![Τι πρέπει να γνωρίζετε για το GDPR και τις Συμφωνίες Επεξεργασίας Δεδομένων [Free Template] – Data Privacy Manager](https://mjoat.com/wp-content/uploads/2023/03/1677968369_Τι-πρέπει-να-γνωρίζετε-για-το-GDPR-και-τις-Συμφωνίες-1140x628.png "Τι πρέπει να γνωρίζετε για το GDPR και τις Συμφωνίες Επεξεργασίας Δεδομένων [Free Template] – Data Privacy Manager")
Τι πρέπει να γνωρίζετε για το GDPR και τις Συμφωνίες Επεξεργασίας Δεδομένων [Free Template] – Data Privacy Manager
März 5, 2023Τι είναι μια Συμφωνία Επεξεργασίας Δεδομένων;
ΕΝΑ Συμφωνία Επεξεργασίας Δεδομένων (DPA) είναι ένα νομικά δεσμευτικό έγγραφο που ρυθμίζει οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται για επιχειρηματικούς σκοπούς μεταξύ ενός οργανισμού (υπεύθυνος επεξεργασίας δεδομένων) και τρίτος πάροχος υπηρεσιών (επεξεργαστής δεδομένων).
Ο Ευρωπαϊκός GDPR ορίζει Συμφωνίες Επεξεργασίας Δεδομένων για οργανισμούς που επεξεργάζονται προσωπικά δεδομένα πολιτών και κατοίκων της ΕΕ κάθε φορά που χρησιμοποιούν τρίτο φορέα επεξεργασίας και καθορίζουν ρόλους και υποχρεώσεις τόσο για τον υπεύθυνο επεξεργασίας όσο και για τον εκτελούντα την επεξεργασία.
Τι είναι ο GDPR;
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) είναι ένας νόμος της Ευρωπαϊκής Ένωσης (ΕΕ) για το απόρρητο δεδομένων που τέθηκε σε ισχύ το 2018.
Πρωταρχικός στόχος του είναι να παρέχει στα άτομα περισσότερο έλεγχο σχετικά με τον τρόπο συλλογής, χρήσης και προστασίας των δεδομένων τους στο διαδίκτυο και να απλοποιήσει το ρυθμιστικό περιβάλλον για τις διεθνείς επιχειρήσεις. Ο GDPR δεσμεύει τους οργανισμούς σε αυστηρούς κανόνες σχετικά με τη χρήση και την ασφάλεια των προσωπικών δεδομένων που συλλέγουν.
Απαγορεύει επίσης τη διαβίβαση προσωπικών δεδομένων των υποκειμένων των δεδομένων της ΕΕ εκτός του ευρωπαϊκού οικονομικού χώρου, εκτός εάν υιοθετηθούν κατάλληλες διασφαλίσεις. Οι οργανισμοί που δεν συμμορφώνονται θα αντιμετωπίσουν βαριές ποινές έως και 4 % του παγκόσμιου ετήσιου έσοδα ή 20 εκατ. ευρώ, όποιο είναι μεγαλύτερο.
Ισχύει ο GDPR για εταιρείες εκτός Ευρώπης;
Υπό ορισμένες προϋποθέσεις, το Ο GDPR ισχύει για εταιρείες που δεν βρίσκονται στην Ευρώπη. Εάν είστε εταιρεία με περισσότεροι από 250 εργαζόμενοι, και απαντάτε «ναι» σε οποιοδήποτε από τα παρακάτωο GDPR πιθανότατα ισχύει για τον οργανισμό σας:
1. Η εταιρεία σας δεν βρίσκεται στην Ευρωπαϊκή Ένωση (ΕΕ), αλλά εξυπηρετείτε πελάτες της ΕΕ
- Για παράδειγμα, δημιουργείτε διαφημίσεις σε μία από τις ευρωπαϊκές χώρες (π.χ. γερμανικά, ισπανικά) ή συμπεριλαμβάνετε τιμές σε ευρώ στον ιστότοπό σας.
- Οι περιστασιακές περιπτώσεις πωλήσεων σε ευρωπαίους πελάτες ενδέχεται να μην σας υπόκεινται στον GDPR.
2. Η εταιρεία σας χρησιμοποιεί εργαλεία ιστού που σας επιτρέπουν να παρακολουθείτε τα cookies ή τις διευθύνσεις IP των ατόμων που επισκέπτονται τον ιστότοπό σας από χώρες της ΕΕ.
- Για παράδειγμα, μπορεί να είστε μια εταιρεία ανάπτυξης ιστού των ΗΠΑ με έδρα τη Νέα Υόρκη. Ωστόσο, εάν παρακολουθείτε και αναλύετε τους επισκέπτες της ΕΕ στον ιστότοπο της εταιρείας σας, τότε ενδέχεται να υπόκεινται στις διατάξεις του GDPR.
Εάν ο οργανισμός σας έχει λιγότερους από 250 υπαλλήλους ή δεν ασκείτε «επαγγελματική ή εμπορική δραστηριότητα», ο GDPR ενδέχεται να μην ισχύει για εσάς. Εάν δεν είστε βέβαιοι εάν ο GDPR ισχύει για τον οργανισμό σας, συνιστάται να επικοινωνήσετε με τον α Δικηγόρος Προστασίας Προσωπικών Δεδομένων.
Χρειάζεστε Συμφωνία Επεξεργασίας Δεδομένων;
Εάν ο οργανισμός σας υπόκειται στον GDPR, πρέπει να έχετε γραπτό έγγραφο Συμφωνία Επεξεργασίας Δεδομένων (DPA) σε θέση με οποιαδήποτε μέρη που επεξεργάζονται προσωπικά δεδομένα για λογαριασμό σας (αυτά τα τρίτα μέρη είναι γνωστά ως «υπεύθυνοι επεξεργασίας δεδομένων»).
Για παράδειγμα, εάν χρησιμοποιείτε πάροχο υπηρεσιών αποθήκευσης cloud ή χρησιμοποιείτε κρυπτογραφημένο πάροχο υπηρεσιών email για να μοιράζεστε πληροφορίες με τους πελάτες σας, πρέπει να έχετε εγκατεστημένο ένα DPA.
Με λίγα λόγια, α Η DPA είναι μια νομικά δεσμευτική σύμβαση που ορίζει τα δικαιώματα και τις υποχρεώσεις κάθε μέρους σχετικά με την προστασία των προσωπικών δεδομένων.
Υπάρχουν πολλά πλεονεκτήματα από τη δημιουργία μιας κατάλληλης DPA με τους επεξεργαστές δεδομένων σας:
- Είναι νόμος! Εάν υπόκεινται στον GDPR και δεν έχετε DPA, ενδέχεται να σας επιβληθούν πρόστιμα GDPR έως 20 εκατ. ευρώ ή 4% των παγκόσμιων εσόδων της εταιρείας.
- Παρέχει στον οργανισμό σας (και στους πελάτες που εξυπηρετείτε). διαβεβαίωση ότι ο επεξεργαστής δεδομένων που χρησιμοποιείτε είναι κατάλληλος και διαθέτει τις ειδικές γνώσεις και τους πόρους για την εφαρμογή των τεχνικών και οργανωτικών μέτρων που απαιτούνται για την ασφαλή επεξεργασία των προσωπικών δεδομένων του πελάτη σας.
Τι πρέπει να συμπεριλάβετε σε μια DPA;
Άρθρο 28 του GDPR καθορίζει τι πρέπει να περιλαμβάνεται στην DPA. Τουλάχιστον, η ΑΠΔ θα πρέπει να καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, τον τύπο των προσωπικών δεδομένων και τις κατηγορίες των υποκειμένων των δεδομένων, καθώς και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας.
GDPR.eu παρέχει μια χρήσιμη περίληψη των οκτώ θεμάτων που πρέπει να καλυφθούν στο DPA και το πρότυπο που μπορείτε να κατεβάσετε:
- Ο εκτελών την επεξεργασία δεδομένων συμφωνεί να επεξεργάζεται προσωπικά δεδομένα μόνο με τεκμηριωμένες γραπτές οδηγίες του υπεύθυνου επεξεργασίας (δηλαδή του οργανισμού σας).
- Όλοι όσοι επεξεργάζονται προσωπικά δεδομένα δεσμεύονται για την εμπιστευτικότητα.
- Όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα που χρησιμοποιούνται για την προστασία της ασφάλειας των δεδομένων.
- Ο εκτελών την επεξεργασία δεν θα αναθέσει υπεργολαβία σε άλλον εκτελούντα την επεξεργασία εκτός εάν λάβει γραπτή οδηγία από τον υπεύθυνο επεξεργασίας, οπότε θα πρέπει να υπογραφεί άλλη DPA με τον υπο-εκτελούντα την επεξεργασία.
- Ο εκτελών την επεξεργασία θα βοηθήσει τον υπεύθυνο επεξεργασίας να τηρήσει τις υποχρεώσεις του βάσει του GDPR, ιδίως όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων.
- Ο επεξεργαστής θα βοηθήσει τον υπεύθυνο επεξεργασίας να διατηρήσει τη συμμόρφωση του GDPR σε σχέση με Άρθρο 32 (ασφάλεια επεξεργασίας) και Άρθρο 36 (διαβούλευση με την αρχή προστασίας δεδομένων πριν από την ανάληψη επεξεργασίας υψηλού κινδύνου).
- Ο εκτελών την επεξεργασία συμφωνεί να διαγράψει όλα τα προσωπικά δεδομένα κατά τον τερματισμό των υπηρεσιών ή να επιστρέψει τα δεδομένα στον υπεύθυνο επεξεργασίας.
- Ο εκτελών την επεξεργασία πρέπει να επιτρέψει στον υπεύθυνο επεξεργασίας να διενεργήσει έλεγχο και θα παράσχει όλες τις πληροφορίες που απαιτούνται για να αποδείξει τη συμμόρφωση.
Κάντε κλικ εδώ για πρόσβαση σε ένα δωρεάν πρότυπο Συμφωνίας Επεξεργασίας Δεδομένων:
