GDPR: Πότε είναι υποχρεωτικός ο Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer – DPO)

GDPR: Πότε είναι υποχρεωτικός ο Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer – DPO)

Νομοθετικό Πλαίσιο Υπευθύνου Επεξεργασίας (DPO)

Με το άρθρο 37 του του Γενικού Κανονισμού Προσωπικών Δεδομένων (ΕΕ) 2016/679, εισάγεται ο θεσμός του  Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer – DPO), ενός προσώπου με γνώσεις περί του δικαίου και των πρακτικών προστασίας των δεδομένων, το οποίο αναλαμβάνει εν γένει την παρακολούθηση και την διασφάλιση της συμμόρφωσης με τον ανωτέρω Κανονισμό και συνεργάζεται με τις Εποπτικές Αρχές, ενεργώντας ως σύνδεσμος επικοινωνίας.

Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία (εσωτερικός υπεύθυνος προστασίας δεδομένων) ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών, ενώ για τη διασφάλιση της συνίσταται να είναι εγκατεστημένος εντός Ευρωπαϊκής Ένωσης. Όμιλος επιχειρήσεων μπορεί να διορίσει έναν μόνο υπεύθυνο προστασίας δεδομένων, υπό την προϋπόθεση ότι «κάθε εγκατάσταση έχει εύκολη πρόσβαση στον υπεύθυνο προστασίας δεδομένων». Οι υπεύθυνοι προστασίας δεδομένων δεν φέρουν προσωπική ευθύνη για περιπτώσεις μη συμμόρφωσης με τις απαιτήσεις περί προστασίας των δεδομένων.Υπεύθυνος να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό είναι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία.

Ο ορισμός υπευθύνου προστασίας δεδομένων είναι υποχρεωτικός:

Α) εάν η επεξεργασία διενεργείται από δημόσια αρχή ή δημόσιο φορέα (ανεξάρτητα από το είδος των δεδομένων που υφίστανται επεξεργασία),

Β) εάν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα (ενδεικτικά νοσοκομεία, εταιρίες παρακολούθησης και συστημάτων ασφαλείας),

Γ) εάν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 (ενδεικτικά τράπεζες, νοσοκομεία, ασφαλιστικές εταιρίες, εταιρίες μηχανοργάνωσης, εταιρίες επεξεργασίας δεδομένων καταναλωτών).

Τέλος, ακόμη κι αν ο ορισμός υπευθύνου προστασίας δεδομένων δεν είναι υποχρεωτικός, ενδέχεται να υπάρξουν οργανισμοί που θα κρίνουν σκόπιμο να ορίσουν υπεύθυνο προστασίας δεδομένων σε εθελοντική βάση. Όταν ένας οργανισμός ορίζει υπεύθυνο προστασίας δεδομένων σε εθελοντική βάση, σε σχέση με τον ορισμό, τη θέση και τα καθήκοντά του θα ισχύουν οι ίδιες απαιτήσεις ως εάν ο ορισμός να ήταν υποχρεωτικός.

Διευκρινήσεις

Με βάση τις διευκρινήσεις που έχουν δοθεί από την επιτροπή επεξεργασίας του GDPR και από ότι ισχύει στο εξωτερικό οι έννοιες διευκρινίζονται ως εξής:

Ι) Οι «βασικές δραστηριότητες» μπορούν να θεωρηθούν οι καίριες πράξεις για την επίτευξη των στόχων του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία. Σ’ αυτές συμπεριλαμβάνονται επίσης όλες οι δραστηριότητες που επιτελούνται όταν η επεξεργασία δεδομένων αποτελεί αναπόσπαστο μέρος της δραστηριότητας του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία. Για παράδειγμα, η επεξεργασία ιατρικών δεδομένων, όπως οι ιατρικοί φάκελοι ασθενών, θα πρέπει να θεωρείται ως μία από τις βασικές δραστηριότητες κάθε νοσοκομείου. Κατά συνέπεια, τα νοσοκομεία οφείλουν να ορίσουν υπεύθυνο προστασίας δεδομένων.

Από την άλλη πλευρά, όλοι οι οργανισμοί επιτελούν ορισμένες υποστηρικτικές δραστηριότητες όπως, π.χ., καταβάλλουν τους μισθούς των υπαλλήλων τους ή αναπτύσσουν συνήθεις δραστηριότητες υποστήριξης ΤΠ.

Αυτά είναι παραδείγματα αναγκαίων λειτουργιών υποστήριξης της βασικής δραστηριότητας ή του κύριου τομέα δραστηριότητας του οργανισμού.

Μολονότι οι εν λόγω δραστηριότητες είναι αναγκαίες ή ουσιώδεις, θεωρούνται κατά κανόνα ως παρεπόμενες λειτουργίες του οργανισμού και όχι ως η βασική του δραστηριότητα.

ΙΙ) Η «μεγάλη κλίμακα»: Ο GDPR δεν ορίζει τι συνιστά επεξεργασία μεγάλης κλίμακας. Συνεπώς για να προσδιοριστεί εάν η επεξεργασία διενεργείται σε μεγάλη κλίμακα ή όχι, λαμβάνονται συγκεκριμένα υπόψη οι ακόλουθοι παράγοντες:

-ο αριθμός των εμπλεκόμενων υποκειμένων των δεδομένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του συναφούς πληθυσμού,

-ο όγκος των δεδομένων και/ή το εύρος των διαφόρων στοιχείων δεδομένων που υφίστανται επεξεργασία,

-η διάρκεια ή ο μόνιμος χαρακτήρας της δραστηριότητας επεξεργασίας δεδομένων,

-η γεωγραφική έκταση της δραστηριότητας επεξεργασίας.

Παραδείγματα επεξεργασίας σε μεγάλη κλίμακα είναι, μεταξύ άλλων, τα ακόλουθα: η επεξεργασία δεδομένων ασθενών στο πλαίσιο της συνήθους λειτουργίας ενός νοσοκομείου, η επεξεργασία δεδομένων μετακίνησης φυσικών προσώπων που χρησιμοποιούν το σύστημα δημόσιων μεταφορών μιας πόλης (π.χ., παρακολούθηση μέσω καρτών πολλαπλών διαδρομών), η επεξεργασία σε πραγματικό χρόνο δεδομένων γεωγραφικού εντοπισμού πελατών διεθνούς αλυσίδας ταχυφαγείων για στατιστικούς σκοπούς από εκτελούντα την επεξεργασία που ειδικεύεται σε τέτοιου είδους δραστηριότητες, η επεξεργασία δεδομένων πελατών στο πλαίσιο της συνήθους λειτουργίας μιας ασφαλιστικής εταιρείας ή μιας τράπεζας, η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς συμπεριφορικής διαφήμισης από μηχανή αναζήτησης, η επεξεργασία δεδομένων (περιεχόμενο, κίνηση, θέση) από παρόχους υπηρεσιών τηλεφωνίας ή διαδικτύου.

Αντίθετα παραδείγματα που δεν συνιστούν επεξεργασία μεγάλης κλίμακας είναι, μεταξύ άλλων, τα ακόλουθα: η επεξεργασία δεδομένων ασθενών από ιδιώτη ιατρό, η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα από ιδιώτη δικηγόρο, κλπ.

ΙΙΙ) H«επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα»: Αφορά την  επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (των «Ευαίσθητων Προσωπικών Δεδομένων της Οδηγίας 96/45) σε «μεγάλη κλίμακα, όπως δεδομένων που αφορούν την θρησκεία, πολιτικές πεποιθήσεις, σεξουαλικό προσανατολισμό, συμμετοχή σε συνδικαλιστικές οργανώσεις αλλά και Γενετικά Δεδομένων ή Υλικό όπως και Βιομετρικά Στοιχεία τα οποία ορίζονται ως « Ειδικά Προσωπικά Δεδομένα» με το Νέο Κανονισμό.

ΙV) Η«τακτική και συστηματική παρακολούθηση»: Η έννοια της τακτικής και συστηματικής παρακολούθησης των υποκειμένων των δεδομένων περιλαμβάνει όλες τις μορφές παρακολούθησης και διαμόρφωσης «προφίλ» στο διαδίκτυο, μεταξύ άλλων, και για σκοπούς συμπεριφορικής διαφήμισης, χωρίς να περιορίζεται, πάντως, στο επιγραμμικό περιβάλλον.

Παραδείγματα δραστηριοτήτων που συνιστούν ενδεχομένως τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων: η λειτουργία δικτύου τηλεπικοινωνιών, η παροχή υπηρεσιών τηλεπικοινωνιών, η επαναστόχευση μηνυμάτων ηλεκτρονικού ταχυδρομείου, οι δραστηριότητες μάρκετινγκ βάσει δεδομένων, η διαμόρφωση προφίλ και βαθμολόγηση για σκοπούς εκτίμησης κινδύνου (π.χ., για σκοπούς βαθμολόγησης πιστοληπτικής ικανότητας, προσδιορισμού ασφαλίστρων, καταπολέμησης της απάτης, εντοπισμού πρακτικών νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες)·, ο εντοπισμός θέσης, για παράδειγμα, μέσω εφαρμογών για κινητά τηλέφωνα, τα προγράμματα επιβράβευσης αφοσιωμένων πελατών·, η συμπεριφορική διαφήμιση, η παρακολούθηση δεδομένων σχετικά με την ευεξία, τη φυσική κατάσταση και την υγεία μέσω φορητών συσκευών, η τηλεόραση κλειστού κυκλώματος, οι συνδεδεμένες συσκευές, π.χ. έξυπνες συσκευές μέτρησης, έξυπνα αυτοκίνητα, οικιακός αυτοματισμός κ.λπ.

Με τον όρο, δε, «τακτική» εννοείται: η συνεχής ή ανά συγκεκριμένα χρονικά διαστήματα για συγκεκριμένη χρονική περίοδο, η λαμβάνουσα χώρα τακτικά ή κατ’ επανάληψη σε σταθερές χρονικές στιγμές, η λαμβάνουσα χώρα αδιαλείπτως ή περιοδικά.

Με τον όρο «συστηματική» εννοείται: η λαμβάνουσα χώρα σύμφωνα με κάποιο σύστημα, η προκαθορισμένη, οργανωμένη ή μεθοδική, η λαμβάνουσα χώρα στο πλαίσιο γενικότερου σχεδίου για τη συλλογή δεδομένων, η διενεργούμενη στο πλαίσιο στρατηγικής.

Πεδίο Εφαρμογής – Υποχρεωτικός Διορισμός DPO

Συνεπώς εκ των ανωτέρω υπεύθυνο προστασίας δεδομένων (DPO) θα υποχρεωθούν να διαθέτουν ενδεικτικά:

• -τα νοσοκομεία, κλινικές και άλλοι πάροχοι ιδιωτικών υπηρεσιών υγείας που επεξεργάζονται ευαίσθητα προσωπικά δεδομένα ασθενών (δε θα ισχύει για ιδιώτες ιατρούς ή άλλους επαγγελματίες υγείας σε επίπεδο ιδιωτικού ιατρείου)
• οι εταιρίες που παρέχουν υπηρεσίες φύλαξης ή διεξάγουν παρακολούθηση για λόγους ασφαλείας (εταιρίες security) ή και οι ίδιες οι επιχειρήσεις που διεξάγουν παρακολούθηση (πχ μέσω κλειστού κυκλώματος τηλεόρασης στις εγκαταστάσεις ή τα καταστήματά τους)
• οι επιχειρήσεις μηχανοργάνωσης ή διαχείρισης μισθοδοσίας για λογαριασμό άλλων επιχειρήσεων
• οι εταιρίες κινητής και σταθερής τηλεφωνίας και υπηρεσιών ίντερνετ
• οι ασφαλιστικές εταιρίες
• οι τράπεζες
• οι ιδιωτικές εταιρίες διαχείρισης μέσων μεταφοράς
• κάθε επιχείρηση που συλλέγει δεδομένα των συναλλασσομένων με αυτή και τα χρησιμοποιεί για την κατασκευή «προφίλ» που αποκαλύπτουν τις προσωπικές προτιμήσεις, την ιδεολογία ή την καταναλωτική συμπεριφορά
• κάθε επιχείρηση που συλλέγει και χρησιμοποιεί δεδομένα για την ηλεκτρονική προώθηση διαφημιστικών μηνυμάτων και ενημερώσεων αλλά και:
• τα πολιτικά κόμματα
• οι θρησκευτικές οργανώσεις και οργανισμοί
• οι διαφημιστικές και εταιρίες και οι εταιρίες δημοσκοπήσεων
• οι ΜΚΟ που δραστηριοποιούνται σε τομείς όπως οι πρόσφυγες ή οι κοινωνικές μειονότητες

Αναφορικά με την Ιατρική Δραστηριότητα

Με βάση το ενημερωτικό του Ι.Σ.Α., τα δεδομένα υγείας συνιστούν ειδική κατηγορία δεδομένων και επομένως, οι ιατροί και οι λοιποί επαγγελματίες του κλάδου υγείας ενδέχεται να εμπίπτουν στην περίπτωση γ’ κατά την οποία λαμβάνει χώρα επεξεργασία δεδομένων υγείας σε μεγάλη κλίμακα. Επομένως, κρίσιμο είναι να αποσαφηνιστεί η έννοια της επεξεργασίας δεδομένων σε «μεγάλη κλίμακα». Σύμφωνα με τα ανωτέρω, η επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν θα πρέπει να θεωρείται ότι είναι μεγάλης κλίμακας, εάν η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα ασθενών ή πελατών ιδιώτη ιατρού ή άλλου επαγγελματία του τομέα της υγείας. Επομένως όταν ένας ιδιώτης ιατρός λειτουργεί το ιατρείο του, με τη συνήθη μορφή και οργάνωση που έχει ένα ιδιωτικό ιατρείο, δεν υποχρεούται να ορίσει Υπεύθυνο Προστασίας Δεδομένων (DPO).

Τι συνιστά όμως επεξεργασία ειδικών κατηγοριών δεδομένων σε «μεγάλη κλίμακα»; Η επεξεργασία δεδομένων υγείας από μεγάλες κλινικές ή νοσοκομεία αναφέρεται ρητώς στις κατευθυντήριες γραμμές εφαρμογής του Κανονισμού ως χαρακτηριστικό παράδειγμα επεξεργασίας ειδικών κατηγοριών δεδομένων σε «μεγάλη κλίμακα» και επισημαίνεται ότι στις περιπτώσεις αυτές ο ορισμός DPO καθίσταται υποχρεωτικός.

Ωστόσο, εκτός από τα ανωτέρω δύο σαφή παραδείγματα υπάρχουν και αρκετές ενδιάμεσες μορφές οργάνωσης για την παροχή υπηρεσιών υγείας, δηλαδή περιπτώσεις οι οποίες δεν εμπίπτουν σε καμία από τις δύο ανωτέρω κατηγορίες, όπου η επεξεργασία δεν διενεργείται ούτε από έναν ιδιώτη ιατρό αλλά ούτε και από μία μεγάλη επιχείρηση όπως μία κλινική ή ένα νοσοκομείο και ως εκ τούτου υπάρχει αμφισβήτηση σχετικά με την υποχρέωση διορισμού Υπευθύνου Προστασίας Δεδομένων. Τέτοια περίπτωση είναι ενδεικτικά η επεξεργασία που διενεργείται από πολυϊατρείο το οποίο συνεργάζεται με περισσότερους του ενός ιατρούς. Για τις εν λόγω ενδιάμεσες κατηγορίες, το εάν ο ορισμός Υπεύθυνου Προστασίας δεδομένων είναι υποχρεωτικός ή όχι, θα πρέπει να κρίνεται κατά περίπτωση με τη συνδρομή εξειδικευμένων νομικών.

Επιγραμματικά και χωρίς τα κατωτέρω να συνιστούν εξειδικευμένη νομική συμβουλή για κάθε περίπτωση, αναφέρουμε ότι για τον προσδιορισμό της μεγάλης κλίμακας επεξεργασίας πρέπει να λαμβάνονται υπόψη:

α) ο αριθμός των εμπλεκομένων υποκειμένων,

β) ο όγκος και το εύρος των δεδομένων,

γ) η διάρκεια ή ο μόνιμος χαρακτήρας της επεξεργασίας και

δ) η γεωγραφική έκταση της επεξεργασίας.

ε) ο αριθμός προσωπικού

στ) οι διευρυμένες ειδικότητες

Τα ανωτέρω άπτονται της υποχρέωσης ορισμού DPO. Το ότι κάποιο πρόσωπο ή επιχείρηση, δεν υποχρεούται να ορίσει Υπεύθυνο Προστασίας Δεδομένων, δεν σημαίνει ότι δε δεσμεύεται από τις διατάξεις του Κανονισμού. Υπάρχουν υποχρεώσεις που αφορούν τη συμμόρφωση με τις αρχές που διέπουν την επεξεργασία προσωπικών δεδομένων, την υιοθέτηση τεχνικών και οργανωτικών μέτρων που πρέπει καθένας να λαμβάνει ώστε να διασφαλίζει τη σύννομη επεξεργασία των προσωπικών δεδομένων που διαχειρίζεται, καθώς και υποχρέωση του προσώπου που επεξεργάζεται τα δεδομένα να ανταποκρίνεται όταν οι ασθενείς ασκούν τα δικαιώματα που τους παρέχει ο Κανονισμός. Οι εν λόγω υποχρεώσεις δεσμεύουν κάθε πρόσωπο που επεξεργάζεται προσωπικά δεδομένα, ανεξαρτήτως του εάν ο οφείλει ή όχι να ορίσει Υπεύθυνο Προστασίας Δεδομένων καθίσταται υποχρεωτικός ή μη.

Διαβάστε επίσης: Υποχρεωτική η Πολιτική κατά της Βίας και της Παρενόχλησης στον εργασιακό χώρο και ο ορισμός προσώπου αναφοράς («συνδέσμου») στις επιχειρήσεις με προσωπικό άνω των 20 ατόμων.

Ελευθερία έκφρασης εργαζομένων και υποχρέωση πίστης προς την εργοδότρια εταιρεία. Η ηθική παρενόχληση, γνωστή διεθνώς ως «Mobbing» [ΜΠρΑθ 250/2023].

Σεξουαλική παρενόχληση. Ορισμός και αποζημίωση για ηθική βλάβη εξαιτίας σεξουαλικής παρενόχλησης σε βάρος εργαζομένης [ΜΕφΘεσ 1196/2020]

Εργασιακό bullying από συνάδελφο. Αγωγή αποζημίωσης καθηγήτριας κατά διευθυντή δημοσίου σχολείου [ΠΠρΘεσ 46/2021]

Για οποιαδήποτε απορία σας σχετικά με την υποχρεωτικότητα διορισμού υπευθύνου προστασίας δεδομένων και με την εφαρμογή του GDPR – Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων, επικοινωνήστε μαζί μας. Η δικηγορική μας εταιρία με εμπειρία σε θέματα προστασίας προσωπικών δεδομένων και απορρήτου επικοινωνιών από την συνεργασία της με μεγάλους πολυεθνικούς ομίλους, αναλαμβάνει την συμμόρφωση της επιχείρησης σας με τον GDPR – Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων και την παροχή υπηρεσιών DPO.  Δικηγορικά γραφεία στην Αθήνα και την Καβάλα. Δυνατότητα απομακρυσμένου ραντεβού. Παράσταση σε όλη την Ελλάδα.