Πότε είναι υπεύθυνοι επεξεργασίας και πότε εκτελούντες; Διευκρινίσεις από την κυπριακή Αρχή Προστασίας Δεδομένων
Διευκρινίσεις αναφορικά με τον ρόλο των Λογιστών / Ελεγκτών και των Δικηγόρων με βάση τον Γενικό Κανονισμό για την Προστασία Δεδομένων παρέχει το Γραφείο της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Κυπριακής Δημοκρατίας.
Αξίζει να σημειωθεί ότι το ζήτημα του χαρακτηρισμού των επαγγελματιών αυτών ως υπευθύνων ή εκτελούντων την επεξεργασία έχει προκαλέσει συζητήσεις και στην Ελλάδα.
Υπεύθυνος επεξεργασίας είναι το φυσικό ή νομικό πρόσωπο που καθορίζει τον σκοπό και τον τρόπο επεξεργασίας προσωπικών δεδομένων
Εκτελών την επεξεργασία είναι το φυσικό ή νομικό πρόσωπο που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του υπευθύνου επεξεργασίας.
Στο εγχειρίδιο που δημοσίευσε ο Δικηγορικός Σύλλογος Αθηνών τον Ιούνιο, διατυπώθηκε η άποψη ότι ο δικηγόρος, με την ιδιότητά του ως Υπευθύνου Επεξεργασίας, επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, είτε μία υπόθεση αφορά και εμπλέκει αμιγώς φυσικά πρόσωπα είτε αφορά νομικά πρόσωπα, καθώς ακόμη και στην τελευταία αυτή περίπτωση το σχετικό αρχείο περιλαμβάνει, σχεδόν ανεξαιρέτως, στοιχεία νομίμων εκπροσώπων, προσώπων που συμμετέχουν στη διοίκηση, συνεργατών κ.α.
Σύμφωνα με την κυπριακή Αρχή, η απάντηση στο ερώτημα μπορεί να δοθεί μόνο από τον ίδιο τον οργανισμό, καθώς ο ρόλος πρέπει να αξιολογείται σε σχέση µε τις συγκεκριμένες δραστηριότητές του και τα συγκεκριμένα σύνολα δεδοµένων ή πράξεις επεξεργασίας.
Η Αρχή παρέχει επίσης καθοδηγητικά ερωτήματα αλλά και παραδείγματα για τις πράξεις επεξεργασίας που αφορούν σε δικηγόρους και λογιστές.
Ενδεικτικά:
1. Δικηγόρος/Δικηγορικό Γραφείο που εκπροσωπεί τον πελάτη του ενώπιον Δικαστηρίου και συλλέγει και επεξεργάζεται δεδομένα αποκλειστικά για το σκοπό αυτό θα πρέπει να θεωρείται υπεύθυνος επεξεργασίας.
2. Δικηγόρος/ Δικηγορικό Γραφείο που παρέχει άλλου είδους υπηρεσίες όπως για παράδειγμα νομικές συμβουλές, κατάρτιση συμβολαίων και γενικά εξωδικαστηριακές διευθετήσεις θα πρέπει να θεωρείται εκτελών την επεξεργασία.
3. Π.χ Λογιστές /Ελεγκτές για το σύνολο των πελατών τους αναφορικά με τις πληροφορίες που περιλαμβάνονται στους λογαριασμούς των πελατών τους θα πρέπει να θεωρούνται υπεύθυνοι επεξεργασίας.
4. Π.χ Λογιστές /Ελεγκτές στο πλαίσιο της παροχής λογιστικών /ελεγκτικών υπηρεσιών κατ’εντολή των πελατών τους θα πρέπει να θεωρούνται εκτελούντες την επεξεργασία.
Αναλυτικά η ανακοίνωση του Γραφείου της Επιτρόπου:
Το Γραφείο μου καθημερινά γίνεται λήπτης ερωτημάτων από Λογιστικά/ Ελεγκτικά και Δικηγορικά Γραφεία σχετικά με το ρόλο και την ιδιότητά τους κατά την επεξεργασία προσωπικών δεδομένων με βάση το ΓΚΠΔ.
Βασικό Ερώτημα: Η εταιρεία μου, ο οίκος μου ή Δικηγορική εταιρεία μου υπέχει ρόλο υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία.
Υπεύθυνος επεξεργασίας με απλά λόγια είναι το φυσικό ή νομικό πρόσωπο που καθορίζει το σκοπό και τον τρόπο της επεξεργασίας.
Εκτελών την επεξεργασία είναι το φυσικό ή νομικό πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
Η απάντηση στο βασικό ερώτημα μπορεί να δοθεί μόνο από τον ίδιο τον οργανισμό.
Καθοδηγητικά ερωτήματα οι απαντήσεις στα οποία ξεκλειδώνουν την απάντηση στο βασικό ερώτημα:
1. Έχετε αποφασίσει τη συλλογή των προσωπικών δεδομένων και έχετε ήδη αναγνωρίσει τη νομική βάση για το σκοπό αυτό;
2. Έχετε αποφασίσει ποιες κατηγορίες προσωπικών δεδομένων θα συλλεγούν και από ποιες πηγές;
3. Έχετε αποφασίσει το σκοπό /σκοπούς της επεξεργασίας;
4. Έχετε αποφασίσει τις κατηγορίες των υποκειμένων των δεδομένων που αφορούν τα προσωπικά δεδομένα;
5. Έχετε αποφασίσει για το ενδεχόμενο να κοινοποιούνται τα προσωπικά δεδομένα σε αποδέκτες ή μη καθώς και τη νομική βάση για την κοινοποίησή τους;
6. Έχετε αποφασίσει σχετικά με την ικανοποίηση των δικαιωμάτων και των αιτημάτων των υποκειμένων των δεδομένων και ενεργοποιήσατε μηχανισμούς και διαδικασίες για το σκοπό αυτό;
7. Έχετε αποφασίσει τη συλλογή και επεξεργασία προσωπικών δεδομένων με βάση καθήκον ή υποχρέωση που σας έχει ανατεθεί σύμφωνα με πρωτογενή / δευτερογενή ή ενωσιακή νομοθεσία;
8. Έχετε αποφασίσει σχετικά με το χρόνο αποθήκευσης των προσωπικών δεδομένων;
9. Έχετε αποφασίσει τη συλλογή και επεξεργασία προσωπικών δεδομένων με βάση όρους συγκεκριμένης σύμβασης;
10. Έχετε και /ή ασκείτε ουσιαστικό έλεγχο επί των εργασιών της επεξεργασίας;
Οι θετικές απαντήσεις στα πιο πάνω ερωτήματα έχουν ξεκλειδώσει την ιδιότητα του «υπεύθυνου επεξεργασίας».
Ενδεικτικά αναφέρονται τα κάτωθι παραδείγματα: ΔΙΚΗΓΟΡΟΙ
1. Π.χ Δικηγόρος/Δικηγορικό Γραφείο που εκπροσωπεί τον πελάτη του ενώπιον Δικαστηρίου και συλλέγει και επεξεργάζεται δεδομένα αποκλειστικά για το σκοπό αυτό θα πρέπει να θεωρείται υπεύθυνος επεξεργασίας.
2. Π.χ Δικηγόρος/ Δικηγορικό Γραφείο που παρέχει άλλου είδους υπηρεσίες όπως για παράδειγμα νομικές συμβουλές, κατάρτιση συμβολαίων και γενικά εξωδικαστηριακές διευθετήσεις θα πρέπει να θεωρείται εκτελών την επεξεργασία.
3. Π.χ Δικηγορικό Γραφείο που παρέχει σύμφωνα με το νόμο υπηρεσίες ως ΕΠΔΥ (διοικητικές υπηρεσίες) και τελεί για το σκοπό αυτό υπό την εποπτεία του Παγκύπριου Δικηγορικού Συλλόγου (ΠΔΣ) θα πρέπει να θεωρείται υπεύθυνος επεξεργασίας.
4. Π.χ Δικηγόρος/ Δικηγορικό Γραφείο που παρέχει υπηρεσίες εξωτερικού νομικού συμβούλου οργανισμών και /ή άλλων εταιρειών συμπεριλαμβανομένων δικαστηριακών ή εξωδικαστηριακών υπηρεσιών θα πρέπει να θεωρείται εκτελών την επεξεργασία.
Ενδεικτικά αναφέρονται τα κάτωθι παραδείγματα: ΛΟΓΙΣΤΕΣ /ΕΛΕΓΚΤΕΣ
1. Π.χ Λογιστές /Ελεγκτές ασκώντας τις εκ του νόμου απορρέουσες νόμιμες υποχρεώσεις τους θα πρέπει να θεωρούνται υπεύθυνοι επεξεργασίας.
2. Π.χ Λογιστές /Ελεγκτές στο πλαίσιο της παροχής λογιστικών /ελεγκτικών υπηρεσιών κατ’εντολή των πελατών τους θα πρέπει να θεωρούνται εκτελούντες την επεξεργασία.
3. Π.χ Λογιστές /Ελεγκτές για το σύνολο των πελατών τους αναφορικά με τις πληροφορίες που περιλαμβάνονται στους λογαριασμούς των πελατών τους θα πρέπει να θεωρούνται υπεύθυνοι επεξεργασίας.
4. Π.χ Λογιστές /Ελεγκτές που παρέχουν υπηρεσίες σύμφωνα με το νόμο ως ΕΠΔΥ (διοικητικές υπηρεσίες) και τελούν για το σκοπό αυτό υπό την εποπτεία του Συνδέσμου Εγκεκριμένων Λογιστών Κύπρου (ΣΕΛΚ) θα πρέπει να θεωρούνται υπεύθυνοι επεξεργασίας.
5. Π.χ Λογιστές /Ελεγκτές που ενεργούν εκ μέρους των πελατών τους για τους σκοπούς παροχής υπηρεσιών πρόσληψης προσωπικού (recruitment procedures/services) θα πρέπει να θεωρούνται εκτελούντες την επεξεργασία.
Συμπερασματικά, η ίδια οντότητα µπορεί να ενεργεί ως υπεύθυνος της επεξεργασίας για ορισµένες πράξεις επεξεργασίας και ως εκτελών την επεξεργασία για άλλες, και ο ρόλος της ως «υπεύθυνος της επεξεργασίας» ή «εκτελών την επεξεργασία» πρέπει να αξιολογείται σε σχέση µε τις συγκεκριμένες δραστηριότητες της και τα συγκεκριμένα σύνολα δεδοµένων ή πράξεις επεξεργασίας.