Υπεύθυνος Προστασίας Δεδομένων
Εγχειρίδιο για τον ιδιωτικό και τον δημόσιο τομέα. Επικαιροποιημένο με τον Ν. 4624/2019
Κυκλοφορεί
ISBN: 978-960-648-051-5
2η έκδ., Ελληνική, Νέα
€ 48.00 (περ. ΦΠΑ 6%)
Βιβλίο, Χαρτόδετο
24 x 17 εκ, 454 σελ.
Περιγραφή

Ένα νέο πρόσωπο ανέλαβε καθήκοντα στις δημόσιες υπηρεσίες και σε ορισμένους οργανισμούς του ιδιωτικού τομέα από τον Μάιο του 2018: ο Υπεύθυνος Προστασίας Δεδομένων (Data Protection Officer). Ο νέος θεσμός επιβλήθηκε κατ’ εφαρμογή του Κανονισμού (ΕΕ) 2016/679 και της Οδηγίας (ΕΕ) 2016/680, δηλαδή του νέου ευρωπαϊκού πλαισίου για την προστασία προσωπικών δεδομένων. 

Η πρώτη έκδοση του Εγχειριδίου για τον Υ.Π.Δ. κυκλοφόρησε το έτος 2017. Από τότε μεσολάβησαν πολλές και σημαντικές μεταβολές στο θεσμικό πλαίσιο της προστασίας προσωπικών δεδομένων. Η σημαντικότερη ήταν η μερική κατάργηση του Ν. 2472/1997 και η θέσπιση ενός νέου εθνικού νομοθετήματος, για τα «μέτρα εφαρμογής» των διατάξεων του GDPR, καθώς και για την ενσωμάτωση της νέας Οδηγίας που αφορά τις αρχές επιβολής του νόμου. Πρόκειται για τον Ν. 4624/2019, τον νέο νόμο για την προστασία προσωπικών δεδομένων σε εθνικό επίπεδο. 

Η δεύτερη έκδοση του Εγχειριδίου αποτελεί το πρώτο έργο που κυκλοφορεί με θέμα τον Υπεύθυνο Προστασίας Δεδομένων, σε πλήρη επικαιροποίηση με τον Ν. 4624/2019 που περιλαμβάνει νέες διατάξεις για τον θεσμό. Ο εμπλουτισμός της έκδοσης όμως δεν περιορίζεται στις εθνικές εξελίξεις. Το έργο υποβλήθηκε στην αναθεώρηση που επέβαλαν η ίδια η Ευρωπαϊκή Ένωση και το Συμβούλιο της Ευρώπης στην κοινή έκδοσή τους «Εγχειρίδιο Ευρωπαϊκού Δικαίου Προστασίας Δεδομένων» το έτος 2018, στο οποίο περιλαμβάνεται η κοινή προσέγγιση για την συνεφαρμογή του GDPR με την επικαιροποιημένη (το έτος 2018) Σύμβαση αρ. 108 του Συμβουλίου της Ευρώπης για την προστασία του ατόμου έναντι της αυτοματοποιημένης επεξεργασίας προσωπικών δεδομένων. Εξέλιξη που επηρεάζει και τους Υ.Π.Δ. ήταν και η έκδοση του νέου Κανονισμού (ΕΕ) 2018/1725  για την προστασία δεδομένων από τα όργανα της Ε.Ε., με τον οποίο καταργήθηκε ο Κανονισμός (ΕΚ) 45/2001. Έκδοση που οδήγησε τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων να αναθεωρήσει το Position Paper του 2005 για τους Υπεύθυνους Προστασίας Δεδομένων, προσαρμόζοντας την αντίληψή του για τον θεσμό στο νέο περιβάλλον που διαμόρφωσε ο  GDPR.

Ως έργο με καθαρά πρακτικό προσανατολισμό, το Εγχειρίδιο ανακεφαλαιώνει το σύνολο των παραδειγμάτων που έχουν χρησιμοποιηθεί σε κατευθυντήριες οδηγίες από θεσμικά όργανα, όπως το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και η Ομάδα Εργασίας για την Προστασία Δεδομένων του άρθρου 29 της Οδηγίας 95/46. Σε μια σειρά από θέματα, όπως ο ορισμός των προσωπικών δεδομένων, ο εντοπισμός του υπεύθυνου επεξεργασίας και ο διαχωρισμός του από τον εκτελούντα την επεξεργασία, οι προϋποθέσεις της έγκυρης συγκατάθεσης και η εκπλήρωση των νέων υποχρεώσεων διαφάνειας και ενημέρωσης, το  Εγχειρίδιο περιλαμβάνει όλες τις απαντήσεις της Ε.Ε. και τις καλές πρακτικές περί την εφαρμογή των νέων διατάξεων. Κεντρικός στόχος της β΄ έκδοσης είναι η ενημέρωση των αναγνωστών για το σύνολο των επίσημων εγγράφων που νοηματοδοτούν τις νέες διατάξεις, υποδεικνύοντας πρακτικές λύσεις, λαμβάνοντας υπόψη από τις αιτιολογικές εκθέσεις που οδηγήσαν στην ψήφιση του Ν. 4624/2019 έως και τις νέες αποφάσεις του Δικαστηρίου της Ε.Ε. και του Ευρωπαϊκού Δικαστηρίου Δικαιωμάτων του Ανθρώπου. 

Από το έργο δεν λείπει η κριτική αντιμετώπιση ερειζόμενων ζητημάτων, όπως η εφαρμογή των διατάξεων του GDPR στο δικηγορικό γραφείο, αλλά και οι νέες διατάξεις για την προστασία δεδομένων στον εργασιακό τομέα, στα ΜΜΕ και την συγκατάθεση για την επεξεργασία δεδομένων από τις διωκτικές αρχές, με βάση την ανάλυση των ρυθμίσεων του Ν. 4624/2019.

1. Εισαγωγή .................................................................................................... 1

2. Γλωσσάρι .................................................................................................... 9

3. Υπόβαθρο του θεσμού....................................................................... 19

3.1 Στην Οδηγία (ΕΚ) 95/46 - οι προαιρετικοί ΥΠΔ ........................................... 20

3.2 Στον Κανονισμό (ΕΚ) 45/2001 - οι κοινοτικοί ΥΠΔ..................................... 23

3.2.1 Η τήρηση της προστασίας δεδομένων από την ίδια την Κοινότητα...... 23

3.2.2 Υποχρεωτικός διορισμός και καθήκοντα κοινοτικών ΥΠΔ................... 24

i) Eνημέρωση............................................................................................. 25

ii) Συνεργασία με την εποπτική αρχή............................................................ 27

iii) Διασφάλιση συμμόρφωσης..................................................................... 29

iv) Τήρηση μητρώου επεξεργασιών δεδομένων.............................................. 33

v) Κοινοποίηση επικίνδυνων επεξεργασιών δεδομένων στον ΕΕΠΔ ............. 35

3.2.3 Επιλογή των κοινοτικών ΥΠΔ............................................................... 38

3.2.4 Διάρκεια θητείας................................................................................... 40

3.2.5 Υποχρέωση γνωστοποίησης του κοινοτικού ΥΠΔ στον ΕΕΠΔ.............. 40

3.2.6 Αναγκαίο προσωπικό και πόροι............................................................ 40

3.2.7 Ανεξαρτησία κοινοτικού ΥΠΔ............................................................... 41

3.2.8 Απαλλαγή από τα καθήκοντα ............................................................... 45

3.2.9 Θέσπιση συμπληρωματικών διατάξεων για κοινοτικούς ΥΠΔ................ 46

(α) Συμβούλιο της ΕΕ................................................................................ 46

(β) Ευρωπαϊκή Επιτροπή............................................................................ 50

(γ) Ευρωπαϊκό Κοινοβούλιο ..................................................................... 54

(δ) Δικαστήριο της Ευρωπαϊκής Ένωσης...................................................... 58

(ε) Ευρωπαϊκό Ελεγκτικό Συνέδριο ............................................................ 58

(στ) Ευρωπαϊκή Κεντρική Τράπεζα.............................................................. 62

(ζ) Ευρωπαϊκή Τράπεζα Επενδύσεων........................................................... 64

3.2.10 Βέλτιστες πρακτικές............................................................................ 67

(α) Περιοδική έκθεση ΥΠΔ.......................................................................... 68

(β) Πρόγραμμα εργασιών ........................................................................... 69

(γ) Συμμετοχή σε σχετικές ομάδες συζητήσεων .............................................. 69

(δ) Δίκτυο συντονιστών προστασίας δεδομένων............................................ 70

3.2.11 Συγγενείς θεσμοί στην εθνική νομοθεσία ............................................. 70

(α) Υπεύθυνος Διασφάλισης Απορρήτου ...................................................... 70

(β) Υπεύθυνος Ασφάλειας Δεδομένων ......................................................... 71

3.2.12 O θεσμός του ΥΠΔ στον κόσμο........................................................... 72

4. Ο υποχρεωτικός ορισμός Υπεύθυνου Προστασίας δεδομένων 83

4.1 Ποιοί οφείλουν να ορίσουν ΥΠΔ.................................................................. 83

4.1.1 Οι δημόσιες αρχές ή φορείς................................................................... 85

4.1.2 Οντότητες που διεξάγουν τακτική και συστηματική παρακολούθηση ... 88

4.1.3 Οντότητες που επεξεργάζονται μεγάλης κλίμακας ευαίσθητα δεδομένα . 97

4.1.4 Ένας ή περισσότεροι ΥΠΔ ................................................................... 98

4.1.5 Προσόντα διορισμού ΥΠΔ.................................................................... 100

4.1.6 Δημοσιοποίηση και ανακοίνωση στοιχείων ΥΠΔ................................... 104

4.1.7 Μέλος του προσωπικού της οντότητας................................................. 108

4.1.8 ΥΠΔ με σύμβαση παροχής υπηρεσιών................................................... 110

5. Η θέση του ΥΠΔ....................................................................................... 113

5.1 Συμμετοχή στην λήψη αποφάσεων................................................................ 113

5.2 Πόροι και πρόσβαση σε δεδομένα................................................................. 116

(α) Γραφείο ΥΠΔ ......................................................................................... 119

(β) Προσωπικό ............................................................................................ 119

(γ) Τεχνικός εξοπλισμός ................................................................................ 120

(δ) Πρόσβαση σε όλα τα δεδομένα και τις επεξεργασίες δεδομένων .................. 120

(ε) Πόροι για διατήρηση της εμπειρογνωσίας ................................................... 121

5.3 Ανεξαρτησία ................................................................................................ 122

5.4 Λογοδοσία και ετήσια έκθεση....................................................................... 124

5.5 Πρόσωπο επικοινωνίας ............................................................................... 126

5.6 Απόρρητο και εμπιστευτικότητα.................................................................... 128

5.7 Σύγκρουση συμφερόντων ............................................................................ 129

5.8 Δεοντολογική συμπεριφορά ΥΠΔ................................................................. 131

(α) Καθήκον εμπιστοσύνης ............................................................................ 132

(β) Αναγκαιότητα της γνώσης ........................................................................ 132

(γ) Καθήκον εμπιστευτικότητας ...................................................................... 132

(δ) Σύγκρουση συμφερόντων ......................................................................... 133

6. Τα καθήκοντα του ΥΠΔ....................................................................... 135

6.1 Ενημερωτικός και συμβουλευτικός ρόλος...................................................... 136

6.1.1 Περιεχόμενο καθήκοντος ενημέρωσης................................................... 138

(α) Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα... 138

(β) Νομιμότητα της επεξεργασίας................................................................ 139

(γ) Προϋποθέσεις για συγκατάθεση .............................................................. 140

(δ) Ευαίσθητα δεδομένα - ειδικές κατηγορίες δεδομένων ............................... 141

(ε) Υποχρέωση γνωστοποίησης όσον αφορά τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας ................................................................................................... 146

(στ) Ευθύνη του υπεύθυνου επεξεργασίας...................................................... 147

(ζ) Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού ........... 148

(η) Περισσότεροι υπεύθυνοι επεξεργασίας, εκπρόσωποι και εκτελούντες την επεξεργασία 149

(θ) αρχεία δραστηριοτήτων επεξεργασιών .................................................... 154

(ι) Ασφάλεια επεξεργασίας .......................................................................... 157

(ια) Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην Αρχή 158

(ιβ) Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων 160

(ιγ) Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων και προηγούμενη διαβούλευση 161

(ιδ) Διασυνοριακή διαβίβαση δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς 163

6.1.2 Τρόποι εκπλήρωσης καθήκοντος.......................................................... 164

6.2 Παρακολούθηση συμμόρφωσης.................................................................... 173

(α) Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων .......................... 175

(β) Δικαίωμα διόρθωσης............................................................................ 177

(γ) Δικαίωμα διαγραφής («δικαίωμα στη λήθη»)........................................... 177

(δ) Δικαίωμα περιορισμού της επεξεργασίας................................................. 179

(ε) Δικαίωμα στη φορητότητα των δεδομένων.............................................. 180

(στ) Δικαίωμα εναντίωσης ......................................................................... 180

(ζ) Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβα-νομένης της κατάρτισης προφίλ 181

6.3 Εκτίμηση αντικτύπου.................................................................................... 182

6.4 Συνεργασία με την Αρχή............................................................................... 186

6.5 Διαβούλευση με την Αρχή ............................................................................ 187

7. Βήματα για την έναρξη λειτουργίας ΥΠΔ.................................. 189

7.1 Πρόσκληση εκδήλωσης ενδιαφέροντος.......................................................... 189

7.2 Αξιολόγηση υποψηφιοτήτων........................................................................ 191

7.3 Ανάδειξη καταλληλότερου ΥΠΔ.................................................................... 192

7.4 Ορισμός ΥΠΔ και αναπληρωτή.................................................................... 192

7.5 Ίδρυση Γραφείου.......................................................................................... 192

7.6 Ενημέρωση ανθρώπινου δυναμικού.............................................................. 193

7.7 Κανονισμός λειτουργίας................................................................................ 193

7.8 Καταγραφή επεξεργασιών δεδομένων............................................................ 194

7.9 Συμμετοχή σε συσκέψεις στελεχών................................................................. 195

7.10 Διαδικτυακή υποδομή................................................................................. 196

7.11 Ετήσιο πρόγραμμα εργασίας....................................................................... 197

7.12 Ετήσια έκθεση ........................................................................................... 198

8. Παράρτημα υποδειγμάτων................................................................ 201

Πρόσκληση δήλωσης ενδιαφέροντος για την επιλογή υπεύθυνου προστασίας δεδομένων 201

Σύμβασης παροχής ανεξάρτητων υπηρεσιών υπεύθυνου προστασίας δεδομένων ..... 205

Ανακοίνωση ορισμού υπεύθυνου προστασίας δεδομένων ....................................... 209