GDPR σφηνάκι: «Μπορώ ως DPO ή δεν μπορώ;»
Πρώτη δημοσίευση: www.ethemis.gr
Ημερομηνία πρώτης δημοσίευσης: 28/02/2020
Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)
«Να ζει κανείς ή να μη ζει, ιδού η απορία». Υπαρξιακά διλήμματα τύπου Άμλετ στο πεδίο όμως της προστασίας των προσωπικών δεδομένων θέτει πρόσφατη ανακοίνωση της ελληνικής εποπτικής αρχής (ΑΠΔΠΧ) για τους Υπεύθυνους Προστασίας Δεδομένων (DPOs). Σύμφωνα με το σχετικό δελτίο τύπου του Ιανουαρίου δεν είναι επιτρεπτή η εκπροσώπηση υπεύθυνου επεξεργασίας από DPO ενώπιον της ΑΠΔΠΧ, ο οποίος δικαιούται μόνο να παρακολουθήσει σχετική συνεδρίαση. Ο πυρήνας του σκεπτικού είναι σαφής: «Κατά την επιτέλεση των καθηκόντων τους οι Υπεύθυνοι Προστασίας Δεδομένων απολαύουν αυτοτέλειας και ανεξαρτησίας, η οποία δεν είναι συμβατή με την υποστήριξη της νομιμότητας πράξεων επεξεργασίας προσωπικών δεδομένων από μέρους του υπευθύνου επεξεργασίας και ενδέχεται να δημιουργεί σύγκρουση καθηκόντων με την ιδιότητα του εκπροσώπου του υπευθύνου επεξεργασίας». Η ως άνω θέση έχει οδηγήσει στην έγερση ενστάσεων από πλευράς ορισμένων DPOs, οι οποίοι υποστηρίζουν ότι δικαιούνται οπωσδήποτε, αν μη τι άλλο, να παρίστανται αυτοτελώς ενώπιον της ΑΠΔΠΧ, προκειμένου να τοποθετηθούν επί ζητημάτων της εκάστοτε υπόθεσης, η οποία τους αφορά. Aν για τα εν λόγω ζητήματα δεν μπορεί να τοποθετηθεί ο DPO, ο οποίος έχει κατά τεκμήριο άριστη γνώση, τότε ποιος μπορεί; Υπέρ της αποκλίνουσας θέσης από την υιοθετηθείσα άποψη της ΑΠΔΠΧ επιστρατεύεται και η ρητή πρόβλεψη του άρθρου 39 παρ. 1 GDPR, κατά την οποία ο DPO συνεργάζεται με την εποπτική αρχή και ενεργεί ως σημείο επικοινωνίας με αυτή. Oι δε κατευθυντήριες γραμμές της πάλαι ποτέ Ομάδας του άρθρου 29 για τους DPOs φαίνεται ότι παρέχουν έρεισμα για ποικίλες ερμηνείες, καθώς περιορίζονται μόνο στον ρητό εντοπισμό σύγκρουσης συμφερόντων στο σενάριο της δικαστικής εκπροσώπησης από DPO. Έτσι, σε αυτές σημειώνεται: «Σύγκρουση συμφερόντων μπορεί επίσης να προκύψει, π.χ., σε περίπτωση που ζητηθεί από εξωτερικό υπεύθυνο προστασίας δεδομένων να εκπροσωπεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ενώπιον των δικαστηρίων σε υποθέσεις που σχετίζονται με ζητήματα προστασίας των δεδομένων». Κατά τη γνώμη μας, η θέση της ΑΠΔΠΧ είναι πειστική. Αναμένονται πάντως με ενδιαφέρον σχετικές αντιρρήσεις DPOs που ενδέχεται να προβληθούν κατά τη συζήτηση υποθέσεων ενώπιον της ΑΠΔΠΧ, η θεμελίωσή τους και οι νομικοί συλλογισμοί με τους οποίους εν τέλει θα αντιμετωπισθούν.