Responsable et sous-traitant : qui engage sa responsabilité ?

Johtaja ja aliurakoitsija: kuka on vastuussa?

Oikeudellinen valvonta nro 39 – Syyskuu 2021

Johtaja ja aliurakoitsija: kuka on vastuussa? Monet rekisterinpitäjät käyttävät alihankkijoita, olipa kyse sitten henkilöstöhallinnosta, mainonnan kohdentamisesta tai tietoturvasta.

Alihankkijan käyttö ei ole merkityksetöntä GDPR:n kannalta, joka täsmentää ja vahvistaa eri toimijoiden vastuualueita.

Milloin puhutaan alihankinnasta?

CNIL mainitsee tiedoksi useita organisaatioita:

  • IT-palveluntarjoajat (hosting, ylläpito jne.), ohjelmistointegraattorit, IT-tietoturvayritykset, digitaalisen palvelun yritykset,
  • Markkinointi- tai viestintätoimistot, jotka käsittelevät henkilötietoja asiakkaidensa puolesta ja
  • Yleisemmin ottaen mikä tahansa organisaatio (julkinen tai yksityinen), joka tarjoaa palvelua tai suoritusta, johon liittyy henkilötietojen käsittelyä toisen organisaation puolesta.

Ohjelmistojulkaisijoita tai laitteistovalmistajia (henkilökortinlukijat, biometriset laitteet, lääketieteelliset laitteet), joilla ei ole pääsyä henkilötietoihin eivätkä he käsittele niitä, ei pidetä alihankkijoina.

Alihankkijan vastuu vahvistetaan GDPR:n mukaisesti

Eurooppalaisen asetuksen tavoitteena on tehdä kaikista henkilötietojen käsittelyyn osallistuvista sidosryhmistä vastuullisempia ja tasapainoisempia.

Erityisesti alihankkijoiden rooli kehittyy kohti proaktiivisuutta: he eivät enää pelkästään noudata rekisterinpitäjän ohjeita, vaan heidän on GDPR:n 28 artiklan nojalla avustettava heitä jatkuvassa vaatimustenmukaisuusprosessissa: vaikutusanalyyseissä, tietomurtoilmoituksissa, tietoturvassa, tietojen tuhoamisessa ja auditointeihin osallistumisessa.

Kuka on vastuussa? Mitä riskejä rekisterinpitäjälle aiheutuu?

Ennen GDPR:n voimaantuloa rekisterinpitäjän oli otettava huomioon alihankkijansa toimet: jälkimmäisen oli annettava riittävät takeet tietoturva- ja luottamuksellisuustoimenpiteiden toteuttamisesta, mutta rekisterinpitäjän vastuulla oli varmistaa näiden velvoitteiden noudattaminen: "se seikka, että tietoturvaloukkaus on saattanut johtua alihankkijan tekemästä virheestä, ei vaikuta rekisterinpitäjän velvollisuuteen varmistaa alihankkijan toimien tiukka valvonta", kuten CNIL:n 6. syyskuuta 2018 antamassa käsittelyssä määrättiin rekisterinpitäjälle taloudellinen seuraamus.

Vaikka GDPR ei vapauta rekisterinpitäjää sen omista velvoitteista, se säätää alihankkijan vastuusta.

CNIL selvensi tätä tänä vuonna ensimmäisessä päätöksessään tammikuulta 2021.

Tunnistetietojen täyttötapauksessa* esimieheltä ja alihankkijalta kesti yli vuoden ottaa käyttöön työkalu verkkosivustolle kohdistuvien hyökkäysten havaitsemiseksi ja estämiseksi.

Päällikölle määrättiin 150 000 euron ja aliurakoitsijalle 75 000 euron sakko.

CNIL täsmentää, että "rekisterinpitäjän on päätettävä toimenpiteiden toteuttamisesta ja annettava alihankkijalleen dokumentoidut ohjeet. Alihankkijan on kuitenkin myös etsittävä sopivimmat tekniset ja organisatoriset ratkaisut henkilötietojen turvallisuuden varmistamiseksi ja ehdotettava niitä rekisterinpitäjälle."

Ensinnäkin: määrittele roolit ja vastuut selkeästi sopimuksessa

Tämä sopimus voi perustua kokonaan tai osittain vakiosopimuslausekkeisiin.

Vuodesta 2019 lähtien kolme eurooppalaista tietosuojaviranomaista (Tanska, Slovenia ja Liettua) ovat ottaneet käyttöön henkilötietojen käsittelijöitä koskevat vakiosopimuslausekkeet (SCC), joista Euroopan tietosuojaneuvosto (EDPB) on antanut lausunnon. Euroopan komissio julkaisi 4. kesäkuuta 2021 rekisterinpitäjien ja käsittelijöiden väliset vakiosopimuslausekkeet (SCC) GDPR:n ja asetuksen (EU) 2018/1725 nojalla.

CNIL tarjoaa myös esimerkkejä sopimuslausekkeista alihankkijaoppaassaan.

Sopimuksessa on määriteltävä:

  • Palvelun tarkoitus ja kesto
  • Käsittelyn luonne ja tarkoitus
  • Käsiteltävien henkilötietojen tyyppi
  • Asianosaisten henkilöiden ryhmät
  • Asiakkaan velvollisuudet ja oikeudet rekisterinpitäjänä
  • Alihankkijan velvollisuudet ja oikeudet GDPR:n 28 artiklan mukaisesti

Alihankkijaa sitovat erityisesti seuraavat velvoitteet:

  • Nimitä tietosuojavastaava, jos kyseessä on viranomainen tai julkinen elin, jos se suorittaa säännöllistä ja järjestelmällistä yksilöiden seurantaa laajamittaisesti tai käsittelee laajamittaisesti niin sanottuja "arkaluonteisia" tietoja tai rikostuomioihin ja rikkomuksiin liittyviä tietoja.
  • Dokumentoi alihankintatoimintasi ja pidä rekisteriä käsittelytoimista
  • Tarjoa työkaluja, jotka kunnioittavat henkilötietoja (esim. henkilötietojen käyttöliittymä, tilauksen peruutuslinkki)
  • Auttaa rekisterinpitäjää vastaamaan yksilöiden oikeuksien käyttämistä koskeviin pyyntöihin
  • Varmista kerättyjen tietojen turvallisuus.

Tietoturvaongelmat ovat useimmin tietomurtojen ja kiistojen aiheuttajia. Siksi rekisterinpitäjää kehotetaan:

  • Vaatia palveluntarjoajaa tiedottamaan tietojärjestelmiensä turvallisuuspolitiikastaan;
  • Varmistaaksemme ja dokumentoidaksemme alihankkijan tarjoamien tietosuojatakeiden tehokkuuden.
  • Toimenpiteiden tehokkuuden varmistamiseksi esimerkiksi turvallisuustarkastusten tai toimitiloihin tehtävän käynnin avulla.

* Tunnistetietojen täyttäminen on eräänlainen kyberhyökkäys, jossa varastettuja tilitietoja, jotka tyypillisesti koostuvat käyttäjätunnusten ja niihin liittyvien salasanojen luetteloista (usein hankittu vilpillisesti), käytetään luvattoman pääsyn hankkimiseen käyttäjätileille laajamittaisten automatisoitujen kirjautumispyyntöjen avulla verkkosovelluksiin.

Ja myös

Ranska:

Siellä Tietovuoto Pariisin julkisista sairaaloista (AP-HP) CNIL:lle on ilmoitettu 1,4 miljoonasta COVID-19-testatusta ihmisestä vuoden 2020 puolivälissä. Komissio ja hallitus ovat julkaisseet tiedotteen asianomaisille.

ANSSI julkaisee suosituksia, jotka koskevat yhdistettyjen objektien turvallisuus.

A valvonta- ja suojauspalvelu ulkomaisia digitaalisia häiriöitä vastaan (Viginum) perustettiin asetuksella 13. heinäkuuta. Sen tehtävänä on havaita ja analysoida ulkomailta orkestroitua Ranskaa vastaan suunnattua sisältöä digitaalisilla alustoilla.

Pikaviestintä on yksityistä viestinvaihtoa Meaux'n työtuomioistuin päätti 23. heinäkuuta antamassaan tuomiossa, että Eurodisney-yhtiö ei voi irtisanoa työntekijää Messengerissä käydyn keskustelun perusteella, johon sillä ei ole oikeutta päästä, vaikka tätä viestipalvelua ei olisi suojattu salasanalla.

Eurooppa:

Euroopan komissio ilmoitti 15. syyskuuta lainsäädäntöaloite verkkoon kytkettyjen esineiden kyberturvallisuudestaTämä täydentää ehdotettua NIS2-direktiiviä verkkoturvallisuudesta.

Yli vuoden kestäneiden neuvottelujen jälkeen Yhdysvallat ja Eurooppa eivät ole vielä päässeet sopimukseen transatlanttisista tiedonsiirroistaNäiden neuvottelujen tarkoituksena on poistaa oikeudellinen tyhjiö, jonka Euroopan unionin tuomioistuimen Schrems II -tuomio jätti Privacy Shieldin mitätöimiseksi.

Yhteistyötä kuitenkin tehdään esimerkiksi tekoälyn ja laitonta sisältöä verkossa levittävien alustojen sääntelyn alalla.

Tämä käy ilmi EU:n ja Yhdysvaltojen kauppa- ja teknologianeuvoston 29. syyskuuta pidetyn avajaisjulistuksesta.

Syyskuun 27. päivästä lähtien tiedonsiirtojen Euroopan unionin ulkopuoliseen maahan, jonka ei katsota tarjoavan riittävää tietosuojan tasoa, on perustuttava vakiosopimuslausekkeiden modernisoitu versio Euroopan komission raportti, julkaistu 4. kesäkuuta.

Euroopan tietosuojavaltuutettu julkaisi 24. syyskuuta lausunnon Euroopan komission ehdotuksesta, joka koskee rahanpesun torjunta, jossa hän korostaa kerättyjen henkilötietojen tarpeellisuuden ja oikeasuhteisuuden periaatteita.

Belgian viranomainen julkaisi 23. syyskuuta tiedotteen käytön jatkamisesta Covid-turvallinen Lippuja arkielämän paikkoihin ja tapahtumiin.

Se muistuttaa velvollisuudesta osoittaa tämän "terveyspassin" tarpeellisuus ja oikeasuhteisuus sekä siihen liittyvä puuttuminen yksityiselämään.

Irlannin viranomaista pidetään edelleen tietosuojapiireissä pullonkaulana GDPR-vaatimusten noudattamisessa..

Huomatkaamme kuitenkin hänen 17. syyskuuta päivätyn tiedonantonsa yhdessä Italian viranomainen, joka koskeeFacebook-lasien video- ja valokuvatoimintojen vaikutus yksityisyyden suojaa koskevissa asioissa.

Samaan aikaan Norjan viranomaiset ilmoittivat päätöksestään lopettaa Facebookin käyttö viestintään. tietosuojaa koskevan vaikutustenarvioinnin jälkeen.

THE Liettuan puolustusministeriö suositteli 21. syyskuuta päivätyssä tiedotteessa, ettei sitä käytettäisi Kiinalaiset puhelimet kuten Xiaomi Corp, joka integroi ohjelmistoja tiettyjen viestien havaitsemiseksi ja sensuroimiseksi.

Kansainvälinen:

Ensimmäinen G7-maiden tietosuojaviranomaiset kokosi 7. ja 8. syyskuuta Ranskan, Italian, Kanadan, Britannian, Saksan, Japanin ja Yhdysvaltojen viranomaiset Yhdistyneen kuningaskunnan puheenjohtajakaudella.

Viranomaiset keskustelivat kansainvälisistä tietosuojakysymyksistä, mukaan lukien rajat ylittävät tietovirrat, pandemiaan liittyvät kysymykset ja tekoälyn kehittäminen.

Uruguay, Euroopan unioni pitää maana, joka takaa riittävän henkilötietojen suojan tason, on päivittänyt oman arvionsa maista, joihin tiedonsiirto on laillisesti mahdollista.

Tämä arviointi sulkee pois Yhdysvallat maissa, joissa on riittävä suojan taso.

Uruguayn ja Yhdysvaltojen välisissä tiedonsiirroissa on nyt tarjottava erityisiä takeita, kuten asianmukaisten sopimuslausekkeiden noudattaminen.

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.

Tutustu Viqtoriin®
fiFI
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET lvLV lt_LTLT sk_SKSK sl_SISL fiFI