Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία δεδομένων

Τι είναι ο υπεύθυνος επεξεργασίας δεδομένων;

Ο υπεύθυνος επεξεργασίας δεδομένων καθορίζει τους σκοπούς και τα μέσα επεξεργασίας των προσωπικών δεδομένων. Με άλλα λόγια, ο υπεύθυνος επεξεργασίας αποφασίζει τον τρόπο και τον λόγο μιας πράξης επεξεργασίας δεδομένων. Υπεύθυνος επεξεργασίας μπορεί να είναι ένα νομικό πρόσωπο, για παράδειγμα μια επιχείρηση, μια μικρομεσαία επιχείρηση, μια δημόσια αρχή, ένας οργανισμός ή ένας άλλος φορέας.

Σε ορισμένες περιπτώσεις, οι σκοποί και τα μέσα επεξεργασίας προσωπικών δεδομένων, καθώς και ο υπεύθυνος επεξεργασίας, μπορούν να καθορίζονται από το δίκαιο της ΕΕ ή κράτους μέλους.

Τι είναι ο από κοινού υπεύθυνος επεξεργασίας;

Όταν υπάρχουν δύο ή περισσότεροι υπεύθυνοι επεξεργασίας που καθορίζουν από κοινού τον σκοπό και τα μέσα επεξεργασίας, τότε θεωρούνται από κοινού υπεύθυνοι επεξεργασίας. Αποφασίζουν από κοινού να επεξεργαστούν προσωπικά δεδομένα για κοινό σκοπό. Η από κοινού ευθύνη επεξεργασίας μπορεί να λάβει πολλές μορφές και η συμμετοχή των διαφόρων υπευθύνων επεξεργασίας μπορεί να είναι άνιση. Ως εκ τούτου, οι από κοινού υπεύθυνοι επεξεργασίας πρέπει να καθορίζουν τις αντίστοιχες ευθύνες τους όσον αφορά τη συμμόρφωση με τον ΓΚΠΔ.

 

Ποιες είναι οι ευθύνες του υπευθύνου επεξεργασίας ή του από κοινού υπευθύνου επεξεργασίας;

Κατά τη λήψη αποφάσεων σχετικά με τους σκοπούς και τα μέσα επεξεργασίας των δεδομένων, ο υπεύθυνος επεξεργασίας ή οι από κοινού υπεύθυνοι επεξεργασίας πρέπει να διασφαλίζουν ότι προστατεύονται τα προσωπικά δεδομένα των ατόμων. Για να επιτευχθεί αυτό, ο υπεύθυνος επεξεργασίας ή οι από κοινού υπεύθυνοι επεξεργασίας πρέπει να θεσπίσουν μέτρα για την προστασία των προσωπικών δεδομένων  και να παρέχουν τη δυνατότητα στα  άτομα να ασκούν τα δικαιώματά τους.

Για περισσότερες πληροφορίες, ανατρέξτε στον «Κατάλογο ελέγχου Υπευθύνου επεξεργασίας / από κοινού υπευθύνου επεξεργασίας»

Τι είναι ο εκτελών την επεξεργασία δεδομένων;

Ο εκτελών την επεξεργασία ενεργεί μόνο υπό τις εντολές του υπευθύνου επεξεργασίας, υποβάλλοντας σε επεξεργασία  προσωπικά δεδομένα για λογαριασμό του υπευθύνου επεξεργασίας.

Όπως ένας υπεύθυνος επεξεργασίας ή από κοινού υπεύθυνος επεξεργασίας, ο εκτελών την επεξεργασία μπορεί να είναι νομικό πρόσωπο, για παράδειγμα επιχείρηση, μικρομεσαία επιχείρηση, δημόσια αρχή, οργανισμός ή άλλος φορέας.

 

Τι είναι ο υπό-εκτελών την επεξεργασία;

Ο υπό-εκτελών την επεξεργασία ενεργεί σύμφωνα με τις εντολές του εκτελούντος την επεξεργασία, πράγμα που σημαίνει ότι μπορεί να επεξεργάζεται προσωπικά δεδομένα ατόμων για λογαριασμό του εκτελούντος την επεξεργασία. Ο υπό-εκτελών την επεξεργασία μπορεί να είναι νομικό πρόσωπο, π.χ. επιχείρηση, μικρομεσαία επιχείρηση, δημόσια αρχή, οργανισμός ή άλλος φορέας.

Επισημαίνεται ότι ο υπό-εκτελών την επεξεργασία μπορεί να διοριστεί μόνο εάν ο υπεύθυνος επεξεργασίας ή ο από κοινού υπεύθυνος επεξεργασίας τον εξουσιοδοτήσει εγγράφως. Στην περίπτωση αυτή, ο εκτελών την επεξεργασία πρέπει να συντάξει δεσμευτική σύμβαση με τον υπό-εκτελούντα την επεξεργασία στην οποία να αναφέρονται λεπτομερώς οι αρμοδιότητες του υπό-εκτελούντος την επεξεργασία. Η εν λόγω σύμβαση εκτελούντος την επεξεργασία - υπό-εκτελούντος την επεξεργασία πρέπει να προβλέπει την ίδια προστασία των προσωπικών δεδομένων των ατόμων με την αρχική σύμβαση υπευθύνου επεξεργασίας --εκτελούντος την επεξεργασία.

 

Ποιες είναι οι ευθύνες του εκτελούντος την επεξεργασία;

Ενώ η γενική ευθύνη βαραίνει γενικά τον υπεύθυνο επεξεργασίας, οι εκτελούντες την επεξεργασία έχουν επίσης ορισμένες ευθύνες βάσει του ΓΚΠΔ. Οι εκτελούντες την επεξεργασία πρέπει να διενεργούν τις πράξεις επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα που έχουν δοθεί από τον υπεύθυνο επεξεργασίας ή τον από κοινού υπεύθυνο επεξεργασίας. Με τον τρόπο αυτό, ο εκτελών την επεξεργασία βοηθά τον υπεύθυνο επεξεργασίας να συμμορφωθεί με τον ΓΚΠΔ.

Η σχέση υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία, συμπεριλαμβανομένων των ευθυνών του εκτελούντος την επεξεργασία, πρέπει να διέπεται από σύμβαση στην οποία τεκμηριώνονται οι πράξεις επεξεργασίας και τα μέσα επεξεργασίας προσωπικών δεδομένων.

Για περισσότερες πληροφορίες, ανατρέξτε στον «Κατάλογο ελέγχου ευθυνών του εκτελούντος την επεξεργασία».

 

Τι πρέπει να συμπεριλάβετε σε μια σύμβαση υπευθύνου επεξεργασίας - εκτελούντος την επεξεργασία;

Η σύμβαση μεταξύ του υπευθύνου επεξεργασίας ή του από κοινού υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία πρέπει να ορίζει ότι ο εκτελών την επεξεργασία δεδομένων:

  • επεξεργάζεται τα προσωπικά δεδομένα μόνο σύμφωνα με τις οδηγίες του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση προσωπικών δεδομένων σε χώρα εκτός του ΕΟΧ·
  • διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή ότι τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας·
  • διασφαλίζει την ασφάλεια της επεξεργασίας·
  • δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας, ο οποίος έχει ουσιαστική δυνατότητα να αντιταχθεί·
  • επικουρεί τον υπεύθυνο επεξεργασίας για την εκπλήρωση των υποχρεώσεων του υπευθύνου επεξεργασίας να απαντά στα αιτήματα ατόμων για την άσκηση των δικαιωμάτων τους·
  • επικουρεί τον υπεύθυνο επεξεργασίας  για την ασφάλεια της επεξεργασίας, τη γνωστοποίηση παραβιάσεων δεδομένων και τη διενέργεια ΕΑΠΔ·
  • κατ’ επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα προσωπικά δεδομένα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής των υπηρεσιών·
  • θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης με τις υποχρεώσεις βάσει του ΓΚΠΔ·
  • επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας δεδομένων.

Τι να συμπεριλάβετε σε μια σύμβαση εκτελούντος - υπό-εκτελούντος την επεξεργασία;

Η σύμβαση μεταξύ του εκτελούντος την επεξεργασία και του υπό-εκτελούντος την επεξεργασία πρέπει να περιλαμβάνει ειδικές ρήτρες που εγγυώνται ότι τα προσωπικά δεδομένα τα οποία πρόκειται να υποβληθούν σε επεξεργασία προστατεύονται με τον ίδιο τρόπο με αυτόν που προβλέπεται στη σύμβαση υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία.

 

Ποιος ευθύνεται έναντι ποιου;

Ένας υπεύθυνος επεξεργασίας ή από κοινού υπεύθυνος επεξεργασίας είναι υπεύθυνος τόσο για τη δική του συμμόρφωση με τον ΓΚΠΔ, όσο και για τη συμμόρφωση του επιλεγμένου εκτελούντος την επεξεργασία. Συγκεκριμένα, εάν ο εκτελών την επεξεργασία παραβιάζει τις υποχρεώσεις που υπέχει δυνάμει του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας ή από κοινού υπεύθυνος επεξεργασίας θα μπορούσε να θεωρηθεί υπεύθυνος και να υπόκειται σε πρόστιμα και άλλες συνέπειες, κατά περίπτωση.

Ο εκτελών την επεξεργασία είναι υπεύθυνος τόσο για τη συμμόρφωσή του με τον ΓΚΠΔ όσο και έναντι του υπευθύνου επεξεργασίας για παραβίαση της σύμβασης υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία. Ο εκτελών την επεξεργασία μπορεί επίσης να ευθύνεται έναντι του υπευθύνου επεξεργασίας για τις παραβάσεις που προκαλούνται από τον υπό-εκτελούντα την επεξεργασία. 

 

Κατάλογος ευθυνών

Κατάλογος ελέγχου ευθυνών του υπευθύνου επεξεργασίας ή του από κοινού υπευθύνου επεξεργασίας

  • Συμμόρφωση με τις αρχές προστασίας δεδομένων δυνάμει του άρθρου 5 του ΓΚΠΔ
  • Προάσπιση των δικαιωμάτων των ατόμων που αφορούν στην προστασία των δεδομένων
  • Τήρηση αρχείων για τις πράξεις επεξεργασίας
  • Διασφάλιση της ασφάλειας της επεξεργασίας
  • Επιλογή κατάλληλου εκτελούντος την επεξεργασία
  • Λεπτομερής περιγραφή της σχέσης υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία σε δεσμευτική σύμβαση
  • Γνωστοποίηση παραβιάσεων προσωπικών δεδομένων στην αρμόδια Αρχή προστασίας δεδομένων του ΕΟΧ και σε φυσικά πρόσωπα, κατά περίπτωση
  • Λογοδοσία για τις πράξεις επεξεργασίας, υλοποίηση προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, διενέργεια εκτιμήσεων αντικτύπου σχετικά με την προστασία δεδομένων όταν είναι απαραίτητο
  • Διορισμός υπευθύνου προστασίας δεδομένων όταν είναι αναγκαίο
  • Συμμόρφωση με τις υποχρεώσεις προστασίας δεδομένων για τις διεθνείς διαβιβάσεις προσωπικών δεδομένων 
  • Συνεργασία με τις Αρχές προστασίας δεδομένων

Κατάλογος ελέγχου ευθυνών του εκτελούντος την επεξεργασία

  • Τήρηση των εντολών  του υπευθύνου επεξεργασίας
  • Τήρηση αρχείων για τις πράξεις επεξεργασίας
  • Διασφάλιση της ασφάλειας της επεξεργασίας
  • Σεβασμός και τήρηση της δεσμευτικής σύμβασης υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία
  • Λήψη άδειας του υπευθύνου επεξεργασίας προτού προσλάβει νέο υπό-εκτελούντα την επεξεργασία (και παροχή δυνατότητας στον υπεύθυνο επεξεργασίας να αντιταχθεί). Κατά περίπτωση, πρέπει να συναφθεί σύμβαση εκτελούντος την επεξεργασία - υπό-εκτελούντος την επεξεργασία η οποία να ισοδυναμεί με την αρχική σύμβαση υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία
  • Γνωστοποίηση παραβιάσεων προσωπικών δεδομένων στον υπεύθυνο επεξεργασίας
  • Κοινοποίηση παραβιάσεων του ΓΚΠΔ στον υπεύθυνο επεξεργασίας
  • Λογοδοσία για τις πράξεις επεξεργασίας: π.χ. υλοποίηση προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού
  • Διορισμός υπευθύνου προστασίας δεδομένων όταν είναι αναγκαίο
  • Διασφάλιση ότι οι διεθνείς διαβιβάσεις εγκρίνονται από τον υπεύθυνο επεξεργασίας και συμμορφώνονται με τον ΓΚΠΔ
  • Συνεργασία με τις Αρχές προστασίας δεδομένων