- Υπουργείο Δικαιοσύνης - http://www.opengov.gr/ministryofjustice -

Άρθρο 38 – Εκτελών την επεξεργασία

1. Όταν ο υπεύθυνος επεξεργασίας αναθέτει την επεξεργασία σε εκτελούντες μεριμνά για την εκ μέρους τους τήρηση των ρυθμίσεων και υποχρεώσεων που απορρέουν από το κεφάλαιο Γ΄ του παρόντος νόμου . Τα υποκείμενα των δεδομένων ασκούν τα εκ των άρθρων 31 έως 35 του παρόντος δικαιώματά τους έναντι του υπευθύνου επεξεργασίας.
2. Όταν η επεξεργασία διενεργείται για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνον εκτελούντες την επεξεργασία που παρέχουν επαρκείς εγγυήσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κεφαλαίου και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.
2. Ο εκτελών την επεξεργασία επιτρέπεται να αναθέσει την επεξεργασία σε άλλον μόνο εφόσον έχει λάβει προηγούμενη ειδική ή γενική έγγραφη άδεια του υπεύθυνου επεξεργασίας. Στην περίπτωση που ο υπεύθυνος επεξεργασίας έχει επιτρέψει την περαιτέρω ανάθεση με γενική έγγραφη άδεια, ο εκτελών την επεξεργασία ενημερώνει εγκαίρως τον υπεύθυνο επεξεργασίας για τυχόν αλλαγές στις οποίες σκοπεύει να προβεί και αφορούν στην προσθήκη ή την αντικατάσταση άλλων εκτελούντων την επεξεργασία. Ο υπεύθυνος επεξεργασίας έχει το δικαίωμα να αντιταχθεί σε τέτοιες αλλαγές.
3. Η ανάθεση της επεξεργασίας από τον υπεύθυνο επεξεργασίας στον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή νομική πράξη που συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας και στην οποία καθορίζονται το αντικείμενο, η διάρκεια, η φύση και ο σκοπός της επεξεργασίας, ο τύπος των δεδομένων προσωπικού χαρακτήρα, οι κατηγορίες των υποκειμένων των δεδομένων και οι υποχρεώσεις, καθήκοντα και δικαιώματα του υπεύθυνου επεξεργασίας.
Η εν λόγω σύμβαση ή νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία:
α) ενεργεί μόνον κατ’ εντολή και επί τη βάσει των οδηγιών του υπεύθυνου επεξεργασίας·
β) εξασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή έχουν εκ του νόμου υποχρέωση τήρησης εμπιστευτικότητας·
γ) επικουρεί τον υπεύθυνο επεξεργασίας με οποιοδήποτε κατάλληλο μέσο για τη διασφάλιση της συμμόρφωσης με τις διατάξεις σχετικά με τα δικαιώματα του υποκειμένου των δεδομένων·
δ) ύστερα από το πέρας της παροχής υπηρεσιών επεξεργασίας δεδομένων διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας ή/και διαγράφει τα υφιστάμενα αντίγραφα συμμορφούμενος προς την εκάστοτε επιλογή του υπευθύνου επεξεργασίας, εκτός εάν με διάταξη νόμου απαιτείται η περαιτέρω τήρηση των δεδομένων προσωπικού χαρακτήρα
ε) θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς το παρόν άρθρο·
4. Η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στην παράγραφο 3 έχει διατυπώνεται ρητώς και εγγράφως, συμπεριλαμβανομένης της ηλεκτρονικής μορφής.
5. Εφόσον ο εκτελών επεξεργασία αναθέτει περαιτέρω την επεξεργασία σε άλλον εκτελούντα, αυτός ενεργεί την επεξεργασία σύμφωνα με τους όρους και τις οδηγίες που περιλαμβάνονται στη νομική πράξη ή σύμβαση που διέπει τις σχέσεις μεταξύ του υπεύθυνου επεξεργασίας και του αρχικού εκτελούντα την επεξεργασία και περιλαμβάνονται στις παραγράφους 3 και 4 του παρόντος άρθρου, εφόσον αυτή δεν ρυθμίζεται ειδικότερα από άλλες διατάξεις νόμου. Ο εκτελών επεξεργασία ευθύνεται έναντι του υπευθύνου επεξεργασίας για τη μη τήρηση των όρων και οδηγιών από τον εκτελούντα επεξεργασία στον οποίο είχε αυτή περαιτέρω ανατεθεί.
6. Εάν ο εκτελών την επεξεργασία καθορίζει, κατά παράβαση του παρόντος κεφαλαίου , τους στόχους και τα μέσα επεξεργασίας, ο εν λόγω εκτελών την επεξεργασία θεωρείται υπεύθυνος επεξεργασίας σε σχέση με τη συγκεκριμένη επεξεργασία.
7. O εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα δεν τα επεξεργάζεται παρά μόνον κατ’ εντολή του υπεύθυνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από τον νόμο ή το δίκαιο της Ένωσης.