Πέμπτη 31 Μαΐου 2018

Μομφές Τζιτζικώστα για καθυστέρηση στο έργο του τύμβου Καστά στην Αμφίπολη

Για «απαράδεκτη, δεύτερη στη σειρά, καθυστέρηση από πλευράς του Υπουργείου Πολιτισμού» στο έργο του τύμβου Καστά στην Αμφίπολη, έκανε λόγο ο Περιφερειάρχης Κεντρικής Μακεδονίας, Απόστολος Τζιτζικώστας, κατά τη συνεδρίαση του Περιφερειακού Συμβουλίου.

«Το έργο τελικά εντάχθηκε τον Ιανουάριο. Σήμερα πλησιάζουμε για Ιούνιο και το Υπουργείο Πολιτισμού δεν έχει κάνει το παραμικρό σε σχέση με το έργο για τον τύμβο Καστά», είπε και πρόσθεσε: «Καλώ το Υπουργείο Πολιτισμού να ξεκινήσει άμεσα τις εργασίες και να μην οδηγήσει τη διοίκηση της Περιφέρειας σε άλλα μέτρα».

Αφορμή για την σχετική τοποθέτηση του κ. Τζιτζικώστα, όπως είπε ο ίδιος, ήταν η απάντησή του σε επερώτηση της παράταξης «Ριζοσπαστική Αριστερή Ενότητα» για την εικόνα του Αρχαιολογικού Μουσείου Κιλκίς. Παρουσιάζοντας την επερώτηση, ο περιφερειακός σύμβουλος της παράταξης, Γιώργος Θεοδωρόπουλος, ανέφερε ότι η εικόνα του μουσείου δεν είναι καλή, έκανε λόγο για πλήρη απαξίωσή του και σαν υποδομή και σαν αρχαιολογικά ευρήματα, και ζήτησε να πληροφορηθεί τις ενέργειες της Περιφέρειας στον τομέα αυτό.

Διαβάστε ολόκληρο το άρθρο πατώντας ΕΔΩ

(Πηγή: www.archaiologia.gr)

Επιστροφή λεηλατημένων έργων τέχνης ζήτησαν παρουσιαστές του BBC

Tην επιστροφή των Γλυπτών του Παρθενώνα στην Ελλάδα, καθώς και των χάλκινων αγαλμάτων του Μπενίν στη Νιγηρία, αλλά και των αντικειμένων που λεηλατήθηκαν από το Καλοκαιρινό Παλάτι της Κίνας ζήτησαν οι παρουσιαστές της εκπομπής «Civilisations» του BBC, γράφουν οι Times του Λονδίνου.

Ο ιστορικός Ντέιβιντ Ολοσούγκα, ο οποίος παρουσιάζει το πρόγραμμα «Civilisations» μαζί με τη Μέρι Μπερντ και τον Σάιμον Σάμα, είπε ότι η Βρετανία πρέπει να αντιμετωπίσει την ιστορία της και ότι κάτι τέτοιο είναι προς το συμφέρον της για να έχει οικονομικά ευεργετικές σχέσεις στο μέλλον με χώρες των οποίων η πολιτιστική κληρονομιά «εκλάπη μετά από βίαιες επιδρομές», γράφουν οι Times.

Το δημοσίευμα αναφέρει μάλιστα ότι ο παρουσιαστής του προγράμματος του BBC πρότεινε χαριτολογώντας «οι θιγόμενες χώρες, των οποίων έργα τέχνης έχουν κλαπεί, θα μπορούσαν να έχουν δύο λεπτά στα μουσεία με ένα καροτσάκι για ψώνια για να αρπάξουν τους χαμένους θησαυρούς».

Διαβάστε όλο το άρθρο  πατώντας ΕΔΩ

(Πηγή: www.archaiologia.gr)

Δευτέρα 7 Μαΐου 2018

GDPR: Η σύμβαση με τον εκτελούντα την επεξεργασία

Του Κομνηνού Κόμνιου*

Α. Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (στο εξής ΓΚΠΔ), που τίθεται σε εφαρμογή από τις 25.05.2018, ισχύει άμεσα σε κάθε κράτος μέλος της Ε.Ε. και εφαρμόζεται, μεταξύ άλλων, σε κάθε επιχείρηση που επεξεργάζεται προσωπικά δεδομένα, συμπεριλαμβανομένων των επιχειρήσεων που απασχολούν λιγότερους από 250 υπαλλήλους, δηλαδή και στις μικρές και πολύ μικρές επιχειρήσεις.

Ο νέος Κανονισμός, αν και εν πολλοίς βασίζεται στο προηγούμενο νομοθετικό καθεστώς για την προστασία των δεδομένων προσωπικού χαρακτήρα (Οδηγία 95/46/ΕΚ), αυξάνει σημαντικά τις υποχρεώσεις των επιχειρήσεων. Σε περίπτωση παράβασης συγκεκριμένων διατάξεων του ΓΚΠΔ προβλέπονται δρακόντεια πρόστιμα, που ανάλογα με το είδος και το μέγεθός της, δύνανται να φθάσουν έως τα 20 εκατομμύρια ευρώ ή το 4% του παγκόσμιου ετήσιου κύκλου εργασιών.
   
Β. Πολύ συχνά κάποιες επιχειρήσεις αναθέτουν σε άλλα, εκτός επιχείρησης, φυσικά ή νομικά πρόσωπα ή άλλους φορείς την επεξεργασία δεδομένων προσωπικού χαρακτήρα για λογαριασμό τους (outsourcing). Τα πρόσωπα αυτά ορίζονται στον ΓΚΠΔ ως "εκτελούντες την επεξεργασία", ενώ η επιχείρηση που αναθέτει την επεξεργασία καθορίζοντας τους σκοπούς και τον τρόπο της επεξεργασίας καλείται "υπεύθυνος επεξεργασίας". Ο εκτελών την επεξεργασία ενεργεί βάσει των οδηγιών και των κατευθύνσεων του υπευθύνου επεξεργασίας. Συνεπώς, όταν μια επιχείρηση αποφασίζει "γιατί" και "πώς" τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία, είναι ο υπεύθυνος επεξεργασίας. Ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνο εκ μέρους του υπεύθυνου επεξεργασία και είναι, κατά κανόνα, τρίτος εκτός επιχείρησης. Σημειώνεται ότι οι εργαζόμενοι που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα εντός μιας επιχείρησης το κάνουν για να εκπληρώσουν τα καθήκοντα της επιχείρησης ως υπεύθυνου επεξεργασίας και δεν είναι οι ίδιοι υπεύθυνοι ή εκτελούντες την επεξεργασία. Βέβαια, αν ένας εργαζόμενος χρησιμοποιεί δεδομένα για δικούς του σκοπούς, εκτός των δραστηριοτήτων της επιχείρησης στην οποία απασχολείται, τότε θεωρείται υπεύθυνος της επεξεργασίας και φέρει τη σχετική ευθύνη.

Προκειμένου να γίνει κατανοητή η διάκριση, παραθέτουμε το ακόλουθο παράδειγμα της Ευρωπαϊκής Επιτροπής: "Μια ζυθοποιία έχει πολλούς εργαζομένους. Υπογράφει σύμβαση με εταιρεία πληρωμών για την καταβολή των μισθών. Η ζυθοποιία ενημερώνει την εταιρεία πληρωμών για το πότε πρέπει να γίνεται η πληρωμή των μισθών, πότε ένας εργαζόμενος αποχωρεί ή παίρνει αύξηση και παρέχει όλα τα υπόλοιπα στοιχεία που είναι απαραίτητα για το εκκαθαριστικό σημείωμα αποδοχών και την πληρωμή. Η εταιρεία πληρωμών παρέχει σύστημα ΤΠ και αποθηκεύει τα δεδομένα των εργαζομένων. Η ζυθοποιία είναι ο υπεύθυνος επεξεργασίας δεδομένων και η εταιρεία πληρωμών είναι ο εκτελών την επεξεργασία των δεδομένων".

Εκτελών την επεξεργασία είναι, ενδεικτικά, ο πάροχος υπηρεσιών νεφοϋπολογιστικής (cloud computing), ο οποίος δεν καθορίζει τον σκοπό της επεξεργασίας, αλλά παρέχει τα μέσα και την πλατφόρμα (υπολογιστικό νέφος), ενεργώντας για λογαριασμό του πελάτη, o οποίος εν προκειμένω αποτελεί κατά κανόνα τον υπεύθυνο επεξεργασίας. Στο αυτό πλαίσιο, εκτελών την επεξεργασία είναι οι πάροχοι υπηρεσιών φιλοξενίας στο Διαδίκτυο, μια επιχείρηση που ειδικεύεται στην επεξεργασία δεδομένων για τη διαχείριση δεδομένων ανθρώπινου δυναμικού άλλων εταιριών ή μια εταιρεία security που έχει αναλάβει το κλειστό κύκλωμα μιας άλλης επιχείρησης ή μια εταιρία παροχής υπηρεσιών ηλεκτρονικού ταχυδρομείου για τα email που μεταβιβάζει κλπ..

Η διάκριση μεταξύ υπευθύνου και εκτελούντος την επεξεργασία, αν και έχει επικριθεί λόγω της δυσχέρειας διάκρισης μεταξύ υπευθύνου και εκτελούντος σε ορισμένες περιπτώσεις, διατηρήθηκε από τον ΓΚΠΔ. Μία από τις σημαντικές καινοτομίες του Κανονισμού έγκειται στην ενίσχυση των υποχρεώσεων του εκτελούντος την επεξεργασία.Ενώ την ευθύνη για την επεξεργασία και υποχρέωση για λογοδοσία έναντι της αρμόδιας αρχής είχε μόνο ο υπεύθυνος επεξεργασίας, πλέον ο εκτελών την επεξεργασία ευθύνεται και ο ίδιος εφόσον δεν ανταποκρίθηκε στις υποχρεώσεις του ΓΚΠΔ που αφορούν ειδικότερα τους εκτελούντες την επεξεργασία ή υπερέβη ή ενήργησε αντίθετα προς τις νόμιμες εντολές του υπευθύνου επεξεργασίας. Επιπλέον, είναι δυνατή η επιβολή κυρώσεων όχι μόνο στον υπεύθυνο επεξεργασίας, αλλά και στον εκτελούντα.

Οι υπεύθυνοι επεξεργασίας βαρύνονται με την υποχρέωση "να χρησιμοποιούν μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του ΓΚΠΔ και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων" (άρθρο 28 παρ. 1 ΓΚΠΔ).

Γ. Για λόγους σαφήνειας και διαφάνειας, η σχέση μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία θα πρέπει να αποτυπώνεται λεπτομερώς σε σύμβαση που καταρτίζεται εγγράφως ή σε ηλεκτρονική μορφή.Η μη σύναψη σχετικής σύμβασης συνιστά αθέτηση της υποχρέωσης του υπεύθυνου επεξεργασίας να τεκμηριώνει τις αμοιβαίες υποχρεώσεις και δύναται να επιφέρει τις οικείες κυρώσεις του ΓΚΠΔ.

Η σύμβαση ανάθεσης επεξεργασίας σε εκτελούντα την επεξεργασία θα πρέπει να περιλαμβάνει τα ακόλουθα:

- να καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας,

- να προβλέπει ότι ο εκτελών την επεξεργασία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ε.Ε. ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία,

- να προβλέπει ότι ο εκτελών την επεξεργασία διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα δεσμεύονται για την τήρηση εμπιστευτικότητας,

- να προβλέπει ότι ο εκτελών την επεξεργασία λαμβάνει όλα τα απαιτούμενα μέτρα για την ασφάλεια των δεδομένων,

- να προβλέπει ότι ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας. Σε περίπτωση γενικής γραπτής άδειας, ο εκτελών την επεξεργασία θα πρέπει να ενημερώσει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία και να παρέχει στον υπεύθυνο επεξεργασίας τη δυνατότητα να αντιταχθεί σε αυτές τις αλλαγές. Σε περίπτωση που ο εκτελών την επεξεργασία προσλάβει "υπο-εκτελούντα" την επεξεργασία οφείλει να διασφαλίσει ότι οι ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση θα δεσμεύουν και τον "υπο-εκτελούντα". Σε κάθε περίπτωση, ο αρχικώς εκτελών παραμένει πλήρως υπόλογος έναντι του υπευθύνου επεξεργασίας,

- να προβλέπει ότι ο εκτελών την επεξεργασία επικουρεί τον υπεύθυνο επεξεργασίας στην απάντηση των αιτημάτων για άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων (δικαίωμα πρόσβασης,διόρθωσης, διαγραφής, εναντίωσης),

- να προβλέπει ότι ο εκτελών την επεξεργασία συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις ασφάλειας των δεδομένων και γνωστοποίησης τυχόν παραβίασης δεδομένων (data breach). Σε κάθε περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας αμελλητί, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα,

- να προβλέπει ότι ο εκτελών την επεξεργασία επικουρεί τον υπεύθυνο επεξεργασίας στην διενέργεια εκτίμησης αντικτύπου (privacy impact assessment), εφόσον αυτή απαιτείται εν προκειμένω από τον ΓΚΠΔ,

- να προβλέπει ότι κατ' επιλογή του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία θα διαγράψει ή θα επιστρέψει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και θα διαγράψει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα,

- να προβλέπει ότι ο εκτελών την επεξεργασία υποχρεούται να θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσής του προς τις υποχρεώσεις που προβλέπονται από το ΓΚΠΔ και να επιτρέπει και διευκολύνει τυχόν ελέγχους που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας.

- Τέλος, ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον ΓΚΠΔ ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.

Δ. Παρά τη συμβατική δέσμευση του εκτελούντος την επεξεργασία, η γενική ευθύνη εξακολουθεί να βαρύνει τον υπεύθυνο επεξεργασίας, ο οποίος οφείλει να ασκεί εποπτεία στους εκτελούντες την επεξεργασία,προκειμένου να διασφαλίζει ότι οι ενέργειές τους συμμορφώνονται με τον Κανονισμό. Ως εκ τούτου, συμβατικός όρος ο οποίος δεν επιτρέπει στον υπεύθυνο επεξεργασίας την αναγκαία εποπτεία, θα μπορούσε να θεωρηθεί ως σύμβαση από κοινού υπευθύνων επεξεργασίας, με αποτέλεσμα η ευθύνη της επεξεργασίας να βαρύνει αμφότερα τα μέρη.

Πάντως, εάν ο εκτελών την επεξεργασία δεν τηρεί τους περιορισμούς που έχει θέσει ο υπεύθυνος επεξεργασίας όσον αφορά τη χρήση των δεδομένων, καθορίζοντας ο ίδιος τους σκοπούς και τα μέσα της επεξεργασίας, τότε καθίσταται υπεύθυνος επεξεργασίας, τουλάχιστον για τη συγκεκριμένη επεξεργασία.

* Κομνηνός Γ. Κόμνιος, Δικηγόρος, Διαπιστευμένος Διαμεσολαβητής, Επ. Καθηγητής της Σχολής Οικονομίας, Διοίκησης και Νομικών Επιστημών του Διεθνούς Πανεπιστημίου της Ελλάδος
k.komnios@ihu.edu.gr

(Πηγή: capital.gr)