Apakšuzņēmēju dalīta atbildība

Fragments no Bruno DUMAY grāmatas: GDPR ATŠĶIRŠANA – uzņēmumu un organizāciju vadītājiem, stratēģiskajiem departamentiem un darbiniekiem – Gaëlle MONTEILLER priekšvārds

Visā tekstā apstrādātāji tiek minēti līdzās datu pārziņiem. Saskaņā ar 4.-8. pantu apstrādātājs ir "fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas apstrādā personas datus pārziņa vārdā". Tas var rīkoties tikai saskaņā ar līgumu vai citu Eiropas Savienības tiesību aktu, kurā atkārtoti uzsvērti tā datu aizsardzības pienākumi (28.-3. pants).

2017. gada septembrī CNIL publicēja apakšuzņēmēja rokasgrāmatu, kurā ir paskaidrota tā loma un būtība datu apstrādes un aizsardzības ķēdē.

Neskatoties uz precīzo definīciju, termins "apakšuzņēmējs" var attiekties uz daudzām konstrukcijām, kas uzskaitītas šādi:

“– IT pakalpojumu sniedzēji (mitināšana, uzturēšana utt.), programmatūras integratori, IT drošības uzņēmumi, digitālo pakalpojumu uzņēmumi vai agrāk IT pakalpojumu un inženierijas uzņēmumi (SSII), kuriem ir piekļuve datiem;

– mārketinga vai komunikācijas aģentūras, kas apstrādā personas datus klientu vārdā;

– vispārīgāk jebkura organizācija, kas piedāvā pakalpojumu vai sniedz pakalpojumus, kas saistīti ar personas datu apstrādi citas organizācijas vārdā;

– šāda kvalifikācija var tikt pieprasīta arī publiskai iestādei vai apvienībai”.

Lūdzu, ņemiet vērā, ka, apstrādājot datus savā vārdā (piemēram, personāla vadībā), par apstrādi ir atbildīgs apakšuzņēmējs. Tas attiecas arī uz gadījumiem, kad apakšuzņēmējs pats nosaka apstrādes mērķi un līdzekļus.

Šaubu gadījumā par statusu — datu pārzinis vai apstrādātājs — CNIL atsaucas uz Eiropas uzraudzības iestāžu 2010. gada 16. februāra atzinumu, kurā sniegts norādījumu kopums, ko var izmantot:

– pakalpojumu sniedzēja autonomija sava pakalpojuma sniegšanā;

– pakalpojuma uzraudzība;

– pakalpojumu sniedzēja pievienotā vērtība, t. i., sniegtā pieredze;

– pakalpojumu sniedzēja izmantošanas pārredzamības pakāpe (vai attiecīgajām personām, kuras izmanto klienta pakalpojumus, ir zināma viņa identitāte?).

Saskaņā ar VDAR apstrādātājs ir kopīgi atbildīgs. Tas "palīdz pārzinim nodrošināt pienākumu izpildi" (28. panta 3. punkta f) apakšpunkts). Tas uztur "visu pārziņa vārdā veikto apstrādes darbību kategoriju reģistru" (30. panta 2. punkts). Un visbiežāk tam ir jāieceļ arī datu aizsardzības speciālists (37. pants), pie kā mēs atgriezīsimies vēlāk.

CNIL savā rokasgrāmatā precizē, ko nozīmē “pietiekamas garantijas”, kas apakšuzņēmējam jāsniedz, lai varētu veikt savu darbu:

– pārredzamība un izsekojamība (līgums, instrukcijas, reģistrs un visa informācija, kas nepieciešama, lai pierādītu saistību izpildi);

– integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma (minimāla apstrāde, kas saistīta ar mērķi un tikai ar to, ierobežots ilgums);

– apstrādāto datu drošība (konfidencialitāte, paziņošana datu pārkāpuma gadījumā, datu dzēšana vai atgriešana pakalpojuma beigās);

– palīdzība, brīdinājumi un padomi.

Ja apakšuzņēmējs arī slēdz apakšuzņēmuma līgumus, viņam vispirms ir jāsaņem rakstiska atļauja no datu pārziņa (28. panta 2. punkts). Šim otrajam apakšuzņēmējam ir tādas pašas saistības, pat ja tas ir reģistrēts ārpus Eiropas Savienības. Ja tas tās neievēro, pirmais apakšuzņēmējs ir atbildīgs. Citiem vārdiem sakot, problēmas gadījumā nevar attaisnot sevi, atsaucoties uz pakalpojumu sniedzēja atrašanās vietu Marokā vai Singapūrā, lai attaisnotu apstrādi, kas neatbilst GDPR.

CNIL iesaka grozīt spēkā esošos līgumus, izdarot grozījumus, lai iekļautu Eiropas regulā paredzētās obligātās klauzulas.

Ja apakšuzņēmējs darbojas vairākās ES valstīs, ir iespējama vienas pieturas aģentūra. 56. panta 1. punktā ir noteikts, ka "vadošā iestāde" būs galvenās iestādes iestāde. Ja apakšuzņēmējam nav iestādes ES, tam jāieceļ pārstāvis, kas būs kontaktpersona datu subjektiem un uzraudzības iestādēm.

Sankcijas, kas tiek piemērotas apakšuzņēmējam saistību neizpildes gadījumā, var būt tikpat bargas kā tās, kas tiek piemērotas datu pārzinim.