Πώς μπορεί κάποιος να καθορίσει εάν είναι απαραίτητο να υπογράψει μια συμφωνία επεξεργασίας με τους προμηθευτές και τους πελάτες του; Για να απαντήσουμε σε αυτό το ερώτημα, πρέπει να εξετάσουμε αν είμαστε ή όχι, «Υπεύθυνος Επεξεργασίας», δηλαδή, αν η επιχείρησή μας καθορίζει το σκοπό και τα μέσα της επεξεργασίας. Σκοπός αυτής της διάκρισης είναι η σαφής κατανομή αρμοδιοτήτων όσον αφορά τους ρόλους που προβλέπονται από το GDPR στις περιπτώσεις όπου πολλές οντότητες (ρόλοι) συνεργάζονται για τη διαχείριση προσωπικών δεδομένων.
Το άρθρο 4 του GDPR (Γενικός Κανονισμός Προστασίας Δεδομένων) , όμως, μας λέει ότι υπάρχει και ο «Εκτελών την Επεξεργασία», δηλαδή, ένα φυσικό ή νομικό πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του Υπεύθυνου Επεξεργασίας που είδαμε παραπάνω
Πρακτικά, αυτό σημαίνει ότι, όταν υπάρχει μία παροχή υπηρεσιών από τη μία επιχείρηση προς την άλλη, αναγκαστικά, η μία θα καθορίζει το σκοπό της επεξεργασίας και η άλλη θα εκτελεί. Έτσι, η πρώτη επιχείρηση θα είναι «Υπεύθυνος Επεξεργασίας» και η δεύτερη Εκτελών την Επεξεργασία».
Παραδείγματα
Παράδειγμα : Η τράπεζα Χ, διαβιβάζει προσωπικά δεδομένα οφειλετών δανείων προς δικηγορική εταιρεία Ψ, προκειμένου να εκτελέσει η τελευταία την είσπραξη απαιτήσεων για λογαριασμό της πρώτης.
Όταν υπάρχει ένα τέτοιο σχήμα, είναι απαραίτητο να προϋπάρχει έγγραφη δέσμευση (μέσω σύμβασης), όπου ο Εκτελών την Επεξεργασία (η δικηγορική εταιρεία, στο παράδειγμά μας), θα δεσμεύεται έναντι του Υπεύθυνου Επεξεργασίας (της τράπεζας, στο παράδειγμά μας) με τους όρους του άρθρου 28 του Κανονισμού.
Τι λέει το άρθρο 28; Περιγράφει τα τεχνικά και οργανωτικά μέτρα που πρέπει, πλέον να εφαρμόσει στην επιχείρησή του ο Εκτελών την Επεξεργασία, προκειμένου να του επιτραπεί από τον GDPR, να συνεργασθεί με τον Υπεύθυνο Επεξεργασίας.
Ναι, καλά καταλάβατε : Χωρίς έγγραφη σύμβαση με συγκεκριμένες δεσμεύσεις και εγγυήσεις από τον Εκτελούντα την Επεξεργασία, κανένα προσωπικό δεδομένο δεν μπορεί πλέον να διαβιβάζεται (αποστέλλεται) από τη μία επιχείρηση στην άλλη.
Τα πράγματα γίνονται ακόμη πιο αυστηρά, βέβαια, και οι συμβάσεις πολύ πιο δεσμευτικές και περιοριστικές, όταν έχουμε να κάνουμε με ειδικές κατηγορίες δεδομένων (τα, λεγόμενα, «ευαίσθητα», κατά την παλιά νομοθεσία), δηλαδή, δεδομένα υγείας, βιομετρικά, γενετικά, εθνοτικά, καταγωγής, συμμετοχής σε σωματεία ή συνδικαλιστικές ενώσεις κ.α).
Πηγή-περισσότερα στο mononews.gr
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου