Responsable et sous-traitant : qui engage sa responsabilité ?

Vadovas ir subrangovas: kas atsakingas?

Teisinis stebėjimas Nr. 39 – 2021 m. rugsėjis

Vadovas ir subrangovas: kas atsakingas? Daugelis duomenų valdytojų naudojasi subrangovų paslaugomis, nesvarbu, ar tai būtų žmogiškųjų išteklių valdymas, reklamos taikymas, ar duomenų saugumas.

Subrangovo pasitelkimas nėra nereikšmingas atsižvelgiant į BDAR, kuriame nurodoma ir sustiprinama atitinkama skirtingų subjektų atsakomybė.

Kada kalbame apie subrangos sutartis?

CNIL informaciniais tikslais mini keletą organizacijų:

  • IT paslaugų teikėjai (talpinimas, priežiūra ir kt.), programinės įrangos integratoriai, IT saugumo įmonės, skaitmeninių paslaugų įmonės,
  • Rinkodaros ar komunikacijos agentūros, kurios tvarko asmens duomenis klientų vardu ir
  • Apskritai tai bet kuri organizacija (viešoji ar privati), siūlanti paslaugą ar teikianti paslaugas, susijusias su asmens duomenų tvarkymu kitos organizacijos vardu.

Programinės įrangos leidėjai arba techninės įrangos gamintojai (ženklelių skaitytuvai, biometrinė įranga, medicinos įranga), kurie neturi prieigos prie asmens duomenų ir jų netvarko, nelaikomi subrangovais.

Subrangovo atsakomybę sustiprina BDAR

Europos reglamentu siekiama, kad visi suinteresuotieji asmenys, dalyvaujantys asmens duomenų tvarkyme, būtų atskaitingesni ir labiau subalansuotu būdu.

Subrangovų vaidmuo keičiasi ir jie tampa iniciatyvesni: jie nebe tik vykdo duomenų valdytojo nurodymus, bet ir, pagal BDAR 28 straipsnį, privalo padėti jam nuolat vykdyti atitikties procesą: poveikio analizės, pranešimai apie pažeidimus, saugumas, duomenų naikinimas, indėlis į auditus.

Kas atsakingas? Kokia rizika kyla duomenų valdytojui?

Prieš įsigaliojant BDAR, duomenų valdytojas turėjo atsižvelgti į savo subrangovo veiksmus: pastarasis turėjo pateikti pakankamas garantijas, kad būtų įgyvendintos duomenų saugumo ir konfidencialumo priemonės, tačiau duomenų valdytojas buvo atsakingas už šių įsipareigojimų laikymąsi: „aplinkybė, kad duomenų saugumo pažeidimas galėjo kilti dėl subrangovo padarytos klaidos, neturi įtakos duomenų valdytojo pareigai užtikrinti griežtą pastarojo atliktų veiksmų stebėseną“, kaip matyti iš 2018 m. rugsėjo 6 d. CNIL svarstymo, kuriuo duomenų valdytojui buvo skirta finansinė bauda.

Nors BDAR neatleidžia duomenų valdytojo nuo jo paties įsipareigojimų, jame numatyta didesnė subrangovo atsakomybė.

CNIL tai išaiškino šiais metais, savo pirmajame sprendime, priimtame 2021 m. sausio mėn.

Kredencialų duomenų klastojimo* atveju vadovui ir subrangovui prireikė daugiau nei metų, kad įdiegtų įrankį, skirtą aptikti ir blokuoti atakas svetainėje.

Vadovui skirta 150 000 eurų bauda, o subrangovui – 75 000 eurų bauda.

CNIL nurodo, kad „duomenų valdytojas turi nuspręsti dėl priemonių įgyvendinimo ir pateikti dokumentuotus nurodymus savo subrangovui. Tačiau subrangovas taip pat turi ieškoti tinkamiausių techninių ir organizacinių sprendimų asmens duomenų saugumui užtikrinti ir pasiūlyti juos duomenų valdytojui“.

Visų pirma: sutartyje aiškiai nustatykite vaidmenis ir atsakomybes

Ši sutartis gali būti visiškai arba iš dalies pagrįsta standartinėmis sutarčių sąlygomis (SCS).

Nuo 2019 m. trys Europos duomenų apsaugos institucijos (Danijos, Slovėnijos ir Lietuvos) priėmė standartines sutarčių sąlygas (SCS) duomenų tvarkytojams, dėl kurių Europos duomenų apsaugos valdyba (EDAV) paskelbė nuomonę. 2021 m. birželio 4 d. Europos Komisija paskelbė standartines sutarčių sąlygas (SCS) tarp duomenų valdytojų ir tvarkytojų pagal BDAR ir Reglamentą (ES) 2018/1725.

CNIL savo subrangovų vadove taip pat pateikia sutarčių sąlygų pavyzdžius.

Sutartyje turi būti apibrėžta:

  • Paslaugos tikslas ir trukmė
  • Tvarkymo pobūdis ir tikslas
  • Tvarkomų asmens duomenų rūšis
  • Suinteresuotų asmenų kategorijos
  • Kliento, kaip duomenų valdytojo, pareigos ir teisės
  • Subrangovo pareigos ir teisės, numatytos BDAR 28 straipsnyje

Subrangovas privalo laikytis visų pirma šių įsipareigojimų:

  • Paskirti duomenų apsaugos pareigūną, jei tai yra valdžios institucija ar viešoji įstaiga, jei ji reguliariai ir sistemingai dideliu mastu stebi asmenis arba dideliu mastu tvarko vadinamuosius „jautrius“ duomenis arba duomenis, susijusius su apkaltinamaisiais nuosprendžiais ir nusikaltimais.
  • Dokumentuokite savo subrangos veiklą ir tvarkykite apdorojimo operacijų registrą
  • Siūlyti įrankius, kurie gerbia asmens duomenis (pvz., asmeninės informacijos sąsaja, prenumeratos atsisakymo nuoroda)
  • Padėti duomenų valdytojui atsakyti į prašymus pasinaudoti asmenų teisėmis
  • Užtikrinti surinktų duomenų saugumą.

Saugumo problemos yra vienos iš tų, kurios dažniausiai sukelia pažeidimus ir ginčus. Todėl duomenų valdytojui rekomenduojama:

  • Reikalauti, kad paslaugų teikėjas informuotų apie savo informacinių sistemų saugumo politiką;
  • Užtikrinti ir dokumentuoti subrangovo siūlomų duomenų apsaugos garantijų veiksmingumą.
  • Siekiant patikrinti priemonių veiksmingumą, pavyzdžiui, atliekant saugumo auditus arba apsilankant patalpose.

* Įgaliojimų klastojimas yra kibernetinės atakos rūšis, kai pavogta paskyros informacija, paprastai sudaryta iš naudotojų ID ir susijusių slaptažodžių sąrašų (dažnai gautų sukčiavimo būdu), naudojama siekiant gauti neteisėtą prieigą prie naudotojų paskyrų per didelio masto automatines prisijungimo užklausas prie žiniatinklio programų.

Ir taip pat

Prancūzija:

Ten Duomenų nutekėjimas iš Paryžiaus valstybinių ligoninių (AP-HP) CNIL buvo pranešta apie 1,4 mln. žmonių, kuriems 2020 m. viduryje buvo atliktas COVID-19 testas. Komisija ir vyriausybė paskelbė informacinį pranešimą suinteresuotiesiems asmenims.

ANSSI skelbia rekomendacijas dėl prijungtų objektų saugumas.

A stebėjimo ir apsaugos nuo užsienio skaitmeninių trukdžių paslauga (Viginum) buvo įkurta liepos 13 d. dekretu. Jos misija – aptikti ir analizuoti Prancūzijai priešišką turinį skaitmeninėse platformose, generuojamą iš užsienio.

Momentiniai pranešimai yra privatus susirašinėjimas Liepos 23 d. sprendime Meaux pramonės tribunolas nusprendė, kad bendrovė „Eurodisney“ negali atleisti darbuotojo dėl pokalbio „Messenger“ programoje, prie kurios ji neturėjo prieigos, net jei ši pranešimų siuntimo paslauga nebuvo apsaugota slaptažodžiu.

Europa:

Europos Komisija paskelbė, kad rugsėjo 15 d. teisėkūros iniciatyva dėl prijungtų objektų kibernetinio saugumoTai papildys siūlomą NIS2 direktyvą dėl tinklo saugumo.

Po daugiau nei metus trukusių derybų, Jungtinės Valstijos ir Europa dar nepasiekė susitarimo dėl transatlantinio duomenų perdavimoŠių derybų tikslas – išspręsti teisinę spragą, atsiradusią dėl Europos Teisingumo Teismo sprendimo Schrems II byloje, kuriuo buvo panaikintas „Privatumo skydas“.

Vis dėlto dedamos pastangos bendradarbiauti, pavyzdžiui, dirbtinio intelekto srityje ir reguliuojant platformas, platinančias neteisėtą turinį internete.

Tai teigiama ES ir JAV prekybos ir technologijų tarybos inauguracijos komunikate, paskelbtame rugsėjo 29 d.

Nuo rugsėjo 27 d. duomenų perdavimas į šalį, nepriklausančią Europos Sąjungai ir kuri laikoma neužtikrinančia tinkamo apsaugos lygio, turi būti grindžiamas... modernizuota standartinių sutarčių sąlygų versija Europos Komisijos, paskelbta birželio 4 d.

Europos duomenų apsaugos priežiūros pareigūnas rugsėjo 24 d. paskelbė nuomonę dėl Europos Komisijos pasiūlymo dėl kova su pinigų plovimu, kuriame jis pabrėžia renkamų asmens duomenų būtinumo ir proporcingumo principus.

Belgijos valdžios institucija rugsėjo 23 d. paskelbė pranešimą dėl naudojimosi pratęsimo Saugu nuo Covid Bilietai į kasdienio gyvenimo vietas ir įvykius.

Ji primena pareigą įrodyti šio „sveikatos paso“ būtinumą ir proporcingumą bei kišimąsi į privatų gyvenimą, kurį jis reiškia.

Airijos duomenų apsaugos institucija vis dar laikoma kliūtimi, kai kalbama apie atitiktį BDAR..

Vis dėlto atkreipkime dėmesį į jo rugsėjo 17 d. pranešimą kartu su Italijos valdžia, dėl„Facebook“ akinių vaizdo įrašų ir nuotraukų funkcijų poveikis privatumo klausimais.

Tuo pačiu metu, Norvegijos valdžios institucijos paskelbė sprendimą nebenaudoti „Facebook“ savo komunikacijai, atlikus duomenų apsaugos poveikio vertinimą.

THE Lietuvos gynybos ministerija rugsėjo 21 d. pranešime rekomendavo nenaudoti Kiniški telefonai pavyzdžiui, „Xiaomi Corp“, kuri integruoja programinę įrangą tam tikriems pranešimams aptikti ir cenzūruoti.

Tarptautinis:

Pirmoji duomenų apsaugos institucijų G7 viršūnė Rugsėjo 7 ir 8 dienomis, vadovaujant Jungtinei Karalystei, subūrė Prancūzijos, Italijos, Kanados, Didžiosios Britanijos, Vokietijos, Japonijos ir Jungtinių Amerikos Valstijų valdžios institucijas.

Valdžios institucijos aptarė tarptautinius duomenų apsaugos klausimus, įskaitant tarpvalstybinius duomenų srautus, su pandemija susijusius klausimus ir dirbtinio intelekto plėtrą.

Urugvajus, Europos Sąjunga laiko šalimi, užtikrinančia tinkamą asmens duomenų apsaugos lygį., atnaujino savo pačios atliktą šalių, į kurias duomenų perdavimas yra teisiškai įmanomas, vertinimą..

Šis vertinimas neįtraukiamos Jungtinės Valstijos šalyse, kuriose yra pakankamas apsaugos lygis.

Duomenų perdavimas tarp Urugvajaus ir Jungtinių Valstijų dabar turės užtikrinti konkrečias garantijas, pavyzdžiui, atitinkamų sutarčių sąlygų laikymąsi.

Anne Christine Lacoste

„Olivier Weber Avocat“ partnerė Anne Christine Lacoste yra teisininkė, kurios specializacija – duomenų teisė; ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir dirbo įgyvendinant BDAR Europos Sąjungoje.

Atraskite Viqtor®
lt_LTLT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV sk_SKSK sl_SISL lt_LTLT