίες εξαίρεση εάν µια εταιρία µηχανοργάνωσης έχει αυτή ως κύρια δραστηριότητα µε outscoucing

10 Αιτιολ. σκ. 91 (συνέχεια) πράξεις επεξεργασίας µεγάλης κλίµακας που στοχεύουν στην επεξεργασία σηµαντικής ποσότητας δεδοµένων προσωπικού χαρακτήρα σε περιφερειακό, εθνικό ή υπερεθνικό επίπεδο, οι οποίες θα µπορούσαν να επηρεάσουν µεγάλο αριθµό υποκειµένων των δεδοµένων και οι οποίες είναι πιθανόν να έχουν ως αποτέλεσµα υψηλό κίνδυνο, για παράδειγµα λόγω της ευαισθησίας τους, όταν σύµφωνα µε τα υφιστάµενα επίπεδα τεχνολογικής γνώσης χρησιµοποιείται µια νέα τεχνολογία σε ευρεία κλίµακα, καθώς και για άλλες πράξεις επεξεργασίας οι οποίες έχουν ως αποτέλεσµα υψηλό κίνδυνο για τα δικαιώµατα και τις ελευθερίες των υποκειµένων των δεδοµένων, ιδίως όταν οι πράξεις αυτές δυσχεραίνουν την άσκηση των δικαιωµάτων των υποκειµένων των δεδοµένων.

11 Οµάδα εργασίας αρθρ. 29- Γνώµη 248 Κριτήρια για την επεξεργασία σε µεγάλη κλίµακα: Ο αριθµός των υποκειµένων των δεδοµένων Ο όγκος των δεδοµένων και η έκτασή τους Η διάρκεια ή η µονιµότητα της επεξεργασίας τους Το γεωγραφικό εύρος της επεξεργασίας

12 Οµάδα εργασίας αρθρ. 29- Γνώµη 248 Παραδείγµατα όπως έχουµε επεξεργασία σε µεγάλη κλίµακα: Επεξεργασία δεδοµένων ασθενών στο πλαίσιο του κύκλου εργασιών ενός νοσοκοµείου Επεξεργασία δεδοµένων σχετικά µε τις µετακινήσεις ατόµων που χρησιµοποιούν δηµόσιες µεταφορές (µε καταγραφή σε κάρτες µετακίνησης) Επεξεργασία παρακολούθησης δεδοµένων πελατών, real time, µε γεωεντοπισµό Επεξεργασία δεδοµένων πελατών τραπεζών, Ασφαλιστικών εταιριών Επεξεργασία δεδοµένων για διαφηµιστικούς σκοπούς µέσω ανάλυσης συµπεριφοράς από µηχανή αναζήτησης Επεξεργασία δεδοµένων (περιεχοµένου, κίνησης, θέσης) από παρόχους πρόσβασης

13 Τι δεν είναι επεξεργασία σε µεγάλη κλίµακα Επεξεργασία δεδοµένων από ιδιώτη ιατρό Επεξεργασία δεδοµένων από δικηγόρο Αιτιολογ. σκ. 91: Η επεξεργασία δεδοµένων προσωπικού χαρακτήρα δεν θα πρέπει να θεωρείται ότι είναι µεγάλης κλίµακας, εάν η επεξεργασία αφορά δεδοµένα προσωπικού χαρακτήρα ασθενών ή πελατών ιδιώτη ιατρού, άλλου επαγγελµατία του τοµέα της υγείας ή δικηγόρου. Διαφορετική η αντιµετώπιση ιατρικού κέντρου όπου µπορεί να υφίσταται επεξεργασία δεδοµένων σε µεγάλη κλίµακα

14 Μεγαδεδοµένα Big Data Πληροφορίες που διευκολύνουν τη συλλογή, αποθήκευση, διαχίριση, ανάλυση και οπτικοποίηση σε real time, εκτεταµένων συνόλων δεδοµένων µε ετερογενή χαρακτηριστικά. Καθοριστικό στοιχείο ο όγκος τους, η εν δυνάµει αξιοποίησή τους για σκοπούς εξαγωγής συµπερασµάτων, αλλά και ο ετερογενής χαρακτήρας τους, δηλ. η ποικίλη προέλευσή τους. Βλ. Google Trends -

15 τακτική και συστηµατική παρακολούθηση των υποκειµένων των δεδοµένων Δεν αρκεί η µεγάλη κλίµακα της επεξεργασίας δεδοµένων Αιτιολογ. σκ. 24: συµπεριφορά υποκειµένου των δεδοµένων, θα πρέπει να εξακριβωθεί κατά πόσον φυσικά πρόσωπα παρακολουθούνται στο Διαδίκτυο, συµπεριλαµβανοµένης της δυνητικής µετέπειτα χρήσης τεχνικών επεξεργασίας δεδοµένων προσωπικού χαρακτήρα οι οποίες συνίστανται στη διαµόρφωση του «προφίλ» ενός φυσικού προσώπου, ιδίως µε σκοπό να ληφθούν αποφάσεις που το αφορούν ή να αναλυθούν ή να προβλεφθούν οι προσωπικές προτιµήσεις, οι συµπεριφορές και οι νοοτροπίες του. Παρακολούθηση γίνεται, επίσης, µε τη λειτουργία κλειστού κυκλώµατος τηλεόρασης Συστηµατική παρακολούθηση σηµαίνει συνεχιζόµενη παρακολουθηση

16 τακτική και συστηµατική παρακολούθηση των υποκειµένων των δεδοµένων Οµαδα εργασίας αρθρ. 29: σηµαίνει ότι εφαρµόζεται από ένα σύστηµα ή είναι προκαθορισµένη, οργανωµένη ή εφαρµοσµένη µέθοδος ή αποτελεί µέρος γενικότερου σχεδιασµού για τη συλλογή δεδοµένων και διεξάγεται ως µέρος µιας στρατηγικής. Παραδείγµατα: η λειτουργία ενός τηλεπικοινωνιακού δικτύου, παροχή τηλεπικοινωνιακών υπηρεσιών, προώθηση διαφηµιστικών µηνυµάτων , προώθηση προϊόντων µε δηµιουργία προφίλ, αξιολόγηση της φερεγγυότητας, σύναψη ασφαλιστικών συµβάσεων, πρόληψη απάτης και βρώµικου χρήµατος, loyalty cards, εντοπισµός τοποθεσίας κινητών, συµπεριφορική διαφήµιση, δεδοµένα υγείας από φορητές συσκευές, συνδεδεµένες συσκευές, έξυπνοι µετρητές, έξυπνα αυτοκίνητα, smart home κλπ.

17 Συµπέρασµα: ποιοι πρέπει να ορίσουν ΥΠΔ Νοσοκοµεία Επιχειρήσεις υπηρεσιών φύλαξης χώρων και εγκαταστάσεων Εταιρίες διαχείρισης µέσων µεταφοράς Επεξεργασία δεδοµένων καταναλωτών σε πραγµατικό χρόνο για την εξαγωγή στατιστικών Ασφαλιστικές εταιρίες Τράπεζες Site που κάνουν χρήση συµπεριφορικής διαφήµισης Πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών Εταιρίες µηχανοργάνωσης

18 Υπόχρεοι σε διορισµό γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν µεγάλης κλίµακας επεξεργασία ειδικών κατηγοριών δεδοµένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδοµένων που αφορούν ποινικές καταδίκες και αδικήµατα που αναφέρονται στο άρθρο 10.

19 παραδείγµατα ΜΚΟ που ασχολούνται µε θέµατα µετανάστευσης ή προσφύγων ή µε θέµατα υγείας Πολιτικά κόµµατα Συνδικαλιστικές οργανώσεις Εκκλησιαστικές οργανώσεις Φιλοσοφικές ενώσεις και σωµατεία Υπηρεσίες υγείας και επιχειρήσεις ή ιδρύµατα που ασχολούνται µε την έρευνα στον τοµέα της γενετικής Ασφαλιστικές εταιρίες

20 Ένας ή περισσότεροι ΥΠΔ Ο υπεύθυνος είτε ο εκτελών την επεξεργασία µπορεί να είναι υπόχρεοι σε ορισµό ΥΠΔ Μια µικρή επιχείρηση πώλησης ηλεκτρικών συσκευών χρησιµοποιεί τις υπηρεσίες ενός εκτελούντος την επεξεργασία που παρέχει υπηρεσίες ανάλυσης διαδικτυακών επισκέψεων και στοχευµένης διαφήµισης. Η επιχείρηση δεν έχει υποχρέωση ορισµού ΥΠΔ, αλλά ο εκτελών την επεξεργασία που έχει πολλούς τέτοιους πελάτες, κάνει επεξεργασία σε µεγάλη κλίµακα και οφείλει να ορίσει ΥΠΔ. Όµιλος επιχειρήσεων µπορεί να διορίσει ένα µόνο υπεύθυνο προστασίας δεδοµένων, υπό την προϋπόθεση ότι κάθε εγκατάσταση έχει εύκολη πρόσβαση στον υπεύθυνο προστασίας δεδοµένων.

21 Όµιλος επιχειρήσεων Προκειµένου να εξασφαλιστεί η προσβασιµότητα, θα πρέπει τα στοιχεία επικοινωνίας του ΥΠΔ να είναι δηµοσιευµένα, αλλά και να είναι σε θέση αυτός, και µε τη βοήθεια συνεργατών, να επικοινωνεί αποτελεσµατικά µε τα υποκείµενα των δεδοµένων και να συνεργάζεται µε τις εποπτικές αρχές. Αυτό σηµαίνει ότι η επικοινωνία µε τον ΥΠΔ θα πρέπει να γίνεται στη γλώσσα ή τις γλώσσες που χρησιµοποιούν η ανεξάρτητη εποπτική αρχή και τα υποκείµενα των δεδοµένων. Ο ΥΠΔ µπορεί να βρίσκεται στις ίδιες εγκαταστάσεις µε τους εργαζόµενους ή σε ανοικτή γραµµή επικοινωνίας.

22 Προσόντα διορισµού ΥΠΔ Άρθρ. 37 παρ. 5 ΓΚΠΔ: Ο υπεύθυνος προστασίας δεδοµένων διορίζεται βάσει επαγγελµατικών προσόντων και ιδίως βάσει της εµπειρογνωσίας που διαθέτει στον τοµέα του δικαίου και των πρακτικών περί προστασίας δεδοµένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39. Αιτιολογ. σκ. 97: «ένα πρόσωπο µε ειδικές γνώσεις στο δίκαιο και στις πρακτικές προστασίας των δεδοµένων θα πρέπει να παρέχει συνδροµή στον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία κατά την παρακολούθηση της εσωτερικής συµµόρφωσης προς τον παρόντα κανονισµό.»

23 Προσόντα διορισµού ΥΠΔ «Το αναγκαίο επίπεδο εµπειρίας θα πρέπει να καθορίζεται ειδικότερα ανάλογα µε τις πράξεις επεξεργασίας δεδοµένων που διενεργούνται και από την προστασία την οποία απαιτούν τα δεδοµένα προσωπικού χαρακτήρα που επεξεργάζονται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία. Οι εν λόγω υπεύθυνοι προστασίας δεδοµένων, ανεξάρτητα από το κατά πόσον είναι υπάλληλοι του υπευθύνου επεξεργασίας, θα πρέπει να είναι σε θέση να εκτελούν τις υποχρεώσεις και τα καθήκοντά τους µε ανεξάρτητο τρόπο».

24 Προσόντα διορισµού ΥΠΔ Οµάδα άρθρου 29: το επίπεδο της εξειδίκευσης δεν προσδιορίζεται αυστηρά, αλλά πρέπει να βρίσκεται σε αντιστοιχία προς την επικινδυνότητα, την πολυπλοκότητα και τον όγκο των επεξεργασιών δεδοµένων από µια συγκεκριµένη οντότητα. Επίσης, λαµβάνεται υπόψη αν ο υπεύθυνος επεξεργασίας διαβιβάζει συστηµατικά προσωπικά δεδοµένα σε τρίτες χώρες ή αν τέτοιες διαβιβάσεις είναι περιστασιακές. Γνώση του κλάδου στον οποίο καλείται να υπηρετήσει & των πρακτικών του οργανισµού ή της Διοίκησης

25 Προσόντα διορισµού ΥΠΔ Χρόνια εµπειρίας Πιστοποίηση εµπειρίας δεν προβλέπεται στον Κανονισµό Ωστόσο, φορείς πιστοποίησης TUV Hellas, IAPP Ικανότητα του ΥΠΔ να εκπληρώνει τα καθήκοντα που αναφέρονται στο άρθρο 39 ΓΚΠ: προσωπική επάρκεια και γνώση, θέση µέσα στον οργανισµό.

26 Ικανότητες και προσόντα του ΥΠΔ Καθήκον του ΥΠΔ η προώθηση κουλτούρας προστασίας δεδοµένων µέσα στον οργανισµό και εφαρµογή σηµαντικών διατάξεων του ΓΚΠΔ, όπως: Αρχές προστασίας Δικαιώµατα προστασίας Προστασία δεδοµένων από τον σχεδιασµό και εξ ορισµού Αρχεία δραστηριοτήτων επεξεργασίας Ασφάλεια επεξεργασίας Ενηµέρωση για παραβιάσεις δεδοµένων

27 Δηµοσιότητα ΥΠΔ Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία δηµοσιεύουν τα στοιχεία επικοινωνίας του ΥΠΔ και τα ανακοινώνουν στην ΑΠΔΠΧ. Σκοπός της δηµοσιότητας αυτής είναι να διασφαλιστεί ότι τα υποκείµενα των δεδοµένων και η ανεξάρτητη αρχή µπορούν να επικοινωνήσουν µε τον ΥΠΔ χωρίς να απαιτείται διαµεσολάβηση άλλου µέσα στον οργανισµό. Τα στοιχεία επικοινωνίας του ΥΠΔ πρέπει να περιλαµβάνουν όλες τις πληροφορίες που επιτρέπουν στα υποκείµενα των δεδοµένων και την ΑΠΔΠΧ να βρουν τον ΥΠΔ εύκολα: α) Ονοµατεπώνυµο, β) Διεύθυνση, γ) Τηλεφωνικός Αριθµός, δ) διεύθυνση ηλ. Ταχυδροµείου, ε) λογαριασµός σε µέσα κοινωνικής δικτύωσης

28 Δηµοσιότητα ΥΠΔ Υποχρέωση απόδειξης ορισµού ΥΠΔ => θα πρέπει να εκδίδεται έγγραφη πράξη ορισµού ΥΠΔ, ώστε να είναι σαφής ο χρόνο διορισµού του. Στον Δηµόσιο και στον Ιδιωτικό Τοµέα. Στο Δηµόσιο, πρέπει να εκδίδεται ανακοίνωση και να αναρτάται στη Διαύγεια. Στον ιδιωτικό τοµέα, η αρχή της διαφάνειας επιβάλλει την ανακοίνωση διορισµού και να τηρείται αρχείο, από το οποίο να προκύπτει ότι έγινε αξιολόγηση των προσόντων διορισµού του ΥΠΔ. Η ΑΠΔΠΧ πρέπει να δηµοσιεύει στο διαδίκτυο λίστα µε ΥΠΔ.

29 Εσωτερικός εξωτερικός ΥΠΔ Ο ΥΠΔ µπορεί να είναι µέλος του προσωπικού του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του µε σύµβαση παροχής υπηρεσιών. Ο εσωτερικός ΥΠΔ έχει γνώση των επεξεργασιών δεδοµένων, ωστόσο, δεν έχει πλήρη ανεξαρτησία καθηκόντων Εξωτερική εταιρία σε ρόλο ΥΠΔ: κάθε άτοµο που παρέχει υπηρεσίες να διαθέτει προσόντα

30 Ο Ρόλος του ΥΠΔ Άρθρο 38 παρ. 1 ΓΚΠΔ: Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδοµένων συµµετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήµατα τα οποία σχετίζονται µε την προστασία δεδοµένων προσωπικού χαρακτήρα. Διασφάλιση του θεσµού του ΥΠΔ µε θεσµικές εγγυήσεις για την άσκηση του έργου του.

31 Συµµετοχή του ΥΠΔ Συµµετοχή σε όλες τις συζητήσεις που αφορούν την προστασία δεδοµένων, σε αρχικό στάδιο. Πρέπει να προσκαλείται και να παρακολουθεί τακτικά τις συνεδριάσεις των στελεχών της διοίκησης Να είναι παρών όταν λαµβάνονται σχετικές αποφάσεις Να καταγράφεται η γνώµη του όταν διαφωνεί µε τις αποφάσεις της διοίκησης

32 Πόροι και πρόσβαση σε δεδοµένα Αρθρ. 38 παρ. 2: Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία στηρίζουν τον υπεύθυνο προστασίας δεδοµένων στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 39 παρέχοντας απαραίτητους πόρους για την άσκηση των εν λόγω καθηκόντων και πρόσβαση σε δεδοµένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και πόρους απαραίτητους για τη διατήρηση της εµπειρογνωσίας του. Σηµαντικό, αν είναι µέλος του προσωπικού, να αµείβεται επιπρόσθετα για την ενάσκηση των καθηκόντων του.

33 Πόροι και πρόσβαση σε δεδοµένα Ενεργητική υποστήριξη της λειτουργίας του ΥΠΔ από τα υψηλότερα στελέχη της διοίκησης Επαρκής χρόνος για τον ΥΠΔ προκειµένου να εκπληρώσει τα καθήκοντά του Επαρκής υποστήριξη ως προς τους οικονοµικούς πόρους, τις υποδοµές και το προσωπικό όπου είναι αναγκαίο Επίσηµη ανακοίνωση του ορισµού ΥΠΔ προς όλο το προσωπικό, ώστε να γίνει γνωστή η ύπαρξή του στο πλαίσιο του φορέα Αναγκαία πρόσβαση σε άλλες υπηρεσίες (ανθρώπινο δυναµικό, νοµική υπηρεσία, πληροφορική) ώστε να λαµβάνει υποστήριξη Συνεχής εκπαίδευση

34 Πόροι και πρόσβαση σε δεδοµένα Γραφείο ΥΠΔ Πρέπει να διαµορφώνεται ένας χώρος γραφείου αποκλειστικά για τον ΥΠΔ, ώστε να διασφαλίζεται η ανεξαρτησία του και το απόρρητο των ενεργειών του Προσωπικό Ανάλογα µε την έκταση του φορέα, µπορεί να απαιτείται αυτόνοµη γραµµατειακή υποστήριξη και προσωπικό: Έναν διοικητικό υπάλληλο Έναν υπάλληλο µε γνώσεις τεχνολογίας πληροφορικής και επικοινωνιών Έναν νοµικό

35 Πόροι και πρόσβαση σε δεδοµένα Τεχνικός εξοπλισµός (H/Y, λογισµικό ασφάλειας) Πρόσβαση σε όλα τα δεδοµένα και τις επεξεργασίες δεδοµένων (δεν νοείται απόρρητο έναντι του ΥΠΔ) Πόροι για τη διατήρηση της εµπειρογνωσίας (βιβλιοθήκη κλπ.)

36 Ανεξαρτησία του ΥΠΔ Αρθρ. 38 παρ. 3 ΓΚΠΔ Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδοµένων δεν λαµβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του. Αυτό σηµαίνει ότι ΥΠΔ δεν πρέπει να καθοδηγούνται στον χειρισµό υποθέσεων, ούτε και για να πάρουν συγκεκριµένη θέση

37 Λογοδοσία και ετήσια έκθεση Ο υπεύθυνος προστασίας δεδοµένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία. Ο ΥΠΔ δεν φέρει ευθύνη για τυχόν παραβάσεις των διατάξεων για την προστασία δεδοµένων στις οποίες υποπίπτει ο υπεύθυνος ή ο εκτελών την επεξεργασία, οι οποίοι βαρύνονται µε τη συµµόρφωση Συνίσταται η υποβολή ετήσιας έκθεσης ως αναγκαία καλή πρακτική µε στόχο την εφαρµογή της αρχής της λογοδοσίας.

38 Πρόσωπο επικοινωνίας Αρθρ. 38 παρ. 4 ΓΚΠΔ Τα υποκείµενα των δεδοµένων µπορούν να επικοινωνούν µε τον υπεύθυνο προστασίας δεδοµένων για κάθε ζήτηµα σχετικό µε την επεξεργασία των δεδοµένων τους προσωπικού χαρακτήρα και µε την άσκηση των δικαιωµάτων τους δυνάµει του παρόντος κανονισµού.

39 Απόρρητο και εµπιστευτικότηα Αρθρ. 38 παρ. 5 ΓΚΠΔ Ο υπεύθυνος προστασίας δεδοµένων δεσµεύεται από την τήρηση του απορρήτου ή της εµπιστευτικότητας σχετικά µε την εκτέλεση των καθηκόντων του, σύµφωνα µε το δίκαιο της Ένωσης ή του κράτους µέλους Λόγος ευθύνης του ΥΠΔ η µη τήρηση του απορρήτου και της εµπιστευτικότητας

40 Σύγκρουση συµφερόντων Αρθρ. 38 παρ. 6 ΓΚΠΔ Ο υπεύθυνος προστασίας δεδοµένων µπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συµφερόντων (conflict of interest) Περιπτώσεις σύγκρουσης συµφερόντων: θέσεις ανώτερων στελεχών, επικεφαλής τµηµάτων (πληροφορικής, ανθρώπινου δυναµικού, πληροφορικής) ή όταν ο υπάλληλος που πρόκειται να αναλάβει καθήκοντα ΥΠΔ καθορίζει την επεξεργασία

41 Σύγκρουση συµφερόντων καλές πρακτικές Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία πρέπει: Να καθορίζουν τις θέσεις που εµπίπτουν στο ασυµβίβαστο Να συντάσσουν εσωτερικούς κανονισµούς Να παρέχουν διευκρινήσεις για συγκρούσεις συµφερόντων Να διακηρύσσουν ότι ο ΥΠΔ δεν έχει σύγκρουση συµφερόντων Να συµπεριλάβουν σχετικές διασφαλίσεις στους εσωτερικούς κανονισµούς του οργανισµού

42 Δεοντολογία του ΥΠΔ Πρότυπα δεοντολογίας κατά τον κανονισµό 45/2001: Α) καθήκον εµπιστοσύνης ως προς την προστασία δεδοµένων εντός του οργανισµού και ειδικότερα: Λαµβάνει όλα τα µέτρα για να διασφαλίσει την εφαρµογή των κανόνων προστασίας δεδοµένων του οργανισµού του Ασκεί επαγγελµατικά ανεξάρτητη κρίση και παρέχει συµβουλές στον υπεύθυνο επεξεργασίας και στα υποκείµενα των δεδοµένων Κατά το χειρισµό καταγγελιών ενεργεί µε επιµέλεια και ταχύτητα Β) Αναγκαιότητα της γνώσης => πρόσβαση στα δεδοµένα Γ) Καθήκον εµπιστευτικότητας δεν πρέπει να αποκαλύπτει πληροφορίες που µαθαίνει κατά την άσκηση των καθηκόντων του Δ) Σύγκρουση συµφερόντων υπάρχει όταν τα άλλα καθήκοντα που έχει στον οργανισµό µπορέι να έχουν αρνητικά αποτελέσµατα

43 Καθήκοντα του ΥΠΔ Αρθρ. 39 ΓΚΠΔ - Ο υπεύθυνος προστασίας δεδοµένων έχει τουλάχιστον τα ακόλουθα καθήκοντα: ( ) ( ) Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδοµένων λαµβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται µε τις πράξεις επεξεργασίας, συνεκτιµώντας τη φύση, το πεδίο εφαρµογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.

44 Καθήκοντα του ΥΠΔ ενηµερώνει και συµβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισµό και από άλλες διατάξεις της Ένωσης ή του κράτους µέλους σχετικά µε την προστασία δεδοµένων Για το σκοπό αυτό παρακολουθεί και καταγράφει: Τις αποφάσεις και οδηγίες της ΑΠΔΠΧ Τις Γνωµοδοτήσεις της οµάδας εργασίας του άρθρου 29 Τη νοµολογία των εθνικών δικαστηρίων, του ΕΔΔΑ κλπ.

45 Καθήκοντα του ΥΠΔ Βέλτιστες πρακτικές σχετικά µε την ενηµέρωση του υπεύθυνου επεξεργασίας και του προσωπικού του: Διοργάνωση εκπαιδευτικών ηµερίδων σε τακτική βάση Παρουσία του ΥΠΔ σε συνεδριάσεις της διοίκησης Δηµιουργία εσωτερικού διαδικτυακού τόπου µε οδηγίες και συµβουλές για την προστασία δεδοµένων Σύνταξη άρθρων και εκθέσεων σε newsletter Σύνταξη ενηµερωτικών εγχειριδίων κλπ. Εκθέσεις συµµόρφωσης σε τακτική βάση.

46 Καθήκοντα του ΥΠΔ παρακολουθεί τη συµµόρφωση µε τον παρόντα κανονισµό, µε άλλες διατάξεις της Ένωσης ή του κράτους µέλους σχετικά µε την προστασία δεδοµένων και µε τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση µε την προστασία των δεδοµένων προσωπικού χαρακτήρα, συµπεριλαµβανοµένων της ανάθεσης αρµοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συµµετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων,

47 Καθήκοντα του ΥΠΔ παρέχει συµβουλές, όταν ζητείται, όσον αφορά την εκτίµηση αντικτύπου σχετικά µε την προστασία των δεδοµένων και παρακολουθεί την υλοποίησή της σύµφωνα µε το άρθρο 35 ενεργεί ως σηµείο επικοινωνίας για την εποπτική αρχή για ζητήµατα που σχετίζονται µε την επεξεργασία, περιλαµβανοµένης της προηγούµενης διαβούλευσης που αναφέρεται στο άρθρο 36, και πραγµατοποιεί διαβουλεύσεις, ανάλογα µε την περίπτωση, για οποιοδήποτε άλλο θέµα.

48 Καθήκοντα του ΥΠΔ συνεργάζεται µε την εποπτική αρχή Ενεργεί ως σηµείο επικοινωνίας µε την αρχή και διευκολύνει την πρόσβαση της αρχής στα έγγραφα και τις πληροφορίες του οργανισµού Μπορεί να διαβουλεύεται µε την αρχή για οποιοδήποτε θέµα χωρίς να το δεσµεύει το καθήκον εχεµύθειας