Responsable et sous-traitant : qui engage sa responsabilité ?

Vadītājs un apakšuzņēmējs: kurš ir atbildīgs?

Juridiskā uzraudzība Nr. 39 — 2021. gada septembris

Vadītājs un apakšuzņēmējs: kurš ir atbildīgs? Daudzi datu pārziņi izmanto apakšuzņēmējus, vai nu cilvēkresursu vadības, reklāmas mērķauditorijas atlases vai datu drošības jomā.

Apakšuzņēmēja izmantošana nav mazsvarīga saistībā ar GDPR, kas precizē un pastiprina dažādu dalībnieku attiecīgos pienākumus.

Kad mēs runājam par apakšuzņēmuma līgumiem?

CNIL informatīvos nolūkos min vairākas organizācijas:

  • IT pakalpojumu sniedzēji (mitināšana, uzturēšana utt.), programmatūras integratori, IT drošības uzņēmumi, digitālo pakalpojumu uzņēmumi,
  • Mārketinga vai komunikācijas aģentūras, kas apstrādā personas datus klientu vārdā un
  • Vispārīgāk runājot, jebkura organizācija (publiska vai privāta), kas piedāvā pakalpojumu vai sniedz pakalpojumus, kas saistīti ar personas datu apstrādi citas organizācijas vārdā.

Programmatūras izdevēji vai aparatūras ražotāji (personu identifikācijas ierīču lasītāji, biometriskās iekārtas, medicīnas iekārtas), kuriem nav piekļuves personas datiem un kuri tos neapstrādā, netiek uzskatīti par apakšuzņēmējiem.

Apakšuzņēmēja atbildība, ko pastiprina GDPR

Eiropas regulas mērķis ir līdzsvarotākā veidā padarīt visas personas datu apstrādē iesaistītās ieinteresētās personas atbildīgākas.

Jo īpaši apakšuzņēmēju loma attīstās, kļūstot proaktīvākai: viņi vairs vienkārši neievēro pārziņa norādījumus, bet saskaņā ar GDPR 28. pantu viņiem ir jāpalīdz tiem pastāvīgajā atbilstības procesā: ietekmes analīzēs, pārkāpumu paziņošanā, drošībā, datu iznīcināšanā, ieguldījumā auditos.

Kas ir atbildīgs? Kādi ir riski datu pārzinim?

Pirms GDPR stāšanās spēkā datu pārzinim bija jāatbild par sava apakšuzņēmēja darbībām: pēdējam bija jāsniedz pietiekamas garantijas, lai nodrošinātu datu drošības un konfidencialitātes pasākumu ieviešanu, taču datu pārziņa pienākums bija nodrošināt šo pienākumu ievērošanu: "apstāklis, ka datu pārkāpums varētu būt radies apakšuzņēmēja pieļautas kļūdas dēļ, neietekmē datu pārziņa pienākumu nodrošināt stingru pēdējā veikto darbību uzraudzību", kā liecina CNIL 2018. gada 6. septembra apspriede, kurā datu pārzinim tika piemērots finansiāls sods.

Lai gan GDPR neatbrīvo datu pārzini no tā pienākumiem, tā paredz lielāku atbildību apakšuzņēmējam.

CNIL to precizēja šogad savā pirmajā lēmumā, kas datēts ar 2021. gada janvāri.

Akreditācijas datu viltošanas* lietā vadītājam un apakšuzņēmējam bija nepieciešams vairāk nekā gads, lai ieviestu rīku uzbrukumu atklāšanai un bloķēšanai tīmekļa vietnē.

Vadītājam tika piespriests 150 000 eiro naudas sods, bet apakšuzņēmējam — 75 000 eiro.

CNIL precizē, ka "datu pārzinim ir jāpieņem lēmums par pasākumu īstenošanu un jāsniedz dokumentēti norādījumi savam apakšuzņēmējam. Taču apakšuzņēmējam ir arī jāmeklē vispiemērotākie tehniskie un organizatoriskie risinājumi, lai nodrošinātu personas datu drošību, un jāpiedāvā tie datu pārzinim".

Pirmkārt: līgumā skaidri jānosaka lomas un pienākumi.

Šis līgums var būt pilnībā vai daļēji balstīts uz standarta līguma klauzulām (SCC).

Kopš 2019. gada trīs Eiropas datu aizsardzības iestādes (Dānijas, Slovēnijas un Lietuvas) ir pieņēmušas standarta līguma klauzulas (SCC) apstrādātājiem, par kurām Eiropas Datu aizsardzības kolēģija (EDAK) ir sniegusi atzinumu. 2021. gada 4. jūnijā Eiropas Komisija publicēja standarta līguma klauzulas (SCC) starp pārziņiem un apstrādātājiem saskaņā ar VDAR un Regulu (ES) 2018/1725.

CNIL savā apakšuzņēmēju rokasgrāmatā sniedz arī līguma klauzulu piemērus.

Līgumā jādefinē:

  • Pakalpojuma mērķis un ilgums
  • Apstrādes raksturs un mērķis
  • Apstrādāto personas datu veids
  • Attiecīgo personu kategorijas
  • Klienta pienākumi un tiesības kā datu pārzinim
  • Apakšuzņēmēja pienākumi un tiesības, kā noteikts GDPR 28. pantā

Apakšuzņēmējam ir jo īpaši šādi pienākumi:

  • Iecelt datu aizsardzības speciālistu, ja tā ir iestāde vai publiska struktūra, ja tā veic regulāru un sistemātisku personu uzraudzību plašā mērogā vai plašā mērogā apstrādā tā sauktos "sensitīvos" datus vai datus, kas attiecas uz notiesājošiem spriedumiem un pārkāpumiem.
  • Dokumentējiet savas apakšuzņēmēja darbības un uzturiet apstrādes darbību reģistru.
  • Piedāvāt rīkus, kas respektē personas datus (piemēram, personas informācijas saskarni, atteikšanās saiti)
  • Palīdzēt datu pārzinim atbildēt uz pieprasījumiem par fizisko personu tiesību īstenošanu
  • Nodrošināt apkopoto datu drošību.

Drošības jautājumi ir vieni no tiem, kas visbiežāk izraisa datu pārkāpumus un strīdus. Tāpēc datu pārzinim ieteicams:

  • Pieprasīt pakalpojumu sniedzējam paziņot savu informācijas sistēmu drošības politiku;
  • Lai nodrošinātu un dokumentētu apakšuzņēmēja piedāvāto garantiju efektivitāti datu aizsardzības jomā.
  • Lai pārbaudītu pasākumu efektivitāti, piemēram, veicot drošības auditus vai apmeklējot objektus.

* Akreditācijas datu viltošana ir kiberuzbrukuma veids, kurā nozagta konta informācija, kas parasti sastāv no lietotāju ID un saistīto paroļu sarakstiem (bieži iegūtiem krāpnieciskā ceļā), tiek izmantota, lai iegūtu neatļautu piekļuvi lietotāju kontiem, izmantojot liela mēroga automatizētus pieteikšanās pieprasījumus tīmekļa lietojumprogrammās.

Un arī

Francija:

Tur Datu noplūde no Parīzes publiskajām slimnīcām (AP-HP) CNIL ir paziņots par 1,4 miljoniem cilvēku, kuriem 2020. gada vidū tika veikta COVID-19 pārbaude. Komisija un valdība ir publicējušas informatīvu piezīmi attiecīgajām personām.

ANSSI publicē ieteikumus attiecībā uz savienoto objektu drošība.

A uzraudzības un aizsardzības pakalpojums pret ārvalstu digitālajiem traucējumiem (Viginum) tika izveidota ar dekrētu 13. jūlijā. Tās misija ir atklāt un analizēt Francijai naidīgu saturu digitālajās platformās, kas tiek veidots no ārvalstīm.

Tūlītējā ziņojumapmaiņa ir privāta sarakste 23. jūlija spriedumā Meaux Darba tribunāls nolēma, ka uzņēmums Eurodisney nevar atlaist darbinieku, pamatojoties uz sarunu pakalpojumā Messenger, kurai tam nebija atļaujas piekļūt, pat ja šis ziņojumapmaiņas pakalpojums nebija aizsargāts ar paroli.

Eiropa:

Eiropas Komisija 15. septembrī paziņoja, ka likumdošanas iniciatīva par savienoto objektu kiberdrošībuTas papildinās ierosināto NIS2 direktīvu par tīkla drošību.

Pēc vairāk nekā gadu ilgām sarunām, Amerikas Savienotās Valstis un Eiropa vēl nav panākušas vienošanos par transatlantisko datu pārsūtīšanu.Šo sarunu mērķis ir novērst juridisko vakuumu, ko radījis Eiropas Savienības Tiesas lēmums Šremsa II lietā, ar kuru tika atcelts Privātuma vairogs.

Tomēr pastāv centieni sadarboties, piemēram, mākslīgā intelekta jomā un platformu, kas izplata nelegālu saturu tiešsaistē, regulēšanā.

Tas izriet no ES un ASV Tirdzniecības un tehnoloģiju padomes atklāšanas paziņojuma 29. septembrī.

Kopš 27. septembra datu pārsūtīšana uz valsti ārpus Eiropas Savienības, kas netiek uzskatīta par tādu, kas nodrošina pietiekamu aizsardzības līmeni, ir jāveic, pamatojoties uz standarta līguma klauzulu modernizētā versija Eiropas Komisijas ziņojums, publicēts 4. jūnijā.

Eiropas Datu aizsardzības uzraudzītājs 24. septembrī publicēja atzinumu par Eiropas Komisijas priekšlikumu attiecībā uz cīņa pret nelikumīgi iegūtu līdzekļu legalizēšanu, kurā viņš uzsver apkopoto personas datu nepieciešamības un samērīguma principus.

Beļģijas iestāde 23. septembrī publicēja paziņojumu par lietošanas pagarināšanu Covid drošs Biļetes uz ikdienas dzīves vietām un notikumiem.

Tā atgādina par pienākumu pierādīt šīs “veselības pases” nepieciešamību un samērīgumu, kā arī iejaukšanos privātajā dzīvē, ko tā nozīmē.

Īrijas iestāde datu aizsardzības aprindās joprojām tiek uzskatīta par vājo vietu GDPR atbilstības nodrošināšanā..

Tomēr ņemsim vērā viņa 17. septembra paziņojumu kopā ar Itālijas iestāde, attiecībā uzFacebook briļļu video un foto funkciju ietekme privātuma jautājumos.

Tajā pašā laikā Norvēģijas varas iestāde paziņoja par savu lēmumu vairs neizmantot Facebook saziņai, pēc datu aizsardzības ietekmes novērtējuma.

THE Lietuvas Aizsardzības ministrija 21. septembra paziņojumā ieteica neizmantot Ķīniešu telefoni piemēram, Xiaomi Corp, kas integrē programmatūru noteiktu ziņojumu noteikšanai un cenzēšanai.

Starptautiskās:

Pirmā datu aizsardzības iestāžu G7 valstu grupa 7. un 8. septembrī Apvienotās Karalistes prezidentūras laikā pulcēja Francijas, Itālijas, Kanādas, Lielbritānijas, Vācijas, Japānas un Amerikas Savienoto Valstu varas iestādes.

Varas iestādes apsprieda starptautiskās datu aizsardzības jautājumus, tostarp pārrobežu datu plūsmas, ar pandēmiju saistītus jautājumus un mākslīgā intelekta attīstību.

Urugvaja, Eiropas Savienība uzskata par valsti, kas garantē atbilstošu personas datu aizsardzības līmeni, ir atjauninājusi savu novērtējumu par valstīm, uz kurām datu pārsūtīšana ir likumīgi iespējama.

Šis novērtējums izslēdz Amerikas Savienotās Valstis valstīs ar atbilstošu aizsardzības līmeni.

Datu pārsūtīšanai starp Urugvaju un Amerikas Savienotajām Valstīm tagad būs jānodrošina īpašas garantijas, piemēram, atbilstība atbilstošām līguma klauzulām.

Anna Kristīna Lakoste

Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.

Atklājiet Viqtor®
lvLV
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lt_LTLT sk_SKSK sl_SISL lvLV