Αρχική Σχέδιο Νόμου για την Προστασία Δεδομένων Προσωπικού ΧαρακτήραΆρθρο 37 ΥΠΔ σε ιδιωτικούς φορείςΣχόλιο του χρήστη Νίκος Καλαμίτσης | 17 Αυγούστου 2019, 18:19
- Αρχική
- Πρωθυπουργός της Ελλάδας
- Ανοικτή Διακυβέρνηση
- Δικτυακός Τόπος Υπουργείου
- Διαβουλεύσεις Υπουργείων
Εκτιμώ ότι η ρύθμιση διευρύνει υπερβολικά τις περιπτώσεις υποχρεωτικού ορισμού DPO: 1.Καταρχάς, η χρήση του ρήματος "υπόκεινται" επιτρέπει την ερμηνευτική προσέγγιση του ότι απαιτείται ο ορισμός DPO και στις περιπτώσεις όπου διενεργείται εκτίμηση αντικτύπου χωρίς αυτό να είναι υποχρεωτικό (ίσως, λοιπόν, να αποτραπεί ένας υπεύθυνος επεξεργασίας από το διενεργεί DPIA όπου αυτό δεν είναι υποχρεωτικό, για να αποφύγει το κόστος ορισμού DPO). Κρίνω ότι δεν είναι αυτή η πρόθεση, εξ ου και θα έπρεπε τουλάιστον να αποσαφηνισθεί ότι η υποχρέωση ορισμού DPO υφίσταται για δραστηριότητες επεξεργασίας ως προς τις οποίες η εκπόνηση DPIA είναι υποχρεωτική. 2 Δεν υπάρχει σαφής καθοδήγηση για το πότε η DPIA είναι υποχρεωτική και πότε όχι. Πρόκειται για ζήτημα που κρίνεται κατά περίπτωση και ο σχετικός κατάλογος της ΑΠΔΠΧ είναι γενικόλογος (αναφέρει κατηγορίες και δεν υπεισέρχεται - ευλόγως - σε περιπτωσιολογία, η οποία θα διαμοφωθεί σε βάθος χρόνου, μέσω της πρακτικής και των αποφάσεων της ΑΠΔΠΧ και των δικαστηρίων). 3. Ενδέχεται ένας υπεύθυνος επεξεργασίας να υποχρεωθεί να εκπονήσει DPIA για μία και μόνο δραστηριότητα επεξεργασίας. Έτσι αν μια μικρομεσαία επιχείρηση επιθυμεί αν εγκαταστήσει σύστημα DLP, καλείται να εκπονήσει DPIA (βλ απόφαση 65/2018 ΑΠΔΠΧ). Ταυτόχρονα, για μία και μόνον επεξεργασία, επιβοηθητική των βασικών εμπορικών δραστηριοτήτων της, η οποία, μάλιστα, αποτελεί και ένα τρόπο προστασίας της εμπιστευτικότητας των δεδομένων, η μικρομεσάια αυτή επιχείρηση θα χρειαστεί να ορίσει DPO, κάτι που συνεπάγεται κόστος που ενδεχομένως δεν μπορεί να αντιμετωπίσει (εξ ου και πλήθος επιχειρήσεων θα καταφύγουν σε αμφιβόλου αποτελεσματικότητος λύσεις, μόνον και μόνον για να υπάρχει στα χαρτιά DPO).