Το outsourcing και ο νέος Κανονισμός για τα προσωπικά δεδομένα (GDPR)

Οι βασικές υποχρεώσεις στη σύμβαση outsourcing αναφορικά με την επεξεργασία προσωπικών δεδομένων

ΣΥΝΤΑΚΤΗΣ:

Μάριος Σιούφας

ΔΗΜΟΣΙΕΥΣΗ:

18/05/2018 - 10:06

ΤΕΛΕΥΤΑΙΑ ΤΡΟΠΟΠΟΙΗΣΗ:

18/05/2018 - 10:07

ΠΕΡΙΕΧΟΜΕΝΑ

1. ΟΙ ΙΔΙΟΤΗΤΕΣ ΤΩΝ ΣΥΜΒΑΛΛΟΜΕΝΩΝ ΜΕΡΏΝ

2. ΒΑΣΙΚΕΣ ΥΠΟΧΡΕΩΣΕΙΣ ΣΤΗ ΣΥΜΒΑΣΗ OUTSOURCING ΑΝΑΦΟΡΙΚΑ ΜΕ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

3. ΛΟΙΠΕΣ ΥΠΟΧΡΕΩΣΕΙΣ

3. ΜΕΤΑΓΕΝΕΣΤΕΡΟΙ ΕΚΤΕΛΟΥΝΤΕΣ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

1 ) ΟΙ ΙΔΙΟΤΗΤΕΣ ΤΩΝ ΣΥΜΒΑΛΛΟΜΕΝΩΝ ΜΕΡΩΝ

Ο χαρακτηρισμός του πελάτη ως υπευθύνου επεξεργασίας και του προμηθευτή ως εκτελούντος την επεξεργασία.

Σύμφωνα με το άρθρο 28 Κανονισμού 679/2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, αποτελεί υποχρέωση του υπευθύνου επεξεργασίας να διασφαλίζει, ότι η σχέση του με τον εκτελούντα την επεξεργασία διέπεται από έγγραφη σύμβαση και ότι ο τελευταίος συμμορφώνεται με τις υποχρεώσεις του νόμου όπως αναφέρονται στη σχετική σύμβαση.

Στην Ευρωπαϊκή Ένωση αποτελεί κοινή πρακτική να θεωρείται στις συμβάσεις outsourcing, ο πελάτης ως υπεύθυνος επεξεργασίας και ο προμηθευτής ως εκτελών την επεξεργασία.

Αυτό πρακτικά σημαίνει ότι:

1) στη σύμβαση μπορεί να μην αναφέρεται ειδικώς οι ιδιότητες των μερών, αλλά θα πρέπει να υπάρχουν επαρκή στοιχεία, έτσι ώστε να συμπεραίνεται ότι ο πελάτης ασκεί τον κυρίαρχο ρόλο για τον καθορισμό των μέσων και των σκοπών της επεξεργασίας.

2) Ο Κανονισμός ρητά αναφέρει ότι η επεξεργασία από τον εκτελούντα την επεξεργασία πρέπει να διέπεται από σύμβαση ή άλλη νομική πράξη ή οποία δεσμεύει τον εκτελούντα και προδιαγράφει ορισμένες προϋποθέσεις.

Ο Κανονισμός θέτει ορισμένες υποχρεώσεις στους εκτελούντες την επεξεργασία, οι οποίες εφαρμόζονται ανεξαρτήτως των σχετικών συμβατικών όρων και περιλαμβάνουν τα ακόλουθα:

1. άρθρο 27- Υπό ορισμένες συνθήκες, όταν ο εκτελών την επεξεργασία δεν είναι εγκατεστημένος στην ΕΕ, πρέπει να ορίσει έναν εκπρόσωπο. (εκτός αν η επεξεργασία είναι περιστασιακή, δεν περιλαμβάνει σε μεγάλο βαθμό επεξεργασία ειδικών κατηγοριών δεδομένων και δεν ενδέχεται να προκαλέσει κίνδυνο στα δικαιώματα των φυσικών προσώπων)

2. άρθρο 28(2)- Ο εκτελών την επεξεργασία δεν μπορεί να προσλάβει άλλον εκτελούντα χωρίς την προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου της επεξεργασίας. Όταν δίδεται γενική γραπτή άδεια, ο εκτελών την επεξεργασία πρέπει να ενημερώνει τον υπεύθυνο επεξεργασίας για τις σκοπούμενες αλλαγές σχετικά με προσθήκες ή αντικαταστάσεις άλλων εκτελούντων την επεξεργασία, παρέχοντας έτσι στον υπεύθυνο επεξεργασίας τη δυνατότητα να αρνηθεί.

3. άρθρο 28 (3)- Όπως ήδη αναφέρθηκε, η επεξεργασία που γίνεται από τον εκτελούντα, για λογαριασμό του υπευθύνου, πρέπει να διέπεται από έγγραφη σύμβαση. Αυτή η σύμβαση πρέπει να περιέχει ειδικές πληροφορίες σχετικά με την επεξεργασία.

4. άρθρο 28 (4)- Όταν ο εκτελών την επεξεργασία χρησιμοποιεί άλλους εκτελούντες, οι ίδιες συμβατικές υποχρεώσεις σχετικά με τα προσωπικά δεδομένα πρέπει να δεσμεύουν εγγράφως τον άλλον εκτελούντα. Ο αρχικός εκτελών την επεξεργασία έχει την πλήρη ευθύνη έναντι του υπευθύνου επεξεργασίας, για τις ενέργειες των άλλων εκτελούντων.

5. άρθρο 29- Ο εκτελών την επεξεργασία ή οποιοσδήποτε που ενεργεί υπό τις οδηγίες του, δεν πρέπει να επεξεργάζονται προσωπικά δεδομένα, παρά μόνο υπό τις οδηγίες του υπευθύνου επεξεργασίας, εκτός αν υποχρεούται προς τούτο από το Ενωσιακό ή Εθνικό Δίκαιο.

6. άρθρο 30 (2)- Ο εκτελών την επεξεργασία ή ο εκπρόσωπός του, πρέπει να διατηρεί ένα αρχείο όλων των κατηγοριών προσωπικών δεδομένων που επεξεργάζεται για λογαριασμό του υπευθύνου επεξεργασίας. Το αρχείο αυτό πρέπει να επιδεικνύεται από τον εκτελούντα, στην Αρχή Προστασίας Δεδομένων, όταν αυτό απαιτηθεί. Η υποχρέωση αυτή δεν ισχύει για υπευθύνους που απασχολούν λιγότερους από 250 εργαζομένους, εκτός αν η επεξεργασία έχει υψηλό ρίσκο για τα δικαιώματα των φυσικών προσώπων.

7. άρθρο 31- Ο εκτελών την επεξεργασία πρέπει να συνεργάζεται με την Αρχή Προστασίας Δεδομένων.

8. άρθρο 32- Ο εκτελών την επεξεργασία πρέπει να υιοθετήσει τα κατάλληλα τεχνικά και οργανωτικά μέσα, ανάλογα των κινδύνων που υφίστανται από την επεξεργασία. Τα μέτρα αυτά μπορεί να περιλαμβάνουν: α) ψευδωνυμοποίηση και encryption, β) την δυνατότητα να διαβεβαιώσει τη συνεχή εμπιστευτικότητα, ασφάλεια και διαθεσιμότητα των συστημάτων και των υπηρεσιών, γ) αντίγραφα ασφάλειας και διαδικασίες disaster recovery και δ) συστηματικούς επανελέγχους των τεχνικών μέτρων που εφαρμόζονται στην επεξεργασία έτσι ώστε να διασφαλίζεται ότι παραμένουν κατάλληλα.

9. άρθρο 33- Ο εκτελών πρέπει να ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση προσωπικών δεδομένων.

10. άρθρο 37- Ο εκτελών την επεξεργασία πρέπει να ορίσει έναν υπεύθυνο προστασίας προσωπικών δεδομένων (DPO) όταν οι κύριες δραστηριότητες απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων σε μεγάλη κλίμακα ή όταν συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων. Όταν ορίζεται υπεύθυνος προστασίας, ο εκτελών την επεξεργασία πρέπει να δημοσιοποιήσει τα στοιχεία επικοινωνίας του πρώτου και να ενημερώσει την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

11. άρθρο 38- Ο εκτελών την επεξεργασία πρέπει να βεβαιώνει ότι ο υπεύθυνος προστασίας προσωπικών δεδομένων συμμετέχει σε όλα τα θέματα που σχετίζονται με τα προσωπικά δεδομένα και πρέπει να του παρέχεται η αναγκαία στήριξη.

12. άρθρο 44 και 49- Οι εκτελούντες πρέπει να συμμορφώνονται με τις διατάξεις του Κανονισμού σχετικά με τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες.

2. ΒΑΣΙΚΕΣ ΥΠΟΧΡΕΩΣΕΙΣ ΣΤΗ ΣΥΜΒΑΣΗ OUTSOURCING ΑΝΑΦΟΡΙΚΑ ΜΕ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 

Από την πλευρά του υπευθύνου επεξεργασίας, είναι ιδιαίτερα σημαντικό οι σχετικές υποχρεώσεις που αναλαμβάνει ο εκτελών την επεξεργασία να είναι όσο πιο ξεκάθαρες γίνεται. Τούτο εξάλλου γίνεται δεκτό και στον Κανονισμό, όπου στο άρθρο 28 (3) αναφέρονται οι ειδικές προβλέψεις που πρέπει να περιλαμβάνονται στη σχετική σύμβαση.

Α) ΔΙΕΝΕΡΓΕΙΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΥΠΟ ΤΙΣ ΕΓΓΡΑΦΕΣ ΟΔΗΓΙΕΣ ΤΟΥ ΥΠΕΥΘΥΝΟΥ ΕΠΕΞΕΡΓΑΣΙΑΣ

Με σκοπό τον σαφή διαχωρισμό της ιδιότητας του υπευθύνου επεξεργασίας (δηλαδή, του πελάτη) και του εκτελούντος της επεξεργασία (δηλαδή του προμηθευτή), είναι σημαντικό σε όλες τις συμβάσεις outsourcing να προκύπτει με σαφήνεια ποιος ασκεί τον έλεγχο αναφορικά με τα προσωπικά δεδομένα. Αυτή είναι μία προϋπόθεση που θέτει ο Κανονισμός, και άρα η σχετική σύμβαση πρέπει να περιλαμβάνει όρο, σύμφωνα με τον οποίο, ο προμηθευτής θα επεξεργάζεται τα προσωπικά δεδομένα, μόνον υπό τις έγγραφες οδηγίες του πελάτη. Οι οδηγίες αυτές μπορεί να είναι γενικές, αλλά όσο πιο συγκεκριμένες γίνονται, τόσο πιο εύκολο θα είναι για τον πελάτη να αποδείξει την ιδιότητα του υπευθύνου επεξεργασίας.

Β) ΕΦΑΡΜΟΓΗ ΚΑΤΑΛΛΗΛΩΝ ΤΕΧΝΙΚΩΝ ΚΑΙ ΟΡΓΑΝΩΤΙΚΩΝ ΜΕΤΡΩΝ

Η εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων αποτελεί μία από τις κυριότερες υποχρεώσεις του Κανονισμού 679/2016. Λόγω της βαρύτητας που δίδεται σε παραβιάσεις ασφάλειας δεδομένων, είναι εύλογο για τους υπευθύνους επεξεργασίας, να βασίζονται στην εμπειρία του προμηθευτή, να αποφασίζει εκείνος τα ειδικότερα μέτρα ασφάλειας που θα εφαρμόζει αλλά και να απαιτεί από αυτόν να αναγνωρίσει: α) ότι ο πελάτης επαφίεται στην γνώση και την επιδεξιότητα του προμηθευτή να κρίνει τι είναι «κατάλληλο» για να προστατεύσει τα προσωπικά δεδομένα από παράνομη επεξεργασία και από τυχαία καταστροφή, ζημία, τροποποίηση ή κοινολόγηση, και β) ότι τα τεχνικά και οργανωτικά μέτρα πρέπει να είναι κατάλληλα για τη ζημία που μπορεί να προκύψει από μη εγκεκριμένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή ζημία στα προσωπικά δεδομένα και επίσης κατάλληλα για τη φύση των προσωπικών δεδομένων που θα προστατεύονται.

Επιπροσθέτως, κατά την εφαρμογή των κατάλληλων τεχνικών και οργανωτικών μέτρων, μπορεί να απαιτείται από τον προμηθευτή να λαμβάνει υπ’ όψιν του : α) την ευαίσθητη φύση των προσωπικών δεδομένων και την μεγάλη ζημία που τυχόν θα προκύψει από την παράνομη επεξεργασία και από την τυχαία καταστροφή, ζημία, τροποποίηση ή κοινολόγηση, και β) την κατάσταση της τεχνολογικής ανάπτυξης και το κόστος εφαρμογής τέτοιων μέτρων.

Γ) ΑΞΙΟΛΟΓΗΣΗ ΥΠΑΛΛΗΛΩΝ

Άρρηκτα συνδεδεμένο με τα οργανωτικά μέτρα ασφάλειας, αποτελεί και το έργο της αξιολόγησης των υπαλλήλων του εκτελούντος την επεξεργασία. Αποτελεί κοινή πρακτική, η ανάληψη ειδικών υποχρεώσεων του προμηθευτή σχετικά με την καταλληλόλητα των εργαζομένων του και των μεταγενέστερων εκτελούντων την επεξεργασία. Ειδικότερα απαιτείται ο προμηθευτής να διαβεβαιώσει τον πελάτη: α) για την αξιοπιστία των εργαζομένων και των υπαλλήλων των μεταγενέστερων εκτελούντων την επεξεργασία, οι οποίοι έχουν πρόσβαση στα προσωπικά δεδομένα του πελάτη, β) ότι όλοι οι εργαζόμενοι και το προσωπικό του εκτελούντος την επεξεργασία, που σχετίζονται με την επεξεργασία των προσωπικών δεδομένων, έχουν κατάλληλα εκπαιδευτεί και γ) ότι όλοι οι εργαζόμενοι και το προσωπικό του εκτελούντος την επεξεργασία, ασκούν τα καθήκοντά τους συμμορφωμένοι με τις εφαρμοστέες ρήτρες εμπιστευτικότητας της μεταξύ τους σύμβασης και θεωρούν τα προσωπικά δεδομένα του πελάτη εμπιστευτικές πληροφορίες.

3) ΛΟΙΠΕΣ ΥΠΟΧΡΕΩΣΕΙΣ

Επιπρόσθετα των ανωτέρω βασικών υποχρεώσεων, η σύμβαση outsourcing πρέπει να περιλαμβάνει όρους που επιβάλλουν στον εκτελούντα την επεξεργασία: α) την συμμόρφωσή του με τις διατάξεις του Κανονισμού όσον αφορά τον ορισμό άλλων εκτελούντων την επεξεργασία, β) την παροχή συνδρομής στον υπεύθυνο επεξεργασίας, δια της εφαρμογής κατάλληλων οργανωτικών και τεχνικών μέσων, με σκοπό να του επιτρέπουν να απαντάει σε φυσικά πρόσωπα που επιθυμούν να ασκήσουν τα δικαιώματά τους σύμφωνα με τον Κανονισμό, γ) την παροχή βοήθειας στον υπεύθυνο επεξεργασίας για τη διασφάλιση της συμμόρφωσης με τις υποχρεώσεις των άρθρων 32 έως 36 (σχετικά με την ασφάλεια των δεδομένων, την γνωστοποίηση παραβίασης, την εκτίμηση αντικτύπου και την προηγούμενη διαβούλευση με την Αρχή Προστασίας Δεδομένων) λαμβάνοντας υπ’ όψιν την φύση της επεξεργασίας, δ) κατ’ επιλογή του υπευθύνου επεξεργασίας, τη διαγραφή ή επιστροφή όλων των προσωπικών δεδομένων στον υπεύθυνο επεξεργασίας, μετά το πέρας της συμβατικής σχέσης ή της παροχής των υπηρεσιών, και τη διαγραφή όποιων αντιγράφων, εκτός των περιπτώσεων που η Κοινοτική ή Εθνική νομοθεσία απαιτεί τη διατήρηση των προσωπικών δεδομένων, ε) την παροχή στον υπεύθυνο επεξεργασίας όλων των απαραίτητων πληροφοριών του άρθρου 28 του Κανονισμού και στ) τη συμβολή του σε ελέγχους του υπευθύνου επεξεργασίας ή ελεγκτή που θα ορίσει ο υπεύθυνος επεξεργασίας.

4) ΜΕΤΑΓΕΝΕΣΤΕΡΟΙ ΕΚΤΕΛΟΥΝΤΕΣ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ

Όταν από τη συμβατική σχέση, προκύπτει ότι είναι πιθανόν να εμπλακούν και άλλοι εκτελούντες την επεξεργασία, ως ανωτέρω αναφέρθηκε, σύμφωνα με τα άρθρα 28 (2) και 28 (4) του Κανονισμού, η σύμβαση μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία πρέπει να περιλαμβάνει τα ακόλουθα:

α) ο πελάτης πρέπει να παρέχει προηγούμενη ειδική ή γενική άδεια στον προμηθευτή σχετικά με την προσθήκη άλλου εκτελούντος την επεξεργασία.

β) στην περίπτωση της γενικής έγγραφης άδειας, ο εκτελών την επεξεργασία πρέπει να ενημερώνει τον υπεύθυνο επεξεργασίας, για τις σκοπούμενες αλλαγές των άλλων εκτελούντων τη επεξεργασία, δίδοντας στον υπεύθυνο της επεξεργασίας το δικαίωμα της απόρριψης των αλλαγών αυτών.

γ) ο εκτελών την επεξεργασία έχει την υποχρέωση να επιβάλλει τις ίδιες ακριβώς συμβατικές υποχρεώσεις και στους λοιπούς εκτελούντες την επεξεργασία,

δ) ο προμηθευτής έχει την κύρια ευθύνη έναντι του πελάτη, για οποιαδήποτε παραβίαση προσωπικών δεδομένων από τους λοιπούς εκτελούντες την επεξεργασία.