Responsable et sous-traitant : qui engage sa responsabilité ?

Voditelj i podizvođač: tko je odgovoran?

Pravni nadzor br. 39 – Rujan 2021.

Voditelj i podizvođač: tko je odgovoran? Mnogi kontrolori podataka koriste podizvođače, bilo u upravljanju ljudskim resursima, ciljanom oglašavanju ili sigurnosti podataka.

Korištenje podizvođača nije beznačajno s obzirom na GDPR, koji specificira i pojačava odgovarajuće odgovornosti različitih aktera.

Kada govorimo o podugovaranju?

CNIL spominje niz organizacija u informativne svrhe:

  • Pružatelji IT usluga (hosting, održavanje itd.), integratori softvera, tvrtke za IT sigurnost, tvrtke za digitalne usluge,
  • Marketinške ili komunikacijske agencije koje obrađuju osobne podatke u ime klijenata i
  • Općenito, svaka organizacija (javna ili privatna) koja nudi uslugu ili odredbu koja uključuje obradu osobnih podataka u ime druge organizacije.

Izdavači softvera ili proizvođači hardvera (čitači identifikacijskih kartica, biometrijska oprema, medicinska oprema) koji nemaju pristup osobnim podacima i ne obrađuju ih ne smatraju se podizvođačima.

Odgovornost podizvođača pojačana GDPR-om

Europska uredba ima za cilj učiniti sve dionike uključene u obradu osobnih podataka odgovornijima na uravnoteženiji način.

Podizvođači, posebno, vide kako se njihova uloga razvija prema većoj proaktivnosti: više ne samo da slijede upute kontrolora, već im, prema članku 28. GDPR-a, moraju pomagati u njihovom tekućem procesu usklađenosti: analize utjecaja, obavještavanje o kršenju, sigurnost, uništavanje podataka, doprinos revizijama.

Tko je odgovoran? Koji su rizici za voditelja obrade podataka?

Prije stupanja na snagu GDPR-a, voditelj obrade podataka morao je odgovarati za postupke svog podizvođača: potonji je morao pružiti dovoljna jamstva kako bi se osigurala provedba mjera sigurnosti i povjerljivosti podataka, ali odgovornost voditelja obrade bila je osigurati poštivanje tih obveza: „okolnost da je povreda podataka mogla nastati zbog pogreške koju je počinio podizvođač nema utjecaja na obvezu voditelja obrade podataka da osigura rigorozno praćenje radnji koje provodi potonji“, što dokazuje rasprava CNIL-a od 6. rujna 2018., kojom je voditelju obrade izrečena financijska kazna.

Iako GDPR ne oslobađa voditelja obrade podataka vlastitih obveza, predviđa povećanu odgovornost za podizvođača.

To je CNIL razjasnio ove godine, u svojoj prvoj odluci iz siječnja 2021.

U slučaju nedozvoljenog korištenja vjerodajnica*, voditelju i podizvođaču trebalo je više od godinu dana da implementiraju alat za otkrivanje i blokiranje napada na web stranicu.

Voditelj je kažnjen sa 150.000 eura, a podizvođač sa 75.000 eura.

CNIL specificira da "kontrolor podataka mora odlučiti o provedbi mjera i dati dokumentirane upute svom podizvođaču. Ali podizvođač također mora tražiti najprikladnija tehnička i organizacijska rješenja kako bi osigurao sigurnost osobnih podataka te ih predložiti kontroloru podataka."

Prije svega: jasno utvrditi uloge i odgovornosti u ugovoru

Ovaj ugovor može se u cijelosti ili djelomično temeljiti na standardnim ugovornim klauzulama (PUK).

Od 2019. tri europska tijela za zaštitu podataka (dansko, slovensko i litavsko) usvojila su standardne ugovorne klauzule o obrađivačima, o kojima je Europski odbor za zaštitu podataka (EDPB) izdao mišljenje. Dana 4. lipnja 2021. Europska komisija objavila je svoje standardne ugovorne klauzule (SCC) između voditelja obrade i obrađivača u skladu s GDPR-om i Uredbom (EU) 2018/1725.

CNIL također navodi primjere ugovornih klauzula u svom vodiču za podizvođače.

Ugovor mora definirati:

  • Svrha i trajanje usluge
  • Priroda i svrha obrade
  • Vrsta obrađenih osobnih podataka
  • Kategorije dotičnih osoba
  • Obveze i prava klijenta kao voditelja obrade podataka
  • Obveze i prava podizvođača kako je propisano člankom 28. GDPR-a

Podizvođač je posebno vezan sljedećim obvezama:

  • Imenovati službenika za zaštitu podataka, ako se radi o tijelu vlasti ili javnom tijelu, ako provodi redovito i sustavno praćenje pojedinaca u velikim razmjerima ili obrađuje u velikim razmjerima takozvane „osjetljive“ podatke ili podatke koji se odnose na kaznene osude i prekršaje.
  • Dokumentirajte svoje aktivnosti podizvođača i vodite registar operacija obrade
  • Ponudite alate koji poštuju osobne podatke (npr. sučelje za osobne podatke, poveznicu za odjavu)
  • Pomoći kontroloru podataka u odgovoru na zahtjeve za ostvarivanje prava pojedinaca
  • Osigurajte sigurnost prikupljenih podataka.

Sigurnosna pitanja su među onima koja najčešće uzrokuju povrede sigurnosti i sporove. Stoga se voditelju obrade podataka savjetuje da:

  • Zahtijevati od pružatelja usluga da priopći svoju sigurnosnu politiku informacijskih sustava;
  • Osigurati i dokumentirati učinkovitost jamstava koje nudi podizvođač u pogledu zaštite podataka.
  • Provjeriti učinkovitost mjera, na primjer sigurnosnim revizijama ili posjetom objektima.

* Kršenje vjerodajnica vrsta je kibernetičkog napada u kojem se ukradeni podaci o računu, obično sastoje od popisa korisničkih ID-ova i povezanih lozinki (često dobivenih prijevarom), koriste za dobivanje neovlaštenog pristupa korisničkim računima putem velikih automatiziranih zahtjeva za prijavu na web aplikacije.

I također

Francuska:

Tamo Curenje podataka iz pariških javnih bolnica (AP-HP) CNIL-u je prijavljen podatak o 1,4 milijuna ljudi testiranih na COVID-19 sredinom 2020. Komisija i vlada objavile su informativnu bilješku za dotične osobe.

ANSSI objavljuje preporuke u vezi s sigurnost povezanih objekata.

A usluga praćenja i zaštite od stranih digitalnih smetnji (Viginum) je osnovan dekretom 13. srpnja. Njegova je misija otkrivanje i analiza sadržaja neprijateljski nastrojenog prema Francuskoj na digitalnim platformama, orkestriranog iz inozemstva.

Instant poruke su privatna korespondencija U presudi od 23. srpnja, Industrijski sud u Meauxu odlučio je da tvrtka Eurodisney ne može otpustiti zaposlenika na temelju razgovora na Messengeru kojem nije ovlaštena pristupiti, čak i ako ta usluga razmjene poruka nije zaštićena lozinkom.

Europa:

Europska komisija je 15. rujna objavila zakonodavna inicijativa u vezi s kibernetičkom sigurnošću povezanih objekataTo će nadopuniti predloženu direktivu NIS2 o mrežnoj sigurnosti.

Nakon više od godinu dana pregovora, Sjedinjene Države i Europa još nisu postigle dogovor o transatlantskom prijenosu podatakaCilj ovih razgovora je riješiti pravni vakuum koji je nastao presudom Europskog suda pravde u predmetu Schrems II kojom se poništava Štit privatnosti.

Međutim, postoje napori za suradnju, na primjer u području umjetne inteligencije i regulacije platformi koje distribuiraju ilegalni sadržaj na internetu.

To proizlazi iz inauguracijskog priopćenja Vijeća EU-a i SAD-a za trgovinu i tehnologiju od 29. rujna.

Od 27. rujna, prijenos podataka u zemlju izvan Europske unije za koju se smatra da ne pruža odgovarajuću razinu zaštite mora se temeljiti na modernizirana verzija standardnih ugovornih klauzula Europske komisije, objavljeno 4. lipnja.

Europski nadzornik za zaštitu podataka objavio je 24. rujna mišljenje o prijedlogu Europske komisije u vezi s borba protiv pranja novca, u kojem naglašava načela nužnosti i razmjernosti prikupljenih osobnih podataka.

Belgijska vlast objavljeno je 23. rujna obavijest o produljenju korištenja Sigurno od Covida Ulaznica za mjesta i događaje svakodnevnog života.

Podsjeća na obvezu dokazivanja nužnosti i razmjernosti ove „zdravstvene propusnice“ i miješanja u privatni život koje ona podrazumijeva.

Irsko tijelo se u krugovima zaštite podataka još uvijek smatra uskim grlom kada je u pitanju usklađenost s GDPR-om..

Ipak, primijetimo njegovu komunikaciju od 17. rujna, zajedno s talijanska vlast, u vezi sutjecaj funkcija videa i fotografija Facebook naočala u pitanjima privatnosti.

Istovremeno, Norveška vlast objavila je svoju odluku da više ne koristi Facebook za svoju komunikaciju, nakon procjene učinka na zaštitu podataka.

THE Ministarstvo obrane Litve preporučeno u komunikaciji od 21. rujna da se ne koristi Kineski telefoni kao što je Xiaomi Corp koji integrira softver za otkrivanje i cenzuriranje određenih poruka.

Međunarodno:

Prvi G7 tijela za zaštitu podataka okupio je 7. i 8. rujna vlasti Francuske, Italije, Kanade, Velike Britanije, Njemačke, Japana i Sjedinjenih Američkih Država, pod predsjedanjem Ujedinjene Kraljevine.

Vlasti su raspravljale o međunarodnim pitanjima zaštite podataka, uključujući prekogranične tokove podataka, pitanja vezana uz pandemiju i razvoj umjetne inteligencije.

Urugvaj, koju Europska unija smatra državom koja jamči odgovarajuću razinu zaštite osobnih podatakaažurirao je vlastitu procjenu zemalja u koje je prijenos podataka zakonski moguć.

Ova procjena isključuje Sjedinjene Američke Države zemlje s odgovarajućom razinom zaštite.

Prijenos podataka između Urugvaja i Sjedinjenih Država sada će morati pružiti posebna jamstva, kao što je poštivanje odgovarajućih ugovornih klauzula.

Anne Christine Lacoste

Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.

Otkrijte Viqtor®
hrHR
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL hrHR