Σε σχεδόν έξι μήνες τίθεται σε ισχύ ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ - (ΕΕ) 2016/679), ο οποίος περιλαμβάνει ένα ενιαίο, εκσυγχρονισμένο και εν πολλοίς αυστηρότερο πλαίσιο συμμόρφωσης για την προστασία των προσωπικών δεδομένων στην Ευρωπαϊκή Ένωση, στηριζόμενος κυρίως στην αρχή της λογοδοσίας, αλλά και σε επιμέρους αρχές.
Γράφει η Έλενα Πουλή, Δικηγόρος.
Το άρθρο μπορείτε να το διαβάσετε και στον ιστότοπο της KPMG Ελλάδας.
Η πρόκληση συμμόρφωσης που τίθεται στις επιχειρήσεις για την εφαρμογή του είναι σημαντική μιας και μέχρι τη θέση του σε ισχύ στις 25 Μαΐου 2018 ο δημόσιος τομέας και οι ιδιωτικές επιχειρήσεις οφείλουν ως ένα πρώτο και πολύ σημαντικό βήμα να εναρμονίσουν τα συστήματά τους με το πνεύμα του Κανονισμού και μετά τη θέση του σε ισχύ να συνεχίσουν να είναι συμβατοί με αυτόν.
Καίρια πρόβλεψη που περιέχεται στον Κανονισμό είναι ο ορισμός υπεύθυνου προστασίας δεδομένων (Data Protection Officer - DPO). Η υποχρέωση αυτή ισχύει για όλες τις δημόσιες αρχές και φορείς, καθώς επίσης και για άλλους οργανισμούς που έχουν ως κύρια δραστηριότητα τη συστηματική παρακολούθηση φυσικών προσώπων σε μεγάλη κλίμακα, ή την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (τα οποία με το παλαιό καθεστώς αναφέρονταν ως ευαίσθητα προσωπικά δεδομένα) σε μεγάλη κλίμακα.
Από την παραπάνω ρύθμιση συνάγεται ότι δεν είναι όλες οι επιχειρήσεις ή οργανισμοί υποχρεωμένοι να ορίσουν υπεύθυνο προστασίας δεδομένων. Παρά το γεγονός αυτό, ο ορισμός DPO, αν και μη υποχρεωτικός για όλους, είναι εν τοις πράγμασι η προτιμητέα επιλογή. Ο εθελοντικός ορισμός DPO συστήνεται ανεπιφύλακτα από τους ειδήμονες του Κανονισμού1 και οι λόγοι είναι αρκετοί.
Ο ρόλος του υπεύθυνου προστασίας δεδομένων είναι πρωτίστως συμβουλευτικός και υποστηρικτικός. Λαμβάνοντας υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ο υπεύθυνος προστασίας οφείλει να ενημερώνει και να συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία δεδομένων και τους υπαλλήλους της επιχείρησης σχετικά με τη νέα νομοθεσία για την προστασία δεδομένων, καθώς επίσης να παρακολουθεί τη συμμόρφωση με τον Κανονισμό με σκοπό την ελαχιστοποίηση του κινδύνου παραβίασης, η οποία θα επιφέρει υψηλά πρόστιμα, τα οποία μπορεί να ανέρχονται μέχρι το ποσό των Ευρώ 20εκ ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους.
Ο ορισμός DPO συνιστά ένα εργαλείο στα χέρια κάθε επιχείρησης μιας και αυτός, έχοντας, πέρα από τα παραπάνω, ρόλο διαμεσολαβητή μπορεί να συνδράμει στη λογοδοσία και την επικοινωνία με την εποπτεύουσα Αρχή και να διαβουλεύεται με αυτή όταν αυτό απαιτείται.
Λόγω των επαγγελματικών προσόντων και ιδίως λόγω της εμπειρογνωσίας που πρέπει να διαθέτει στον τομέα της προστασίας δεδομένων, ο DPO αποτελεί εχέγγυο για την καλή εφαρμογή του Κανονισμού και μπορεί να αποτελέσει ένα «ανταγωνιστικό πλεονέκτημα» στην αγορά έναντι άλλων επιχειρήσεων, αφού αποδεικνύει την ευαισθησία των επιχειρήσεων για συμμόρφωση, όπως έχει σωστά επισημάνει η ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα του άρθρου 292.
Ένα ισχυρό πρόγραμμα συμμόρφωσης με τον ΓΚΠΔ, εποπτευόμενο από έναν κατάλληλο DPO μπορεί να συμβάλει στην ελαχιστοποίηση του κινδύνου παραβίασης προσωπικών δεδομένων και συνεπώς στην αποφυγή προστίμων και λοιπών κυρώσεων, αξιώσεων αποζημίωσης από τα υποκείμενα των δεδομένων σε περίπτωση παραβίασης των δεδομένων τους. Μπορεί, τέλος, να ενισχύσει την αφοσίωση του προσωπικού της εταιρείας που το υιοθετεί, καθώς επίσης και τη φήμη και την αξιοπιστία της βοηθώντας την να κερδίσει νέες ευκαιρίες.