Άρθρο 48 – Ορισμός του υπεύθυνου προστασίας δεδομένων

1. Ο υπεύθυνος επεξεργασίας διορίζει υπεύθυνο προστασίας δεδομένων. Η υποχρέωση αυτή δεν ισχύει για τις τα δικαστήρια και τις εισαγγελικές αρχές, όταν ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα.
2. Ο υπεύθυνος επεξεργασίας επιλέγει και διορίζει τον υπεύθυνο προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και, ιδίως με βάση την εμπειρογνωσία που διαθέτει στον τομέα του δικαίου προστασίας προσωπικών δεδομένων και των αντίστοιχων πρακτικών και την ικανότητα εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 50 του παρόντος νόμου
3. Ένας μοναδικός υπεύθυνος προστασίας δεδομένων μπορεί να διοριστεί για περισσότερες της μιας αρμόδιες αρχές, ανάλογα με την οργανωτική δομή και το μέγεθός τους.
4. Ο ορισμός υπευθύνου προστασίας δεδομένων γίνεται εγγράφως. Κατά τον ορισμό υπευθύνου προστασίας προσδιορίζονται ειδικότερα ιδίως η θέση και τα καθήκοντα που έχει ο υπεύθυνος προστασίας δεδομένων σύμφωνα και ο τρόπος με τον οποίο θα τα ασκεί, λαμβανομένων υπόψη της φύσης και των λειτουργιών κάθε υπευθύνου επεξεργασίας ή εκτελούντος επεξεργασία. Ο ορισμός γίνεται για ορισμένο χρονικό διάστημα, εκτός αν συντρέχει σοβαρός λόγος για την ανάκληση του ορισμού ή για την παύση του υπευθύνου προστασίας προσωπικών δεδομένων. Ο ορισμός μπορεί να ανανεώνεται.
5. Ο υπεύθυνος επεξεργασίας και ο εκτελών επεξεργασία κοινοποιούν στην Αρχή το όνομα και την ιδιότητα του υπευθύνου προστασίας δεδομένων
6. Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από υποχρέωση εχεμύθειας και οφείλει να μην αποκαλύπτει σε οποιονδήποτε τρίτο γεγονότα ή πληροφορίες που περιήλθαν σε γνώση του από τη θέση του κατά την εκτέλεση των καθηκόντων του ή επ’ ευκαιρία αυτών.

  • 3 Μαρτίου 2018, 19:41 | RS
    Το βλέπω Θετικά/Αρνητικά:  

    Ως προς τις παραγράφους 1 και 2:
    Υποχρέωση διορισμού υπεύθυνου προστασίας δεδομένων δεν έχει μόνο ο υπεύθυνος επεξεργασίας, αλλά και ο εκτελών την επεξεργασία. Οπότε, θα πρέπει να επαναδιατυπωθεί το κείμενο ώστε να περιλαμβάνει και τους εκτελούντες την επεξεργασία.

    Ως προς την παράγραφο 3:
    Για ποιο λόγο ο ορισμός του υπεύθυνου πρέπει να γίνεται για ορισμένο χρονικό διάστημα, με δυνατότητα ανανέωσης, και όχι για αόριστο χρονικό διάστημα? Δηλαδή αν ο υπεύθυνος προστασίας δεδομένων αποτελεί ήδη μέρος του προσωπικού του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, δυνάμει σύμβασηςς εργασίας αορίστου χρόνου, και κατόπιν του ανατεθούν τα καθήκοντα του υπεύθυνος προστασίας (όπως εξάλλου προβλέπεται και στο άρθρο 37 παρ. 6 του Γενικού Κανονισμού), τι θα γίνει στην περίπτωση αυτή? Ποια είναι η σκοπιμότητα μιας τέτοιας πρόβλεψης?

    Επίσης, η φράση «εκτός αν συντρέχει σοβαρός λόγος για την ανάκληση του ορισμού ή την παύση του υπευθύνου προστασίας προσωπικών δεδομένων», είναι περιττή και θεωρώ ότι πρέπει να απαλειφθεί. Αν ο υπεύθυνος προστασίας δεδομένων συνδέεται συμβατικά με τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία με σύμβαση παροχής ανεξάρτητων υπηρεσιών, σύμφωνα με τις οικείες προβλέψεις του Αστικού Κώδικα όλες οι συμβάσεις ορισμένου χρόνου λύονται είτε με την πάροδο του προβλεπόμενου χρονικού διαστήματος είτε με καταγγελία από οποιοδήποτε συμβαλλόμενο μέρος και μόνο για σπουδαίο λόγο.

    Ως προς την παράγραφο 4:
    Τι σημαίνει η λέξη «ιδιότητα»? Δηλαδή το επάγγελμά του? Επίσης, για ποιο λόγο πρέπει να κοινοποιείται η ιδιότητα του υπευθύνου προστασίας δεδομένων στην Αρχή? Στις κατευθυντήριες οδηγίες της ομάδας εργασίας του άρθρου 29 16/EL WP243 (που έχουν αναρτηθεί και στον ιστότοπο της Αρχής) σχετικά με τους υπεύθυνους προστασίας, δεν προβλέπεται κάτι τέτοιο, ούτε βεβαίως και στο άρθρο 37 παρ. 7 του Γενικού Κανονισμού. Αντιθέτως, στις προαναφερόμενες κατευθυντήριες οδηγίες, προβλέπεται ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την Επεξεργασία ανακοινώνουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων στις οικείες εποπτικές αρχές. Στα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων θα πρέπει να περιλαμβάνονται πληροφορίες που διευκολύνουν την επικοινωνία των εποπτικών αρχών μαζί του (ταχυδρομική διεύθυνση, συγκεκριμένος τηλεφωνικός αριθμός και/ή συγκεκριμένη διεύθυνση ηλεκτρονικού ταχυδρομείου). Συνεπώς, για ποιο λόγο προστέθηκε η κοινοποίηση της «ιδιότητας» του υπευθύνου προστασίας δεδομένων και πώς αυτή η κοινοποίηση διευκολύνει την Αρχή στην επικοινωνία με αυτόν?

    Γενικότερο σχόλιο: Ποιος ο λόγος ύπαρξης δύο άρθρων (14 & 48 αντιστοίχως) για το ίδιο θέμα στον ίδιο νόμο? Δημιουργεί ασάφεια.