Διάβασε

O ρόλος του Υπεύθυνου Προστασίας Δεδομένων

Το πρώτο βήμα που πρέπει να κάνουν όλοι οι οργανισμοί που έχουν ως βασική δραστηριότητα την επεξεργασία κι αποθήκευση δεδομένων προσωπικού χαρακτήρα, π.χ. μεγάλες εταιρείες, δημόσιες υπηρεσίες, οργανισμοί στον τομέα της υγείας και της κοινωνικής πρόνοιας, χρηματοπιστωτικά ιδρύματα κ.λπ., προκειμένου να διασφαλίσουν τη συμμόρφωση με το νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της Ε.Ε. είναι να ορίσουν έναν Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer - DPO).

Από τις 25 Μαΐου 2018, όταν και τέθηκε σε ισχύ ο νέος κανονισμός, ο υπεύθυνος προστασίας δεδομένων καθίσταται υποχρεωτικός, σύμφωνα με το άρθρο 37, για όλες τις εταιρείες που συλλέγουν ή επεξεργάζονται τα προσωπικά δεδομένα των πολιτών της Ε.Ε. 

Οι ΥΠΔ έχουν την ευθύνη επίβλεψης της στρατηγικής και της εφαρμογής της προστασίας δεδομένων σε έναν οργανισμό, προκειμένου να διασφαλιστεί η συμμόρφωση με τις απαιτήσεις του GDPR. Επίσης, χρησιμεύουν ως σημείο επαφής μεταξύ της εταιρείας και των αρχών που εποπτεύουν δραστηριότητες, οι οποίες σχετίζονται με δεδομένα.

Οι υπεύθυνοι προστασίας δεδομένων είναι υπεύθυνοι για την εκπαίδευση του οργανισμού τους και των υπαλλήλων του σχετικά με τις σημαντικές απαιτήσεις συμμόρφωσης με το GDPR, την κατάρτιση του προσωπικού που ασχολείται με την επεξεργασία δεδομένων και τη διενέργεια τακτικών ελέγχων ασφάλειας.

Αρμοδιότητες του ΥΠΔ

Ειδικότερα, όπως περιγράφεται στο άρθρο 39 του GDPR, οι αρμοδιότητες του ΥΠΔ περιλαμβάνουν, μεταξύ άλλων, τα ακόλουθα:

• Εκπαίδευση του οργανισμού και των εργαζομένων σχετικά με σημαντικές απαιτήσεις συμμόρφωσης.
• Εκπαίδευση του προσωπικού που ασχολείται με την επεξεργασία δεδομένων.
• Διενέργεια ελέγχων για την εξασφάλιση της συμμόρφωσης και αντιμετώπιση των πιθανών ζητημάτων προληπτικά.
• Εξυπηρετεί ως σημείο επαφής μεταξύ του οργανισμού του και των εποπτικών αρχών για το GDPR.
• Παρακολούθηση των επιδόσεων και παροχή συμβουλών σχετικά με τον αντίκτυπο των προσπαθειών προστασίας δεδομένων.
• Διατήρηση πληρέστατων αρχείων όλων των δραστηριοτήτων επεξεργασίας δεδομένων που διεξάγει ο οργανισμός του, συμπεριλαμβανομένου του σκοπού όλων των δραστηριοτήτων επεξεργασίας, οι οποίες πρέπει να δημοσιοποιούνται κατόπιν αιτήματος
• Διασύνδεση με τα πρόσωπα στα οποία αναφέρονται τα δεδομένα για να ενημερώνονται σχετικά με τον τρόπο με τον οποίο χρησιμοποιούνται τα δεδομένα τους, τα δικαιώματα τους για τη διαγραφή των προσωπικών τους δεδομένων και τα μέτρα που έχει λάβει ο οργανισμό του για την προστασία των προσωπικών τους πληροφοριών.

Ο κανονισμός προβλέπει, επίσης, ότι ο ΥΠΔ πρέπει να διαθέτει εμπειρογνωμοσύνη που να ευθυγραμμίζεται με τις λειτουργίες επεξεργασίας δεδομένων του οργανισμού και το σχετικό επίπεδο προστασίας δεδομένων που απαιτείται.

Οι ΥΠΔ μπορεί να είναι μέλος του προσωπικού του υπεύθυνου επεξεργασίας των δεδομένων και οι σχετικοί οργανισμοί μπορούν να χρησιμοποιούν το ίδιο άτομο για να εποπτεύουν συλλογικά την προστασία των δεδομένων, εφόσον είναι δυνατόν όλες οι δραστηριότητες προστασίας δεδομένων να διαχειρίζονται από το ίδιο άτομο και ο ΥΠΔ είναι εύκολα προσβάσιμος όποτε χρειάζεται. Απαιτείται η δημοσίευση των πληροφοριών του ΥΠΔ και η παροχή τους σε όλες τις εποπτικές αρχές.

Ο διορισμός ενός ΥΠΔ

Από τα παραπάνω, γίνεται κατανόητο ότι ο ΥΠΔ συνιστά ένα νευραλγικό πόστο και θα πρέπει να δίνεται έμφαση στη σωστή επιλογή του ατόμου που θα κληθεί να καλύψει αυτή τη θέση. 

Ο κατάλληλος ΥΠΔ, θα πρέπει να διαθέτει εξειδίκευση στον κανονισμό και τις πρακτικές προστασίας των δεδομένων, καθώς και να κατανοεί πλήρως την υποδομή, την τεχνολογία και την τεχνική και οργανωτική δομή του οργανισμού του. 

Ιδανικά, ένας ΥΠΔ πρέπει να έχει άριστες διαχειριστικές δεξιότητες και την ικανότητα εύκολης διεπαφής με το εσωτερικό προσωπικό σε όλα τα επίπεδα, καθώς και με τις εποπτικές αρχές. 

Οι εταιρείες και οι οργανισμοί θα πρέπει να αναζητούν υποψηφίους που να μπορούν να διαχειρίζονται εσωτερικά την προστασία δεδομένων και τη συμμόρφωση, ενώ παράλληλα θα αναφέρουν τυχόν μη συμμόρφωση με το GDPR στις αρμόδιες εποπτικές αρχές.

Σε αυτό το πλαίσιο, ο εντοπισμός μέσα σε έναν οργανισμό του κατάλληλου ατόμου, που θα μπορεί να είναι ανεξάρτητο από τις αποφάσεις για την επεξεργασία των δεδομένων, ενδέχεται να είναι δύσκολη υπόθεση. 

Ως εκ τούτο, ο ΥΠΔ δε χρειάζεται να διοριστεί αποκλειστικά μέσα από εσωτερική μετακίνηση προσωπικού ή κάποια πρόσληψη. Μπορεί να γίνει εξωτερική ανάθεση (outsourcing) των καθηκόντων του σε αξιόπιστους συνεργάτες που διαθέτουν την απαιτούμενη τεχνογνωσία.



This website uses cookies to improve your experience, as well as for advertising purposes. By using our website and agreeing to this policy, you are accepting the use of cookies. To find out more about our cookie policy please click here.

Accept