La responsabilité partagée des sous-traitants

Κοινή ευθύνη των υπεργολάβων

Απόσπασμα από το βιβλίο του Bruno DUMAY: ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΗ GDPR – Για διευθυντές, στρατηγικά τμήματα και υπαλλήλους εταιρειών και οργανισμών – Πρόλογος από την Gaëlle MONTEILLER

Σε όλο το κείμενο, οι επεξεργαστές αναφέρονται παράλληλα με τους υπευθύνους επεξεργασίας δεδομένων. Σύμφωνα με το άρθρο 4-8, ο επεξεργαστής είναι «φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας». Μπορεί να ενεργεί μόνο στο πλαίσιο σύμβασης ή άλλης νομικής πράξης της Ευρωπαϊκής Ένωσης, η οποία επαναλαμβάνει τις υποχρεώσεις της για την προστασία των δεδομένων (άρθρο 28-3).

Τον Σεπτέμβριο του 2017, η CNIL δημοσίευσε έναν Οδηγό Υπεργολάβων, ο οποίος διευκρινίζει τον ρόλο και τη φύση της στην αλυσίδα επεξεργασίας και προστασίας δεδομένων.

Παρά τον ακριβή ορισμό του, ο όρος υπεργολάβος μπορεί να εφαρμοστεί σε πολλές κατασκευές, οι οποίες παρατίθενται ως εξής:

«– Πάροχοι υπηρεσιών πληροφορικής (φιλοξενία, συντήρηση κ.λπ.), ολοκληρωτές λογισμικού, εταιρείες ασφάλειας πληροφορικής, εταιρείες ψηφιακών υπηρεσιών ή πρώην εταιρείες υπηρεσιών και μηχανικής πληροφορικής (SSII) που έχουν πρόσβαση στα δεδομένα·

– εταιρείες μάρκετινγκ ή επικοινωνίας που επεξεργάζονται προσωπικά δεδομένα για λογαριασμό πελατών·

– γενικότερα, κάθε οργανισμός που προσφέρει υπηρεσία ή παροχή που περιλαμβάνει την επεξεργασία δεδομένων προσωπικού χαρακτήρα για λογαριασμό άλλου οργανισμού·

– ένας δημόσιος φορέας ή μια ένωση μπορεί επίσης να υποχρεωθεί να λάβει τέτοιο προσόν.

Λάβετε υπόψη ότι κατά την επεξεργασία δεδομένων για ίδιο λογαριασμό (π.χ., διαχείριση προσωπικού), ο υπεργολάβος είναι υπεύθυνος για την επεξεργασία. Αυτό ισχύει και εάν ο ίδιος καθορίζει τον σκοπό και τα μέσα επεξεργασίας.

Σε περίπτωση αμφιβολίας σχετικά με την ιδιότητα – υπεύθυνου επεξεργασίας ή επεξεργαστή δεδομένων – η CNIL παραπέμπει στη γνώμη της 16ης Φεβρουαρίου 2010 των ευρωπαϊκών εποπτικών αρχών, η οποία υποδεικνύει μια σειρά από ενδείξεις που μπορούν να χρησιμοποιηθούν:

– την αυτονομία του παρόχου υπηρεσιών κατά την εκτέλεση της υπηρεσίας του·

– παρακολούθηση της υπηρεσίας·

– η προστιθέμενη αξία, δηλαδή η εμπειρογνωμοσύνη, που παρέχεται από τον πάροχο υπηρεσιών·

– ο βαθμός διαφάνειας όσον αφορά τη χρήση ενός παρόχου υπηρεσιών (είναι γνωστή η ταυτότητά του στα ενδιαφερόμενα άτομα που χρησιμοποιούν τις υπηρεσίες του πελάτη;).

Σύμφωνα με τον ΓΚΠΔ, ο εκτελών την επεξεργασία είναι από κοινού υπεύθυνος. «Υποστηρίζει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης με τις υποχρεώσεις» (Άρθρο 28-3στ). Τηρεί «μητρώο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που εκτελούνται για λογαριασμό του υπευθύνου επεξεργασίας» (Άρθρο 30-2). Και, τις περισσότερες φορές, πρέπει επίσης να διορίσει έναν υπεύθυνο προστασίας δεδομένων (Άρθρο 37), στον οποίο θα επανέλθουμε αργότερα.

Η CNIL διευκρινίζει στον οδηγό της τι εννοείται με τις «επαρκείς εγγυήσεις» που πρέπει να παρέχει ο υπεργολάβος για να είναι σε θέση να εκτελέσει το έργο του:

– διαφάνεια και ιχνηλασιμότητα (σύμβαση, οδηγίες, μητρώο και όλες οι απαραίτητες πληροφορίες για την απόδειξη της συμμόρφωσης με τις υποχρεώσεις)·

– προστασία δεδομένων από τον σχεδιασμό και εξ ορισμού (ελάχιστη επεξεργασία, σχετική με τον σκοπό και μόνο αυτόν τον σκοπό, περιορισμένη διάρκεια)·

– ασφάλεια των δεδομένων που υποβάλλονται σε επεξεργασία (εμπιστευτικότητα, ειδοποίηση σε περίπτωση παραβίασης δεδομένων, διαγραφή ή επιστροφή δεδομένων στο τέλος της υπηρεσίας)·

– βοήθεια, ειδοποίηση και συμβουλές.

Εάν ο υπεργολάβος αναθέτει και υπεργολαβίες, πρέπει πρώτα να λάβει γραπτή άδεια από τον υπεύθυνο επεξεργασίας δεδομένων (Άρθρο 28-2). Αυτός ο δεύτερος υπεργολάβος υπόκειται στις ίδιες υποχρεώσεις, ακόμη και αν είναι εγκατεστημένος εκτός της Ευρωπαϊκής Ένωσης. Εάν δεν συμμορφωθεί με αυτές, ο πρώτος υπεργολάβος φέρει την ευθύνη. Με άλλα λόγια, σε περίπτωση προβλήματος, δεν μπορεί κανείς να δικαιολογηθεί επικαλούμενος την τοποθεσία ενός παρόχου υπηρεσιών στο Μαρόκο ή τη Σιγκαπούρη για να δικαιολογήσει την επεξεργασία που δεν συμμορφώνεται με τον ΓΚΠΔ.

Η CNIL συνιστά την τροποποίηση των ισχυουσών συμβάσεων, μέσω τροποποιήσεων, ώστε να συμπεριληφθούν οι υποχρεωτικές ρήτρες που προβλέπονται από τον ευρωπαϊκό κανονισμό.

Εάν ένας υπεργολάβος δραστηριοποιείται σε πολλές χώρες της ΕΕ, είναι δυνατή η λειτουργία ενός ενιαίου κέντρου εξυπηρέτησης. Το άρθρο 56-1 ορίζει ότι η «επικεφαλής αρχή» θα είναι αυτή της κύριας εγκατάστασης. Εάν ένας υπεργολάβος δεν διαθέτει εγκατάσταση στην ΕΕ, πρέπει τότε να διορίσει έναν εκπρόσωπο, ο οποίος θα είναι το πρόσωπο επικοινωνίας για τα υποκείμενα των δεδομένων και τις εποπτικές αρχές.

Οι κυρώσεις που επιβάλλονται σε έναν υπεργολάβο σε περίπτωση μη εκπλήρωσης των υποχρεώσεών του μπορούν να είναι εξίσου αυστηρές με εκείνες που επιβάλλονται σε έναν υπεύθυνο επεξεργασίας δεδομένων.

Ανακαλύψτε το Viqtor®
elEL
fr_FRFR en_USEN de_DE_formalDE es_ESES it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL elEL