Εν συντομία – 2/2024: Δημόσιοι φορείς και επιλογή εκτελούντων την επεξεργασία
Πρώτη δημοσίευση: akoronaios.gr
Ημερομηνία πρώτης δημοσίευσης: 26/07/2024
Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E/US/C, CIPM, CIPT, FIP, CompTIA ITF+
Στον προσφάτως δημοσιευθέντα Οδηγό της εποπτικής αρχής του Οντάριο (IPC / Καναδάς) προσεγγίζoνται οι συμβάσεις στον δημόσιο τομέα με τρίτους φορείς παροχής υπηρεσιών, και υπό το πρίσμα της προστασίας των προσωπικών δεδομένων. Ως προς αυτό, ο Οδηγός αναπτύσσει βέλτιστες πρακτικές για την άσκηση της δέουσας επιμέλειας και τη διασφάλιση της λογοδοσίας κατά τον προγραμματισμό και τη σύναψη των οικείων συμβάσεων. Σταχυολογούμε τα ακόλουθα επτά σημεία του Οδηγού τα οποία κέντρισαν το ενδιαφέρον μας, προσθέτοντας, εν κατακλείδι, ένα δικό μας:
- Ο τρίτος φορέας μπορεί να παρέχει στον δημόσιο φορέα υπηρεσίες όπως τη δημιουργία ή/και τη διαχείριση βάσης δεδομένων ή πληροφοριακού συστήματος, την ανάκαμψη από καταστροφές, τη διαχείριση τηλεφωνικού κέντρου, την αποθήκευση αρχείων, την καταστροφή μέσων αποθήκευσης πληροφοριών εκτός τοποθεσίας κ.α.
- Η διαδικασία της ανάθεσης στον τρίτο φορέα και της παροχής της υπηρεσίας από αυτόν συνίσταται από πέντε φάσεις: α) σχεδιασμός ανάθεσης, β) πρόσκληση υποβολής προσφορών, γ) επιλογή τρίτου φορέα παροχής υπηρεσίας, δ) σύναψη σύμβασης και ε) διαχείριση και λύση σύμβασης.
- Πρώτη φάση – σχεδιασμός ανάθεσης.
Η πρώτη φάση περιλαμβάνει: (i) τον προκαταρκτικό σχεδιασμό, (ii) τον καθορισμό των προσωπικών δεδομένων τα οποία σχετίζονται με την ανάθεση, (iii) τον εντοπισμό των κινδύνων οι οποίοι δημιουργούνται για την προστασία των προσωπικών δεδομένων, αλλά και την αντιμετώπιση αυτών, (iv) τον καθορισμό των βασικών απαιτήσεων προς τον τρίτο φορέα, (v) τον καθορισμό των μεθόδων αξιολόγησης του τρίτου φορέα. - Δεύτερη φάση – πρόσκληση υποβολής προσφορών.
H δεύτερη φάση περιλαμβάνει τον προσδιορισμό: (i) της νομοθεσίας για την προστασία των προσωπικών δεδομένων η οποία καλείται σε εφαρμογή σε σχέση με τις δραστηριότητες του τρίτου φορέα, (ii) των σχετικών απαιτήσεων συμμόρφωσης, (iii) των προσωπικών δεδομένων τα οποία θα τύχουν επεξεργασίας, (iv) των υπεύθυνων επικοινωνίας μεταξύ των συμβαλλόμενων μερών για την ικανοποίηση δικαιωμάτων τα οποία ασκούνται προς τον τρίτο φορέα, (v) της συλλογής προσωπικών δεδομένων απευθείας από τον τρίτο φορέα, (vi) της χρήσης και αποθήκευσης προσωπικών δεδομένων από τον τρίτο φορέα, (vii) της κοινολόγησης προσωπικών δεδομένων από τον τρίτο φορέα, (viii) της υποχρέωσης διασφάλισης της ακεραιότητας, εμπιστευτικότητας και διαθεσιμότητας των προσωπικών δεδομένων από τον τρίτο φορέα, (ix) των υποχρεώσεων του τρίτου φορέα σε περίπτωση περιστατικού παραβίασης ή καταγγελίας και (x) των μέσων παρακολούθησης της συμμόρφωσης με τη σύμβαση. - Τρίτη φάση – επιλογή τρίτου φορέα παροχής υπηρεσίας.
Η τρίτη φάση περιλαμβάνει ιδίως: (i) τον έλεγχο των υποψήφιων τρίτων φορέων για το κατά πόσο μπορούν να ανταποκριθούν στις απαιτήσεις οι οποίες τίθενται, (ii) την υποβολή όλων των αναγκαίων εγγράφων από τους υποψήφιους τρίτους φορείς, ώστε να γίνει σχετική αξιολόγηση. - Τέταρτη φάση – σύναψη σύμβασης
Η τέταρτη φάση περιλαμβάνει τη σύναψη της σύμβασης, η οποία περιλαμβάνει τις ειδικές συμβατικές ρήτρες για την προστασία των προσωπικών δεδομένων, σύμφωνα και με όσα τέθηκαν στη δεύτερη φάση – πρόσκληση υποβολής προσφορών. - Πέμπτη φάση – διαχείριση και λύση σύμβασης.
Η πέμπτη φάση περιλαμβάνει ιδίως: (i) την παρακολούθηση της εκτέλεσης της σύμβασης από τον τρίτο φορέα -ως προς τις υποχρεώσεις του για την προστασία των προσωπικών δεδομένων-, ώστε να υποδεικνύονται προς αυτόν οφειλόμενες προληπτικές ή διορθωτικές ενέργειες, (ii) την υλοποίηση των όσων προβλέπονται κατά τη λύση της σύμβασης σε σχέση με τα προσωπικά δεδομένα, (iii) τη συναγωγή και την έγγραφη τεκμηρίωση των διδαγμάτων για τον δημόσιο φορέα από την εκτέλεση της επίμαχης σύμβασης, ώστε να χρησιμοποιηθούν στο μέλλον σε αντίστοιχες, νέες συμβάσεις.
Καταληκτικά, ο Οδηγός μπορεί να φανεί χρήσιμος και για τους εφαρμοστές του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), στο πλαίσιο των προβλεπόμενων ιδίως στο άρθρο 28 αυτού για τους εκτελούντες την επεξεργασία. Μεταξύ άλλων, η διάκριση πέντε φάσεων για τη διαδικασία της ανάθεσης και της παροχής της υπηρεσίας από τον τρίτο φορέα μπορεί να αξιοποιηθεί για τη σαφή διάρθρωση σχετικής Πολιτικής εντός του εκάστοτε δημόσιου φορέα.
Το πλήρες κείμενο του Οδηγού της της εποπτικής αρχής του Οντάριο (IPC / Καναδάς) για τις συμβάσεις στον δημόσιο τομέα με τρίτους φορείς παροχής υπηρεσιών, και υπό το πρίσμα της προστασίας των προσωπικών δεδομένων, είναι διαθέσιμο στην ακόλουθη ηλεκτρονική διεύθυνση: