Juhataja ja alltöövõtja: kes vastutab?

Õiguslik valve nr 39 – September 2021

Juhataja ja alltöövõtja: kes vastutab? Paljud andmetöötlejad kasutavad alltöövõtjaid, olgu siis personalijuhtimise, reklaami sihtimise või andmeturbe valdkonnas.

Alltöövõtja kasutamine ei ole GDPR-i seisukohast väheoluline, kuna see täpsustab ja tugevdab eri osaliste vastavaid kohustusi.

Millal me räägime alltöövõtust?

CNIL mainib teavitamise eesmärgil mitmeid organisatsioone:

• IT-teenuse pakkujad (majutus, hooldus jne), tarkvaraintegraatorid, IT-turbeettevõtted, digitaalsete teenuste ettevõtted,
• Turundus- või kommunikatsiooniagentuurid, mis töötlevad klientide nimel isikuandmeid ja
• Üldisemalt öeldes on see iga organisatsioon (avalik-õiguslik või eraõiguslik), mis pakub teenust või osutab teenuseid, mis hõlmavad isikuandmete töötlemist teise organisatsiooni nimel.

Tarkvara väljaandjaid või riistvara tootjaid (kaardilugejad, biomeetrilised seadmed, meditsiiniseadmed), kellel puudub juurdepääs isikuandmetele ja kes neid ei töötle, ei loeta alltöövõtjateks.

Alltöövõtja vastutust tugevdab GDPR

Euroopa määruse eesmärk on muuta kõik isikuandmete töötlemises osalevad sidusrühmad tasakaalustatumalt vastutustundlikumaks.

Eelkõige alltöövõtjate roll areneb suurema proaktiivsuse suunas: nad ei järgi enam lihtsalt vastutava töötleja juhiseid, vaid peavad vastavalt isikuandmete kaitse üldmääruse artiklile 28 abistama neid pidevas vastavusprotsessis: mõjuanalüüsid, rikkumistest teatamine, turvalisus, andmete hävitamine, audititesse panustamine.

Kes vastutab? Millised on riskid andmetöötleja jaoks?

Enne isikuandmete kaitse üldmääruse jõustumist pidi andmetöötleja vastutama oma alltöövõtja tegevuse eest: viimane pidi andma piisavad tagatised andmete turvalisuse ja konfidentsiaalsuse meetmete rakendamise tagamiseks, kuid andmetöötleja kohustus oli tagada nende kohustuste täitmine: „asjaolu, et andmetega seotud rikkumine võis olla tingitud alltöövõtja tehtud veast, ei mõjuta andmetöötleja kohustust tagada alltöövõtja tegevuse range järelevalve“, nagu tõendab CNIL-i 6. septembri 2018. aasta arutelu, millega määrati andmetöötlejale rahaline karistus.

Kuigi isikuandmete kaitse üldmäärus ei vabasta andmetöötlejat tema enda kohustustest, näeb see ette alltöövõtja suurema vastutuse.

CNIL selgitas seda sel aastal oma esimeses otsuses, mis pärines 2021. aasta jaanuarist.

Ühes volituste täitmise* juhtumis kulus juhil ja alltöövõtjal veebisaidile suunatud rünnakute tuvastamise ja blokeerimise tööriista juurutamiseks rohkem kui aasta.

Juhtijale määrati 150 000 euro suurune ja alltöövõtjale 75 000 euro suurune trahv.

CNIL täpsustab, et „andmetöötleja peab otsustama meetmete rakendamise üle ja andma oma alltöövõtjale dokumenteeritud juhised. Kuid alltöövõtja peab otsima ka kõige sobivamaid tehnilisi ja korralduslikke lahendusi isikuandmete turvalisuse tagamiseks ning pakkuma neid andmetöötlejale välja.“

Esiteks: määrake lepingus selgelt rollid ja vastutusvaldkonnad.

See leping võib täielikult või osaliselt põhineda tüüptingimustel.

Alates 2019. aastast on kolm Euroopa andmekaitseasutust (Taani, Sloveenia ja Leedu) vastu võtnud volitatud töötlejate lepingu tüüptingimused, mille kohta Euroopa Andmekaitsenõukogu (EDPB) on avaldanud arvamuse. 4. juunil 2021 avaldas Euroopa Komisjon oma vastutavate ja volitatud töötlejate vahelised lepingu tüüptingimused vastavalt isikuandmete kaitse üldmäärusele ja määrusele (EL) 2018/1725.

CNIL pakub oma alltöövõtjate juhendis ka lepingutingimuste näiteid.

Lepingus tuleb määratleda:

• Teenuse eesmärk ja kestus
• Töötlemise laad ja eesmärk
• Töödeldavate isikuandmete liik
• Asjaomaste isikute kategooriad
• Kliendi kohustused ja õigused andmetöötlejana
• Alltöövõtja kohustused ja õigused vastavalt isikuandmete kaitse üldmääruse artiklile 28

Alltöövõtja on eelkõige seotud järgmiste kohustustega:

• Määrake andmekaitseametnik, kui tegemist on ametiasutuse või avalik-õigusliku organiga, kes teostab regulaarset ja süstemaatilist isikute ulatuslikku jälgimist või töötleb ulatuslikult nn tundlikke andmeid või andmeid süüdimõistvate kohtuotsuste ja süütegude kohta.
• Dokumenteerige oma alltöövõtu tegevused ja pidage töötlemistoimingute registrit
• Pakkuda tööriistu, mis austavad isikuandmeid (nt isikuandmete liides, tellimuse tühistamise link)
• Aidata andmetöötlejal vastata üksikisikute õiguste teostamise taotlustele
• Tagage kogutud andmete turvalisus.

Turvaprobleemid on ühed sagedamini rikkumiste ja vaidluste põhjustajad. Seetõttu on andmetöötlejal soovitatav:

• Nõuda teenusepakkujalt oma infosüsteemide turbepoliitika edastamist;
• Alltöövõtja pakutavate andmekaitsealaste tagatiste tõhususe tagamiseks ja dokumenteerimiseks.
• Meetmete tõhususe kontrollimiseks näiteks turvaauditite või rajatiste külastuse kaudu.

* Volituste täitmine on küberrünnaku tüüp, kus varastatud kontoandmeid, mis tavaliselt koosnevad kasutajatunnuste ja nendega seotud paroolide loenditest (sageli hangitud pettuse teel), kasutatakse kasutajakontodele volitamata juurdepääsu saamiseks veebirakendustesse suunatud ulatuslike automatiseeritud sisselogimistaotluste kaudu.

Ja ka

Prantsusmaa:

Seal Andmeleke Pariisi avalikest haiglatest (AP-HP) CNIL-ile on teatatud 1,4 miljoni inimese COVID-19 testist 2020. aasta keskel. Komisjon ja valitsus on avaldanud asjaomastele isikutele teavituskirja.

ANSSI avaldab soovitusi seoses ühendatud objektide turvalisus.

A välismaiste digitaalsete häirete vastane jälgimis- ja kaitseteenus (Viginum) loodi 13. juulil määrusega. Selle missiooniks on tuvastada ja analüüsida välismaalt orkestreeritud Prantsusmaa-vaenulikku sisu digitaalsetel platvormidel.

Kiirsõnumid on privaatne kirjavahetus 23. juuli otsuses otsustas Meaux' töökohus, et Eurodisney ettevõte ei saa töötajat vallandada Messengeri vestluse alusel, millele tal polnud juurdepääsuõigust, isegi kui see sõnumsideteenus polnud parooliga kaitstud.

Euroopa:

Euroopa Komisjon teatas 15. septembril ühendatud objektide küberturvalisust käsitlev seadusandlik algatusSee täiendab kavandatavat NIS2 direktiivi võrgu turvalisuse kohta.

Pärast enam kui aasta kestnud läbirääkimisi Ameerika Ühendriigid ja Euroopa ei ole veel Atlandi-ülese andmeedastuse osas kokkuleppele jõudnud.Nende läbirääkimiste eesmärk on lahendada õiguslik vaakum, mille jättis Euroopa Kohtu Schrems II otsus, millega Privacy Shield tühistati.

Siiski tehakse koostööd, näiteks tehisintellekti valdkonnas ja ebaseaduslikku sisu veebis levitavate platvormide reguleerimisel.

See selgub ELi ja USA kaubandus- ja tehnoloogianõukogu 29. septembri avakommünikeest.

Alates 27. septembrist peab andmeedastus Euroopa Liidust väljapoole jäävasse riiki, mida ei peeta piisavaks kaitsetasemeks, põhinema standardsete lepingutingimuste ajakohastatud versioon Euroopa Komisjoni aruanne, avaldatud 4. juunil.

Euroopa andmekaitseinspektor avaldas 24. septembril arvamuse Euroopa Komisjoni ettepaneku kohta, mis käsitleb võitlus rahapesu vastu, milles ta rõhutab kogutud isikuandmete vajalikkuse ja proportsionaalsuse põhimõtteid.

Belgia ametiasutus avaldas 23. septembril teate kasutamise pikendamise kohta Covidi ohutu Piletid igapäevaelu paikadesse ja sündmustele.

See tuletab meelde kohustust tõendada selle „tervisepassi” vajalikkust ja proportsionaalsust ning sellega kaasnevat sekkumist eraellu.

Iiri ametiasutust peetakse andmekaitseringkondades endiselt GDPR-i järgimise kitsaskohaks..

Pangem siiski tähele tema 17. septembri teadet koos Itaalia ametivõim, mis puudutabFacebooki prillide video- ja fotofunktsioonide mõju privaatsusküsimustes.

Samal ajal Norra ametivõimud teatasid oma otsusest lõpetada Facebooki kasutamine suhtluseks. pärast andmekaitsealast mõjuhinnangut.

THE Leedu Kaitseministeerium soovitas 21. septembri teates mitte kasutada Hiina telefonid näiteks Xiaomi Corp, mis integreerib tarkvara teatud sõnumite tuvastamiseks ja tsenseerimiseks.

Rahvusvaheline:

Esimene andmekaitseasutuste G7 tõi 7. ja 8. septembril Ühendkuningriigi presidendi juhtimisel kokku Prantsusmaa, Itaalia, Kanada, Suurbritannia, Saksamaa, Jaapani ja Ameerika Ühendriikide võimud.

Võimud arutasid rahvusvahelisi andmekaitseküsimusi, sealhulgas piiriüleseid andmevooge, pandeemiaga seotud küsimusi ja tehisintellekti arendamist.

Uruguay, Euroopa Liit peab riiki, mis tagab isikuandmete piisava kaitseon ajakohastanud oma hinnangut riikide kohta, kuhu andmete edastamine on seaduslikult võimalik.

See hindamine välistab Ameerika Ühendriigid riikides, kus on piisav kaitsetase.

Uruguay ja Ameerika Ühendriikide vaheline andmeedastus peab nüüd pakkuma konkreetseid tagatisi, näiteks asjakohaste lepingutingimuste järgimist.

Anne Christine Lacoste

Olivier Weber Avocati partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles GDPR-i rakendamisega Euroopa Liidus.