12th June 2017

Data Protection Officer (DPO)

Πότε καθορίζεται υποχρεωτικά ένας Data Protection Officer (DPO) σε μια επιχείρηση;

Σύμφωνα με το νέο Γενικό Κανονισμό Προσωπικών Δεδομένων (GDPR) του Ευρωπαϊκού Κοινοβουλίου, κάθε οργανισμός/επιχείρηση υποχρεούται να καθορίσει έναν Υπεύθυνο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ή αλλιώς Data Protection Officer  (DPO), όταν:

  • η επεξεργασία των δεδομένων διενεργείται από δημόσια αρχή ή φορέα
  • οι βασικές δραστηριότητες της επιχείρησης συνιστούν πράξεις επεξεργασίας, οι οποίες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα
  • οι βασικές δραστηριότητες της επιχείρησης συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και δεδομένων που αφορούν καταδίκες και κατηγορίες για εγκληματικές πράξεις
  • γίνεται επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (π.χ. δεδομένων υγείας, βιομετρικών δεδομένων).

Παραδείγματα που επιβάλλεται ο καθορισμός του DPO:

  • οργανισμοί/επιχειρήσεις που δραστηριοποιούνται στην Υγεία, στις Τηλεπικοινωνίες, κλπ.
  • δημόσιοι φορείς και ΔΕΚΟ
  • οργανισμοί που επεξεργάζονται Ειδικά Προσωπικά Δεδομένα (π.χ. διαχείριση μισθοδοσίας, οικονομικά στοιχεία κ.ά.)

Ποιες είναι οι βασικές δραστηριότητες του DPO;

Ο Υπεύθυνος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα είναι υπεύθυνος για την παρακολούθηση της συμμόρφωσης με τον Κανονισμό και όλες τις σχετικές κανονιστικές απαιτήσεις και αποτελεί το σημείο επίσημης επικοινωνίας του οργανισμού με την εποπτική αρχή (ΑΠΔΠΧ – www.dpa.gr), καθώς και με κάθε υποκείμενο που υπόκεινται σε επεξεργασία προσωπικών δεδομένων από τον οργανισμό. Επίσης, είναι αρμόδιος για την ενημέρωση και εκπαίδευση της επιχείρησης στις απαιτήσεις του Κανονισμού, για την παροχή συμβουλών, για την εκτίμηση αντικτύπου (DPIA) καθώς και για την τήρηση των αρχείων καταγραφής.

Ποια είναι τα απαιτούμενα προσόντα ενός DPO;

Ο Υπεύθυνος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα θα πρέπει να έχει κατανοήσει εις βάθος τις απαιτήσεις του GDPR. Επίσης, θα πρέπει να έχει γνώση και κατανόηση των δραστηριοτήτων που ενέχουν επεξεργασία δεδομένων στον οργανισμό που εκπροσωπεί, καθώς και των τεχνολογιών IT και των μεθόδων ασφαλείας πληροφοριών που εφαρμόζονται.

Η σημαντική του θέση στην εταιρεία, προϋποθέτει ακεραιότητα και επαγγελματικό ήθος τα οποία θα προάγουν την αναγκαιότητα της προστασίας προσωπικών δεδομένων εντός του οργανισμού. Ο ρόλος του στην οργανωτική δομή του οργανισμού θα πρέπει να είναι ανεξάρτητος και να μην έγκειται σε σύγκρουση συμφερόντων με άλλους εργασιακούς ρόλους που τυχόν κατέχει.

Ποια είναι η ευθύνη ενός DPO;

Ο Υπεύθυνος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα είναι αρμόδιος για την εφαρμογή των απαιτήσεων και την ενημέρωση του οργανισμού στο σύνολό του. Η ευθύνη της μη συμμόρφωσης σύμφωνα με τις απαιτήσεις του Κανονισμού, αφορά το σύνολο του οργανισμού. Ειδικότερα, ο DPO φέρει την ευθύνη να αποδεικνύει τη συμμόρφωση με τις απαιτήσεις του GDPR.