Εκτελών επεξεργασία δεδομένων (Data Processor). Σε ποια σημεία γίνεται αναφορά στον εκτελούντα επεξεργασία δεδομένων εντός του κανονισμού GDPR.
Σημείο | Ελληνικά | Αγγλικά |
art.4. par.8 |
«εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας, | ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller |
art.28 |
1. Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων. 2. Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές. 3. Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας. Η εν λόγω σύμβαση ή άλλη νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία: α) | επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία· σε αυτήν την περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος, β) | διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας, γ) | λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32, δ) | τηρεί τους όρους που αναφέρονται στις παραγράφους 2 και 4 για την πρόσληψη άλλου εκτελούντος την επεξεργασία, ε) | λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του υποκειμένου των δεδομένων, στ) | συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία, ζ) | κατ' επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα, η) | θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας. Όσον αφορά το πρώτο εδάφιο στοιχείο η), ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων. 4. Όταν ο εκτελών την επεξεργασία προσλαμβάνει άλλον εκτελούντα για τη διενέργεια συγκεκριμένων δραστηριοτήτων επεξεργασίας για λογαριασμό του υπευθύνου επεξεργασίας, οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση ή στην άλλη νομική πράξη μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, κατά τα προβλεπόμενα στην παράγραφο 3, επιβάλλονται στον άλλον αυτόν εκτελούντα μέσω σύμβασης ή άλλης νομικής πράξης σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους, ιδίως ώστε να παρέχονται επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, ούτως ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού. Όταν ο άλλος εκτελών την επεξεργασία αδυνατεί να ανταποκριθεί στις σχετικές με την προστασία των δεδομένων υποχρεώσεις του, ο αρχικός εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του άλλου εκτελούντος την επεξεργασία. 5. Η τήρηση εκ μέρους του εκτελούντος την επεξεργασία εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί ότι παρέχει επαρκείς διαβεβαιώσεις σύμφωνα με τις παραγράφους 1 και 4 του παρόντος άρθρου. 6. Με την επιφύλαξη ατομικής σύμβασης μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 του παρόντος άρθρου μπορεί να βασίζεται, εν όλω ή εν μέρει, σε τυποποιημένες συμβατικές ρήτρες που αναφέρονται στις παραγράφους 7 και 8 του παρόντος άρθρου, μεταξύ άλλων όταν αποτελούν μέρος πιστοποίησης που χορηγείται στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία σύμφωνα με τα άρθρα 42 και 43. 7. Η Επιτροπή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2. 8. Μια εποπτική αρχή μπορεί να θεσπίσει τυποποιημένες συμβατικές ρήτρες για τα θέματα που αναφέρονται στις παραγράφους 3 και 4 του παρόντος άρθρου και σύμφωνα με τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63. 9. Η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 υφίσταται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή. 10. Με την επιφύλαξη των άρθρων 82, 83 και 84, εάν ο εκτελών την επεξεργασία καθορίσει κατά παράβαση του παρόντος κανονισμού τους σκοπούς και τα μέσα της επεξεργασίας, ο εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία. |
1. Where processing is to be carried out on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject. 2. The processor shall not engage another processor without prior specific or general written authorisation of the controller. In the case of general written authorisation, the processor shall inform the controller of any intended changes concerning the addition or replacement of other processors, thereby giving the controller the opportunity to object to such changes. 3. Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller. That contract or other legal act shall stipulate, in particular, that the processor: (a) | processes the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, unless required to do so by Union or Member State law to which the processor is subject; in such a case, the processor shall inform the controller of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest; (b) | ensures that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality; (c) | takes all measures required pursuant to Article 32; (d) | respects the conditions referred to in paragraphs 2 and 4 for engaging another processor; (e) | taking into account the nature of the processing, assists the controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the controller's obligation to respond to requests for exercising the data subject's rights laid down in Chapter III; (f) | assists the controller in ensuring compliance with the obligations pursuant to Articles 32 to 36 taking into account the nature of processing and the information available to the processor; (g) | at the choice of the controller, deletes or returns all the personal data to the controller after the end of the provision of services relating to processing, and deletes existing copies unless Union or Member State law requires storage of the personal data; (h) | makes available to the controller all information necessary to demonstrate compliance with the obligations laid down in this Article and allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller. With regard to point (h) of the first subparagraph, the processor shall immediately inform the controller if, in its opinion, an instruction infringes this Regulation or other Union or Member State data protection provisions. 4. Where a processor engages another processor for carrying out specific processing activities on behalf of the controller, the same data protection obligations as set out in the contract or other legal act between the controller and the processor as referred to in paragraph 3 shall be imposed on that other processor by way of a contract or other legal act under Union or Member State law, in particular providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that the processing will meet the requirements of this Regulation. Where that other processor fails to fulfil its data protection obligations, the initial processor shall remain fully liable to the controller for the performance of that other processor's obligations. 5. Adherence of a processor to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate sufficient guarantees as referred to in paragraphs 1 and 4 of this Article. 6. Without prejudice to an individual contract between the controller and the processor, the contract or the other legal act referred to in paragraphs 3 and 4 of this Article may be based, in whole or in part, on standard contractual clauses referred to in paragraphs 7 and 8 of this Article, including when they are part of a certification granted to the controller or processor pursuant to Articles 42 and 43. 7. The Commission may lay down standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the examination procedure referred to in Article 93(2). 8. A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article 63. 9. The contract or the other legal act referred to in paragraphs 3 and 4 shall be in writing, including in electronic form. 10. Without prejudice to Articles 82, 83 and 84, if a processor infringes this Regulation by determining the purposes and means of processing, the processor shall be considered to be a controller in respect of that processing. |
art.28. par.2. |
2. Κάθε εκτελών την επεξεργασία και, κατά περίπτωση, ο εκπρόσωπος του εκτελούντος την επεξεργασία τηρούν αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διεξάγονται εκ μέρους του υπευθύνου επεξεργασίας, το οποίο περιλαμβάνει τα εξής: α) | το όνομα και τα στοιχεία επικοινωνίας του εκτελούντος ή των εκτελούντων την επεξεργασία και των υπευθύνων επεξεργασίας εκ μέρους των οποίων ενεργεί ο εκτελών και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, καθώς και του υπευθύνου προστασίας δεδομένων, β) | τις κατηγορίες επεξεργασιών που διεξάγονται εκ μέρους κάθε υπευθύνου επεξεργασίας, γ) | όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων, δ) | όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 παράγραφος 1. 3. Τα αρχεία που αναφέρονται στις παραγράφους 1 και 2 υφίστανται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή. 4. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία και, κατά περίπτωση, ο εκπρόσωπος του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία θέτουν το αρχείο στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος. 5. Οι υποχρεώσεις που αναφέρονται στις παραγράφους 1 και 2 δεν ισχύουν για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 παράγραφος 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10. |
2. Each processor and, where applicable, the processor's representative shall maintain a record of all categories of processing activities carried out on behalf of a controller, containing: (a) | the name and contact details of the processor or processors and of each controller on behalf of which the processor is acting, and, where applicable, of the controller's or the processor's representative, and the data protection officer; (b) | the categories of processing carried out on behalf of each controller; (c) | where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards; (d) | where possible, a general description of the technical and organisational security measures referred to in Article 32(1). 3. The records referred to in paragraphs 1 and 2 shall be in writing, including in electronic form. 4. The controller or the processor and, where applicable, the controller's or the processor's representative, shall make the record available to the supervisory authority on request. 5. The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 250 persons unless the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects, the processing is not occasional, or the processing includes special categories of data as referred to in Article 9(1) or personal data relating to criminal convictions and offences referred to in Article 10. |
.
Καθορισμός (υποχρεώσεων) εκτελούντα την επεξεργασία προσωπικών δεδομένων:
- ο υπεύθυνος επεξεργασίας υπογράφει σύμβαση (γραπτά - ηλεκτρονικά) με τον εκτελούντα επεξεργασίας, καθορίζοντας:
- το αντικείμενο επεξεργασίας
- την διάρκεια επεξεργασίας
- την φύση της επεξεργασίας
- τον σκοπό της επεξεργασίας
- το είδος των προσωπικών δεδομένων
- τις κατηγορίες προσώπων
- τις υποχρεώσεις του υπεύθυνου επεξεργασίας
- τα δικαιώματα του υπεύθυνου επεξεργασίας
- στην σύμβαση καθορίζονται για τον εκτελούντα την επεξεργασία, ότι:
- θα διενεργεί επεξεργασία μόνο κατόπιν εγγράφων εντολών του υπευθύνου επεξεργασίας
- θα διαβιβάζει προσωπικά δεδομένα σε τρίτες χώρες μόνο κατόπιν εγγράφων εντολών του υπευθύνου επεξεργασίας
- θα διαβιβάζει προσωπικά δεδομένα σε διεθνείς οργανισμούς μόνο κατόπιν εγγράφων εντολών του υπευθύνου επεξεργασίας
- ή υποχρεούται να ενημερώνει τον υπεύθυνο επεξεργασίας ότι υπάρχει νόμος που του υπαγορεύει την επεξεργασία
- ή υποχρεούται να ενημερώνει τον υπεύθυνο επεξεργασίας ότι υπάρχει νόμος που του υπαγορεύει την διαβίβαση σε τρίτες χώρες
- ή υποχρεούται να ενημερώνει τον υπεύθυνο επεξεργασίας ότι υπάρχει νόμος που του υπαγορεύει την διαβίβαση σε διεθνείς οργανισμούς
- (εκτός αν υπάρχει νόμος που απαγορεύει την ενημέρωση για λόγους δημοσίου συμφέροντος)
- επίσης, στην σύμβαση καθορίζονται για τον εκτελούντα την επεξεργασία, ότι:
- θα διασφαλίζει την ύπαρξη εξουσιοδοτημένων προσώπων επεξεργασίας
- θα διασφαλίζει την δέσμευση των προσώπων αυτών για τήρηση εμπιστευτικότητας
- ή θα διασφαλίζει πως τα πρόσωπα αυτά τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας
- επιπλέον, στην σύμβαση καθορίζονται τα μέτρα ασφαλείας που λαμβάνει ο εκτελών την επεξεργασία, δηλαδή:
- ψευδωνυμοποίηση προσωπικών δεδομένων
- κρυπτογράφηση προσωπικών δεδομένων
- παροχή δυνατότητας διασφάλισης (αφορά τα συστήματα - υπηρεσίες επεξεργασίας σε συνεχή βάση):
- απορρήτου
- ακεραιότητας
- διαθεσιμότητας
- αξιοπιστίας
- παροχή δυνατότητας αποκατάστασης σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος:
- διαθεσιμότητας προσωπικών δεδομένων
- προσβασιμότητας προσωπικών δεδομένων
- τήρηση διαδικασιών διασφάλισης της ασφάλειας της επεξεργασίας με:
- τακτικές δοκιμές τεχνικών - οργανωτικών μέτρων
- εκτίμηση αποτελεσματικότητας τεχνικών - οργανωτικών μέτρων
- αξιολόγηση αποτελεσματικότητας τεχνικών - οργανωτικών μέτρων
- εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνοντας υπόψη τα ρίσκα που απορρέουν από την επεξεργασία προσωπικών δεδομένων, δηλαδή:
- τυχαία καταστροφή
- παράνομη καταστροφή
- απώλεια
- αλλοίωση
- κοινολόγηση ή προσπέλαση χωρίς άδεια με:
- διαβίβαση
- αποθήκευση
- υποβολή σε επεξεργασία
- απόδειξη συμμόρφωσης ως προς την ψευδωνυμοποίηση - κρυπτογράφηση, την διασφάλιση απορρήτου - ακεραιότητας - διαθεσιμότητας - αξιοπιστίας, επάρκεια & καταλληλότητα τεχνικών - οργανωτικών μέτρων, που διασφαλίζουν την προστασία των προσωπικών δεδομένων, είναι:
- η τήρηση εγκεκριμένου κώδικα δεοντολογίας, που περιλαμβάνει σχετικά με τα προσωπικά δεδομένα τα εξής:
- τη θεμιτή και με διαφάνεια επεξεργασία
- τα έννομα συμφέροντα
- τη συλλογή δεδομένων
- την ψευδωνυμοποίηση δεδομένων
- την ενημέρωση του κοινού και των υποκειμένων
- την άσκηση των δικαιωμάτων των υποκειμένων
- την ενημέρωση και την προστασία των παιδιών
- τα μέτρα και τις διαδικασίες προστασίας δεδομένων
- την γνωστοποίηση παραβιάσεων δεδομένων
- την διαβίβαση δεδομένων
- εξωδικαστικές διαδικασίες επίλυσης διαφορών
- εγκεκριμένος μηχανισμός πιστοποίησης, δηλαδή:
- πιστοποιητικό προστασίας δεδομένων
- σφραγίδα προστασίας δεδομένων
- σήμα προστασίας δεδομένων
- η τήρηση εγκεκριμένου κώδικα δεοντολογίας, που περιλαμβάνει σχετικά με τα προσωπικά δεδομένα τα εξής:
- λήψη μέτρων:
- τα φυσικά πρόσωπα που έχουν πρόσβαση σε προσωπικά δεδομένα ενεργούν υπό την εποπτεία του εκτελούντα την επεξεργασία
- τα φυσικά πρόσωπα που έχουν πρόσβαση σε προσωπικά δεδομένα ενεργούν κατόπιν γραπτής εντολής του υπευθύνου επεξεργασίας
- ή τα φυσικά πρόσωπα που έχουν πρόσβαση σε προσωπικά δεδομένα ενεργούν κατόπιν υποχρέωσης από νόμο
- επιπλέον, στην σύμβαση, ο εκτελών την επεξεργασία τηρεί τους εξής όρους για την πρόσληψη άλλου εκτελούντος την επεξεργασία, δηλαδή:
- δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας
- ενημερώνει τον υπεύθυνο επεξεργασίας για την ανάγκη προσθήκης ή αντικατάστασης άλλου εκτελούντα την επεξεργασία
- αν προσθέσει άλλον εκτελούντα επεξεργασίας υπογράφει μαζί του σύμβαση
- κάθε πρόσθετος εκτελών επεξεργασία είναι υπόλογος στον αρχικό εκτελών επεξεργασία
- για κάθε μη συμμόρφωση του πρόσθετου εκτελούντα επεξεργασία υπόλογος στον υπεύθυνο επεξεργασίας είναι ο αρχικός εκτελών επεξεργασία
- επιπλέον, στην σύμβαση, για τον εκτελούντα την επεξεργασία λαμβάνοντας υπόψη την φύση της επεξεργασίας, καθορίζεται ότι:
- επικουρεί τον υπεύθυνο επεξεργασίας στο να απαντά σε αιτήματα άσκησης δικαιωμάτων των υποκείμενων
- συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσής του για τις ακόλουθες υποχρεώσεις:
- τεχνικά - οργανωτικά μέτρα διασφάλισης της ασφάλειας της επεξεργασίας
- γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή
- ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων
- εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων
- προηγούμενη διαβούλευση με τις εποπτικές αρχές
- διαγράφει όλα τα προσωπικά δεδομένα, σύμφωνα με τις επιλογές του υπευθύνου επεξεργασίας
- επιστρέφει όλα τα προσωπικά δεδομένα στον υπεύθυνο επεξεργασίας, σύμφωνα με τις επιλογές του τελευταίου
- διαγράφει τα αντίγραφα των προσωπικών δεδομένων, σύμφωνα με τις επιλογές του υπευθύνου επεξεργασίας
- ή αποθηκεύει τα προσωπικά δεδομένα, αν απαιτείται από το νόμο
- θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης με το άρθρο 28 του κανονισμού (μορφή σύμβαση)
- επιτρέπει - διευκολύνει τους ελέγχους - επιθεωρήσεις, που διενεργούνται από τον υπεύθυνο επεξεργασίας
- ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλο νόμο
- επιπλέον, η σύμβαση μπορεί να βασίζεται μερικώς ή συνολικώς σε τυποποιημένες συμβατικές ρήτρες (μέρος πιστοποίησης του υπευθύνου ή εκτελούντα):
- της ευρωπαϊκής επιτροπής σύμφωνα με τη διαδικασία εξέτασης του άρθρου 93, παρ. 2, δηλαδή εφαρμόζεται το άρθρο 5 του κανονισμού (ΕΕ) αριθ. 182/2011
- μιας εποπτικής αρχής σύμφωνα με τον μηχανισμό συνεκτικότητας του άρθρου 63
- επιπλέον, στην σύμβαση, για τον εκτελούντα την επεξεργασία, καθορίζεται ότι θα τηρεί αρχείο με (εφόσον απασχολεί από 250 άτομα και άνω ή η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο στο υποκείμενο των δεδομένων ή η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων ή προσωπικά δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα):
- τα στοιχεία των υπευθύνων επεξεργασίας, των εκτελούντων επεξεργασία και του υπευθύνου προστασίας δεδομένων
- τις κατηγορίες επεξεργασιών
- τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα
- τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε διεθνή οργανισμό
- τον προσδιορισμό της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού
- την τεκμηρίωση των κατάλληλων εγγυήσεων
- γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας
- ο εκτελών επεξεργασία, κατά παράβαση του πλαισίου της σύμβασης, θεωρείται υπεύθυνος επεξεργασίας
.
Διάβασε επίσης:
Η Kemioteko Engineering δημιουργήθηκε ως απόσταγμα εμπειριών 14 ετών στην αδειοδότηση, κατασκευή και λειτουργία δημόσιων τεχνικών έργων και 8 ετών στο ελεύθερο επάγγελμα του μελετητή μηχανικού με εξειδίκευση στην αδειοδότηση και λειτουργία επιχειρήσεων. Αποστολή της Kemioteko Engineering - Χατζηλιόντος Ι. Χριστόδουλος είναι η δημιουργία πελατών, οπαδών της, βαθειά ικανοποιημένων, που θέλουν να κάνουν διαχρονικά τα σωστά πράγματα με τους κατάλληλους συνεργάτες.
Μητρώο Αξιολογητών ΓΓΕΤ- No 14856/95711/08-06-17