Ρόλοι και Ευθύνες υπό τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR)

Ποιος είναι ο Υπεύθυνος και ο απο Κοινού Υπεύθυνος Επεξεργασίας και ποιος ο Εκτελών την Επεξεργασία; Ποιες οι υποχρεώσεις τους; Πότε πρέπει να συνάψουν Σύμβαση Προστασίας Δεδομένων; Τι πρέπει να λάβουμε υπόψη για να προσδιορίσουμε το ρόλο ενός μέρους

Εισαγωγή

Ο «Υπεύθυνος Επεξεργασίας», ο «Από Κοινού Υπευθύνος Επεξεργασίας» ή «Συνυπεύθυνος Επεξεργασίας», ο «Εκτελών Την Επεξεργασία» καθώς και ο «Τρίτος» και ο «Αποδέκτης» αποτελούν τις πιο σημαντικές έννοιες για το δίκαιο της προστασίας προσωπικών δεδομένων1, καθώς καθορίζουν τους ρόλους και τις ευθύνες των εμπλεκομένων μερών σε μια επεξεργασία2.

Αυτό καθιστά την σωστή υπαγωγή των ρόλων για τα Νομικά και Φυσικά πρόσωπα που επεξεργάζονται προσωπικά δεδομένα (εφεξής οι «Οντότητες»), το πιο κρίσιμο στάδιο για την αξιολόγηση της υφιστάμενης κατάστασης και του σχεδιασμού των επόμενων ενεργειών από άποψη προστασίας προσωπικών δεδομένων. Από την υπαγωγή αυτή θα εξαρτηθεί το εύρος ευθύνης των εμπλεκόμενων μερών και οι αντίστοιχες υποχρεώσεις τους.

Η έννοια του υπευθύνου επεξεργασίας, πρωτοπαρουσιάστηκε το 1981 με τη Συνθήκη 1083 του Συμβουλίου της Ευρώπης ενώ οι έννοιες των υπολοίπων εισήχθησαν με την Οδηγία 95/46/ΕΚ4.

Μέσα στα χρόνια οι έννοιες αυτές εξελίχθηκαν δραστικά. Στην εξέλιξη αυτή συνέδραμαν τόσο οι κοινωνικές και τεχνολογικές εξελίξεις, η νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (εφεξής «ΔΕΕ»), η εφαρμογή του Κανονισμού (ΕΕ) 2016/6795 (εφεξής «Κανονισμός» ή «GDPR») καθώς και οι διάφορες Γνωμοδοτήσεις, Αποφάσεις και Κατευθυντήριες γραμμές που εκδόθηκαν από τις Αρχές Προστασίας Δεδομένων των κρατών- μελών της Ε.Ε. και από την Ομάδα Εργασίας του άρθρου 29 (εφεξής «ΟΕ29»), που μετέπειτα μετετράπη σε Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (εφεξής «ΕΣΠΔ»).

Σκοπός του παρόντος εξηγούνται και αναλύονται οι κρίσιμες έννοιες του υπευθύνου επεξεργασίας, του εκτελούντος την επεξεργασία, του από κοινού υπεύθυνου επεξεργασίας και του τρίτου και του αποδέκτη. Έπειτα, εξετάζονται οι Συμβάσεις Προστασίας Δεδομένων και το πώς επηρεάζουν τον τρόπο με τον οποίο προσδιορίζουμε τις έννοιες αυτές.

Υπεύθυνοι και Συνυπεύθυνοι επεξεργασίας

Υπάρχουν δύο τύποι σχέσεων μεταξύ Υπευθύνων Επεξεργασίας:

  • Οι (Αυτοτελώς) Υπεύθυνοι Επεξεργασίας.
  • Οι από Κοινού Υπεύθυνοι Επεξεργασίας ή Συνυπεύθυνοι Επεξεργασίας.

Υπεύθυνος Επεξεργασίας

Υπεύθυνος επεξεργασίας ορίζεται «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα»6.

Πρακτικά, ο Υπεύθυνος Επεξεργασίας ορίζει το «πώς» και το «γιατί» τα δεδομένα υποβάλλονται σε επεξεργασία. Ένας Υπεύθυνος Επεξεργασίας μπορεί να ενεργεί, όπως αναφέρθηκε ανωτέρω, είτε μόνος είτε από κοινού με άλλον ή άλλους Υπεύθυνους Επεξεργασίας. Είναι σημαντικό να επισημανθεί ότι, σε κάθε περίπτωση, η πρόσβαση στα δεδομένα δεν είναι απαραίτητη για να ενεργεί μια οντότητα ως Υπεύθυνος Επεξεργασίας (είτε αυτοτελώς είτε από κοινού με άλλα μέρη).

Παράγοντες που υποδηλώνουν ότι μια οντότητα αποτελεί τον Υπεύθυνο Επεξεργασίας είναι:

  • Ύπαρξη ουσιαστικού οφέλους ή συμφέροντος από την επεξεργασία (όχι την απλή πληρωμή για υπηρεσίες που λαμβάνονται από άλλο Υπεύθυνο),
  • Λήψη αποφάσεων για τα υποκείμενα ως μέρος ή ως αποτέλεσμα της επεξεργασίας (λ.χ. ο εργοδότης όταν εργαζόμενοι είναι τα υποκείμενα των δεδομένων),
  • Οι δραστηριότητες επεξεργασίας μπορούν να θεωρηθούν ως φυσικά συνδεδεμένες με το ρόλο ή τις δραστηριότητες της οντότητάς (λ.χ. λόγω παραδοσιακών ρόλων ή επαγγελματικής εμπειρογνωμοσύνης) που συνεπάγεται ευθύνες από άποψη προστασίας δεδομένων (λ.χ. δικηγόροι, ιατροί, λογιστές κ.ο.κ.),
  • Υπάρχει πλήρης αυτονομία στον καθορισμό του τρόπου επεξεργασίας των προσωπικών δεδομένων.

Η οντότητα που ενεργεί ως Υπεύθυνος Επεξεργασίας έχει την ευθύνη της συμμόρφωσης και της απόδειξης συμμόρφωσης με όλες τις αρχές προστασίας δεδομένων7 καθώς και με όλες τις επιμέρους απαιτήσεις που απορρέουν από αυτές.

Ενδεικτικές υποχρεώσεις είναι:

  • Η εφαρμογή εσωτερικών πολιτικών για τη διασφάλιση των αρχών επεξεργασίας δεδομένων. Πρακτικά, αναφερόμαστε σε (ανα)προσαρμογή του τρόπου με τον οποίο συλλέγονται, τηρούνται και περαιτέρω επεξεργάζονται τα προσωπικά δεδομένα
  • Η δημιουργία και τήρηση αρχείου δραστηριοτήτων, όπου απαιτείται. Αν και δεν αποτελεί υποχρέωση για συγκεκριμένους τύπους υπευθύνων, εν γένει συνιστάται να χαρτογραφούνται οι διενεργούμενες πράξεις επεξεργασίας ώστε να απεικονίζονται τα δεδομένα που συλλέγονται, οι νομικές βάσεις και οι σκοποί επεξεργασίας κ.ο.κ.,
  • Η σύναψη συμβάσεων προστασίας δεδομένων με τις οντότητες, οι οποίες εμπλέκονται στις πράξεις επεξεργασίας ως από κοινού υπεύθυνοι ή ως εκτελούντες την επεξεργασία,
  • Η εξασφάλιση της νομιμότητας των πράξεων επεξεργασίας. Λ.χ. να δημιουργηθούν φόρμες/πλαίσια που εξασφαλίζουν την έγκυρη συγκατάθεση, να διενεργηθεί προηγούμενη εκτίμηση εννόμου συμφέροντος κ.ο.κ.),
  • Εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων για τη διασφάλιση των δεδομένων λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας. Αυτό σημαίνει λ.χ. για μικρές επιχειρήσεις η λήψη απλών μέτρων όπως ψευδωνυμοποίηση (λ.χ. αντί για «Μαρία Παπαδοπούλου» «Μ.Π.»), κλείδωμα ντουλαπιών και συρταριών, τήρηση back-up σε εξωτερικό σκληρό κ.ο.κ. μέχρι πιο ανεπτυγμένα όπως εξελιγμένη κρυπτογράφηση, intrusion detectors κλπ.
  • Διενέργεια Εκτίμησης Αντίκτυπου Προστασίας Δεδομένων για πράξεις επεξεργασίας που ενδέχεται να θέσουν σε κίνδυνο τα δικαιώματα και τις ελευθερίες των υποκειμένων καθώς και κάθε επιπλέον ενέργεια για τη διασφάλιση τους (όπως λ.χ. προηγούμενη διαβούλευση με την αρμόδια εποπτική αρχή,
  • Ο διορισμός Υπεύθυνου Προστασίας Δεδομένων, όπου απαιτείται,
  • Κατά το σχεδιασμό δραστηριοτήτων επεξεργασίας, να εφαρμόζονται οι αρχές της «Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού».

Από Κοινού Υπευθύνους Επεξεργασίας ή «Συνυπεύθυνους» Επεξεργασίας

Όταν το «πως» και το «γιατί» ορίζεται από δύο ή περισσότερες οντότητες, τότε η κάθε οντότητα ορίζεται ως «Από Κοινού Υπεύθυνος Επεξεργασίας». Συγκεκριμένα, δύο (ή περισσότερες) οντότητες ενεργούν ως από κοινού υπεύθυνοι επεξεργασίας εάν καθορίζουν τους σκοπούς και τα μέσα της επεξεργασίας από κοινού μέσω:

α) συναπόφασης, ή

β) δύο ή περισσότερων συγκλινουσών αποφάσεων (δηλαδή συμπληρωματικών αποφάσεων χωρίς τις οποίες δεν μπορεί να πραγματοποιηθεί η επεξεργασία).

Οι σκοποί καθορίζονται από κοινού όταν η απόφαση αφορά τους:

α) ίδιους σκοπούς ή

β) κοινούς, στενά συνδεδεμένους ή συμπληρωματικούς σκοπούς.

Αυτό μπορεί να συμβαίνει, για παράδειγμα, όταν υπάρχει αμοιβαίο όφελος για τους συνυπεύθυνους επεξεργασίας που προκύπτει από την ίδια επεξεργασία. Ωστόσο, πρέπει να σημειωθεί ότι στο όφελος δεν συγκαταλέγεται η πληρωμή που μπορεί να παρέχεται σε μία οντότητα, όπως στον εκτελούντα την επεξεργασία, για την υπηρεσία που παρέχει.

Ο Κανονισμός απαιτεί από τους από Κοινού Υπεύθυνους Επεξεργασίας να συνάπτουν Σύμβαση Προστασίας Δεδομένων8, ωστόσο δεν υπάρχει αντίστοιχη πρόβλεψη για τους αυτοτελώς υπευθύνους επεξεργασίας. Όπως έχει επισημάνει τόσο το ΕΣΠΔ9 όσο και το ΔΕΕ10, δύο οντότητες δύνανται να είναι από Κοινού Υπεύθυνοι Επεξεργασίας για συγκεκριμένες πράξεις στο πλαίσιο μιας ευρύτερης δραστηριότητας επεξεργασίας και να παραμείνουν αυτοτελώς Υπεύθυνοι Επεξεργασίας για τις υπόλοιπες. Με άλλα λόγια, δύο ή περισσότερες οντότητες μπορούν να είναι από Κοινού Υπεύθυνοι Επεξεργασίας για ορισμένα στάδια της επεξεργασίας για τα οποία καθορίζουν από κοινού τους σκοπούς και τα μέσα της και αυτοτελώς Υπεύθυνοι Επεξεργασίας για άλλα, προηγούμενα ή μεταγενέστερα στάδια επεξεργασίας στην αλυσίδα.

Πρακτικό παράδειγμα από κοινού Υπεύθυνων Επεξεργασίας είναι η εμπορική προώθηση προϊόντων ή/και υπηρεσιών μέσω παρόχου μέσου κοινωνικής δικτύωσης (social media) με δεδομένα χρηστών του τελευταίου. Για τις επεξεργασίες που διενεργούνται στο πλαίσιο της εμπορικής προώθησης τα μέρη ενεργούν ως από Κοινού Υπεύθυνοι Επεξεργασίας, καθώς συναποφασίζουν τους σκοπούς (προβολή μιας συγκεκριμένης διαφήμισης σε συγκεκριμένους χρήστες του μέσου κοινωνικής δικτύωσης) και τα μέσα (χρήση των υπηρεσιών του παρόχου κοινωνικού μέσου και κατηγοριοποίηση του κοινού βάσει συγκεκριμένων χαρακτηριστικών, όπως λ.χ. ηλικία, ενδιαφέροντα, ώρα χρήσης της πλατφόρμας κ.α.)11. Ωστόσο, για τις προηγούμενες ή επιγενόμενες πράξεις επεξεργασίας, που η κάθε οντότητα ορίζει από μόνη της τους σκοπούς και τα μέσα, ενεργούν ως αυτοτελώς Υπεύθυνοι Επεξεργασίας (λ.χ. για συλλογή των δεδομένων των χρηστών από την πλατφόρμα, η τελευταία ενεργεί ως αυτοτελώς Υπεύθυνη Επεξεργασίας).

Οι από Κοινού Υπεύθυνοι Επεξεργασίας έχουν εν γένει τις ίδιες υποχρεώσεις με τους αυτοτελώς υπευθύνους με την επιπλέον υποχρέωση να έχουν συνάψει συμφωνία (ιδανικά Σύμβαση Προστασίας Δεδομένων) με τον κάθε συνυπεύθυνο επεξεργασίας σχετικά με την κατανομή των εκατέρωθεν καθηκόντων, των ευθυνών και των αρμοδιοτήτων τους, εκτός εάν αυτές καθορίζονται ήδη νομοθετικά.

Ανεξάρτητα από τη συμφωνία μεταξύ των από κοινού υπεύθυνων επεξεργασίας, η συνυπευθυνότητα συνεπάγεται ευθύνη εις ολόκληρόν: Κάθε υπεύθυνος επεξεργασίας μπορεί να θεωρηθεί πλήρως υπόλογος, έναντι των θιγόμενων υποκειμένων των δεδομένων, για το σύνολο της προκληθείσας ζημίας. Ως εκ τούτου, το υποκείμενο των δεδομένων έχει το δικαίωμα να ασκήσει αγωγή αποζημίωσης κατά οποιουδήποτε από τους από Κοινού Υπευθύνους Επεξεργασίας επιθυμεί. Έτσι, διασφαλίζεται ότι το υποκείμενο των δεδομένων αποζημιώνεται αποτελεσματικά. Στη συνέχεια, ο από Κοινού Υπεύθυνος Επεξεργασίας που κατέβαλε την αποζημίωση μπορεί να αξιώσει την αποζημίωση από τους λοιπούς συνυπεύθυνους επεξεργασίας. Εξαίρεση υφίσταται μόνο εάν ο από Κοινού Υπεύθυνος Επεξεργασίας δεν ευθύνεται με οποιονδήποτε τρόπο για την προκληθείσα ζημία.

Εκτελών την Επεξεργασία

Ως «εκτελών την επεξεργασία» ορίζεται το «φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας»12.

Επί της ουσίας, ο εκτελών την επεξεργασία είναι αυτός που ορίζει το «πως» τα δεδομένα θα υποβάλλονται σε επεξεργασία, αποκλειστικά σε ό,τι αφορά το τεχνικό σκέλος. Είναι σημαντικό να τονιστεί ότι ο εκτελών την επεξεργασία επεξεργάζεται τα δεδομένα μόνο σύμφωνα με τις οδηγίες του υπευθύνου επεξεργασίας, ειδάλλως θεωρείται και ευθύνεται ο ίδιος ως υπεύθυνος επεξεργασίας.

Χαρακτηριστικά παραδείγματα εκτελούντων είναι μια υπηρεσία μαζικής αποστολής ηλεκτρονικού ταχυδρομείου (email), ή παροχή χώρου τήρησης ιστοσελίδων.

Παράγοντες που υποδηλώνουν ότι μια οντότητα ενεργεί ως εκτελούσα την επεξεργασία:

  • Επεξεργάζεται προσωπικά δεδομένα για σκοπούς ενός άλλου μέρους και σύμφωνα με τις τεκμηριωμένες οδηγίες του μέρους αυτού,
  • Ένα άλλο μέρος παρακολουθεί τις δραστηριότητες επεξεργασίας, προκειμένου να διασφαλίσει ότι υπάρχει συμμόρφωση με τις οδηγίες και τους όρους της σύμβασης,
  • Η οντότητα δεν επιδιώκει δικό της σκοπό στην επεξεργασία εκτός από το σκοπό για την παροχή υπηρεσιών,
  • Η οντότητα επεξεργάζεται προσωπικά δεδομένα βάσει Σύμβασης ή νομικής πράξης που είναι δεσμευτική για τον εκτελούντα και καθορίζει τις απαραίτητες προϋποθέσεις για τη δραστηριότητα της επεξεργασίας,
  • Υπάρχει δέσμευση για την εκτέλεση συγκεκριμένων δραστηριοτήτων επεξεργασίας από κάποιον που με τη σειρά του έχει δεσμευτεί να επεξεργάζεται δεδομένα για λογαριασμό άλλου μέρους και με τις τεκμηριωμένες οδηγίες αυτού του συμβαλλόμενου μέρους (υπεκτελών την επεξεργασία).

Ωστόσο το ΕΣΠΔ επισημαίνει ότι:

  • Μια εταιρεία μπορεί να θεωρηθεί εκτελούσα την επεξεργασία ακόμη και αν καθορίζει ορισμένα «επουσιώδη» μέσα της επεξεργασίας (λ.χ. επιλογή συγκεκριμένου τύπου υλικού ή λογισμικού ή επιλογή συγκεκριμένων μέτρων ασφαλείας), ωστόσο, σύμφωνα με το ΕΣΠΔ, τα ουσιώδη μέσα της επεξεργασίας καθορίζονται πάντα από τον υπεύθυνο επεξεργασίας (π.χ. είδος προσωπικών δεδομένων που υπόκεινται σε επεξεργασία, διάρκεια επεξεργασίας, κατηγορίες αποδεκτών και φυσικά πρόσωπα που επηρεάζονται),
  • Η ίδια οντότητα μπορεί να έχει διαφορετικούς ρόλους ανάλογα με τη δραστηριότητα επεξεργασίας. Για παράδειγμα, μια εταιρεία μπορεί να είναι εκτελούσα την επεξεργασία κατά την παροχή υπηρεσιών στους εταιρικούς πελάτες της, αλλά υπεύθυνη επεξεργασίας κατά τη διεξαγωγή των δικών της δραστηριοτήτων (λ.χ. Επεξεργασία δεδομένων εργαζομένων, μάρκετινγκ).
  • Μία οντότητα μπορεί να είναι υπεύθυνη επεξεργασίας και εκτελούσα την επεξεργασία σε σχέση με το ίδιο σύνολο δεδομένων, εάν χρησιμοποιεί τα δεδομένα αυτά για διαφορετικές πράξεις επεξεργασίας,

Ο Κανονισμός εισήγαγε περιορισμένες υποχρεώσεις και για τους εκτελούντες την επεξεργασία. Ορισμένα ενδεικτικά παραδείγματα είναι τα εξής:

  • Να μην διενεργεί οποιαδήποτε περαιτέρω επεξεργασία δεδομένων πέραν των ρητών οδηγιών του Υπευθύνου,
  • Να ενημερώνει των Υπεύθυνο εάν κάποια οδηγία/εντολή του παραβιάζει τον Κανονισμό,
  • Η δημιουργία και τήρηση αρχείου δραστηριοτήτων,
  • Η εφαρμογή τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της επεξεργασίας,
  • Η σύναψη συμβάσεων προστασίας δεδομένων με τους υπευθύνους,
  • Η αρωγή των υπευθύνων επεξεργασίας στη διαχείριση των αιτημάτων των υποκειμένων των δεδομένων καθώς και σε περιπτώσεις περιστατικών παραβίασης. Πρακτικά, η αρωγή συνίσταται στην παροχή κάθε απαραίτητης πληροφορίας για τη διεκπεραίωση του αιτήματος ή/και τη γνωστοποίηση του περιστατικού παραβίασης,
  • Ο διορισμός Υπεύθυνου Προστασίας Δεδομένων, εάν προβλέπεται.

Οι υποχρεώσεις που προβλέπει ο Κανονισμός για τον εκτελούντα την επεξεργασία13 με έδρα στον ΕΟΧ ισχύουν ανεξάρτητα από το εάν ο Υπεύθυνος Επεξεργασίας υπάγεται στον Κανονισμό ή όχι.

Τρίτος & Αποδέκτης

Τρίτος

Ως «Τρίτος» ορίζεται οποιαδήποτε οντότητα επεξεργάζεται προσωπικά δεδομένα εκτός από:

  • το υποκείμενο των δεδομένων,
  • ο υπεύθυνος επεξεργασίας,
  • τον επεξεργαστή και
  • πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται προσωπικά δεδομένα (λ.χ. εργαζόμενοι).

Αποδέκτης

Ως «αποδέκτης» ορίζεται η οντότητα στην οποία κοινολογούνται τα προσωπικά δεδομένα ασχέτως αν είναι τρίτος ή όχι (λ.χ. ο εκτελών, Διευθύνσεις/ Τμήματα μιας μεγάλης εταιρείας/ενός ΝΠΔΔ κ.ο.κ.). Ο τρίτος αποδέκτης είναι αυτοτελώς Υπεύθυνος για τις επεξεργασίες που διενεργεί για δικούς του σκοπούς.

Συμβάσεις Προστασίας Δεδομένων

Η Σύμβαση Προστασίας Δεδομένων (εφεξής «Σύμβαση») αποτελεί ένα νομικά δεσμευτικό κείμενο που συνάπτεται είτε μεταξύ των από κοινού υπευθύνων επεξεργασίας είτε μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία. Διέπει τις ιδιαιτερότητες της επεξεργασίας δεδομένων, όπως ποιο είναι το είδος των προσωπικών δεδομένων που θα υποβληθούν σε επεξεργασία, για ποιο σκοπό διενεργείται η επεξεργασία κ.ο.κ.. Επιπροσθέτως, ρυθμίζει τους ρόλους και τις αρμοδιότητες των εμπλεκομένων μερών. Σημειώνεται ότι σύμφωνα με το ΕΣΠΔ, ενώ οι όροι μιας σύμβασης μεταξύ φορέων επεξεργασίας αντικατοπτρίζουν τους ρόλους των μερών, οι όροι αυτοί δεν είναι απαραίτητο ότι θα έχουν οριζόντια εφαρμογή για όλες τις περιπτώσεις όταν θα εξετάζονται από τις Αρχές Προστασίας Δεδομένων του Ευρωπαϊκού Οικονομικού Χώρου.

Υπάρχουν συγκεκριμένα θέματα που πρέπει να συμπεριληφθούν σε μια Σύμβαση.

Σύμβαση Υπεύθυνου Επεξεργασίας – Εκτελούντα την Επεξεργασία

Η Σύμβαση μεταξύ Υπεύθυνου Επεξεργασίας και Εκτελούντα την Επεξεργασία δεν θα πρέπει μόνο να αναδιατυπώνει το περιεχόμενο του άρθρου 28 του Κανονισμού, αλλά και να προσδιορίζει τον τρόπο με τον οποίο θα πληρούνται οι απαιτήσεις του. Εν γένει, σε μια τέτοια Σύμβαση πρέπει να περιλαμβάνονται:

1. Οι σαφείς οδηγίες του υπευθύνου επεξεργασίας – εξαιρουμένων των υποχρεώσεων που απορρέουν από το ενωσιακό δίκαιο ή το δίκαιο κράτους μέλους. Οι εν λόγω υποχρεώσεις μπορεί να συμπεριλαμβάνονται σε υπόδειγμα φύλλου οδηγιών σε ειδικό προσάρτημα.

2. Η μέριμνα του εκτελούντος την επεξεργασία για την ασφάλεια των προσωπικών δεδομένων λαμβάνοντας όλα τα εύλογα, κατάλληλα τεχνικά και οργανωτικά μέτρα σύμφωνα με το άρθρο 32 του ΓΚΠΔ καθώς και η υποχρέωση του εκτελούντος την επεξεργασία να λαμβάνει την έγκριση του Υπευθύνου Επεξεργασίας πριν από την πραγματοποίηση αλλαγών, καθώς και να ακολουθεί διαδικασία τακτικής επαναξιολόγησης, ώστε να λαμβάνονται υπόψη οι νέοι δυνητικοί κίνδυνοι για την ασφάλεια.

3. Πρόβλεψη για το επιτρεπτό και τις προϋποθέσεις ανάθεσης σε υπεκτελούντες την επεξεργασία. Το ΕΣΠΔ επισημαίνει ότι οι Υπεύθυνοι Επεξεργασίας, στο πλαίσιο της υποχρέωσης λογοδοσίας τους, θα πρέπει να μεριμνούν ώστε να αξιολογούν με τη δέουσα επιμέλεια κατά πόσον οι υπεκτελούντες την επεξεργασία παρέχουν επαρκείς εγγυήσεις ότι η επεξεργασία θα ικανοποιήσει τις απαιτήσεις του Κανονισμού. Η αξιολόγηση αυτή θα πρέπει να πραγματοποιείται τόσο πριν όσο και κατά τη διάρκεια της δέσμευσης, μεταξύ άλλων μέσω ελέγχων και επιθεωρήσεων σε τακτά χρονικά διαστήματα. Τα στοιχεία που πρέπει να λαμβάνονται υπόψη περιλαμβάνουν τις εξειδικευμένες γνώσεις, την αξιοπιστία, τους πόρους και την τήρηση ενός εγκεκριμένου κώδικα δεοντολογίας.

4. Η υποχρέωση συνδρομής του εκτελούντος την επεξεργασία (λ.χ. σε σχέση με τα δικαιώματα των φυσικών προσώπων, τις υποχρεώσεις ασφάλειας και παραβίασης δεδομένων, τις εκτιμήσεις επιπτώσεων για την προστασία των δεδομένων κ.λπ.),

5. Λαμβάνοντας τα δυνατά και κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της επεξεργασίας, η δέσμευση του εκτελούντος ότι θα συνδράμει τον υπεύθυνο επεξεργασίας στην εκπλήρωση της υποχρέωσης του τελευταίου να ανταποκριθεί στο αίτημα για άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων,

6. Συνδρομή κατά την υποβολή αιτημάτων ή/και σε περίπτωση παραβίασης δεδομένων ή/και για τη διενέργεια Εκτίμησης Αντίκτυπου Προστασίας Δεδομένων. Με βάση τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία, ο τελευταίος θα συνδράμει τον Υπεύθυνο Επεξεργασίας στη διατήρηση της συμμόρφωσης του ΓΚΠΔ όσον αφορά την ασφάλεια της επεξεργασίας14 και την υποχρέωση διαβούλευσης με την Αρχή Προστασίας Δεδομένων προτού προβεί σε επεξεργασία υψηλού κινδύνου15.

7. Διαγραφή/Επιστροφή των προσωπικών δεδομένων μετά την ολοκλήρωση των συμφωνούμενων υπηρεσιών που σχετίζονται με την επεξεργασία.

8. Υποχρέωση του εκτελούντος να παρέχει στον Υπεύθυνο Επεξεργασίας όλες τις πληροφορίες που είναι αναγκαίες για την απόδειξη της συμμόρφωσης και να επιτρέπει στον Υπεύθυνο Επεξεργασίας να διενεργεί εσωτερικό έλεγχο και να τον συνδράμει, εφόσον του ζητηθεί. Επιπλέον, θα πρέπει να προβλέπεται η συνδρομή του εκτελούντος την επεξεργασία προς τον Υπεύθυνο Επεξεργασίας κατά την υποβολή αιτημάτων ή/και σε περίπτωση παραβίασης δεδομένων ή/και για τη διενέργεια Εκτίμησης Αντίκτυπου Προστασίας Δεδομένων με βάση τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία.

***Σύμφωνα με το ΕΣΠΔ, όταν υπάρχει ανάγκη τροποποίησης της Σύμβασης, οι εκτελούντες την επεξεργασία δεν μπορούν απλώς να δημοσιεύουν μια τροποποιημένη έκδοση αυτής στην ιστοσελίδα τους (όπως κάνουν πολλοί μεγάλοι πάροχοι), αλλά πρέπει προηγουμένως να εγκριθεί η ενημερωμένη έκδοση από τους σχετικούς Υπευθύνους Επεξεργασίας. Ομοίως, η εξάρτηση από έναν ηλεκτρονικό κατάλογο υπεκτελούντων την επεξεργασία για την κοινοποίηση στον υπεύθυνο επεξεργασίας νέων υπεκτελούντων την επεξεργασία λειτουργεί μόνο εάν ο κατάλογος επισημαίνει ότι ο προτεινόμενος υπεκτελών την επεξεργασία είναι νέος.

Σύμβαση Από Κοινού Υπευθύνων

Όπως αναφέρθηκε ανωτέρω, οι από κοινού υπεύθυνοι επεξεργασίας πρέπει να καθορίζουν τις αντίστοιχες ευθύνες τους για τη συμμόρφωση με τον Κανονισμό και να τις τεκμηριώνουν σε μια Σύμβαση16. Ουσιαστικά, με την Σύμβαση καθορίζεται το «ποιος κάνει τι».

Το ΕΣΠΔ επισήμανε ότι ο κατάλογος αυτός δεν είναι εξαντλητικός. Η Σύμβαση θα πρέπει επίσης να αντιμετωπίζει άλλες υποχρεώσεις του Κανονισμού, όπως:

1. Γενικές πληροφορίες σχετικά με την από κοινού επεξεργασία, όπως το αντικείμενο, τον σκοπό, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες φυσικών προσώπων,

2. Το πρόσωπο που θα ενεργεί ως σημείο επαφής για τα υποκείμενα και τις εποπτικές αρχές (αν και οι τελευταίοι μπορούν πάντα να επιλέξουν να επικοινωνήσουν με οποιονδήποτε από τους από κοινού υπευθύνους επεξεργασίας),

3. Τη συμμόρφωση με τις γενικές αρχές προστασίας δεδομένων,

4. Τη νομική βάση για την επεξεργασία,

5. Τα μέτρα ασφαλείας,

6. Τις κοινοποιήσεις παραβίασης δεδομένων,

7. Τις εκτιμήσεις αντικτύπου για την προστασία των δεδομένων,

8. Δυνητική χρήση εκτελούντων την επεξεργασία και

9. Διαβιβάσεις σε τρίτες χώρες,

Επιπλέον, σύμφωνα με τον Κανονισμό17, ανεξάρτητα από τους όρους της Σύμβασης, το υποκείμενο των δεδομένων μπορεί να ασκήσει τα δικαιώματά του έναντι και κατά καθενός από τους από κοινού υπευθύνους επεξεργασίας. Αυτό δημιουργεί μια προβληματική καθώς η διεκπεραίωση αιτήματος από υποκείμενο των δεδομένων, στην πράξη μπορεί να είναι περίπλοκη για τους συνυπευθύνους. Πράγματι, είναι πολύ πιθανό οι καθορισμένοι ρόλοι και ευθύνες να μην παρέχουν στους Από Κοινού Υπευθύνους Επεξεργασίας τα μέσα για την ικανοποίηση των δικαιωμάτων των υποκειμένων των δεδομένων, όπως το δικαίωμα πρόσβασης, διαγραφής ή εναντίωσης. Χαρακτηριστικό παράδειγμα οι περιπτώσεις συνυπευθυνότητας μεταξύ παρόχων πλατφόρμας κοινωνικής δικτύωσης και διαχειριστών σελίδων ή μεταξύ παρόχων πλατφόρμας κοινωνικής δικτύωσης και διαχειριστών ιστοσελίδας, που έχουν οριστεί ως κατ’αρχήν Υπεύθυνοι Επεξεργασίας από το ΔΕΕ. Για την θεραπεία αυτού του προβλήματος είναι απαραίτητο να ρυθμίζονται ρητά οι υποχρεώσεις συνεργασίας μεταξύ των από κοινού υπευθύνων σε περίπτωση περιστατικού, όπως η υποβολή αιτήματος από υποκείμενο όπως λ.χ. αρμοδιότητες των μερών, δημιουργία κοινού email για λήψη αιτημάτων κ.ο.κ.)18.

Το ΕΣΠΔ επισημαίνει ότι ορισμένες υποχρεώσεις δεν μπορούν να κατανεμηθούν μεταξύ των από κοινού υπευθύνων επεξεργασίας και ότι κάθε ένας από αυτούς πρέπει να συμμορφώνεται ατομικά με αυτές (π.χ. υποχρέωση διορισμού υπευθύνου προστασίας δεδομένων, τήρηση αρχείων δραστηριοτήτων, εφαρμογή τεχνικών και οργανωτικών μέτρων για την ασφάλεια της επεξεργασίας, διαμόρφωση πολιτικών εφαρμογής των αρχών της επεξεργασίας κ.ο.κ.).

Τέλος, ο Κανονισμός απαιτεί από τους από κοινού υπευθύνους επεξεργασίας να καθιστούν την «ουσία της συμφωνίας» διαθέσιμη στα υποκείμενα των δεδομένων. Επιπλέον, σύμφωνα με το ΕΣΠΔ οι από κοινού υπεύθυνοι επεξεργασίας πρέπει να προσδιορίζουν ξεκάθαρα ποιος έχει ευθύνη για κάθε δραστηριότητα επεξεργασίας. Το ΕΣΠΔ εξηγεί ότι αυτό μπορεί να επιτευχθεί είτε συμπεριλαμβάνοντας αυτές τις λεπτομέρειες στην ισχύουσα πολιτική απορρήτου, είτε εφαρμόζοντας μια διαδικασία με την οποία τα υποκείμενα των δεδομένων μπορούν να λάβουν αυτές τις πληροφορίες κατόπιν αιτήματος.

Συμπέρασμα

Υπάρχουν ποικίλοι ρόλοι, τους οποίους μπορεί να διαδραματίσει μια οντότητα σε σχέση με μια πράξη επεξεργασίας προσωπικών δεδομένων. Είναι απαραίτητο πριν από τη διενέργεια της επεξεργασίας αυτής να προσδιοριστεί σωστά ο ρόλος αυτός ώστε να γίνουν όλες οι απαραίτητες ενέργειες για τη διασφάλιση της νομιμότητας της επεξεργασίας.

Καθώς η υπαγωγή των ρόλων δεν είναι απλή υπόθεση, προς διευκόλυνση κάθε ενδιαφερομένου μπορείτε να ανατρέξετε σε σχετικό πίνακα, ο οποίος έχει διαμορφωθεί με ενδεικτικές ερωτήσεις και απαντήσεις βάσει των υποδείξεων του ΕΣΠΔ.

Σε περίπτωση που εμπλέκονται και άλλες οντότητες στην επεξεργασία θα πρέπει να συναφθεί Σύμβαση μεταξύ τους ώστε να προσδιοριστούν με σαφήνεια οι ευθύνες και υποχρεώσεις του κάθε μέρους και έτσι να διασφαλιστούν τόσο τα συμφέροντα των ίδιων όσο και τα συμφέροντα των υποκειμένων των δεδομένων.

Υπενθυμίζεται ότι η μη συμμόρφωση με τα ανωτέρω μπορεί να οδηγήσει στην επιβολή αστικών, ποινικών και διοικητικών κυρώσεων, όπως λ.χ. πρόστιμο έως 20.000.000 ευρώ ή το 4% του συνολικού κύκλου εργασιών του προηγούμενου έτους (όποιο είναι μεγαλύτερο).

  • 1.Δηλαδή «κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)» Άρθρο 4 στοιχ. 1 ΓΚΠΔ
  • 2.Δηλαδή «κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή» Άρθρο 4 στοιχ. 2 ΓΚΠΔ
  • 3.CoE, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Strasbourg, European Treaty Series – No. 108, S28.1.1981
  • 4.Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων
  • 5.Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
  • 6.Άρθρο 4 στοιχ. 7 ΓΚΠΔ
  • 7.Νομιμότητα, αντικειμενικότητα και διαφάνεια, περιορισμός του σκοπού, ελαχιστοποίηση των δεδομένων, ακρίβεια, περιορισμός της περιόδου αποθήκευσης, ακεραιότητα και εμπιστευτικότητα και λογοδοσία, Άρθρο 5 ΓΚΠΔ
  • 8.Άρθρο 28 ΓΚΠΔ
  • 9.EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 1.0, 02/09/2020
  • 10.ΔΕΕ, C-40/17 – Fashion ID, ECLI:EU:C:2019:629
  • 11.EDPB, Guidelines 8/2020 on the targeting of social media users, Version 1.0, 2/09/2020, σελ. 13-14
  • 12.Άρθρο 4 στοιχ. 8 ΓΚΠΔ
  • 13.Άρθρο 28 παρ. 3 ΓΚΠΔ
  • 14.Άρθρο 32 ΓΚΠΔ
  • 15.Άρθρο 36 ΓΚΠΔ
  • 16.Αναφέρεται ως συμφωνία του άρθρου 26
  • 17.Άρθρο 26 παρ. 3
  • 18.EDPS, Guidelines onthe concepts of controller, processor andjoint controllership under Regulation (EU) 2018/1725, 7/11/2019, σελ. 30