O Ρόλος του Data Protection Officer
του Ιωάννη Γιαννακάκη*
Στις 16 Απριλίου 2016 ψηφίσθηκε από το Ευρωπαικό Κοινοβούλιο ο Γενικός Κανονισμός Προσωπικών Δεδομένων, νομοθέτημα άμεσης εφαρμογής σε όλα τα κράτη μέλη της Ευρωπαικής Ενωσης, το οποίο θα τεθεί σε ισχύ μετά την παρέλευση της μεταβατικής περιόδου για την προσαρμογή των κρατών δηλαδή στις 25 Μαίου 2018.
Το νομοθέτημα αυτό αλλάζει ριζικά το τοπίο στον χώρο της Προστασίας των Προσωπικών Δεδομένων επιβάλλοντας πρόσθετες υποχρεώσεις σε Υπεύθυνους Επεξεργασίας και Εκτελούντες την Επεξεργασία προσωπικών δεδομένων ανάμεσα στις οποίες είναι ο υποχρεωτικός διορισμός Data Protection Officer. (Σ.Σ. Θα διατηρήσω τον αγγλικό όρο καθώς αποδίδει πληρέστερα την ουσία του συγκεκριμένου όρου).
Ηδη από τον Φεβρούαριο 2016 η Επιτροπή του άρθρου 29 (Article 29 Working Party) η οποία αποτελεί την εποπτεύουσα αρχή των εθνικών Αρχών Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και Συμβουλευτικό Οργανο της Ευρωπαικής Επιτροπής ανακοίνωσε ότι θα εκδώσει διευκρινιστικές οδηγίες σχετικά με τον ρόλο και την ευθύνη του Data Protection Officer, όπως αυτή προδιαγράφεται στα άθρα 37-39 του Κανονισμού. Οι Οδηγίες αυτές εκδόθηκαν στις 16 Δεκεμβρίου 2016 αποσαφήνιζοντας αρκετά - όχι όμως όλα - ερωτήματα αναφορικά με τον θεσμό που αποκτά νέα βαρύτητα μετά την εισαγωγή του Κανονισμού
Τα βασικά σημεία της Διευκρινιστικής Οδηγίας της Επιτροπής του άρθρου 29 συνοψίζονται ως εξής :
Ι. Σε ποιές περιπτώσεις είναι υποχρεωτικός ο διορισμός του Υπεύθυνου Προσωπικών Δεδομένων (Data Protection Officer)
- O Κανονισμός προδιάγραφει τρεις βασικές κατηγορίες περιπτώσεων :
Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:
α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή
γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.
Οι διευκρινήσεις της Επιτροπής του άρθρου 29 εστιάζουν στην διασαφήνιση της έννοιας «βασικές δραστηριότητες» (Core Activities) οι οποίος περιγράφονται ως «αναπόσπαστο τμήμα της επίδιωξης των εταιρικών σκοπών του Υπευθύνου ή Εκτελούντος την Επεξεργασία όπως για παράδειγμα οι δραστηριότητες παρακολούθησης μιας εταιρίας παροχής υπηρεσιών ασφαλείας, με τις οποίες ελέγχει/παρακολουθεί έναν δημόσιο ή ιδιωτικό χώρο , οι δραστηριότητες επεξεργασίας ιατρικών φακέλων ασθενών που νοσηλεύονται σε ένα νοσοκομείο καθώς και οι δραστηριότητες επεξεργασίας προσωπικών δεδομένων υπαλλήλων από έναν εξωτερικό συνεργάτη που διαχειρίζεται την μισθοδοσία του προσωπικού μιας εταιρίας.
Η έννοια «Συστηματική» και «Τακτική» Παρακολούθηση των υποκειμένων σε μεγάλη κλίμακα (regular and systematic monitoring) στην οποία εντάσσονται όλες οι μορφες on line παρακολούθησης όπως για παράδειγμα η παρακολούθηση των μετακινήσεων του υποκειμένου (location tracking) η επεξεργασία που στοχεύει στον καθορισμό της καταναλωτικής συμπεριφοράς και συνηθειών του υποκειμένου για διαφημιστιούς σκοπούς (behavioral advertising) καθώς και ο καθορισμός του Προφίλ του υποκειμένου με βάση συγκεκριμένα προσωπικά δεδομένα που αφορούν την καταναλωτική του ταυτότητα, τις προτιμήσεις του, επισκεψιμότητα σε συγκεκριμένα καταστήματα, (Profiling).
Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (των «Ευαίσθητων Προσωπικών Δεδομένων της Οδηγίας 96/45) σε «μεγάλη κλίμακα», όπως δεδομένων που αφορουν την θρησκεία, πολιτικές πεποιθήσεις, σεξουαλικό προσανατολισμό, συμμετοχή σε συνδικαλιστικές οργανώσεις αλλά και Γενετικα Δεδομένων ή Υλικό όπως και Βιομετρικά Στοιχεία τα οποία ορίζονται ως « Ειδικά Προσωπικά Δεδομένα» με το Νέο Κανονισμό.
II. Η διευκρίνση της έννοια επεξεργασίας σε μεγάλη κλίμακα (Large Scale Processing) όμως παραμένει ασαφής και μάλλον αόριστη καθώς τόσο το κείμενο του Κανονισμού όσο και οι Οδηγίες της Επιτροπής Α29 , δεν παραθέτουν αριθμητικά όρια για τον ορισμό της μεγάλης κλίμακας αλλά γενικά παραδείγματα όπως ασφαλιστικη εταιρία ή τράπεζα που επεξεργάζονται προσωπικά δεδομένων πελάτους, τους, ή την επεξεργασία σε πραγματικό χρόνο των γεο- τοπογραφικών δεδομένων (Geo _ Location Data) πελατών μια διεθνούς εταιρίας fast food για στατιστικούς σκοπούς.
III. Δημόσιοι Φορείς ή Αρχές, που ασχολούνται με την Υγεία, Τηλεπικονωνίες, Μεταφορές, ΔΕΚΟ κλπ φαίνεται ότι θα υποχρεωθούν να διορίσουν Data Protection Officer. Το ίδιο και πολλές ιδιωτικές εταιρίες και οργανισμοί, συμπεριλαμβανομένων και Μικρομεσαίων Επιχειρήσεων, που επεξεργάζονται « Ειδικά Προσωπικά Δεδομένα» σε 'Μεγάλη Κλίμακα» όπως οι Εταιρίες που διενεργούν Κλινικές Μελέτες (CRO's), οι εταιρίες που διαχειρίζονται μισθοδοσία προσωπικού ή επεξεργάζονται καταναλωτικά προφίλ για κατηγορίες βασικών καταναλωτικών αγαθών.
IV. Ερευνες που διενεργήθηκαν πανευρωπαικά, συμπέραναν ότι μόνο το 50% των επιχειρήσεων είναι έτοιμες για να αντιμετώπισουν τα νέα δεδομένα που εισάγει ο Γενικός Κανονισμός ενώ οι εκτιμήσεις των ειδικών προδιαγράφουν ανάγκη για διορισμό/ δημιουργία θέσεων εργασίας για 28.000!!!!!! Data Protection Officers σύμφωνα με μελέτη του iapp σε πανευρωπαικό επίπεδο.
V. ΠΩΣ ΘΑ ΕΝΤΑΧΘΕΙ ΣΤΗΝ ΑΓΟΡΑ Ο DATA PROTECTION OFFICER ? TI ΠΡΕΠΕΙ ΝΑ ΚΑΝΟΥΝ ΟΙ ΕΠΙΧΕΙΡΗΣΕΙΣ ΓΙΑ ΝΑ ΑΠΟΦΥΓΟΥΝ ΤΑ ΒΑΡΥΤΑΤΑ ΠΡΟΣΤΙΜΑ ΠΟΥ ΠΡΟΒΛΕΠΕΙ Ο ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΄
Είναι όμως έτοιμη η αγορά να αποδεχθεί τον θεσμικό ρόλο του Data Protection Officer όπως αυτός προδιαγράφεται στον Κανονισμό ?
Δηλαδή ως ανεξάρτητο ειδικό στον χώρο των προσωπικών δεδομένων , με αποδεδειγμένη (πιστοποιημένη από ανεξάρτητο φορέα) γνώση και εμπειρία στη νομοθεσία και πρακτική εφαρμογή των Προσωπικών Δεδομένων, ο οποίος θα έχει εχέγγυα ανεξαρτησίας και θα αναφέρεται απευθείας στον CEO ή σε μέλος του Δ.Σ μιας εταιρίας ?
Θα ανατρέξουν οι εταιρίες στην «εύκολη» λύση της «εμβάπτισης» του εσωτερικού νομικού συμβούλου ή έμμισθου δικηγόρου σε Data Protection Officer ανεξάρτητα από το εαν ο τελευταίος έχει την ειδική γνώση και εμπειρία να αντιμετωπίσει την ευθύνη και τα καθήκοντα του θεσμικού αυτού ρόλου ?
Η θα αντιμετώπισουν με τρόπο ουσιαστικό τις προκλήσεις και τις ανάγκες της νέας πραγματικότητας είτε εκπαιδεύοντας εσωτερικά τα στελέχη τους, να λειτουργήσουν ΑΠΟΚΛΕΙΣΤΙΚΑ ως Data Protection Officers, είτε προσλαμβάνοντας ανεξάρτητους επαγγελματίες, ( με σύμβαση παροχής ανεξάρτητων υπηρεσιών ή με σύμβαση εξαρτημένης εργασίας, στην οποία όμως θα προδιαγράφεται σαφώς ο ρόλος και τα καθήκοντας του Data Protection Officer κατά τρόπο ώστε να αποφεύγεται η σύγκρουση συμφερόντων του τελευταίου πχ εαν έχει παράλληλα καθήκοντα που αφορούν στην επεξεργασία προσωπικών δεδομένων στην εταιρία» .
VI. Η Οδηγίες της Επιτροπής του Ά29 διευκρίνησαν ότι ο Data Protection Officer, ΔΕΝ ΘΑ ΕΧΕΙ ΠΡΟΣΩΠΙΚΗ ΕΥΘΥΝΗ, στο πλαίσιο της άσκησης των καθηκόντων του, ότι περισσότερες εταιρίες ή Ομιλοι Εταιριών που δραστηριοποιούνται σε διάφορα εδαφικά όρια, μπορουν να διορίσουν έναν ΚΟΙΝΟ Data Protection Officer, αρκεί να μην ανακύπτει θέμα σύγκρουσης συμφερόντων του DPO, και ακόμα πως ο Data Protection Officer, μπορεί να είναι ανεξάρτητος - σύμβουλος- μιας εταιρίας αρκεί να διασφαλίζονται οι προυποθέσεις που θέτει ο Κανονισμός δηλαδή η προσβασιμότητα του στα προσωπικά δεδομένα που τηρούνται στην επιχείρηση και η γνώση του αντικειμένου της επιχειρήσεις, της εσωτερικής δομής και των πολιτικών της τελευταίας.
VII. Ο ρόλος του Data Protection Officer, ως εξειδικευμένου, λειτουργικά ανεξάρτητου, στελέχους δεν περιορίζεται μόνο στην υποχρεωτική , κατά το Νέο Κανονισμό, παρουσία του σε μία εταιρία με την έννοια της τυπικής πλήρωσης μιας θέσης εργασίας (tick box) όπως αντίστοιχα ο Ιατρός Εργασίας ή ο Τεχνικός Ασφαλείας .
Ο Data Protection Officer αναλαμβάνει ουσιαστικά να εκπροσωπήσει την Επιχείρηση έναντι των Αρχών, Εθνικών και Ευρωπαικών, να διασφαλίσει την εναρμόνιση της λειτουργίας της επιχείρησης σε ότι αφορά τις πολιτικές πρακτικές και μεθοδολογία επεξεργασίας, αποθήκευσης και μεταφοράς Δεδομένων Προσωπικού Χαρακτήρα με το νέο αυστηρό νομοθετικό πλαίσιο και να προστατέψει την επιχείρηση από τους κινδύνους επιβολής των σημαντικότατων και βαρύτατων διοικητικών προστίμων που προβλέπει ο Κανονισμός τα οποία εκκινούν από 10.000.000 Ευρώ ή το 2% του παγκόσμιου τζίρου εαν πρόκειται για διεθνή όμιλο και φτάνουν σε περίπτωση παράβασης βασικών διατάξεων του κανονισμού σε 20.000.000 ή στο 4% του παγκόσμιου τζίρου.
Για να μπορέσουν οι επαγγελματίες του χώρου των προσωπικών δεδομένων να ανταποκριθούν στις αυξήμενες υποχρεώσεις και σοβαρότατη ευθύνη του ρόλου του Data Protection Officer απαιτείται η ουσιαστική επιμόρφωση και εκπαίδευση τους, τόσο σε ότι αφορά τον Γενικό Κανονισμό Προσωπικών Δεδομένων, αλλά και σε ειδικά θέματα προσωπικών δεδομένων, όπως η κατάρτιση Data Privacy Impact Assessment (DPIA) σε περίπτωση εισαγωγής νέων υπηρεσιών ή προιόντων που συνεπάγονται την επεξεργασία σε μεγάλη κλίμακα προσωπικών δεδομένων ή διαχειρίζονται ειδικά προσωπικά δεδομένα, την κατάρτιση ενός Προγράμματος/Πλαισίου Προσωπικών Δεδομένων εντός της Επιχείρησης/Εταιρίας, ο καθορισμός και η επικοινωνία Πολιτικής Προστασίας /Κανονισμού Προστασίας Προσωπικών Δεδομένων και η Κοινοποίηση του στην Εθνική Αρχή Προστασία Δεδομένων Προσωπικού Χαρακτήρα και άλλα αντίστοιχα θέματα.
VIII. Ο Data Protection Officer, θα πρέπει- κατά την άποψη μου, να λειτουργήσει ως επικεφαλής ομάδας ειδικών (Task Force) που θα περιλαμβάνει μέλη του IT, PR, Legal/Compliance και Information Security δημιουργώντας μια εύελικτη ομάδα που θα αντιμετωπίσει επιτυχώς όλες τις προκλήσεις που θα ανακύψουν κατά την εφαρμογή του νέου αυστηρού νομοθετικου πλαισίου στον χώρο των προσωπικών δεδομένων, και να έχει άμεση πρόσβαση στην διοίκηση της εταιρίας ή των εταιριών που εκπροσωπεί. Σε αντίθετη περίπτωση υπάρχει σοβαρότατος κίνδυνος επιβολής εξοντωτικών για τις επιχειρήσεις διοικητικών προστίμων, αλλά πέραν αυτών, κίνδυνος αναστολής της επεξεργασίας ή μεταφοράς συγκεκριμένων προσωπικών δεδομένων από τις εταιρίες που πρακτικά μπορεί να σημαίνει αναστολής της δραστηριότητας της επιχείρησης με τις αντίστοιχες συνέπειες.
IX. Είναι αναγκαία η αφύπνιση και η δραστηριόποιηση της αγοράς ώστε στον χρόνο που απομένει μέχρι την έναρξη ισχύος του Γενικού Κανονισμού να προετοιμασθεί κατάλληλα και επαρκώς γι να αντιμετώπισει τα νέα δεδομένα, και στους επαγγελματίες των Προσωπικών Δεδομένων να επικαιροποιήσουν και εξειδικεύσουν την γνώση τους ώστε να μπορέσουν να αναλάβουν υπεύθυνα και ουσιαστικά τα καθήκοντα του Data Protection Officer.
*O Ιωάννης Ε. Γιαννακάκης είναι νομικός σύμβουλος Νότιας Ευρώπης του Ομίλου G4S, εξειδικευμένος στον τομέα της προστασίας προσωπικών δεδομένων. Είναι Certified Information Privacy Professional /Europe και Certified Information Privacy Manager απο τον International Association of Privacy Professionals (IAPP) και Certified GDPR/Foundation Consultant από το IT Governance κατά ISO 17024.