Responsable et sous-traitant : qui engage sa responsabilité ?

Διευθυντής και υπεργολάβος: ποιος είναι υπεύθυνος;

Νομική Παρακολούθηση Αρ. 39 – Σεπτέμβριος 2021

Διευθυντής και υπεργολάβος: ποιος είναι υπεύθυνος; Πολλοί υπεύθυνοι επεξεργασίας δεδομένων χρησιμοποιούν υπεργολάβους, είτε στον τομέα της διαχείρισης ανθρώπινου δυναμικού, της στόχευσης διαφημίσεων είτε της ασφάλειας δεδομένων.

Η χρήση υπεργολάβου δεν είναι ασήμαντη σε σχέση με τον ΓΚΠΔ, ο οποίος καθορίζει και ενισχύει τις αντίστοιχες ευθύνες των διαφόρων φορέων.

Πότε μιλάμε για υπεργολαβία;

Η CNIL αναφέρει μια σειρά οργανισμών για ενημερωτικούς σκοπούς:

  • Πάροχοι υπηρεσιών πληροφορικής (φιλοξενία, συντήρηση κ.λπ.), ολοκληρωτές λογισμικού, εταιρείες ασφάλειας πληροφορικής, εταιρείες ψηφιακών υπηρεσιών,
  • Εταιρείες μάρκετινγκ ή επικοινωνίας που επεξεργάζονται προσωπικά δεδομένα για λογαριασμό πελατών και
  • Γενικότερα, κάθε οργανισμός (δημόσιος ή ιδιωτικός) που προσφέρει μια υπηρεσία ή παροχή που περιλαμβάνει την επεξεργασία δεδομένων προσωπικού χαρακτήρα για λογαριασμό άλλου οργανισμού.

Οι εκδότες λογισμικού ή οι κατασκευαστές υλικού (αναγνώστης badge, βιομετρικός εξοπλισμός, ιατρικός εξοπλισμός) που δεν έχουν πρόσβαση σε προσωπικά δεδομένα και δεν τα επεξεργάζονται δεν θεωρούνται υπεργολάβοι.

Ευθύνη του υπεργολάβου που ενισχύεται από τον ΓΚΠΔ

Ο ευρωπαϊκός κανονισμός στοχεύει να καταστήσει όλα τα ενδιαφερόμενα μέρη που εμπλέκονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα πιο υπεύθυνα με πιο ισορροπημένο τρόπο.

Οι υπεργολάβοι, ειδικότερα, βλέπουν τον ρόλο τους να εξελίσσεται προς μεγαλύτερη προνοητικότητα: δεν ακολουθούν πλέον απλώς τις οδηγίες του υπεύθυνου επεξεργασίας, αλλά πρέπει, σύμφωνα με το άρθρο 28 του ΓΚΠΔ, να τον βοηθούν στη συνεχή διαδικασία συμμόρφωσής τους: αναλύσεις επιπτώσεων, ειδοποίηση παραβιάσεων, ασφάλεια, καταστροφή δεδομένων, συμβολή σε ελέγχους.

Ποιος είναι υπεύθυνος; Ποιοι είναι οι κίνδυνοι για τον υπεύθυνο επεξεργασίας δεδομένων;

Πριν από την έναρξη ισχύος του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας δεδομένων έπρεπε να λογοδοτεί για τις ενέργειες του υπεργολάβου του: ο τελευταίος έπρεπε να παρέχει επαρκείς εγγυήσεις για να διασφαλίσει την εφαρμογή μέτρων ασφάλειας και εμπιστευτικότητας των δεδομένων, αλλά ήταν ευθύνη του υπεύθυνου επεξεργασίας να διασφαλίσει τη συμμόρφωση με αυτές τις υποχρεώσεις: «το γεγονός ότι μια παραβίαση δεδομένων μπορεί να προήλθε από σφάλμα που διέπραξε ένας υπεργολάβος δεν επηρεάζει την υποχρέωση του υπεύθυνου επεξεργασίας να διασφαλίζει την αυστηρή παρακολούθηση των ενεργειών που εκτελούνται από τον τελευταίο», όπως αποδεικνύεται από σύσκεψη της CNIL στις 6 Σεπτεμβρίου 2018, η οποία επιβάλλει οικονομική ποινή στον υπεύθυνο επεξεργασίας.

Παρόλο που ο ΓΚΠΔ δεν απαλλάσσει τον υπεύθυνο επεξεργασίας δεδομένων από τις δικές του υποχρεώσεις, προβλέπει αυξημένη ευθύνη για τον υπεργολάβο.

Αυτό διευκρινίστηκε από την CNIL φέτος, στην πρώτη της απόφαση που χρονολογείται από τον Ιανουάριο του 2021.

Σε μια υπόθεση παραποίησης διαπιστευτηρίων*, ο διευθυντής και ο υπεργολάβος χρειάστηκαν περισσότερο από ένα χρόνο για να εφαρμόσουν το εργαλείο ανίχνευσης και αποκλεισμού επιθέσεων στον ιστότοπο.

Στον διευθυντή επιβλήθηκε πρόστιμο 150.000 ευρώ και στον υπεργολάβο 75.000 ευρώ.

Η CNIL ορίζει ότι «ο υπεύθυνος επεξεργασίας δεδομένων πρέπει να αποφασίζει για την εφαρμογή των μέτρων και να δίνει τεκμηριωμένες οδηγίες στον υπεργολάβο του. Ωστόσο, ο υπεργολάβος πρέπει επίσης να αναζητά τις καταλληλότερες τεχνικές και οργανωτικές λύσεις για την ασφάλεια των προσωπικών δεδομένων και να τις προτείνει στον υπεύθυνο επεξεργασίας».

Πρώτα απ 'όλα: καθορίστε με σαφήνεια τους ρόλους και τις ευθύνες σε μια σύμβαση

Η παρούσα σύμβαση μπορεί να βασίζεται, εν όλω ή εν μέρει, σε τυποποιημένες συμβατικές ρήτρες (SCC).

Από το 2019, τρεις ευρωπαϊκές αρχές προστασίας δεδομένων (δανική, σλοβενική και λιθουανική) έχουν θεσπίσει Τυποποιημένους Συμβατικούς Όρους (ΤΣΡ) σχετικά με τους εκτελούντες την επεξεργασία, για τους οποίους το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) έχει εκδώσει γνώμη. Στις 4 Ιουνίου 2021, η Ευρωπαϊκή Επιτροπή δημοσίευσε τις Τυποποιημένες Συμβατικές Ρήτρες (ΤΣΡ) μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία βάσει του ΓΚΠΔ και του Κανονισμού (ΕΕ) 2018/1725.

Η CNIL παρέχει επίσης παραδείγματα συμβατικών ρητρών στον οδηγό υπεργολάβων της.

Η σύμβαση πρέπει να ορίζει:

  • Ο σκοπός και η διάρκεια της υπηρεσίας
  • Η φύση και ο σκοπός της επεξεργασίας
  • Το είδος των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία
  • Κατηγορίες ενδιαφερομένων προσώπων
  • Οι υποχρεώσεις και τα δικαιώματα του πελάτη ως υπεύθυνου επεξεργασίας δεδομένων
  • Οι υποχρεώσεις και τα δικαιώματα του υπεργολάβου όπως προβλέπονται στο άρθρο 28 του ΓΚΠΔ

Ο υπεργολάβος δεσμεύεται ειδικότερα από τις ακόλουθες υποχρεώσεις:

  • Διορίστε έναν υπεύθυνο προστασίας δεδομένων, εάν πρόκειται για αρχή ή δημόσιο φορέα, εάν διεξάγει τακτική και συστηματική παρακολούθηση ατόμων σε μεγάλη κλίμακα ή επεξεργάζεται σε μεγάλη κλίμακα τα λεγόμενα «ευαίσθητα» δεδομένα ή δεδομένα που σχετίζονται με ποινικές καταδίκες και αδικήματα.
  • Καταγράψτε τις δραστηριότητες υπεργολαβίας σας και τηρήστε μητρώο των εργασιών επεξεργασίας
  • Προσφέρετε εργαλεία που σέβονται τα προσωπικά δεδομένα (π.χ. διεπαφή προσωπικών πληροφοριών, σύνδεσμος διαγραφής)
  • Βοηθήστε τον υπεύθυνο επεξεργασίας δεδομένων να ανταποκριθεί σε αιτήματα άσκησης των δικαιωμάτων των ατόμων
  • Διασφαλίστε την ασφάλεια των δεδομένων που συλλέγονται.

Τα ζητήματα ασφάλειας συγκαταλέγονται μεταξύ εκείνων που προκαλούν συχνότερα παραβιάσεις και διαφορές. Συνεπώς, ο υπεύθυνος επεξεργασίας δεδομένων καλείται να:

  • Να απαιτήσει από τον πάροχο υπηρεσιών να γνωστοποιήσει την πολιτική του για την ασφάλεια των συστημάτων πληροφοριών·
  • Για να διασφαλιστεί και να τεκμηριωθεί η αποτελεσματικότητα των εγγυήσεων που προσφέρει ο υπεργολάβος όσον αφορά την προστασία δεδομένων.
  • Για την επαλήθευση της αποτελεσματικότητας των μέτρων, για παράδειγμα μέσω ελέγχων ασφαλείας ή επίσκεψης στις εγκαταστάσεις.

* Η παραποίηση διαπιστευτηρίων είναι ένας τύπος κυβερνοεπίθεσης όπου κλεμμένες πληροφορίες λογαριασμού, που συνήθως αποτελούνται από λίστες αναγνωριστικών χρηστών και σχετικών κωδικών πρόσβασης (που συχνά αποκτώνται με δόλιο τρόπο), χρησιμοποιούνται για την απόκτηση μη εξουσιοδοτημένης πρόσβασης σε λογαριασμούς χρηστών μέσω αυτοματοποιημένων αιτημάτων σύνδεσης μεγάλης κλίμακας σε διαδικτυακές εφαρμογές.

Και επίσης

Γαλλία:

Εκεί Διαρροή δεδομένων από τα Δημόσια Νοσοκομεία του Παρισιού (AP-HP) Έχει κοινοποιηθεί στην CNIL ένα στοιχείο που αφορά 1,4 εκατομμύρια άτομα που υποβλήθηκαν σε εξετάσεις για COVID-19 στα μέσα του 2020. Η Επιτροπή και η κυβέρνηση δημοσίευσαν ενημερωτικό σημείωμα για τα ενδιαφερόμενα άτομα.

Η ANSSI δημοσιεύει συστάσεις σχετικά με την ασφάλεια συνδεδεμένων αντικειμένων.

ΕΝΑ υπηρεσία παρακολούθησης και προστασίας από ξένες ψηφιακές παρεμβολές (Viginum) δημιουργήθηκε με διάταγμα στις 13 Ιουλίου. Αποστολή του είναι η ανίχνευση και η ανάλυση περιεχομένου εχθρικού προς τη Γαλλία σε ψηφιακές πλατφόρμες, το οποίο ενορχηστρώνεται από το εξωτερικό.

Τα άμεσα μηνύματα είναι ιδιωτική αλληλογραφία. Σε απόφαση της 23ης Ιουλίου, το Βιομηχανικό Δικαστήριο Meaux αποφάσισε ότι η εταιρεία Eurodisney δεν μπορούσε να απολύσει έναν υπάλληλο βάσει μιας συνομιλίας στο Messenger στην οποία δεν είχε εξουσιοδότηση πρόσβασης, ακόμη και αν η εν λόγω υπηρεσία ανταλλαγής μηνυμάτων δεν προστατεύονταν με κωδικό πρόσβασης.

Ευρώπη:

Η Ευρωπαϊκή Επιτροπή ανακοίνωσε στις 15 Σεπτεμβρίου... νομοθετική πρωτοβουλία σχετικά με την κυβερνοασφάλεια συνδεδεμένων αντικειμένωνΑυτό θα συμπληρώσει την προτεινόμενη οδηγία NIS2 για την ασφάλεια δικτύων.

Μετά από περισσότερο από ένα χρόνο διαπραγματεύσεων, Οι Ηνωμένες Πολιτείες και η Ευρώπη δεν έχουν ακόμη καταλήξει σε συμφωνία για τις διατλαντικές μεταφορές δεδομένωνΑυτές οι συνομιλίες στοχεύουν στην επίλυση του νομικού κενού που άφησε η απόφαση Schrems II του Ευρωπαϊκού Δικαστηρίου, με την οποία ακυρώθηκε η Ασπίδα Προστασίας Προσωπικών Δεδομένων.

Ωστόσο, καταβάλλονται προσπάθειες συνεργασίας, για παράδειγμα στον τομέα της τεχνητής νοημοσύνης και της ρύθμισης των πλατφορμών που διανέμουν παράνομο περιεχόμενο στο διαδίκτυο.

Αυτό προκύπτει από το εναρκτήριο ανακοινωθέν του Συμβουλίου Εμπορίου και Τεχνολογίας ΕΕ-ΗΠΑ της 29ης Σεπτεμβρίου.

Από τις 27 Σεπτεμβρίου, οι διαβιβάσεις δεδομένων σε χώρα εκτός της Ευρωπαϊκής Ένωσης που θεωρείται ότι δεν παρέχουν επαρκές επίπεδο προστασίας πρέπει να βασίζονται στο εκσυγχρονισμένη έκδοση των τυποποιημένων συμβατικών ρητρών της Ευρωπαϊκής Επιτροπής, που δημοσιεύθηκε στις 4 Ιουνίου.

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων δημοσίευσε στις 24 Σεπτεμβρίου γνώμη σχετικά με την πρόταση της Ευρωπαϊκής Επιτροπής σχετικά με η καταπολέμηση του ξεπλύματος χρήματος, στο οποίο τονίζει τις αρχές της αναγκαιότητας και της αναλογικότητας των συλλεγόμενων προσωπικών δεδομένων.

Η βελγική αρχή δημοσίευσε στις 23 Σεπτεμβρίου ανακοίνωση σχετικά με την επέκταση της χρήσης του Covid Safe Εισιτήριο για μέρη και γεγονότα της καθημερινής ζωής.

Υπενθυμίζει την υποχρέωση να αποδειχθεί η αναγκαιότητα και η αναλογικότητα αυτής της «άδειας υγείας» και η παρέμβαση στην ιδιωτική ζωή που συνεπάγεται.

Η ιρλανδική αρχή εξακολουθεί να θεωρείται στους κύκλους της προστασίας δεδομένων ως το εμπόδιο όσον αφορά τη συμμόρφωση με τον GDPR..

Ας σημειώσουμε ωστόσο την ανακοίνωσή του της 17ης Σεπτεμβρίου, από κοινού με η ιταλική αρχή, σχετικά με τοεπίδραση των λειτουργιών βίντεο και φωτογραφιών των γυαλιών Facebook σε θέματα απορρήτου.

Συγχρόνως, Η νορβηγική αρχή ανακοίνωσε την απόφασή της να μην χρησιμοποιεί πλέον το Facebook για τις επικοινωνίες της, μετά από εκτίμηση επιπτώσεων στην προστασία δεδομένων.

Ο Υπουργείο Άμυνας της Λιθουανίας συνέστησε σε ανακοίνωση της 21ης Σεπτεμβρίου να μην χρησιμοποιηθεί το Κινέζικα τηλέφωνα όπως η Xiaomi Corp, η οποία ενσωματώνει λογισμικό για την ανίχνευση και τη λογοκρισία ορισμένων μηνυμάτων.

Διεθνές:

Η πρώτη G7 των αρχών προστασίας δεδομένων συγκέντρωσε στις 7 και 8 Σεπτεμβρίου τις αρχές της Γαλλίας, της Ιταλίας, του Καναδά, της Βρετανίας, της Γερμανίας, της Ιαπωνίας και των Ηνωμένων Πολιτειών, υπό την προεδρία του Ηνωμένου Βασιλείου.

Οι αρχές συζήτησαν διεθνή ζητήματα προστασίας δεδομένων, συμπεριλαμβανομένων των διασυνοριακών ροών δεδομένων, ζητημάτων που σχετίζονται με την πανδημία και την ανάπτυξη της τεχνητής νοημοσύνης.

Ουρουγουάη, θεωρείται από την Ευρωπαϊκή Ένωση ως χώρα που εγγυάται επαρκές επίπεδο προστασίας των προσωπικών δεδομένων, έχει ενημερώσει τη δική της αξιολόγηση των χωρών στις οποίες η μεταφορά δεδομένων είναι νομικά εφικτή.

Αυτή η αξιολόγηση εξαιρούνται οι Ηνωμένες Πολιτείες χώρες με επαρκές επίπεδο προστασίας.

Οι μεταφορές δεδομένων μεταξύ Ουρουγουάης και Ηνωμένων Πολιτειών θα πρέπει πλέον να παρέχουν συγκεκριμένες εγγυήσεις, όπως η συμμόρφωση με τις κατάλληλες συμβατικές ρήτρες.

Άννα Κριστίν Λακόστ

Η Anne Christine Lacoste, συνεργάτιδα της Olivier Weber Avocat, είναι δικηγόρος με εξειδίκευση στο δίκαιο των δεδομένων. Διετέλεσε επικεφαλής διεθνών σχέσεων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εργάστηκε για την εφαρμογή του GDPR στην Ευρωπαϊκή Ένωση.

Ανακαλύψτε το Viqtor®
elEL
fr_FRFR en_USEN de_DE_formalDE es_ESES it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL elEL