Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR) θεσπίστηκε για την προστασία των δικαιωμάτων απορρήτου των κατοίκων της Ευρωπαϊκής Ένωσης.
Ένας από τους τρόπους με τους οποίους ο GDPR προστατεύει το απόρρητο είναι η θέσπιση ορισμένων αρχών που σχετίζονται με την επεξεργασία των προσωπικών δεδομένων.
Ο νόμος παρέχει στους κατοίκους της ΕΕ συγκεκριμένα δικαιώματα όσον αφορά τη συλλογή, τη χρήση και την αποκάλυψη των προσωπικών τους πληροφοριών και απαιτεί την ύπαρξη Επεξεργαστών και Υπεύθυνων Επεξεργασίας αυτών των πληροφοριών ώστε:
- να τιμώνται τα δικαιώματα απορρήτου που παρέχονται στους καταναλωτές
- να υπάρχει συμμόρφωση με την Πολιτική απορρήτου και
- σε ορισμένες περιπτώσεις να οριστεί Υπεύθυνος Προστασίας Δεδομένων (DPO).
Σε αυτό το άρθρο, θα δούμε σε ποιες περιπτώσεις είμαστε υποχρεωμένοι να ορίσουμε Υπεύθυνο Προστασίας Δεδομένων βάσει του GDPR.
Επεξεργασία που πραγματοποιείται από δημόσια αρχή ή οργανισμό
Το άρθρο 37 του GDPR ορίζει την αναγκαία ύπαρξη Υπεύθυνου Προστασίας Δεδομένων όταν η επεξεργασία πραγματοποιείται από δημόσια αρχή ή οργανισμό - εκτός από τα δικαστήρια που ενεργούν υπό τη δικαστική τους ιδιότητα. Ο GDPR δεν παρέχει ορισμό της «δημόσιας αρχής», οπότε πρέπει να συμβουλευτείτε την εθνική νομοθεσία για να προσδιορίσετε εάν θεωρείστε “δημόσια αρχή”.
Μπορούμε να δούμε ως παράδειγμα το Νόμο περί Προστασίας Δεδομένων του Ηνωμένου Βασιλείου (UK Data Protection Act 2018), στον οποίο υιοθετείτε ο ορισμός της «δημόσιας αρχής» που εμπεριέχεται στουςν νόμους: “περί Ελευθερίας της Πληροφόρησης” (Freedom of Information Act 2000 ) και “περί Ελευθερίας Πληροφοριών της Σκωτίας” (Scotland Freedom of Information Act 2002). Τα κοινά παραδείγματα των δημόσιων αρχών περιλαμβάνουν ένα συμβούλιο κομητείας, ορισμένα τμήματα των ενόπλων δυνάμεων ή ένα κοινοβούλιο. Οι δημόσιες αρχές είναι συνήθως κυβερνητικές υπηρεσίες. Ωστόσο, ο ασφαλέστερος τρόπος για να προσδιορίσετε αν ανήκετε σε δημόσια αρχή είναι να συμβουλευτείτε την εθνική νομοθεσία για τον ορισμό που σας αφορά.
Τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα
Πρέπει να έχουμε Υπεύθυνο Προστασίας Δεδομένων εάν οι βασικές μας δραστηριότητες αποτελούνται από εργασίες επεξεργασίας οι οποίες, λόγω της φύσης τους, του πεδίου εφαρμογής τους και / ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα. Δυστυχώς, ο ίδιος ο GDPR δεν παρέχει πολλές οδηγίες σχετικά με την έννοια των βασικών όρων της προηγούμενης πρότασης, συμπεριλαμβανομένων των «βασικών δραστηριοτήτων», της «τακτικής και συστηματικής παρακολούθησης» ή της «μεγάλης κλίμακας». Ας αποδομήσουμε κάθε έναν από αυτούς τους όρους ξεχωριστά, ώστε να να κατανοήσουμε καλύτερα σε ποιούς απευθύνεται η απαίτηση για DPO.
Βασικές δραστηριότητες
Ο GDPR αναφέρεται στις βασικές δραστηριότητες ενός συγκεκριμένου οργανισμού και στον τρόπο με τον οποίο η επεξεργασία των προσωπικών πληροφοριών σχετίζεται με αυτές τις δραστηριότητες. Οι βασικές δραστηριότητες, όπως ορίζονται στην Recital 97, είναι δραστηριότητες που σχετίζονται με τις κύριες δραστηριότητες του οργανισμού και δεν σχετίζονται με την επεξεργασία προσωπικών πληροφοριών ως παρεπόμενες δραστηριότητες. Σύμφωνα με την ομάδα εργασίας του άρθρου 29 ( Article 29 Working Party), βασικές δραστηριότητες μπορούν να θεωρηθούν οι βασικές λειτουργίες που απαιτούνται για την επίτευξη των στόχων του Υπευθύνου Επεξεργασίας ή του Επεξεργαστή.
Ας πάρουμε το παράδειγμα μιας εταιρείας που πουλάει χαρτί. Η επεξεργασία προσωπικών πληροφοριών αυτής της εταιρείας με σκοπό την πρόσληψη βοηθού, δεν θα θεωρηθεί «βασική δραστηριότητα», καθώς είναι βοηθητική για την επιχείρηση πώλησης χαρτιού. Ωστόσο, η ίδια δραστηριότητα θα μπορούσε να θεωρηθεί ως «βασική δραστηριότητα» για μια εταιρεία στελέχωσης, δεδομένου ότι δραστηριοποιείται με κύριο σκοπό την πρόσληψη ατόμων. Το αν εκτελείτε μια βασική δραστηριότητα εξαρτάται ή όχι από την επιχείρηση στην οποία βρίσκεστε, τους στόχους σας και τι προσπαθείτε να πετύχετε, έτσι οι αποφάσεις πρέπει να λαμβάνονται κατά περίπτωση.
Τακτική και συστηματική παρακολούθηση
Για να υπάρχει απαίτηση Υπεύθυνου Προστασίας Δεδομένων, οι εργασίες επεξεργασίας πρέπει να συνίστανται σε τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων. Δυστυχώς, ο GDPR δεν ορίζει τι σημαίνει αυτός ο όρος.
Ωστόσο, η ομάδα εργασίας του άρθρου 29 παρέχει τις ακόλουθες οδηγίες σχετικά με το τι σημαίνει η επεξεργασία να είναι «τακτική»:
- να είναι σε εξέλιξη ή να συμβαίνει σε συγκεκριμένα διαστήματα και για συγκεκριμένη περίοδο.
- να είναι επαναλαμβανόμενη ή επαναλαμβανόμενες σε καθορισμένες ώρες, ή
- να είναι συνεχόμενη ή περιοδική.
Εν τω μεταξύ, η «συστηματική παρακολούθηση» ερμηνεύεται ως ένα ή περισσότερα από τα ακόλουθα:
- να συμβαίνει συστηματικά
- να συμβαίνει προκαθορισμένα, οργανωμένα ή μεθοδικά.
- να πραγματοποιείται ως μέρος γενικού σχεδίου για τη συλλογή δεδομένων, ή
- να πραγματοποιείται ως μέρος μιας στρατηγικής.
Συνηθισμένα παραδείγματα αυτού του τύπου παρακολούθησης είναι: το email retargeting, το location tracking (παρακολούθηση τοποθεσίας), το fraud prevention (πρόληψη απάτης) ή η συμπεριφορική διαφήμιση (behavioral advertising). Και πάλι, εάν εκτελείτε αυτούς τους τύπους δραστηριοτήτων εξαρτάται από τις συγκεκριμένες πρακτικές επεξεργασίας δεδομένων σας, πράγμα που σημαίνει ότι πρέπει να έχετε καλή κατανόηση του τρόπου με τον οποίο χρησιμοποιείτε προσωπικές πληροφορίες στις επιχειρηματικές σας δραστηριότητες. Ένα καλό εργαλείο που μπορεί να χρησιμοποιηθεί για να προσδιορίσει εάν εκτελείτε τακτική και συστηματική παρακολούθηση είναι ένας χάρτης ροής δεδομένων (data flow map ) και ένα απόθεμα δεδομένων (data inventory).
Επεξεργασία σε μεγάλη κλίμακα
Στον ίδιο το νόμο GDPR δεν παρέχονται πληροφορίες σχετικά με το τι σημαίνει «επεξεργασία μεγάλης κλίμακας». Στην πραγματικότητα, η ομάδα εργασίας του άρθρου 29 δηλώνει ότι είναι αδύνατο να αναφερθεί ένας συγκεκριμένος αριθμός που θα χαρακτήριζε την επεξεργασία αυτόματα ως «μεγάλης κλίμακας». Ωστόσο, θα πρέπει να λάβετε υπόψιν τους ακόλουθους παράγοντες όταν προσπαθείτε να προσδιορίσετε εάν πληροίτε τα κριτήρια:
- Τον αριθμό των ενδιαφερόμενων υποκειμένων δεδομένων - είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό του σχετικού πληθυσμού ·
- Τον όγκο των δεδομένων ή / και το εύρος των διαφορετικών στοιχείων των δεδομένων που υποβάλλονται σε επεξεργασία
- Τη διάρκεια ή τη μονιμότητα της δραστηριότητας επεξεργασίας δεδομένων · και
- Τη γεωγραφική έκταση της δραστηριότητας της επεξεργασίας.
Η επεξεργασία μεγάλης κλίμακας πραγματοποιείται συνήθως από μεγαλύτερες οντότητες όπως νοσοκομεία, αλυσίδες εστιατορίων, μηχανές αναζήτησης ή παρόχους υπηρεσιών Διαδικτύου.
Εάν επεξεργάζεστε τακτικά και συστηματικά τις προσωπικές πληροφορίες των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ως μέρος των βασικών σας δραστηριοτήτων, πρέπει να ορίσετε έναν Υπεύθυνο Προστασίας Δεδομένων για τον οργανισμό σας.
Επεξεργασία ειδικών κατηγοριών δεδομένων ή δεδομένων ποινικής καταδίκης και αδικήματος
Ο GDPR απαιτεί επίσης να ορίσετε έναν Υπεύθυνο Προστασίας Δεδομένων εάν επεξεργάζεστε, σε μεγάλη κλίμακα, τις ειδικές κατηγορίες δεδομένων που ορίζονται στο άρθρο 9 ή προσωπικά δεδομένα που σχετίζονται με ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.
Το άρθρο 9 ορίζει ότι τα ακόλουθα δεδομένα περιλαμβάνονται στις «ειδικές κατηγορίες»: προσωπικά δεδομένα που αποκαλύπτουν εθνοτική ή φυλετική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή συνδικαλιστική συμμετοχή και επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό το μοναδικό προσδιορισμό ενός φυσικού προσώπου, δεδομένα σχετικά με την υγεία ή δεδομένα σχετικά με τη σεξουαλική ζωή ενός φυσικού προσώπου ή τον σεξουαλικό του προσανατολισμό.
Εάν συλλέγετε κάποιο από τα δεδομένα που αναφέρονται παραπάνω ή προσωπικά δεδομένα που σχετίζονται με ποινικές καταδίκες και αδικήματα, πρέπει να ορίσετε έναν Υπεύθυνο Προστασίας Δεδομένων, καθώς αυτός ο τύπος δεδομένων είναι πολύ ευαίσθητος και απαιτεί πρόσθετη προστασία.
Εάν είστε δημόσια αρχή, εκτελείτε τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή επεξεργάζεστε ειδικές κατηγορίες δεδομένων ή ποινικής καταδίκης και αδικήματος, θα πρέπει να ορίσετε έναν Υπεύθυνο Προστασίας Δεδομένων (DPO). Η αποτυχία να ορίσετε DPO όταν απαιτείται, μπορεί να οδηγήσει σε έρευνα από την Αρχή Προστασίας Δεδομένων και ακόμη και σε πρόστιμα για τη μη συμμόρφωση με τον GDPR.
Θέλεις να συμμετάσχεις πιο ενεργά στην ελληνική κοινότητα του Joomla; Επικοινώνησε μαζί μας.
Γράφω από μικρή χιλιόμετρα, έχω black χιούμορ και γελάω με τα παθήματα μου. Χρησιμοποιώ το Joomla! εδώ και 11 χρόνια γιατί αλλάζει, εξελίσσεται και με κρατάει σε εγρήγορση. Όπως το SEO. Όπως οι κοινότητες.
