Εκτός των περιπτώσεων του άρθρου 37 παράγραφος 1 στοιχεία β) και γ) του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας ορίζει ΥΠΔ, όταν διενεργεί πράξεις επεξεργασίας που υπόκεινται σε εκτίμηση αντικτύπου σύμφωνα με το άρθρο 35 του ΓΚΠΔ.
Άρθρο 37 ΥΠΔ σε ιδιωτικούς φορείς
Αναρτήθηκε
12 Αυγούστου 2019, 22:00
Ανοικτή σε Σχόλια έως
21 Αυγούστου 2019, 08:00
Σχετικό Υλικό
ΣΧΕΔΙΟ ΝΟΜΟΥ_ΠΔΠΧΑΙΤΙΟΛΟΓΙΚΗ ΕΚΘΕΣΗ_ΠΔΠΧN. 4624/2019, Α' 137ΕΚΘΕΣΗ ΕΠΙ ΤΗΣ ΔΗΜΟΣΙΑΣ ΔΙΑΒΟΥΛΕΥΣΗΣΕργαλεία
Εκτύπωση Εξαγωγή Σχολίων σε
Στατιστικά
5 Σχόλια 246 Σχόλια επι της Διαβούλευσης 35176 - Όλα τα ΣχόλιαΌλες οι Διαβουλεύσεις
- Κώδικας Δικαστικών Υπαλλήλων
- Ενοποίηση του πρώτου βαθμού δικαιοδοσίας, χωροταξική αναδιάρθρωση των δικαστηρίων της πολιτικής και ποινικής δικαιοσύνης και λοιπές ρυθμίσεις του Υπουργείου Δικαιοσύνης
- Ενίσχυση δικηγορικής ύλης: Ρυθμίσεις για τα σωματεία, τα κληρονομητήρια, τις αποδοχές και αποποιήσεις κληρονομιών
- Παρεμβάσεις στον Ποινικό Κώδικα και τον Κώδικα Ποινικής Δικονομίας για την επιτάχυνση και την ποιοτική αναβάθμιση της ποινικής δίκης - Εκσυγχρονισμός του νομοθετικού πλαισίου για την πρόληψη και τη...
- ΕΦΑΡΜΟΓΗ ΔΙΑΤΑΞΕΩΝ ΤΟΥ ΚΑΝΟΝΙΣΜΟΥ (ΕΕ) 2021/784 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ ΤΗΣ 29ης ΑΠΡΙΛΙΟΥ 2021 ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΛΗΨΗ ΤΗΣ ΔΙΑΔΟΣΗΣ ΤΡΟΜΟΚΡΑΤΙΚΟΥ ΠΕΡΙΕΧΟΜΕΝΟΥ ΣΤΟ ΔΙΑΔΙΚΤΥΟ
- ΕΠΙΤΑΧΥΝΣΗ ΔΙΑΔΙΚΑΣΙΩΝ ΣΤΕΛΕΧΩΣΗΣ ΔΙΚΑΣΤΙΚΗΣ ΑΣΤΥΝΟΜΙΑΣ – ΤΡΟΠΟΠΟΙΗΣΕΙΣ Ν. 4963/2022
- ΧΩΡΟΤΑΞΙΚΗ ΑΝΑΔΙΑΤΑΞΗ ΤΩΝ ΤΑΚΤΙΚΩΝ ΔΙΟΙΚΗΤΙΚΩΝ ΔΙΚΑΣΤΗΡΙΩΝ,ΟΡΓΑΝΩΣΗ ΤΗΣ ΤΗΛΕΜΑΤΙΚΗΣ ΣΥΝΕΔΡΙΑΣΗΣ ΚΑΙ ΙΔΡΥΣΗ ΔΙΚΑΣΤΙΚΩΝ ΣΤΑΘΜΩΝ ΤΗΛΕΜΑΤΙΚΗΣ
- Σχέδιο νόμου:«Υποβολή των δηλώσεων περιουσιακής κατάστασης (πόθεν έσχες) και οικονομικών συμφερόντων»
- Επικαιροποίηση ορολογίας...
- Δημόσια ηλεκτρονική διαβούλευση με τίτλο «Διεθνής εμπορική διαιτησία και λοιπές διατάξεις του Υπουργείου Δικαιοσύνης»
- Διαδικασία άρσης του απορρήτου των επικοινωνιών, κυβερνοασφάλεια και προστασία προσωπικών δεδομένων πολιτών
- Επιλογή, κατάρτιση και επιμόρφωση των δικαστικών υπαλλήλων στην Εθνική Σχολή Δικαστικών Λειτουργών
- Ενσωμάτωση στην εθνική έννομη τάξη της Οδηγίας (ΕΕ) 2019/884 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 17ης Απρίλιου 2019
- Προστασία προσώπων που αναφέρουν παραβιάσεις ενωσιακού δικαίου - Ενσωμάτωση της Οδηγίας (ΕΕ) 2019/1937 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 23ης Οκτωβρίου 2019 (L 305)
- Ενσωμάτωση Οδηγιών (ΕΕ) 2019/770 & (ΕΕ) 2019/771
- Δημόσια Διαβούλευση του σχεδίου νόμου με τίτλο «Δικαστική Αστυνομία»
- Ενσωμάτωση της Οδηγίας (ΕΕ) 2019/713
- ΣΧΕΔΙΟ ΝΟΜΟΥ "ΚΩΔΙΚΑΣ ΟΡΓΑΝΙΣΜΟΥ ΔΙΚΑΣΤΗΡΙΩΝ ΚΑΙ ΚΑΤΑΣΤΑΣΗΣ ΔΙΚΑΣΤΙΚΩΝ ΛΕΙΤΟΥΡΓΩΝ"
- Ένταξη των περιοχών ισχύος του κτηματολογικού κανονισμού Δωδεκανήσου στο εθνικό κτηματολόγιο, εφαρμογή σε αυτές της κοινής εθνικής νομοθεσίας...
- MΕΤΑΡΡΥΘΜΙΣΕΙΣ ΣΤΟ ΝΟΜΟΘΕΤΙΚΟ ΠΛΑΙΣΙΟ ΤΗΣ ΕΘΝΙΚΗΣ ΣΧΟΛΗΣ ΔΙΚΑΣΤΙΚΩΝ ΛΕΙΤΟΥΡΓΩΝ
- Δημόσια ηλεκτρονική διαβούλευση επί του σχεδίου νόμου «Τροποποιήσεις του Ποινικού Κώδικα και του Κώδικα Ποινικής Δικονομίας»
- Ταχεία πολιτική δίκη, προσαρμογή των διατάξεων της πολιτικής δικονομίας για την ψηφιοποίηση της πολιτικής δικαιοσύνης και άλλες τροποποιήσεις στον Κώδικα Πολιτικής Δικονομίας
- Δημόσια διαβούλευση επί του σχεδίου νόμου «Κώδικας οργανικών διατάξεων για το Ελεγκτικό Συνέδριο και άλλες συναφείς ρυθμίσεις»
- Διαβούλευση επί του σχεδίου νόμου «Πρόληψη και καταστολή της νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες και της χρηματοδότησης της τρομοκρατίας"
- Μεταρρυθμίσεις αναφορικά με τις σχέσεις γονέων και τέκνων και άλλα ζητήματα οικογενειακού δικαίου
- EΦΑΡΜΟΓΗ ΔΙΑΤΑΞΕΩΝ ΤΟΥ ΚΑΝΟΝΙΣΜΟΥ (ΕΕ) 2017/1939-ΣΥΣΤΑΣΗ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΙΣΑΓΓΕΛΙΑΣ
- Επιτάχυνση της εκδίκασης εκκρεμών υποθέσεων του ν. 3869/2010 σύμφωνα με τις επιταγές του άρθρου 6§1 ΕΣΔΑ, τροποποιήσεις του Κώδικα Δικηγόρων και λοιπές διατάξεις
- Σχέδιο Νόμου «Ρυθμίσεις για το ελεγκτικό συνέδριο και διατάξεις για την αποτελεσματική απονομή της δικαιοσύνης»
- Ενσωμάτωση Οδηγιών ΕΕ, κύρωση Μνημονίου Διοικητικής Συνεργασίας μεταξύ Ελλάδας Κύπρου, τροποποιήσεις του ν. 3663/2008 (Α΄99) προς εφαρμογή του Κανονισμού (ΕΕ) 2018/1727 και άλλες διατάξεις
- Σχέδιο νόμου:"Τροποποιήσεις Ποινικού Κώδικα, Κώδικα Ποινικής Δικονομίας και συναφείς διατάξεις"
- Τροποποίηση διατάξεων του νόμου 4512/2018 (A΄ 5) για τη διαμεσολάβηση σε αστικές και εμπορικές υποθέσεις
- Μονάδες Μέριµνας Νέων και άλλες διατάξεις
- Κύρωση των τροποποιήσεων του Καταστατικού της Ρώμης του Διεθνούς Ποινικού Δικαστηρίου (ν. 3003/2002, Α 75)
- Σχέδιο νέου Κώδικα Ποινικής Δικονομίας
- Σχέδιο νέου Ποινικού Κώδικα
- Ίδρυση Υπηρεσίας Δικαστικής Αστυνομίας
- Εφαρμογή διατάξεων του Κανονισμού (ΕΕ) 2017/1939 του Συμβουλίου της 12ης Οκτωβρίου 2017, σχετικά με την εφαρμογή ενισχυμένης συνεργασίας για τη σύσταση της Ευρωπαϊκής Εισαγγελίας
- Η Δικονομία του Ελεγκτικού Συνεδρίου
- Τροποποίηση του ν. 3251/2004 “Ευρωπαϊκό ένταλμα σύλληψης, τροποποίηση του ν. 2928/2001 για τις εγκληματικές οργανώσεις και άλλες διατάξεις”
- Σχέδιο Νόμου για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα
Σύμφωνα με την απόφαση υπ’αριθμ. 65/2018 της ΑΠΔΠΧ (ΦΕΚ B’ 1622/10.05.2019), που περιλαμβάνει μία μη εξαντλητική λίστα με τα είδη των πράξεων επεξεργασίας που απαιτούν εκτίμηση αντικτύπου («ΕΑΠΔ»), η διενέργεια ΕΑΠΔ κρίνεται υποχρεωτική σε πληθώρα δραστηριοτήτων, όπως ενδεικτικά στην χρήση συστημάτων βιντεοεπιτήρησης σε ιδιωτικό χώρο προσιτό σε απεριόριστο αριθμό προσώπων και στην πραγματοποίηση προωθητικών ενεργειών που βασίζονται στις καταναλωτικές συνήθειες των υποκειμένων επεξεργασίας.
Περαιτέρω, βάσει της ερμηνείας της διάταξης του άρθρου 35 του Κανονισμού από την Ομάδα Εργασίας του Άρθρου 29 στις Κατευθυντήριες Γραμμές σχετικά με τις ΕΑΠΔ της 4ης Οκτωβρίου 2017, καθίσταται σαφές ότι τα κριτήρια της παραπάνω διάταξης θα πρέπει να ερμηνεύονται ευρέως, ώστε σε περίπτωση αμφιβολίας ο υπεύθυνος επεξεργασίας να οφείλει να προβαίνει στην εκπόνηση ΕΑΠΔ, καθώς η τελευταία αποτελεί θεμέλιο λίθο για την απόδειξη της συμμόρφωσης του υπεύθυνου επεξεργασίας με τον ΓΚΠΔ.
Θεωρώ ότι η εξάρτηση της υποχρέωσης διορισμού Υπεύθυνου Προστασίας Δεδομένων («ΥΠΔ») μόνο από το γεγονός ότι ο υπεύθυνος επεξεργασίας υποχρεούται να προβεί στην διενέργεια μίας και μόνο ΕΑΠΔ, επειδή, για παράδειγμα, τηρεί κλειστό κύκλωμα τηλεόρασης στις εγκαταστάσεις του, διευρύνει υπερβολικά τον αριθμό των υπεύθυνων επεξεργασίας που οφείλουν να ορίζουν ΥΠΔ, δημιουργώντας ένα επιπρόσθετο σημαντικό οικονομικό βάρος στις μικρομεσαίες επιχειρήσεις που αποτελούν και την συντριπτική πλειοψηφία των επιχειρήσεων στην Ελλάδα.
Για τους προαναφερθέντες λόγους, προτείνω το Σχέδιο Νόμου να μην αποκλίνει από το άρθρο 37 παρ. 1 του ΓΚΠΔ και, ως εκ τούτου, να απαλειφθεί η διάταξη του άρθρου 37 από το Σχέδιο Νόμου.
Ως προς το άρθρο 37 (υπεύθυνος προστασίας δεδομένων σε ιδιωτικούς φορείς) θα πρέπει να επανεξεταστεί ή να διαγραφεί.
Η διενέργεια εκτίμησης αντικτύπου μπορεί να αφορά μία συγκεκριμένη επεξεργασία.
Η διατύπωση στο σχέδιο της α’ νομοπαρασκευαστικής δεν πρότεινε διορισμό ΥΠΔ, όποτε διενεργείται εκτίμηση αντικτύπου, αλλά στις περιπτώσεις στις οποίες, σύμφωνα με τον κατάλογο που καταρτίζει η Αρχή απαιτείται διενέργεια εκτίμησης αντικτύπου στην προστασία δεδομένων ιδίως λόγω της τακτικής και συστηματικής παρακολούθησης των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους.
Ο διορισμός ΥΠΔ πρέπει να είναι αποτέλεσμα μίας εσωτερικής διεργασίας στο πλαίσιο της λογοδοσίας και όχι επιβολή του Νόμου και μάλιστα επιλεκτικά στους ιδιώτες (πάλι σε αντίθεση με το Δημόσιο…). 1
Ελληνική Ένωση Προστασίας Προσωπικών Δεδομένων και Ιδιωτικότητας (HADPP)
Εκτιμώ ότι η ρύθμιση διευρύνει υπερβολικά τις περιπτώσεις υποχρεωτικού ορισμού DPO:
1.Καταρχάς, η χρήση του ρήματος «υπόκεινται» επιτρέπει την ερμηνευτική προσέγγιση του ότι απαιτείται ο ορισμός DPO και στις περιπτώσεις όπου διενεργείται εκτίμηση αντικτύπου χωρίς αυτό να είναι υποχρεωτικό (ίσως, λοιπόν, να αποτραπεί ένας υπεύθυνος επεξεργασίας από το διενεργεί DPIA όπου αυτό δεν είναι υποχρεωτικό, για να αποφύγει το κόστος ορισμού DPO). Κρίνω ότι δεν είναι αυτή η πρόθεση, εξ ου και θα έπρεπε τουλάιστον να αποσαφηνισθεί ότι η υποχρέωση ορισμού DPO υφίσταται για δραστηριότητες επεξεργασίας ως προς τις οποίες η εκπόνηση DPIA είναι υποχρεωτική.
2 Δεν υπάρχει σαφής καθοδήγηση για το πότε η DPIA είναι υποχρεωτική και πότε όχι. Πρόκειται για ζήτημα που κρίνεται κατά περίπτωση και ο σχετικός κατάλογος της ΑΠΔΠΧ είναι γενικόλογος (αναφέρει κατηγορίες και δεν υπεισέρχεται – ευλόγως – σε περιπτωσιολογία, η οποία θα διαμοφωθεί σε βάθος χρόνου, μέσω της πρακτικής και των αποφάσεων της ΑΠΔΠΧ και των δικαστηρίων).
3. Ενδέχεται ένας υπεύθυνος επεξεργασίας να υποχρεωθεί να εκπονήσει DPIA για μία και μόνο δραστηριότητα επεξεργασίας. Έτσι αν μια μικρομεσαία επιχείρηση επιθυμεί αν εγκαταστήσει σύστημα DLP, καλείται να εκπονήσει DPIA (βλ απόφαση 65/2018 ΑΠΔΠΧ). Ταυτόχρονα, για μία και μόνον επεξεργασία, επιβοηθητική των βασικών εμπορικών δραστηριοτήτων της, η οποία, μάλιστα, αποτελεί και ένα τρόπο προστασίας της εμπιστευτικότητας των δεδομένων, η μικρομεσάια αυτή επιχείρηση θα χρειαστεί να ορίσει DPO, κάτι που συνεπάγεται κόστος που ενδεχομένως δεν μπορεί να αντιμετωπίσει (εξ ου και πλήθος επιχειρήσεων θα καταφύγουν σε αμφιβόλου αποτελεσματικότητος λύσεις, μόνον και μόνον για να υπάρχει στα χαρτιά DPO).
Η υποχρέωση είναι υπερβολική για μικρές και μεσαίες επιχειρήσεις. Π.χ. μπορεί να χρειαστεί εκτίμηση αντικτύπου και για μια καινοτόμο εφαρμογή από μικρή startup. Θα πρότεινα να εισαχθεί και κριτήριο αριθμού εργαζομένων (π.χ. 20 ή ακόμα και 50)