Υπηρεσία εξωτερικού DPO
Ένας νέος θεσμός που καθιερώνεται στην Ευρωπαϊκή νομοθεσία και την εταιρική δομή των ευρωπαϊκών εταιρειών και δημόσιων οργανισμών είναι αυτός του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ). Μέχρι σήμερα δεν υπάρχει καμία απαίτηση από τους οργανισμούς ή τις εταιρείες να διορίσουν έναν υπεύθυνο προστασίας δεδομένων σύμφωνα με την ισχύουσα νομοθεσία. Και στην πράξη όμως ο ρόλος αυτός ανατίθεται ως “πάρεργο” ή συμπληρωματικό καθήκον κάποιου παραδοσιακού οργάνου στη δομή της εταιρείας πχ του Νομικού Συμβούλου ή του Υπεύθυνου Τεχνικής Επεξεργασίας. Ο ΥΠΔ, όμως, είναι στο επίκεντρο του νέου Κανονισμού. Η ιδέα άλλωστε του ΥΠΔ δεν είναι καινούργια σε όλα τα κράτη μέλη. Παρά το γεγονός ότι η Οδηγία 95/46 δεν υποχρέωνε τους Οργανισμούς και τις εταιρείες να διορίσουν ΥΠΔ, ωστόσο η πρακτική διορισμού ΥΠΔ αναπτύχθηκε σε ορισμένα κράτη μέλη με την πάροδο του χρόνου (για παράδειγμα στην Γερμανία ισχύει ήδη για επιχειρήσεις με περισσότερους των 10 εργαζομένων).
Σύμφωνα με το άρθρο 37§1 του Κανονισμού, ΥΠΔ πρέπει να διοριστεί εάν:
- η σχετική δραστηριότητα επεξεργασίας των δεδομένων πραγματοποιείται από δημόσια αρχή ή οργανισμό,
- οι βασικές δραστηριότητες των σχετικών επιχειρήσεων περιλαμβάνουν τακτική και συστηματική παρακολούθηση των ατόμων σε μεγάλη κλίμακα ή,
- οι βασικές δραστηριότητες των σχετικών επιχειρήσεων συνεπάγονται την επεξεργασία των ευαίσθητων προσωπικών δεδομένων ή δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα σε μεγάλη κλίμακα.
Ο Κανονισμός δεν προσδιορίζει ειδικότερα την έκφραση «δημόσια αρχή ή φορέας». Αντίθετα, επιτρέπει σε κάθε κράτος μέλος της ΕΕ να προσδιορίσει το ίδιο ποιοι οργανισμοί είναι δημόσιες αρχές. Σε περίπτωση που μια ιδιωτική επιχείρηση εκτελεί δημόσιες λειτουργίες για λογαριασμό της δημόσιας αρχής ή δημόσιου φορέα, η ομάδα του άρθρου 29 υποστηρίζει ότι οι επιχειρήσεις θα πρέπει να διορίσουν έναν υπεύθυνο προστασίας δεδομένων, όχι μόνο σε σχέση με τα καθήκοντα δημοσίου συμφέροντος που τους ανατίθενται, αλλά σε σχέση και με όλες τις άλλες δραστηριότητες επεξεργασίας δεδομένων που διενεργούν.
Οι ΥΠΔ δεν είναι προσωπικά υπεύθυνοι σε περίπτωση μη συμμόρφωσης με τον Κανονισμό, καθώς ο Κανονισμός καθιστά σαφές ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι υπεύθυνοι να διασφαλίσουν και να αποδείξουν ότι η επεξεργασία πραγματοποιείται σύμφωνα με τους όρους του άρθρου 24§1. Στο πλαίσιο αυτό και αναφορικά με τον ΥΠΔ, οι επιχειρήσεις θα πρέπει να εξετάσουν προσεκτικά αν οφείλουν να ορίσουν έναν ΥΠΔ, έχοντας κατά νου ότι:
- Όλες οι επιχειρήσεις θα πρέπει εθελοντικά να εξετάσουν τον διορισμό ΥΠΔ.
- Εάν μια επιχείρηση επιλέξει να μην διορίσει ΥΠΔ, πρέπει να διατηρεί αρχείο με τους λόγους και να είναι σε θέση να αποδείξει ότι όλοι οι σχετικοί παράγοντες έχουν ληφθεί δεόντως υπόψη.
- Οι επιχειρήσεις που διορίζουν ΥΠΔ οφείλουν να διασφαλίσουν ότι ο ΥΠΔ έχει πρόσβαση σε όλους τους πόρους, έχει την αναγκαία υποστήριξη για την εκπλήρωση του ρόλου, καθώς και ανεξαρτησία και αυτονομία δράσης.
- Εάν μια επιχείρηση αρνείται να εκπληρώσει τις υποχρεώσεις της όσον αφορά τον διορισμό και την υποστήριξη ενός ΥΠΔ, κινδυνεύει να της καταλογιστούν πρόστιμα μέχρι 10 εκατομμύρια € ή 2% επί του παγκόσμιου κύκλου εργασιών της.
Οι επιχειρήσεις πρέπει να εξασφαλίσουν ότι ο ΥΠΔ διαθέτει την απαιτούμενη εμπειρία και γνώση.