Πολιτική Απορρήτου

[learn_more caption="1. Εισαγωγή"] Η παρούσα πολιτική ισχύει για την εταιρεία «Σιούφας & Συνεργάτες Δικηγορική Εταιρεία», εφεξής καλούμενη εταιρεία. H εταιρεία δεσμεύεται να προστατεύει τις προσωπικές πληροφορίες που συλλέγονται όταν χρησιμοποιείτε την ιστοσελίδα μας και άλλες υπηρεσίες μας. Η παρούσα Πολιτική Απορρήτου καθορίζει την δέσμευση της να προστατεύει τα δεδομένα προσωπικού χαρακτήρα αναφορικά με την συλλογή, την χρήση, την μεταβίβαση και την διατήρηση αυτών.[/learn_more] [learn_more caption="2. Συλλογή και χρήση Δεδομένων Προσωπικού Χαρακτήρα"] Η εταιρεία έχει σχεδιάσει μία τυποποιημένη φόρμα επικοινωνίας στην ιστοσελίδα της προκειμένου να διευκολύνει την επικοινωνία με κάθε ενδιαφερόμενο. Το έντυπο αυτό χρησιμοποιείται για οποιαδήποτε ερωτήματα ή αιτήματα και τα κατευθύνει στο κατάλληλο τμήμα ή μέλος του προσωπικού. Προκειμένου να διαχειριστούμε και να ανταποκριθούμε στα ερωτήματα και τα αιτήματά σας, μπορεί να συλλέξουμε και να αποθηκεύσουμε το πλήρες όνομά σας, το e-mail σας, τη διεύθυνσή σας, στοιχεία επικοινωνίας και οποιεσδήποτε άλλες πληροφορίες μπορεί να μας έχετε διαθέσει. Αυτές οι πληροφορίες χρησιμοποιούνται αυστηρά για να ανταποκριθούμε ικανοποιητικά στις ερωτήσεις ή τα αιτήματά σας και δεν θα αποκαλυφθούν σε τρίτους εκτός από εκείνους που αναφέρονται στην παρούσα πολιτική ή όπου η δημοσιοποίηση απαιτείται ή επιτρέπεται από το νόμο.
Επιπλέον, παρέχουμε τους τηλεφωνικούς αριθμούς της εταιρείας για μια πιο άμεση επικοινωνία εάν αυτό απαιτείται.
Παρέχεται ακόμα η δυνατότητα εγγραφής στο newsletter της εταιρείας, όπου συμπληρώνεται το όνομα και η ηλεκτρονική διεύθυνση του χρήστη. Σε κάθε περίπτωση, εφόσον ο χρήστης επιθυμεί να άρει τη συναίνεσή του, παρέχεται η δυνατότητα απεγγραφής από το newsletter της εταιρείας μέσα από το σώμα του ηλεκτρονικού μηνύματος που λαμβάνει ο χρήστης. Ενώ ταυτόχρονα διαγράφεται και η ηλεκτρονική διεύθυνση από τα συστήματα της εταιρείας.
Σε ορισμένες περιπτώσεις, η ιστοσελίδα μας μπορεί να χρησιμοποιηθεί από υποψήφιους συνεργάτες, οπότε το υποκείμενο θα πρέπει να λάβει γνώση της Ενημέρωσης Υποκειμένων – Αιτούντες Εργασία.
Για τη νόμιμη επεξεργασία των δεδομένων σας υπό τον Κανονισμό (ΕΕ) 2016/679, αναγνωρίζουμε μια νόμιμη βάση πριν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Στις παραπάνω περιπτώσεις η νόμιμη βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από πλευράς μας είναι η παραχώρηση της ρητής συγκατάθεσής σας για την επεξεργασία, με την υποβολή της εκάστοτε φόρμας μόνο σε περίπτωση που συμφωνείτε με την πολιτική αυτή.[/learn_more]

[learn_more caption="3. Μεταβίβαση Δεδομένων Προσωπικού Χαρακτήρα"]Η εταιρεία μπορεί να μεταβιβάσει δεδομένα προσωπικού χαρακτήρα που έχουν συλλεχθεί στον βαθμό που αυτό είναι εύλογα αναγκαίο για την διαχείριση των νόμιμων εργασιών. Τέτοιες μεταβιβάσεις θα προστατεύονται από κατάλληλα μέτρα προστασίας (π.χ. ρήτρες δημοσιοποίησης προσωπικών δεδομένων σε υπεργολάβους, ρήτρες δημοσιοποίησης προσωπικών δεδομένων σε τρίτους προμηθευτές, ρήτρες δημοσιοποίησης προσωπικών δεδομένων τα οποία είναι αναγκαία για την νομική συμμόρφωση κτλ.). Επιπλέον, μπορεί να μεταβιβάσουμε δεδομένα προσωπικού χαρακτήρα όταν τέτοιου είδους επεξεργασίες είναι αναγκαίες για την συμμόρφωση με μια νομική υποχρέωση στην οποία είμαστε υποκείμενοι.[/learn_more]
[learn_more caption="4. Διατήρηση Δεδομένων Προσωπικού Χαρακτήρα"]Η εταιρεία δεσμεύεται να μην διατηρήσει δεδομένα προσωπικού χαρακτήρα για μια περίοδο μεγαλύτερη από ότι είναι αναγκαίο και θα διασφαλίσουμε ότι θα τα διαγράψουμε με ασφάλεια. Για επιπλέον πληροφορίες σχετικά με την περίοδο διάτρησης και την περίοδο διαγραφής, παρακαλώ ανατρέξτε στην επιλογή «Επικοινωνία» της ιστοσελίδας.[/learn_more]
[learn_more caption="5. Δικαιώματα των Υποκειμένων"]Σε αυτό το τμήμα η εταιρεία εξηγεί τα δικαιώματα που πηγάζουν από τον Κανονισμό (ΕΕ) 2016/679 και πως τα υποκείμενα των δεδομένων μπορούν να ικανοποιήσουν τα δικαιώματα αυτά. Για επιπλέον διευκρινήσεις παρακαλώ ανατρέξτε στην επιλογή «Επικοινωνία» της ιστοσελίδας.

1.1 Δικαίωμα Πρόσβασης

Η εταιρεία θεωρεί ότι τα δεδομένα προσωπικού χαρακτήρα τα οποία συλλέγονται άμεσα από τα υποκείμενα είναι επακριβή και ολοκληρωμένα. Τα άτομα μπορούν να έχουν πρόσβαση στα δικά τους δεδομένα προσωπικού χαρακτήρα χρησιμοποιώντας την Αίτηση Άσκησης Δικαιωμάτων Υποκειμένου.

1.2 Δικαίωμα Διόρθωσης και Διαγραφής

Το υποκείμενο των δεδομένων μπορεί να απαιτήσει την επικαιροποίηση, την διαγραφή ή την αφαίρεση οποιασδήποτε πληροφορίας διατηρείται σχετικά με αυτό, και οποιοσδήποτε τρίτος ο οποίος επεξεργάζεται ή χρησιμοποιεί τα δεδομένα πρέπει επίσης να συμμορφωθεί με το αίτημα αυτό. Ένα αίτημα διαγραφής μπορεί να απορριφθεί μόνο εάν ισχύει κάποια εξαίρεση. Το δικαίωμα στην Διαγραφή μπορεί να ασκηθεί χρησιμοποιώντας την Αίτηση Άσκησης Δικαιωμάτων Υποκειμένου.
Η εταιρεία υποχρεούται να διαγράψει τα δεδομένα προσωπικού χαρακτήρα όταν ισχύει κάποιο από τα ακόλουθα:
• τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα για τους σκοπούς για τους οποίους συλλέχθηκαν ή επεξεργάστηκαν
• το υποκείμενο των δεδομένων αποσύρει τη συναίνεσή του και δεν υπάρχει άλλη νόμιμη βάση για επεξεργασία
• το υποκείμενο των δεδομένων ενίσταται στην επεξεργασία που διενεργείται με βάση τα έννομα συμφέροντα του Διαχειριστή Δεδομένων και δεν υπάρχουν άλλοι υπερισχύοντες νόμιμοι λόγοι για τη επεξεργασία
• τα δεδομένα προσωπικού χαρακτήρα έχουν υποβληθεί σε μη νόμιμη επεξεργασία.
Εάν έχει ληφθεί το αίτημα για την διαγραφή των δεδομένων προσωπικού χαρακτήρα, η ταυτοποίηση έχει επιβεβαιωθεί, το αίτημα πληροί μία από τις ανωτέρω απαιτήσεις και δεν υπάρχει νόμιμος λόγος που να αντιτίθεται στην επεξεργασία, η εταιρεία πρέπει να διαγράψει τα σχετικά δεδομένα στο σύνολό τους. Το αίτημα θα πρέπει να καταχωρηθεί στο Αρχείο Καταχώρισης Αιτημάτων των Υποκείμενων των Δεδομένων.
Εάν η εταιρεία δεν μπορεί να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, θα διασφαλίσει ότι:
• δεν μπορεί ή δεν θα προσπαθήσει να χρησιμοποιήσει τα δεδομένα προσωπικού χαρακτήρα για να δικαιολογήσει οποιαδήποτε απόφαση σχετικά με ένα άτομο ή με τρόπο ο οποίος επηρεάζει το άτομο αυτό με οποιοδήποτε τρόπο
• δεν δίνει σε κανένα άλλο οργανισμό πρόσβαση στα δεδομένα προσωπικού χαρακτήρα
• προστατεύει τα δεδομένα προσωπικού χαρακτήρα με την κατάλληλη τεχνική και οργανωτική ασφάλεια, και δεσμεύεται στην μόνιμη διαγραφή των πληροφοριών εάν, ή όποτε, αυτές γίνουν διαθέσιμες.

1.3 Δικαίωμα Περιορισμού της Επεξεργασίας

Το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον διαχειριστή, περιορισμό της επεξεργασίας χρησιμοποιώντας την Αίτηση Άσκησης Δικαιωμάτων Υποκειμένου.

1.4 Δικαίωμα Εναντίωσης

Το υποκείμενο έχει το δικαίωμα να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν χρησιμοποιώντας την Αίτηση Άσκησης Δικαιωμάτων Υποκειμένου.

1.5 Δικαίωμα στη Φορητότητα των Δεδομένων

Κατόπιν αιτήματος, το υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να λάβει ένα αντίγραφο των δεδομένων προσωπικού χαρακτήρα σε δομημένη μορφή χρησιμοποιώντας την Αίτηση Άσκησης Δικαιωμάτων Υποκειμένου.
Αυτά τα αιτήματα θα πρέπει να επεξεργάζονται εντός ενός (1) μηνός, δεδομένου ότι δεν υπάρχει υπερβολική επιβάρυνση και δεν διακυβεύει την ιδιωτικότητα των ατόμων. ‘Ένα υποκείμενο των δεδομένων μπορεί επίσης να ζητήσει τα δεδομένα του να μεταφερθούν άμεσα σε ένα άλλο σύστημα. Το αίτημα αυτό πρέπει να υλοποιείται χωρίς χρέωση.
Εάν η εταιρεία δεν μπορεί να ανταποκριθεί πλήρως στο αίτημα αυτό εντός ενός (1) μηνός , o Υπεύθυνος Προστασίας Δεδομένων θα πρέπει παρ’ όλα αυτά να παράσχει τις ακόλουθες πληροφορίες στο Υποκείμενο των Δεδομένων, ή στον νομικά εξουσιοδοτημένο εκπρόσωπό του εντός του χρονικού διαστήματος που έχει προσδιοριστεί:
• Μια επιβεβαίωση της παραλαβής του αιτήματος
• Οποιαδήποτε πληροφορία έχει εντοπιστεί μέχρι σήμερα
• Λεπτομέρειες για οποιεσδήποτε πληροφορίες ή τροποποιήσεις έχουν ζητηθεί, οι οποίες δεν θα δοθούν στο υποκείμενο των δεδομένων, ο λόγος (λόγοι) για την απόρριψη, και οποιεσδήποτε διαθέσιμες διαδικασίες για την άσκηση ένστασης κατά της απόφασης
• Μία εκτιμώμενη ημερομηνία κατά την οποία θα παρασχεθούν οι υπόλοιπες απαντήσεις
• Μία εκτίμηση τυχόν δαπανών που πρέπει να καταβληθούν από το υποκείμενο των δεδομένων (π.χ. όταν το αίτημα είναι στην φύση του υπερβολικό) και
• Το όνομα και τα στοιχεία επικοινωνίας του Υπευθύνου Προστασίας Δεδομένων.[/learn_more]

[learn_more caption="6. Τροποποιήσεις"]Σε περίπτωση που η εταιρεία επιλέξει να αλλάξει την παρούσα Πολιτική Απορρήτου, θα δημοσιεύσουμε τις αλλαγές στην εταιρική ιστοσελίδα. Όπου οι αλλαγές είναι σημαντικές, μπορεί επίσης να επιλέξουμε να στείλουμε e-mail στους χρήστες που αφορά, με τις νέες λεπτομέρειες. Όπου απαιτείται από το νόμο, θα πάρουμε τη συγκατάθεσή σας για να κάνουμε τις αλλαγές αυτές.[/learn_more] [learn_more caption="7. Επικοινωνία"]Εάν έχετε οποιονδήποτε προβληματισμό ή παράπονα σχετικά με την παρούσα πολιτική, παρακαλούμε όπως επικοινωνήστε μαζί μας:
Τηλέφωνο: +30 210 – 3673000
Ηλεκτρονική αλληλογραφία: dpo@sioufaslaw.gr
Εάν θεωρείτε ότι η επεξεργασία των δεδομένων σας από εμάς παραβιάζει την ισχύουσα νομοθεσία, μπορείτε να υποβάλετε καταγγελία στην αρμόδια επιβλέπουσα αρχή:
Αρχή Προστασίας Προσωπικών Δεδομένων (τηλ:+30-2106475600 – email:: contact@dpa.gr)[/learn_more]
Το outsourcing και ο νέος Κανονισμός 679/2016 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. | Σιούφας & Συνεργάτες - Δικηγορική Εταιρεία
+30 213 0175600 info@sioufaslaw.gr
EnglishΕλληνικάRomână

ΠΕΡΙΕΧΟΜΕΝΑ

  1. ΟΙ ΙΔΙΟΤΗΤΕΣ ΤΩΝ ΣΥΜΒΑΛΛΟΜΕΝΩΝ ΜΕΡΏΝ
  2. ΒΑΣΙΚΕΣ ΥΠΟΧΡΕΩΣΕΙΣ ΣΤΗ ΣΥΜΒΑΣΗ OUTSOURCING ΑΝΑΦΟΡΙΚΑ ΜΕ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
  3. ΛΟΙΠΕΣ ΥΠΟΧΡΕΩΣΕΙΣ
  4. ΜΕΤΑΓΕΝΕΣΤΕΡΟΙ ΕΚΤΕΛΟΥΝΤΕΣ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

1 ) ΟΙ ΙΔΙΟΤΗΤΕΣ ΤΩΝ ΣΥΜΒΑΛΛΟΜΕΝΩΝ ΜΕΡΩΝ

Ο χαρακτηρισμός του πελάτη ως υπευθύνου επεξεργασίας και του προμηθευτή ως εκτελούντος την επεξεργασία

Σύμφωνα με το άρθρο 28 του ανωτέρω Κανονισμού, αποτελεί υποχρέωση του υπευθύνου επεξεργασίας να διασφαλίζει, ότι η σχέση του με τον εκτελούντα την επεξεργασία διέπεται από έγγραφη σύμβαση και ότι ο τελευταίος συμμορφώνεται με τις υποχρεώσεις του νόμου όπως αναφέρονται στη σχετική σύμβαση.

Στην Ευρωπαϊκή Ένωση αποτελεί κοινή πρακτική να θεωρείται στις συμβάσεις outsourcing, ο πελάτης ως υπεύθυνος επεξεργασίας και ο προμηθευτής ως εκτελών την επεξεργασία. Αυτό πρακτικά σημαίνει ότι: 1) στη σύμβαση μπορεί να μην αναφέρεται ειδικώς οι ιδιότητες των μερών, αλλά θα πρέπει να υπάρχουν επαρκή στοιχεία, έτσι ώστε να συμπεραίνεται ότι ο πελάτης ασκεί τον κυρίαρχο ρόλο για τον καθορισμό των μέσων και των σκοπών της επεξεργασίας. 2) Ο Κανονισμός ρητά αναφέρει ότι η επεξεργασία από τον εκτελούντα την επεξεργασία πρέπει να διέπεται από σύμβαση ή άλλη νομική πράξη ή οποία δεσμεύει τον εκτελούντα και προδιαγράφει ορισμένες προϋποθέσεις.

Ο Κανονισμός θέτει ορισμένες υποχρεώσεις στους εκτελούντες την επεξεργασία, οι οποίες εφαρμόζονται ανεξαρτήτως των σχετικών συμβατικών όρων και περιλαμβάνουν τα ακόλουθα:

  1. άρθρο 27- Υπό ορισμένες συνθήκες, όταν ο εκτελών την επεξεργασία δεν είναι εγκατεστημένος στην ΕΕ, πρέπει να ορίσει έναν εκπρόσωπο. (εκτός αν η επεξεργασία είναι περιστασιακή, δεν περιλαμβάνει σε μεγάλο βαθμό επεξεργασία ειδικών κατηγοριών δεδομένων και δεν ενδέχεται να προκαλέσει κίνδυνο στα δικαιώματα των φυσικών προσώπων)
  2. άρθρο 28(2)- Ο εκτελών την επεξεργασία δεν μπορεί να προσλάβει άλλον εκτελούντα χωρίς την προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου της επεξεργασίας. Όταν δίδεται γενική γραπτή άδεια, ο εκτελών την επεξεργασία πρέπει να ενημερώνει τον υπεύθυνο επεξεργασίας για τις σκοπούμενες αλλαγές σχετικά με προσθήκες ή αντικαταστάσεις άλλων εκτελούντων την επεξεργασία, παρέχοντας έτσι στον υπεύθυνο επεξεργασίας τη δυνατότητα να αρνηθεί.
  3. άρθρο 28 (3)- Όπως ήδη αναφέρθηκε, η επεξεργασία που γίνεται από τον εκτελούντα, για λογαριασμό του υπευθύνου, πρέπει να διέπεται από έγγραφη σύμβαση. Αυτή η σύμβαση πρέπει να περιέχει ειδικές πληροφορίες σχετικά με την επεξεργασία.
  4. άρθρο 28 (4)- Όταν ο εκτελών την επεξεργασία χρησιμοποιεί άλλους εκτελούντες, οι ίδιες συμβατικές υποχρεώσεις σχετικά με τα προσωπικά δεδομένα πρέπει να δεσμεύουν εγγράφως τον άλλον εκτελούντα. Ο αρχικός εκτελών την επεξεργασία έχει την πλήρη ευθύνη έναντι του υπευθύνου επεξεργασίας, για τις ενέργειες των άλλων εκτελούντων.
  5. άρθρο 29- Ο εκτελών την επεξεργασία ή οποιοσδήποτε που ενεργεί υπό τις οδηγίες του, δεν πρέπει να επεξεργάζονται προσωπικά δεδομένα, παρά μόνο υπό τις οδηγίες του υπευθύνου επεξεργασίας, εκτός αν υποχρεούται προς τούτο από το Ενωσιακό ή Εθνικό Δίκαιο.
  6. άρθρο 30 (2)- Ο εκτελών την επεξεργασία ή ο εκπρόσωπός του, πρέπει να διατηρεί ένα αρχείο όλων των κατηγοριών προσωπικών δεδομένων που επεξεργάζεται για λογαριασμό του υπευθύνου επεξεργασίας. Το αρχείο αυτό πρέπει να επιδεικνύεται από τον εκτελούντα, στην Αρχή Προστασίας Δεδομένων, όταν αυτό απαιτηθεί. Η υποχρέωση αυτή δεν ισχύει για υπευθύνους που απασχολούν λιγότερους από 250 εργαζομένους, εκτός αν η επεξεργασία έχει υψηλό ρίσκο για τα δικαιώματα των φυσικών προσώπων.
  7. άρθρο 31- Ο εκτελών την επεξεργασία πρέπει να συνεργάζεται με την Αρχή Προστασίας Δεδομένων.
  8. άρθρο 32- Ο εκτελών την επεξεργασία πρέπει να υιοθετήσει τα κατάλληλα τεχνικά και οργανωτικά μέσα, ανάλογα των κινδύνων που υφίστανται από την επεξεργασία. Τα μέτρα αυτά μπορεί να περιλαμβάνουν: α) ψευδωνυμοποίηση και encryption, β) την δυνατότητα να διαβεβαιώσει τη συνεχή εμπιστευτικότητα, ασφάλεια και διαθεσιμότητα των συστημάτων και των υπηρεσιών, γ) αντίγραφα ασφάλειας και διαδικασίες disaster recovery και δ) συστηματικούς επανελέγχους των τεχνικών μέτρων που εφαρμόζονται στην επεξεργασία έτσι ώστε να διασφαλίζεται ότι παραμένουν κατάλληλα.
  9. άρθρο 33- Ο εκτελών πρέπει να ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση προσωπικών δεδομένων.
  10. άρθρο 37- Ο εκτελών την επεξεργασία πρέπει να ορίσει έναν υπεύθυνο προστασίας προσωπικών δεδομένων (DPO) όταν οι κύριες δραστηριότητες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων σε μεγάλη κλίμακα ή όταν συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων. Όταν ορίζεται υπεύθυνος προστασίας, ο εκτελών την επεξεργασία πρέπει να δημοσιοποιήσει τα στοιχεία επικοινωνίας του πρώτου και να ενημερώσει την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
  11. άρθρο 38- Ο εκτελών την επεξεργασία πρέπει να βεβαιώνει ότι ο υπεύθυνος προστασίας προσωπικών δεδομένων συμμετέχει σε όλα τα θέματα που σχετίζονται με τα προσωπικά δεδομένα και πρέπει να του παρέχεται η αναγκαία στήριξη.
  12. άρθρο 44 και 49- Οι εκτελούντες πρέπει να συμμορφώνονται με τις διατάξεις του Κανονισμού σχετικά με τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες.

 

2. ΒΑΣΙΚΕΣ ΥΠΟΧΡΕΩΣΕΙΣ ΣΤΗ ΣΥΜΒΑΣΗ OUTSOURCING ΑΝΑΦΟΡΙΚΑ ΜΕ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 

Από την πλευρά του υπευθύνου επεξεργασίας, είναι ιδιαίτερα σημαντικό οι σχετικές υποχρεώσεις που αναλαμβάνει ο εκτελών την επεξεργασία να είναι όσο πιο ξεκάθαρες γίνεται. Τούτο εξάλλου γίνεται δεκτό και στον Κανονισμό, όπου στο άρθρο 28 (3) αναφέρονται οι ειδικές προβλέψεις που πρέπει να περιλαμβάνονται στη σχετική σύμβαση.

Α) ΔΙΕΝΕΡΓΕΙΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΥΠΟ ΤΙΣ ΕΓΓΡΑΦΕΣ ΟΔΗΓΙΕΣ ΤΟΥ ΥΠΕΥΘΥΝΟΥ ΕΠΕΞΕΡΓΑΣΙΑΣ

Με σκοπό τον σαφή διαχωρισμό της ιδιότητας του υπευθύνου επεξεργασίας (δηλαδή, του πελάτη) και του εκτελούντος της επεξεργασία (δηλαδή του προμηθευτή), είναι σημαντικό σε όλες τις συμβάσεις outsourcing να προκύπτει με σαφήνεια ποιος ασκεί τον έλεγχο αναφορικά με τα προσωπικά δεδομένα. Αυτή είναι μία προϋπόθεση που θέτει ο Κανονισμός, και άρα η σχετική σύμβαση πρέπει να περιλαμβάνει όρο, σύμφωνα με τον οποίο, ο προμηθευτής θα επεξεργάζεται τα προσωπικά δεδομένα, μόνον υπό τις έγγραφες οδηγίες του πελάτη. Οι οδηγίες αυτές μπορεί να είναι γενικές, αλλά όσο πιο συγκεκριμένες γίνονται, τόσο πιο εύκολο θα είναι για τον πελάτη να αποδείξει την ιδιότητα του υπευθύνου επεξεργασίας.

Β) ΕΦΑΡΜΟΓΗ ΚΑΤΑΛΛΗΛΩΝ ΤΕΧΝΙΚΩΝ ΚΑΙ ΟΡΓΑΝΩΤΙΚΩΝ ΜΕΤΡΩΝ

Η εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων αποτελεί μία από τις κυριότερες υποχρεώσεις του Κανονισμού 679/2016. Λόγω της βαρύτητας που δίδεται σε παραβιάσεις ασφάλειας δεδομένων, είναι εύλογο για τους υπευθύνους επεξεργασίας, να βασίζονται στην εμπειρία του προμηθευτή, να αποφασίζει εκείνος τα ειδικότερα μέτρα ασφάλειας που θα εφαρμόζει αλλά και να απαιτεί από αυτόν να αναγνωρίσει: α) ότι ο πελάτης επαφίεται στην γνώση και την επιδεξιότητα του προμηθευτή να κρίνει τι είναι «κατάλληλο» για να προστατεύσει τα προσωπικά δεδομένα από παράνομη επεξεργασία και από τυχαία καταστροφή, ζημία, τροποποίηση ή κοινολόγηση, και β) ότι τα τεχνικά και οργανωτικά μέτρα πρέπει να είναι κατάλληλα για τη ζημία που μπορεί να προκύψει από μη εγκεκριμένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή ζημία στα προσωπικά δεδομένα και επίσης κατάλληλα για τη φύση των προσωπικών δεδομένων που θα προστατεύονται.

Επιπροσθέτως, κατά την εφαρμογή των κατάλληλων τεχνικών και οργανωτικών μέτρων, μπορεί να απαιτείται από τον προμηθευτή να λαμβάνει υπ’ όψιν του : α) την ευαίσθητη φύση των προσωπικών δεδομένων και την μεγάλη ζημία που τυχόν θα προκύψει από την παράνομη επεξεργασία και από την τυχαία καταστροφή, ζημία, τροποποίηση ή κοινολόγηση, και β) την κατάσταση της τεχνολογικής ανάπτυξης και το κόστος εφαρμογής τέτοιων μέτρων.

Γ) ΑΞΙΟΛΟΓΗΣΗ ΥΠΑΛΛΗΛΩΝ

Άρρηκτα συνδεδεμένο με τα οργανωτικά μέτρα ασφάλειας, αποτελεί και το έργο της αξιολόγησης των υπαλλήλων του εκτελούντος την επεξεργασία. Αποτελεί κοινή πρακτική, η ανάληψη ειδικών υποχρεώσεων του προμηθευτή σχετικά με την καταλληλόλητα των εργαζομένων του και των μεταγενέστερων εκτελούντων την επεξεργασία. Ειδικότερα απαιτείται ο προμηθευτής να διαβεβαιώσει τον πελάτη: α) για την αξιοπιστία των εργαζομένων και των υπαλλήλων των μεταγενέστερων εκτελούντων την επεξεργασία, οι οποίοι έχουν πρόσβαση στα προσωπικά δεδομένα του πελάτη, β) ότι όλοι οι εργαζόμενοι και το προσωπικό του εκτελούντος την επεξεργασία, που σχετίζονται με την επεξεργασία των προσωπικών δεδομένων, έχουν κατάλληλα εκπαιδευτεί και γ) ότι όλοι οι εργαζόμενοι και το προσωπικό του εκτελούντος την επεξεργασία, ασκούν τα καθήκοντά τους συμμορφωμένοι με τις εφαρμοστέες ρήτρες εμπιστευτικότητας της μεταξύ τους σύμβασης και θεωρούν τα προσωπικά δεδομένα του πελάτη εμπιστευτικές πληροφορίες.

3) ΛΟΙΠΕΣ ΥΠΟΧΡΕΩΣΕΙΣ

Επιπρόσθετα των ανωτέρω βασικών υποχρεώσεων, η σύμβαση outsourcing πρέπει να περιλαμβάνει όρους που επιβάλλουν στον εκτελούντα την επεξεργασία: α) την συμμόρφωσή του με τις διατάξεις του Κανονισμού όσον αφορά τον ορισμό άλλων εκτελούντων την επεξεργασία, β) την παροχή συνδρομής στον υπεύθυνο επεξεργασίας, δια της εφαρμογής κατάλληλων οργανωτικών και τεχνικών μέσων, με σκοπό να του επιτρέπουν να απαντάει σε φυσικά πρόσωπα που επιθυμούν να ασκήσουν τα δικαιώματά τους σύμφωνα με τον Κανονισμό, γ) την παροχή βοήθειας στον υπεύθυνο επεξεργασίας για τη διασφάλιση της συμμόρφωσης με τις υποχρεώσεις των άρθρων 32 έως 36 (σχετικά με την ασφάλεια των δεδομένων, την γνωστοποίηση παραβίασης, την εκτίμηση αντικτύπου και την προηγούμενη διαβούλευση με την Αρχή Προστασίας Δεδομένων) λαμβάνοντας υπ’ όψιν την φύση της επεξεργασίας, δ) κατ’ επιλογή του υπευθύνου επεξεργασίας, τη διαγραφή ή επιστροφή όλων των προσωπικών δεδομένων στον υπεύθυνο επεξεργασίας, μετά το πέρας της συμβατικής σχέσης ή της παροχής των υπηρεσιών, και τη διαγραφή όποιων αντιγράφων, εκτός των περιπτώσεων που η Κοινοτική ή Εθνική νομοθεσία απαιτεί τη διατήρηση των προσωπικών δεδομένων, ε) την παροχή στον υπεύθυνο επεξεργασίας όλων των απαραίτητων πληροφοριών του άρθρου 28 του Κανονισμού και στ) τη συμβολή του σε ελέγχους του υπευθύνου επεξεργασίας ή ελεγκτή που θα ορίσει ο υπεύθυνος επεξεργασίας.

4) ΜΕΤΑΓΕΝΕΣΤΕΡΟΙ ΕΚΤΕΛΟΥΝΤΕΣ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

Όταν από τη συμβατική σχέση, προκύπτει ότι είναι πιθανόν να εμπλακούν και άλλοι εκτελούντες την επεξεργασία, ως ανωτέρω αναφέρθηκε, σύμφωνα με τα άρθρα 28 (2) και 28 (4) του Κανονισμού, η σύμβαση μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία πρέπει να περιλαμβάνει τα ακόλουθα: α) ο πελάτης πρέπει να παρέχει προηγούμενη ειδική ή γενική άδεια στον προμηθευτή σχετικά με την προσθήκη άλλου εκτελούντος την επεξεργασία. Β) στην περίπτωση της γενικής έγγραφης άδειας, ο εκτελών την επεξεργασία πρέπει να ενημερώνει τον υπεύθυνο επεξεργασίας, για τις σκοπούμενες αλλαγές των άλλων εκτελούντων τη επεξεργασία, δίδοντας στον υπεύθυνο της επεξεργασίας το δικαίωμα της απόρριψης των αλλαγών αυτών. Γ) ο εκτελών την επεξεργασία έχει την υποχρέωση να επιβάλλει τις ίδιες ακριβώς συμβατικές υποχρεώσεις και στους λοιπούς εκτελούντες την επεξεργασία, δ) ο προμηθευτής έχει την κύρια ευθύνη έναντι του πελάτη, για οποιαδήποτε παραβίαση προσωπικών δεδομένων από τους λοιπούς εκτελούντες την επεξεργασία.

Με τιμή,

Μάριος Δ. Σιούφας

Δικηγόρος, LL.M.