Κατευθυντήριες γραμμές σχετικά με τους υπεύθυνους προστασίας δεδομένων

Εγκρίθηκε στις 13 Δεκεμβρίου 2016

Όπως αναθεωρήθηκε τελευταία και εγκρίθηκε στις 5 Απριλίου 2017

 

1 Εισαγωγή

Ο γενικός κανονισμός για την προστασία δεδομένων («ΓΚΠΔ»), που αναμένεται να τεθεί σε ισχύ στις 25 Μαΐου 2018, παρέχει ένα εκσυγχρονισμένο πλαίσιο συμμόρφωσης για την προστασία των δεδομένων στην Ευρώπη με βάση τη λογοδοσία. Στο επίκεντρο αυτού του νέου νομικού πλαισίου θα βρίσκονται για πολλούς οργανισμούς οι υπεύθυνοι προστασίας δεδομένων, οι οποίοι θα διευκολύνουν τη συμμόρφωση με τις διατάξεις του ΓΚΠΔ.

Σύμφωνα με τον ΓΚΠΔ, ορισμένοι υπεύθυνοι επεξεργασίας και εκτελούντες την επεξεργασία υποχρεούνται να ορίσουν υπεύθυνο προστασίας δεδομένων. Η υποχρέωση αυτή ισχύει για όλες τις δημόσιες αρχές και φορείς (ανεξαρτήτως του είδους δεδομένων που επεξεργάζονται), καθώς και για άλλους οργανισμούς που έχουν ως κύρια δραστηριότητα τη συστηματική παρακολούθηση φυσικών προσώπων σε μεγάλη κλίμακα, ή την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα σε μεγάλη κλίμακα.

Ενδέχεται, πάντως, να υπάρξουν οργανισμοί που θα κρίνουν σκόπιμο να ορίσουν υπεύθυνο προστασίας δεδομένων σε εθελοντική βάση, ακόμη και σε περιπτώσεις στις οποίες ο ΓΚΠΔ δεν απαιτεί ρητώς τον ορισμό υπευθύνου προστασίας δεδομένων. Η ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα του άρθρου 29 («ομάδα του άρθρου 29») ενθαρρύνει τέτοιου είδους εθελοντικές ενέργειες.

Η έννοια του υπευθύνου προστασίας δεδομένων δεν είναι καινούργια. Αν και η οδηγία 95/46/ΕΚ δεν επέβαλλε σε κανέναν οργανισμό την υποχρέωση να ορίσει υπεύθυνο προστασίας δεδομένων, η συγκεκριμένη πρακτική αναπτύχθηκε παρόλα αυτά σε αρκετά κράτη μέλη στο πέρασμα του χρόνου.

Πριν από την έγκριση του ΓΚΠΔ, η ομάδα του άρθρου 29 ήταν της γνώμης ότι ο υπεύθυνος προστασίας δεδομένων συνιστά ακρογωνιαίο λίθο της λογοδοσίας και ότι ο ορισμός του μπορεί να διευκολύνει τη συμμόρφωση και επιπλέον να αποτελέσει ανταγωνιστικό πλεονέκτημα για τις επιχειρήσεις. Εκτός από τον διευκολυντικό ρόλο που έχουν σε επίπεδο συμμόρφωσης μέσω της εφαρμογής εργαλείων λογοδοσίας (όπως διευκόλυνση διενέργειας εκτιμήσεων αντικτύπου σχετικά με την προστασία των δεδομένων και διενέργεια ή διευκόλυνση διενέργειας ελέγχων), οι υπεύθυνοι προστασίας δεδομένων ενεργούν και ως μεσολαβητές μεταξύ των διαφόρων ενδιαφερομένων (π.χ., εποπτικές αρχές, υποκείμενα των δεδομένων και επιχειρησιακές μονάδες του ίδιου οργανισμού).

Οι υπεύθυνοι προστασίας δεδομένων δεν φέρουν προσωπική ευθύνη σε περίπτωση μη συμμόρφωσης με τον ΓΚΠΔ. Ο ΓΚΠΔ καθιστά σαφές ότι είναι ευθύνη του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τις διατάξεις του (άρθρο 24 παράγραφος 1). Η συμμόρφωση με τους κανόνες προστασίας των δεδομένων είναι ευθύνη του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

Ο ρόλος του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι επίσης καθοριστικός όσον αφορά την αποτελεσματική εκτέλεση των καθηκόντων του υπευθύνου προστασίας δεδομένων. Ο ορισμός υπευθύνου προστασίας δεδομένων είναι μεν το πρώτο βήμα, όμως πρέπει επιπλέον να του δοθούν επαρκής αυτονομία και πόροι για να είναι σε θέση να ασκήσει αποτελεσματικά τα καθήκοντά του.

Ο ΓΚΠΔ αναγνωρίζει τον υπεύθυνο προστασίας δεδομένων ως καίρια συνιστώσα του νέου συστήματος διακυβέρνησης δεδομένων και θεσπίζει τις προϋποθέσεις για τον ορισμό, τη θέση και τα καθήκοντά του. Οι παρούσες κατευθυντήριες γραμμές επιδιώκουν να αποσαφηνίσουν τις σχετικές διατάξεις του ΓΚΠΔ ώστε αφενός να βοηθήσουν τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία να συμμορφωθούν με τη νομοθεσία, και αφετέρου να συνδράμουν τους υπεύθυνους προστασίας δεδομένων στην άσκηση του ρόλου τους. Οι κατευθυντήριες γραμμές παρέχουν επίσης συστάσεις για βέλτιστες πρακτικές, με βάση την εμπειρία που έχουν αποκτήσει στον συγκεκριμένο τομέα ορισμένα κράτη μέλη. Η ομάδα του άρθρου 29 θα παρακολουθεί την εφαρμογή των εν λόγω κατευθυντήριων γραμμών και ενδέχεται επίσης να τις συμπληρώνει και να τις εμπλουτίζει κατά περίπτωση.

 

Διαβάστε ολόκληρο το έντυπο:

screen gdpr8

Πηγή: https://edpb.europa.eu/edpb_en