Alihankkijoiden jaettu vastuu

Ote Bruno DUMAYn kirjasta: GDPR:n purkaminen – yritysten ja organisaatioiden johtajille, strategisille osastoille ja työntekijöille – Esipuhe: Gaëlle MONTEILLER

Tekstissä käsittelijöihin viitataan rekisterinpitäjien rinnalla. Artiklan 4-8 mukaan käsittelijä on "luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun". Se voi toimia ainoastaan sopimuksen tai muun Euroopan unionin säädöksen puitteissa, jossa toistetaan sen tietosuojavelvoitteet (artikla 28-3).

CNIL julkaisi syyskuussa 2017 alihankkijan oppaan, jossa selvennetään sen roolia ja luonnetta tietojenkäsittely- ja suojausketjussa.

Tarkasta määritelmästään huolimatta termiä aliurakoitsija voidaan soveltaa moniin rakenteisiin, jotka on lueteltu seuraavasti:

”– IT-palveluntarjoajat (hosting, ylläpito jne.), ohjelmistointegraattorit, IT-tietoturvayritykset, digitaalisten palveluiden yritykset tai aiemmin IT-palvelu- ja suunnitteluyritykset (SSII), joilla on pääsy tietoihin;

– markkinointi- tai viestintätoimistot, jotka käsittelevät henkilötietoja asiakkaidensa puolesta;

– yleisemmin mikä tahansa organisaatio, joka tarjoaa palvelua tai suoritusta, johon liittyy henkilötietojen käsittelyä toisen organisaation puolesta;

– julkiselta elimeltä tai yhdistykseltä voidaan myös edellyttää tällaisen pätevyyden hankkimista.”

Huomaa, että käsitellessään tietoja omaan lukuunsa (esim. henkilöstöhallinto), alihankkija on vastuussa tietojen käsittelystä. Tämä pätee myös silloin, kun alihankkija itse määrittää käsittelyn tarkoituksen ja keinot.

Jos on epäselvyyttä siitä, onko kyseessä rekisterinpitäjä vai käsittelijä, CNIL viittaa Euroopan valvontaviranomaisten 16. helmikuuta 2010 antamaan lausuntoon, jossa esitetään joukko vihjeitä, joita voidaan käyttää:

– palveluntarjoajan itsenäisyys palvelun suorittamisessa;

– palvelun seuranta;

– palveluntarjoajan tarjoama lisäarvo eli asiantuntemus;

– palveluntarjoajan käytön läpinäkyvyyden aste (onko asiakkaan palveluita käyttävien asianomaisten henkilöiden tiedossa heidän henkilöllisyytensä?).

GDPR:n mukaan käsittelijä on yhteisvastuussa. Se "avustaa rekisterinpitäjää velvoitteiden noudattamisen varmistamisessa" (artikla 28-3f). Se pitää "rekisteriä kaikista rekisterinpitäjän lukuun suoritetuista käsittelytoimista" (artikla 30-2). Ja useimmiten sen on myös nimitettävä tietosuojavastaava (artikla 37), johon palaamme myöhemmin.

CNIL määrittelee ohjeessaan, mitä tarkoitetaan "riittävillä takuilla", jotka alihankkijan on annettava voidakseen suorittaa työnsä:

– läpinäkyvyys ja jäljitettävyys (sopimus, ohjeet, rekisteri ja kaikki tiedot, jotka ovat tarpeen velvoitteiden noudattamisen osoittamiseksi);

– sisäänrakennettu ja oletusarvoinen tietosuoja (minimaalinen käsittely, tarkoitukseen liittyvä ja ainoastaan siihen liittyvä, kestoltaan rajoitettu);

– käsiteltävien tietojen turvallisuus (luottamuksellisuus, ilmoitus tietoturvaloukkauksen sattuessa, tietojen poistaminen tai palauttaminen palvelun päättyessä);

– apua, hälytystä ja neuvoja.

Jos alihankkija tekee myös alihankintaa, sen on ensin saatava rekisterinpitäjältä kirjallinen lupa (artikla 28-2). Tähän toiseen alihankkijaan sovelletaan samoja velvoitteita, vaikka se olisi sijoittautunut Euroopan unionin ulkopuolelle. Jos he eivät noudata niitä, ensimmäinen alihankkija on vastuussa. Toisin sanoen ongelmatilanteessa ei voida vedota palveluntarjoajan sijaintiin Marokossa tai Singaporessa perustellakseen käsittelyä, joka ei ole GDPR:n mukaista.

CNIL suosittelee nykyisten sopimusten muuttamista lisäyksillä siten, että niihin sisällytetään eurooppalaisessa asetuksessa säädetyt pakolliset lausekkeet.

Jos alihankkija toimii useissa EU-maissa, yhden luukun palvelupiste on mahdollinen. Artiklan 56-1 mukaan "johtava viranomainen" on päätoimipaikan viranomainen. Jos alihankkijalla ei ole toimipaikkaa EU:ssa, sen on nimettävä edustaja, joka toimii yhteyshenkilönä rekisteröityjen ja valvontaviranomaisten suuntaan.

Alihankkijaan sen velvoitteiden laiminlyönnin vuoksi sovellettavat seuraamukset voivat olla yhtä ankaria kuin rekisterinpitäjään sovellettavat seuraamukset.