Subrangovų bendra atsakomybė

Ištrauka iš Bruno DUMAY knygos: GDPR IŠŠIKRAVIMAS – vadovams, strateginiams skyriams ir įmonių bei organizacijų darbuotojams – Gaëlle MONTEILLER pratarmė

Visame tekste duomenų tvarkytojai minimi kartu su duomenų valdytojais. Pagal 4-8 straipsnį duomenų tvarkytojas yra „fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri tvarko asmens duomenis duomenų valdytojo vardu“. Jis gali veikti tik pagal sutartį ar kitą Europos Sąjungos teisės aktą, kuriame pakartojami jo duomenų apsaugos įsipareigojimai (28-3 straipsnis).

2017 m. rugsėjį CNIL paskelbė subrangovų vadovą, kuriame paaiškinamas jų vaidmuo ir pobūdis duomenų tvarkymo ir apsaugos grandinėje.

Nepaisant tikslaus apibrėžimo, terminas „subrangovas“ gali būti taikomas daugeliui konstrukcijų, išvardytų toliau:

„– IT paslaugų teikėjai (priegloba, priežiūra ir kt.), programinės įrangos integratoriai, IT saugumo įmonės, skaitmeninių paslaugų įmonės arba anksčiau IT paslaugų ir inžinerijos įmonės (SSII), turinčios prieigą prie duomenų;“

– rinkodaros ar komunikacijos agentūros, kurios tvarko asmens duomenis klientų vardu;

– apskritai bet kuri organizacija, siūlanti paslaugą ar teikianti paslaugas, susijusias su asmens duomenų tvarkymu kitos organizacijos vardu;

– viešoji įstaiga arba asociacija taip pat gali būti įpareigota gauti tokią kvalifikaciją“.

Atkreipkite dėmesį, kad tvarkydamas duomenis savo vardu (pvz., personalo valdymo tikslais), subrangovas yra atsakingas už tvarkymą. Tai taip pat galioja, jei jis pats nustato tvarkymo tikslą ir priemones.

Kilus abejonių dėl statuso – duomenų valdytojas ar tvarkytojas – CNIL remiasi 2010 m. vasario 16 d. Europos priežiūros institucijų nuomone, kurioje nurodomi keli užuominos, kuriomis galima remtis:

– paslaugų teikėjo autonomiją teikiant savo paslaugą;

– paslaugos stebėsena;

– paslaugų teikėjo pridėtinė vertė, t. y. patirtis;

– skaidrumo laipsnis, susijęs su paslaugų teikėjo naudojimu (ar atitinkamiems asmenims, kurie naudojasi kliento paslaugomis, žinoma jų tapatybė?).

Pagal BDAR, duomenų tvarkytojas yra bendrai atsakingas. Jis „padeda duomenų valdytojui užtikrinti įsipareigojimų laikymąsi“ (28 straipsnio 3 dalies f punktas). Jis tvarko „visų duomenų valdytojo vardu vykdomos tvarkymo veiklos kategorijų registrą“ (30 straipsnio 2 dalis). Ir dažniausiai jis taip pat turi paskirti duomenų apsaugos pareigūną (37 straipsnis), prie kurio grįšime vėliau.

CNIL savo vadove nurodo, ką reiškia „pakankamos garantijos“, kurias subrangovas turi pateikti, kad galėtų atlikti savo darbą:

– skaidrumas ir atsekamumas (sutartis, instrukcijos, registras ir visa informacija, būtina įsipareigojimų laikymuisi įrodyti);

– pritaikytoji ir standartizuota duomenų apsauga (minimalus tvarkymas, susijęs su tikslu ir tik tuo tikslu, ribota trukmė);

– tvarkomų duomenų saugumas (konfidencialumas, pranešimas duomenų saugumo pažeidimo atveju, duomenų ištrynimas arba grąžinimas pasibaigus paslaugos teikimui);

– pagalba, įspėjimas ir patarimai.

Jei subrangovas taip pat sudaro subrangos sutartis, jis pirmiausia turi gauti raštišką duomenų valdytojo leidimą (28-2 straipsnis). Šiam antrajam subrangovui taikomi tie patys įpareigojimai, net jei jis yra įsisteigęs už Europos Sąjungos ribų. Jei jis jų nesilaiko, atsako pirmasis subrangovas. Kitaip tariant, kilus problemai, negalima pateisinti savęs nurodant paslaugų teikėjo buvimo vietą Maroke ar Singapūre, siekiant pateisinti tvarkymą, kuris neatitinka BDAR.

CNIL rekomenduoja pakeisti dabartines sutartis, įtraukiant į jas privalomas Europos reglamente numatytas sąlygas.

Jei subrangovas veikia keliose ES šalyse, galima taikyti vieno langelio principą. 56-1 straipsnyje numatyta, kad „pagrindinė institucija“ bus pagrindinės buveinės institucija. Jei subrangovas neturi buveinės ES, jis turi paskirti atstovą, kuris bus duomenų subjektų ir priežiūros institucijų kontaktinis asmuo.

Subrangovui taikomos sankcijos už įsipareigojimų nevykdymą gali būti tokios pat griežtos, kaip ir duomenų valdytojui.