Περί διαπίστευσης, πιστοποίησης, επιμόρφωσης, συμμόρφωσης

GDPR certified

Η ομάδα εργασίας του άρθρου 29 είχε, ήδη από τις 6 Φεβρουαρίου 2018, υιοθετήσει κατευθυντήριες οδηγίες σχετικά με τη διαπίστευση φορέων πιστοποίησης και είχε επισημάνει ότι η πιστοποίηση θα μπορούσε να διαδραματίσει σημαντικό ρόλο στο πλαίσιο της ευθύνης των Υ.Ε. και των Ε.Ε. για την προστασία των δεδομένων.

Συγκεκριμένα, είχε επισημάνει ότι προκειμένου η πιστοποίηση να παρέχει αξιόπιστα αποδεικτικά στοιχεία, σχετικά με τη συμμόρφωση με την προστασία δεδομένων, θα πρέπει να θεσπιστούν σαφείς κανόνες που θα καθορίζουν τις απαιτήσεις - δικλείδες για την παροχή της πιστοποίησης. Ο ΓΚΠΔ στα άρθρα 42 και 43 παρέχει κατευθυντήριες οδηγίες, χρήζουσες εξειδίκευσης, οι οποίες θα μπορούσαν να αποτελέσουν τη νομική βάση για την ανάπτυξη τέτοιων κανόνων.

Πιο αναλυτικά: “Τα κράτη μέλη, οι εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή παροτρύνουν, ιδίως σε ενωσιακό επίπεδο, τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της συμμόρφωσης προς τον παρόντα κανονισμό των πράξεων επεξεργασίας από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία. Λαμβάνονται υπόψη οι ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων”.

Στις 23 Ιανουαρίου 2019, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δημοσίευσε το πλέον επικαιροποιημένο έως σήμερα κείμενο, κατόπιν σειράς δημοσίων διαβουλεύσεων, που αφορά στις κατευθυντήριες γραμμές σχετικά με τη διαπίστευση και τον προσδιορισμό των κριτηρίων πιστοποίησης, σύμφωνα με τα άρθρα 42 και 43 ΓΚΠΔ, όπως αυτές είχαν αρχικά υιοθετηθεί στις 25-5-2018.

Ο πρωταρχικός στόχος αυτών των κατευθυντήριων γραμμών είναι να προσδιοριστούν οι γενικές απαιτήσεις και τα κριτήρια που ενδέχεται να ισχύουν για όλους τους τύπους μηχανισμών πιστοποίησης που θα εκδίδονται σύμφωνα με τα άρθρα 42 και 43 του ΓΚΠΔ. Η πιστοποίηση δε συνιστά συμμόρφωση. Η πιστοποίηση ενός ατόμου εντός ενός Φορέα δεν αποδεικνύει τη συμμόρφωση του Φορέα αυτού, μπορεί όμως να αποτελέσει στοιχείο το οποίο θα χρησιμοποιηθεί για να αποδειχθεί η συμμόρφωση.

Η συμμόρφωση με τις «επιταγές» του ΓΚΠΔ δεν είναι ένα εφάπαξ έργο που τερματίζεται όταν ολοκληρωθεί η διαδικασία. Αντίθετα, είναι διαρκές και συνεχίζεται για όσο τα δεδομένα προσωπικού χαρακτήρα κυκλοφορούν και υφίστανται επεξεργασία. Προκειμένου να επιτευχθεί και να διατηρηθεί η συμμόρφωση, θα πρέπει να υπάρξουν διαδικασίες που να ελέγχουν, να αναθεωρούν τα κριτήρια και να προτείνουν διορθώσεις. Η πιστοποίηση από μόνη της είναι κενή περιεχομένου εάν οι Υ.Ε. και Ε.Ε. δεν είναι σε θέση να αποδείξουν τη συμμόρφωση.

Εν ολίγοις, η πιστοποίηση είναι ρητή μονομερής δήλωση συμμόρφωσης. Είναι ένα από τα βήματα στη διαδρομή των Φορέων προς το να αποδείξουν στα υποκείμενα των δεδομένων ότι είναι υπεύθυνοι για τις πράξεις τους.

Τα άρθρα 42 και 43 ΓΚΠΔ θέτουν, υπό την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της Αρμόδιας Εποπτικής Αρχής (ΑΠΔΠΧ), το πλαίσιο και τις κατευθύνσεις προς την πιστοποίηση, με τη χορήγηση βεβαιώσεων από τρίτους. Οι φορείς πιστοποίησης, οι οποίοι θα πρέπει να διαθέτουν το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, θα μπορούν να χορηγούν βεβαιώσεις πιστοποίησης. Παρά ταύτα, πιστοποιητικό, σφραγίδα ή σήμα στο πλαίσιο του ΓΚΠΔ μπορεί να εκδοθεί μόνο μετά από την ανεξάρτητη αξιολόγηση των αποδεικτικών στοιχείων από διαπιστευμένο οργανισμό πιστοποίησης ή από αρμόδια Εποπτική Αρχή, με την οποία δηλώνεται ότι πληρούνται τα κριτήρια πιστοποίησης.

Σύμφωνα με το άρθρο 42 παρ.5 ΓΚΠΔ: “Η πιστοποίηση …… χορηγείται από τους φορείς πιστοποίησης που αναφέρονται στο άρθρο 43 ή από την αρμόδια εποπτική αρχή, βάσει των κριτηρίων που έχει εγκρίνει η εν λόγω αρμόδια εποπτική αρχή δυνάμει του άρθρου 58 παράγραφος 3 ή το Συμβούλιο Προστασίας Δεδομένων σύμφωνα με το άρθρο 63. Όταν τα κριτήρια εγκρίνονται από το Συμβούλιο Προστασίας Δεδομένων, αυτό μπορεί να οδηγήσει σε κοινή πιστοποίηση, την Ευρωπαϊκή Σφραγίδα Προστασίας των Δεδομένων”.

Ο ΓΚΠΔ δεν καθιστά την έκδοση πιστοποιητικών υποχρεωτική για τις Εποπτικές Αρχές. Αντ' αυτού, επιτρέπει μια σειρά διαφορετικών μοντέλων. Στις κατευθυντήριες οδηγίες, 1/2018, σελ. 7 του ΕΓΠΔ, όπως αυτές υιοθετήθηκαν στις 23-1-2019, δίνονται τα ακόλουθα παραδείγματα που αφορούν στις επιλογές μιας Εποπτικής Αρχής:

  • Να χορηγεί δική της πιστοποίηση, σύμφωνα με το δικό της σύστημα πιστοποίησης.
  • Να χορηγεί δική της πιστοποίηση, σύμφωνα με το δικό της σύστημα πιστοποίησης αλλά να αναθέτει ολόκληρο ή  μέρος της διαδικασίας αξιολόγησης σε τρίτα μέρη.
  • Να δημιουργήσει το δικό της σύστημα πιστοποίησης και να αναθέσει σε οργανισμούς πιστοποίησης τη διαδικασία πιστοποίησης οι οποίοι θα εκδίδουν την πιστοποίηση.
  • Να ενθαρρύνει την αγορά να αναπτύξει μηχανισμούς πιστοποίησης.

Σύμφωνα με το άρθρο 42 παρ. 3 και 4 ΓΚΠΔ, η πιστοποίηση είναι εθελοντική και διαθέσιμη μέσω διαφανούς διαδικασίας, δεν περιορίζει την ευθύνη του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για συμμόρφωση προς τον ΓΚΠΔ και δε θίγει τα καθήκοντα και τις αρμοδιότητες των Εποπτικών Αρχών. Η πιστοποίηση λαμβάνεται υπόψη κατά τη λήψη της απόφασης επιβολής και του ύψους του διοικητικού προστίμου (άρ. 83 παρ. 2 εδ.ί ΓΚΠΔ).

Όσον αφορά στην ελληνική αγορά, την αρχική φρενίτιδα του Μαΐου του 2018 διαδέχθηκε μια πιο ψύχραιμη αντιμετώπιση εκ μέρους των Υ.Ε., Ε.Ε. και των, κατά δήλωσή τους, διαπιστευμένων φορέων πιστοποίησης. Η ελληνική ΑΠΔΠΧ, έσπευσε να ξεκαθαρίσει το τοπίο σχετικά με τις πιστοποιήσεις Υ.Π.Δ. Όπως επισημάνθηκε και στην από 9-8-2017 ανακοίνωση της Αρχής για θέματα που αφορούν στην πιστοποίηση επαγγελματικών προσόντων Υπευθύνων Προστασίας Δεδομένων (Data Protection Officers–DPOs), ο ΓΚΠΔ που τέθηκε σε εφαρμογή στις 25-5-2018 δεν θέτει κάποια υποχρεωτική απαίτηση, oύτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση (βλ. και www.dpa.gr - «Oδηγίες για υπεύθυνους επεξεργασίας» - “DPO” - «Συχνές ερωτήσεις»).

"Η ΑΠΔΠΧ δεν έχει την οποιαδήποτε συμμετοχή στη διαδικασία διαπίστευσης φορέων που παρέχουν πιστοποιήσεις επαγγελματικών προσόντων ΥΠΔ από φορείς που υποστηρίζουν ότι η προσφερόμενη εκπαίδευση αποτελεί ένα προπαρασκευαστικό στάδιο που οδηγεί σε κάποιου τύπου πιστοποίηση ΥΠΔ στην ελληνική επικράτεια".

Όσον αφορά στα παρεχόμενα εκπαιδευτικά σεμινάρια/προγράμματα για το ρόλο και τη θέση του ΥΠΔ, η ΑΠΔΠΧ αξιολογεί θετικά τις διάφορες πρωτοβουλίες που αναλαμβάνονται από τις επαγγελματικές ενώσεις και την αγορά. Διευκρινίζει, ωστόσο, ότι ουδεμία ευθύνη φέρει για την εκπαιδευτική ύλη και την ποιότητα των εν λόγω προγραμμάτων. Στην ελληνική αγορά, μέχρι και την ημερομηνία που δημοσιεύεται αυτό το κείμενο, διατίθενται αρκετά προγράμματα επιμόρφωσης σχετικά με τον ΓΚΠΔ και τον ΥΠΔ, τα οποία χορηγούν βεβαίωση μετά από κάποια αξιολογική διαδικασία εν είδει πιστοποίησης. Η διάρκεια τους κυμαίνεται από 40 έως 80 ώρες, σύγχρονης ή/και ασύγχρονης εκπαίδευσης, ενώ η τιμή τους κυμαίνεται από 900 έως και 1800 ευρώ.

Εάν έχετε ερωτήσεις σχετικά με τον ΓΚΠΔ και τη συμμόρφωση με αυτόν, όπως επίσης και σχετικά με τον ΥΠΔ, μπορείτε να επικοινωνήσετε μαζί μας μέσω της σχετικής φόρμας.