Εκτελών την επεξεργασία  - Άρθρο 28 ΓΚΠΔ

Οι τυπικοί εκτελούντες την επεξεργασία είναι εταιρείες που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για λογαριασμό μας:

• Πάροχοι υπηρεσιών στους οποίους διαβιβάζουμε δεδομένα προσωπικού χαρακτήρα για επεξεργασία (π.χ. εταιρείες μάρκετινγκ)
• Πάροχοι υπηρεσιών στους οποίους δίνουμε πρόσβαση σε εσωτερικά δεδομένα (π.χ. εταιρείες παροχής τεχνικών υπηρεσιών)
• Πάροχοι λύσεων λογισμικού σε απευθείας σύνδεση (π.χ. λογισμικό γραφείου)
• Πάροχοι ψηφιακών υπηρεσιών (π.χ. web hosting μέσω του οποίου αποστέλλονται τα email μας)

Η επεξεργασία έγκειται στο ότι ένας πάροχος υπηρεσιών ενεργεί για λογαριασμό μας και δεσμεύεται από τις οδηγίες μας. Στην περίπτωση αυτή, ο εξωτερικός πάροχος υπηρεσιών παρέχει μόνο υποστήριξη και είναι, τρόπον τινά, «προέκτασή» μας. Σε καμία περίπτωση δεν μπορεί να χρησιμοποιήσει τα δεδομένα προσωπικού χαρακτήρα που του παρέχονται για δικούς του σκοπούς. 

Πηγή: Mohamed Hassan στο Pixabay

Παραδείγματα

• Ανατίθεται σε διαφημιστική εταιρεία η διοργάνωση μιας εκδήλωσης. Εφόσον το διαφημιστικό γραφείο είναι υπεύθυνο μόνο για το σχεδιασμό των εγγράφων και της ιδέας, δεν αποτελεί εκτελούντα την επεξεργασία κατά την έννοια του ΓΚΠΔ. Ωστόσο, εάν αποστέλλει προσκλήσεις για λογαριασμό μας, με κατάλογο των επαφών των πελατών μας ή συλλέγει δεδομένα επισκεπτ(ρι)ών στην εκδήλωση, αυτό συνιστά εκτέλεση επεξεργασίας δεδομένων κατ' εντολή κατά την έννοια του ΓΚΠΔ.
• Ένας εξωτερικός πάροχος υπηρεσιών πληροφορικής αναλαμβάνει την τεχνική μας υποστήριξη. Ρυθμίζει υπολογιστές και, εάν είναι απαραίτητο, συνδέεται με τα συστήματα της εταιρείας μέσω απομακρυσμένης πρόσβασης υπολογιστικών συστημάτων. Αυτό μπορεί να του παρέχει πρόσβαση στα εσωτερικά δεδομένα της εταιρείας και, συνεπώς, στα δεδομένα προσωπικού χαρακτήρα των εργαζομένων ή των πελατών.
• Κάθε πάροχος ηλεκτρονικών λύσεων που χρησιμοποιούμε θεωρείται εκτελών την επεξεργασία, καθώς αποθηκεύουμε δεδομένα προσωπικού χαρακτήρα στα συστήματα ως μέρος της χρήσης τους – ακόμη και αν πρόκειται μόνο για την επαγγελματική μας διεύθυνση ηλεκτρονικού ταχυδρομείου.
• Και ο πάροχος φιλοξενίας μας, στον διακομιστή του οποίου εκτελείται ο ιστότοπός μας, θεωρείται κλασικός εκτελών την επεξεργασία. Ακόμη και αν δεν προσφέρουμε επιλογές εγγραφής ή εξατομικευμένες συνδέσεις. Αυτό οφείλεται στο γεγονός ότι οι διευθύνσεις IP των επισκεπτών του ιστότοπου λογίζονται επίσης ως δεδομένα προσωπικού χαρακτήρα. Επομένως, ο πάροχος φιλοξενίας είναι σε κάθε περίπτωση εκτελών την επεξεργασία.

Ωστόσο, δεν υπάρχει εκτέλεση επεξεργασίας, για παράδειγμα, σε ταχυδρομικές υπηρεσίες για τη μεταφορά επιστολών ή δεμάτων. Οι δικηγόροι ή οι φοροτεχνικοί εξαιρούνται επίσης από τον κανονισμό αυτό, καθώς δεν είναι εξουσιοδοτημένοι να ενεργούν κατ' εντολήν ως κάτοχοι επαγγελματικών απορρήτων. Επομένως, είναι πάντα απαραίτητο να ελέγχεται αν ένας πάροχος υπηρεσιών ενεργεί ως εκτελών την επεξεργασία ή με δική του ευθύνη. 

Τι σημαίνει αυτό;

Εφόσον χρησιμοποιούμε έναν εκτελούντα την επεξεργασία, πρέπει να διασφαλίσουμε ότι ο εκτελών την επεξεργασία συμμορφώνεται επίσης με τους κανονισμούς προστασίας δεδομένων προσωπικού χαρακτήρα και εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της προστασίας των δεδομένων. Αυτό ρυθμίζεται συνήθως από μια λεγόμενη σύμβαση επεξεργασίας δεδομένων. Το άρθρο 28 του ΓΚΠΔ καθορίζει τις ελάχιστες απαιτήσεις για το περιεχόμενο μιας τέτοιας σύμβασης.

Σύμφωνα με το άρθρο 28 παράγραφος 3 του ΓΚΠΔ, πρέπει να ρυθμίζονται στη σύμβαση τα ακόλουθα σημεία, μεταξύ άλλων:

• Αντικείμενο, διάρκεια, φύση και σκοπός της επεξεργασίας
• Είδος δεδομένων προσωπικού χαρακτήρα και κατηγορίες υποκειμένων των δεδομένων
• Πληροφορίες σχετικά με τις υποχρεώσεις εμπιστευτικότητας των προσώπων που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα
• Πληροφορίες σχετικά με τα τεχνικά και οργανωτικά μέτρα που εφαρμόζονται
• Κανονισμοί σχετικά με τη χρήση υπεργολάβων
• Κανονισμοί σχετικά με την υποστήριξη των ερωτημάτων και των αιτημάτων των υποκειμένων των δεδομένων
• Κανονισμοί σχετικά με την επιστροφή ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα
• Κανονισμοί σχετικά με τα δικαιώματα ελέγχου του υπεύθυνου επεξεργασίας επί του εκτελούντος την επεξεργασία
• Πληροφορίες σχετικά με την υποχρέωση του εκτελούντος την επεξεργασία να ενημερώνει τον υπεύθυνο επεξεργασίας 

Πολλοί πάροχοι υπηρεσιών (ιδιαίτερα στο διαδίκτυο) προσφέρουν έτοιμες συμβάσεις επεξεργασίας δεδομένων, οι οποίες μπορούν να κατέβουν απευθείας από τον ιστότοπο και να υπογραφούν. Η σύμβαση αποστέλλεται στη συνέχεια στον εκτελούντα την επεξεργασία για υπογραφή.