GDPR: Υπηρεσίες Υπεύθυνου Προστασίας Δεδομένων (DPO)

Εισαγωγή

Η θέση σε ισχύ του Γενικού Κανονισμού Προστασίας Δεδομένων 2016/679 (ΕΕ), γνωστού και ως «GDPR» ή «ΓΚΠΔ», σε συνδυασμό με τον εθνικό νόμο Ν.4624/2019 και τις Οδηγίες, Αποφάσεις και Γνωμοδοτήσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, συναπαρτίζουν το υφιστάμενο νομοθετικό πλαίσιο, με το οποίο θα πρέπει να συμμορφωθεί κάθε επιχείρηση που, κατά την άσκηση των δραστηριοτήτων της, συλλέγει και επεξεργάζεται προσωπικά δεδομένα.

Ως «προσωπικό δεδομένο», θεωρείται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Για παράδειγμα, προσωπικά δεδομένα νοούνται το όνομα, επώνυμο, διεύθυνση κατοικίας, ηλικία, επάγγελμα, ΑΦΜ, κλπ. ενός φυσικού προσώπου και οι επιχειρήσεις κατά κανόνα συλλέγουν προσωπικά δεδομένα των πελατών, των συνεργατών και των εργαζομένων τους.

Ως «ευαίσθητα προσωπικά δεδομένα» θεωρούνται αυτά που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

Η νομοθεσία για την προστασία προσωπικών δεδομένων εισάγει νέες, αυξημένες απαιτήσεις και υποχρεώσεις, για ανασχεδιασμό των διαδικασιών, με σκοπό τη συμμόρφωση στα νέα δεδομένα. Η συμμόρφωση με τη νομοθεσία για την προστασία προσωπικών δεδομένων (GDPR) αποτελεί πλέον ζήτημα υψίστης σημασίας, καθώς τυχόν παράβασή της μπορεί να οδηγήσει, πέρα από την επιβολή βαρύτατων διοικητικών προστίμων ύψους έως 10 ή και 20 εκατομμυρίων ευρώ (ανάλογα με τη βαρύτητα της παράβασης), ποινικών κυρώσεων, αποζημιώσεων, δικαστικών μαχών κλπ., στη βλάβη της φήμης του Πελάτη και στη δυσπιστία του καταναλωτικού κοινού, ως προς τη νόμιμη και ασφαλή επεξεργασία των προσωπικών του δεδομένων.

Η νομοθεσία για την προστασία προσωπικών δεδομένων αφορά κάθε επιχείρηση ή φορέα, δημόσιου και ιδιωτικού δικαίου που, είτε διατηρεί εγκατάσταση εντός της Ευρωπαϊκής Ένωσης (ΕΕ), είτε  επεξεργάζεται προσωπικά δεδομένα εντός αυτής (της Ένωσης) για την προσφορά αγαθών και υπηρεσιών ή την παρακολούθηση της συμπεριφοράς τους.

Περιγραφή Υπηρεσίας DPO

Ο ορισμός Υπεύθυνου Προστασίας Δεδομένων (DPO) αποτελεί ακρογωνιαίο λίθο για την διασφάλιση της διαρκούς συμμόρφωσης με τη νομοθεσία για την προστασία προσωπικών δεδομένων - GDPR. Ο DPO αναλαμβάνει ηγετικό ρόλο στα ζητήματα της ιδιωτικότητας και προστασίας των προσωπικών δεδομένων, παρέχοντας τις υπηρεσίες του τόσο απομακρυσμένα, όσο και με επιτόπιες επισκέψεις στο χώρο του Πελάτη. Ειδικότερα, σύμφωνα με το άρθρο 39 του GPDR, ο DPO:

  • ενημερώνει και συμβουλεύει τον Πελάτη, που ενεργεί είτε ως υπεύθυνος, είτε ως εκτελών την επεξεργασία και τους υπαλλήλους, σχετικά με τις υποχρεώσεις τους όπως απορρέουν από τη νομοθεσία για την προστασία των προσωπικών δεδομένων,
  • παρακολουθεί τη συμμόρφωση του Πελάτη με τη νομοθεσία για την προστασία των προσωπικών δεδομένων και με τις Πολιτικές και τις Διαδικασίες που έχει υιοθετήσει σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, καθώς και των σχετικών ελέγχων,
  • παρέχει συμβουλές, όταν ζητείται, όσον αφορά στην εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της,
  • συνεργάζεται με την ΑΠΔΠΧ,
  • αποτελεί το πρόσωπο επικοινωνίας με την ΑΠΔΠΧ για ζητήματα που σχετίζονται με την επεξεργασία δεδομένων, περιλαμβανομένης της προηγούμενης διαβούλευσης και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα,
  • παρακολουθεί και υποβάλλει εκθέσεις σχετικά με τη συνεχή συμμόρφωση και την ορθή πρακτική στη διαχείριση του φορέα σε ό,τι  αφορά σε θέματα προστασίας δεδομένων, στο πλαίσιο των συνεχιζόμενων νομικών και κανονιστικών εξελίξεων.

Αναγκαιότητα-Υποχρέωση Ορισμού DPO

Σύμφωνα με το Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) 2016/679 (ΕΕ), ορισμένοι φορείς υποχρεούνται να διορίσουν Υπεύθυνο Προστασίας Δεδομένων (DPO). Οι φορείς αυτοί είναι:

  • Δημόσιες Αρχές ή φορείς, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
  • Οι οργανισμοί που βασικές τους δραστηριότητες απαιτούν τακτική και συστηματική παρακολούθηση των προσωπικών δεδομένων σε μεγάλη κλίμακα,
  • Οι οργανισμοί που οι κύριες δραστηριότητές τους περιλαμβάνουν μεγάλης κλίμακας επεξεργασία των ευαίσθητων προσωπικών δεδομένων.

Ο DPO διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων του.

Η υπηρεσία DPO της Revival, επιτρέπει στον Πελάτη να εξασφαλίσει τη διαρκή συμμόρφωσή του με τη νομοθεσία για την προστασία των προσωπικών δεδομένων, συνεχίζοντας παράλληλα να επικεντρώνεται στις κύριες δραστηριότητές του. Εκτός από τη διατήρηση της κανονιστικής συμμόρφωσης, η υπηρεσία DPO, συμβάλει στην ενίσχυση της ασφάλειας και της παραγωγικότητας, στη διαχείριση κινδύνου και συνεπάγεται οφέλη από πλευράς κόστους.

Η αποσπασματική εφαρμογή τεχνικών και οργανωτικών μέτρων για την προστασία προσωπικών δεδομένων κρίνεται αναποτελεσματική εάν δε συνοδεύεται από τη διαρκή επίβλεψη της ορθής εφαρμογής και την επικαιροποίηση των διαδικασιών, που θα αναλάβει ο Υπεύθυνος Προστασίας Δεδομένων. Οι υπηρεσίες, λοιπόν, ενός άρτια κατηρτισμένου DPO, προσφέρουν υψηλή προστιθέμενη αξία σε κάθε επιχείρηση, είτε ο διορισμός του κρίνεται υποχρεωτικός, είτε αποτελεί αποτέλεσμα εθελοντικής επιλογής.

Το Ανταγωνιστικό Πλεονέκτημα της Revival

Η υπηρεσία DPO as a service της Revival, παρέχεται από ομάδα καταρτισμένων και έμπειρων στελεχών της, που  χαρακτηρίζονται από:

  • Άριστη γνώση του υφιστάμενου νομικού πλαισίου για την προστασία των προσωπικών δεδομένων και συγκεκριμένα του GDPR,
  • Γνώσεις και δεξιότητες ασφάλειας πληροφοριών,
  • Γνώση του τρόπου υλοποίησης του τρίπτυχου Confidentiality, Integrity και Availability,
  • Άριστη κατανόηση της διαχείρισης κινδύνου και των εκτιμήσεων κινδύνου,
  • Άριστη κατανόηση των προτύπων συμμόρφωσης,
  • Ικανότητα συντονισμού και παροχής συμβουλών σχετικά με τις παραβιάσεις δεδομένων και την γνωστοποίησή τους προς την εποπτική αρχή (ΑΠΔΠΧ),
  • Ικανότητα συντονισμού της διαδικασίας αντιμετώπισης περιστατικών ασφάλειας,
  • Άμεση ανταπόκριση στα αιτήματα-ερωτήματα του Πελάτη,
  • Συνεχή παρακολούθηση του εξελισσόμενου επιστημονικού διαλόγου σε ζητήματα προστασίας προσωπικών δεδομένων σε εθνικό και διεθνές επίπεδο,
  • Εμπειρία στην παροχή υπηρεσιών DPO, σε πελάτες του ιδιωτικού και του δημόσιου τομέα.
Alfred - 360°