Πρέπει να διορίσω υπεύθυνο προστασίας δεδομένων; 

Απαντήστε στις ερωτήσεις μέσω του διαδραστικού διαγράμματος ροής μας για να μάθετε!

*Τα δικαστήρια που ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα αποτελούν εξαίρεση!

Επεξεργάζομαι ευαίσθητα δεδομένα ή δεδομένα που σχετίζονται με ποινικές καταδίκες και αδικήματα

Το κάνω αυτό σε μεγάλη κλίμακα

Πραγματοποιώ τακτική και συστηματική παρακολούθηση των ατόμων

Οι βασικές μου δραστηριότητες απαιτούν την επεξεργασία ευαίσθητων δεδομένων
ή δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα

Το κάνω αυτό σε μεγάλη κλίμακα

Οι βασικές μου δραστηριότητες απαιτούν τακτική και συστηματική παρακολούθηση

Πρέπει να διορίσω υπεύθυνο προστασίας δεδομένων;

Ναι, ο διορισμός ΥΠΔ είναι υποχρεωτικός

Πρέπει να διορίσω υπεύθυνο προστασίας δεδομένων;

Όχι, ο διορισμός υπευθύνου προστασίας δεδομένωνείναι εθελοντικός.
Ωστόσο, ενθαρρύνεται ο διορισμός.

Τι είναι ο ΥΠΔ και χρειάζεται ο οργανισμός σας να έχει ΥΠΔ;

Τι είναι ένας ΥΠΔ και τι κάνει;

Ο υπεύθυνος προστασίας δεδομένων (που αναφέρεται επίσης ως «ΥΠΔ») είναι ένας εμπειρογνώμονας προστασίας δεδομένων που παρέχει συμβουλές σχετικά με τη συμμόρφωση με την προστασία δεδομένων εντός ενός οργανισμού.

Ο ΥΠΔ πρέπει να συμμετέχει δεόντως και εγκαίρως σε όλα τα ζητήματα που αφορούν την προστασία των δεδομένων προσωπικού χαρακτήρα.

Σύμφωνα με τον ΓΚΠΔ, τα καθήκοντα του ΥΠΔ είναι, τουλάχιστον, τα ακόλουθα:

  • να ενημερώνει και να συμβουλεύει τον οργανισμό και τους υπαλλήλους του σχετικά με τη συμμόρφωση με την προστασία των δεδομένων·
  • να παρακολουθεί τη συμμόρφωση με την προστασία των δεδομένων·
  • να παρέχει συμβουλές σε αιτήματα σχετικά με την εκτίμηση αντικτύπου στην προστασία των δεδομένων (ΕΑΠΔ)·
  • να ενεργεί ως σημείο επικοινωνίας για την Αρχή προστασίας δεδομένων (ΑΠΔ) και να συνεργάζεται με την εν λόγω ΑΠΔ·
  • να ενεργεί ως σημείο επικοινωνίας για τα άτομα.

Η παρουσία του ΥΠΔ συνιστάται γενικά όταν λαμβάνονται αποφάσεις με επιπτώσεις στην προστασία των δεδομένων. Πρέπει επίσης να ζητείται η γνώμη του ΥΠΔ αμέσως μόλις συμβεί παραβίαση δεδομένων ή άλλο περιστατικό.
Στην πράξη, στον ΥΠΔ ανατίθεται επίσης συχνά από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία δεδομένων το καθήκον της διατήρησης του αρχείου των δραστηριοτήτων  επεξεργασίας.

Ο οργανισμός μου χρειάζεται ΥΠΔ;

Ο διορισμός ΥΠΔ είναι υποχρεωτικός στις ακόλουθες τρεις περιπτώσεις:

  • ο οργανισμός είναι δημόσια αρχή που διενεργεί την επεξεργασία δεδομένων προσωπικού χαρακτήρα·
  • οι βασικές δραστηριότητες του οργανισμού συνιστούν τακτική και συστηματική παρακολούθηση των ατόμων σε μεγάλη κλίμακα, για παράδειγμα στον γεωγραφικό εντοπισμό μέσω κινητής εφαρμογής ή στην επιτήρηση των εμπορικών κέντρων και των δημόσιων χώρων μέσω κλειστού κυκλώματος τηλεόρασης·
  • οι βασικές δραστηριότητες του οργανισμού συνιστούν μεγάλης κλίμακας επεξεργασία ευαίσθητων δεδομένων
     

Οι έννοιες των «βασικών δραστηριοτήτων», της «τακτικής και συστηματικής παρακολούθησης» και της «μεγάλης κλίμακας» είναι ζωτικής σημασίας για τον καθορισμό του κατά πόσο ένας οργανισμός θα πρέπει να διορίσει ΥΠΔ.
Ως «βασικές δραστηριότητες» νοείται ότι οι πράξεις επεξεργασίας είναι καίριας σημασίας για την επίτευξη των στόχων του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία. Σε αυτές περιλαμβάνονται επίσης όλες οι δραστηριότητες στις οποίες η επεξεργασία δεδομένων αποτελεί αναπόσπαστο μέρος της δραστηριότητας του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

Η «μεγάλη κλίμακα» εξαρτάται από διάφορους παράγοντες, όπως ο όγκος των δεδομένων που υποβάλλονται σε επεξεργασία, ο αριθμός των ενδιαφερόμενων ατόμων — είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό του σχετικού πληθυσμού, η διάρκεια και το γεωγραφικό πεδίο εφαρμογής της επεξεργασίας.

Η «τακτική και συστηματική παρακολούθηση» περιλαμβάνει όλες τις μορφές παρακολούθησης και κατάρτισης προφίλ στο διαδίκτυο, μεταξύ άλλων και για σκοπούς συμπεριφορικής διαφήμισης. Ωστόσο, η έννοια της παρακολούθησης δεν περιορίζεται στο επιγραμμικό περιβάλλον.

Στην πράξη

  • Βασικές δραστηριότητες
    Για παράδειγμα, ο βασικός σκοπός μιας κλινικής είναι η παροχή υπηρεσιών υγείας σε άτομα. Στην περίπτωση αυτή, η επεξεργασία δεδομένων υγείας, όπως τα μητρώα υγείας των ασθενών, θα πρέπει να θεωρείται ως μία από τις βασικές δραστηριότητες του οργανισμού.
    Ωστόσο, όλοι οι οργανισμοί ασκούν ορισμένες υποστηρικτικές δραστηριότητες, για παράδειγμα, την πληρωμή των υπαλλήλων τους ή την εκτέλεση τυποποιημένων δραστηριοτήτων υποστήριξης ΤΠ. Αυτά είναι παραδείγματα των απαραίτητων λειτουργιών υποστήριξης για τη βασική δραστηριότητα ή την κύρια δραστηριότητα του οργανισμού. Παρόλο που οι δραστηριότητες αυτές είναι απαραίτητες ή ουσιώδεις, θεωρούνται συνήθως βοηθητικές λειτουργίες και όχι η βασική δραστηριότητα.

 

  • Μεγάλης κλίμακας
    Παραδείγματα επεξεργασίας μεγάλης κλίμακας περιλαμβάνουν, για παράδειγμα:
    1. την επεξεργασία των δεδομένων του ασθενούς στο πλαίσιο των καθημερινών δραστηριοτήτων ενός νοσοκομείου·
    2. την επεξεργασία δεδομένων πελατών στο πλαίσιο των καθημερινών δραστηριοτήτων ασφαλιστικής εταιρείας ή τράπεζας·
    3. την επεξεργασία για στατιστικούς σκοπούς τρεχόντων δεδομένων θέσης πελατών διεθνούς αλυσίδας ταχυφαγείων από υπεργολάβο ειδικευμένο στις εν λόγω υπηρεσίες·
    4. την επεξεργασία δεδομένων προσωπικού χαρακτήρα για συμπεριφορική διαφήμιση από μηχανή αναζήτησης·
    5. την επεξεργασία δεδομένων (περιεχομένου, ροής, θέσης) από παρόχους τηλεφωνικών υπηρεσιών και υπηρεσιών διαδικτύου.

Παραδείγματα επεξεργασίας που δεν θα μπορούσαν να θεωρηθούν μεγάλης κλίμακας:

  1. επεξεργασία δεδομένων ασθενών από έναν μόνο γενικό ιατρό·
  2. επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν καταδίκες και αδικήματα από μεμονωμένο δικηγόρο.

 

  • Τακτική και συστηματική παρακολούθηση
    Για παράδειγμα, η τακτική και συστημική παρακολούθηση καλύπτει την επαναστόχευση μέσω ηλεκτρονικού ταχυδρομείου· δραστηριότητες μάρκετινγκ που βασίζονται σε δεδομένα· κατάρτιση προφίλ και βαθμολόγηση για σκοπούς αξιολόγησης κινδύνου (π.χ. για σκοπούς βαθμολόγησης πιστοληπτικής ικανότητας, καθορισμού ασφαλίστρων, πρόληψης απάτης, εντοπισμού νομιμοποίησης εσόδων από παράνομες δραστηριότητες)· εντοπισμός τοποθεσίας (για παράδειγμα, από εφαρμογές για κινητά)· προγράμματα επιβράβευσης· συμπεριφορική διαφήμιση· παρακολούθηση των δεδομένων ευεξίας, φυσικής κατάστασης και υγείας μέσω φορητών συσκευών· κλειστά κυκλώματα βιντεοπαρακολούθησης (CCTV)· συνδεδεμένες συσκευές (π.χ. έξυπνοι μετρητές), έξυπνα αυτοκίνητα, οικιακός αυτοματισμός κ.λπ.
    Ως εκ τούτου, ένας εκτελών την επεξεργασία που έχει ως βασική δραστηριότητα την παροχή υπηρεσιών ανάλυσης ιστοτόπων και βοήθειας με στοχευμένη διαφήμιση και μάρκετινγκ θα πρέπει να ορίσει έναν ΥΠΔ.
     

Μπορείτε πάντα να ορίσετε έναν ΥΠΔ σε εθελοντική βάση, ακόμη και αν αυτό δεν απαιτείται από τον νόμο. Λάβετε υπόψη ότι, σε αυτή την περίπτωση, πρέπει να συμμορφώνεστε με όλες τις διατάξεις του ΓΚΠΔ σχετικά με τα καθήκοντα και τη θέση του ΥΠΔ. Ως εκ τούτου, συνιστάται να χρησιμοποιείται ο τίτλος του ΥΠΔ μόνο για πρόσωπο του οποίου τα καθήκοντα και η θέση αντιστοιχούν στην περιγραφή του ΓΚΠΔ.

Ποιος μπορεί να είναι ΥΠΔ στον οργανισμό μου;

Ο ΥΠΔ πρέπει να είναι σε θέση να εκτελεί τα καθήκοντα και τις υποχρεώσεις του με ανεξάρτητο τρόπο. Αυτό σημαίνει ότι ο οργανισμός σας:

  • δεν μπορεί να δίνει οδηγίες στον ΥΠΔ όσον αφορά την άσκηση των καθηκόντων που έχει ως ΥΠΔ·
  • δεν επιτρέπεται να επιβάλλει κυρώσεις ή να απολύει τον ΥΠΔ για την εκτέλεση των καθηκόντων του.

Ωστόσο, η αυτονομία των ΥΠΔ δεν σημαίνει ότι οι ΥΠΔ διαθέτουν εξουσίες λήψης αποφάσεων πέραν των καθηκόντων τους. Οι οργανισμοί παραμένουν υπεύθυνοι για τη συμμόρφωση με τη νομοθεσία για την προστασία δεδομένων και πρέπει να είναι σε θέση να αποδείξουν τη συμμόρφωσή τους.

Ο ΥΠΔ θα πρέπει να θεωρείται εταίρος συζήτησης εντός του οργανισμού και να αποτελεί μέρος των συζητήσεων που αφορούν τις δραστηριότητες επεξεργασίας δεδομένων εντός του οργανισμού.

Οι ΥΠΔ λογοδοτούν απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

Οι ΥΠΔ μπορούν να επιτελούν και άλλα καθήκοντα εντός του οργανισμού, αλλά τα καθήκοντα αυτά δεν μπορούν να συνεπάγονται σύγκρουση συμφερόντων. Αυτό σημαίνει ότι ο ΥΠΔ δεν μπορεί να έχει θέση στην οποία να καθορίζει τους σκοπούς και τα μέσα των δραστηριοτήτων επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Συγκρουόμενα καθήκοντα περιλαμβάνουν κυρίως διευθυντικές θέσεις (επικεφαλής, διευθύνων σύμβουλος, οικονομικός διευθυντής, προϊστάμενος ανθρώπινου δυναμικού, προϊστάμενος ΤΠ, διευθύνων σύμβουλος), αλλά μπορούν επίσης να περιλαμβάνουν και άλλα καθήκοντα, εάν οδηγούν στον καθορισμό των σκοπών και των μέσων επεξεργασίας.

Σύμφωνα με τον ΓΚΠΔ, είναι δυνατόν να οριστεί εξωτερικός ΥΠΔ με σύμβαση για τις υπηρεσίες του. Η σύμβαση αυτή μπορεί να συναφθεί με φυσικό πρόσωπο ή οργανισμό. Στην τελευταία περίπτωση, είναι σημαντικό κάθε μέλος του οργανισμού να μην έχει σύγκρουση συμφερόντων και να προστατεύεται από κάθε καταχρηστική καταγγελία σύμβασης παροχής υπηρεσιών, αλλά και από την καταχρηστική απόλυση οποιουδήποτε μεμονωμένου μέλους του οργανισμού για δραστηριότητες ως ΥΠΔ.

Ο οργανισμός σας θα πρέπει να συνδράμει τον ΥΠΔ παρέχοντας πρόσβαση σε οποιεσδήποτε πράξεις επεξεργασίας, καθώς και σε οποιαδήποτε δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία στο πλαίσιο αυτών των πράξεων επεξεργασίας. Είναι ζωτικής σημασίας ο ΥΠΔ να συμμετέχει από τα αρχικά στάδια σε όλα τα ζητήματα που αφορούν την προστασία των δεδομένων. Θα πρέπει επίσης να διατεθούν οι αναγκαίοι πόροι για την εκτέλεση των καθηκόντων του ΥΠΔ (χρόνος, κατάρτιση, εξοπλισμός και χρηματοδοτικά μέσα).

Στην πράξη

Κατά την εκτέλεση των καθηκόντων τους, οι ΥΠΔ δεν πρέπει να λαμβάνουν οδηγίες σχετικά με τον τρόπο χειρισμού ενός θέματος. Για παράδειγμα, ο ΥΠΔ δεν θα πρέπει να λαμβάνει οδηγίες σχετικά με το ποιο θα πρέπει να είναι το αποτέλεσμα της συμβουλής του ή σχετικά με τον τρόπο με τον οποίο πρέπει να διερευνά μια καταγγελία ενός ατόμου, ή σχετικά με το κατά πόσον η διαβούλευση με την Αρχή προστασίας δεδομένων είναι κατάλληλη ή υποχρεωτική. Επιπλέον, δεν πρέπει να δοθεί στον ΥΠΔ εντολή να λάβει συγκεκριμένη άποψη για ένα ζήτημα που σχετίζεται με  τη νομοθεσία για την προστασία των δεδομένων, για παράδειγμα, σχετικά με συγκεκριμένη ερμηνεία του νόμου.

Κατάλογος ελέγχου για τον ορισμό ΥΠΔ

  • Ελέγξτε αν απαιτείται ΥΠΔ: Ελέγξτε αν πρέπει να ορίσετε έναν ΥΠΔ και, σε περίπτωση αμφιβολίας, τεκμηριώστε τους λόγους για τους οποίους ορίζετε ή όχι ΥΠΔ.
  • Εάν απαιτείται ΥΠΔ:
    • Αποφασίστε μεταξύ εσωτερικού ή εξωτερικού ΥΠΔ: Εάν απαιτείται ΥΠΔ, αποφασίστε εάν θα είναι μέλος του οργανισμού σας ή θα είναι ΥΠΔ δυνάμει σύμβασης παροχής υπηρεσιών·
    • Επαληθεύστε ότι ο ΥΠΔ διαθέτει τα επαγγελματικά προσόντα και την εμπειρογνωμοσύνη στη νομοθεσία και τις πρακτικές για την προστασία των δεδομένων, καθώς και την ικανότητα εκπλήρωσης των καθηκόντων του·
    • Επαληθεύστε τις απαιτήσεις ανεξαρτησίας: Ελέγξτε αν ο ΥΠΔ σας έχει άλλα καθήκοντα που θα μπορούσαν να θέσουν σε κίνδυνο την ανεξαρτησία του κατά την εκτέλεση των καθηκόντων του (σύγκρουση συμφερόντων)·
    • Αναπτύξτε πρότυπες διαδικασίες στο πλαίσιο της διακυβέρνησης του οργανισμού σας για τη συμμετοχή του ΥΠΔ.
  • Εάν δεν απαιτείται ΥΠΔ:
    • Σκεφτείτε σοβαρά: Ακόμη και αν δεν ορίσετε έναν ΥΠΔ κατά την έννοια του ΓΚΠΔ, θα πρέπει να συμμορφώνεστε με ορισμένες απαιτήσεις προστασίας δεδομένων. Σας συμβουλεύουμε να ορίσετε έναν ΥΠΔ σε εθελοντική βάση, ή ένα πρόσωπο που δεν θα έχει τον τίτλο του ΥΠΔ, το οποίο, ακόμη και αν δεν ασκεί πλήρως τα καθήκοντα του ΥΠΔ, θα παρακολουθεί τη συμμόρφωση και θα ενεργεί ως σημείο επικοινωνίας για τα άτομα που ασκούν τα δικαιώματά τους ως υποκείμενα των δεδομένων.