Πώς μπορεί κάποιος να καθορίσει εάν είναι απαραίτητο να υπογράψει μια συμφωνία επεξεργασίας με τους προμηθευτές και τους πελάτες του; Για να απαντήσουμε σε αυτό το ερώτημα, πρέπει να εξετάσουμε αν είμαστε ή όχι, «Υπεύθυνος Επεξεργασίας», δηλαδή, αν η επιχείρησή μας καθορίζει το σκοπό και τα μέσα της επεξεργασίας. Σκοπός αυτής της διάκρισης είναι η σαφής κατανομή αρμοδιοτήτων όσον αφορά τους ρόλους που προβλέπονται από το GDPR στις περιπτώσεις όπου πολλές οντότητες (ρόλοι) συνεργάζονται για τη διαχείριση προσωπικών δεδομένων.

Το άρθρο 4 του GDPR (Γενικός Κανονισμός Προστασίας Δεδομένων) , όμως, μας λέει ότι υπάρχει και ο  «Εκτελών την Επεξεργασία», δηλαδή, ένα φυσικό ή νομικό πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του Υπεύθυνου Επεξεργασίας που είδαμε παραπάνω

Πρακτικά, αυτό σημαίνει ότι, όταν υπάρχει  μία παροχή υπηρεσιών από τη μία επιχείρηση προς την άλλη, αναγκαστικά, η μία θα καθορίζει το σκοπό της επεξεργασίας και η άλλη θα εκτελεί. Έτσι, η  πρώτη επιχείρηση θα είναι «Υπεύθυνος Επεξεργασίας» και η δεύτερη Εκτελών την Επεξεργασία».

Παραδείγματα

Παράδειγμα : Η τράπεζα Χ, διαβιβάζει προσωπικά δεδομένα οφειλετών δανείων προς δικηγορική εταιρεία Ψ, προκειμένου να εκτελέσει η τελευταία την είσπραξη απαιτήσεων για λογαριασμό της πρώτης. 

Όταν υπάρχει ένα τέτοιο σχήμα, είναι απαραίτητο να προϋπάρχει έγγραφη δέσμευση (μέσω σύμβασης), όπου ο Εκτελών την Επεξεργασία (η δικηγορική εταιρεία, στο παράδειγμά μας), θα δεσμεύεται έναντι του Υπεύθυνου Επεξεργασίας (της τράπεζας, στο παράδειγμά μας) με τους όρους του άρθρου 28 του Κανονισμού.

Τι λέει το άρθρο 28; Περιγράφει τα τεχνικά και οργανωτικά μέτρα που πρέπει, πλέον να εφαρμόσει στην επιχείρησή του ο Εκτελών την Επεξεργασία, προκειμένου να του επιτραπεί από τον GDPR, να συνεργασθεί με τον Υπεύθυνο Επεξεργασίας.

Ναι, καλά καταλάβατε : Χωρίς έγγραφη σύμβαση με συγκεκριμένες δεσμεύσεις και εγγυήσεις από τον Εκτελούντα την Επεξεργασία, κανένα προσωπικό δεδομένο δεν μπορεί πλέον να διαβιβάζεται (αποστέλλεται) από τη μία επιχείρηση στην άλλη.

Τα πράγματα γίνονται ακόμη πιο αυστηρά, βέβαια, και οι συμβάσεις πολύ πιο δεσμευτικές και περιοριστικές, όταν έχουμε να κάνουμε με ειδικές κατηγορίες δεδομένων (τα, λεγόμενα, «ευαίσθητα», κατά την παλιά νομοθεσία), δηλαδή, δεδομένα υγείας, βιομετρικά, γενετικά, εθνοτικά, καταγωγής, συμμετοχής σε σωματεία ή συνδικαλιστικές ενώσεις κ.α). 

Φανταστείτε ένα γυναικολογικό ιατρείο, το οποίο αποστέλλει σε μικροβιολογικό εργαστήριο δείγμα από «Τεστ Παπ» ή αίμα (δεδομένα υγείας) ή ένα οδοντιατρείο που αποστέλλει σε οδοντοτεχνίτη στοιχεία του ασθενούς με μέτρα οδοντοστοιχίας (βιομετρικά δεδομένα). 

Ή έναν πάροχο cloud (Εκτελών την Επεξεργασία) που αποθηκεύει προσωπικά δεδομένα μελών σωματείου ή συνδικαλιστικού οργάνου (Υπεύθυνος Επεξεργασίας).

Ποιες νομικές συνέπειες θα υποστώ αν δεν υπογράψω συμφωνία επεξεργασίας δεδομένων;

Κατ’ αρχάς, πρέπει να διαπιστωθεί εάν πρόκειται πράγματι για επεξεργασία. Αν η σχέση των δύο επιχειρήσεων, δηλαδή, προϋποθέτει επεξεργασία (συλλογή, διαβίβαση, αποθήκευση, αναζήτηση) προσωπικών δεδομένων ΦΥΣΙΚΩΝ ΠΡΟΣΩΠΩΝ.  

Αν, δηλαδή, οι πληροφορίες που διαβιβάζονται δεν συμπεριλαμβάνουν κανένα στοιχείο που αφορά φυσικά πρόσωπα, τότε δεν έχει νόημα μία σύμβαση για τα προσωπικά δεδομένα. Θα πρέπει, δηλαδή, πάντα να ερευνάται η ουσία, η πραγματικότητα τη σχέσης μεταξύ των δύο επιχειρήσεων  και οι πραγματικές συνθήκες.

Εάν όμως  πρόκειται για περίπτωση επεξεργασίας προσωπικών δεδομένων φυσικών προσώπων, τότε θα πρέπει να συναφθεί μία πραγματική και έγκυρη σύμβαση που θα δεσμεύει τόσο τον ίδιο τον Εκτελούντα την Επεξεργασία, όσο και τους υπεργολάβους του («υπο-εκτελούντες), με τους οποίους θα πρέπει κι εκείνος να έχει φροντίσει να υπάρχει έγγραφη δεσμευτική σύμβαση.

Εάν εμπίπτει στις παραπάνω κατηγορίες η επεξεργασία και δε γίνει σύμβαση: 

Η επεξεργασία απαγορεύεται. Κανένα προσωπικό δεδομένο δεν μπορεί να διαβιβαστεί στην επιχείρηση που θα εκτελέσει την επεξεργασία και, εάν γίνει παρανόμως, τόσο η μία επιχείρηση (Υπεύθυνος Επεξεργασίας), όσο και η άλλη (Εκτελών την Επεξεργασία), εκτίθενται σε μεγάλα πρόστιμα και αγωγές αποζημίωσης των φυσικών προσώπων των οποίων τα προσωπικά δεδομένα διαβιβάστηκαν ή έγιναν, με οποιονδήποτε άλλο τρόπο, αντικείμενα επεξεργασίας.  

Το κείμενο είναι της Σοφίας Καλλιαντέρη, Δικηγόρου, Executive DPO Λεωφόρος Δημοκρατίας 4-6,  ΤΚ 15451,Νέο Ψυχικό – Αττική Τηλ.+302106747361 εσωτ.208, Κιν. +306977066023 Fax. +302106747347 www.gagdpr.com

Η GAG-DPR είναι μια εταιρεία έμπειρων συμβούλων (Νομικών, Οικονομολόγων, Συμβούλων επιχειρήσεων κ.α) που στοχεύει στην παροχή λύσεων κορυφαίας ποιότητας σε επιχειρήσεις & φορείς του Δημοσίου, παρέχοντας υπηρεσίες συμμόρφωσης με την ευρωπαϊκή νομοθεσία για την προστασία προσωπικών δεδομένων και την ασφάλεια στον κυβερνοχώρο.

GDPR
GDPR