Αρχή της λογοδοσίας

O ΓΚΠΔ εισάγει την αρχή της λογοδοσίας (accountability) (βλ. άρθρο 5 παρ. 2 σε συνδυασμό με άρθρα 24 και 32 του ΓΚΠΔ).

Σύμφωνα με την αρχή της λογοδοσίας, ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με τις αρχές της επεξεργασίας που καθιερώνονται στην παράγραφο 1 του άρθρου 5 του ΓΚΠΔ. Όπως έχει κρίνει η Αρχή, με τον ΓΚΠΔ υιοθετήθηκε ένα νέο μοντέλο συμμόρφωσης, κεντρικό μέγεθος του οποίου συνιστά η αρχή της λογοδοσίας στο πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας υποχρεούται να σχεδιάζει, εφαρμόζει και εν γένει λαμβάνει τα αναγκαία μέτρα και πολιτικές, προκειμένου η επεξεργασία των δεδομένων να είναι σύμφωνη με τις σχετικές νομοθετικές προβλέψεις. Επιπλέον δε, ο υπεύθυνος επεξεργασίας βαρύνεται με το περαιτέρω καθήκον να αποδεικνύει από μόνος του και ανά πάσα στιγμή τη συμμόρφωσή του με τις αρχές του άρθρου 5 παρ. 1 ΓΚΠΔ. H υποχρέωση λογοδοσίας είναι, κατά συνέπεια, ένας μηχανισμός εγγύησης της τήρησης των αρχών που διέπουν την επεξεργασία προσωπικών δεδομένων. Ακόμα, ο υπεύθυνος επεξεργασίας υποχρεούται, με βάση την αρχή της λογοδοσίας, να επιλέξει την κατάλληλη νομική βάση και να τεκμηριώσει νομικά μια επεξεργασία που διενεργεί σύμφωνα με τις νομικές βάσεις που του παρέχει ο ΓΚΠΔ και το εθνικό δίκαιο προστασίας δεδομένων.

Έτσι, συνιστά υποχρέωση του υπευθύνου επεξεργασίας, αφενός να λαμβάνει από μόνος του τα αναγκαία μέτρα προκειμένου να συμμορφώνεται προς τις απαιτήσεις του ΓΚΠΔ, αφετέρου να αποδεικνύει ανά πάσα στιγμή την ανωτέρω συμμόρφωσή του, χωρίς μάλιστα να απαιτείται η Αρχή, στο πλαίσιο άσκησης των ερευνητικών-ελεγκτικών εξουσιών της, να υποβάλλει επιμέρους εξειδικευμένα ερωτήματα και αιτήματα προς διαπίστωση της συμμόρφωσης.

Η εισαγωγή της αρχής της λογοδοσίας μετατοπίζει το «βάρος της απόδειξης», όσον αφορά τη νομιμότητα της επεξεργασίας και τη συμμόρφωση με τον ΓΚΠΔ, από τις αρχές προστασίας δεδομένων στους ίδιους τους υπευθύνους επεξεργασίας ή τους εκτελούντες.

Ο ΓΚΠΔ παρέχει στους υπευθύνους επεξεργασίας/εκτελούντες μια σειρά ρυθμιστικών μεθόδων και εργαλείων για τον σκοπό αυτό, όπως:

  • την τήρηση αρχείων δραστηριοτήτων επεξεργασίας
  • την εφαρμογή μέτρων ασφαλείας
  • την εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων
  • την προηγούμενη διαβούλευση και συνεργασία με την εποπτική αρχή
  • τον ορισμό υπευθύνου προστασίας δεδομένων
  • την τήρηση των υποχρεώσεων κοινοποίησης της παραβίασης δεδομένων
  • την ενθάρρυνση υιοθέτησης κωδίκων δεοντολογίας και μηχανισμών πιστοποίησης, σφραγίδων και σημάτων προστασίας δεδομένων.

Επισημαίνεται ότι η λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων για την εφαρμογή της λογοδοσίας συνεκτιμάται κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και τα σχετικά με το ύψος αυτού.