Άρθρο 06 Ορισμός του υπεύθυνου προστασίας δεδομένων σε δημόσιους φορείς

1. Οι δημόσιοι φορείς ορίζουν υπεύθυνο προστασίας δεδομένων (εφεξής: ΥΠΔ).
2. Μπορεί να ορίζεται ένας μόνο ΥΠΔ για περισσότερους δημόσιους φορείς, λαμβανομένου πάντοτε υπόψη της οργανωτικής δομής και του μεγέθους τους.
3 Ο ΥΠΔ επιλέγεται βάσει επαγγελματικών προσόντων και, ιδίως βάσει των εξειδικευμένων γνώσεών του στο δίκαιο της προστασίας δεδομένων προσωπικού χαρακτήρα και των πρακτικών περί προστασίας δεδομένων προσωπικού χαρακτήρα, καθώς και βάσει των ικανοτήτων του να εκπληρώσει τα καθήκοντα του άρθρου 8.
4. Ο ΥΠΔ μπορεί να είναι υπάλληλος του δημόσιου φορέα με οποιαδήποτε σχέση εργασίας ή να εκπληρώνει τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.
5. Ο δημόσιος φορέας δημοσιοποιεί τα στοιχεία επικοινωνίας του ΥΠΔ και τα ανακοινώνει στην Αρχή, εκτός και εάν αυτό δεν επιτρέπεται για λόγους εθνικής ασφάλειας ή λόγω τήρησης του καθήκοντος εχεμύθειας (εμπιστευτικότητα), που προβλέπεται από τον νόμο.

  • 20 Αυγούστου 2019, 16:15 | Δρ Λεωνίδας Κανέλλος
    Το βλέπω Θετικά/Αρνητικά:  

    Ενόψει της μεγάλης υστέρησης του δημοσίου τομέα, θα ήταν ευχής έργο, όπως επισημάνθηκε και από άλλους συμμετέχοντες, να προβλεφθεί νομοθετικά:

    α) υποχρεωτική ένταξη του ΥΠΔ στο οργανόγραμμα δημοσίων φορέων με απευθείας αναφορά στη διοίκηση και πρόβλεψη ειδικού κονδυλίου

    β) οικειοθελής ανάληψη της θέσης μετά από εκπαίδευση και πιστοποίηση του υπαλλήλου

    γ)καταβολή επιδόματος θέσης ευθύνης ή επιπρόσθετης αμοιβής

    ώστε να αποφευχθεί το φαινόμενο τυπικής στελέχωσης της θέσης, η οποία μπορεί να οδηγήσει σε ευθύνη (π.χ υπουργεία, αε υπο τον έλεγχο του δημοσίου, ΔΕΚΟ, δημόσια νοσοκομεία, διαγνωστικά κέντρα, ΕΦΚΑ, ΕΟΠΥΥ, Μονάδες Υποβοηθούμενης Αναπαραγωγής κλπ), ενδεχομένως χωρίς τη βούληση του υπαλλήλου ή του νομικού συμβούλου του φορέα.

    Ως εκ τούτου προτείνεται αναδιατύπωση του άρθρου ως εξής:

    «1. Οι δημόσιοι φορείς και τα νπδδ ορίζουν υπεύθυνο προστασίας δεδομένων (εφεξής: ΥΠΔ).

    2. Μπορεί να ορίζεται ένας μόνο ΥΠΔ για περισσότερους δημόσιους φορείς, λαμβανομένου πάντοτε υπόψη της οργανωτικής δομής και του μεγέθους τους.

    3 Ο ΥΠΔ επιλέγεται αντικειμενικά βάσει επαγγελματικών προσόντων, επαγγελματικής εμπειρίας, πιστοποίησης προσόντων, και, ιδίως βάσει των εξειδικευμένων γνώσεών του στο δίκαιο της προστασίας δεδομένων προσωπικού χαρακτήρα και των πρακτικών περί προστασίας δεδομένων προσωπικού χαρακτήρα, καθώς και βάσει των ικανοτήτων του να εκπληρώσει τα καθήκοντα του άρθρου 8.

    4. Ο ΥΠΔ μπορεί να είναι υπάλληλος του δημόσιου φορέα με οποιαδήποτε σχέση εργασίας ή να εκπληρώνει τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.
    η θέση του εντάσσεται υποχρεωτικά στο οργανόγραμμα, αναφέρεται στο ΔΣ και καταβάλλεται, αν είναι υπάλληλος ή νομικός σύμβουλος του φορέα, επίδομα θέσης ευθύνης και επιπρόσθετη αμοιβή. Στον ΥΠΔ παρέχεται εκπαίδευση και εγγράφεται υπερ του γραφείου του πρόβλεψη ειδικού κονδυλίου στον προϋπολογισμό.

    5. Ο δημόσιος φορέας δημοσιοποιεί τα στοιχεία επικοινωνίας του ΥΠΔ και τα ανακοινώνει στην Αρχή, εκτός και εάν αυτό δεν επιτρέπεται για λόγους εθνικής ασφάλειας ή λόγω τήρησης του καθήκοντος εχεμύθειας (εμπιστευτικότητα), που προβλέπεται από τον νόμο».

  • 19 Αυγούστου 2019, 23:56 | Ολγα Τσιπτσέ
    Το βλέπω Θετικά/Αρνητικά:  

    Πρόχειρη και επιφανειακή αναφορά σε έναν νέο θεσμό και επάγγελμα του οποίου ο ρόλος είναι ιδιαίτατα σημαντικός.
    Ειναι πολύ χρήσιμο να υπάρχουν κριτήρια για την επιλογή ενός ΥΠΔ. Αυτή την στιγμή επαρκές επίπεδο γνώσης και εμπειρίας υπάρχει σε πολύ μικρό ποσοστό. Δεν είναι δυνατό να αποκτά το ρόλο του ΥΠΔ πχ ένας υπάλληλος που ουδέποτε έχει ειδικά εκπαιδευθεί για αυτό τον ρόλο ούτε γνωρίζει ζητήματα νομικής ή τεχνικής φύσης.
    Ο ΓΚΠΔ μπορεί να ελεγχθεί σε γνωστικό επίπεδο μόνο από συνδυασμό ειδικοτήτων νομικού και ΙΤ. Αυτοί μπορούν να ελέγχουν τα συστήματα, αυτοί μπορούν να διαβουλεύονται με την Αρχή συντάσσοντας όλα τα απαραίτητα υπομνήματα αν παραστεί ανάγκη, αυτοί μπορούν να εντοπίσουν το πρόβλημα όπου υπάρχει και αυτοί μόνο ξέρουν ακριβώς τι πρέπει να κάνουν για να αποκατασταθεί.
    Η Αρχή πρέπει να είναι αυτή που θα θέτει τα προσόντα ενός ΥΠΔ και σε συνεργασία με το Εθνικό Σύστημα Διαπίστευσης να μπορεί να χορηγεί πιστοποιήσεις
    Άλλωστε η Αρχή έχει εδώ και μήνες στα χέρια της ένα διετές ευρωπαϊκό πρόγραμμα για την εκπαίδευση των επαγγελματιών ιδιωτικότητας που όμως δεν έχει αξιοποιήσει ακόμη!

    Αν αυτά δεν ρυθμιστούν στο παρόν άρθρο με ΕΠΑΡΚΕΙΑ και με ΠΛΗΡΗ ΑΝΑΛΥΣΗ δεν έχει κανένα νόημα η ύπαρξη αυτού του άρθρου το οποίο μπορεί να απουσιάσει καθώς ο ΓΚΠΔ είναι υπέρπλήρης σε αυτό το κομμάτι και εκτενής.

    Όλγα Τσιπτσέ
    Δικηγόρος Θεσσαλονίκης LL.M παρ΄αρείω πάγω
    Διαπ.Διαμεσολαβήτρια – GDPR/DPO expert. (Dpo at DST etc)
    Αντιπρόεδρος στο Ινστιτούτο Επαγγελματιών Ιδιωτικότητας Β. Ελλάδος

  • 19 Αυγούστου 2019, 17:15 | Homo Digitalis
    Το βλέπω Θετικά/Αρνητικά:  

    Το παρόν σχόλιο αναφέρεται στα Άρθρα 6 έως και 8 του προτεινόμενου ΣχΝ. Δεν είναι κατανοητή η σκοπιμότητα εισαγωγής αυτών των ρυθμίσεων και μάλιστα τριών άρθρων ειδικά για τον υπεύθυνο προστασίας δεδομένων σε δημόσιο φορέα δεδομένης της ύπαρξης αναλυτικών ρυθμίσεων στον Κανονισμό (άρθρα 37-39). Οι ρυθμίσεις αυτές (δηλ. των άρθρων 6-8) επαναλαμβάνουν μάλιστα σε μεγάλο βαθμό χωρίς λόγο τις ρυθμίσεις του Κανονισμού.
    Προτείνεται η διαγραφή των άρθρων 6, 7 και 8.

    Διαφορετικά προτείνεται η αντικατάστασή τους με ένα ενιαίο κείμενο για τον ΥΠΔ (χωρίς διάκριση δημοσίων και ιδιωτικών φορέων) και με ενδεχόμενη συμπερίληψη ορισμένων παραγράφων που θα αφορούν τον YΠΔ σε έναν δημόσιο φορέα.

    Εάν κριθεί δηλαδή ότι είναι σκόπιμο να παραμείνουν τα άρθρα αυτά θα πρέπει σε κάθε περίπτωση να επανεξεταστεί η δομή τους και οι διατυπώσεις καθώς π.χ. κάποιες παράγραφοι του άρθρου αναφέρονται σε καθήκοντα ΥΠΔ σε σχέση με τους εφαρμοστικούς της Οδηγίας 2016/680/ ΕΕ κανόνες, ενώ το άρθρο αναφέρεται σε ΥΠΔ δημοσίου φορέα εν γένει.

  • 19 Αυγούστου 2019, 16:59 | Δρ Λεωνίδας Κανέλλος
    Το βλέπω Θετικά/Αρνητικά:  

    Αν και μη υποχρεωτική από τον ΓΚΠΔ, η πιστοποίηση επαγγελματικών προσόντων του DPO (ελάχιστος αριθμός ωρών υποχρεωτικής σεμιναριακής εκπαίδευσης, πρακτικά, εξετάσεις, απόδειξη εμπειρογνωσίας κλπ), πρέπει κατά τη γνώμη μου να περιληφθεί ως επιπρόσθετο προσόν πρόσληψης σε δημόσιο και ιδιωτικό τομέα. Για λόγους αξιοπιστίας, το σχήμα πρέπει να τεθεί υπό την εποπτεία της ΑΠΔΠΧ, όπως άλλωστε προτείνεται ήδη από το 2018 σε χώρες όπως η Γαλλία από την CNIL (γαλλική ΑΠΔΠΧ)σε συνεργασία με την AFNOR (ΕΣΥΔ)

    https://www.cnil.fr/fr/certification-des-competences-du-dpo-la-cnil-delivre-son-premier-agrement

    η την Ισπανική Αρχή AEPD σε συνεργασία με το ισπανικό ENAC, που απαιτεί εμπειρία, ώρες εκπαίδευσης και συγκεκριμένες δεξιότητες) ως εξής :

    https://iapp.org/news/a/heres-what-it-takes-to-be-a-certified-dpo-in-spain/

    List of «required competences for wannabe DPOs»

    1. Compliance with principles relating to processing, such as purpose limitation, data minimization or accuracy

    2. Identifying the legal basis for data processing

    3. Assessment of the compatibility of purposes other than those which gave rise to initial data collection

    4. Determining whether any sectoral regulation may determine specific data processing conditions that are different from those established by general data protection regulations

    5. Designing and implementing measures to provide information to data subjects

    6. Establishing mechanisms to receive and manage requests to exercise rights of the data subjects

    7. Assessing requests to exercise rights of the data subjects

    8. Hiring data processors, including the content of the contracts or legal documents that regulate the controller – processor relationship

    9. Identifying international data transfer instruments that are suited to the needs and characteristics of the organisation and the reasons that justify the transfer

    10. Design and implementation of data protection policies

    11. Data protection audits

    12. Establishing and managing a register of processing activities

    13. Risk analysis of the processing operations carried out

    14. Implementing data protection measures by design and by default that are suited to the risks and nature of the processing operations

    15. Implementing security measures that are suited to the risks and nature of the processing operations

    16. Establishing procedures to manage violations of data security, including assessing the risk to the rights and freedoms of the data subjects and procedures to notify supervisory authorities and the data subjects

    17. Determining the need to carry out data protection impact assessments

    18. Carrying out data protection impact assessments

    19. Relations with supervisory authorities

    20. Implementing training and awareness programes for personnel on data protection.

    Ένα τέτοιο αξιόπιστο σύστημα πιστοποίησης επαγγελματικών προσόντων (βάσει του προτύπου ISO/IEC 17024) θα συντελέσει στην εκπαίδευση ενημερωμένων επαγγελματιών, ώστε να επιτελέσουν με αξιοπιστία την υψηλή αποστολή τους.

  • 19 Αυγούστου 2019, 05:31 | ΓΕΩΡΓΙΑ ΧΑΤΖΗΘΕΟΔΩΡΟΥ, Δ.Ν.
    Το βλέπω Θετικά/Αρνητικά:  

    Ο προσφάτως ψηφισθείς στην Πορτογαλία ν. 58/2019 της 8.8.2019 (https://dre.pt/web/guest/home/-/dre/ 123815982/details/maximized) αποκλείει ρητώς την πιστοποίηση του ΥΠΔ ως προαπαιτούμενο για την ανάληψη των σχετικών καθηκόντων. Η παρούσα διάταξη και η αιτιολογική έκθεση ουδόλως αναφέρονται σε αυτό το ζήτημα. Πρέπει -σε πρώτη φάση- να διευκρινισθεί τούτο με ειδική, θετική ή αρνητική, εξειδίκευση εντός της οικείας διάταξης.
    Σε κάθε περίπτωση, πρέπει να υπάρξει ειδική νομοθετική πρόβλεψη έτσι ώστε να αποφευχθεί η άσκηση καθηκόντων ΥΠΔ από πρόσωπα που δε διαθέτουν οιαδήποτε σχετική ακαδημαϊκή ή επαγγελματική εξειδίκευση, παρά μόνον αμφιβόλου κύρους ᾽᾽πιστοποιήσεις᾽᾽.
    Ως λύση προτείνεται να τεθεί ως προαπαιτούμενο έκαστης πιστοποίησης η προηγούμενη σχετική ακαδημαϊκή εξειδίκευση ή η υφιστάμενη (αποδεικνυόμενη εγγράφως) επαρκής επαγγελματική εμπειρία επί του αντικειμένου.

  • 16 Αυγούστου 2019, 20:08 | Γιώργος Ρουσόπουλος
    Το βλέπω Θετικά/Αρνητικά:  

    Άρθρο 6 παρ. 5.
    Η πρόβλεψη για μη δημοσιοποίηση και ανακοίνωση των στοιχείων του ΥΠΔ «για λόγους εθνικής ασφάλειας ή λόγω τήρησης του καθήκοντος εχεμύθειας (εμπιστευτικότητα), που προβλέπεται από τον νόμο» προφανώς αναφέρεται στα εκτός του πεδίου εφαρμογής του ΓΚΠΔ και της οδηγίας 2016/680, που δεν αφήνουν τέτοιο περιθώριο.
    Όμως, η μη ανακοίνωση των στοιχείων του ΥΠΔ ουσιαστικά ακυρώνει μεγάλο μέρος των καθηκόντων και του ρόλου του (π.χ. να συνδράμει τα υποκείμενα των δεδομένων και να επικοινωνεί με την Αρχή). Αν ο σκοπός της διάταξης είναι προστατεύσει την ταυτότητα υπαλλήλων δημοσίων αρχών με αρμοδιότητες την εθνική ασφάλεια (που είναι λογικό), αρκεί η επισήμανση ότι τα στοιχεία επικοινωνίας, δεν περιλαμβάνουν την ταυτότητα του φυσικού προσώπου DPO.

  • 14 Αυγούστου 2019, 10:07 | Δρ. Διονύσης Μουζάκης
    Το βλέπω Θετικά/Αρνητικά:  

    Άρθρο 6
    3 Ο ΥΠΔ επιλέγεται βάσει επαγγελματικών προσόντων και, ιδίως βάσει των εξειδικευμένων γνώσεών του στο δίκαιο της προστασίας δεδομένων προσωπικού χαρακτήρα που θα πρέπει να πιστοποιούνται από αναγνωρισμένους οργανισμούς πιστοποίησης της Ευρωπαϊκής Ένωσης και των πρακτικών περί προστασίας δεδομένων προσωπικού χαρακτήρα, καθώς και βάσει των ικανοτήτων του να εκπληρώσει τα καθήκοντα του άρθρου 8.

  • 14 Αυγούστου 2019, 10:38 | ΒΑΡΒΑΡΑ ΠΕΤΡΟΥ
    Το βλέπω Θετικά/Αρνητικά:  

    Στα άρθρα 6,7,8 δεν προβλέπεται κάτι ειδικότερο σε σχέση με τον Κανονισμό, ενώ κατά τη γνώμη μου θα έπρεπε λόγω του ότι ο υπεύθυνος προστασίας είναι πρόσωπο επιφορτισμένο με ιδιαίτερες ευθύνες και καθήκοντα και έχει εξέχουσα θέση στο νέο πλαίσιο προστασίας των προσωπικών δεδομένων.Επίσης, προκαλείται σύγχυση λόγω της αναφοράς στον υπεύθυνο προστασίας ξανά παρακάτω στο άρθρο 37 για τους ιδιωτικούς φορείς.

  • 13 Αυγούστου 2019, 19:22 | DataProOf
    Το βλέπω Θετικά/Αρνητικά:  

    Πρέπει ο Υπέυθυνος Επεξεργασίας να διασφαλίσει την αποκλειστική ενασχόληση του ΥΠΔ με τη συμμόρφωση του Φορέα και τα καθήκοντά του, όπως αυτά αποτυπώνονται στο άρ 8. του παρόντος σχέδιου νόμου.

    Πρέπει ο ΥΕ να παρέχει στον ΥΠΔ, αυτόνομο γραφείο – χώρο, τεχνικά μέσα και τη δυνατότητα παρακολούθησης επιμορφωτικών δράσεων σχετικών με τα καθήκοντα και τα δικαιώματα του ΥΠΔ, τη συμμόρφωση με τον ΓΚΠΔ, καλές πρακτικές κ.α.

    Ο ΥΠΔ πρέπει να είναι up to date αναφορικά με τις εξελίξεις γύρω από τον ΓΚΠΔ.

  • 13 Αυγούστου 2019, 17:01 | Ιωάννα Ζαφειριου
    Το βλέπω Θετικά/Αρνητικά:  

    Θα ήταν καλό να ξεκαθαριστεί το θέμα της σύγκρουσης συμφερόντων στην παράγραφο 4.