ΕΛΕΓΚΤΙΚΟ ΣΥΝΕΔΡΙΟ ΚΛΙΜΑΚΙΟ ΠΡΟΛΗΠΤΙΚΟΥ ΕΛΕΓΧΟΥ ΔΑΠΑΝΩΝ ΣΤΟ VII ΤΜΗΜΑ ΠΡΑΞΗ 11-19 Αμοιβή για την «Παροχή υπηρεσιών για την εφαρμογή του 679/2016 Ευρωπαϊκού Κανονισμού περί Προστασίας Προσωπικών Δεδομένων και ορισμού υπευθύνου προστασίας προσωπικών δεδομένων (DPO)» Κρίνεται ότι η ελεγχόμενη δαπάνη είναι νόμιμη, δεδομένου ότι οι υπηρεσίες που ανατέθηκαν στο Θ Δ είναι εξειδικευμένες, καθόσον αφορούν, καταρχάς, στην υποχρεωτική από 25.5.2018 προσαρμογή της λειτουργίας του Δήμου Κ - Ε σε ένα νέο Ευρωπαϊκό Κανονισμό, τον Γενικό Κανονισμό για την Προστασία Δεδομένων, συνεπώς αφορά σε αντικείμενο που προϋποθέτει ειδικές γνώσεις, τις οποίες δε διαθέτει ένας δικηγόρος εκ μόνη της ιδιότητάς του και, περαιτέρω, στην επιβληθείσα με τον προαναφερόμενο Κανονισμό (βλ. σκέψη 2.Β) υποχρέωση κάθε δημόσιος φορέας, όπως ο Δήμος Κ - Ε, να διαθέτει Υπεύθυνο Προστασίας Προσωπικών Δεδομένων για την άσκηση των εκτιθέμενων στο άρθρο 39 του Γενικού Κανονισμού για την Προστασία Δεδομένων καθηκόντων. Ο διορισμός δε ορισμένου προσώπου ως Υπεύθυνου Προστασίας Δεδομένων προϋποθέτει την προηγούμενη απόδειξη συγκεκριμένων επαγγελματικών προσόντων και ιδίως εμπειρίας στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, την οποία ο Θ Δ απέδειξε, και, ως εκ τούτου, δεν αρκεί μόνη η ιδιότητα ενός προσώπου ως δικηγόρου. Κατ ακολουθία των ανωτέρω, η εντελλόμενη με το ελεγχόμενο χρηματικό ένταλμα δαπάνη είναι νόμιμη
2 ΕΛΕΓΚΤΙΚΟ ΣΥΝΕΔΡΙΟ ΚΛΙΜΑΚΙΟ ΠΡΟΛΗΠΤΙΚΟΥ ΕΛΕΓΧΟΥ ΔΑΠΑΝΩΝ ΣΤΟ VII ΤΜΗΜΑ ΠΡΑΞΗ 11-19 Αποτελούμενο από την Πρόεδρό του Ελένη Λυκεσά, Σύμβουλο, και τους Φωτεινή Πούλιου (εισηγήτρια), Πάρεδρο και Ευτυχία Κωνσταντάκου, Εισηγητή. Γραμματέας: Ιωάννης Αθανασόπουλος, υπάλληλος του Ελεγκτικού Συνεδρίου. Συνήλθε στις 7 Ιανουαρίου 2019 για να αποφανθεί αν πρέπει να θεωρηθεί το 209, οικονομικού έτους 2018, χρηματικό ένταλμα πληρωμής του Δήμου Κ - Ε. Σκέφθηκε σύμφωνα με το νόμο 1. Με την από 8.11.2018 έκθεση της Επιτρόπου του Ελεγκτικού Συνεδρίου στο Νομό Θ ζητείται να αρθεί η διαφωνία που ανέκυψε μεταξύ αυτής, βάσει της /16.10.2018 πράξης επιστροφής, και του Δήμου Κ - Ε για τη θεώρηση του ανωτέρω χρηματικού εντάλματος, ποσού 8.962,10 ευρώ, που αφορά σε αμοιβή για την «παροχή υπηρεσιών για την εφαρμογή του 679/2016 Ευρωπαϊκού Κανονισμού περί Προστασίας Προσωπικών Δεδομένων και ορισμού υπευθύνου προστασίας προσωπικών δεδομένων (DPO)». Κατά την Επίτροπο το αντικείμενο των ως άνω υπηρεσιών δεν είναι εξειδικευμένο και ανάγεται στα συνήθη καθήκοντα του υπηρετούντος στη Νομική Υπηρεσία του Δήμου και στη Διεύθυνση Αποτελεσματικότητας, Οργάνωσης, Πληροφορικής και Διαφάνειας αυτού. 2. Α. Σύμφωνα με την αρχή της οικονομικότητας, ως μερικότερης εκδήλωσης της γενικής αρχής της χρηστής δημοσιονομικής διαχείρισης, η οποία διέπει τη διαχείριση των δημόσιων οικονομικών και επιβάλλει την εκπλήρωση των σκοπών των δήμων με την κατά το δυνατόν ελάχιστη επιβάρυνση του προϋπολογισμού τους, υπηρεσίες που εμπίπτουν στα συνήθη καθήκοντα των υπαλλήλων τους δεν επιτρέπεται να ανατίθενται σε τρίτους, με αποτέλεσμα την αδικαιολόγητη οικονομική επιβάρυνση του προϋπολογισμού τους. Κατ εξαίρεση, επιτρέπεται η έναντι αμοιβής ανάθεση
3 τέτοιων υπηρεσιών σε τρίτους, όταν η διεκπεραίωσή τους απαιτεί εξειδικευμένες γνώσεις και εμπειρία, την οποία δε διαθέτει το προσωπικό τους. Β. Σύμφωνα με το άρθρο 37 του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) «1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία: α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα 5. Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39. 6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος της επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών». Τα καθήκοντα του υπευθύνου προστασίας προσωπικών δεδομένων ορίζονται στο άρθρο 39 σύμφωνα με το οποίο «Ο υπεύθυνος προστασίας δεδομένων έχει τουλάχιστον τα ακόλουθα καθήκοντα: α) ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων, β) παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις
4 πράξεις επεξεργασίας, και των σχετικών ελέγχων, γ) παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35, δ) συνεργάζεται με την εποπτική αρχή, ε) ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36 και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα». 3. Στην κρινόμενη περίπτωση προκύπτουν τα ακόλουθα: Με τη /15.5.2018 απόφαση του Δημάρχου Κ - Ε ανατέθηκε απευθείας στο δικηγόρο Θ Δ η «Παροχή υπηρεσιών για την εφαρμογή του 679/2016 Ευρωπαϊκού Κανονισμού Περί Προστασίας Προσωπικών Δεδομένων και ορισμού Υπευθύνου Προστασίας Προσωπικών Δεδομένων (DPO) Δήμου Κ - Ε» έναντι αμοιβής 23.594,10 ευρώ συμπεριλαμβανομένου Φ.Π.Α.. Με την ίδια απόφαση ορίστηκε η διάρκεια της σύμβασης από την καταχώρισή της στο Κ.Η.Μ.ΔΗ.Σ. έως 31.12.2018. Η σχετική σύμβαση υπογράφηκε στις 18.5.2018. Σύμφωνα με την /21.3.2018 μελέτη του Τμήματος Αποτελεσματικότητας, Ποιότητας, Οργάνωσης και Διαφάνειας της Διεύθυνσης Αποτελεσματικότητας, Οργάνωσης, Πληροφορικής και Διαφάνειας του Δήμου Κ - Ε οι ανατεθείσες υπηρεσίες αφορούν α) στη μελέτη και το σχεδιασμό των εργασιών συμμόρφωσης του Δήμου Ε - Κ με τον Γενικό Κανονισμό για την Προστασία Δεδομένων, ο οποίος τέθηκε σε εφαρμογή από τις 25.5.2018 και β) στην παροχή υπηρεσιών υπευθύνου προστασίας προσωπικών δεδομένων του Δήμου Ε - Κ, ο ορισμός του οποίου είναι υποχρεωτικός, σύμφωνα με το άρθρο 37 του ως άνω Κανονισμού για την άσκηση των καθηκόντων που περιγράφονται στο άρθρο 39 του ίδιου Κανονισμού. Για την ανάθεση των προμνησθεισών υπηρεσιών ορίστηκε ότι ο προσφέρων θα πρέπει να αποδείξει με κατάλληλα έγγραφα ότι κατέχει πιστοποίηση «Υπευθύνου Προστασίας Δεδομένων - D E» από διαπιστευμένο φορέα από το Εθνικό Συμβούλιο Διαπίστευσης (Ε.ΣΥ.Δ), σύμφωνα με το διεθνές πρότυπο ISO/IEC 17024. Το πρώτο αντικείμενο των ανατεθεισών υπηρεσιών
5 περιλαμβάνει τη συγκρότηση ομάδας από δημοτικούς υπαλλήλους, με επικεφαλής τον Υπεύθυνο Προστασίας Προσωπικών Δεδομένων για τη: i) χαρτογράφηση της υφιστάμενης κατάστασης, όσον αφορά την επεξεργασία των προσωπικών δεδομένων που πραγματοποιείται (data flow mapping), ii) διάγνωση και αποτύπωση του επιπέδου συμμόρφωσης με τον Κανονισμό με δημιουργία του αρχείου δραστηριοτήτων επεξεργασίας (gap analysis), iii) αξιολόγηση επιπτώσεων (privacy impact assessment) σχετικά με την προστασία δεδομένων για τον εντοπισμό των σημαντικότερων κινδύνων, iv) πρόταση μέτρων ετοιμότητας (compliance plan), υποστήριξη και καθοδήγηση στην υλοποίησή τους, v) ανάπτυξη όλων των απαιτούμενων πολιτικών και διαδικασιών προστασίας προσωπικών δεομένων σε ένα πλήρες Σύστημα Διαχείρισης Προσωπικών Δεδομένων, vi) επιθεωρήσεις ετοιμότητας (compliance audit) ως προς τον Κανονισμό, vii) δημιουργία σχεδίου αντιμετώπισης περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα (incident response plan), viii) ενημέρωση του ανθρωπίνου δυναμικού, ix) δημιουργία κουλτούρας προσωπικών δεδομένων, x) διαρκής υποστήριξη (ongoing support). Σύμφωνα με τη μελέτη, ως προς το δεύτερο αντικείμενο των ανατεθεισών υπηρεσιών, μετά την επίτευξη της συμμόρφωσης του Δήμου Ε - Κ με τον Κανονισμό, ο Υπεύθυνος Προστασίας Προσωπικών Δεδομένων θα πρέπει σε ημερήσια βάση να εκτελεί τα καθήκοντά του, σύμφωνα με το άρθρο 39 του Κανονισμού, να λειτουργεί αυτόνομα αλλά και ως επικεφαλής ομάδας ειδικών (task force), που θα περιλάβει μέλη του IT, PR, HR, Legal/Compliance and Information Security, για την αντιμετώπιση όλων των προκλήσεων που θα ανακύψουν κατά την εφαρμογή του νέου Κανονισμού. Κατ ουσία, ο Υπεύθυνος Προστασίας Προσωπικών Δεδομένων αποτελεί μια εσωτερική Αρχή Προστασίας Προσωπικών Δεδομένων που διασφαλίζει ότι τηρούνται οι διατάξεις του Κανονισμού και συνεργάζεται για το σκοπό αυτό με την Εθνική Αρχή Προστασίας Προσωπικών Δεδομένων. Ο ανάδοχος των προεκτεθεισών υπηρεσιών για την απόδειξη της εμπειρογνωσίας του στο δίκαιο και την πρακτική προστασίας προσωπικών δεδομένων προσκόμισε: a) Πιστοποιητικό του Οργανισμού
6 Πιστοποίησης TUV AUSTRIA HELLAS (με αριθμό πιστοποιητικού από το Ε.ΣΥ.Δ. 980), με ημερομηνία λήξης 15.11.2022, σύμφωνα με το οποίο πιστοποιείται ότι συμμετείχε επιτυχώς στη σχετική εξέταση και απέδειξε δεξιότητες και επαγγελματικές ικανό-τητες σύμφωνα με τις προϋποθέσεις της ισχύουσας έκδοσης των κάτωθι Κανονισμών: Γενικός Κανονισμός Πιστοποίησης Προσώπων και Ειδικός Κανονισμός Πιστοποίησης «DPO Executive» για υπευθύνους προστασίας δεδομένων (DPO Executives). β) Το από 6.10.2017 Πιστοποιητικό Συμμετοχής της «The DPO Academy» της TUV AUSTRIA ACADEMY, σύμφωνα με το οποίο πιστοποιείται ότι παρακολούθησε το εκπαιδευτικό πρόγραμμα με θέμα Data protection officer - DPO Executive (Υπεύθυνος Προστασίας Δεδομένων) διάρκειας 40 ωρών. γ) Την από 20.3.2018 Βεβαίωση Παρακολούθησης της Νομικής Βιβλιοθήκης Εκπαιδευτική, σύμφωνα με την οποία βεβαιώνεται ότι παρακολούθησε επιτυχώς κύκλο εκπαίδευσης και κατάρτισης διάρκειας πέντε (5) ωρών με τίτλο Data Protection Impact Assessment. 4. Με δεδομένα τα ανωτέρω, κρίνεται ότι η ελεγχόμενη δαπάνη είναι νόμιμη, δεδομένου ότι οι υπηρεσίες που ανατέθηκαν στο Θ Δ είναι εξειδικευμένες, καθόσον αφορούν, καταρχάς, στην υποχρεωτική από 25.5.2018 προσαρμογή της λειτουργίας του Δήμου Κ - Ε σε ένα νέο Ευρωπαϊκό Κανονισμό, τον Γενικό Κανονισμό για την Προστασία Δεδομένων, συνεπώς αφορά σε αντικείμενο που προϋποθέτει ειδικές γνώσεις, τις οποίες δε διαθέτει ένας δικηγόρος εκ μόνη της ιδιότητάς του και, περαιτέρω, στην επιβληθείσα με τον προαναφερόμενο Κανονισμό (βλ. σκέψη 2.Β) υποχρέωση κάθε δημόσιος φορέας, όπως ο Δήμος Κ - Ε, να διαθέτει Υπεύθυνο Προστασίας Προσωπικών Δεδομένων για την άσκηση των εκτιθέμενων στο άρθρο 39 του Γενικού Κανονισμού για την Προστασία Δεδομένων καθηκόντων. Ο διορισμός δε ορισμένου προσώπου ως Υπεύθυνου Προστασίας Δεδομένων προϋποθέτει την προηγούμενη απόδειξη συγκεκριμένων επαγγελματικών προσόντων και ιδίως εμπειρίας στον τομέα του δικαίου και των
7 πρακτικών περί προστασίας δεδομένων, την οποία ο Θ Δ απέδειξε, και, ως εκ τούτου, δεν αρκεί μόνη η ιδιότητα ενός προσώπου ως δικηγόρου. 4. Κατ ακολουθία των ανωτέρω, η εντελλόμενη με το ελεγχόμενο χρηματικό ένταλμα δαπάνη είναι νόμιμη και αυτό θα μπορούσε να θεωρηθεί αν δεν είχε λήξει το οικονομικό έτος 2018, τις πιστώσεις του οποίου βαρύνει. Για τους λόγους αυτούς Αποφαίνεται ότι το 209, οικονομικού έτους 2018, χρηματικό ένταλμα πληρωμής του Δήμου Κ - Ε, ποσού 8.962,10 ευρώ, δεν πρέπει να θεωρηθεί λόγω λήξης του οικονομικού έτους 2018 τις πιστώσεις του οποίου βαρύνει. Η ΠΡΟΕΔΡΟΣ Η ΕΙΣΗΓΗΤΡΙΑ ΠΑΡΕΔΡΟΣ ΕΛΕΝΗ ΛΥΚΕΣΑ ΠΟΥΛΙΟΥ ΦΩΤΕΙΝΗ Ο ΓΡΑΜΜΑΤΕΑΣ ΙΩΑΝΝΗΣ ΑΘΑΝΑΣΟΠΟΥΛΟΣ