Δευτέρα, 7 Μαΐου 2018

GDPR: Η σύμβαση με τον εκτελούντα την επεξεργασία

Του Κομνηνού Κόμνιου*

Α. Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (στο εξής ΓΚΠΔ), που τίθεται σε εφαρμογή από τις 25.05.2018, ισχύει άμεσα σε κάθε κράτος μέλος της Ε.Ε. και εφαρμόζεται, μεταξύ άλλων, σε κάθε επιχείρηση που επεξεργάζεται προσωπικά δεδομένα, συμπεριλαμβανομένων των επιχειρήσεων που απασχολούν λιγότερους από 250 υπαλλήλους, δηλαδή και στις μικρές και πολύ μικρές επιχειρήσεις.

Ο νέος Κανονισμός, αν και εν πολλοίς βασίζεται στο προηγούμενο νομοθετικό καθεστώς για την προστασία των δεδομένων προσωπικού χαρακτήρα (Οδηγία 95/46/ΕΚ), αυξάνει σημαντικά τις υποχρεώσεις των επιχειρήσεων. Σε περίπτωση παράβασης συγκεκριμένων διατάξεων του ΓΚΠΔ προβλέπονται δρακόντεια πρόστιμα, που ανάλογα με το είδος και το μέγεθός της, δύνανται να φθάσουν έως τα 20 εκατομμύρια ευρώ ή το 4% του παγκόσμιου ετήσιου κύκλου εργασιών.
   
Β. Πολύ συχνά κάποιες επιχειρήσεις αναθέτουν σε άλλα, εκτός επιχείρησης, φυσικά ή νομικά πρόσωπα ή άλλους φορείς την επεξεργασία δεδομένων προσωπικού χαρακτήρα για λογαριασμό τους (outsourcing). Τα πρόσωπα αυτά ορίζονται στον ΓΚΠΔ ως "εκτελούντες την επεξεργασία", ενώ η επιχείρηση που αναθέτει την επεξεργασία καθορίζοντας τους σκοπούς και τον τρόπο της επεξεργασίας καλείται "υπεύθυνος επεξεργασίας". Ο εκτελών την επεξεργασία ενεργεί βάσει των οδηγιών και των κατευθύνσεων του υπευθύνου επεξεργασίας. Συνεπώς, όταν μια επιχείρηση αποφασίζει "γιατί" και "πώς" τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία, είναι ο υπεύθυνος επεξεργασίας. Ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνο εκ μέρους του υπεύθυνου επεξεργασία και είναι, κατά κανόνα, τρίτος εκτός επιχείρησης. Σημειώνεται ότι οι εργαζόμενοι που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα εντός μιας επιχείρησης το κάνουν για να εκπληρώσουν τα καθήκοντα της επιχείρησης ως υπεύθυνου επεξεργασίας και δεν είναι οι ίδιοι υπεύθυνοι ή εκτελούντες την επεξεργασία. Βέβαια, αν ένας εργαζόμενος χρησιμοποιεί δεδομένα για δικούς του σκοπούς, εκτός των δραστηριοτήτων της επιχείρησης στην οποία απασχολείται, τότε θεωρείται υπεύθυνος της επεξεργασίας και φέρει τη σχετική ευθύνη.

Προκειμένου να γίνει κατανοητή η διάκριση, παραθέτουμε το ακόλουθο παράδειγμα της Ευρωπαϊκής Επιτροπής: "Μια ζυθοποιία έχει πολλούς εργαζομένους. Υπογράφει σύμβαση με εταιρεία πληρωμών για την καταβολή των μισθών. Η ζυθοποιία ενημερώνει την εταιρεία πληρωμών για το πότε πρέπει να γίνεται η πληρωμή των μισθών, πότε ένας εργαζόμενος αποχωρεί ή παίρνει αύξηση και παρέχει όλα τα υπόλοιπα στοιχεία που είναι απαραίτητα για το εκκαθαριστικό σημείωμα αποδοχών και την πληρωμή. Η εταιρεία πληρωμών παρέχει σύστημα ΤΠ και αποθηκεύει τα δεδομένα των εργαζομένων. Η ζυθοποιία είναι ο υπεύθυνος επεξεργασίας δεδομένων και η εταιρεία πληρωμών είναι ο εκτελών την επεξεργασία των δεδομένων".

Εκτελών την επεξεργασία είναι, ενδεικτικά, ο πάροχος υπηρεσιών νεφοϋπολογιστικής (cloud computing), ο οποίος δεν καθορίζει τον σκοπό της επεξεργασίας, αλλά παρέχει τα μέσα και την πλατφόρμα (υπολογιστικό νέφος), ενεργώντας για λογαριασμό του πελάτη, o οποίος εν προκειμένω αποτελεί κατά κανόνα τον υπεύθυνο επεξεργασίας. Στο αυτό πλαίσιο, εκτελών την επεξεργασία είναι οι πάροχοι υπηρεσιών φιλοξενίας στο Διαδίκτυο, μια επιχείρηση που ειδικεύεται στην επεξεργασία δεδομένων για τη διαχείριση δεδομένων ανθρώπινου δυναμικού άλλων εταιριών ή μια εταιρεία security που έχει αναλάβει το κλειστό κύκλωμα μιας άλλης επιχείρησης ή μια εταιρία παροχής υπηρεσιών ηλεκτρονικού ταχυδρομείου για τα email που μεταβιβάζει κλπ..

Η διάκριση μεταξύ υπευθύνου και εκτελούντος την επεξεργασία, αν και έχει επικριθεί λόγω της δυσχέρειας διάκρισης μεταξύ υπευθύνου και εκτελούντος σε ορισμένες περιπτώσεις, διατηρήθηκε από τον ΓΚΠΔ. Μία από τις σημαντικές καινοτομίες του Κανονισμού έγκειται στην ενίσχυση των υποχρεώσεων του εκτελούντος την επεξεργασία.Ενώ την ευθύνη για την επεξεργασία και υποχρέωση για λογοδοσία έναντι της αρμόδιας αρχής είχε μόνο ο υπεύθυνος επεξεργασίας, πλέον ο εκτελών την επεξεργασία ευθύνεται και ο ίδιος εφόσον δεν ανταποκρίθηκε στις υποχρεώσεις του ΓΚΠΔ που αφορούν ειδικότερα τους εκτελούντες την επεξεργασία ή υπερέβη ή ενήργησε αντίθετα προς τις νόμιμες εντολές του υπευθύνου επεξεργασίας. Επιπλέον, είναι δυνατή η επιβολή κυρώσεων όχι μόνο στον υπεύθυνο επεξεργασίας, αλλά και στον εκτελούντα.

Οι υπεύθυνοι επεξεργασίας βαρύνονται με την υποχρέωση "να χρησιμοποιούν μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του ΓΚΠΔ και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων" (άρθρο 28 παρ. 1 ΓΚΠΔ).

Γ. Για λόγους σαφήνειας και διαφάνειας, η σχέση μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία θα πρέπει να αποτυπώνεται λεπτομερώς σε σύμβαση που καταρτίζεται εγγράφως ή σε ηλεκτρονική μορφή.Η μη σύναψη σχετικής σύμβασης συνιστά αθέτηση της υποχρέωσης του υπεύθυνου επεξεργασίας να τεκμηριώνει τις αμοιβαίες υποχρεώσεις και δύναται να επιφέρει τις οικείες κυρώσεις του ΓΚΠΔ.

Η σύμβαση ανάθεσης επεξεργασίας σε εκτελούντα την επεξεργασία θα πρέπει να περιλαμβάνει τα ακόλουθα:

- να καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας,

- να προβλέπει ότι ο εκτελών την επεξεργασία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ε.Ε. ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία,

- να προβλέπει ότι ο εκτελών την επεξεργασία διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα δεσμεύονται για την τήρηση εμπιστευτικότητας,

- να προβλέπει ότι ο εκτελών την επεξεργασία λαμβάνει όλα τα απαιτούμενα μέτρα για την ασφάλεια των δεδομένων,

- να προβλέπει ότι ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία θα πρέπει να ενημερώσει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία και να παρέχει στον υπεύθυνο επεξεργασίας τη δυνατότητα να αντιταχθεί σε αυτές τις αλλαγές. Σε περίπτωση που ο εκτελών την επεξεργασία προσλάβει "υπο-εκτελούντα" την επεξεργασία οφείλει να διασφαλίσει ότι οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση θα δεσμεύουν και τον "υπο-εκτελούντα". Σε κάθε περίπτωση, ο αρχικώς εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας,

- να προβλέπει ότι ο εκτελών την επεξεργασία επικουρεί τον υπεύθυνο επεξεργασίας στην απάντηση των αιτημάτων για άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων (δικαίωμα πρόσβασης,διόρθωσης, διαγραφής, εναντίωσης),

- να προβλέπει ότι ο εκτελών την επεξεργασία συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις ασφάλειας των δεδομένων και γνωστοποίησης τυχόν παραβίασης δεδομένων (data breach). Σε κάθε περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα,

- να προβλέπει ότι ο εκτελών την επεξεργασία επικουρεί τον υπεύθυνο επεξεργασίας στην διενέργεια εκτίμησης αντικτύπου (privacy impact assessment), εφόσον αυτή απαιτείται εν προκειμένω από τον ΓΚΠΔ,

- να προβλέπει ότι κατ' επιλογή του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία θα διαγράψει ή θα επιστρέψει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και θα διαγράψει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,

- να προβλέπει ότι ο εκτελών την επεξεργασία υποχρεούται να θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσής του προς τις υποχρεώσεις που προβλέπονται από το ΓΚΠΔ και να επιτρέπει και διευκολύνει τυχόν ελέγχους που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.

- Τέλος, ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον ΓΚΠΔ ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.

Δ. Παρά τη συμβατική δέσμευση του εκτελούντος την επεξεργασία, η γενική ευθύνη εξακολουθεί να βαρύνει τον υπεύθυνο επεξεργασίας, ο οποίος οφείλει να ασκεί εποπτεία στους εκτελούντες την επεξεργασία,προκειμένου να διασφαλίζει ότι οι ενέργειές τους συμμορφώνονται με τον Κανονισμό. Ως εκ τούτου, συμβατικός όρος ο οποίος δεν επιτρέπει στον υπεύθυνο επεξεργασίας την αναγκαία εποπτεία, θα μπορούσε να θεωρηθεί ως σύμβαση από κοινού υπευθύνων επεξεργασίας, με αποτέλεσμα η ευθύνη της επεξεργασίας να βαρύνει αμφότερα τα μέρη.

Πάντως, εάν ο εκτελών την επεξεργασία δεν τηρεί τους περιορισμούς που έχει θέσει ο υπεύθυνος επεξεργασίας όσον αφορά τη χρήση των δεδομένων, καθορίζοντας ο ίδιος τους σκοπούς και τα μέσα της επεξεργασίας, τότε καθίσταται υπεύθυνος επεξεργασίας, τουλάχιστον για τη συγκεκριμένη επεξεργασία.

* Κομνηνός Γ. Κόμνιος, Δικηγόρος, Διαπιστευμένος Διαμεσολαβητής, Επ. Καθηγητής της Σχολής Οικονομίας, Διοίκησης και Νομικών Επιστημών του Διεθνούς Πανεπιστημίου της Ελλάδος
k.komnios@ihu.edu.gr

(Πηγή: capital.gr)

Δεν υπάρχουν σχόλια: