Υπεύθυνος Προστασίας Δεδομένων: Συμβουλευτικός και όχι αποφασιστικός ο ρόλος του

Σύμφωνα με το άρθ. 38 παρ. 3 εδάφ. γ΄ του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ), ο Υπεύθυνος Προστασίας Δεδομένων (ΥΠΔ) λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία. Ο ΥΠΔ, του οποίου ο ρόλος είναι καθαρά  συμβουλευτικός κι όχι αποφασιστικός, δεν φέρει ευθύνη για τυχόν παραβάσεις των διατάξεων για την προστασία δεδομένων στις οποίες υποπίπτει ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, οι οποίοι βαρύνονται με τη συμμόρφωση και είναι υποχρεωμένοι να την αποδείξουν (άρθ. 5 παρ. 2 ΓΚΠΔ). Την ευθύνη φέρουν ακέραιη εκείνοι, οι οποίοι αποφασίζουν για τα μέσα και το σκοπό της επεξεργασίας και εκείνοι που διενεργούν την επεξεργασία για λογαριασμό των πρώτων. Ωστόσο, η ανεξαρτησία και το ανεύθυνο του ΥΠΔ ισοσταθμίζεται από την υποχρέωση λογοδοσίας. Μάλιστα, οι καλές πρακτικές αναφέρουν ότι η λογοδοσία του ΥΠΔ στο ανώτατο επίπεδο διοίκησης της οντότητας στην οποία υπηρετεί είναι κι ένα από τα συστατικά της ανεξαρτησίας του: λογοδοτεί στο σώμα που τον διόρισε και όχι σε προϊσταμένους ή άλλα στελέχη[1]. Σύμφωνα, δε, με τις «Κατευθυντήριες γραμμές για τους ΥΠΔ», εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία λαμβάνει αποφάσεις που προσκρούουν στις διατάξεις του ΓΚΠΔ και στις συμβουλές του ΥΠΔ, ο τελευταίος πρέπει να έχει τη δυνατότητα να καταστήσει σαφή την αποκλίνουσα γνώμη του στο ανώτατο επίπεδο διοίκησης και σε εκείνους που λαμβάνουν τις αποφάσεις.

Τέλος, παρόλο που δε θεσπίζεται ως νομική υποχρέωση του ΥΠΔ, η υποβολή ετήσιας έκθεσης υποδεικνύεται από όλες τις πλευρές ως αναγκαία καλή πρακτική, καθόσον δεν νοείται ορθή διαδικασία λογοδοσίας χωρίς τη συγκεντρωτική της μορφή μέσω της υποβολής και παρουσίασης ετήσιας έκθεσης.

 

Αγγελική Πολυδώρου, δικηγόρος

email: info@efotopoulou.gr

[1] βλ. Βασίλη Σωτηρόπουλο, Υπεύθυνος Προστασίας Δεδομένων, Εργαλειοθήκη για τον νέο θεσμό σε δημόσιο και ιδιωτικό τομέα, Εκδόσεις Σάκκουλα 2017, σελ. 124 – 125