Ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων (DPO)

Απόσπασμα από το βιβλίο του Bruno DUMAY: ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΗ GDPR – Για διευθυντές, στρατηγικά τμήματα και υπαλλήλους εταιρειών και οργανισμών – Πρόλογος από την Gaëlle MONTEILLER

Μαζί με την Εκτίμηση Επιπτώσεων, ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ) αποτελεί τη δεύτερη εμβληματική δημιουργία του ΓΚΠΔ. Στη Γαλλία, αντικαθιστά λογικά τον Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ), τον Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ). Πρέπει, ωστόσο, να σημειωθεί ότι η Ευρωπαϊκή Ένωση έχει συστήσει εδώ και καιρό τον διορισμό ΥΠΔ σε μεγάλες διοικητικές και οικονομικές δομές και ότι ορισμένες έχουν ακολουθήσει αυτήν τη σύσταση.

Η G29 εργάστηκε πάνω στον ρόλο του ΥΠΔ και υιοθέτησε ορισμένες «κατευθυντήριες γραμμές» που οριστικοποιήθηκαν στις 5 Απριλίου 2017. Αυτές οι λεπτομέρειες μας βοηθούν να σκιαγραφήσουμε τα περιγράμματα και το περιεχόμενο αυτής της βασικής θέσης.

Ο ορισμός ΥΠΔ είναι υποχρεωτικός για (άρθρο 37-1):

– δημόσιοι φορείς·

– οργανισμούς των οποίων οι βασικές δραστηριότητες απαιτούν την τακτική και συστηματική παρακολούθηση ατόμων σε μεγάλη κλίμακα. Η G29 κάνει διάκριση μεταξύ δραστηριοτήτων υποστήριξης, όπως η μισθοδοσία ή η πληροφορική, και βασικών δραστηριοτήτων, που αφορούν την κύρια επιχειρηματική δραστηριότητα του οργανισμού (δεδομένα υγείας για ένα νοσοκομείο, για παράδειγμα). Ομοίως, υιοθετεί μια πολύ ευρεία άποψη για την έννοια της «τακτικής και συστηματικής παρακολούθησης», η οποία δεν περιορίζεται στο διαδικτυακό περιβάλλον·

– οργανισμοί των οποίων οι βασικές δραστηριότητες τους οδηγούν στην επεξεργασία «ευαίσθητων» δεδομένων ή δεδομένων που σχετίζονται με ποινικές καταδίκες και αδικήματα σε μεγάλη κλίμακα (το G29 παρέχει σημαντικά στοιχεία για τον προσδιορισμό του τι εννοείται με τον όρο «μεγάλης κλίμακας»).

Ένας όμιλος εταιρειών ή ένα σύνολο δημόσιων φορέων μπορεί να διορίσει έναν μόνο ΥΠΔ (άρθρα 37-2 και 37-3). Φυσικά, ο διορισμός ενός ΥΠΔ συνιστάται έντονα από την G29, ως ορθή πρακτική και εδώ.

Ο υπεύθυνος προστασίας δεδομένων διορίζεται από τον υπεύθυνο επεξεργασίας και, κατά περίπτωση, από τον εκτελούντα την επεξεργασία, με βάση τα επαγγελματικά του προσόντα, «ιδίως τις εξειδικευμένες γνώσεις του σχετικά με τη νομοθεσία και τις πρακτικές περί προστασίας δεδομένων, και την ικανότητά του να εκτελεί τα καθήκοντά του» (άρθρο 37-5). Όσο πιο σύνθετες είναι οι εργασίες επεξεργασίας, τόσο υψηλότερες είναι οι αναμενόμενες δεξιότητες.

Ο ΥΠΔ μπορεί να είναι εσωτερικός ή εξωτερικός του οργανισμού και, στη δεύτερη περίπτωση, να εκτελεί την αποστολή του βάσει σύμβασης. Εάν ο πάροχος υπηρεσιών είναι ομάδα, τα καθήκοντα κάθε μέλους πρέπει να καθορίζονται και να ορίζεται ένας επικεφαλής ομάδας. Η Ομάδα Εργασίας του άρθρου 29 συνιστά ο ΥΠΔ να είναι εύκολα «προσβάσιμος» και, ως εκ τούτου, να είναι εγκατεστημένος στην Ευρωπαϊκή Ένωση. Ωστόσο, ιδίως όταν ο υπεύθυνος επεξεργασίας ή ο επεξεργαστής εδρεύουν εκτός Ευρωπαϊκής Ένωσης, είναι αποδεκτό ο ΥΠΔ να εδρεύει εκτός ΕΕ, εάν μπορεί να ενεργεί πιο αποτελεσματικά με αυτόν τον τρόπο.

Ο ΥΠΔ δεν παίζει μόνο συμβολικό ρόλο. Πρέπει να συμμετέχει, από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, «σε όλα τα θέματα που σχετίζονται με την προστασία των προσωπικών δεδομένων» (άρθρο 38-1). Μπορεί να επικοινωνήσει μαζί του οποιοδήποτε πρόσωπο του οποίου τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία (άρθρο 38-4). Διαθέτει τους «απαραίτητους πόρους» για την εκτέλεση των καθηκόντων του, έχει πρόσβαση στα δεδομένα και τις εργασίες επεξεργασίας, και πρέπει ακόμη και να είναι σε θέση να «διατηρεί τις εξειδικευμένες γνώσεις του» (άρθρο 38-2). Με τον όρο «απαραίτητοι πόροι», η G29 εννοεί επίσης υποστήριξη μέσω εποπτείας, επαρκούς χρόνου, υλικών συνθηκών και εκπαίδευσης. Ο ΥΠΔ είναι, κατά κάποιο τρόπο, αγιασμένος.

Πόσο μάλλον που η ανεξαρτησία του είναι εγγυημένη. Δεν μπορεί στην πραγματικότητα να «λαμβάνει οδηγίες σχετικά με την άσκηση των αποστολών» (άρθρο 38-3). Ο υπεύθυνος επεξεργασίας δεδομένων και ο υπεργολάβος δεν έχουν καμία εξουσία επ' αυτού (έχουν, ωστόσο, την εξουσία να τον διορίσουν), ο οποίος είναι υπόλογος μόνο στο «ανώτατο επίπεδο» της διοίκησής τους. Υπόκειται επίσης στο επαγγελματικό απόρρητο και στην υποχρέωση εμπιστευτικότητας (άρθρο 38-5).

Παρά το καθεστώς τους, ο ΥΠΔ δεν φέρει ευθύνη για μη συμμόρφωση με τον ΓΚΠΔ από τον οργανισμό που τους ανέθεσε την επεξεργασία. Μόνο ο υπεύθυνος επεξεργασίας δεδομένων ή/και ο επεξεργαστής φέρουν ευθύνη. Ποινική ευθύνη μπορεί να προκύψει μόνο σε περίπτωση συνενοχής σε εκούσια παραβίαση.

Ο υπεύθυνος προστασίας δεδομένων μπορεί να εκτελεί άλλα καθήκοντα και εργασίες, τα οποία δεν πρέπει να συνεπάγονται σύγκρουση συμφερόντων (άρθρο 38-6). Επομένως, είναι αδύνατο να εκτελεί λειτουργίες που θα τον οδηγούσαν να αποφασίσει για τους σκοπούς και τα μέσα επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Επομένως, ένας ΥΠΔ δύσκολα μπορεί να ασκεί διοικητικά καθήκοντα του οργανισμού ή να εργάζεται εντός του τμήματος που είναι υπεύθυνο για τη διαχείριση δεδομένων. Το 2015, η CNIL διεξήγαγε μελέτη για να προσδιορίσει τα προφίλ των υπευθύνων προστασίας δεδομένων. Αποδείχθηκε ότι δεν υπήρχε τυπικό προφίλ: 47 % είχαν τεχνικό προφίλ, 19 % νομικό προφίλ, 10 % διοικητικό προφίλ. Είναι πιθανό ότι, τουλάχιστον αρχικά, αυτή η απουσία τυπικού προφίλ θα διαπιστωθεί μεταξύ των ΥΠΔ.

Το άρθρο 39 του ΓΚΠΔ απαριθμεί τα καθήκοντα του εκπροσώπου:

– ενημερώνουν και συμβουλεύουν τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τους υπαλλήλους που εκτελούν την επεξεργασία σχετικά με τις υποχρεώσεις τους που αφορούν τους κανόνες επεξεργασίας δεδομένων προσωπικού χαρακτήρα·

– παρακολούθηση της συμμόρφωσης με τους κανονισμούς, αλλά και ευαισθητοποίηση και εκπαίδευση του προσωπικού που εμπλέκεται σε εργασίες επεξεργασίας·

– να παρέχουν συμβουλές, εφόσον ζητηθεί, σχετικά με την εκτίμηση επιπτώσεων. Οι κατευθυντήριες γραμμές της Ομάδας Εργασίας του άρθρου 29 αναθέτουν σαφώς στον ΥΠΔ σημαντικό ρόλο σε αυτήν την αξιολόγηση. Πρέπει να ζητείται η γνώμη του σχετικά με την επικαιρότητα, τη μεθοδολογία και το περιεχόμενό της και στη συνέχεια να κρίνεται η ποιότητά της·

– να συνεργάζεται με την εποπτική αρχή και να αποτελεί το σημείο επαφής της. Κατά τη στιγμή της σύνταξης του παρόντος, η CNIL καταρτίζει μια φόρμα για τον ορισμό του ΥΠΔ.

Δεν υπάρχει στο άρθρο, αλλά η G29 προσθέτει μια πρόσθετη και προαιρετική αποστολή στον ΥΠΔ: «Τίποτα δεν εμποδίζει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να εμπιστευτούν στον ΥΠΔ την αποστολή της τήρησης του μητρώου των πράξεων επεξεργασίας που εκτελούνται υπό την ευθύνη του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία». Ίσως αυτή είναι μια πρόταση για τη διευκόλυνση της ροής πληροφοριών μεταξύ των διαφόρων φορέων;

Αυτό δεν θα ήταν άχρηστο. Διότι στο τέλος της ανάλυσης αυτής της λειτουργίας, λέμε στον εαυτό μας ότι δεν θα είναι εύκολο να βρεθεί, ακόμη και σε μια μεγάλη εταιρεία, ένα άτομο που είναι ταυτόχρονα ικανό να διαδραματίσει αυτόν τον σημαντικό ρόλο και απαλλαγμένο από οποιαδήποτε ευθύνη στην επεξεργασία δεδομένων, προκειμένου να αποφευχθούν οι συγκρούσεις συμφερόντων. Δεν είναι πράγματι εύκολο να γνωρίζει κανείς τις διατάξεις ενός κανονισμού, και ιδίως τις συνέπειές τους, όταν δεν χρειάζεται να τις εφαρμόσει ο ίδιος στο πλαίσιο της εργασίας του.

Σε αυτό το σημείο, η δήλωση προβλήματος για την ονομασία του DPO σας είναι απλή, παρόλο που στην πραγματικότητα πρόκειται για τρεις ξεχωριστές δηλώσεις:

Κατά τον εσωτερικό διορισμό του, υπάρχουν πολλά εμπόδια που πρέπει να ξεπεραστούν, όπως η κοινωνική πτυχή και η επαναδιαπραγμάτευση της σύμβασης εργασίας. Πράγματι, σε αυτήν την περίπτωση, είναι βέβαιο ότι το εύρος αυτής της νέας αποστολής δεν ήταν γνωστό όταν υπογράφηκε αρχικά η σύμβαση. Αν προσθέσουμε την έννοια του κινδύνου, την άμεση και αποκλειστική υπαγωγή στη διακυβέρνηση της εταιρείας και καμία άλλη, πρόκειται για μια ουσιαστική τροποποίηση της σύμβασης, επομένως για μια νέα σύμβαση εργασίας. Και ποιος θα την αξιολογήσει εσωτερικά, θα την ελέγξει; Και ποιος θα κάνει τη δουλειά του, αφού δεν μπορεί πλέον να είναι κριτής και διαιτητής...

Προσλάβετέ τον και η ζήτηση θα εκτοξευθεί. Το προφίλ του είναι τόσο περιζήτητο από μεγάλες και μεσαίες εταιρείες που υπάρχει πραγματικός πληθωρισμός, λόγω έλλειψης. Και το πρόβλημα παραμένει: ποιος θα τον αξιολογήσει και θα τον παρακολουθήσει;

Επομένως, γιατί να μην ανατεθεί αυτή η λειτουργία του ΥΠΔ σε έναν ορκωτό επαγγελματία, ο οποίος θα μπορούσε να εκτελέσει τον ρόλο του με δεξιότητες και ανεξαρτησία που είναι δύσκολο να συμβιβαστούν εσωτερικά; Ο κανονισμός δεν αναφέρει τίποτα σχετικά με αυτή τη δυνατότητα και θα είναι απαραίτητο να δούμε στην πράξη εάν είναι εφικτή και προβλέψιμη (τίποτα δεν μας εμποδίζει να αμφισβητήσουμε την CNIL σχετικά με αυτό το θέμα). Σε κάθε περίπτωση, μας φαίνεται ενδιαφέρον, ως εγγύηση μιας ενάρετης σχέσης μεταξύ του υπευθύνου επεξεργασίας δεδομένων και του υπευθύνου προστασίας δεδομένων.

Και τέλος, μπορούμε απλώς να αποφασίσουμε να μην διορίσουμε ΥΠΔ, επειδή απλώς δεν είστε απολύτως υποχρεωμένοι να το κάνετε.