Αρχική Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με...Άρθρο 15 Μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας (άρθρα 21 και 25 της Οδηγίας (ΕΕ) 2022/2555)Σχόλιο του χρήστη A. | 30 Οκτωβρίου 2024, 14:34
  • Σχόλιο του χρήστη 'A.' | 30 Οκτωβρίου 2024, 14:34

    Το εδάφιο: «Τα καθήκοντα του Υ.Α.Σ.Π.Ε. είναι ασυμβίβαστα με αυτά του Υπεύθυνου Προστασίας Δεδομένων… και των άρθρων 7 και 8 του ν. 4624/2019» σκόπιμο είναι να διαγραφεί, για τους εξής λόγους: • Δεδομένου ότι δεν υπάρχει σχετική πρόβλεψη στην οδηγία (ΕΕ) 2022/2555 δεν είναι υποχρεωτική η ενσωμάτωση του εδαφίου αυτού στο νέο νόμο. • Το ζήτημα του ασυμβίβαστου του ρόλου του Υπεύθυνου Προστασίας Δεδομένων (DPO) είναι ένα ζήτημα που έχει απασχολήσει τόσο το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EPDB – βλ. Κατευθυντήριες γραμμές σχετικά με τους υπεύθυνους προστασίας δεδομένων της 13 Δεκεμβρίου 2016, όπως αναθεωρήθηκε τελευταία και εγκρίθηκε στις 5 Απριλίου 2017) όσο και το Δικαστήριο της Ε.Ε. και πολλές εποπτικές αρχές προστασίας δεδομένων χωρών της Ε.Ε. (βλ. Απόφαση του Δικαστηρίου (έκτο τμήμα) της 9ης Φεβρουαρίου 2023 [αίτηση του Bundesarbeitsgericht (Γερμανία) για την έκδοση προδικαστικής αποφάσεως] – X-FAB Dresden GmbH & Co. KG κατά FC, CNPD (Luxembourg) - Délibération n°37FR/2021, Απόφαση της Βέλγικης Αρχής Προστασίας Δεδομένων της 28ης Απριλίου 2020, Απόφαση της Βέλγικης Αρχής Προστασίας Δεδομένων της 16ης Δεκεμβρίου 2021 κ.α.). Δεν είναι σκόπιμο λοιπόν ο νόμος που ενσωματώνει την Οδηγία NIS2 να επιχειρήσει να ρυθμίσει το πολύπλοκο αυτό ζήτημα. • Στην αγορά ο Υ.Α.Σ.Π.Ε., στο πλαίσιο διακυβέρνησης ενός οργανισμού για την διαχείριση κινδύνων, λειτουργεί είτε ως 1η γραμμή άμυνας κυρίως σε μικρούς οργανισμούς είτε ως ανεξάρτητος σαν 2η γραμμή άμυνας (και αναφέρεται απευθείας στη διοίκηση). Ιδίως για την δεύτερη περίπτωση δε μπορεί να τεθεί θέμα ασυμβίβαστου, αφού τόσο τα καθήκοντα του Υ.Α.Σ.Π.Ε. όσο και του Υπεύθυνου Προστασίας Δεδομένων είναι κυρίως να ενημερώνει και να συμβουλεύει ως προς τις εκάστοτε υποχρεώσεις, να παρακολουθεί την συμμόρφωση και να παρέχει τακτικές αναφορές. • Εάν όντως τεθεί θέμα ασυμβίβαστου τότε θα πρέπει να καθοριστεί με γενικό τρόπο, όπως π.χ. ρυθμίζει το ζήτημα ο Γενικός Κανονισμός Προστασίας Δεδομένων ( αρ. 38, παρ. 6. «Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων»). Ειδάλλως θα πρέπει να καθοριστούν όλα τα ασυμβίβαστα και με όλους τους άλλους ρόλους (π.χ. Επικεφαλής Πληροφορικής, Επικεφαλής Κανονιστικής Συμμόρφωσης, Επικεφαλής Εσωτερικού Ελέγχου, Επικεφαλής Διαχείρισης Κινδύνων) • Τέλος, τουλάχιστον στην Ελληνική αγορά, το ανωτέρω εδάφιο του νομοσχεδίου θα δημιουργήσει ουσιώδες πρακτικό ζήτημα, δεδομένου ότι σε πολλές εταιρείες υπάρχει ταύτιση σήμερα του ρόλου του Υ.Α.Σ.Π.Ε. (ως 2η γραμμή άμυνας) με αυτόν του Υπεύθυνου Προστασίας Δεδομένων, με επιτυχημένη εφαρμογή.