Ο ρόλος της διοίκησης μιας εταιρείας στη συμμόρφωση με τον GDPR

Ο διευθυντής μιας εταιρείας είναι συνήθως ο ηγέτης ή ο διευθυντής της εταιρείας, του οποίου η αποστολή είναι να λαμβάνει στρατηγικές και επιχειρησιακές αποφάσεις για την επίτευξη των στόχων της εταιρείας. Ανάλογα με τη δομή της εταιρείας, ο διευθυντής μπορεί να είναι:

• Ο Διευθύνων Σύμβουλος (CEO),
• Ο Γενικός Διευθυντής (ΓΔ),
• Ο Πρόεδρος του Διοικητικού Συμβουλίου (ΔΣΣ),
• Το Διοικητικό Συμβούλιο (ΔΣ) ή το Εποπτικό Συμβούλιο (ΕΕΠ) σε εταιρείες με διπλή δομή διακυβέρνησης,
• Ο διαχειριστής ή ο διευθύνων εταίρος σε ατομικές επιχειρήσεις ή εταιρείες περιορισμένης ευθύνης (SARL),
• Ο πρόεδρος ή ο γενικός γραμματέας σε μη κερδοσκοπικούς οργανισμούς.

Ο ΓΚΠΔ δεν ορίζει ρητά τον ρόλο του «διοικητή» μιας εταιρείας.

Ωστόσο, ο ΓΚΠΔ επιβάλλει ορισμένες υποχρεώσεις συμμόρφωσης στους υπεύθυνους επεξεργασίας δεδομένων, οι οποίοι μπορούν να θεωρηθούν υπεύθυνοι για τη διακυβέρνηση της εταιρείας όσον αφορά την προστασία των προσωπικών δεδομένων.

Ο υπεύθυνος επεξεργασίας δεδομένων είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, ο εταίρος ή ο υπεργολάβος ή οποιοσδήποτε άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας.

Συνεπώς, ο υπεύθυνος επεξεργασίας δεδομένων είναι υπεύθυνος για τη διακυβέρνηση των προσωπικών δεδομένων της εταιρείας και είναι υπεύθυνος για την εφαρμογή κατάλληλων μέτρων για τη διασφάλιση της συμμόρφωσης με τους ΓΚΠΔ.

Σύμφωνα με τον ΓΚΠΔ, ο υπεύθυνος επεξεργασίας δεδομένων είναι υπεύθυνος για τη λήψη τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας και του απορρήτου των προσωπικών δεδομένων, τη διασφάλιση της διαφάνειας στη συλλογή και χρήση των προσωπικών δεδομένων, την ενημέρωση των υποκειμένων των δεδομένων για τα δικαιώματά τους και τη λήψη μέτρων για τη διασφάλιση της άσκησης αυτών των δικαιωμάτων.

Συνοπτικά, ο διευθυντής μιας εταιρείας στο πλαίσιο του ΓΚΠΔ είναι ο de facto υπεύθυνος επεξεργασίας δεδομένων, ο οποίος είναι υπεύθυνος για τη διακυβέρνηση και τη συμμόρφωση της εταιρείας όσον αφορά την προστασία των προσωπικών δεδομένων.

Η κυβέρνηση έχει πολλές υποχρεώσεις στο πλαίσιο της συμμόρφωσης με τον ΓΚΠΔ, και συγκεκριμένα:

• Ευθύνη

Η Διοίκηση πρέπει να ορίσει έναν Υπεύθυνο Προστασίας Δεδομένων (DPO) ή έναν Ανταποκριτή Προστασίας Δεδομένων (DPC), ο οποίος θα είναι υπεύθυνος για την επίβλεψη της συμμόρφωσης με τους ΓΚΠΔ.

• Διαφάνεια

Η διακυβέρνηση πρέπει να ενημερώνει τα υποκείμενα των δεδομένων σχετικά με τη συλλογή, την επεξεργασία και τη χρήση των προσωπικών τους δεδομένων.

• Συγκατάθεση

Η διοίκηση πρέπει να λαμβάνει ρητή συγκατάθεση από τα υποκείμενα των δεδομένων πριν από τη συλλογή, την επεξεργασία και τη χρήση των προσωπικών τους δεδομένων.

• Δικαιώματα των υποκειμένων των δεδομένων

Η διακυβέρνηση πρέπει να εγγυάται τα δικαιώματα των υποκειμένων των δεδομένων, όπως το δικαίωμα πρόσβασης, το δικαίωμα διόρθωσης, το δικαίωμα διαγραφής, το δικαίωμα φορητότητας των δεδομένων και το δικαίωμα αντίρρησης.

• Προστασία δεδομένων

Η διοίκηση πρέπει να λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων από απώλεια, καταστροφή, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή μη εξουσιοδοτημένη πρόσβαση.

• Ειδοποίηση παραβίασης δεδομένων

Η διοίκηση οφείλει να γνωστοποιεί τις παραβιάσεις προσωπικών δεδομένων στην αρμόδια εποπτική αρχή εντός 72 ωρών από την ανακάλυψη της παραβίασης.

• Εκτίμηση Επιπτώσεων στην Προστασία Δεδομένων

Η διακυβέρνηση πρέπει να διενεργεί Εκτίμηση Επιπτώσεων στην Προστασία Δεδομένων (ΕΕΠΔ) για να αξιολογεί τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

Συνοπτικά, η διακυβέρνηση πρέπει να λάβει μέτρα για να διασφαλιστεί η συμμόρφωση με το ΓΚΠΔ και να προστατεύουν τα προσωπικά δεδομένα των εν λόγω προσώπων.