8
Η αρχή των ανεξάρτητων εποπτικών αρχών για τη συμμόρφωση με το νόμο περί προστασίας δεδομένων είναι ένα θεμελιώδες συστατικό της προστασίας των φυσικών προσώπων σχετικά με την επεξεργασία των προσωπικών τους δεδομένων. Η υποχρέωση των κρατών μελών να θεσπίσουν μια Αρχή Προστασίας Προσωπικών Δεδομένων προέρχεται από το Χάρτη των Θεμελιωδών Δικαιωμάτων της Ε.Ε. και την Οδηγία περί Προστασίας Δεδομένων του 1995. Ως αποτέλεσμα, κάθε κράτος μέλος έχει εγκαθιδρύσει μια ή πολλές ανεξάρτητες Αρχές Προστασίας Δεδομένων ώστε να ελέγχει τη συμμόρφωση με τον νόμο. Ο GDPR ενισχύει το ρόλο των Αρχών αυτών έτσι ώστε να μπορούν να εφαρμόζουν καλύτερα τους ευρωπαϊκούς νόμους σε εθνικό επίπεδο. Η Οδηγία θα εξασφαλίσει επίσης την καλύτερη συνεργασία μεταξύ των Αρχών σε περιπτώσεις που έχουν ευρύτερο ευρωπαϊκό χαρακτήρα. Είναι ευθύνη των κρατών μελών να εξασφαλίσουν ότι οι εθνικές Αρχές προστασίας δεδομένων διαθέτουν τους κατάλληλους χρηματοοικονομική και ανθρώπινους πόρους καθώς και την υποδομή ώστε να επιτύχουν τους στόχους τους. Η Επίτροπος Jourova έχει επισημάνει στους ομολόγους της στα κράτη μέλη την ανάγκη ώστε να έχουν οι Αρχές προστασίας δεδομένων τους κατάλληλους πόρους για να εκπληρώσουν τους στόχους τους με επιτυχία. Επίσης, η Επιτροπή δημοσιοποιεί μια διαδικασία εκδήλωσης
netweeK • ε τ ησι α εκ δοση 2017
ενδιαφέροντος που στοχεύει στο να υποστηρίξει οικονομικά τις Αρχές προκειμένου αυτές να διασώσουν το μήνυμα σε πολίτες και επιχειρήσεις. Όλες οι επιχειρήσεις (ευρωπαϊκές και μη ευρωπαϊκές) που κατέχουν δεδομένα ευρωπαίων πολιτών πρέπει να συμμορφώνονται με την GDPR. Αναμένετε να δείτε μια νέα αγορά που να προσφέρει συμβουλευτικές υπηρεσίες για τη συμμόρφωση; Γνωρίζουμε ότι στην περιοχή αυτή παίζουν πολλοί: δικηγορικές εταιρείες, σύμβουλοι, ελεγκτικές εταιρείες, εταιρείες που είτε προσφέρουν υπηρεσίες για τη θέση του DPO είτε εργαλεία για συμμόρφωση (πχ. accountability compliance, DPIA performance, κοκ). Αυτή τη στιγμή προετοιμάζουμε μέσω του Άρθρου 29 μια διαδικασία καθοδήγησης – στην οποία συμμετέχουν όλες οι Αρχές προστασίας δεδομένων της Ευρώπης – ώστε να βοηθήσουμε τις επιχειρήσεις να συμμορφωθούν με συγκεκριμένες υποχρεώσεις του GDPR (πχ. έχουν υιοθετηθεί οδηγίες για τον ρόλο του DPO, τη μεταφορά δεδομένων, τις αξιολογήσεις για την επίδραση της προστασίας δεδομένων). Ο GDPR επίσης ενθαρρύνει την ανάπτυξη κωδικών συμπεριφοράς και μηχανισμών πιστοποίησης σε εθνικό και ευρωπαϊκό επίπεδο, τα οποία είναι χρήσιμα εργαλεία που βοηθούν
τις επιχειρήσεις να εξασφαλίσουν τη συμμόρφωσή τους. Είναι ευρέως αποδεκτό ότι οι νέες πολιτικές και τεχνολογίες, η κατάλληλη εκπαίδευση των ανθρώπινων πόρων και η εφαρμογή του DPO θα δημιουργήσουν ένα πιο ασφαλές περιβάλλον για τις επιχειρήσεις. Παρόλα αυτά, το ρίσκο παραμένει. Αναμένετε κάποια εξέλιξη στον τομέα της κυβερνοασφάλειας και στην Ευρώπη όπως και στις ΗΠΑ; O GDPR περιλαμβάνει μια ολοκληρωμένη πτυχή υπευθυνοτήτων για τους επόπτες και τους επεξεργαστές. Επιβάλλει υποχρεώσεις που φτάνουν μέχρι σε τόσο λεπτομερές επίπεδο όσο αυτό της επεξεργασίας (πχ. η ανάθεση ευθύνης σε έναν DPO, ο κώδικας συμπεριφοράς μιας άσκησης αξιολόγησης προστασίας δεδομένων). Επίσης εγκαθιδρύει με σαφήνεια τις συγκεκριμένες υπευθυνότητες των εποπτών και των επεξεργαστών. Τέλος, απαιτεί από τους λειτουργούς που επεξεργάζονται τα προσωπικά δεδομένα, να έχουν διασφαλίσει τις κατάλληλες μετρήσεις ασφαλείας για τα ρίσκα που έχουν προκύψει από την επεξεργασία. Υπ’ αυτό το πρίσμα, εμπλέκονται κι άλλοι παράγοντες όπως τα κόστη υλοποίησης και η φύση, ο σκοπός, το περιβάλλον και ο στόχος της επεξεργασίας.