Επιτρέπεται ο ορισμός περισσοτέρων του ενός DPO;

Το δίκαιο προστασίας δεδομένων παρέχει καταρχήν ορισμένη ευελιξία ως προς τον ορισμό υπευθύνων προστασίας δεδομένων. Από τη νομική θέση και τα καθήκοντα του υπευθύνου προστασίας δεδομένων προκύπτει, ωστόσο, ότι κατά κανόνα μόνο ένα πρόσωπο μπορεί να οριστεί ως υπεύθυνος προστασίας δεδομένων. Το αξίωμα μπορεί να κατανεμηθεί μόνο εφόσον εντός της δημόσιας αρχής ή της επιχείρησης είναι δυνατή μια σαφής οριοθέτηση των αρμοδιοτήτων. Στην περίπτωση αυτή, τα στοιχεία επικοινωνίας των εκάστοτε υπευθύνων προστασίας δεδομένων πρέπει να δημοσιοποιούνται και να γνωστοποιούνται στην αρμόδια εποπτική αρχή.

Στο πλαίσιο της παροχής συμβουλών από τον Επίτροπο του Κρατιδίου της Θουριγγίας για την Προστασία Δεδομένων και την Ελευθερία της Πληροφόρησης (TLfDI) τέθηκε το ερώτημα εάν ένας υπεύθυνος επεξεργασίας μπορεί να ορίσει περισσότερους υπευθύνους προστασίας δεδομένων (ΥΠΔ), οι οποίοι να μοιράζονται το αξίωμα και να αλληλοαναπληρώνονται κατά την άσκηση των καθηκόντων τους.

Το δίκαιο προστασίας δεδομένων περιέχει δεσμευτικές ρυθμίσεις σχετικά με τον ορισμό ΥΠΔ σε δημόσιους φορείς και επιχειρήσεις (άρθρο 37 ΓΚΠΔ σε συνδυασμό με το § 5 του γερμανικού Ομοσπονδιακού Νόμου περί Προστασίας Δεδομένων). Στο πλαίσιο αυτό, παρέχεται μεν στους υπευθύνους επεξεργασίας και στους εκτελούντες την επεξεργασία ορισμένη ευελιξία ως προς τον ορισμό. Έτσι, είναι δυνατός τόσο ο ορισμός ΥΠΔ σε επίπεδο ομίλου, όσο και ο ορισμός κοινού ΥΠΔ για περισσότερες δημόσιες αρχές, όπως επίσης και η ανάθεση των καθηκόντων σε εξωτερικά πρόσωπα. Περαιτέρω, ο εσωτερικός υπεύθυνος προστασίας δεδομένων μπορεί να ασκεί τα καθήκοντά του με πλήρη ή μερική απασχόληση ή, σε μεγάλες οργανωτικές μονάδες, να δρα με τη συνδρομή ομάδας. Ωστόσο, δεν υπάρχει πρόβλεψη για περισσότερους υπευθύνους προστασίας δεδομένων.

Από τη νομική θέση του υπευθύνου προστασίας δεδομένων ως σημείου επαφής της διοίκησης της δημόσιας αρχής ή της επιχείρησης, ο οποίος κατά την άσκηση των ανατεθειμένων σε αυτόν καθηκόντων ενεργεί χωρίς δεσμευτικές οδηγίες, προκύπτει αντιθέτως ότι ανά τομέα ευθύνης μπορεί να ανατεθεί το αξίωμα του υπευθύνου προστασίας δεδομένων μόνο σε ένα πρόσωπο. Ούτε ο Γενικός Κανονισμός Προστασίας Δεδομένων ούτε ο Ομοσπονδιακός Νόμος περί Προστασίας Δεδομένων προβλέπουν τη θέση αναπληρωτή με τα ίδια δικαιώματα και υποχρεώσεις. Εάν οριστεί αναπληρωτής, αυτός αναλαμβάνει καθήκοντα μόνο σε περίπτωση μακροχρόνιας απουσίας του κυρίως υπευθύνου προστασίας δεδομένων, για παράδειγμα λόγω ασθένειας ή άδειας Κατά περίπτωση, μπορεί επίσης να αναλάβει συγκεκριμένη υπόθεση αντί του ΥΠΔ σε περίπτωση σύγκρουσης συμφερόντων (Διοικητικό Δικαστήριο Στουτγάρδης, απόφαση της 29.3.2021 – 11 K 484/21, σημείο 54).

Αντιθέτως, σε περίπτωση ορισμού περισσότερων υπευθύνων προστασίας δεδομένων, θα υφίστατο ο κίνδυνος η διοίκηση της δημόσιας αρχής ή επιχείρησης να επιλέγει κατά περίπτωση ποιον και πότε θα εμπλέκει σε ζητήματα προστασίας δεδομένων που ανακύπτουν, γεγονός που αντίκειται στην απαγόρευση δυσμενούς μεταχείρισης, η οποία πρέπει να ερμηνεύεται ευρέως (άρθρο 38 παρ.3β’ ΓΚΠΔ). Επιπλέον, περισσότερα πρόσωπα από όσα είναι αναγκαία θα είχαν απεριόριστη πρόσβαση σε δεδομένα και σε διαδικασίες επεξεργασίας δεδομένων.

Το αξίωμα του υπευθύνου προστασίας δεδομένων μπορεί να κατανεμηθεί μόνο εφόσον εντός μιας αρχής ή μιας επιχείρησης είναι δυνατές και εύλογες σαφείς οριοθετήσεις αρμοδιοτήτων. Ως εκ τούτου, ο ορισμός ΥΠΔ αρμόδιου αποκλειστικά για την προστασία δεδομένων εργαζομένων θα αποτυγχάνει κατά κανόνα λόγω του γεγονότος ότι το έργο αυτό μπορεί να ασκηθεί αποτελεσματικά μόνο με συνολική εποπτεία της δραστηριότητας του υπευθύνου επεξεργασίας. Εάν για διακριτούς τομείς ορίζονται διαφορετικοί υπεύθυνοι προστασίας δεδομένων, δεν επιτρέπεται, προς διασφάλιση της εμπιστευτικότητας της επικοινωνίας, να χρησιμοποιείται κοινή ταχυδρομική διεύθυνση ή κοινή διεύθυνση ηλεκτρονικού ταχυδρομείου, ούτε να παρέχεται ενιαίο έντυπο επικοινωνίας. Τα αντίστοιχα στοιχεία επικοινωνίας, με αναφορά των τομέων αρμοδιότητας, πρέπει να ενσωματώνονται στις πληροφορίες προστασίας δεδομένων (άρθρα 13 και 14 ΓΚΠΔ), να δημοσιεύονται σε γενικώς προσβάσιμη μορφή (για παράδειγμα στο intranet και το διαδίκτυο) και να γνωστοποιούνται στην εποπτική αρχή, σύμφωνα με το άρθρο 37 παρ.7 ΓΚΠΔ.