Απάντηση
Κάποιος άλλος (φυσικό ή νομικό πρόσωπο ή άλλος φορέας) μπορεί να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εκ μέρους σας με την προϋπόθεση ότι υπάρχει σύμβαση ή άλλη νομική πράξη. Είναι σημαντικό ο εκτελών την επεξεργασία που διορίζετε να παρέχει επαρκείς εγγυήσεις για την υλοποίηση κατάλληλων τεχνικών και οργανωτικών μέτρων έτσι ώστε να διασφαλίζεται ότι η επεξεργασία θα γίνεται σύμφωνα με τα πρότυπα του Γενικού Κανονισμού για την Προστασία των Δεδομένων (ΓΚΠΔ) και να παρέχονται εγγυήσεις για την προστασία των δικαιωμάτων των φυσικών προσώπων.
Ο διορισμένος εκτελών την επεξεργασία δεν μπορεί στη συνέχεια να διορίσει άλλον εκτελούντα την επεξεργασία χωρίς προηγουμένως να ζητήσει ειδική ή γενική γραπτή άδεια από την εταιρεία ή τον οργανισμό σας. Η σύμβαση ή η νομική πράξη ανάμεσα στην εταιρεία ή τον οργανισμό σας και τον εκτελούντα την επεξεργασία πρέπει να συμπεριλαμβάνει τις εξής πρόνοιες:
- η επεξεργασία μπορεί να πραγματοποιείται μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας·
- ο εκτελών την επεξεργασία διασφαλίζει ότι τα άτομα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας·
- ο εκτελών την επεξεργασία πρέπει να προσφέρει ένα ελάχιστο επίπεδο ασφάλειας το οποίο καθορίζεται από τον υπεύθυνο επεξεργασίας·
- ο εκτελών την επεξεργασία πρέπει να συμβάλλει στη διασφάλιση της συμμόρφωσης με τον ΓΚΠΔ.
Παραδείγματα
Μια κατασκευαστική εταιρεία χρησιμοποιεί υπεργολάβο για συγκεκριμένες κατασκευαστικές εργασίες και του παρέχει τα στοιχεία επικοινωνίας των πελατών στους οποίους χρειάζεται να πραγματοποιηθούν οι κατασκευαστικές εργασίες. Ο υπεργολάβος χρησιμοποιεί περαιτέρω τα δεδομένα για να αποστείλει στους πελάτες υλικό εμπορικής προώθησης. Ο υπεργολάβος σε αυτήν την περίπτωση δεν θεωρείται μόνο ως «εκτελών την επεξεργασία» σύμφωνα με τον ΓΚΠΔ, καθώς δεν επεξεργάζεται μόνο δεδομένα προσωπικού χαρακτήρα εκ μέρους της κατασκευαστικής εταιρείας, αλλά τα επεξεργάζεται περαιτέρω για δικούς του σκοπούς. Επομένως, ο υπεργολάβος ενεργεί ως «υπεύθυνος επεξεργασίας δεδομένων».
Είστε εταιρεία λιανικής πώλησης που αποφασίζει να αποθηκεύσει αντίγραφο ασφαλείας της βάσης δεδομένων των πελατών σε διακομιστή νέφους. Για αυτόν τον σκοπό, συνάπτετε σύμβαση με έναν πάροχο υπηρεσιών νέφους που είναι γνωστός για τα υψηλά πρότυπα προστασίας δεδομένων που εφαρμόζει και ο οποίος διαθέτει επίσης πιστοποιημένο σύστημα κρυπτογράφησης δεδομένων. Ο πάροχος υπηρεσιών νέφους είναι ο εκτελών την επεξεργασία καθώς, αποθηκεύοντας τα δεδομένα προσωπικού χαρακτήρα των πελατών σας στους διακομιστές του, θα επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εκ μέρους σας.
Παραπομπές
Examples
A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’.
You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf.