Προστασία προσωπικών δεδομένων στο ηλεκτρονικό κατάστημα, μέρος 3 - ανάθεση επεξεργασίας δεδομένων

Επιχειρήσεις Υπηρεσιών

Ο διαχειριστής των προσωπικών δεδομένων πρέπει να φροντίζει για την ασφάλειά τους, συμπεριλαμβανομένης της νομικής προστασίας της ανάθεσης της επεξεργασίας δεδομένων στο ηλεκτρονικό κατάστημα. Τι είναι και πώς να το κάνω; Εξηγούμε παρακάτω.

Τι είναι η ανάθεση επεξεργασίας δεδομένων στο ηλεκτρονικό κατάστημα;

Η ανάθεση της επεξεργασίας προσωπικών δεδομένων δεν είναι τίποτα άλλο από το να διατάξεις κάποιον να εκτελέσει μια συγκεκριμένη λειτουργία ή να εκτελέσει μια εργασία στην οποία είναι απαραίτητη η μεταφορά των προσωπικών βάσεων δεδομένων που υπάρχουν. Η πράξη ανάθεσης της επεξεργασίας προσωπικών δεδομένων μπορεί επίσης να σημαίνει τη θέση τους σε αποθήκευση από άλλη οντότητα.

Είναι νομικά επιτρεπτή η ανάθεση επεξεργασίας δεδομένων;

Η ανάθεση της επεξεργασίας δεδομένων είναι νομικά επιτρεπτή, επιτρέπεται από τον Νόμο για την Προστασία των Προσωπικών Δεδομένων, αλλά υπό ορισμένες προϋποθέσεις.

Άρθρο 31 εδ. 1 του νόμου περί προστασίας δεδομένων προσωπικού χαρακτήρα

Ο υπεύθυνος επεξεργασίας δεδομένων μπορεί να αναθέσει σε άλλη οντότητα, μέσω γραπτής συμφωνίας, την επεξεργασία δεδομένων.


Σύμφωνα με τους κανονισμούς, η ανάθεση της επεξεργασίας δεδομένων στο ηλεκτρονικό κατάστημα θα πρέπει επομένως να πραγματοποιείται μέσω γραπτής σύμβασης.

Σε ποιον εμπιστεύονται τα δεδομένα στο ηλεκτρονικό κατάστημα;

Η ανάθεση δεδομένων στο ηλεκτρονικό κατάστημα πραγματοποιείται συνήθως με βάση:

  • υπηρεσίες φιλοξενίας - ο πάροχος φιλοξενίας παρέχει χώρο στον διακομιστή για τις βάσεις δεδομένων του ηλεκτρονικού καταστήματος.

  • υπηρεσίες ηλεκτρονικών πληρωμών - οι εταιρείες που παρέχουν αυτές τις υπηρεσίες συχνά πραγματοποιούν λήψη δεδομένων από βάσεις δεδομένων καταστημάτων.

  • υπηρεσίες μάρκετινγκ - η οντότητα είναι υπεύθυνη, μεταξύ άλλων, για αποστολή newsletter με νέα προϊόντα στις ηλεκτρονικές διευθύνσεις των πελατών του καταστήματος.

  • υπηρεσίες παράδοσης - π.χ. στο μοντέλο dropshipping όπου ο προμηθευτής είναι υπεύθυνος για την παράδοση των αγαθών και όχι το ίδιο το ηλεκτρονικό κατάστημα.

Η οντότητα στην οποία έχει ανατεθεί η επεξεργασία δεδομένων στο ηλεκτρονικό κατάστημα θα πρέπει να πληροί τις απαιτήσεις του Νόμου. Επομένως, πριν αποδεχτεί τα προσωπικά δεδομένα του καταστήματος, θα πρέπει να εφαρμόσει τα μέτρα ασφαλείας που αναφέρονται στον Κανονισμό του Υπουργείου Εσωτερικών και Διοίκησης για την τεκμηρίωση της επεξεργασίας προσωπικών δεδομένων και τις τεχνικές και οργανωτικές προϋποθέσεις που πρέπει να πληρούν οι συσκευές και τα συστήματα πληροφορικής που χρησιμοποιούνται επεξεργασία προσωπικών δεδομένων. Επιπλέον, θα πρέπει οπωσδήποτε να υπογράψει σύμβαση με τον χειριστή του ηλεκτρονικού καταστήματος, στην οποία θα εγγυάται και θα δηλώνει ότι έχει εφαρμόσει τέτοια μέτρα.

Συμφωνίες ανάθεσης επεξεργασίας δεδομένων στο ηλεκτρονικό κατάστημα

Η ανάθεση της επεξεργασίας δεδομένων στο ηλεκτρονικό κατάστημα θα πρέπει να γίνεται με γραπτή σύμβαση. Η συμφωνία επεξεργασίας δεδομένων θα πρέπει να περιέχει, πρώτα απ 'όλα, πληροφορίες σχετικά με τον σκοπό και την εμβέλεια στην οποία το ηλεκτρονικό κατάστημα εμπιστεύεται τα δεδομένα.

Σκοπός ανάθεσης προσωπικών δεδομένων στο ηλεκτρονικό κατάστημα

Ο σκοπός δεν είναι άλλος από το να υποδείξουμε τι εξυπηρετεί η ανάθεση των δεδομένων. Συνήθως αποτελεί ένδειξη συγκεκριμένης συμφωνίας συνεργασίας που απαιτεί ανάθεση των δεδομένων που επεξεργάζεται το ηλεκτρονικό κατάστημα. Ως εκ τούτου, θα είναι μια σύμβαση με μια εταιρεία φιλοξενίας όπου ενοικιάζονται διακομιστές στους οποίους αποθηκεύονται βάσεις δεδομένων που ανήκουν στο ηλεκτρονικό κατάστημα ή μια συμφωνία με μια εταιρεία μάρκετινγκ που είναι υπεύθυνη για το ενημερωτικό δελτίο ειδήσεων καταστήματος που αποστέλλεται ηλεκτρονικά. Το δεύτερο απαραίτητο στοιχείο της συμφωνίας επεξεργασίας δεδομένων είναι το πεδίο εφαρμογής.

Το εύρος των εμπιστευμένων δεδομένων στο ηλεκτρονικό κατάστημα

Ένας επιχειρηματίας που διευθύνει ένα ηλεκτρονικό κατάστημα, αναθέτοντας την επεξεργασία δεδομένων σε τρίτο μέρος, θα πρέπει να προσδιορίσει το πεδίο εφαρμογής στη σύμβαση - ποια σύνολα δεδομένων του ηλεκτρονικού καταστήματος θα εμπιστευθούν πραγματικά. Κατά τον καθορισμό του πεδίου εφαρμογής, υποδεικνύεται το όνομα του συνόλου (συνήθως είναι μια κατηγορία υποκειμένων δεδομένων, π.χ. υπάλληλοι, πελάτες) και μεμονωμένες κατηγορίες δεδομένων, π.χ. όνομα, επώνυμο, διεύθυνση ηλεκτρονικού ταχυδρομείου, αριθμός τηλεφώνου.

Υποδεικνύοντας τον σκοπό και το εύρος της επεξεργασίας των εμπιστευμένων προσωπικών δεδομένων, ο υπεύθυνος επεξεργασίας δεδομένων (δηλαδή ο επιχειρηματίας που διευθύνει το κατάστημα) υποχρεώνει την οντότητα στην οποία έχουν ανατεθεί τα προσωπικά δεδομένα να τα επεξεργαστεί μόνο στους τομείς που αναφέρονται στη σύμβαση. Οποιαδήποτε επεξεργασία υπερβαίνει τον σκοπό ή το πεδίο που αναφέρεται στη σύμβαση θα συνιστούσε παράβαση του νόμου.

Κατά την υπογραφή σύμβασης για την ανάθεση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, μπορείτε επίσης να ορίσετε πρόσθετες διατάξεις σχετικά με, μεταξύ άλλων, το δικαίωμα ελέγχου, το δικαίωμα σε εξουσιοδοτήσεις, η υποχρέωση διαγραφής δεδομένων κατά τη λήξη της συμφωνίας συνεργασίας αποτελούν τη βάση για την ανάθεση δεδομένων.

Στην πράξη, λοιπόν, πολύ συχνά υπάρχουν καταστάσεις στις οποίες ανατίθεται η επεξεργασία δεδομένων στο ηλεκτρονικό κατάστημα. Κάθε κατάστημα χρησιμοποιεί τις υπηρεσίες τρίτων, στην περίπτωση της συγκεκριμένης δραστηριότητας, τις υπηρεσίες που χρησιμοποιεί το κατάστημα, απαιτούν στοιχεία πελατών.