Από την δημοσίευση του Γενικού Νόμου για την Προστασία Δεδομένων το 2018, υπήρχε μεγάλη προσδοκία για τον κανονισμό της λειτουργίας του Υπευθύνου Επεξεργασίας Δεδομένων (του γνωστού "DPO"). Ο κανονισμός τελικά δημοσιεύτηκε τον Ιούλιο του 2024 από την Εθνική Αρχή Προστασίας Δεδομένων – ANPD (Απόφαση CD/ANPD αρ. 18, 16 Ιουλίου 2024), φέρνοντας πολύ σημαντικά σημεία σχετικά με τον διορισμό του υπευθύνου, τα καθήκοντα και τις νομικές αρμοδιότητές του, καθώς και για συγκρούσεις συμφερόντων.
Αρχικά, πρέπει να θυμόμαστε ότι η διορισμός ενός DPO δεν είναι υποχρεωτικός μόνο για πολύ μικρές επιχειρήσεις, μικρομεσαίες επιχειρήσεις και νεοφυείς επιχειρήσεις – τους λεγόμενους «υπευθύνους επεξεργασίας μικρής κλίμακας». Ωστόσο, εάν η επιχείρηση αναπτύσσει δραστηριότητες υψηλού κινδύνου για τα προσωπικά δεδομένα (με εντατική χρήση δεδομένων, επεξεργασία δεδομένων που μπορεί να επηρεάσει θεμελιώδη δικαιώματα ή μέσω αναδυόμενων ή καινοτόμων τεχνολογιών – όπως η Τεχνητή Νοημοσύνη, για παράδειγμα), θα πρέπει να ορίσει DPO ακόμη και αν θεωρείται υπεύθυνος μικρής κλίμακας – και αυτό μπορεί να διαπιστωθεί μόνο μέσω μιας εκτίμηση εκπονηθείσα από εξειδικευμένη νομική συμβουλευτική εταιρεία.
Για τις επιχειρήσεις που υποχρεούνται να ορίσουν Υπεύθυνο Προστασίας Δεδομένων (ΔΠΔ), υπάρχουν διάφορες προφυλάξεις που πρέπει να ληφθούν για την τήρηση των νέων κανόνων που θεσπίστηκαν από την ANPD. Η πρώτη από αυτές τις προφυλάξεις αφορά τον ίδιο τον τρόπο διορισμού του ΔΠΔ. Σύμφωνα με το νέο σύστημα, είναι υποχρεωτικό ο διορισμός να γίνεται μέσω γραπτού, ημερομηνιασμένου και υπογεγραμμένου εγγράφου – έγγραφο το οποίο θα πρέπει να υποβληθεί στην ANPD εάν ζητηθεί. Οι ίδιες τυπικότητες θα πρέπει να τηρούνται και για τον ορισμό του αναπληρωτή που θα αναλαμβάνει κατά τις απουσίες του ΔΠΔ (όπως άδειες ή απομακρύνσεις για λόγους υγείας). Η σύσταση της ANPD είναι ότι αυτή η «τυπική πράξη» θα πρέπει να είναι, για παράδειγμα, σύμβαση παροχής υπηρεσιών (εάν ο ΔΠΔ είναι εξωτερικός συνεργάτης), αλλά μπορεί επίσης να γίνει μέσω συμπληρωματικής συμφωνίας στην σύμβαση εργασίας εάν ο Υπεύθυνος είναι εργαζόμενος που εργάζεται με βάση το καθεστώς CLT.
Επιπλέον, η εταιρεία οφείλει να «καθορίσει τα απαραίτητα επαγγελματικά προσόντα για την άσκηση των καθηκόντων του υπευθύνου», κάτι που συνιστάται επίσης να γίνει με τυπική πράξη (όπως εσωτερική πολιτική), εξασφαλίζοντας έτσι τον διορισμό προσώπου με επαρκείς γνώσεις σε θέματα προστασίας προσωπικών δεδομένων και ασφάλειας πληροφοριών.
Ένα πολύ σημαντικό σημείο του νέου κανονισμού, μάλιστα, είναι αυτό που επιτρέπει στον DPO να είναι τόσο φυσικό πρόσωπο (μπορεί να ανήκει στο προσωπικό της εταιρείας ή να είναι εξωτερικός συνεργάτης) όσο και νομικό πρόσωπο, λύνοντας έτσι μια απορία σχετικά με τη λειτουργία εξειδικευμένων εταιρειών σε Υπηρεσίες DPO.
Ανεξαρτήτως της νομικής φύσης του Υπευθύνου Προστασίας Δεδομένων (ΔΠΔ), ο κανονισμός απαιτεί την κατάλληλη δημοσίευση της ταυτότητάς του και των στοιχείων επικοινωνίας του (κατά προτίμηση στην ιστοσελίδα της επιχείρησης), με την αναγραφή του ονοματεπώνυμου (σε περίπτωση φυσικού προσώπου) ή της επωνυμίας και του ονόματος του υπευθύνου φυσικού προσώπου (σε περίπτωση νομικού προσώπου)· καθώς και ελάχιστα στοιχεία επικοινωνίας (όπως ηλεκτρονική διεύθυνση και τηλέφωνο), που επιτρέπουν την παραλαβή επικοινωνιών από τους υποκειμένους των δεδομένων ή από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).
Όσον αφορά στις δραστηριότητες του DPO, ο κανονισμός περιλαμβάνει μια σειρά νέων αρμοδιοτήτων, ιδίως για την παροχή βοήθειας και καθοδήγησης στην ηγεσία της επιχείρησης σχετικά με:
Ι. Καταγραφή και αναφορά περιστατικού ασφάλειας·
ΙΙ – καταγραφή των πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα·
III – Έκθεση αξιολόγησης επιπτώσεων στην προστασία των δεδομένων προσωπικού χαρακτήρα·
IV – εσωτερικοί μηχανισμοί εποπτείας και μετριασμού κινδύνων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα·
V – μέτρα ασφαλείας, τεχνικά και διοικητικά, ικανά να προστατεύουν τα προσωπικά δεδομένα από μη εξουσιοδοτημένες προσβάσεις και από τυχαίες ή παράνομες καταστάσεις καταστροφής, απώλειας, τροποποίησης, γνωστοποίησης ή οποιαδήποτε μορφή ακατάλληλης ή παράνομης επεξεργασίας·
VI – εσωτερικές διαδικασίες και πολιτικές που εξασφαλίζουν την τήρηση του Νόμου αριθ. 13.709, της 14ης Αυγούστου 2018, και των κανονισμών και οδηγιών της ANPD·
VII – συμβάσεις που διέπουν θέματα σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα·
VIII – διεθνείς μεταφορές δεδομένων·
IX – κανόνες καλής πρακτικής και διακυβέρνησης και πρόγραμμα διακυβέρνησης για την προστασία της ιδιωτικής ζωής, σύμφωνα με το άρθρο 50 του Νόμου αριθ. 13.709, της 14ης Αυγούστου 2018.
Χ – προϊόντα και υπηρεσίες που υιοθετούν πρότυπα σχεδιασμού συμβατά με τις αρχές που προβλέπονται στον Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR), συμπεριλαμβανομένης της προστασίας της ιδιωτικής ζωής από προεπιλογή και του περιορισμού της συλλογής προσωπικών δεδομένων στο ελάχιστο απαραίτητο για την επίτευξη των σκοπών τους· και
XI – Άλλες δραστηριότητες και λήψη στρατηγικών αποφάσεων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Διαπιστώνεται ότι οι αρμοδιότητες του Υπεύθυνου Προστασίας Δεδομένων (DPO) έχουν επεκταθεί σημαντικά, με αποτέλεσμα η επιλογή του να πρέπει απαραίτητα να γίνεται μεταξύ εξειδικευμένων επαγγελματιών. Δεν είναι πλέον δυνατή η συνήθης πρακτική της διορισμού εσωτερικού συνεργάτη «για τυπικούς λόγους». Επομένως, η εξέταση της εξωτερικής πρόσληψης ενός DPO γίνεται ακόμα πιο ενδιαφέρουσα για τις επιχειρήσεις, ειδικά όταν δεν διαθέτουν στο προσωπικό τους υπάλληλο με την απαραίτητη εξειδίκευση ή διαθεσιμότητα για την άσκηση των καθηκόντων του Υπευθύνου.
Η διαθεσιμότητα, άλλωστε, αποτελεί άλλον σημαντικό παράγοντα που πρέπει να αξιολογηθεί κατά τον διορισμό του DPO. Οι νέοι κανονισμοί απαιτούν από τον Υπεύθυνο Προστασίας Δεδομένων να αποφεύγει οποιαδήποτε σύγκρουση συμφερόντων, η οποία μπορεί να προκύψει όταν ασκεί άλλες εσωτερικές λειτουργίες στην επιχείρηση ή όταν συνδυάζει τα καθήκοντα του Υπευθύνου με αυτά που σχετίζονται με στρατηγικές αποφάσεις εντός του οργανισμού.
Γι' αυτό, συνιστάται πάντα ο DPO να μπορεί να αφιερώνεται αποκλειστικά σε δραστηριότητες που σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα (ειδικά όταν υπάρχει μεγάλος όγκος δεδομένων προσωπικού χαρακτήρα που επεξεργάζεται η εταιρεία), προκειμένου να μειωθεί στο ελάχιστο ο κίνδυνος σύγκρουσης συμφερόντων – κάτι που μπορεί να οδηγήσει σε επιβολή προστίμων ή άλλων κυρώσεων στην εταιρεία, σε περίπτωση που ανιχνευθεί από την ANPD.
Τέλος, είναι πάντα σημαντικό να τονιστεί ότι, ακόμα και αν έχει οριστεί Υπεύθυνος Προστασίας Δεδομένων (DPO), υπεύθυνη για την επεξεργασία και την προστασία των προσωπικών δεδομένων είναι η εταιρεία, δηλαδή: σε περίπτωση σφαλμάτων στην εργασία του DPO, η οργάνωση – και όχι το ορισμένο πρόσωπο – θα είναι υπεύθυνη για τυχόν πρόστιμα ή αποζημιώσεις που προκύπτουν από κακή χρήση προσωπικών δεδομένων. Επομένως, η επιλογή του Υπευθύνου πρέπει να γίνεται με μεγάλη προσοχή και κατά προτίμηση με τη απαραίτητη νομική υποστήριξη για να διασφαλιστεί η συμμόρφωση με τον Νόμο για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα (LGPD) και τους κανονισμούς της Εθνικής Αρχής Προστασίας Δεδομένων (ANPD).
