Με τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) εισάγεται για πρώτη φορά o θεσμός του Υπευθύνου Προστασίας Δεδομένων (άρθρα 38 και 39).

Ο θεσμός διαφοροποιείται από τον Υπεύθυνο Επεξεργασίας Δεδομένων (Data Controller). Ο Υπεύθυνος Επεξεργασίας είναι αυτός που καθορίζει το σκοπό και τους τρόπους επεξεργασίας. Ο Υπεύθυνος Προστασίας παρέχει συνδρομή και συμβουλευτικές υπηρεσίες στον Υπεύθυνο Επεξεργασίας, ή στον Εκτελούντα την Επεξεργασία. Πρέπει να είναι εγκατεστημένος εντός Ε.Ε, ανεξάρτητα που είναι εγκατεστημένος ο Υπεύθυνος Επεξεργασίας. ή ο Εκτελών την Επεξεργασία. Ο ρόλος του είναι συμβουλευτικός (όχι αποφασιστικός). Δεν έχει προσωπική ευθύνη για την μη συμμόρφωση με τον Κανονισμό, εκτός αν ευθύνεται για ίδιον πταίσμα. Υπεύθυνος να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον Κανονισμό είναι ο Υπεύθυνος Επεξεργασίας, ή ο Εκτελών την Επεξεργασία.

Καθήκοντα Υπευθύνου Προστασίας

- Ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας, ή τον εκτελούντα την επεξεργασία, ως και τους υπαλλήλους των.

- Συμμετέχει σε όλα τα ζητήματα που αφορούν τον φορέα, ή την επιχείρηση, σχετικά με την προστασία των προσωπικών δεδομένων.

- Παρακολουθεί την εσωτερική συμμόρφωση με τον Κανονισμό και τις διατάξεις περί προστασίας δεδομένων, όπως προσδιορισμός και διαχείριση δραστηριοτήτων επεξεργασίας, εκπαίδευση προσωπικού, διενέργεια εσωτερικών ελέγχων.

- Παρέχει συμβουλές για την εκτίμηση αντικτύπου και παρακολουθεί την υλοποίησή τους.

- Έχει ελεύθερη πρόσβαση σε όλα τα αρχεία του φορέα, ή της επιχείρησης. 

- Εκπροσωπεί την επιχείρηση - φορέα  έναντι των Αρχών, συνεργάζεται με την εποπτική αρχή. Είναι το μέσο επικοινωνίας με την εποπτική αρχή.

- Δεν λαμβάνει εντολές για την άσκηση των καθηκόντων του από κανένα.

- Δεν υφίσταται κυρώσεις, επειδή επιτέλεσε τα καθήκοντά του.

- Είναι υποχρεωμένος να τηρεί το απόρρητο και την εμπιστευτικότητα..

- Λογοδοτεί απ ευθείας στο ανώτατο διοικητικό επίπεδο της επιχείρησης, ή του φορέα.

Επαγγελματικά προσόντα Υπευθύνου Προστασίας

Πρέπει να έχει το αναγκαίο επίπεδο γνώσης των τεχνολογιών πληροφορίας και ασφάλειας των δεδομένων και εμπειρογνωσία ανάλογη με την επεξεργασία δεδομένων που διενεργούνται στην εταιρεία- φορέα, στον οποίο θα απασχοληθεί. Διορίζεται, ιδίως, βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων του. Ο Κανονισμός δεν θέτει κάποια υποχρεωτική απαίτηση για πιστοποίηση του DPO, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση.

- Μπορεί να είναι υπάλληλος του Υπευθύνου Επεξεργασίας, ή του Εκτελούντος την Επεξεργασία, ή εξωτερικός συνεργάτης με βάση σύμβασης παροχής υπηρεσιών.

- Μπορεί να συνεπικουρείται από ομάδα, εφ όσον απαιτείται.

- Μπορεί να ασκεί και πρόσθετα καθήκοντα μέσα στην επιχείρηση - φορέα, με την προϋπόθεση να μην υπάρχει σύγκρουση συμφερόντων με τα καθήκοντά του, όπως θέση ανώτερης διοίκησης, νομικού συμβούλου κλπ.

Ο ορισμός Υπευθύνου Προστασίας δεν είναι υποχρεωτικός

Με τον κανονισμό ενθαρρύνονται εθελοντικές ενέργειες, ώστε κάθε επιχείρηση-οργανισμός να ορίσει Υπεύθυνο Προστασίας.  Δεν είναι υποχρεωτικός ο ορισμός Υπευθύνου Προστασίας, όταν η επεξεργασία των δεδομένων γίνεται από ιδιώτη ιατρό για τους ασθενείς του, ή από δικηγόρο για τους πελάτες του. Όταν η επιχείρηση-φορέας  ορίσει Υπεύθυνο Προστασίας σε εθελοντική βάση, για τον ορισμό του, τη θέση του και τα καθήκοντά του, ισχύουν οι ίδιες απαιτήσεις σαν ο ορισμός να ήταν υποχρεωτικός.

Ο ορισμός Υπευθύνου Προστασίας είναι υποχρεωτικός

- Όταν η επεξεργασία διενεργείται από δημόσια αρχή, ή δημόσιο φορέα. Συμπεριλαμβάνονται και φυσικά, ή νομικά πρόσωπα δημοσίου ή ιδιωτικού δικαίου που ασκούν δημόσια εξουσία.

- Όταν απαιτείται τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, όπως σε ασφαλιστικές υπηρεσίες, τραπεζικές υπηρεσίες, υπηρεσίες τηλεφωνίας ή διαδικτύου, παροχή υπηρεσιών ασφαλείας.

- Όταν διενεργείται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων, όπως παροχή υπηρεσιών υγείας από νοσοκομείο, ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα. Εξαιρούνται τα δικαστήρια όταν ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα.

Για τον προσδιορισμό της μεγάλης κλίμακας επεξεργασίας λαμβάνονται υπ όψιν, ο αριθμός των εμπλεκομένων υποκειμένων, είτε ως συγκεκριμένος αριθμός, είτε ως ποσοστό επί του πληθυσμού, ο όγκος και το εύρος των δεδομένων, η διάρκεια, ή ο μόνιμος χαρακτήρας της επεξεργασίας, η γεωγραφική έκταση της επεξεργασίας.

Αριθμός Υπευθύνων Προστασίας

Η επιχείρηση-οργανισμός μπορεί να ορίσει έναν, οι περισσότερους, υπεύθυνους προστασίας.  Όμιλος επιχειρήσεων, ή περισσότεροι δημόσιοι φορείς, μπορούν να ορίσουν έναν μόνο Υπεύθυνο, υπό την προϋπόθεση να είναι διαθέσιμος σε κάθε εγκατάσταση, ή φορέα, είτε με φυσική παρουσία στις ίδιες εγκαταστάσεις με τους υπαλλήλους, είτε μέσω ανοικτής τηλεφωνικής γραμμής, ή άλλου ασφαλούς μέσου επικοινωνίας και σε γλώσσα που χρησιμοποιούν οι ενδιαφερόμενες εποπτικές αρχές και τα οικεία υποκείμενα των δεδομένων.

Υποχρεώσεις του εργοδότη του Υπευθύνου Προστασίας

Ο εργοδότης υποχρεούται να δημοσιεύσει τα στοιχεία επικοινωνίας του Υπευθύνου Προστασίας και να τα ανακοινώσει στην Αρχή. Οφείλει να διασφαλίσει ότι ο Υπεύθυνος Προστασίας συμμετέχει σε όλα τα ζητήματα σχετικά με την προστασία προσωπικών δεδομένων. Να του παρέξει ελεύθερη πρόσβαση σε δεδομένα και πράξεις επεξεργασίας και να έχει στην διάθεσή του τους απαραίτητους πόρους για την εκπλήρωση των καθηκόντων του.