Σύμφωνα με τα Άρθρα 37,38 & 39 του κανονισμού (ΓΚΠΔ 2016/679 GTPR), η εταιρεία ή ο οργανισμός σας, είτε είναι υπεύθυνος επεξεργασίας είτε εκτελών την επεξεργασία, οφείλει να διορίσει ΥΠΔ εφόσον οι βασικές δραστηριότητες που ασκεί περιλαμβάνουν την επεξεργασία ευαίσθητων δεδομένων σε μεγάλη κλίμακα ή την τακτική και συστηματική παρακολούθηση σε μεγάλη κλίμακα φυσικών προσώπων. Εν προκειμένω, η παρακολούθηση της συμπεριφοράς φυσικών προσώπων περιλαμβάνει όλες τις μορφές ανίχνευσης και κατάρτισης προφίλ στο διαδίκτυο, συμπεριλαμβανομένων των σκοπών της συμπεριφοριστικής διαφήμισης.
Οι δημόσιες διοικήσεις (συμπεριλαμβανόμενων και των ΝΠΔΔ) έχουν πάντα την υποχρέωση να διορίζουν ΥΠΔ (με εξαίρεση τα δικαστήρια όταν ενεργούν υπό τη δικαιοδοτική τους ιδιότητα).
Ο ΥΠΔ μπορεί να είναι μέλος του προσωπικού του οργανισμού σας ή μπορεί να είναι εξωτερικός συνεργάτης με βάση σύμβαση παροχής υπηρεσιών. Ο ΥΠΔ μπορεί να είναι φυσικό πρόσωπο ή οργανισμός.
Να σημειωθεί, ότι παρόλο που δεν είναι υποχρεωτικός ο διορισμός DPO, αποτελεί καλή πρακτική απόδειξης συμμόρφωσης (ο διορισμός DPO) σύμφωνα με τις απαιτήσεις του κανονισμού
Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) διευκολύνει τη συμμόρφωση του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία με τις διατάξεις του ΓΚΠΔ και μεσολαβεί μεταξύ των διαφόρων ενδιαφερομένων (π.χ. εποπτικές αρχές, υποκείμενα των δεδομένων). Ο ρόλος του είναι συμβουλευτικός (όχι αποφασιστικός) και δε φέρει προσωπική ευθύνη για τη μη συμμόρφωση με τον Κανονισμό. Υπεύθυνος να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον ΓΚΠΔ είναι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία. Προβλέπονται συγκεκριμένα καθήκοντα του DPO και αντίστοιχες υποχρεώσεις του εργοδότη του. Παράβαση των σχετικών με τον DPO διατάξεων επιφέρει κυρώσεις (βλ. άρθρα 37-38 και 83 σε συνδυασμό με αιτιολογική σκέψη 97 του ΓΚΠΔ).
Τι επαγγελματικά προσόντα θα πρέπει να έχει ο DPO; Προβλέπεται σχετικήπιστοποίηση;
Ο DPO διορίζεται ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων του. Το αναγκαίο επίπεδο εμπειρογνωσίας θα πρέπει να καθορίζεται ανάλογα με τις πράξεις επεξεργασίας δεδομένων που διενεργούνται και από την προστασία την οποία απαιτούν τα δεδομένα προσωπικού χαρακτήρα που υφίστανται επεξεργασία. Παράλληλα, ο DPΟ πρέπει να έχει γνώση του τομέα δραστηριότητας του οργανισμού ή φορέα στον οποίο απασχολείται αλλά και των τεχνολογιών πληροφορίας και ασφάλειας των δεδομένων.
Για οποιαδήποτε απορία – διευκρίνιση, επικοινωνήστε μαζί μας: