THE GDPR HANDBOOK

80 H ΠΡΟΣΤΑΣΙΑ ∆Ε∆ΟΜΕΝΩΝ ΣΤΗΝ ΨΗΦΙΑΚΗ ΟΙΚΟΝΟΜΙΑ ΚΑΙ ΚΟΙΝΩΝΙΑ δ) Τέλος, είναι χρήσιμη η κατάρτιση και επισύναψη στη σύμβαση από πλευ- ράς εκτελούντος επεξεργασία, συμβολαίου ασφαλιστικής κάλυψης αστικής ευθύνης για τυχόν διαρροές, απώλεια δεδομένων και διοικητικά πρόστιμα επιβαλλόμενα από Εποπτικές Αρχές. Ενόψει ύπαρξης νομοθετικής πρόβλεψης περί κοινής και εις ολόκληρον ευ- θύνης των μερών, μια σωστή και ισορροπημένη σύμβαση αποτελεί νομικό ερ- γαλείο διαχείρισης του κινδύνου για τον υπεύθυνο που προέρχεται από δόλο ή αμέλεια αναξιόπιστων εκτελούντων συνεργατών, προμηθευτών, παρόχων υπηρεσιών αποθήκευσης στο νέφος κ.λπ . Εφόσον ένα συμβαλλόμενο μέρος αποδείξει ότι έλαβε τα κατάλληλα νομικά, τεχνικά και οργανωτικά μέτρα, τό- τε δύναται να απαλλαγεί από την ευθύνη αποζημίωσης των θιγομένων (άρθρο 82 ΓΚΠ∆), σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα. Στην πράξη προέκυψαν πανευρωπαϊκά, όπως και στη χώρα μας, διαφωνίες ως προς το ρόλο κάθε μέρους ως υπευθύνου ή εκτελούντος επεξεργασία. Ορισμένοι φορείς μάλιστα, προσπάθησαν, ανεπιτυχώς τις περισσότερες φορές, να θέσουν όρους και ρήτρες περιορισμού της ευθύνης τους για πα- ραβιάσεις του Κανονισμού. Λόγου χάριν, εταιρίες διάθεσης γιατρών εργα- σίας ή τεχνικών ασφαλείας πρότειναν συμβάσεις όπου η ευθύνη τους προς αποζημίωση του υπευθύνου θα ίσχυε μόνο για δόλο, και όχι για αμέλεια, και μάλιστα θα περιοριζόταν μέχρις ενός ανωτάτου ορίου ύψους ποσού (π.χ. 1000 ευρώ) καταβλητέο μάλιστα μετά από έκδοση αμετάκλητης δικαστικής απόφασης σε βάρος τους. Είναι αυτονόητο ότι τέτοιες ρήτρες απαλλαγής ή περιορισμού ευθύνης εκ μέρους των εκτελούντων είναι άκυρες και κα- ταχρηστικές, εφόσον αντιβαίνουν στην αρχή της απεριόριστης και εις ολό- κληρον ευθύνης των μερών, βάσει ΓΚΠ∆ (άρθρο 83), και δεν πρέπει να γί- νονται δεκτές από τους υπευθύνους επεξεργασίας. Παρατηρήθηκαν ακόμα περιπτώσεις όπου εταιρίες (π.χ. φορείς επιχειρηματικής πληροφόρησης), παρότι επέχουν εξ ορισμού θέση υπευθύνου επεξεργασίας, αφού ως κύριο αντικείμενο δραστηριότητας έχουν τη συλλογή οικονομικών και νομικών δεδομένων, τα οποία διαθέτουν εμπορικά έναντι συνδρομής προς κάθε ενδι- αφερόμενο, προσπάθησαν να εμφανισθούν ως εκτελούντες επεξεργασία για λογαριασμό των πελατών, οι οποίοι ήταν απλώς αποδέκτες των δεδομένων, και να τους μετακυλίσουν την ευθύνη επί διαρροών και κυρώσεων. 12. Αντιμετώπιση και μεταφορά κινδύνου Σχηματικά, η αντιμετώπιση του κινδύνου παρουσιάζει τέσσερα στάδια. Κατά τη θεωρία ανάλυσης ρίσκου 77 , εγγενής κίνδυνος (inherent risk) είναι ο κίνδυ- νος που υφίσταται εξ αρχής σε σχέση με μια επεξεργασία (π.χ. πιθανότητα 77.  Σχ. Terge Aven , Risk Analysis, Wiley, second edition, September 2015, 42015, https:// onlinelibrary.wiley.com/doi/book/10.1002/9781119057819.