Δευτέρα, 7 Μαΐου 2018

GDPR: Η σύμβαση με τον εκτελούντα την επεξεργασία

Του Κομνηνού Κόμνιου*

Α. Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (στο εξής ΓΚΠΔ), που τίθεται σε εφαρμογή από τις 25.05.2018, ισχύει άμεσα σε κάθε κράτος μέλος της Ε.Ε. και εφαρμόζεται, μεταξύ άλλων, σε κάθε επιχείρηση που επεξεργάζεται προσωπικά δεδομένα, συμπεριλαμβανομένων των επιχειρήσεων που απασχολούν λιγότερους από 250 υπαλλήλους, δηλαδή και στις μικρές και πολύ μικρές επιχειρήσεις.

Ο νέος Κανονισμός, αν και εν πολλοίς βασίζεται στο προηγούμενο νομοθετικό καθεστώς για την προστασία των δεδομένων προσωπικού χαρακτήρα (Οδηγία 95/46/ΕΚ), αυξάνει σημαντικά τις υποχρεώσεις των επιχειρήσεων. Σε περίπτωση παράβασης συγκεκριμένων διατάξεων του ΓΚΠΔ προβλέπονται δρακόντεια πρόστιμα, που ανάλογα με το είδος και το μέγεθός της, δύνανται να φθάσουν έως τα 20 εκατομμύρια ευρώ ή το 4% του παγκόσμιου ετήσιου κύκλου εργασιών.
   
Β. Πολύ συχνά κάποιες επιχειρήσεις αναθέτουν σε άλλα, εκτός επιχείρησης, φυσικά ή νομικά πρόσωπα ή άλλους φορείς την επεξεργασία δεδομένων προσωπικού χαρακτήρα για λογαριασμό τους (outsourcing). Τα πρόσωπα αυτά ορίζονται στον ΓΚΠΔ ως "εκτελούντες την επεξεργασία", ενώ η επιχείρηση που αναθέτει την επεξεργασία καθορίζοντας τους σκοπούς και τον τρόπο της επεξεργασίας καλείται "υπεύθυνος επεξεργασίας". Ο εκτελών την επεξεργασία ενεργεί βάσει των οδηγιών και των κατευθύνσεων του υπευθύνου επεξεργασίας. Συνεπώς, όταν μια επιχείρηση αποφασίζει "γιατί" και "πώς" τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία, είναι ο υπεύθυνος επεξεργασίας. Ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνο εκ μέρους του υπεύθυνου επεξεργασία και είναι, κατά κανόνα, τρίτος εκτός επιχείρησης. Σημειώνεται ότι οι εργαζόμενοι που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα εντός μιας επιχείρησης το κάνουν για να εκπληρώσουν τα καθήκοντα της επιχείρησης ως υπεύθυνου επεξεργασίας και δεν είναι οι ίδιοι υπεύθυνοι ή εκτελούντες την επεξεργασία. Βέβαια, αν ένας εργαζόμενος χρησιμοποιεί δεδομένα για δικούς του σκοπούς, εκτός των δραστηριοτήτων της επιχείρησης στην οποία απασχολείται, τότε θεωρείται υπεύθυνος της επεξεργασίας και φέρει τη σχετική ευθύνη.

Προκειμένου να γίνει κατανοητή η διάκριση, παραθέτουμε το ακόλουθο παράδειγμα της Ευρωπαϊκής Επιτροπής: "Μια ζυθοποιία έχει πολλούς εργαζομένους. Υπογράφει σύμβαση με εταιρεία πληρωμών για την καταβολή των μισθών. Η ζυθοποιία ενημερώνει την εταιρεία πληρωμών για το πότε πρέπει να γίνεται η πληρωμή των μισθών, πότε ένας εργαζόμενος αποχωρεί ή παίρνει αύξηση και παρέχει όλα τα υπόλοιπα στοιχεία που είναι απαραίτητα για το εκκαθαριστικό σημείωμα αποδοχών και την πληρωμή. Η εταιρεία πληρωμών παρέχει σύστημα ΤΠ και αποθηκεύει τα δεδομένα των εργαζομένων. Η ζυθοποιία είναι ο υπεύθυνος επεξεργασίας δεδομένων και η εταιρεία πληρωμών είναι ο εκτελών την επεξεργασία των δεδομένων".

Εκτελών την επεξεργασία είναι, ενδεικτικά, ο πάροχος υπηρεσιών νεφοϋπολογιστικής (cloud computing), ο οποίος δεν καθορίζει τον σκοπό της επεξεργασίας, αλλά παρέχει τα μέσα και την πλατφόρμα (υπολογιστικό νέφος), ενεργώντας για λογαριασμό του πελάτη, o οποίος εν προκειμένω αποτελεί κατά κανόνα τον υπεύθυνο επεξεργασίας. Στο αυτό πλαίσιο, εκτελών την επεξεργασία είναι οι πάροχοι υπηρεσιών φιλοξενίας στο Διαδίκτυο, μια επιχείρηση που ειδικεύεται στην επεξεργασία δεδομένων για τη διαχείριση δεδομένων ανθρώπινου δυναμικού άλλων εταιριών ή μια εταιρεία security που έχει αναλάβει το κλειστό κύκλωμα μιας άλλης επιχείρησης ή μια εταιρία παροχής υπηρεσιών ηλεκτρονικού ταχυδρομείου για τα email που μεταβιβάζει κλπ..

Η διάκριση μεταξύ υπευθύνου και εκτελούντος την επεξεργασία, αν και έχει επικριθεί λόγω της δυσχέρειας διάκρισης μεταξύ υπευθύνου και εκτελούντος σε ορισμένες περιπτώσεις, διατηρήθηκε από τον ΓΚΠΔ. Μία από τις σημαντικές καινοτομίες του Κανονισμού έγκειται στην ενίσχυση των υποχρεώσεων του εκτελούντος την επεξεργασία.Ενώ την ευθύνη για την επεξεργασία και υποχρέωση για λογοδοσία έναντι της αρμόδιας αρχής είχε μόνο ο υπεύθυνος επεξεργασίας, πλέον ο εκτελών την επεξεργασία ευθύνεται και ο ίδιος εφόσον δεν ανταποκρίθηκε στις υποχρεώσεις του ΓΚΠΔ που αφορούν ειδικότερα τους εκτελούντες την επεξεργασία ή υπερέβη ή ενήργησε αντίθετα προς τις νόμιμες εντολές του υπευθύνου επεξεργασίας. Επιπλέον, είναι δυνατή η επιβολή κυρώσεων όχι μόνο στον υπεύθυνο επεξεργασίας, αλλά και στον εκτελούντα.

Οι υπεύθυνοι επεξεργασίας βαρύνονται με την υποχρέωση "να χρησιμοποιούν μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του ΓΚΠΔ και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων" (άρθρο 28 παρ. 1 ΓΚΠΔ).

Γ. Για λόγους σαφήνειας και διαφάνειας, η σχέση μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία θα πρέπει να αποτυπώνεται λεπτομερώς σε σύμβαση που καταρτίζεται εγγράφως ή σε ηλεκτρονική μορφή.Η μη σύναψη σχετικής σύμβασης συνιστά αθέτηση της υποχρέωσης του υπεύθυνου επεξεργασίας να τεκμηριώνει τις αμοιβαίες υποχρεώσεις και δύναται να επιφέρει τις οικείες κυρώσεις του ΓΚΠΔ.

Η σύμβαση ανάθεσης επεξεργασίας σε εκτελούντα την επεξεργασία θα πρέπει να περιλαμβάνει τα ακόλουθα:

- να καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας,

- να προβλέπει ότι ο εκτελών την επεξεργασία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ε.Ε. ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία,

- να προβλέπει ότι ο εκτελών την επεξεργασία διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα δεσμεύονται για την τήρηση εμπιστευτικότητας,

- να προβλέπει ότι ο εκτελών την επεξεργασία λαμβάνει όλα τα απαιτούμενα μέτρα για την ασφάλεια των δεδομένων,

- να προβλέπει ότι ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία θα πρέπει να ενημερώσει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία και να παρέχει στον υπεύθυνο επεξεργασίας τη δυνατότητα να αντιταχθεί σε αυτές τις αλλαγές. Σε περίπτωση που ο εκτελών την επεξεργασία προσλάβει "υπο-εκτελούντα" την επεξεργασία οφείλει να διασφαλίσει ότι οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση θα δεσμεύουν και τον "υπο-εκτελούντα". Σε κάθε περίπτωση, ο αρχικώς εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας,

- να προβλέπει ότι ο εκτελών την επεξεργασία επικουρεί τον υπεύθυνο επεξεργασίας στην απάντηση των αιτημάτων για άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων (δικαίωμα πρόσβασης,διόρθωσης, διαγραφής, εναντίωσης),

- να προβλέπει ότι ο εκτελών την επεξεργασία συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις ασφάλειας των δεδομένων και γνωστοποίησης τυχόν παραβίασης δεδομένων (data breach). Σε κάθε περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα,

- να προβλέπει ότι ο εκτελών την επεξεργασία επικουρεί τον υπεύθυνο επεξεργασίας στην διενέργεια εκτίμησης αντικτύπου (privacy impact assessment), εφόσον αυτή απαιτείται εν προκειμένω από τον ΓΚΠΔ,

- να προβλέπει ότι κατ' επιλογή του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία θα διαγράψει ή θα επιστρέψει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και θα διαγράψει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,

- να προβλέπει ότι ο εκτελών την επεξεργασία υποχρεούται να θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσής του προς τις υποχρεώσεις που προβλέπονται από το ΓΚΠΔ και να επιτρέπει και διευκολύνει τυχόν ελέγχους που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.

- Τέλος, ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον ΓΚΠΔ ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.

Δ. Παρά τη συμβατική δέσμευση του εκτελούντος την επεξεργασία, η γενική ευθύνη εξακολουθεί να βαρύνει τον υπεύθυνο επεξεργασίας, ο οποίος οφείλει να ασκεί εποπτεία στους εκτελούντες την επεξεργασία,προκειμένου να διασφαλίζει ότι οι ενέργειές τους συμμορφώνονται με τον Κανονισμό. Ως εκ τούτου, συμβατικός όρος ο οποίος δεν επιτρέπει στον υπεύθυνο επεξεργασίας την αναγκαία εποπτεία, θα μπορούσε να θεωρηθεί ως σύμβαση από κοινού υπευθύνων επεξεργασίας, με αποτέλεσμα η ευθύνη της επεξεργασίας να βαρύνει αμφότερα τα μέρη.

Πάντως, εάν ο εκτελών την επεξεργασία δεν τηρεί τους περιορισμούς που έχει θέσει ο υπεύθυνος επεξεργασίας όσον αφορά τη χρήση των δεδομένων, καθορίζοντας ο ίδιος τους σκοπούς και τα μέσα της επεξεργασίας, τότε καθίσταται υπεύθυνος επεξεργασίας, τουλάχιστον για τη συγκεκριμένη επεξεργασία.

* Κομνηνός Γ. Κόμνιος, Δικηγόρος, Διαπιστευμένος Διαμεσολαβητής, Επ. Καθηγητής της Σχολής Οικονομίας, Διοίκησης και Νομικών Επιστημών του Διεθνούς Πανεπιστημίου της Ελλάδος
k.komnios@ihu.edu.gr

(Πηγή: capital.gr)

Κυριακή, 29 Απριλίου 2018

105 χρόνια από τη Μάχη του Παλαιοχωρίου



"Γιατί οι θυσίες δεν πρέπει ούτε να απαξιώνονται, ούτε να ευτελίζονται στο βωμό προσωπικών φιλοδοξιών, ούτε να χάνονται στη λήθη". 


Ομιλία για τα 105 χρόνια από τη Μάχη του Παλαιοχωρίου. 

Παλαιοχώρι 28 Απριλίου 2018.

Τετάρτη, 25 Απριλίου 2018

ΑΡΧΕΙΟΦΥΛΑΞ: άγνωστες ψηφίδες ιστορίας... (αρ.3)


ΑΡΧΕΙΟΦΥΛΑΞ (αρ. 3): Ταχυδρομικό Δελτάριο εποχής, όπου αναγράφεται: "Διαφημιστική "αφφίς" Έλληνος καλλιτέχνου, που εβραβεύθη σε Διαγωνισμό της Αμερικανικής Αποστολής Ελλάδος της Διοικήσεως Οικονομικής Συνεργασίας. Η Αποστολή αυτή ρυθμίζει την εφαρμογή του Σχεδίου Μάρσαλλ στην Ελλάδα".

Και για την ιστορία:

Σχέδιο Μάρσαλ: Επρόκειτο για οικονομική βοήθεια που χορηγήθηκε σε χώρες της Ευρώπης. Αποσκοπούσε αφενός στην τόνωση των οικονομιών τους, και αφετέρου, εξυπηρετούσε άμεσα την αμερικανική εξωτερική πολιτική, που επιθυμούσε να αποφευχθεί ο κίνδυνος να περιέλθουν οι χώρες αυτές, εξαιτίας ανέχειας, στη σφαίρα επιρροής της Σοβιετικής Ένωσης. Η οικονομική βοήθεια του σχεδίου Μάρσαλ διαιρέθηκε ανάμεσα στις συμμετέχουσες χώρες, βασισμένη στο "κατά κεφαλήν" εισόδημα. Περισσότερη ενίσχυση δόθηκε στις μεγάλες βιομηχανικές δυνάμεις, καθώς επικρατούσε η άποψη ότι η αποκατάστασή τους ήταν στοιχειώδης για την γενική αναβίωση της Ευρώπης. Ακόμη, περισσότερη "κατά κεφαλήν" βοήθεια δόθηκε στους Συμμάχους του Δευτέρου Παγκοσμίου Πολέμου, ενώ λιγότερη δόθηκε σε αυτούς που αποτελούσαν τις Δυνάμεις του Άξονα, ή σε αυτούς που απλώς παρέμειναν ουδέτεροι.

(Πηγή: www.istorikathemata.com)

Σάββατο, 21 Απριλίου 2018

Ο Άη Γιώργης του Παλαιοχωρίου Παγγαίου

Το παραδοσιακό "κουρμπάνι" πρόκειται να μοιραστεί και πάλι τη Δευτέρα στο Παλαιοχώρι Παγγαίου, που πανηγυρίζει τον πολιούχο και προστάτη του, τον Άγιο Γεώργιο. Στο χωριό αναβιώνουν ακόμη αρκετά έθιμα που σχετίζονται με τον Άγιο, και οι ρίζες τους χάνονται στα βάθη των αιώνων. Ως προστάτης του χωριού, ο Άγιος Γεώργιος, είναι άμεσα συνδεδεμένος με την μακραίωνη ιστορία του τόπου, με αποτέλεσμα οι κάτοικοι να νιώθουν μία εξαιρετική οικειότητα με τη μορφή του.

Το κουρμπάνι

Στο τέλος της θείας λειτουργίας ανήμερα της εορτής του Αγίου Γεωργίου, μοιράζεται το πατροπαράδοτο «κουρμπάνι», το οποίο είναι βρασμένο κρέας και πρόσφορο.

Το «κουρμπάνι», άμεσα συνδεδεμένο με την εορτή του Αγίου ετοιμάζεται με χαρακτηριστική τελετουργία. Παλαιότερα, το «κουρμπάνι» ετοιμαζόταν από ζώα - προσφορές των πιστών χριστιανών του χωριού, τα οποία θυσιαζόταν προς τιμήν του αγίου την παραμονή της εορτής και κατά τη διάρκεια του Εσπερινού, αφού πρώτα έκαναν τρεις φορές τον γύρο του ναού και στην συνέχεια ευλογούνταν από τον ιερέα.

Έθιμα και συνήθειες

Σαν αυτή τη μέρα, οι νέοι του χωριού αφού έβρισκαν τα κατάλληλα ψηλά δέντρα έκαναν κούνιες, πλέκοντας κληματίδες. Από τις κούνιες αυτές περνούσε το σύνολο του πληθυσμού του χωριού, γιατί θεωρούνταν απαραίτητη η συμμετοχή στο έθιμο αυτό.

Όπως και σε άλλα μέρη της Ελλάδας, η ημέρα του Αγίου Γεωργίου σήμαινε και την έναρξη την περιόδου «των βοσκών» για τους κτηνοτρόφους. Οι κτηνοτρόφοι συνήθιζαν να προσλαμβάνουν τους βοσκούς από την ημέρα του Αγίου Γεωργίου και μέχρι και την ημέρα του άλλου μεγάλου Αγίου της Ορθοδοξίας, του Αγίου Δημητρίου.

Ακόμη την ημέρα αυτή, όλοι οι ίδιοι κτηνοτρόφοι συνέλεγαν το γνωστό στην περιοχή αγριολούλουδο με το όνομα «γαλατσίδα», το οποίο όταν κοπεί βγάζει ένα υγρό που μοιάζει σαν γάλα. Με το φυτό αυτό έφτιαχναν στεφάνια τα οποία κρεμούσαν έξω από τις πόρτες για να ...πάει καλά η χρονιά.

Λατρεία ...κατά παράδοση

«Ο τόπος αυτός είναι υπό την προστασία του Άη Γιώργη» λένε οι ντόπιοι και νιώθουν μια σιγουριά γιατί όπως αναφέρουν ποτέ μέσα στους αιώνες δεν τους πρόδωσε. Η μέχρι στιγμής παλαιότερη αποδεδειγμένη μαρτυρία για την «παρουσία» του Αγίου Γεωργίου ως προστάτη στην περιοχή, έρχεται με την ανακάλυψη από την αρχαιολογική σκαπάνη κατά τη διετία 1995 - 1996 εκτεταμένου μοναστηριακού συγκροτήματος του 11ου αιώνα στο Παλαιοχώρι, ευρύτερα γνωστό από Πατριαρχικά σιγίλια ως «Ιερά Μονή του Αγίου Μεγαλομάρτυρος και Τροπαιοφόρου Γεωργίου του Διασωρίτου». Από τότε η λατρεία του Αγίου είχε εξαπλωθεί στην περιοχή, πράγμα που εξόργισε τον Οθωμανό τόπαρχο και έτσι στις 23 Απριλίου του 1507, όπως αναφέρεται στον Κώδικα του Δαμασκηνού, κατέστρεψε ολοσχερώς το πανηγυρίζον μοναστήρι. Παρόλα αυτά η φλόγα της πίστης δεν έσβησε στους Παλαιοχωρινούς και έτσι η μονή ξαναχτίστηκε για να καταστραφεί οριστικά λίγο μετά το 1763.

Κατόπιν οι κάτοικοι του χωριού έκτισαν τον υπάρχοντα Ιερό Ναό προς τιμήν του Αγίου Γεωργίου, ο οποίος αποπερατώθηκε το 1835, με πολλά βυζαντινά χαρακτηριστικά ενός μοναστηριακού ναού. Πρόκειται για μία μεγάλη τρίκλιτη βασιλική με ημιόροφο, τον γνωστό «γυναικωνίτη».

Τα θαύματα του αγίου είναι πολλά, και αντηχούν σαν παραμύθι στα αυτιά όσων τα ακούν. Αυτά είτε αναφέρονται στην παρουσία του Αγίου στον νέο ναό, αφού πολλοί άκουγαν τα πέταλα του αλόγου στο μαρμάρινο δάπεδο χωρίς να βλέπουν τίποτα και τα οποία οδηγούσαν στο ιερό, είτε σε περιφορές, λιτανείες και θεϊκές ψαλμωδίες στο χώρο του κατεστραμμένου μοναστηριού.

Rejection


Gone