Υποχρεώσεις υπευθύνου επεξεργασίας προσωπικών δεδομένων.

Υποχρεώσεις υπευθύνου επεξεργασίας προσωπικών δεδομένων.

Ο ΓΚΔΠ επιβάλλει ορισμένες υποχρεώσεις σε οργανισμούς ή φυσικά πρόσωπα που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα φυσικών προσώπων.

Αυτές οι οντότητες ενδέχεται να είναι ελεγκτές, δηλαδή μια οντότητα η οποία, από μόνη της ή από κοινού με άλλους, καθορίζει τον τρόπο και τον λόγο της επεξεργασίας των προσωπικών δεδομένων ή, όταν οι εν λόγω φορείς διεξάγουν επεξεργασία για λογαριασμό του υπεύθυνου επεξεργασίας, αναφέρονται ως εκτελών την επεξεργασία.

Γενικά, η πρωταρχική ευθύνη των υπεύθυνων επεξεργασίας ή των εκτελών την επεξεργασία είναι να εξασφαλίσουν ότι οι δραστηριότητες επεξεργασίας συμμορφώνονται με τη νομοθεσία της Ε.Ε. για την προστασία των δεδομένων.

Υποχρεώσεις Ελεγχτών Επαγγελματιών.

1. Νομιμότητα της επεξεργασίας (άρθρο 6)
2. Πληροφορίες που πρέπει να παρέχονται στα πρόσωπα στα οποία αναφέρονται τα δεδομένα (άρθρα 13 και 14)
3. Ευθύνη του υπεύθυνου επεξεργασίας – (άρθρο 24)
4. Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού (άρθρο 25)
5. Από κοινού υπεύθυνοι επεξεργασίας (άρθρο 26)
6. Εκπρόσωπος των υπεύθυνων επεξεργασίας ή εκτελούντων την επεξεργασία που δεν είναι εγκατεστημένοι στην Ένωση (άρθρο 27)
7. Εκτελών την επεξεργασία (άρθρο 28)
8. Αρχεία των δραστηριοτήτων επεξεργασίας (άρθρα 30-31)
9. Ασφάλεια της επεξεργασίας (άρθρο 32)
10. Κοινοποίηση παραβίασης των προσωπικών δεδομένων στην εποπτική αρχή (άρθρο 33)
11. Αναγγελία παραβίασης προσωπικών δεδομένων στο υποκείμενο των δεδομένων (άρθρο 34)
12. Εκτίμηση αντικτύπου προστασίας δεδομένων (άρθρα 35 και 36)
13. Καθορισμός του υπεύθυνου προστασίας δεδομένων (άρθρο 37)
14. Μεταβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες διεθνών οργανισμών (άρθρα 44-50)
Οι σημαντικότερες υποχρεώσεις που πρέπει να ακολουθήσει κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία, κατά την έναρξη της συμμόρφωσής του με το ΓΚΔΠ, είναι οι παρακάτω:

Νομιμότητα της επεξεργασίας (άρθρο 6).

Σύμφωνα με τη νομοθεσία της Ε.Ε. για την προστασία των δεδομένων, πρέπει να υπάρχει νόμιμη βάση για κάθε επεξεργασία προσωπικών δεδομένων, εκτός εάν ισχύει εξαίρεση ή παρέκκλιση.

Τα προσωπικά δεδομένα μπορούν να υποβάλλονται σε επεξεργασία, , μόνον εφόσον και στο βαθμό που ισχύουν τουλάχιστον μία νόμιμη βάση, οι οποίες απαριθμούνται στο άρθρο 6 παράγραφος 1 του ΓΚΔΠ.

Ευθύνη του ελεγκτή – (άρθρο 24)

Ο υπεύθυνος επεξεργασίας είναι υπεύθυνος για την εφαρμογή των κατάλληλων τεχνικών και οργανωτικών μέτρων για να εξασφαλίσει και να αποδείξει ότι οι δραστηριότητες επεξεργασίας του είναι συμβατές με τις απαιτήσεις του ΓΚΔΠ. Τα μέτρα αυτά, όταν είναι αναλογικά σε σχέση με τις δραστηριότητες επεξεργασίας, ενδέχεται να περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών απορρήτου από τον υπεύθυνο επεξεργασίας.

Ασφάλεια της επεξεργασίας (άρθρο 32)

Ο υπεύθυνος επεξεργασίας πρέπει να εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας για την προστασία των προσωπικών δεδομένων από τυχαία ή παράνομη καταστροφή ή απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση.

Ανάλογα με τη φύση της επεξεργασίας, τα μέτρα αυτά μπορούν να περιλαμβάνουν:
• κρυπτογράφηση των προσωπικών δεδομένων.
• συνεχιζόμενες αναθεωρήσεις των μέτρων ασφαλείας.
• Εγκαταστάσεις πλεονασμού και υποστήριξης και
• τακτικές δοκιμές ασφάλειας.

Αρχεία δραστηριοτήτων επεξεργασίας (άρθρα 30-31)

Κάθε υπεύθυνος επεξεργασίας πρέπει να τηρεί μητρώα των δραστηριοτήτων επεξεργασίας του υπευθύνου της επεξεργασίας υπό την ευθύνη του, συμπεριλαμβανομένων:
• Στοιχεία επικοινωνίας του υπεύθυνου / εκπρόσωπο / ΥΠΔ.
• τους σκοπούς της επεξεργασίας ·
• τις κατηγορίες των υποκειμένων των δεδομένων και τα επεξεργασμένα δεδομένα προσωπικού χαρακτήρα ·
• τις κατηγορίες αποδεκτών με τους οποίους μπορούν να μοιραστούν τα δεδομένα.
• Πληροφορίες σχετικά με τις διασυνοριακές μεταφορές δεδομένων.
• τις ισχύουσες περιόδους διατήρησης δεδομένων και
• περιγραφή των μέτρων ασφαλείας που εφαρμόζονται σε σχέση με τα επεξεργασμένα δεδομένα.

Κατόπιν αιτήματος, τα αρχεία αυτά πρέπει να παρέχονται στην εποπτική αρχή (Ε.Α) του κράτους μέλους.

Κοινοποίηση παραβίασης των προσωπικών δεδομένων στην εποπτική αρχή (άρθρο 33)

Σε περίπτωση παραβίασης των δεδομένων, ο υπεύθυνος επεξεργασίας πρέπει να αναφέρει την παραβίαση στην Ε.A. χωρίς αδικαιολόγητη καθυστέρηση και, εν πάση περιπτώσει, εντός 72 ωρών από τη στιγμή που το γνωρίζει. Σε περίπτωση που η κοινοποίηση προς την εποπτική αρχή δεν πραγματοποιηθεί εντός 72 ωρών, πρέπει να συνοδεύεται από λόγους καθυστέρησης.

Υπάρχει εξαίρεση για την αναφορά της παραβίασης στην Ε.A, όπου η παραβίαση των δεδομένων είναι απίθανο να προκαλέσει βλάβη στα υποκείμενα των δεδομένων.

Η κοινοποίηση πρέπει να περιλαμβάνει τουλάχιστον:

• περιγραφή της παραβίασης των δεδομένων, συμπεριλαμβανομένων των αριθμών των προσώπων στα οποία θίγονται τα δεδομένα και των κατηγοριών δεδομένων που επηρεάζονται ·
• το όνομα και τα στοιχεία επικοινωνίας του ΥΠΔ (ή άλλου σχετικού σημείου επαφής) ·
• τις πιθανές συνέπειες της παραβίασης των δεδομένων και
• τυχόν μέτρα που λαμβάνει ο ελεγκτής για να διορθώσει ή να μετριάσει την παραβίαση.
Ο υπεύθυνος επεξεργασίας πρέπει να τηρεί μητρώα όλων των παραβιάσεων δεδομένων, που περιλαμβάνουν τα πραγματικά περιστατικά και τα αποτελέσματα της παραβίασης και τα τυχόν επανορθωτικά μέτρα που έχουν ληφθεί.

Ανακοίνωση παραβίασης προσωπικών δεδομένων στο υποκείμενο των δεδομένων (άρθρο 34)

Σε περίπτωση παραβίασης των δεδομένων που προκαλεί υψηλό κίνδυνο για τα υποκείμενα των δεδομένων, ο υπεύθυνος επεξεργασίας πρέπει να ενημερώνει χωρίς καθυστέρηση τα επηρεαζόμενα πρόσωπα στα οποία αναφέρονται τα δεδομένα.

Ωστόσο, ο υπεύθυνος επεξεργασίας μπορεί να εξαιρεθεί από την υποχρέωση αυτή εάν:

• ο κίνδυνος βλάβης είναι απομακρυσμένος επειδή προστατεύονται τα επηρεαζόμενα δεδομένα
• ο υπεύθυνος επεξεργασίας έχει λάβει μέτρα για την προστασία από τη βλάβη ή
• η κοινοποίηση απαιτεί δυσανάλογη προσπάθεια.