Ειδήσεις Οικονομικές Ειδήσεις

GDPR: Διευκρινίσεις σχετικά με την πιστοποίηση πράξεων επεξεργασίας δεδομένων σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων



ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Αθήνα, 21 Ιουνίου 2018

Γ/ΕΞ/5556

ANAKOINΩΣΗ

Διευκρινίσεις σχετικά με την πιστοποίηση πράξεων επεξεργασίας δεδομένων σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ)

To Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) εξέδωσε πρόσφατα Κατευθυντήριες Γραμμές (1/2018) σχετικά με την πιστοποίηση και τον προσδιορισμό των κριτηρίων πιστοποίησης, σύμφωνα με τα άρθρα 42 και 43 του Γενικού Κανονισμού Προστασίας Δεδομένων 2016/679, οι οποίες είναι σε δημόσια διαβούλευση έως τις 12/7/2018 (βλ. σχετικό σύνδεσμο στο Public consultation: Guidelines1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679).

Επισημαίνεται ότι η θέσπιση μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας δεδομένων έχει ως σκοπό την απόδειξη της:1
- συμμόρφωσης προς τον ΓΚΠΔ των πράξεων επεξεργασίας υπευθύνων επεξεργασίας και εκτελούντων επεξεργασία που υπόκεινται σε αυτόν (άρ. 42 (1)),
- παροχής κατάλληλων εγγυήσεων στο πλαίσιο διαβιβάσεων δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς (άρθρο 46 (2) (στ)) από υπευθύνους επεξεργασίας και εκτελούντες που δεν υπόκεινται στο ΓΚΠΔ (άρ. 42 (2)).

Η πιστοποίηση είναι:
- προαιρετική, εθελοντική και διαθέσιμη μέσω διαφανούς διαδικασίας,
- δεν περιορίζει την ευθύνη του υπευθύνου ή του εκτελούντος για συμμόρφωση στον ΓΚΠΔ,
- δεν θίγει τα καθήκοντα και τις αρμοδιότητες των εποπτικών αρχών.
- Λαμβάνεται, ωστόσο, υπόψη κατά την άσκηση της κυρωτικής διαδικασίας και ειδικότερα στη λήψη της απόφασης για την επιβολή της ποινής καθώς και για το ύψος αυτής.

Τέλος, σημειώνεται ότι η Αρχή ενθαρρύνει τη θέσπιση μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας δεδομένων και προτρέπει τους υπευθύνους και εκτελούντες να πιστοποιήσουν πράξεις επεξεργασίας, διότι έτσι βελτιώνεται η διαφάνεια, παρέχοντας τη δυνατότητα στα υποκείμενα των δεδομένων να αξιολογούν ταχέως τις επεξεργασίες από τη σκοπιά του επιπέδου προστασίας δεδομένων.

Όπως επισημάνθηκε και στην από 9/8/2017 ανακοίνωση της Αρχής για θέματα που αφορούν την πιστοποίηση επαγγελματικών προσόντων Υπευθύνων Προστασίας Δεδομένων (Data Protection Officers–DPOs), ο ΓΚΠΔ που τέθηκε σε εφαρμογή στις 25/5/2018 δεν θέτει κάποια υποχρεωτική απαίτηση, oύτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση (βλ. και www.dpa.gr → «Oδηγίες για υπεύθυνους επεξεργασίας» →“DPO” → «Συχνές ερωτήσεις»). Για το λόγο αυτό η Αρχή δεν έχει την οποιαδήποτε συμμετοχή στη διαδικασία διαπίστευσης φορέων που παρέχουν πιστοποιήσεις επαγγελματικών προσόντων DPO, ούτε οποιαδήποτε εμπλοκή στον καθορισμό των κριτηρίων πιστοποίησης ή των πιστοποιούμενων ειδικών γνώσεων και δεξιοτήτων. Επομένως, οι πιστοποιήσεις επαγγελματικών προσόντων DPO δεν αξιολογούνται ως στοιχείο εφαρμογής του ΓΚΠΔ.

Σε αυτό το πλαίσιο, σημειώνεται επίσης ότι σύμφωνα με τον ΓΚΠΔ ο DPO διορίζεται ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων του. Το αναγκαίο επίπεδο εμπειρογνωσίας θα πρέπει να καθορίζεται ανάλογα με τις πράξεις επεξεργασίας δεδομένων που διενεργούνται και από την προστασία την οποία απαιτούν τα δεδομένα προσωπικού χαρακτήρα που υφίστανται επεξεργασία. Παράλληλα, ο DPΟ πρέπει να έχει γνώση του τομέα δραστηριότητας του οργανισμού ή φορέα στον οποίο απασχολείται αλλά και των τεχνολογιών πληροφορίας και ασφάλειας των δεδομένων.2

Τέλος ως προς τα παρεχόμενα εκπαιδευτικά σεμινάρια/προγράμματα για το ρόλο και τη θέση του DPO, η Αρχή αξιολογεί μεν θετικά τις διάφορες πρωτοβουλίες που αναλαμβάνονται από τις επαγγελματικές ενώσεις και την αγορά διευκρινίζεται, ωστόσο, ότι ουδεμία ευθύνη φέρει για την εκπαιδευτική ύλη και την ποιότητα των εν λόγω προγραμμάτων.

Τμήμα Επικοινωνίας
Τηλ.: 210-6475696


1Βλ. www.dpa.gr  «Οδηγίες για υπεύθυνους επεξεργασίας»  «Πιστοποίηση – Διαπίστευση».
2Βλ. www.dpa.gr  «Οδηγίες για Υπεύθυνους Επεξεργασίας»  «Υπεύθυνος Προστασίας Δεδομένων»
→ «Συχνές ερωτήσεις».




Τα σχόλια και οι απόψεις που δημοσιεύονται δεν υιοθετούνται από τον κόμβο και εκφράζουν αποκλειστικά τον εκάστοτε σχολιαστή.
Θα παρακαλούσαμε πολύ να διατηρήσετε τα σχόλια σας ευγενικά, πολιτισμένα και ουσιώδη. Αποφύγετε χαρακτηρισμούς απέναντι σε άλλους σχολιαστές και προσπαθήστε οι συζητήσεις να γίνονται σε ευπρεπή πλαίσια.

Σχόλια με υβριστικό περιεχόμενο διαγράφονται αυτόματα χωρίς προειδοποίηση.




ΠΡΟΣΟΧΗ: Ο παρών ιστοχώρος και όλα τα κείμενα και δεδομένα που εμπεριέχονται σε αυτόν αποτελούν αντικείμενο ειδικής επεξεργασίας και πνευματικής δημιουργίας και προστατεύονται από την νομοθεσία περί Πνευματικής Ιδιοκτησίας και Συγγενικών Δικαιωμάτων και δη από τους νόμους 2121/1993, 2557/1997, 2819/2000, τη Διεθνή Σύμβαση της Βέρνης (ν. 100/1975), τη Διεθνή Σύμβαση της Ρώμης (ν. 2054/1992) και τις Οδηγίες 91/100/ΕΟΚ, 92/100/ΕΟΚ, 93/83/ΕΟΚ, 93/98/ΕΟΚ ΚΑΙ 96/9/ΕΟΚ. Η ιδιοκτησία επ’ αυτών αποκτάται χωρίς καμία διατύπωση και χωρίς την ανάγκη ρήτρας απαγορευτικής των προσβολών της.
ΑΠΑΓΟΡΕΥΕΤΑΙ : Η αναδημοσίευση και η με οποιονδήποτε τρόπο αναπαραγωγή, εξ’ ολοκλήρου, τμηματικά ή περιληπτικά, των οιωνδήποτε κειμένων ή δεδομένων περιλαμβάνονται στον παρόντα ιστοχώρο, χωρίς την έγγραφη άδεια της δικαιούχου εταιρείας.
ΕΠΙΤΡΕΠΕΤΑΙ: H αναδημοσίευση μόνο των ελεύθερων ειδήσεων του κόμβου και όχι αυτών που η πρόσβαση επιτρέπεται αποκλειστικά στους συνδρομητές του (ένδειξη: αρθρο μόνο για συνδρομητές) με ΡΗΤΗ αναφορά στην πηγή και στον σχετικό σύνδεσμο του άρθρου/είδησης (url).
Email:
Θέμα:
Μήνυμα:
 
Δημιουργία νέας κατηγορίας

Your Categories

    Up
    Close
    Close
    Κλείσιμο