GDPR: Ο DPO στο μικροσκόπιο των εποπτικών αρχών

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 7/05/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Υπεύθυνος Προστασίας Δεδομένων ή Data Protection Officer (DPO): θέση κλειδί στον δημόσιο και στον ιδιωτικό τομέα για την ορθή και πλήρη εφαρμογή του νομοθετικού πλαισίου για την προστασία των προσωπικών δεδομένων. Κατά τον GDPR, ορισμένοι υπεύθυνοι επεξεργασίας και εκτελούντες την επεξεργασία υποχρεούνται να ορίσουν DPO. Επιγραμματικά, η υποχρέωση αυτή ισχύει για τις δημόσιες αρχές και φορείς, καθώς και τους οργανισμούς που έχουν ως κύρια δραστηριότητα την τακτική και συστηματική παρακολούθηση φυσικών προσώπων σε μεγάλη κλίμακα ή την επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων / προσωπικών δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα σε μεγάλη κλίμακα. Ο ρόλος του DPO είναι πρωτίστως συμβουλευτικός, αποτελώντας σημείο αναφοράς τόσο για τον εκάστοτε οργανισμό στον οποίο κατέχει την οικεία θέση όσο και για την εποπτική αρχή.

Τι γίνεται όμως όταν δεν λάβει χώρα ο ορισμός του Υπεύθυνου Προστασίας Δεδομένων, παρά την ύπαρξη σχετικής υποχρέωσης; Αν πραγματοποιήθηκε ο ορισμός του, αλλά είναι εκπρόθεσμος, υφίστανται συνέπειες; Η μη ανακοίνωση του ορισμού του στην εποπτική αρχή γεννά ζητήματα; Ενδεχόμενη σύγκρουση συμφερόντων στο πρόσωπό του πρέπει να μας απασχολεί; Και αν έχει οριστεί ένας DPO για περισσότερους φορείς, χωρίς όμως να είναι εφικτή η αποτελεσματική άσκηση των καθηκόντων του για όλους; Σε αυτά τα ερωτήματα απαντούν οι ακόλουθες πέντε αποφάσεις των εποπτικών αρχών της Ιταλίας, της Ελλάδας, της Ισπανίας, του Βελγίου και της Γερμανίας.

A. Ιταλία: Μη εμπρόθεσμος ορισμός DPO

Στην εν λόγω υπόθεση που απασχόλησε την εποπτική αρχή της Ιταλίας και δημοσιεύθηκε τον Φεβρουάριο (απόφαση υπ’ αριθμ. 54/2021), καταγγέλθηκε ότι το Υπουργείο Οικονομικής Ανάπτυξης διέθετε ιστοσελίδα στην οποία ήταν ελεύθερα προσβάσιμο πλήθος προσωπικών δεδομένων περισσότερων από 5.000 επαγγελματιών, όπως ονοματεπώνυμα, Τ.Κ., ηλεκτρονικές διευθύνσεις, βιογραφικά σημειώματα, αριθμοί κινητού τηλεφώνου. Τα προσωπικά δεδομένα των εν λόγων επαγγελματιών είχαν καταστεί διαθέσιμα, για να διευκολυνθούν μικρομεσαίες επιχειρήσεις στην επαφή μαζί τους, στο πλαίσιο παροχής συγκεκριμένων υπηρεσιών. Κατά την έρευνα της εποπτικής αρχής διαπιστώθηκε επίσης ότι το εμπλεκόμενο Υπουργείο δεν είχε ορίσει εμπρόθεσμα, ήτοι μέχρι τις 25 Μαΐου 2018 όταν και τέθηκε σε εφαρμογή ο GDPR, Υπεύθυνο Προστασίας Δεδομένων. Αντίθετα, ο σχετικός ορισμός είχε λάβει χώρα με μεγάλη καθυστέρηση, ήτοι τον Οκτώβριο του 2019. Καθυστέρηση είχε σημειωθεί επίσης και στην ανακοίνωση στην εποπτική αρχή του ορισμού του DPO. Όπως έκρινε η εποπτική αρχή, η δημοσίευση τέτοιου εκτενούς εύρους προσωπικών δεδομένων των επαγγελματιών στην επίμαχη ιστοσελίδα δεν διέθετε νομική βάση και δεν τηρούσε την αρχή της ελαχιστοποίησης. Ομοίως, δεν μπορούσε να δικαιολογηθεί η καθυστέρηση στον ορισμό του DPO. Για τους λόγους αυτούς, στο εμπλεκόμενο Υπουργείο επιβλήθηκε πρόστιμο ύψους 75.000 ευρώ.

Β. Ελλάδα: Ορισμός ενός DPO για περισσότερους δημόσιους φορείς

Στην εν λόγω υπόθεση που απασχόλησε την ελληνική εποπτική αρχή και δημοσιεύθηκε τον Ιούλιο του 2020 (απόφαση υπ’ αριθμ. 20/2020), πολίτης κατήγγειλε παράνομη επεξεργασία των προσωπικών δεδομένων του από στρατιωτικό νοσοκομείο. Κατά την εξέταση της καταγγελίας τέθηκε και το ζήτημα του ορισμού DPO, για το οποίο το στρατιωτικό νοσοκομείο σημείωσε ότι είχε συσταθεί γραφείο Υπεύθυνου Προστασίας Δεδομένων στο Γενικό Επιτελείο Εθνικής Άμυνας. Το εν λόγω γραφείο είχε, κατά το στρατιωτικό νοσοκομείο, αρμοδιότητα και για το ίδιο, σύμφωνα με το άρθρο 37 παρ. 3 του GDPR και το άρθρο 6 παρ. 2 Ν. 4624/2019. Οι εν λόγω ρυθμίσεις επιτρέπουν τον ορισμό ενός μόνο DPO για περισσότερους δημόσιους φορείς, εφόσον όμως είναι εφικτή η αποτελεσματική άσκηση των οικείων καθηκόντων. Εν προκειμένω η εποπτική αρχή έκρινε ότι η σύσταση του γραφείου Υπεύθυνου Προστασίας Δεδομένων στο Γενικό Επιτελείο Εθνικής Άμυνας δεν ήταν επαρκής για τη διασφάλιση της αποτελεσματικής άσκησης καθηκόντων DPO ως προς το εμπλεκόμενο στρατιωτικό νοσοκομείο. Αντιθέτως, λόγω ιδίως της μεγάλης κλίμακας επεξεργασίας προσωπικών δεδομένων ασθενών, στην οποία προέβαινε το τελευταίο, επιβεβλημένος ήταν ο ορισμός DPO αυτοτελώς. Κατόπιν τούτων, η εποπτική αρχή κάλεσε το στρατιωτικό νοσοκομείο να μεριμνήσει για τον ορισμό DPO, χωρίς να προβεί στην επιβολή προστίμου.

Γ. Ισπανία: Μη ορισμός DPO

Στην εν λόγω υπόθεση που απασχόλησε την εποπτική αρχή της Ισπανίας και δημοσιεύθηκε τον Ιούνιο του 2020 (αριθμ.: PS/00417/2019, πηγή: GDPRHUB), πολίτης κατήγγειλε ότι εταιρεία δεν είχε ορίσει DPO στον οποίο θα μπορούσε να απευθύνει τα παράπονά του για την επεξεργασία των προσωπικών δεδομένων του. Η εμπλεκόμενη εταιρεία υποστήριξε πως δεν ήταν υποχρεωμένη να ορίσει DPO και πως παρά ταύτα είχε προβεί στη δημιουργία εσωτερικού οργάνου το οποίο ασκούσε καθήκοντα DPO. Κατόπιν της εκκίνησης της διαδικασίας επιβολής κυρώσεων από την εποπτική αρχή, η εμπλεκόμενη εταιρεία υποστήριξε συμπληρωματικά πως τελικά τον Μάρτιο του 2019 όρισε DPO, αλλά αποφάσισε να μην καταστήσει τον ορισμό του δημόσιο μέχρι τον Φεβρουάριο του 2020, δεδομένης της λειτουργίας του προαναφερθέντος εσωτερικού οργάνου και της υιοθέτησης σχετικών εσωτερικών διαδικασιών. Κατόπιν τούτων, η εποπτική αρχή έκρινε ότι η εμπλεκόμενη εταιρεία είχε παραβεί την υποχρέωσή της ορισμού DPO, καθώς και ανακοίνωσης αυτού στην εποπτική αρχή. Έτσι, αποφάσισε την επιβολή προστίμου ύψους 25.000 ευρώ.

Δ. Bέλγιο: Σύγκρουση συμφερόντων και DPO

Στην εν λόγω υπόθεση που απασχόλησε την εποπτική αρχή του Βελγίου και δημοσιεύθηκε τον Απρίλιο του 2020 (απόφαση υπ’ αριθμ. 18/2020), εταιρεία είχε ορίσει ως DPO πρόσωπο το οποίο ήταν επίσης επικεφαλής συμμόρφωσης, διαχείρισης κινδύνων και ελέγχου της εταιρείας. Το γεγονός αυτό έγινε αντιληπτό από την εποπτική αρχή σε διαδικασία που ενεργοποιήθηκε σε συνέχεια περιστατικού παραβίασης. Όπως κρίθηκε, εν προκειμένω ο DPO λάμβανε αποφάσεις σχετικά με τους σκοπούς και τον τρόπο επεξεργασίας των προσωπικών δεδομένων στο πλαίσιο του προαναφερθέντος δεύτερου ρόλου τον οποίο είχε. Αυτό όμως συνεπαγόταν τη συνδρομή σύγκρουσης συμφερόντων στο πρόσωπό του, σύμφωνα με το άρθρο 38 παρ. 6 GDPR. Κατόπιν τούτων, η εποπτική αρχή αποφάσισε την επιβολή προστίμου ύψους 50.000 ευρώ στην εμπλεκόμενη εταιρεία λόγω της ύπαρξης σύγκρουσης συμφερόντων στο πρόσωπο του DPO.

Ε. Γερμανία: Μη ανακοίνωση DPO στην εποπτική αρχή

Στην εν λόγω υπόθεση που απασχόλησε την εποπτική αρχή του Αμβούργου και δημοσιεύθηκε τον Δεκέμβριο του 2019 (πηγή: ΕΣΠΔ) έγινε αντιληπτό κατόπιν καταγγελίας ότι η θυγατρική στη Γερμανία γνωστού μέσου κοινωνικής δικτύωσης δεν είχε προβεί στην ανακοίνωση ορισμού DPO. Εξετάζοντας την υπόθεση, η εποπτική αρχή διαπίστωσε ότι το 2017 είχε πληροφορηθεί ότι ο τότε DPO δεν θα συνέχισε την άσκηση των καθηκόντων του, χωρίς όμως στη συνέχεια να υπάρξει ανακοίνωση προς αυτή για τον αντικαταστάτη του, παρά τη σχετική υποχρέωση του άρθρου 37 παρ. 7 του GDPR. Όπως σημειώθηκε, εν προκειμένω ο DPO είχε οριστεί, αλλά δεν είχε ποτέ ανακοινωθεί στην εποπτική αρχή. Κατόπιν τούτου, η εποπτική αρχή επέβαλε στην εμπλεκόμενη εταιρεία πρόστιμο ύψους 51.000 ευρώ.

 

Αιμίλιος Κορωναίος | Δικηγόρος Αθηνών | 2023