Παρασκευή, 11 Αυγούστου 2017

Ανακοίνωση της ΑΠΔΠΧ για τις πιστοποιήσεις Υπευθύνων Προστασίας Δεδομένων


Την 9-8-2017 (αρ. πρωτ.: Γ/ΕΞ/6007) η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) εξέδωσε Ανακοίνωση σχετικά με την πιστοποίηση επαγγελµατικών προσόντων Υπευθύνων Προστασίας ∆εδοµένων (Data Protection Officers - DPOs), στο πλαίσιο εκπαιδευτικών προγραµµάτων που πραγµατοποιούνται από διάφορους φορείς,

Σημειώνεται ότι στον Ευρωπαϊκο Κανονισμό 2016/679 προβλέπεται υποχρεωτικά ο διορισμός υπευθύνων προστασίας δεδομένων σε κρατικές υπηρεσίες και σε επιχειρήσεις, σε ορισμένες περιπτώσεις (βλ. άρθρο 37 Κανονισμού). Πρέπει να σημειωθεί ότι δεν είναι υποχρεωτικός ο διορισμός σε όλες τις επιχειρήσεις, αλλά μόνο στις εξής περιπτώσεις όπου:
α)
η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
β)
οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή
γ)
οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

Περαιτέρω, σύμφωνα με το άρθρο 37 παρ. 5 του Κανονισμού,  "ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39". Σαφώς, στον Κανονισμό δεν προβλέπεται ότι τα πρόσωπα που πρόκειται να διοριστούν ως υπεύθυνοι προστασίας δεδομένων πρέπει να διαθέτουν πιστοποίηση. Η επιλογή τους θα γίνεται με την ευθύνη του υπεύθυνου επεξεργασίας που πρέπει να εκτιμήσει τα επαγγελματικά προσόντα τους, βάσει του βιογραφικού τους. 

Λόγω του ότι πολλοί φορείς παρέχουν εκπαίδευση σε όσους θεωρούν καλή επαγγελματική προοπτική την ανάληψη μιας τέτοιας θέσης, η Αρχή πήρε θέση και κατέστησε σαφές ότι οι εν λόγω φορείς δεν είναι διαπιστευμένοι να παρέχουν εκπαίδευση προς το σκοπό αυτό, χωρίς βεβαίως να βλάπτει η διενέργεια σχετικών επιμορφωτικών σεμιναρίων.

Αυτό σημαίνει, πρακτικά, ότι τα εκπαιδευτικά αυτά προγράμματα δεν είναι κάτι αντίστοιχο με την εκπαίδευση που παρέχουν διαπιστευμένοι φορείς στους διαμεσολαβητές.

Ειδικότερα, η Ανακοίνωση της Αρχής καταλήγει στα εξής:

• Η δραστηριοποίηση αυτή της αγοράς είναι θετική, αφού συµβάλλει στη µεταφορά γνώσης και ενηµέρωσης σε θέµατα του ΓΚΠ∆, πρέπει όµως να τεθεί στην ορθή της διάσταση, αποφεύγοντας τη δηµιουργία εσφαλµένων εντυπώσεων ως προς τις σχετικές απαιτήσεις του ΓΚΠ∆.

• Ο ΓΚΠ∆, που θα τεθεί σε ισχύ τον Μάϊο του 2018, δεν θέτει κάποια υποχρεωτική απαίτηση για πιστοποίηση του DPO, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση.

• Μέχρι σήµερα κανένας φορέας στην Ελλάδα δεν έχει διαπιστευθεί για να πιστοποιεί τα επαγγελµατικά προσόντα/δεξιότητες ενός DPO. Συνεπώς, οι προτεινόµενες πιστοποιήσεις DPO δεν εµπίπτουν στην κατηγορία των υφιστάµενων επίσηµων ελληνικών πιστοποιήσεων.

• H ύλη των προσφερόµενων εκπαιδευτικών προγραµµάτων µπορεί µεν να χαρακτηριστεί γενικώς ως συναφής µε τον ΓΚΠ∆ και τη θέση του DPO, η επιλογή της όµως αποτελεί αποκλειστική ευθύνη των φορέων που τα παρέχουν.