Ο GDPR και ο ρόλος του υπεύθυνου προστασίας δεδομένων (DPO)

Ευρωπαϊκή/Διεθνής Νομοθεσία,⠀
Πληροφορική - Άλλα Θέματα,⠀
Ο GDPR και ο ρόλος του υπεύθυνου προστασίας δεδομένων (DPO)

Καθώς το μοντέλο παραγωγής μεταβάλλεται  και οι κοινωνικές δομές και σχέσεις τίθενται εν αμφιβόλω, η τεχνονομική προσαρμογή στη ψηφιακή πραγματικότητα και στις υψηλές τεχνολογίες, σε συνδυασμό με την καλλιέργεια αντίστοιχης κουλτούρας, καθίσταται επιβεβλημένη. Έχοντας διανύσει πολύ δρόμο, σήμερα βρισκόμαστε ήδη στο Web 3.0 και το σημασιολογικό ιστό, όπου πλέον ενεργό ρόλο στην ανταλλαγή, επεξεργασία και επανανοηματοδότηση της πληροφορίας αποκτούν οι ίδιες οι μηχανές. Στο σύγχρονο αυτό οικοσύστημα, κινητήριος δύναμη αποτελούν τα ψηφιακά δεδομένα. Τα ψηφιακά δεδομένα ισοδυναμούν με πρωτογενή και ακατέργαστη πληροφορία, η οποία είναι δεκτική ανάγνωσης, κατανόησης και επεξεργασίας από τις μηχανές. Και καθώς οι μηχανές αποκτούν ολοένα και πιο ενεργό ρόλο στις δράσεις της καθημερινότητας, προκύπτει ότι κάθε πράξη της σύγχρονης καθημερινότητας προϋποθέτει συλλογή, αποθήκευση, επεξεργασία και ανταλλαγή δεδομένων. Πίσω ωστόσο από το κάθε δεδομένο που δημιουργείται, βρίσκονται άτομα.  Τα ασύλληπτα σε όγκο, ταχύτητα και ποικιλία σύνολα δεδομένων, τα οποία παράγονται κάθε δευτερόλεπτο που περνά, εμπεριέχουν άτομα. Η ταξινόμηση της πραγματικότητας σε σύνολα δεδομένων εμπεριέχει άτομα. Η προάσπιση επομένως της προστασίας των προσωπικών δεδομένων και  της ιδιωτικότητας των ατόμων, είναι βασικό ζητούμενο και πρόκληση στη σύγχρονη πραγματικότητα των εφαρμογών, των έξυπνων συσκευών, των αισθητήρων και κάθε λογής τεχνολογίας που επικοινωνεί με το διαδίκτυο και απομακρυσμένους υπολογιστές.

Αυτήν την πρόκληση φιλοδοξεί στην Ευρώπη να αντιμετωπίσει ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ 2016/679). Αποτέλεσμα μίας μακράς και έντονης διαβούλευσης, ο Κανονισμός, έρχεται με πλήρη και δεσμευτική ισχύ για όλα τα Κράτη-Μέλη, να δώσει κατευθυντήριες οδηγίες για τον τρόπο με τον οποίο οι οργανισμοί συλλέγουν, αποθηκεύουν, χαρακτηρίζουν και ταξινομούν τα δεδομένα, καθώς επίσης και για τον τρόπο, με τον οποίο οι οργανισμοί προστατεύουν τα προσωπικά δεδομένα και διασφαλίζουν τα θεμελιώδη δικαιώματα των φυσικών προσώπων κατά την επεξεργασία των δεδομένων τους. Προς ενίσχυση των παραπάνω, ο Κανονισμός θέτει πολύ ψηλά στην ατζέντα την υποχρέωση λογοδοσίας των οργανισμών απέναντι, τόσο στα φυσικά πρόσωπα των οποίων τα δεδομένα επεξεργάζονται, όσο και στις αρμόδιες ανεξάρτητες αρχές. 

Καθίσταται σαφές λοιπόν πως όλοι οι οργανισμοί που με τον έναν ή τον άλλον τρόπο συλλέγουν, αποθηκεύουν και επεξεργάζονται δεδομένα έχουν να ακολουθήσουν μία μακρά και μη ξεκάθαρα προσδιορισμένη πορεία προς τη συμμόρφωσή τους με τις διατάξεις του Κανονισμού, η οποία σημειωτέον έχει ως καταληκτική ημερομηνία τις 25 Μαΐου 2018. Στον πυρήνα αυτής της διαδικασίας βρίσκεται ο θεσμός του Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer). Η σχετική πρόβλεψη υπάρχει ρητώς στα άρθρα 37-39 του Κανονισμού, αλλά βρίσκεται διάσπαρτη σε πολλά σημεία του. Ο Υπεύθυνος Προστασίας Δεδομένων δρα και ενεργεί σε καθεστώς ανεξαρτησίας και ανεξάρτητα από τον ειδικό νομικό χαρακτηρισμό της σύμβασης (δηλαδή σύμβαση εργασίας, σύμβαση ανεξάρτητων υπηρεσιών, έργου κτλ), που το συνδέει με τον εκάστοτε οργανισμό και ανεξάρτητα απο το αν ο οργανισμός αυτός λειτουργεί ως υπεύθυνος επεξεργασίας ή ως εκτελών την επεξεργασία.

Το άρθρο 37 του Κανονισμού ορίζει το θεσμό του Υπευθύνου Προστασίας Δεδομένων ως υποχρεωτικό σε τρεις περιπτώσεις:

•Όταν η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας

•Όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή

•Όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο.

Είναι φανερό ότι στις παραπάνω περιπτώσεις απαιτείται περαιτέρω εξειδίκευση των διαφόρων εννοιών, δεδομένου ότι ούτε στον Κανονισμό υπάρχουν σαφείς επεξηγήσεις, ούτε υπάρχει σχετικό νομικό ή/και πρακτικό προηγούμενο. Η έννοια πχ του δημόσιου φορέα εξαρτάται από το αντικείμενο δράσης ενός οργανισμού. Για παράδειγμα, ένα ΝΠΙΔ  που σχετίζεται με τα ΜΜΜ, τις δημόσιες οδικές υποδομές ή τις δημόσιες υπηρεσίες ύδρευσης ή παροχής ενέργειας, θα μπορούσε να θεωρηθεί δημόσιος φορέας. Ομοίως, τα κριτήρια της ‘τακτικής’, ‘συστηματικής’, ‘μεγάλης κλίμακας’, τα οποία αφορούν στη νομικά εμποτισμένη πράξη της επεξεργασίας χρίζουν βαθιάς μελέτης και κατανόησης, προκειμένου να μην υπάρξουν αστοχίες στη διάγνωση, που οι δημόσιοι και ιδιωτικοί οργανισμοί θα υποχρεωθούν να κάνουν σχετικά με την ανάγκη ορισμού Υπευθύνου Προστασίας Δεδομένων. Διότι το γεγονός ότι ένας οργανισμός δεν εμπίπτει στις περιπτώσεις του άρθρου 37 του Κανονισμού δε σημαίνει ότι δεν υποχρεούται να συμμορφωθεί με τις διατάξεις του. Και η συμμόρφωση αυτή αποτελεί μία πολύπλοκη, πολυεπίπεδη και διατομεακή διαδικασία, που περιλαμβάνει πολλά στάδια, όπως ταξινόμηση δεδομένων, καταγεγραμμένες διαδικασίες συλλογής, ταξινόμησης, αποθήκευσης, μεταβίβασης και διαμοιρασμού δεδομένων, εκθέσεις αποτίμησης κινδύνου, διαδικασίες αντιμετώπισης κινδύνων, άλλως παραβιάσεων, προστασία της ιδιωτικότητας εξ’ορισμού και από το σχεδιασμό (Privacy by Design / Privacy by Default) κτλ.

Σε έναν κόσμο που τρέφεται από τα δεδομένα, η συμμόρφωση με τον Κανονισμό είναι η μία όψη του νομίσματος. Η άλλη αφορά στη σωστή ανάγνωση των δεδομένων, έτσι ώστε να αναδείξει τις ευκαιρίες που υποκρύπτονται στην εκάστοτε αγορά (επιχειρηματική, ερευνητική, κοινωνική, πολιτική, ανθρωπολογική κοκ). Σε αυτές τις αγορές τα προσωπικά δεδομένα αποτελούν συναλλακτικό αγαθό. Προκειμένου λοιπόν η ανάγνωση των δεδομένων να είναι ουσιαστική και να μην ικανοποιεί απλώς το γράμμα του Κανονισμού, απαιτείται μία βαθιά κατανόηση του τρόπου που η τεχνολογία, η κοινωνία και φυσικά η αγορά συνδέονται και αλληλεπιδρούν. Απαιτείται ο εντοπισμός του μοναδικού σημείου που όλα αυτά συναντώνται. Ο Υπεύθυνος Επεξεργασίας έρχεται να βοηθήσει τους οργανισμούς να ανακαλύψουν το δικό τους ‘μοναδικό σημείο βρασμού’.


Share:
Διαβάστε Επίσης
Modernising the EU Anti-Corruption Framework

Corruption greatly undermines society, democracy, the economy and individuals.

Η Ευρώπη αναπτύσει νομικό πλαίσιο για τη χρήση της τεχνητής νοημοσύνης

Την πρώτη, παγκοσμίως, νομοθετική εργαλειοθήκη για την τεχνητή νοημοσύνη φιλοδοξεί να αποκτήσει η Ευρώπη.