Γράφει η Αναστασία Φύλλα
Δικηγόρος LLM Information Technology and Communications Law
Οι επιχειρήσεις που δραστηριοποιούνται κατά τρόπο που να συμπεριλαμβάνει επεξεργασία προσωπικών δεδομένων, θα πρέπει να έχουν υπόψη τους τις υποχρεώσεις συμμόρφωσης με τη νομοθεσία περί προστασίας προσωπικών δεδομένων που εμπλέκουν περισσότερα μέρη, εντός και εκτός της επιχείρησης. Μια σημαντική διάσταση αυτών των υποχρεώσεων αφορά τη σχέση της επιχείρησης με τρίτους συνεργάτες, ιδίως στις περιπτώσεις που η επιχείρηση αναθέτει σε τρίτο την επεξεργασία δεδομένων για λογαριασμό της στα πλαίσια μιας υπεργολαβικής ανάθεσης υπηρεσίας (π.χ συνήθως πάροχοι υπηρεσιών νεφοϋπολογιστικής κτλ) οπότε και η σχέση μεταξύ των μερών ορίζεται ως Υπεύθυνος Επεξεργασίας (αναθέτουσα επιχείρηση, στο εξής «ΥΕ») και Εκτελών την Επεξεργασία (εργολάβος, στο εξής «ΕΕ»). Στο σημείο αυτό πρέπει να επισημάνουμε ότι η ανωτέρω διάκριση (ΥΕ και ΕΕ), δεν αποτελεί τη μοναδική συμβατική δυνατότητα στους ρόλους μεταξύ συνεργατών και ο ορθός προσδιορισμός της εκάστοτε σχέσης είναι μια σύνθετη νομική άσκηση που θα πρέπει να διεξάγεται κάθε φορά ξεχωριστά, από εξειδικευμένο νομικό, και μόνο βάσει των πραγματικών παραμέτρων που χαρακτηρίζουν την κάθε σχέση. Στο παρόν άρθρο θα ασχοληθούμε μόνο με τη σχέση μεταξύ ΥΕ και ΕΕ η οποία εμφανίζεται πιο συχνά στις συναλλαγές.
Τι σημαίνει πρακτικά η σχέση «Υπεύθυνος Επεξεργασίας και Εκτελών την Επεξεργασία»;
ΥΕ είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας προσωπικών δεδομένων[1]. Από την άλλη, ΕΕ είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή ή άλλος φορέας που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του ΥΕ[2]. Διακριτικό στοιχείο για τον καθορισμό του ρόλου του ΕΕ αποτελεί η υποχρέωσή του να ενεργεί για λογαριασμό του ΥΕ, του οποίου τα συμφέροντα (και όχι τα δικά του) εξυπηρετεί, εφαρμόζοντας για το σκοπό αυτό τις εντολές που λαμβάνει από τον ΥΕ τουλάχιστον αναφορικά με το σκοπό και τα μέσα (τρόπο) της επεξεργασίας[3]. Η ευθύνη του ΥΕ υπογραμμίζεται στο άρθρο 28 παρ. 1 του ΓΚΠΔ όπου αναφέρεται συγκεκριμένα ότι «…ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων».
Πώς μπορεί να πλαισιωθεί η σχέση μεταξύ ΥΕ και ΕΕ;
Οποιαδήποτε επεξεργασία προσωπικών δεδομένων η οποία πραγματοποιείται από ΕΕ, θα πρέπει να διέπεται από σύμβαση ή άλλη νομική πράξη[4] και αυτές πρέπει να συνάπτονται εγγράφως περιλαμβανομένης της ηλεκτρονικής μορφής[5]. Αυτό σημαίνει ότι οι επιχειρήσεις θα πρέπει, επιπροσθέτως της κύριας σύμβασης που ορίζει τα θέματα ουσίας στην παροχή των υπηρεσιών να μεριμνούν ώστε να συνάπτουν με τους συνεργάτες τους ΕΕ έγγραφες συμβάσεις με ελάχιστο περιεχόμενο προβλεπόμενο από τον ΓΚΠΔ. Διαχειριστικά αυτό σημαίνει ότι πριν την έναρξη της συνεργασίας και άρα της επεξεργασίας τα μέρη θα πρέπει να συνάπτουν υποχρεωτικά ένα επιπλέον νομικό κείμενο το οποίο συνηθίζεται να ονομάζεται συμφωνητικό επεξεργασίας δεδομένων.
Μπορούν τα μέρη να διαμορφώσουν όπως θέλουν αυτό το συμβατικό κείμενο;
Το συμφωνητικό επεξεργασίας δεδομένων δεν παύει να αποτελεί ένα κείμενο που ενσωματώνει τη συμβατική βούληση των μερών, πλην όμως πρέπει να ρυθμίζει υποχρεωτικά τα ζητήματα που απαριθμεί το άρθρο 28 του ΓΚΠΔ. Το συμφωνητικό δεν πρέπει απλά να επαναλαμβάνει τις διατάξεις του ΓΚΠΔ, αλλά να περιλαμβάνει συγκεκριμένες αναφορές σε σχέση με τον τρόπο που θα εκπληρωθούν οι απαιτήσεις και να καθορίζει το αναγκαίο επίπεδο ασφαλείας για τη συμφωνηθείσα επεξεργασία[6]. Ενδεικτικά αναφέρουμε κάποια στοιχεία του απαραίτητου περιεχομένου το οποίο πρέπει να περιλαμβάνει το αντικείμενο της επεξεργασίας, τη διάρκεια, τη φύση της επεξεργασίας, τα είδη προσωπικών δεδομένων, τις κατηγορίες των υποκειμένων των δεδομένων, τις υποχρεώσεις και τα δικαιώματα του ΥΕ. Επιπλέον το συμφωνητικό θα πρέπει να προβλέπει ότι ο ΕΕ επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του ΥΕ, διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα προσωπικά δεδομένα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας, λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32 του ΓΚΠΔ, τηρεί συγκεκριμένους όρους για την πρόσληψη άλλου εκτελούντος την επεξεργασία, επικουρεί τον ΥΕ με τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την εκπλήρωση της υποχρέωσης του ΥΕ να απαντά σε αιτήματα για άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων, συνδράμει τον ΥΕ στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36 του ΓΚΠΔ, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον ΥΕ μετά το πέρας της παροχής υπηρεσιών επεξεργασίας, θέτει στη διάθεση του ΥΕ κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο άρθρο 28 και επιτρέπει τους ελέγχους, ενημερώνει τον ΥΕ, εάν κάποια εντολή παραβιάζει τη νομοθεσία για την προστασία των δεδομένων.
Τι σημαίνουν όλα αυτά πρακτικά για τις επιχειρήσεις;
H συμμόρφωση με τη νομοθεσία για την προστασία των προσωπικών δεδομένων είναι μια ακόμα διάσταση που πρέπει να λαμβάνεται υπόψη σε επίπεδο σχεδιασμού και υλοποίησης διαδικασιών ακόμα και για την επιλογή από πλευράς των επιχειρήσεων των κατάλληλων συνεργατών. Οι επιχειρήσεις λοιπόν θα πρέπει να συνεκτιμούν στην ουσία όχι μόνο το επίπεδο της καθεαυτήν παρεχόμενης υπηρεσίας αλλά και επιπλέον παραμέτρους που αφορούν θέματα προστασίας δεδομένων θέτοντας σε ισχύ τυπικά και ουσιαστικά συμβατικά κείμενα και διαδικασίες προς διασφάλιση της απαιτούμενης συμμόρφωσης.
Τα ανωτέρω έχουν ενημερωτικό χαρακτήρα και δε συνιστούν εξατομικευμένη νομική συμβουλή.
[1] Άρθρο 4 παρ. 7 ΚΑΝΟΝΙΣΜΟΥ (ΕΕ) 2016/679 (Γενικός Κανονισμός για την Προστασία Δεδομένων) στο εξής «ΓΚΠΔ»
[2] Άρθρο 4 παρ. 8 ΓΚΠΔ
[3] Ο ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ, ΚΑΝΟΝΙΣΜΟΣ 2016/679 ΚΑΙ Ο ΕΦΑΡΜΟΣΤΙΚΟΣ ΝΟΜΟΣ (4624/2019), Ιωάννης Ιγγλεζάκης, INTERACTIVE BOOKS, 3η έκδοση, σελ. 210.
[4] Άρθρο 28 παρ. 4 ΓΚΠΔ
[5] Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.0, Adopted on July 2021, παρ. 101.
[6] Guidelines 07/2020 ό.π, παρ. 112