Zajednička odgovornost podizvođača

Ulomak iz knjige Bruna DUMAYA: DEŠIFRACIJA GDPR-a – Za menadžere, strateške odjele i zaposlenike tvrtki i organizacija – Predgovor Gaëlle MONTEILLER

U cijelom tekstu, obrađivači se spominju uz kontrolore podataka. Prema članku 4-8, obrađivač je „fizička ili pravna osoba, javno tijelo, agencija ili drugo tijelo koje obrađuje osobne podatke u ime kontrolora.“ Može djelovati samo u okviru ugovora ili drugog pravnog akta Europske unije, koji ponavlja njezine obveze zaštite podataka (članak 28-3).

U rujnu 2017. CNIL je objavio Vodič za podizvođače koji pojašnjava njegovu ulogu i prirodu u lancu obrade i zaštite podataka.

Unatoč preciznoj definiciji, pojam podizvođača može se primijeniti na mnoge građevine, navedene kako slijedi:

„– pružatelji IT usluga (hosting, održavanje itd.), integratori softvera, tvrtke za IT sigurnost, tvrtke za digitalne usluge ili bivše tvrtke za IT usluge i inženjering (SSII) koje imaju pristup podacima;“

– marketinške ili komunikacijske agencije koje obrađuju osobne podatke u ime klijenata;

– općenito svaka organizacija koja nudi uslugu ili odredbu koja uključuje obradu osobnih podataka u ime druge organizacije;

– javno tijelo ili udruga također mogu biti obvezni steći takvu kvalifikaciju”.

Imajte na umu da je prilikom obrade podataka u vlastito ime (npr. upravljanje osobljem) podizvođač odgovoran za obradu. To vrijedi i ako sam određuje svrhu i sredstva obrade.

U slučaju sumnje o statusu – voditelja obrade ili obrađivača – CNIL se poziva na mišljenje europskih nadzornih tijela od 16. veljače 2010., koje navodi skup pokazatelja koji se mogu koristiti:

– autonomija pružatelja usluga u obavljanju svoje usluge;

– praćenje usluge;

– dodana vrijednost, tj. stručnost, koju pruža pružatelj usluge;

– stupanj transparentnosti u vezi s korištenjem pružatelja usluga (je li njihov identitet poznat dotičnim osobama koje koriste usluge klijenta?).

Prema GDPR-u, izvršitelj obrade je zajednički odgovoran. On „pomaže kontroloru u osiguravanju usklađenosti s obvezama“ (čl. 28-3f). Vodi „registar svih kategorija aktivnosti obrade koje se provode u ime kontrolora“ (čl. 30-2). I, najčešće, mora imenovati i službenika za zaštitu podataka (čl. 37), na što ćemo se vratiti kasnije.

CNIL u svom vodiču navodi što se podrazumijeva pod „dovoljnim jamstvima“ koja podizvođač mora pružiti kako bi mogao izvršiti svoj posao:

– transparentnost i sljedivost (ugovor, upute, registar i sve informacije potrebne za dokazivanje ispunjavanja obveza);

– zaštita podataka od samog početka i prema zadanim postavkama (minimalna obrada, vezana uz svrhu i samo tu svrhu, ograničeno trajanje);

– sigurnost obrađenih podataka (povjerljivost, obavještavanje u slučaju povrede podataka, brisanje ili vraćanje podataka na kraju usluge);

– pomoć, upozorenje i savjet.

Ako podizvođač također sklapa podugovore, prvo mora dobiti pismeno odobrenje od voditelja obrade podataka (čl. 28-2). Ovaj drugi podizvođač podliježe istim obvezama, čak i ako ima poslovni nastan izvan Europske unije. Ako ih se ne pridržava, prvi podizvođač snosi odgovornost. Drugim riječima, u slučaju problema, ne može se opravdati obradom koja nije u skladu s GDPR-om navodeći lokaciju pružatelja usluga u Maroku ili Singapuru.

CNIL preporučuje izmjenu postojećih ugovora, putem izmjena, kako bi se uključile obvezne klauzule predviđene europskom uredbom.

Ako podizvođač posluje u nekoliko zemalja EU-a, moguće je uspostaviti jedinstveno kontaktno mjesto. Članak 56-1 predviđa da će „vodeće tijelo“ biti tijelo glavnog poslovnog nastana. Ako podizvođač nema poslovni nastan u EU-u, tada mora imenovati predstavnika koji će biti kontakt osoba za subjekte podataka i nadzorna tijela.

Sankcije koje se primjenjuju na podizvođača u slučaju neispunjavanja njegovih obveza mogu biti jednako stroge kao i one koje se primjenjuju na voditelja obrade podataka.