Γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων
Μια νέα Γνώμη δημοσίευσε το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ), σύμφωνα με τη διαδικασία του άρθρου 64 παρ.2 ΓΚΠΔ. Η διάταξη αυτή δίνει στις εποπτικές αρχές τη δυνατότητα να ζητήσουν από το ΕΣΠΔ την έκδοση γνωμοδότησης, όταν πρόκειται για «οποιοδήποτε ζήτημα γενικής εφαρμογής ή ζήτημα που παράγει αποτελέσματα σε περισσότερα από ένα κράτη μέλη».
Το αίτημα υποβλήθηκε από τη δανική αρχή προστασίας δεδομένων Datatilsynet και αφορούσε την ερμηνεία του άρθρου 28 ΓΚΠΔ, ειδικά ως προς τις υποχρεώσεις που φέρει ο υπεύθυνος επεξεργασίας όταν αναθέτει την επεξεργασία δεδομένων σε εκτελούντες ή σε υποεκτελούντες την επεξεργασία.
Το Συμβούλιο δέχθηκε πως τα ζητήματα που τέθηκαν καλύπτουν τις προϋποθέσεις του ΓΚΠΔ για την έκδοση γνωμοδότησης, ενώ έκρινε πως αυτά δεν καλύπτονται επαρκώς από τις Κατευθυντήριες Γραμμές 7/2020 για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία και προχώρησε στην έκδοση της Γνώμης 22/2024. Υπό την έννοια αυτή, η νέα Γνώμη αποτελεί συμπλήρωμα των ως άνω Κατευθυντηρίων Γραμμών.
Τα συμπεράσματα του Συμβουλίου, όπως αυτά αποτυπώνονται στον πρόλογο του κειμένου, έχουν ως εξής:
Το ΕΣΠΔ καταλήγει στο συμπέρασμα ότι οι υπεύθυνοι επεξεργασίας θα πρέπει να έχουν ανά πάσα στιγμή άμεσα διαθέσιμες τις πληροφορίες σχετικά με την ταυτότητα (π.χ. όνομα, διεύθυνση, πρόσωπο επικοινωνίας) όλων των εκτελούντων την επεξεργασία, υπο-εκτελούντων την επεξεργασία κ.λπ. ώστε να μπορούν να εκπληρώνουν με τον καλύτερο δυνατό τρόπο τις υποχρεώσεις τους βάσει του άρθρου 28 ΓΚΠΔ, ανεξάρτητα από τον κίνδυνο που συνδέεται με τη δραστηριότητα επεξεργασίας. Για τον σκοπό αυτό, ο εκτελών την επεξεργασία θα πρέπει να παρέχει προληπτικά στον υπεύθυνο επεξεργασίας όλες αυτές τις πληροφορίες και να τις επικαιροποιεί ανά πάσα στιγμή.
Το άρθρο 28 παράγραφος 1 ΓΚΠΔ προβλέπει ότι οι υπεύθυνοι επεξεργασίας έχουν την υποχρέωση να προσλαμβάνουν εκτελούντες την επεξεργασία που παρέχουν «επαρκείς εγγυήσεις» για την εφαρμογή «κατάλληλων» μέτρων κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του ΓΚΠΔ και να διασφαλίζει την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων. Το ΕΣΠΔ θεωρεί ότι κατά την αξιολόγηση της συμμόρφωσης των υπευθύνων επεξεργασίας με την υποχρέωση αυτή και με την αρχή της λογοδοσίας (άρθρο 24 παράγραφος 1 ΓΚΠΔ), οι υπεύθυνοι επεξεργασίας θα πρέπει να διασφαλίζουν πως η πρόσληψη εκτελούντων την επεξεργασία δεν θα μειώνει το επίπεδο προστασίας των δικαιωμάτων των υποκειμένων των δεδομένων. Η υποχρέωση του υπευθύνου επεξεργασίας να επαληθεύει εάν οι (υπο)εκτελούντες την επεξεργασία παρουσιάζουν «επαρκείς εγγυήσεις» για την εφαρμογή των κατάλληλων μέτρων που καθορίζει ο υπεύθυνος επεξεργασίας θα πρέπει να ισχύει ανεξάρτητα από τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Ωστόσο, η έκταση της εν λόγω επαλήθευσης θα ποικίλλει στην πράξη ανάλογα με τη φύση των εν λόγω τεχνικών και οργανωτικών μέτρων, τα οποία μπορεί να είναι αυστηρότερα ή εκτενέστερα ανάλογα με το επίπεδο του εν λόγω κινδύνου.
Το Συμβούλιο διευκρινίζει περαιτέρω ενώ ο αρχικός εκτελών την επεξεργασία θα πρέπει να διασφαλίζει ότι προτείνει υπεργολάβους που παρέχουν επαρκείς εγγυήσεις, η τελική απόφαση για το αν θα προσληφθεί συγκεκριμένος υπεργολάβος και η σχετική ευθύνη, μεταξύ άλλων όσον αφορά την επαλήθευση των εγγυήσεων, παραμένει στον υπεύθυνο επεξεργασίας.
Το πλήρες κείμενο της Γνώμης 22/2024 είναι διαθέσιμο στα αγγλικά.
