Ρόλος, Εκπαίδευση και Πιστοποίηση DPO ΧΑΤΖΟΠΟΥΛΟΥ ΑΡΓΥΡΩ Υπεύθυνη Εταιρικής Διακυβέρνησης TÜV AUSTRIA HELLAS
Γενικά ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) Δημοσιεύτηκε στις 4.5.2016 Ο κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης (25.5.2016). Τίθεται σε εφαρμογή από τις 25 Μαΐου 2018.
Βασικές Αρχές [Άρθρο 5] νομιμότητα, αντικειμενικότητα και διαφάνεια 1 περιορισμός του σκοπού 2 ελαχιστοποίηση των δεδομένων 3 Ακρίβεια 4 περιορισμός της περιόδου αποθήκευσης 5 ακεραιότητα και εμπιστευτικότητα 6 λογοδοσία 7 υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με όλα τα παραπάνω
Συμμόρφωση προς τα δικαιώματα των υποκειμένων Άρθρο 12 Διαφανής ενημέρωση, ανακοίνωση και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων Άρθρο 13 Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων Άρθρο 14 Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων Άρθρο 15 Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων Άρθρο 16 Δικαίωμα διόρθωσης Άρθρο 17 Δικαίωμα διαγραφής («δικαίωμα στη λήθη») Άρθρο 18 Δικαίωμα περιορισμού της επεξεργασίας Άρθρο 19 Υποχρέωση γνωστοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας
Συμμόρφωση προς τα δικαιώματα των υποκειμένων Άρθρο 20 Δικαίωμα στη φορητότητα των δεδομένων Άρθρο 21 Δικαίωμα εναντίωσης Άρθρο 22 Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ Άρθρο 23 Περιορισμοί
Εφαρμογή μέτρων για την επεξεργασία Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο. [Άρθρο 24]
Ορισμός του υπευθύνου προστασίας δεδομένων [Άρθρο 37] Ορισμός του υπευθύνου προστασίας δεδομένων [Άρθρο 37] Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων (Data Protection Officer – DPO) σε κάθε περίπτωση στην οποία: α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας, β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10. Όμιλος επιχειρήσεων μπορεί να διορίσει ένα μόνο υπεύθυνο προστασίας δεδομένων, υπό την προϋπόθεση ότι κάθε εγκατάσταση έχει εύκολη πρόσβαση στον υπεύθυνο προστασίας δεδομένων.
Ορισμός του υπευθύνου προστασίας δεδομένων [Άρθρο 37] Ορισμός του υπευθύνου προστασίας δεδομένων [Άρθρο 37] 5. Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39. 6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών. 7. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δημοσιεύουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα ανακοινώνουν στην εποπτική αρχή.
Θέση του υπευθύνου προστασίας δεδομένων [Άρθρο 38] Θέση του υπευθύνου προστασίας δεδομένων [Άρθρο 38] 1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία στηρίζουν τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 39 παρέχοντας απαραίτητους πόρους για την άσκηση των εν λόγω καθηκόντων και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και πόρους απαραίτητους για τη διατήρηση της εμπειρογνωσίας του. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.
Θέση του υπευθύνου προστασίας δεδομένων [Άρθρο 38] Θέση του υπευθύνου προστασίας δεδομένων [Άρθρο 38] Τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα και με την άσκηση των δικαιωμάτων τους δυνάμει του κανονισμού. Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους. Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων.
Καθήκοντα του υπευθύνου προστασίας δεδομένων [Άρθρο 39] Καθήκοντα του υπευθύνου προστασίας δεδομένων [Άρθρο 39] Ο υπεύθυνος προστασίας δεδομένων έχει τουλάχιστον τα ακόλουθα καθήκοντα: ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων, παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων, παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35 (Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων), συνεργάζεται με την εποπτική αρχή, ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36, και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα. Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.
Guidelines on Data Protection Officers (‘DPOs’) ARTICLE 29 DATA PROTECTION WORKING PARTY Adopted on 13 December 2016 DPO of the processor Article 37 applies to both controllers and processors with respect to the designation of a DPO. Depending on who fulfils the criteria on mandatory designation, in some cases only the controller or only the processor, in other cases both the controller and its processor are required to appoint a DPO (who should then cooperate with each other). It is important to highlight that even if the controller fulfils the criteria for mandatory designation its processor is not necessarily required to appoint a DPO. This may, however, be a good practice.
“Easily accessible from each establishment” The notion of accessibility refers to the tasks of the DPO as a contact point with respect to data subjects, the supervisory authority but also internally within the organisation, considering that one of the tasks of the DPO is ‘to inform and advise the controller and the processor and the employees who carry out processing of their obligations pursuant to this Regulation’. In order to ensure that the DPO, whether internal or external, is accessible it is important to ensure that their contact details are available in accordance with the requirements of the GDPR. He or she must be in a position to efficiently communicate with data subjects and cooperate with the supervisory authorities concerned. This also means that this communication must take place in the language or languages used by the supervisory authorities and the data subjects concerned.
“Acting in an independent manner” Article 38(3) establishes some basic guarantees to help ensure that DPOs are able to perform their tasks with a sufficient degree of autonomy within their organisation. In particular, controllers/processors are required to ensure that the DPO ‘does not receive any instructions regarding the exercise of [his or her] tasks.’ Recital 97 adds that DPOs, ‘whether or not they are an employee of the controller, should be in a position to perform their duties and tasks in an independent manner’. This means that, in fulfilling their tasks under Article 39, DPOs must not be instructed how to deal with a matter, for example, what result should be achieved, how to investigate a complaint or whether to consult the supervisory authority. Furthermore, they must not be instructed to take a certain view of an issue related to data protection law, for example, a particular interpretation of the law. The controller or processor remains responsible for compliance with data protection law and must be able to demonstrate compliance.33 If the controller or processor makes decisions that are incompatible with the GDPR and the DPO's advice, the DPO should be given the possibility to make his or her dissenting opinion clear to those making the decisions.
Dismissal or penalty for performing DPO tasks Article 38(3) also requires that DPOs should ‘not be dismissed or penalised by the controller or the processor for performing [their] tasks’. This requirement also strengthens the autonomy of DPOs and helps ensure that they act independently and enjoy sufficient protection in performing their data protection tasks. Penalties are only prohibited under the GDPR if they are imposed as a result of the DPO carrying out his or her duties as a DPO. For example, a DPO may consider that a particular processing is likely to result in a high risk and advise the controller or the processor to carry out a data protection impact assessment but the controller or the processor does not agree with the DPO’s assessment. In such a situation, the DPO cannot be dismissed for providing this advice. Penalties may take a variety of forms and may be direct or indirect. They could consist, for example, of absence or delay of promotion; prevention from career advancement; denial from benefits that other employees receive. It is not necessary that these penalties be actually carried out, a mere threat is sufficient as long as they are used to penalise the DPO on grounds related to his/her DPO activities.
Conflict of interests “The organisation ensure that ‘any such tasks and duties do not result in a conflict of interests’. “ The absence of conflict of interests is closely linked to the requirement to act in an independent manner. Although DPOs are allowed to have other functions, they can only be entrusted with other tasks and duties provided that these do not give rise to conflicts of interests. This entails in particular that the DPO cannot hold a position within the organisation that leads him or her to determine the purposes and the means of the processing of personal data. Due to the specific organisational structure in each organisation, this has to be considered case by case. Depending on the activities, size and structure of the organisation, it can be good practice for controllers or processors: to identify the positions which would be incompatible with the function of DPO to draw up internal rules to this effect in order to avoid conflicts of interests to include a more general explanation about conflicts of interests to declare that their DPO has no conflict of interests with regard to its function as a DPO, as a way of raising awareness of this requirement to include safeguards in the internal rules of the organisation and to ensure that the vacancy notice for the position of DPO or the service contract is sufficiently precise and detailed in order to avoid a conflict of interests. In this context, it should also be borne in mind that conflicts of interests may take various forms depending on whether the DPO is recruited internally or externally. As a rule of thumb, conflicting positions may include senior management positions (such as chief executive, chief operating, chief financial, chief medical officer, head of marketing department, head of Human Resources or head of IT departments) but also other roles lower down in the organisational structure if such positions or roles lead to the determination of purposes and means of processing.
Πιστοποίηση προσώπων DPO Executive by TÜV AUSTRIA Σχήμα πιστοποίησης προσώπων DPO Executive by TÜV AUSTRIA Η Πιστοποίηση Επαγγελματικών Προσόντων, ή αλλιώς Πιστοποίηση Προσώπων, αποτελεί μια διεθνώς αναγνωρισμένη και αποδεκτή διεργασία αξιολόγησης και περιοδικής επαναξιολόγησης των προσόντων των πιστοποιημένων προσώπων. Κατά τη διεργασία αυτή, αναπτύσσεται ένα Σχήμα Πιστοποίησης, δηλαδή ένας εξεταστικός μηχανισμός, προκειμένου να αξιολογηθούν οι γνώσεις, οι ικανότητες και οι δεξιότητες του επαγγελματία. Μέσω της πιστοποίησης προσώπων, η TÜV AUSTRIA HELLAS, διασφαλίζει ότι τα προσόντα του επαγγελματία έχουν αξιολογηθεί με έναν συγκεκριμένο μηχανισμό γραπτής δοκιμασίας που βασίζεται σε καθορισμένες και διαφανείς απαιτήσεις και κριτήρια, επιτυγχάνοντας την επαναληψιμότητα, την αντικειμενικότητα και το δίκαιο των αποτελεσμάτων εξέτασης. Ως αποτέλεσμα αυτοί, οι επαγγελματίες είναι σε θέση, να αποδεικνύουν τεκμηριωμένα τη συνεχή καταλληλότητα των προσόντων τους στην παγκοσμιοποιημένη αγορά εργασίας. http://www.tuvaustriahellas.gr/category_id=4&service_id=163
Το κόστος της Μη Συμμόρφωσης Η μη συμμόρφωση προς εντολή της εποπτικής αρχής όπως αναφέρεται στο άρθρο 58 παράγραφος 2 επισύρει, σύμφωνα με την παράγραφο 2 του παρόντος άρθρου, διοικητικά πρόστιμα έως 20 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο. http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_en.htm
Ευχαριστώ πολύ! Χατζοπούλου Αργυρώ TÜV AUSTRIA HELLAS Λ. Μεσογείων 429, Αγία Παρασκευή 210 5220920, 6944777243 argyro.chatzopoulou@tuv.at
TÜV AUSTRIA Hellas Η TÜV AUSTRIA Hellas είναι ένας ανεξάρτητος οργανισμός παροχής ολοκληρωμένων υπηρεσιών ελέγχου, επιθεώρησης και πιστοποίησης για την ασφάλεια, την ποιότητα, το περιβάλλον και τη διαχείριση πόρων. Δραστηριοποιείται στην ευρύτερη λεκάνη των χωρών της Νοτιοανατολικής Μεσογείου και Μέσης Ανατολής με θυγατρικές εταιρείες, παραρτήματα και αντιπροσώπους. Ο Οργανισμός μας και το portfolio των υπηρεσιών μας εστιάζονται στην εξυπηρέτηση των αναγκών των πελατών μας και παρέχονται προς όφελος της ασφάλειας, της ποιότητας και της ανταγωνιστικότητας των προϊόντων, του εξοπλισμού και των υπηρεσιών τους.
TÜV AUSTRIA Hellas Η ανεξαρτησία και η διαφύλαξη του ονόματός μας από συγκρούσεις συμφερόντων είναι απόλυτη προτεραιότητα της διοίκησης του Οργανισμού μας Η TÜV AUSTRIA ΕΛΛΑΣ δημιουργήθηκε στην Ελλάδα το 1994 και ήταν η πρώτη θυγατρική της TÜV AUSTRIA εκτός Αυστρίας. Το σημερινό TÜV AUSTRIA Group αποτελεί την εξέλιξη ενός μη κερδοσκοπικού οργανισμού συλλόγου που ιδρύθηκε στην Αυστρία το 1872. Σκοπός του ήταν και παραμένει να είναι, η διασφάλιση μέσω των επιθεωρήσεων της ασφάλειας, της ποιότητας και του περιβάλλοντος.
Πιστοποίηση προσώπων DPO Executive by TÜV AUSTRIA Σχήμα πιστοποίησης προσώπων DPO Executive by TÜV AUSTRIA Η Πιστοποίηση Επαγγελματικών Προσόντων, ή αλλιώς Πιστοποίηση Προσώπων, αποτελεί μια διεθνώς αναγνωρισμένη και αποδεκτή διεργασία αξιολόγησης και περιοδικής επαναξιολόγησης των προσόντων των πιστοποιημένων προσώπων. Κατά τη διεργασία αυτή, αναπτύσσεται ένα Σχήμα Πιστοποίησης, δηλαδή ένας εξεταστικός μηχανισμός, προκειμένου να αξιολογηθούν οι γνώσεις, οι ικανότητες και οι δεξιότητες του επαγγελματία. Μέσω της πιστοποίησης προσώπων, η TÜV AUSTRIA HELLAS, διασφαλίζει ότι τα προσόντα του επαγγελματία έχουν αξιολογηθεί με έναν συγκεκριμένο μηχανισμό γραπτής δοκιμασίας που βασίζεται σε καθορισμένες και διαφανείς απαιτήσεις και κριτήρια, επιτυγχάνοντας την επαναληψιμότητα, την αντικειμενικότητα και το δίκαιο των αποτελεσμάτων εξέτασης. Ως αποτέλεσμα αυτοί, οι επαγγελματίες είναι σε θέση, να αποδεικνύουν τεκμηριωμένα τη συνεχή καταλληλότητα των προσόντων τους στην παγκοσμιοποιημένη αγορά εργασίας.
Πιστοποίηση εφαρμογής Βάση του κανονισμού ένας εγκεκριμένος μηχανισμός πιστοποίησης σύμφωνα με το άρθρο 42 μπορεί να χρησιμοποιηθεί ως στοιχείο που αποδεικνύει τη συμμόρφωση. Ενδεικτικά αναφέρονται κάποια από τα άρθρα επί των οποίων μπορεί να γίνει επιθεώρηση και πιστοποίηση: Άρθρο 24 Ευθύνη του υπευθύνου επεξεργασίας Άρθρο 25 Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού Άρθρο 28 Εκτελών την επεξεργασία Άρθρο 32 Ασφάλεια επεξεργασίας Άρθρο 46 Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις