Η Αρχή είναι επιφορτισμένη με την εποπτεία της εφαρμογής των διατάξεων του ΓΚΠΔ (άρθρο 51 παρ. 1, αιτ. σκ. 123), του ν. 4624/2019 και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων (άρθρο 9 του ν. 4624/2019).
Συμβάλλει στη συνεκτική εφαρμογή του ΓΚΠΔ σε ολόκληρη την Ένωση και για τον σκοπό αυτό συνεργάζεται με τις εποπτικές αρχές των κρατών μελών της ΕΕ και με την Επιτροπή (άρθρο 51 παρ. 2, αιτ. σκ. 123 του ΓΚΠΔ˙ άρθρο 10 του ν. 4624/2019). Η Αρχή εκπροσωπεί την Ελλάδα στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) και σε άλλες επιτροπές ή όργανα με αντικείμενο την προστασία δεδομένων και συνεργάζεται με αντίστοιχες αρχές τρίτων χωρών και διεθνείς οργανισμούς (άρθρο 50 του ΓΚΠΔ, άρθρο 10 του ν. 4624/2019).
Η Αρχή είναι αρμόδια να εκτελεί τα καθήκοντά της (άρθρα 57 του ΓΚΠΔ και 13 του ν. 4624/2019) και να ασκεί τις εξουσίες που της ανατίθενται (άρθρα 58 του ΓΚΠΔ και 15 του ν. 4624/2019) στο έδαφός της (άρθρο 55 παρ. 1, αιτ. σκ. 122, 129 του ΓΚΠΔ˙ άρθρο 9 του ν. 4624/2019) με πλήρη ανεξαρτησία (άρθρο 52, αιτ. σκ. 117-118, 121 του ΓΚΠΔ˙ άρθρο 11 του ν. 4624/2019).
Ειδικότερα, η Αρχή είναι επιφορτισμένη, μεταξύ άλλων, να (άρθρο 57 ΓΚΠΔ, άρθρο 13 του ν. 4624/2019):
-
Παρακολουθεί και επιβάλλει την εφαρμογή του ΓΚΠΔ, του ν. 4624/2019 και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου έναντι της προστασίας προσωπικών δεδομένων.
-
Προωθεί την ευαισθητοποίηση του κοινού στα ζητήματα προστασίας προσωπικών δεδομένων και των υπευθύνων και εκτελούντων επεξεργασία σχετικά με τις υποχρεώσεις τους. Ειδική προσοχή αποδίδεται σε δραστηριότητες που απευθύνονται ειδικά σε παιδιά.
-
Παρέχει γνώμη για κάθε ρύθμιση που πρόκειται να περιληφθεί σε νόμο ή σε κανονιστική πράξη, η οποία αφορά επεξεργασία δεδομένων.
-
Εκδίδει οδηγίες και απευθύνει συστάσεις για κάθε θέμα που αφορά την επεξεργασία δεδομένων, με την επιφύλαξη των καθηκόντων του ΕΣΠΔ.
-
Παρέχει κατόπιν αιτήματος πληροφορίες στα υποκείμενα των δεδομένων σχετικά με την άσκηση των δικαιωμάτων τους.
-
Χειρίζεται τις υποβληθείσες για παράβαση διατάξεων του ΓΚΠΔ καταγγελίες.
-
Διενεργεί έρευνες ή ελέγχους σχετικά με την εφαρμογή της νομοθεσίας περί προστασίας προσωπικών δεομένων.
-
Καταρτίζει και διατηρεί κατάλογο σε σχέση με την απαίτηση για διενέργεια εκτίμησης αντικτύπου (άρθρο 35 παρ. 4 του ΓΚΠΔ) και να παρέχει συμβουλές σχετικά με τις πράξεις επεξεργασίας του άρθρου 36 παρ. 2 του ΓΚΠΔ.
-
Ενθαρρύνει την κατάρτιση κωδίκων δεοντολογίας και εγκρίνει κώδικες δεοντολογίας που παρέχουν επαρκείς εγγυήσεις.
-
Ενθαρρύνει την θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας των δεδομένων και εγκρίνει τα κριτήρια πιστοποίησης.
-
Σχεδιάζει και δημοσιεύει απαιτήσεις διαπίστευσης φορέα για την παρακολούθηση κωδίκων δεοντολογίας και φορέα πιστοποίησης.
-
Συνεργάζεται με άλλες εποπτικές αρχές μέσω ανταλλαγής πληροφοριών και να παρέχει αμοιβαία συνδρομή σε αυτές με σκοπό τη διασφάλιση της συνεκτικότερης εφαρμογής του ΓΚΠΔ.
-
Συμβάλλει στις δραστηριότητες του ΕΣΠΔ.
Eπίσης, η Αρχή διαθέτει εξουσίες ελέγχου, καθώς και διορθωτικές, συμβουλευτικές και αδειοδοτικές εξουσίες, όπως αυτές εξειδικεύονται και αναλύονται στο άρθρο 58 του ΓΚΠΔ και στο άρθρο 15 του ν. 4624/2019.
Όταν η επεξεργασία προσωπικών δεδομένων γίνεται από δημόσιες αρχές ή από ιδιωτικούς φορείς που ενεργούν βάσει του άρθρου 6 παρ. 1 στ. γ)[1] ή ε)[2] του ΓΚΠΔ (άρθρο 55 παρ. 2, αιτ. σκ. 128 του ΓΚΠΔ), επιλαμβάνεται μόνον η Αρχή ως αποκλειστικά αρμόδια και δεν εφαρμόζονται οι αναφερόμενοι παρακάτω κανόνες συνεργασίας και συνεκτικότητας σχετικά με την Επικεφαλής Εποπτική Αρχή – ΕΕΑ (Lead Supervisory Authority)[3] και τον «μηχανισμό μίας στάσης» («one-stop-shop mechanism») (αιτ. σκ. 128 του ΓΚΠΔ).
Ακόμα, η Αρχή καταρτίζει ετήσια έκθεση των δραστηριοτήτων της, την οποία υποβάλλει στο εθνικό κοινοβούλιο, την κυβέρνηση και άλλες αρχές και την καθιστά διαθέσιμη στο κοινό, την Επιτροπή και το ΕΣΠΔ (άρθρο 59 του ΓΚΠΔ, άρθρο 14 του ν. 4624/2019).
Συνεργασία και συνεκτικότητα
Στις περιπτώσεις που διενεργείται διασυνοριακή επεξεργασία δεδομένων[4] (άρθρο 4 παρ. 23 του ΓΚΠΔ) εφαρμόζεται, κατά γενικό κανόνα, ο μηχανισμός συνεργασίας μεταξύ της ΕΕΑ και των ενδιαφερόμενων εποπτικών αρχών, την πρωταρχική ευθύνη για την εποπτεία της οποίας έχει η ΕΕΑ (άρθρο 60, αιτ. σκ. 124-126 του ΓΚΠΔ˙ WP244rev.01[5]).
Η Αρχή είναι αρμόδια να ενεργεί ως ΕΕΑ για τη διασυνοριακή επεξεργασία που διεξάγεται από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, ο οποίος έχει την κύρια ή τη μόνη εγκατάστασή του στο έδαφός της, σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 60 του ΓΚΠΔ (άρθρο 56 παρ. 1, αιτ. σκ. 124 του ΓΚΠΔ). Στις περιπτώσεις που συντρέχει μία εκ των προϋποθέσεων που αναφέρονται στο άρθρο 4 παρ. 22[6] του ΓΚΠΔ, η Αρχή ενεργεί ως ενδιαφερομένη εποπτική αρχή (άρθρα 60, 66, αιτ. σκ. 124-125, 130-131, 143 του ΓΚΠΔ). Ακόμη, συνεργάζεται με τις εποπτικές αρχές των κρατών μελών της ΕΕ παρέχοντας αμοιβαία συνδρομή και πραγματοποιώντας κοινές επιχειρήσεις, σε διμερή ή πολυμερή βάση, προκειμένου να διασφαλισθεί η συνεκτική εφαρμογή του ΓΚΠΔ και η λήψη κοινών μέτρων ελέγχου (άρθρα 61-62, αιτ. σκ. 133-134, 138 του ΓΚΠΔ).
Κατά παρέκκλιση από τον γενικό κανόνα, η Αρχή είναι αρμόδια να εξετάσει υποβληθείσα καταγγελία ή να αντιμετωπίσει πιθανή παραβίαση του ΓΚΠΔ στις περιπτώσεις που γίνεται διασυνοριακή επεξεργασία με τοπικές μόνον επιπτώσεις στο έδαφός της (cross-border processing with local impact),[7] εάν η ΕΕΑ αποφασίσει να μην επιληφθεί της υπόθεσης κατόπιν ενημέρωσής της από την Αρχή (άρθρο 56 παρ. 2-5, αιτ. σκ. 127 του ΓΚΠΔ). Στις περιπτώσεις αυτές, η Αρχή επιλαμβάνεται της υπόθεσης σύμφωνα με τα άρθρα 61 και 62 του ΓΚΠΔ (άρθρο 56 παρ. 5 του ΓΚΠΔ).
Επίσης, η Αρχή εφαρμόζει τον μηχανισμό συνεκτικότητας (αιτ. σκ. 135 του ΓΚΠΔ), όταν προτίθεται να θεσπίσει οποιοδήποτε από τα μέτρα που προβλέπονται στο άρθρο 64 παρ. 1 του ΓΚΠΔ (αιτ. σκ. 136 του ΓΚΠΔ) ή κατόπιν αιτήματος γνωμοδότησης προς το ΕΣΠΔ σχετικά με οποιοδήποτε ζήτημα γενικής εφαρμογής του ΓΚΠΔ ή ζήτημα που παράγει αποτελέσματα σε περισσότερα από ένα κράτη μέλη (άρθρο 64 παρ. 2 του ΓΚΠΔ) ή στο πλαίσιο της επίλυσης διαφορών μεταξύ εποπτικών αρχών από το ΕΣΠΔ (άρθρο 65, αιτ. σκ. 136 του ΓΚΠΔ) και της επείγουσας διαδικασίας (άρθρο 66, αιτ. σκ. 137 του ΓΚΠΔ).
[1] Άρθρο 6.1.γ του ΓΚΠΔ: «η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας».
[2] Άρθρο 6.1.ε του ΓΚΠΔ: «η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας».
[4] Διασυνοριακή είναι η επεξεργασία προσωπικών δεδομένων, η οποία γίνεται α) στο πλαίσιο των δραστηριοτήτων διαφόρων εγκαταστάσεων σε περισσότερα του ενός κράτη μέλη υπευθύνου ή εκτελούντος στην Ένωση όπου ο υπεύθυνος ή ο εκτελών είναι εγκατεστημένος σε περισσότερα του ενός κράτη μέλη ή β) στο πλαίσιο των δραστηριοτήτων μιας μόνης εγκατάστασης υπευθύνου ή εκτελούντος στη Ένωση αλλά που επηρεάζει ή ενδέχεται να επηρεάσει ουσιωδώς υποκείμενα των δεδομένων σε περισσότερα του ενός κράτη μέλη (άρθρο 4, παρ. 23 του ΓΚΠΔ).
[5] Οι «Κατευθυντήριες γραμμές για τον προσδιορισμό της επικεφαλής εποπτικής αρχής των υπευθύνων επεξεργασίας ή των εκτελούντων την επεξεργασία» (WP 244 rev.01), ΕΣΠΔ (2017) είναι διαθέσιμες εδώ.
[6] α) ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος στο έδαφος του κράτους μέλους της Αρχής, β) τα υποκείμενα των δεδομένων που διαμένουν στο κράτος μέλος της Αρχής επηρεάζονται ή ενδέχεται να επηρεαστούν ουσιωδώς από την επεξεργασία ή γ) έχει υποβληθεί καταγγελία στην Αρχή (άρθρο 4 παρ. 22 του ΓΚΠΔ).
[7] Η επεξεργασία δεδομένων θεωρείται διασυνοριακή με τοπικές μόνο επιπτώσεις εάν το αντικείμενο της υποβληθείσας καταγγελίας ή της ενδεχόμενης παραβίασης του ΓΚΠΔ αφορά μόνο εγκατάσταση στο οικείο κράτος μέλος ή επηρεάζει ουσιωδώς υποκείμενα των δεδομένων μόνο στο οικείο κράτος μέλος (άρθρο 56 παρ. 2, αιτ. 127 του ΓΚΠΔ).
