ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ME THN YΠΟΣΤΗΡΙΞΗ 13 η Ευρωπαϊκή Ημέρα Προστασίας Προσωπικών Δεδομένων Δευτέρα 28 Ιανουαρίου 2019 Ενημερωτική Ημερίδα: «Γενικός Κανονισμός Προστασίας Δεδομένων: Χρήσιμες επισημάνσεις οκτώ μήνες μετά» Ο θεσμός του Υπευθύνου Προστασίας Δεδομένων στο νέο νομοθετικό πλαίσιο προστασίας δεδομένων Έλενα Μαραγκού, Δικηγόρος ΔΝ, Ειδικός Επιστήμονας ΑΠΔΠΧ
Υπεύθυνος Προστασίας Δεδομένων Ο Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων εισάγει για πρώτη φορά την υποχρέωση για ορισμό ΥΠΔ υπό περιπτώσεις και περιέχει αναλυτικές διατάξεις για τον ρόλο, τις εγγυήσεις και τα καθήκοντα του, θέτοντας τον στο επίκεντρο του νομικού πλαισίου. 2
Προϋποθέσεις ορισμού ΥΠΔ (αρ. 37 παρ.1-4) Υποχρεωτικός ορισμός Όταν η επεξεργασία διενεργείται από Δημόσια αρχή ή φορέα. Εξαιρούνται τα δικαστήρια όταν ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα Όταν οι βασικές ( core ) δραστηριότητες επεξεργασίας απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων των άρθρων 9 και 10 ΓΚΠΔ (ευαίσθητα δεδομένα και δεδομένα που αφορούν σε ποινικές καταδίκες ή/και αδικήματα). 3
Υποχρεωτικός Ορισμός (δημόσια αρχή) στην έννοια της δημόσιας αρχής ή δημόσιου φορέα που υποχρεούται να ορίσει υπεύθυνο προστασίας δεδομένων εμπίπτουν και άλλα φυσικά ή νομικά πρόσωπα δημοσίου ή ιδιωτικού δικαίου που εκπληρώνουν δημόσια καθήκοντα ή ασκούν δημόσια εξουσία, όπως υπηρεσίες δημοσίων μεταφορών, ύδρευσης και παροχής ενέργειας, οδικές υποδομές, δημόσια ραδιοτηλεόραση, κατασκευή εργατικών κατοικιών, ή πειθαρχικά όργανα για νομοθετικά κατοχυρωμένα επαγγέλματα. Η δραστηριότητα του υπευθύνου προστασίας καλύπτει όλες τις πράξεις επεξεργασίας που διενεργούνται, περιλαμβανομένων και όσων δεν σχετίζονται με την εκπλήρωση δημόσιου καθήκοντος ή άσκησης δημόσιας εξουσίας (π.χ. διαχείριση βάσης δεδομένων υπαλλήλων). 4
Βασικές Δραστηριότητες Βασικές δραστηριότητες: Αποτελούν αναπόσπαστο μέρος της δραστηριότητας του υπευθύνου ή εκτελούντος την επεξεργασία - όχι παρεπόμενη δραστηριότητα Καίριες πράξεις που είναι αναγκαίες για επίτευξη των στόχων π.χ. δεδομένα υγείας σε νοσοκομεία (ιατρικοί φάκελοι), δεδομένα εικόνας και ήχου από εταιρία παροχής υπηρεσιών ασφαλείας. 5
Κριτήρια καθορισμού επεξεργασίας μεγάλης κλίμακας Ο αριθμός των εμπλεκόμενων υποκειμένων των δεδομένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του συναφούς πληθυσμού Ο όγκος των δεδομένων και/ή το εύρος των διαφόρων στοιχείων δεδομένων που υφίστανται επεξεργασία Η διάρκεια ή ο μόνιμος χαρακτήρας της δραστηριότητας επεξεργασίας δεδομένων Η γεωγραφική έκταση της δραστηριότητας επεξεργασίας. - π.χ. νοσοκομεία, ασφαλιστικές εταιρίες, τράπεζες, πάροχοι υπηρεσιών τηλεφωνίας ή διαδικτύου, κάρτες πολλαπλών διαδρομών (ATH.ENACARD του ΟΑΣΑ) - επεξεργασία δεδομένων ασθενών από ιδιώτη ιατρό και η επεξεργασία δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα από ιδιώτη δικηγόρο δεν συνιστούν επεξεργασία μεγάλης κλίμακας. 6
Περιεχόμενο τακτικής και συστηματικής παρακολούθησης Παρακολούθηση συμπεριφοράς, όχι μόνο επιγραμμικά - συντελείται τακτικά : σε συνεχή βάση ή σε συγκεκριμένα χρονικά διαστήματα για συγκεκριμένη χρονική περίοδο, τακτικά ή κατ επανάληψη σε σταθερές χρονικές στιγμές, αδιαλείπτως ή περιοδικά και συστηματικά : σύμφωνα με κάποιο σύστημα, προκαθορισμένα, οργανωμένα ή μεθοδικά, στο πλαίσιο γενικότερου σχεδίου για τη συλλογή δεδομένων, στο πλαίσιο στρατηγικής. π.χ. διαδικτυακή έρευνα συμπεριφοράς, profiling και βαθμολόγηση για σκοπούς εκτίμησης κινδύνου, εντοπισμός θέσης μέσω δεδομένων κινητού τηλεφώνου, κάρτες «επιβράβευσης πίστης» ( loyalty cards ), κλειστά κυκλώματα τηλεόρασης κ.λπ. 7
Υποχρεωτικός χαρακτήρας; Σε περίπτωση αμφιβολίας σχετικά με την υποχρέωση διορισμού ενδείκνυται η έγγραφη τεκμηρίωση κατόπιν εσωτερικής ανάλυσης με βάση την αρχή της λογοδοσίας (βλ. και άρθρο 24 παρ. 1 ΓΚΠΔ). Επικαιροποίηση της τεκμηρίωσης πρέπει να γίνεται, όταν οι υπεύθυνοι επεξεργασίας ή οι εκτελούντες την επεξεργασία αναλαμβάνουν νέες δραστηριότητες ή παρέχουν νέες υπηρεσίες ή όποτε άλλοτε κριθεί απαραίτητο. 8
Προαιρετικός ορισμός ΥΠΔ Σε περίπτωση κατά την οποία διορισθεί προαιρετικά ΥΠΔ ισχύουν υποχρεωτικά οι απαιτήσεις σχετικά με τον ορισμό, θέση και καθήκοντα του (οι διατάξεις των άρθρων 37-39 ΓΚΠΔ εφαρμόζονται πλήρως). - Η Ομάδα του άρθρου 29 ενθαρρύνει τον ορισμό ΥΠΔ σε εθελοντική βάση Σε περίπτωση κατά την οποία αντί του προαιρετικού διορισμού ΥΠΔ παρέχονται υπηρεσίες σχετικά με την προστασία δεδομένων (π.χ. chief privacy officer, compliance officer κ.λπ.) θα πρέπει να μην δημιουργείται η εσφαλμένη εντύπωση προς το κοινό, υποκείμενα δεδομένων κ.λπ. ότι πρόκειται για ΥΠΔ. 9
ΥΠΔ του εκτελούντος την επεξεργασία Η υποχρέωση ορισμού υπευθύνου προστασίας δεδομένων βαρύνει μόνο τον υπεύθυνο επεξεργασίας ή μόνο τον εκτελούντα την επεξεργασία, ενώ σε άλλες περιπτώσεις αμφότερους, ανάλογα με το ποιος πληροί τα κριτήρια περί υποχρεωτικού ορισμού (στην πορεία θα πρέπει να συνεργάζονται όλοι μεταξύ τους). Αν ο υπεύθυνος επεξεργασίας πληροί τα κριτήρια περί υποχρεωτικού ορισμού, ο δικός του εκτελών την επεξεργασία δεν υποχρεούται απαραιτήτως να ορίσει υπεύθυνο προστασίας δεδομένων. Αυτό, ωστόσο, θα μπορούσε να αποτελέσει ορθή πρακτική. 10
Ορισμός ενός ΥΠΔ για περισσότερους φορείς Όμιλος επιχειρήσεων ή περισσότεροι δημόσιοι φορείς, λαμβάνοντας υπόψη το μέγεθος και την οργανωτική τους δομή, μπορούν να ορίσουν έναν μόνο υπεύθυνο προστασίας δεδομένων υπό την προϋπόθεση να είναι εύκολα προσβάσιμος σε κάθε εγκατάσταση ή φορέα (κατά προτίμηση εντός ΕΕ) μέσω: - φυσικής παρουσίας στις εγκαταστάσεις με υπαλλήλους - ανοικτής τηλεφωνικής γραμμής ή άλλου ασφαλούς μέσου επικοινωνίας Προσβασιμότητα και σε εποπτικές αρχές και υποκείμενα - σε γλώσσα που χρησιμοποιούν οι οικείες αρχές και υποκείμενα 11
Ορισμός ενός ΥΠΔ για περισσότερους φορείς (συνέχεια) - υπάλληλος /εξωτερικός συνεργάτης Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία πρέπει να διασφαλίζουν ότι ένας μόνο υπεύθυνος προστασίας δεδομένων, συνεπικουρούμενος από ομάδα εφόσον απαιτείται, δύναται να επιτελεί αποτελεσματικά όλα τα καθήκοντα παρά το γεγονός ότι έχει οριστεί για πολλούς οργανισμούς, δημόσιες αρχές και φορείς Ο ΥΠΔ μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία (εσωτερικός υπεύθυνος προστασίας δεδομένων) ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών (εξωτερικός συνεργάτης). Συνιστάται εγκατάσταση εντός ΕΕ, ανεξάρτητα από το εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι ή όχι εγκατεστημένοι στην ΕΕ. 12
Προσόντα διορισμού Εμπειρογνωμοσύνη στο δίκαιο (σε εθνικό και ευρωπαϊκό επίπεδο) και πρακτικές περί προστασίας δεδομένων. Το αναγκαίο επίπεδο εμπειρίας θα πρέπει να καθορίζεται: - ανάλογα με τις πράξεις που διενεργούνται και - από την προστασία που απαιτούν τα δεδομένα που υφίστανται επεξεργασία Επαγγελματικά προσόντα Ικανότητα εκπλήρωσης καθηκόντων (προβλέπονται στο ά. 39 ΓΚΠΔ) Ικανότητα εκπλήρωσης των καθηκόντων τους με ανεξάρτητο τρόπο. 13
Προσόντα διορισμού (συνέχεια) Ο Κανονισμός δεν θέτει κάποια υποχρεωτική απαίτηση για πιστοποίηση του ΥΠΔ, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση (βλ. υπ αριθμ. πρωτ. Γ/ΕΞ/6007/09-08-2017 ανακοίνωση και τη Γνωμοδότηση 7/2017 της Αρχής). 14
Δημοσίευση και ανακοίνωση των στοιχείων επικοινωνίας Δημοσιεύονται τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων - ταχυδρομική διεύθυνση, συγκεκριμένος τηλεφωνικός αριθμός και/ή συγκεκριμένη διεύθυνση ηλεκτρονικού ταχυδρομείου. Για σκοπούς επικοινωνίας με το κοινό, σκόπιμο είναι να παρέχονται και άλλα μέσα επικοινωνίας όπως, π.χ., ειδική ανοικτή τηλεφωνική γραμμή ή ειδικό έντυπο επικοινωνίας υπ όψιν του υπευθύνου προστασίας δεδομένων στον δικτυακό τόπο του οργανισμού. - δεν απαιτείται η συμπερίληψη του ονόματος του υπευθύνου προστασίας Ανακοινώνονται τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων στις οικείες εποπτικές αρχές (με υποχρεωτική γνωστοποίηση του ονόματος). Ο στόχος αυτών των απαιτήσεων είναι να διασφαλιστεί η εύκολη και απευθείας επικοινωνία με τα υποκείμενα των δεδομένων. 15
Ορισμός ΥΠΔ στην Αρχή 2018: 1868 Δηλώσεις ορισμού ΥΠΔ, εκ των οποίων 193 αφορούν δημόσιους φορείς 8 από το σύνολο των 19 Υπουργείων 2019: 66 Δηλώσεις ορισμού ΥΠΔ, εκ των οποίων 19 αφορούν δημόσιους φορείς 16
Καθήκοντα του ΥΠΔ (άρ. 39 παρ. 1 και 38 παρ. 4 ΓΚΠΔ) Αποτελεί σημείο επαφής και επικοινωνίας μεταξύ του υπ. ή εκτ. επεξ., των υποκειμένων των δεδομένων και της ΑΠΔΠΧ Ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας και τους υπαλλήλους του για τις υποχρεώσεις τους από την νομοθεσία προσωπικών δεδομένων Παρέχει συμβουλές προς τον υπ. και εκτ. επεξ. για την εφαρμογή και συμμόρφωση στον ΓΚΠΔ και την σχετική νομοθεσία και την εκτίμηση αντικτύπου Παρακολουθεί τη συμμόρφωση του υπ. και εκτ. επεξ. προς τον ΓΚΠΔ και την σχετική νομοθεσία, αλλά και τις εσωτερικές πολιτικές της εταιρίας Συνεργάζεται με την ΑΠΔΠΧ 17
Καθήκοντα του ΥΠΔ (άρ. 39 παρ. 1 και 38 παρ. 4 ΓΚΠΔ) Συνεργασία με ΑΠΔΠΧ -Ενεργεί ως σημείο επικοινωνίας για την ΑΠΔΠΧ και διευκολύνει την άσκηση των αρμοδιοτήτων της (πρόσβαση σε πληροφορίες, έγγραφα, προηγούμενη διαβούλευση στην εκτίμηση αντικτύπου κ.λπ.) -Συμβουλεύεται την ΑΠΔΠΧ -Παρέχει πληροφορίες προς την ΑΠΔΠΧ τηρουμένου του καθήκοντος απορρήτου ή εμπιστευτικότητας 18
H θέση του ΥΠΔ (άρθρο 38 ΓΚΠΔ) Ο ΥΠΔ συμμετέχει εγκαίρως σε όλα τα ζητήματα που σχετίζονται με την προστασία προσωπικών δεδομένων Η επιχείρηση Η επιχείρηση παρέχει στον ΥΠΔ τους απαραίτητους πόρους για την πραγματική άσκηση των καθηκόντων του -αληθινή ενημέρωση για όλα τα θέματα προσωπικών δεδομένων, -παροχή επαρκούς χρόνου για την εκτέλεση των καθηκόντων του, -πρόσβαση σε κάθε είδους δεδομένα και πρόσκληση σε σχεδιαζόμενες πράξεις επεξεργασίας (δεν αποκλείεται, αλλά προσκαλείται εγκαίρως σε συναντήσεις κ.λπ.) -Σύσταση ομάδας ΥΠΔ, ανάλογα με μέγεθος και τη δομή της επιχείρησης. 19
Εγγυήσεις ανεξαρτησίας του ΥΠΔ - τήρηση απορρήτου (άρθρο 38 παρ.3,4,5,6 ΓΚΠΔ) Ο ΥΠΔ χαίρει λειτουργικής και οικονομικής ανεξαρτησίας, αυτονομίας και ασυλίας Σύγκρουση συμφερόντων (άρθρο 38 παρ.6 ΓΚΠΔ) - Ο ΥΠΔ δεν αναλαμβάνει άλλα καθήκοντα που μπορεί να οδηγήσουν σε σύγκρουση συμφερόντων π.χ. ο ΥΠΔ δεν μπορεί να εκπροσωπήσει παράλληλα τον υπεύθυνο/εκτελούντα ενώπιον δικαστηρίων για παραβίαση προσωπικών δεδομένων ή να κατέχει θέση στην επιχείρηση από την οποία να καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας προσωπικών δεδομένων - [βλ. απόφαση 10/2016 Βαυαρικής Αρχής] 20
Εγγυήσεις ανεξαρτησίας του ΥΠΔ - τήρηση απορρήτου (άρθρο 38 παρ.3,4,5,6 ΓΚΠΔ) - συνέχεια Υποχρέωση εχεμύθειας Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους. 21
Ο ρόλος και η ευθύνη του ΥΠΔ (άρθρο 38 ΓΚΠΔ) Ο ΥΠΔ έχει συμβουλευτικό - καθοδηγητικό ρόλο: - δεν ευθύνεται για την μη συμμόρφωση του υπ. ή του εκτ. την επεξεργασία με τις απαιτήσεις της νομοθεσίας προσωπικών δεδομένων - Ο ΥΠΔ δεν απολύεται, ούτε υφίσταται κυρώσεις από τον υπ. ή εκτ. επεξ. επειδή επιτέλεσε τα καθήκοντα του (άρ. 38 παρ. 3 εδ. β ΓΚΠΔ) Ερευνητικές, διορθωτικές, αδειοδοτικές, συμβουλευτικές εξουσίες ΑΠΔΠΧ (άρ. 58 παρ. 1-3 κ 83) ασκούνται σε βάρος υπ. κ εκτ. επ. και όχι ΥΠΔ Συνεπώς, ο ΥΠΔ δεν δύναται να παρίσταται αντί του υπ. ή/και εκτ. ενώπιον της Αρχής 22
Ευχαριστώ πολύ 23