Άρθρο 37 ΥΠΔ σε ιδιωτικούς φορείς

Εκτός των περιπτώσεων του άρθρου 37 παράγραφος 1 στοιχεία β) και γ) του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας ορίζει ΥΠΔ, όταν διενεργεί πράξεις επεξεργασίας που υπόκεινται σε εκτίμηση αντικτύπου σύμφωνα με το άρθρο 35 του ΓΚΠΔ.

  • 20 Αυγούστου 2019, 01:23 | Μαίρη Δεληγιάννη
    Το βλέπω Θετικά/Αρνητικά:  

    Σύμφωνα με την απόφαση υπ’αριθμ. 65/2018 της ΑΠΔΠΧ (ΦΕΚ B’ 1622/10.05.2019), που περιλαμβάνει μία μη εξαντλητική λίστα με τα είδη των πράξεων επεξεργασίας που απαιτούν εκτίμηση αντικτύπου («ΕΑΠΔ»), η διενέργεια ΕΑΠΔ κρίνεται υποχρεωτική σε πληθώρα δραστηριοτήτων, όπως ενδεικτικά στην χρήση συστημάτων βιντεοεπιτήρησης σε ιδιωτικό χώρο προσιτό σε απεριόριστο αριθμό προσώπων και στην πραγματοποίηση προωθητικών ενεργειών που βασίζονται στις καταναλωτικές συνήθειες των υποκειμένων επεξεργασίας.

    Περαιτέρω, βάσει της ερμηνείας της διάταξης του άρθρου 35 του Κανονισμού από την Ομάδα Εργασίας του Άρθρου 29 στις Κατευθυντήριες Γραμμές σχετικά με τις ΕΑΠΔ της 4ης Οκτωβρίου 2017, καθίσταται σαφές ότι τα κριτήρια της παραπάνω διάταξης θα πρέπει να ερμηνεύονται ευρέως, ώστε σε περίπτωση αμφιβολίας ο υπεύθυνος επεξεργασίας να οφείλει να προβαίνει στην εκπόνηση ΕΑΠΔ, καθώς η τελευταία αποτελεί θεμέλιο λίθο για την απόδειξη της συμμόρφωσης του υπεύθυνου επεξεργασίας με τον ΓΚΠΔ.

    Θεωρώ ότι η εξάρτηση της υποχρέωσης διορισμού Υπεύθυνου Προστασίας Δεδομένων («ΥΠΔ») μόνο από το γεγονός ότι ο υπεύθυνος επεξεργασίας υποχρεούται να προβεί στην διενέργεια μίας και μόνο ΕΑΠΔ, επειδή, για παράδειγμα, τηρεί κλειστό κύκλωμα τηλεόρασης στις εγκαταστάσεις του, διευρύνει υπερβολικά τον αριθμό των υπεύθυνων επεξεργασίας που οφείλουν να ορίζουν ΥΠΔ, δημιουργώντας ένα επιπρόσθετο σημαντικό οικονομικό βάρος στις μικρομεσαίες επιχειρήσεις που αποτελούν και την συντριπτική πλειοψηφία των επιχειρήσεων στην Ελλάδα.

    Για τους προαναφερθέντες λόγους, προτείνω το Σχέδιο Νόμου να μην αποκλίνει από το άρθρο 37 παρ. 1 του ΓΚΠΔ και, ως εκ τούτου, να απαλειφθεί η διάταξη του άρθρου 37 από το Σχέδιο Νόμου.

  • 19 Αυγούστου 2019, 18:59 | Homo Digitalis
    Το βλέπω Θετικά/Αρνητικά:  

    Ως προς το άρθρο 37 (υπεύθυνος προστασίας δεδομένων σε ιδιωτικούς φορείς) θα πρέπει να επανεξεταστεί ή να διαγραφεί.
    Η διενέργεια εκτίμησης αντικτύπου μπορεί να αφορά μία συγκεκριμένη επεξεργασία.
    Η διατύπωση στο σχέδιο της α’ νομοπαρασκευαστικής δεν πρότεινε διορισμό ΥΠΔ, όποτε διενεργείται εκτίμηση αντικτύπου, αλλά στις περιπτώσεις στις οποίες, σύμφωνα με τον κατάλογο που καταρτίζει η Αρχή απαιτείται διενέργεια εκτίμησης αντικτύπου στην προστασία δεδομένων ιδίως λόγω της τακτικής και συστηματικής παρακολούθησης των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους.

  • Το βλέπω Θετικά/Αρνητικά:  

    Ο διορισμός ΥΠΔ πρέπει να είναι αποτέλεσμα μίας εσωτερικής διεργασίας στο πλαίσιο της λογοδοσίας και όχι επιβολή του Νόμου και μάλιστα επιλεκτικά στους ιδιώτες (πάλι σε αντίθεση με το Δημόσιο…). 1

    Ελληνική Ένωση Προστασίας Προσωπικών Δεδομένων και Ιδιωτικότητας (HADPP)

  • 17 Αυγούστου 2019, 18:19 | Νίκος Καλαμίτσης
    Το βλέπω Θετικά/Αρνητικά:  

    Εκτιμώ ότι η ρύθμιση διευρύνει υπερβολικά τις περιπτώσεις υποχρεωτικού ορισμού DPO:
    1.Καταρχάς, η χρήση του ρήματος «υπόκεινται» επιτρέπει την ερμηνευτική προσέγγιση του ότι απαιτείται ο ορισμός DPO και στις περιπτώσεις όπου διενεργείται εκτίμηση αντικτύπου χωρίς αυτό να είναι υποχρεωτικό (ίσως, λοιπόν, να αποτραπεί ένας υπεύθυνος επεξεργασίας από το διενεργεί DPIA όπου αυτό δεν είναι υποχρεωτικό, για να αποφύγει το κόστος ορισμού DPO). Κρίνω ότι δεν είναι αυτή η πρόθεση, εξ ου και θα έπρεπε τουλάιστον να αποσαφηνισθεί ότι η υποχρέωση ορισμού DPO υφίσταται για δραστηριότητες επεξεργασίας ως προς τις οποίες η εκπόνηση DPIA είναι υποχρεωτική.
    2 Δεν υπάρχει σαφής καθοδήγηση για το πότε η DPIA είναι υποχρεωτική και πότε όχι. Πρόκειται για ζήτημα που κρίνεται κατά περίπτωση και ο σχετικός κατάλογος της ΑΠΔΠΧ είναι γενικόλογος (αναφέρει κατηγορίες και δεν υπεισέρχεται – ευλόγως – σε περιπτωσιολογία, η οποία θα διαμοφωθεί σε βάθος χρόνου, μέσω της πρακτικής και των αποφάσεων της ΑΠΔΠΧ και των δικαστηρίων).
    3. Ενδέχεται ένας υπεύθυνος επεξεργασίας να υποχρεωθεί να εκπονήσει DPIA για μία και μόνο δραστηριότητα επεξεργασίας. Έτσι αν μια μικρομεσαία επιχείρηση επιθυμεί αν εγκαταστήσει σύστημα DLP, καλείται να εκπονήσει DPIA (βλ απόφαση 65/2018 ΑΠΔΠΧ). Ταυτόχρονα, για μία και μόνον επεξεργασία, επιβοηθητική των βασικών εμπορικών δραστηριοτήτων της, η οποία, μάλιστα, αποτελεί και ένα τρόπο προστασίας της εμπιστευτικότητας των δεδομένων, η μικρομεσάια αυτή επιχείρηση θα χρειαστεί να ορίσει DPO, κάτι που συνεπάγεται κόστος που ενδεχομένως δεν μπορεί να αντιμετωπίσει (εξ ου και πλήθος επιχειρήσεων θα καταφύγουν σε αμφιβόλου αποτελεσματικότητος λύσεις, μόνον και μόνον για να υπάρχει στα χαρτιά DPO).

  • 16 Αυγούστου 2019, 20:25 | Γιώργος Ρουσόπουλος
    Το βλέπω Θετικά/Αρνητικά:  

    Η υποχρέωση είναι υπερβολική για μικρές και μεσαίες επιχειρήσεις. Π.χ. μπορεί να χρειαστεί εκτίμηση αντικτύπου και για μια καινοτόμο εφαρμογή από μικρή startup. Θα πρότεινα να εισαχθεί και κριτήριο αριθμού εργαζομένων (π.χ. 20 ή ακόμα και 50)