Β. Σωτηρόπουλος, Υπεύθυνος Προστασίας Δεδομένων, 2η έκδ., 2019
Ένα νέο πρόσωπο ανέλαβε καθήκοντα στις δημόσιες υπηρεσίες και σε ορισμένους οργανισμούς του ιδιωτικού τομέα από τον Μάιο του 2018: ο Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer). Ο νέος θεσμός επιβλήθηκε κατ’ εφαρμογή του Κανονισμού (ΕΕ) 2016/679 και της Οδηγίας (ΕΕ) 2016/680, δηλαδή του νέου ευρωπαϊκού πλαισίου για την προστασία προσωπικών δεδομένων.
Η πρώτη έκδοση του Εγχειριδίου για τον Υ.Π.Δ. κυκλοφόρησε το έτος 2017. Από τότε μεσολάβησαν πολλές και σημαντικές μεταβολές στο θεσμικό πλαίσιο της προστασίας προσωπικών δεδομένων. Η σημαντικότερη ήταν η μερική κατάργηση του Ν. 2472/1997 και η θέσπιση ενός νέου εθνικού νομοθετήματος, για τα «μέτρα εφαρμογής» των διατάξεων του GDPR, καθώς και για την ενσωμάτωση της νέας Οδηγίας που αφορά τις αρχές επιβολής του νόμου. Πρόκειται για τον Ν. 4624/2019, τον νέο νόμο για την προστασία προσωπικών δεδομένων σε εθνικό επίπεδο.
Η δεύτερη έκδοση του Εγχειριδίου αποτελεί το πρώτο έργο που κυκλοφορεί με θέμα τον Υπεύθυνο Προστασίας Δεδομένων, σε πλήρη επικαιροποίηση με τον Ν. 4624/2019 που περιλαμβάνει νέες διατάξεις για τον θεσμό. Ο εμπλουτισμός της έκδοσης όμως δεν περιορίζεται στις εθνικές εξελίξεις. Το έργο υποβλήθηκε στην αναθεώρηση που επέβαλαν η ίδια η Ευρωπαϊκή Ένωση και το Συμβούλιο της Ευρώπης στην κοινή έκδοσή τους «Εγχειρίδιο Ευρωπαϊκού Δικαίου Προστασίας Δεδομένων» το έτος 2018, στο οποίο περιλαμβάνεται η κοινή προσέγγιση για την συνεφαρμογή του GDPR με την επικαιροποιημένη (το έτος 2018) Σύμβαση αρ. 108 του Συμβουλίου της Ευρώπης για την προστασία του ατόμου έναντι της αυτοματοποιημένης επεξεργασίας προσωπικών δεδομένων. Εξέλιξη που επηρεάζει και τους Υ.Π.Δ. ήταν και η έκδοση του νέου Κανονισμού (ΕΕ) 2018/1725 για την προστασία δεδομένων από τα όργανα της Ε.Ε., με τον οποίο καταργήθηκε ο Κανονισμός (ΕΚ) 45/2001. Έκδοση που οδήγησε τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων να αναθεωρήσει το Position Paper του 2005 για τους Υπεύθυνους Προστασίας Δεδομένων, προσαρμόζοντας την αντίληψή του για τον θεσμό στο νέο περιβάλλον που διαμόρφωσε ο GDPR.
Ως έργο με καθαρά πρακτικό προσανατολισμό, το Εγχειρίδιο ανακεφαλαιώνει το σύνολο των παραδειγμάτων που έχουν χρησιμοποιηθεί σε κατευθυντήριες οδηγίες από θεσμικά όργανα, όπως το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και η Ομάδα Εργασίας για την Προστασία Δεδομένων του άρθρου 29 της Οδηγίας 95/46. Σε μια σειρά από θέματα, όπως ο ορισμός των προσωπικών δεδομένων, ο εντοπισμός του υπεύθυνου επεξεργασίας και ο διαχωρισμός του από τον εκτελούντα την επεξεργασία, οι προϋποθέσεις της έγκυρης συγκατάθεσης και η εκπλήρωση των νέων υποχρεώσεων διαφάνειας και ενημέρωσης, το Εγχειρίδιο περιλαμβάνει όλες τις απαντήσεις της Ε.Ε. και τις καλές πρακτικές περί την εφαρμογή των νέων διατάξεων. Κεντρικός στόχος της β΄ έκδοσης είναι η ενημέρωση των αναγνωστών για το σύνολο των επίσημων εγγράφων που νοηματοδοτούν τις νέες διατάξεις, υποδεικνύοντας πρακτικές λύσεις, λαμβάνοντας υπόψη από τις αιτιολογικές εκθέσεις που οδηγήσαν στην ψήφιση του Ν. 4624/2019 έως και τις νέες αποφάσεις του Δικαστηρίου της Ε.Ε. και του Ευρωπαϊκού Δικαστηρίου Δικαιωμάτων του Ανθρώπου.
Από το έργο δεν λείπει η κριτική αντιμετώπιση ερειζόμενων ζητημάτων, όπως η εφαρμογή των διατάξεων του GDPR στο δικηγορικό γραφείο, αλλά και οι νέες διατάξεις για την προστασία δεδομένων στον εργασιακό τομέα, στα ΜΜΕ και την συγκατάθεση για την επεξεργασία δεδομένων από τις διωκτικές αρχές, με βάση την ανάλυση των ρυθμίσεων του Ν. 4624/2019.
Πληροφορίες έκδοσης
Πίνακας περιεχομένων +-
1. ΕΙΣΑΓΩΓΗ
ΕΙΣΑΓΩΓΗ Α΄ ΕΚΔΟΣΗΣ
2. ΟΡΟΛΟΓΙΑ
2.1. Πηγές
2.2. «Δεδομένα προσωπικού χαρακτήρα»
2.2.1. Πρώτο στοιχείο: «Κάθε πληροφορία.»
2.2.2. Δεύτερο στοιχείο: «…που αναφέρεται σε…»
2.2.3. Τρίτο στοιχείο: «…ένα φυσικό πρόσωπο…»
2.2.4. Τέταρτο στοιχείο: «…του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί»
2.3. «Επεξεργασία»
2.4. «Υπεύθυνος επεξεργασίας»
2.4.1. Εξουσία λήψης των αποφάσεων για την τύχη των δεδομένων
2.4.2. Ο «σκοπός» και ο «τρόπος» της επεξεργασίας
2.4.3. Το φυσικό ή νομικό πρόσωπο που ορίζεται ως υπεύθυνος επεξεργασίας
2.4.4. Υπεύθυνος επεξεργασίας «μόνος ή από κοινού με άλλους»
2.5. «Εκτελών την επεξεργασία»
2.6. «Τρίτος»
2.7. «Αποδέκτης»
2.8. «Σύστημα αρχειοθέτησης»/«αρχείο»
2.9. «Συγκατάθεση»
2.9.1. Ελεύθερη συγκατάθεση
2.9.2. Ανισορροπία ισχύος
2.9.3. Αιρεσιμότητα
2.9.4. Λεπτομερής ανάλυση
2.9.5. Ζημία
2.9.6. Συγκεκριμένη συγκατάθεση
2.9.7. Εν πλήρει επιγνώσει συγκατάθεση
2.9.8. Ρητή δήλωση βούλησης
2.9.9. Πρόσθετες προϋποθέσεις για την εξασφάλιση έγκυρης συγκατάθεσης
(α) Απόδειξη συγκατάθεσης
(β) Ανάκληση συγκατάθεσης
2.10. «Κατάρτιση προφίλ»
2.11. «Ψευδωνυμοποίηση»
2.12. «Παραβίαση δεδομένων προσωπικού χαρακτήρα»
2.13. «Γενετικά δεδομένα»
2.14. «Βιομετρικά δεδομένα»
2.15. «Δεδομένα που αφορούν την υγεία»
2.16. «Ευαίσθητα δεδομένα» / «Ειδικές κατηγορίες δεδομένων»
2.17. «Επιχείρηση»
2.18. «Όμιλος επιχειρήσεων»
2.19. «Δεσμευτικοί εταιρικοί κανόνες»
2.20. «Αρχείο των δραστηριοτήτων επεξεργασίας»
2.21. «Εκτίμηση αντικτύπου»
2.22. Ογκώδη δεδομένα (Big data)
2.23. Διαλειτουργικότητα
2.24. Blockchain
3. ΤΟ ΥΠΟΒΑΘΡΟ ΤΟΥ ΘΕΣΜΟΥ
3.1. Στην Οδηγία (ΕΚ) 95/46 - οι προαιρετικοί ΥΠΔ
3.2. Στον Κανονισμό (ΕΚ) 45/2001 - οι κοινοτικοί ΥΠΔ
3.2.1. Η τήρηση της προστασίας δεδομένων από την ίδια την Κοινότητα.
3.2.2. Υποχρεωτικός διορισμός και καθήκοντα κοινοτικών ΥΠΔ
i) Eνημέρωση
ii) Συνεργασία με την εποπτική αρχή
iii) Διασφάλιση συμμόρφωσης
iv) Τήρηση μητρώου επεξεργασιών δεδομένων
v) Κοινοποίηση επικίνδυνων επεξεργασιών δεδομένων στον ΕΕΠΔ
3.2.3. Επιλογή των κοινοτικών ΥΠΔ
3.2.4. Διάρκεια θητείας
3.2.5. Υποχρέωση γνωστοποίησης του κοινοτικού ΥΠΔ στον ΕΕΠΔ
3.2.6. Αναγκαίο προσωπικό και πόροι
3.2.7. Ανεξαρτησία κοινοτικού ΥΠΔ
3.2.8. Απαλλαγή από τα καθήκοντα
3.2.9. Θέσπιση συμπληρωματικών διατάξεων για κοινοτικούς ΥΠΔ
(α) Συμβούλιο της ΕΕ
(β) Ευρωπαϊκή Επιτροπή
(γ) Ευρωπαϊκό Κοινοβούλιο
(δ) Δικαστήριο της Ευρωπαϊκής Ένωσης
(ε) Ευρωπαϊκό Ελεγκτικό Συνέδριο
(στ) Ευρωπαϊκή Κεντρική Τράπεζα
(ζ) Ευρωπαϊκή Τράπεζα Επενδύσεων
3.2.10. Βέλτιστες πρακτικές
(α) Περιοδική έκθεση ΥΠΔ
(β) Πρόγραμμα εργασιών
(γ) Συμμετοχή σε σχετικές ομάδες συζητήσεων
(δ) Δίκτυο συντονιστών προστασίας δεδομένων
3.2.11. Συγγενείς θεσμοί στην εθνική νομοθεσία
(α) Υπεύθυνος Διασφάλισης Απορρήτου
(β) Υπεύθυνος Ασφάλειας Δεδομένων
3.2.12. O θεσμός του ΥΠΔ στον κόσμο πριν την θέση σε ισχύ του ΓΚΠΔ
3.2.13. Οι ΥΠΔ μετά την εφαρμογή του ΓΚΠΔ
α) Ο ΥΠΔ του Υπουργείου Υγείας
β) Ο ΥΠΔ του Υπουργείου Οικονομικών
γ) Ο ΥΠΔ του Υπουργείου Οικονομίας και Ανάπτυξης
δ) Ο ΥΠΔ του Υπουργείου Ψηφιακής Διακυβέρνησης
ε) O ΥΠΔ της Ενιαίας Ανεξάρτητης Αρχής Δημοσίων Συμβάσεων
στ) Ο ΥΠΔ της Εθνικής Αρχής Διαφάνειας
4. Η ΘΈΣΗ ΤΟΥ ΥΠΔ
4.1. Συμμετοχή στην λήψη αποφάσεων
4.2. Πόροι και πρόσβαση σε δεδομένα
(α) Γραφείο ΥΠΔ
(β) Προσωπικό
(γ) Τεχνικός εξοπλισμός
(δ) Πρόσβαση σε όλα τα δεδομένα και τις επεξεργασίες δεδομένων
(ε) Πόροι για διατήρηση της εμπειρογνωσίας
4.3. Ανεξαρτησία
4.4. Λογοδοσία και ετήσια έκθεση
4.5. Πρόσωπο επικοινωνίας
4.6. Απόρρητο και εμπιστευτικότητα
4.7. Σύγκρουση συμφερόντων
4.8. Δεοντολογική συμπεριφορά ΥΠΔ
(α) Καθήκον εμπιστοσύνης
(β) Αναγκαιότητα της γνώσης
(γ) Καθήκον εμπιστευτικότητας
(δ) Σύγκρουση συμφερόντων
5. ΤΑ ΚΑΘΉΚΟΝΤΑ ΤΟΥ ΥΠΔ
5.1. Ενημερωτικός και συμβουλευτικός ρόλος
5.1.1. Περιεχόμενο καθήκοντος ενημέρωσης
(α) Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα
(β) Νομιμότητα της επεξεργασίας
(γ) Προϋποθέσεις για συγκατάθεση
(δ) Ευαίσθητα δεδομένα - ειδικές κατηγορίες δεδομένων
(ε) Υποχρέωση γνωστοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή
δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας
(στ) Ευθύνη του υπεύθυνου επεξεργασίας
(ζ) Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού
(η) Περισσότεροι υπεύθυνοι επεξεργασίας, εκπρόσωποι και εκτελούντες
την επεξεργασία
(θ) Aρχεία δραστηριοτήτων επεξεργασιών
(ι) Ασφάλεια επεξεργασίας
(ια) Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα
στην Αρχή
(ιβ) Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο
υποκείμενο των δεδομένων
(ιγ) Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων και προηγούμενη διαβούλευση
(ιδ) Διασυνοριακή διαβίβαση δεδομένων σε τρίτες χώρες ή διεθνείς
οργανισμούς
5.1.2. Τρόποι εκπλήρωσης καθήκοντος
Πληροφορίες που πρέπει να παρέχονται στο υποκείμενο των δεδομένων
– Άρθρα 13 και 14
5.2. Παρακολούθηση συμμόρφωσης
(α) Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων
(β) Δικαίωμα διόρθωσης
(γ) Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)
(δ) Δικαίωμα περιορισμού της επεξεργασίας
(ε) Δικαίωμα στη φορητότητα των δεδομένων
(στ) Δικαίωμα εναντίωσης
(ζ) Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της
κατάρτισης προφίλ
5.3. Εκτίμηση αντικτύπου
5.4. Συνεργασία με την Αρχή
5.5. Διαβούλευση με την Αρχή
6. ΒΉΜΑΤΑ ΓΙΑ ΤΗΝ ΈΝΑΡΞΗ ΛΕΙΤΟΥΡΓΊΑΣ ΥΠΔ
6.1. Πρόσκληση εκδήλωσης ενδιαφέροντος
6.2. Αξιολόγηση υποψηφιοτήτων
6.3. Ανάδειξη καταλληλότερου ΥΠΔ
6.4. Ορισμός ΥΠΔ και αναπληρωτή
6.5. Ίδρυση Γραφείου
6.6. Ενημέρωση ανθρώπινου δυναμικού
6.7. Κανονισμός λειτουργίας
6.8. Καταγραφή επεξεργασιών δεδομένων
6.9. Συμμετοχή σε συσκέψεις στελεχών
6.10. Διαδικτυακή υποδομή
6.11. Ετήσιο πρόγραμμα εργασίας
6.12. Ετήσια έκθεση
7. ΠΑΡΆΡΤΗΜΑ ΥΠΟΔΕΙΓΜΆΤΩΝ
Πρόσκληση δήλωσης ενδιαφέροντος για την επιλογή υπεύθυνου προστασίας δεδομένων
Σύμβασης παροχής ανεξάρτητων υπηρεσιών υπεύθυνου προστασίας δεδομένων
Ανακοίνωση ορισμού υπεύθυνου προστασίας δεδομένων ................................... 453