H Υπεύθυνη Προστασίας Δεδομένων του Νεάπολις Πάφου Ιλιάνα Κέλη-Γεωργίου μιλά στο PafosNet

ΚΟΙΝΩΝΙΑ

Στις 25 Μαΐου 2018, τέθηκε σε ισχύ ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR). Ο Κανονισμός αυτός έφερε σημαντικές αλλαγές στην προστασία των προσωπικών δεδομένων όχι μόνο στη χώρα μας αλλά στην Ε.Ε. Μεταξύ άλλων ο Κανονισμός αυτός εισάγει ένα νέο ανεξάρτητο θεσμό αυτό της θέσης του Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ) γνωστό και ως Data Protection Officer (DPO).

Για το σημαντικό αυτό ζήτημα, μίλησε στο PafosNet η Ιλιάνα Κέλη-Γεωργίου, ΥΠΔ στο Πανεπιστήμιο Νεάπολις Πάφου, ώστε να μας εξηγήσει περισσότερα για αυτήν τη νέα θέση.

Είναι ο ΥΠΔ κάτι καινούργιο για τις επιχειρήσεις;

Ο ΥΠΔ σαν έννοια δεν είναι άγνωστος αφού υπάρχει στην Οδηγία (ΕΚ) 95/46. Ο Κανονισμός (ΕΕ) 2016/679 όμως εισάγει πλέον την υποχρέωση ενός οργανισμού να ορίσει ΥΠΔ σε τρείς περιπτώσεις. Η πρώτη περίπτωση είναι ο δημόσιος τομέας, π.χ σχολεία, υπουργεία, οργανισμοί τοπικής αυτοδιοίκησης κτλ  (εκτός από τα δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους ιδιότητας) και οι άλλες δύο αφορούν επιχειρήσεις ιδιωτικού τομέα. Οι δύο περιπτώσεις του ιδιωτικού τομέα αφορούν οργανισμούς που λόγω της φύσης των εργασιών τους οι βασικές δραστηριότητες τους απαιτούν τακτική και συστηματική παρακολούθηση των ατόμων τα οποία αφορούν τα δεδομένα και οργανισμούς που επεξεργάζονται προσωπικά δεδομένα συγκεκριμένων κατηγοριών, όπως γενετικά, βιομετρικά, δεδομένα υγείας, δεδομένα που αφορούν ποινικές καταδίκες κτλ.

Να τονίσω ότι η εξαίρεση των δικαστηρίων που ανέφερα πιο πάνω δεν καλύπτει και την αρχειακή λειτουργία τους. Αυτό σημαίνει ότι οι γραμματείες των Δικαστηρίων οφείλουν να έχουν ΥΠΔ.

Ποια είναι τα προσόντα διορισμού ενός ΥΠΔ;

Ο Κανονισμός μεταξύ άλλων αναφέρει ότι ο ΥΠΔ διορίζεται «βάσει επαγγελματικών προσόντων και βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων». Κατά την γνώμη μου ένας ΥΠΔ θα πρέπει να διαθέτει νομική παιδεία. Αν και δεν ορίζεται ρητά,  η φράση «εμπειρογνωσία στον τομέα του δικαίου» υπονοεί εξοικείωση με την προστασία δεδομένων προς την νομική της διάσταση.

Επιπλέον ένας ΥΠΔ θα πρέπει να γνωρίζει τον επιχειρηματικό κλάδο τον οποίο καλείται να υπηρετήσει, να γνωρίζει τις διαδικασίες και τους διοικητικούς κανόνες του οργανισμού, των πληροφοριακών του συστημάτων και των συστημάτων ασφαλείας.

Παράλληλα εξετάζονται και οι προσωπικές ικανότητες του όπως η ακεραιότητα, εχεμύθεια και η επαγγελματική δεοντολογία.

Πώς θα περιγράφατε τον ρόλο του ΥΠΔ σε έναν οργανισμό;

Ο ΥΠΔ έχει πολλά να προσφέρει σε έναν οργανισμό. Σε γενικές γραμμές ελέγχει την συμμόρφωση του οργανισμού με τον Κανονισμό, παρέχει συμβουλές προς τον οργανισμό, ενημερώνει/ εκπαιδεύει το προσωπικό, προβαίνει σε εκτιμήσεις αντικτύπου κτλ.

Είναι επίσης το πρόσωπο επικοινωνίας των ατόμων τα οποία αφορούν τα δεδομένα για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους και την ενάσκηση των δικαιωμάτων τους κάτω από τον ΓΚΠΔ. Ο ΥΠΔ είναι ο σύνδεσμος μεταξύ του οργανισμού και της εποπτικής αρχής.

Είναι πολύ σημαντικό το άτομο το οποίο κατέχει τη θέση του ΥΠΔ και είναι μέλος του οργανισμού να μην εκτελεί και καθήκοντα που έρχονται σε αντίθεση με τον ρόλο του ως υπεύθυνο προστασίας δεδομένων. Να μην υπάρχει δηλαδή σύγκρουση συμφερόντων.  

Επίσης κάτι πολύ σημαντικό είναι ότι ο ΥΠΔ λογοδοτεί μόνο στην ανώτερη διοίκηση του οργανισμού, και δεν φέρει ευθύνη για τυχόν παραβάσεις από τον οργανισμό.  

Ποια είναι η κατάσταση στη Κύπρο; Συμμορφώνονται οι εταιρείες με την υποχρέωση διορισμού ΥΠΔ;

Θα πρέπει να γίνει αντιληπτό ότι ο Κανονισμός έφερε τα πάνω κάτω όσον αφορά στην επεξεργασία των προσωπικών δεδομένων και κατ’ επέκταση τον τρόπο που διεξάγουν τις εργασίες τους οι εταιρείες. Δεν είναι εύκολο να αλλάξει η κουλτούρα αυτή, είναι όμως αναγκαίο και επείγον.

Μετράμε ήδη δύο χρόνια που ο Κανονισμός βρίσκεται στη ζωή μας και κάποιες εταιρείες δεν έχουν ακόμη συμμορφωθεί. Ο ΥΠΔ είναι ένας νέος ρόλος στο προσωπικό της εταιρείας, αλλά είναι εκεί για να βοηθήσει και να κατευθύνει την εταιρεία προς την συμμόρφωση. Είναι αναγκαίες οι υπηρεσίες του, και μόνο ο διορισμός ενός ΥΠΔ σε μια εταιρεία δείχνει βήματα προς την εναρμόνιση, κάτι που μετρά θετικά στους ελέγχους της εποπτικής αρχής.

Δηλαδή αρκεί ο διορισμός ενός ΥΠΔ για απόδειξη συμμόρφωσης;

Όχι, δεν είναι τόσο απλό. Η πρόσληψη ενός ΥΠΔ δεν σημαίνει ότι απαλλάσσει τον οργανισμό από οποιαδήποτε άλλη ευθύνη. Ο διορισμός ενός ΥΠΔ, όπως ανέφερα πριν, δείχνει ότι ο οργανισμός κάνει κάποια βήματα προς τη συμμόρφωση/ εναρμόνιση. Η εναρμόνιση ή συμμόρφωση δεν είναι κάτι που το πετυχαίνεις και τελειώνει. Είναι μια συνεχής εργασία, μελέτη και ένα τεράστιο πεδίο νομικής έρευνας.

Ο οργανισμός σαν υπεύθυνος επεξεργασίας παραμένει πλήρως υπεύθυνος για τη συμμόρφωση με τον ΓΚΠΔ.

Οι υπεύθυνοι επεξεργασίας πρέπει να κατανοήσουν ότι παραμένουν νομικά υπεύθυνοι έναντι των υποκειμένων των δεδομένων για την επεξεργασία των προσωπικών τους δεδομένων.

Πρέπει ο ΥΠΔ να είναι υπάλληλος της εταιρείας;

Όχι απαραίτητα. Ένας ΥΠΔ μπορεί να είναι υπάλληλος ή μπορεί και να ασκεί τα καθήκοντα του βάσει σύμβασης παροχής υπηρεσιών.

Υπάρχουν θετικά και αρνητικά σε κάθε περίπτωση κάτι που ο κάθε οργανισμός θα πρέπει να εξετάσει πριν πάρει απόφαση για εσωτερικό ή εξωτερικό ΥΠΔ, π.χ το είδος εργασίας του οργανισμού, όγκος προσωπικών δεδομένων, γνώση του ΥΠΔ για το industry του οργανισμού, σύγκρουση συμφερόντων κτλ.