Τι είναι ο Υπεύθυνος Επεξεργασίας σύμφωνα με τον GDPR;

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) ορίζει τον υπεύθυνο επεξεργασίας δεδομένων ως "ένα πρόσωπο, δημόσια αρχή, οργανισμό ή άλλο φορέα ο οποίος, μόνος του ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα" (Ευρωπαϊκό Κοινοβούλιο και Συμβούλιο, 2016). Αυτός ο ρόλος συνεπάγεται την ευθύνη για την απόφαση γιατί και πώς γίνεται η επεξεργασία των προσωπικών δεδομένων. Ο υπεύθυνος επεξεργασίας δεδομένων όχι μόνο προσδιορίζει τον σκοπό της χρήσης των δεδομένων, αλλά καθορίζει επίσης το εύρος των δεδομένων που είναι απαραίτητα για την επίτευξη αυτού του σκοπού.

Για παράδειγμα, μια μικρή επιχείρηση που διαχειρίζεται πληροφορίες πελατών για την εκτέλεση παραγγελιών αποστολής χαρακτηρίζεται ως υπεύθυνος επεξεργασίας δεδομένων. Σε τέτοιες περιπτώσεις, η επιχείρηση αποφασίζει τον σκοπό (αποστολή προϊόντων) και καθορίζει ποια δεδομένα (π.χ., όνομα, διεύθυνση) είναι απαραίτητα. Όταν αυτή η επιχείρηση αναθέτει την αποστολή σε τρίτο μέρος, αυτό το τρίτο μέρος ενεργεί ως εκτελών την επεξεργασία, εκτελώντας καθήκοντα για λογαριασμό του υπεύθυνου επεξεργασίας χωρίς να αποφασίζει για τον σκοπό ή τα μέσα των δεδομένων.

Ο GDPR επιβάλλει ότι οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να έχουν νόμιμη βάση για την επεξεργασία προσωπικών δεδομένων, όπως:

• Συγκατάθεση του υποκειμένου των δεδομένων,
• Έννομο συμφέρον που επιδιώκεται από τον υπεύθυνο επεξεργασίας,
• Συμμόρφωση με έννομη υποχρέωση,
• Εκτέλεση σύμβασης.

Οι υπεύθυνοι επεξεργασίας είναι υποχρεωμένοι να διασφαλίζουν ότι η επεξεργασία είναι νόμιμη, δίκαιη και διαφανής. Επιπλέον, πρέπει να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένη πρόσβαση, κακή χρήση ή αποκάλυψη. Αυτές οι ευθύνες δίνουν έμφαση στη λογοδοσία και την προστασία των δεδομένων εκ σχεδιασμού και εξ ορισμού (Voigt & von dem Bussche, 2017).

Οι βασικές ευθύνες ενός υπεύθυνου επεξεργασίας δεδομένων περιλαμβάνουν:

• Καθορισμός των σκοπών και των μέσων της επεξεργασίας,
• Θέσπιση νόμιμων βάσεων για την επεξεργασία,
• Διασφάλιση της διαφάνειας προς τα υποκείμενα των δεδομένων,
• Εφαρμογή μέτρων ασφαλείας,
• Διαχείριση των δικαιωμάτων των υποκειμένων των δεδομένων, όπως η πρόσβαση, η διόρθωση και η διαγραφή.

Η μη ορθή εκπλήρωση αυτών των καθηκόντων μπορεί να οδηγήσει σε σημαντικές κυρώσεις στο πλαίσιο της επιβολής του GDPR.

Αυτό το πλαίσιο οριοθετεί σαφώς τον ρόλο του υπεύθυνου επεξεργασίας δεδομένων ως κεντρικό για τη συμμόρφωση με τον GDPR, διασφαλίζοντας τον έλεγχο της επεξεργασίας προσωπικών δεδομένων και προστατεύοντας ταυτόχρονα τα ατομικά δικαιώματα ιδιωτικότητας.

Αναφορές:

• Ευρωπαϊκό Κοινοβούλιο και Συμβούλιο. (2016). Κανονισμός (ΕΕ) 2016/679 (Γενικός Κανονισμός για την Προστασία Δεδομένων). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679

• Voigt, P., & von dem Bussche, A. (2017). Ο Γενικός Κανονισμός για την Προστασία Δεδομένων της ΕΕ (GDPR): Ένας Πρακτικός Οδηγός. Springer. https://link.springer.com/book/10.1007/978-3-319-57959-7