Οι ανεξάρτητοι δεδομένων επαγγελματίες (freelance data engineers, data analysts που εργάζονται έργων, ερευνητές) συχνά έχουν πρόσβαση σε προσωπικά δεδομένα για ανακατασκευή, διαγραφή, ή ανάλυση.
Αλλά χωρίς επίσημη Συμφωνία Επεξεργασίας Δεδομένων (Data Processing Agreement, DPA) με τον εντολέα, ο ανεξάρτητος ενδέχεται να είναι:
- Επισήμως ο "Επεξεργαστής" κατά το GDPR — υπεύθυνος για τη δίκαιη χρήση δεδομένων
- Εκθέτης σε ευθύνη — εάν δεδομένα διαρρέουν, αμφότερα αυτός και ο εντολέας θα καλεσούν να ανταποκριθούν
Το GDPR Πρόβλημα: Χωρίς DPA, Ποιος Ευθύνεται;
Άρθρο 28 GDPR: Ένα νόμιμο GDPR δίστημα απαιτεί γραπτή Συμφωνία Επεξεργασίας Δεδομένων (DPA) μεταξύ του "Controller" (ο εντολέας) και του "Processor" (ο ανεξάρτητος).
Χωρίς αυτή τη συμφωνία:
- Ο εντολέας αντιμετωπίζει πιθανή πρόστιμο για μη ύψη DPA (€20M ή 4% κύκλο εργασιών)
- Ο ανεξάρτητος αντιμετωπίζει ευθύνη εάν δεδομένα παραβιάζονται κατά τη δίαρκεια της εργασίας του
Πώς να Είστε Συμμόρφ ως Ανεξάρτητος
Βήμα 1: Σημειώστε μια Συμφωνία Επεξεργασίας Δεδομένων
Προτού να αρχίσετε τη δουλειά, μια έγγραφη σύμφωνη με τον εντολέα που περιλαμβάνει:
- Φύση της δουλειάς (π.χ., "ανάλυση δεδομένων πελάτη")
- Είδη προσωπικών δεδομένων που θα χειριστείτε
- Υποχρέωσεις ασφάλειας σας (π.χ., κρυπτογράφηση, έλεγχος πρόσβασης)
- Πόσο καιρό θα κρατήσετε δεδομένα
- Πώς θα ασφαλίσετε ή θα διαγράψετε δεδομένα μετά την εργασία
Βήμα 2: Τεχνικές Ανωνυμοποίησης που Ικανοποιούν το GDPR
Για την ανάλυση ή ανακατασκευή, χρησιμοποιήστε τεχνικές που ικανοποιούν τη δοκιμή re-identification του GDPR:
Αντικατάσταση/Masking: Αντικατάσταση ονομάτων με αριθμούς (π.χ., "Jane Doe" → "Customer_1001"). Αυτό είναι "ψευδωνυμία", όχι ανωνυμοποίηση, αλλά αποδεκτή κατά το GDPR Article 4(5) εάν δεν υπάρχει ανταγωνιστικό κλειδί που συνδέει τον αριθμό με την ταυτότητα.
Κρυπτογράφηση: Κρυπτογράφηση ονομάτων και λοιπών PII με κλειδί που κρατάτε ξεχωριστά από τη βάση δεδομένων. Αποδεκτή για GDPR υπό την προϋπόθεση ότι ο ανεξάρτητος δεν έχει πρόσβαση στο κλειδί χωρίς εξουσίας.
Τοπικά Διαφορετικά: Σβήστε τα τελευταία 5 ψηφία ενός αριθμού κοινωνικής ασφάλισης ή σβήστε τα πρώτα ονόματα αλλά κρατήστε τα επώνυμα. Αυτό μειώνει την αναγνωρίσιμότητα αλλά ενδέχεται ακόμα να μην είναι "ανωνυμοποίηση" κατά το GDPR εάν υπάρχει σύνδεσμος (π.χ., ο συνδυασμός επωνύμου + τμήμα = αναγνωριστικό).
Αφαίρεση Σύνδεσμου: Αποθηκεύστε δεδομένα σε δύο τραπέζια:
- Πίνακας 1: Ταυτότητα (όνομα, ηλεκτρονικό ταχυδρομείο, Αρ. κοινωνικής ασφάλισης) + Αναγνωριστικό πελάτη
- Πίνακας 2: Αναγνωριστικό πελάτη + Λοιπά δεδομένα (δραστηριότητες, αγορές)
Διαγραφή Πίνακα 1 μετά τη δοκιμή. Πίνακας 2 δεν μπορεί να επανασυνδεθεί.
Βήμα 3: Τεκμηρίωση της Μεθόδου Ανωνυμοποίησης
Γράψτε μια έκθεση που:
- Περιγράφει τη μέθοδο ανωνυμοποίησης που χρησιμοποιήθηκε
- Εξηγεί γιατί πληρονοεί τη δοκιμή GDPR re-identification
- Καταλαμβάνει ποιο κλειδί/πληκτρολόγιο κρατήθηκε ξεχωριστά
Το GDPR Άρθρο 32(1)(d) απαιτεί ότι ο επεξεργαστής "θέσει ευθύνες κατά τρίτων που διατηρούν ή χειρίζονται δεδομένα". Η τεκμηρίωση αποδεικνύει ότι το κάνατε.
Ερώτηση: Πότε Δεν Χρειάζεστε DPA;
Σε σπάνιες περιπτώσεις, ένας ανεξάρτητος δεν χρειάζεται εγγραφή DPA:
- Το δεδομένα είναι πλήρως ανώνυμο (δεν υπάρχει κανένας δυνατός τρόπος να επανασυνδεθεί)
- Ο ανεξάρτητος δεν κρατά κανά κλειδί κρυπτογράφησης
- Ο ανεξάρτητος δεν έχει πρόσβαση σε πίνακα σύνδεσης ταυτότητας
Αλλά στην πράξη, αυτό είναι δύσκολο να αποδειχθεί και ο ανεξάρτητος πρέπει ακόμα να έχει μια τεκμηρίωση γιατί θεωρεί τα δεδομένα πλήρως ανώνυμα.
Πόσο Κοστίζει Ένα DPA;
Ένα βασικό DPA συνθέτει από νομικό:
- Σχεδιασμός πρότυπο: €500-1.500
- Τροποποίηση για ειδικά δεδομένα: €1.000-3.000
Εναλλακτικά, χρησιμοποιήστε πρότυπο DPA (πολλές δημόσιες πόροι προσφέρουν τα ανοικτά πρότυπα).
Πηγές: