Πεδίο εφαρμογής
Τρεις (3) είναι οι βασικές κατηγορίες περιπτώσεων διορισμού Υπεύθυνου Προστασίας Δεδομένων (DPO) σύμφωνα με το άρθρο 37 του Κανονισμού:
α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας,
β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή
γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.
Αντικείμενο του Έργου
Ο Υπεύθυνος Επεξεργασίας οφείλει να ορίσει Υπεύθυνο Προστασίας Δεδομένων (DPO) για τη διασφάλιση της πλήρους συμμόρφωσής του με τους κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα που διαχειρίζεται, σύμφωνα με τις επιταγές του Γενικού Κανονισμού (ΕΕ) 2016/679 (Άρθρο 37, ΓΚΠΔ).
Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) διαθέτει τα απαιτούμενα επαγγελματικά προσόντα και εμπειρογνωσία στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων και την ικανότητα εκπλήρωσης των καθηκόντων που περιγράφονται παρακάτω.
Η Ομάδα Εργασίας του άρθρου 29 (WP29) τονίζει ότι ο Υπεύθυνος Προστασίας Δεδομένων (DPO) είναι επαγγελματίας που πρέπει να είναι κατάλληλος για να καθορίσει τη συμμόρφωση της επιχείρησης με τους εθνικούς και ευρωπαϊκούς νόμους και πρακτικές για την προστασία των δεδομένων, συμπεριλαμβανομένης της «σε βάθος κατανόησης του GDPR». Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) πρέπει να συμμετέχει από το αρχικό στάδιο σε όλα τα ζητήματα που σχετίζονται με την προστασία των δεδομένων και πρέπει να συμπεριληφθεί ως «εταίρος συζήτησης» στο πλαίσιο της επιχείρησης, να προσκληθεί να συμμετάσχει σε συνεδριάσεις της Διοίκησης, να ζητηθεί η γνώμη του σχετικά με θέματα προστασίας δεδομένων και να εμπλακεί έγκαιρα σε περιστατικά παραβίασης δεδομένων.
Παρεχόμενες υπηρεσίες από την Alpha Plan
Η Alpha Plan Consultants, διαθέτοντας έμπειρο προσωπικό, μπορεί να οριστεί ως Υπεύθυνος Προστασίας Δεδομένων (DPO) σε οποιοδήποτε Επιχείρηση, να γνωστοποιήσει τα στοιχεία της προς την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) Προστασίας Δεδομένων και να εκτελεί όλα τα χρέη του Υπεύθυνου Προστασίας Δεδομένων (DPO). Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) θα είναι άμεσα διαθέσιμος προς την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), την Επιχείρηση αλλά και τα Υποκείμενα των Δεδομένων. Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) θα αναλάβει την παροχή ανεξάρτητων υπηρεσιών για λογαριασμό του Υπευθύνου Επεξεργασίας και συγκεκριμένα:
α) Ενημέρωση και παροχή συμβουλών προς τον Υπεύθυνο Επεξεργασίας και τους υπαλλήλους του σχετικά με τις υποχρεώσεις τους σε θέματα προστασίας δεδομένων.
β) Παρακολούθηση της συμμόρφωσης με τον Γενικό Κανονισμό (ΕΕ) 2016/679, με άλλες διατάξεις της Ευρωπαϊκής Ένωσης ή της κείμενης νομοθεσίας σχετικά με την προστασία δεδομένων και με τις πολιτικές του Υπευθύνου Επεξεργασίας σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας και των σχετικών ελέγχων.
γ) Παροχή συμβουλών, για τη διενέργεια εκτίμησης αντικτύπου για τις περιπτώσεις τις οποίες η Επιχείρηση πληροί όλες τις απαραίτητες προϋποθέσεις διενέργειας εκτίμησης αντικτύπου, σύμφωνα με όλα όσα ορίζονται στον Γενικό Κανονισμό (ΕΕ) 2016/679 και τις Κατευθυντήριες Γραμμές της Ομάδας Εργασίας του άρθρου 29 (17/EL WP 248 αναθ. 01) με τίτλο «Κατευθυντήριες γραμμές για την διεξαγωγή ΕΑΠΔ και Επεξεργασίες Υψηλού Κινδύνου».
δ) Συνεργασία με την Εποπτική Αρχή, Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), όποτε απαιτηθεί
ε) Επικοινωνία με την Εποπτική Αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης.
στ) Προετοιμασία απαντήσεων προς τα υποκείμενα τα υποκείμενα των δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τους αφορούν και με την άσκηση των δικαιωμάτων τους.
ζ) Διενέργεια διαβουλεύσεων, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.