Τι είναι ένας εκτελών την επεξεργασία δεδομένων σύμφωνα με τον GDPR;

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) ορίζει ρητά τον εκτελούντα την επεξεργασία δεδομένων ως «ένα πρόσωπο, οργανισμό, δημόσια αρχή ή οποιονδήποτε άλλο φορέα που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας δεδομένων» (Κανονισμός (ΕΕ) 2016/679, Άρθρο 4(8)). Αυτός ο ορισμός τονίζει τον ρόλο του εκτελούντος την επεξεργασία ως οντότητας που δεν κατέχει ούτε ελέγχει τα δεδομένα, αλλά ενεργεί αυστηρά υπό τις οδηγίες του υπευθύνου επεξεργασίας.

Κεντρική θέση στο πλαίσιο του GDPR κατέχει η διάκριση μεταξύ των υπευθύνων επεξεργασίας δεδομένων και των εκτελούντων την επεξεργασία δεδομένων. Ενώ οι υπεύθυνοι επεξεργασίας καθορίζουν τους σκοπούς και τα μέσα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, οι εκτελούντες την επεξεργασία απλώς εκτελούν τις εργασίες επεξεργασίας. Αυτή η διάκριση είναι κρίσιμη διότι διαμορφώνει το εύρος των νομικών ευθυνών και των κανονιστικών υποχρεώσεων. Οι εκτελούντες την επεξεργασία δεδομένων, αν και δεν είναι υπόλογοι για τη συνολική συμμόρφωση με τον ίδιο τρόπο που είναι οι υπεύθυνοι επεξεργασίας, υποχρεούνται βάσει του Άρθρου 28 να:

• Εφαρμόζουν κατάλληλα οργανωτικά και τεχνικά μέτρα για τη διασφάλιση της ασφάλειας των δεδομένων.
• Επεξεργάζονται δεδομένα μόνο βάσει τεκμηριωμένων οδηγιών από τον υπεύθυνο επεξεργασίας.
• Τηρούν αρχεία των δραστηριοτήτων επεξεργασίας.
• Συνεργάζονται με τις εποπτικές αρχές όταν είναι απαραίτητο.

Παραδείγματα που αναφέρονται συχνά για εκτελούντες την επεξεργασία δεδομένων περιλαμβάνουν υπηρεσίες τρίτων όπως:

• Εργαλεία ανάλυσης (π.χ., Google Analytics)
• Πάροχοι λογιστικού λογισμικού
• Λογισμικό διαχείρισης ανθρώπινου δυναμικού
• Εργαλεία έρευνας αγοράς

Αυτοί οι εκτελούντες την επεξεργασία διαχειρίζονται δεδομένα προσωπικού χαρακτήρα σύμφωνα με συμβατικές συμφωνίες, αλλά δεν αποφασίζουν τον σκοπό ή τα μέσα της επεξεργασίας, γεγονός που τους διακρίνει από τους υπεύθυνους επεξεργασίας (Voigt & Von dem Bussche, 2017).

Το νομικό πλαίσιο επιφορτίζει τους εκτελούντες την επεξεργασία με την ευθύνη να διατηρούν υψηλά πρότυπα προστασίας δεδομένων, αλλά δεν τους παρέχει την αυτονομία να λαμβάνουν αποφάσεις σχετικά με τη χρήση των δεδομένων. Αυτό περιορίζει την ευθύνη των εκτελούντων την επεξεργασία κυρίως στην τήρηση των οδηγιών του υπευθύνου επεξεργασίας και στη συμμόρφωση με τον GDPR στις δραστηριότητες επεξεργασίας τους. Η μη συμμόρφωση μπορεί να οδηγήσει σε κυρώσεις, υπογραμμίζοντας τον κρίσιμο ρόλο τους στο οικοσύστημα προστασίας δεδομένων (Kuner, 2018).

Συνοπτικά, ο GDPR τοποθετεί τους εκτελούντες την επεξεργασία δεδομένων ως οντότητες που εκτελούν εργασίες επεξεργασίας υπό την καθοδήγηση των υπευθύνων επεξεργασίας, επιβάλλοντας την αυστηρή τήρηση των μέτρων ασφαλείας και των νόμιμων οδηγιών, χωρίς να έχουν την κυριότητα ή την εξουσία λήψης αποφάσεων επί των προσωπικών δεδομένων που διαχειρίζονται.