Εκτελών και υπό-εκτελών την επεξεργασία.

Εκτελών και υπό-εκτελών την επεξεργασία.

[Για περισσότερα άρθρα για το GDPR πατήστε εδώ]

Εισαγωγή.

Ο ΓΚΔΠ επιβάλλει ορισμένες υποχρεώσεις σε οργανισμούς ή φυσικά πρόσωπα που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα φυσικών προσώπων.

Αυτές οι οντότητες ενδέχεται να είναι υπεύθυνοι επεξεργασίας, δηλαδή μια οντότητα η οποία, από μόνη της ή από κοινού με άλλους, καθορίζει τον τρόπο και τον λόγο της επεξεργασίας των προσωπικών δεδομένων ή, όταν οι εν λόγω φορείς διεξάγουν επεξεργασία για λογαριασμό ελεγκτή, αναφέρονται ως εκτελών επεξεργασίας.

Μία από αυτές τις υποχρεώσεις που επιβάλλει ο ΓΚΠΔ στους υπεύθυνους επεξεργασίας και στους εκτελών επεξεργασία σύμφωνα με το άρθρο 28 είναι, όταν ένας υπεύθυνος επεξεργασίας επιλέγει και/ή συνεργάζεται με έναν εκτελών επεξεργασίας, πρέπει να επισημοποιήσει τη σχέση τους με γραπτή σύμβαση. Ομοίως, όταν ένας εκτελών επεξεργασίας ασχολείται με έναν υπό εκτελών επεξεργασίας, πρέπει να υπογράψει γραπτή σύμβαση.

Πότε απαιτείται γραπτή σύμβαση με βάση τον ΓΚΠΔ;

Κάθε φορά που ένας υπεύθυνος επεξεργασίας χρησιμοποιεί έναν εκτελών επεξεργασίας (δηλαδή ένα τρίτο μέρος επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας), πρέπει να έχει συνάψει γραπτή σύμβαση.

Ομοίως, εάν ένας εκτελών επεξεργασίας απασχολεί έναν άλλο επεξεργαστή, χρειάζεται να έχει γραπτό συμβόλαιο στη θέση του.

Χρησιμοποιώντας υπό-εκτελών επεξεργασίας

Πριν ένας εκτελών επεξεργασίας να χρησιμοποιήσει έναν υπο- εκτελών επεξεργασίας, ο αρχικός εκτελών επεξεργασίας πρέπει να ενημερώσει τον υπεύθυνο επεξεργασία και να αποκτήσει τη γραπτή άδεια του. Συνεπώς, εάν ένας εκτελών επεξεργασίας απασχολεί έναν άλλο εκτελών επεξεργασίας, πρέπει να έχει συνάψει γραπτή σύμβαση σύμφωνα με τις διατάξεις της παραγράφου 3 του άρθρου 28.

Σύμφωνα με τη διάταξη των άρθρων 28.3 και 28.4, ο ΓΚΔΠ επιβάλλει νομική υποχρέωση στα μέρη (υπεύθυνος επεξεργασίας à εκτελών επεξεργασίας à υπό- εκτελών επεξεργασίας) να επισημοποιήσουν τη σχέση εργασίας τους με γραπτή σύμβαση.

Η σύμβαση πρέπει να ορίζει τι αναμένεται να κάνει ο εκτελών την επεξεργασία με τα δεδομένα.

Επιπλέον, η σύμβαση μεταξύ ενός εκτελών επεξεργασίας και ενός υπό εκτελών επεξεργασίας πρέπει να περιλαμβάνει τουλάχιστον τις ίδιες υποχρεώσεις προστασίας δεδομένων που προβλέπονται στη σύμβαση μεταξύ του εκτελών επεξεργασίας και του υπεύθυνου επεξεργασίας. Στην πράξη, αυτό το συμβατικό σύστημα αναφέρεται συχνά ως «σύμβαση back-back».

Ποιες λεπτομέρειες σχετικά με την επεξεργασία πρέπει να περιλαμβάνει η σύμβαση;

Συνεπώς, η σύμβαση που συνάπτεται μεταξύ του εκτελών επεξεργασίας και του υπό εκτελών επεξεργασίας πρέπει να περιλαμβάνει τις διατάξεις που προβλέπονται στο άρθρο 28 παράγραφος 3 του ΓΚΠΔ και συγκεκριμένα:

• Το θέμα

• Πόσο χρόνο πρέπει να διεξαχθεί

• Ποια επεξεργασία γίνεται

• Ο σκοπός της επεξεργασίας

• Το είδος των προσωπικών δεδομένων

• Οι κατηγορίες των προσώπων στα οποία αναφέρονται τα δεδομένα

• Οι υποχρεώσεις και τα δικαιώματα του υπεύθυνου επεξεργασίας δεδομένων

Οι συμβάσεις πρέπει επίσης να περιλαμβάνουν τουλάχιστον τους ακόλουθους όρους, που απαιτούν από τον υπό -εκτελών επεξεργασίας τα όπως:

• επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία· σε αυτήν την περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος,

• διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας,

• λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32,

• τηρεί τους όρους για την πρόσληψη άλλου εκτελούντος την επεξεργασία,

• λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας

• συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία,

• κατ” επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,

• θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.

Πόση αυτονομία των αρχών έχει ο εκτελών την επεξεργασία;

Αν και ο εκτελών την επεξεργασία μπορεί να εκτελεί τις καθημερινές επιχειρησιακές αποφάσεις του, το άρθρο 29 προβλέπει ότι θα πρέπει να επεξεργάζεται μόνο προσωπικά δεδομένα σύμφωνα με τις οδηγίες του υπεύθυνου της επεξεργασίας, εκτός εάν αυτό απαιτείται από το νόμο. Πρόκειται επίσης για απαιτούμενη συμβατική ρήτρα βάσει του άρθρου 28 παράγραφος 3 στοιχείο α).

Έτσι, αν ένας εκτελών την επεξεργασία ενεργεί χωρίς οδηγίες του υπευθύνου εξεργασίας κατά τέτοιο τρόπο ώστε να καθορίζει τον σκοπό και τα μέσα επεξεργασίας, θα θεωρείται υπεύθυνος επεξεργασίας και θα έχει την ίδια ευθύνη με τον υπεύθυνος επεξεργασίας.