Spoločná zodpovednosť subdodávateľov

Úryvok z knihy Bruna DUMAYA: DEŠIFROVANIE GDPR – Pre manažérov, strategické oddelenia a zamestnancov spoločností a organizácií – Predslov od Gaëlle MONTEILLER

V celom texte sa pojem spracovatelia uvádza spolu s pojmom prevádzkovatelia údajov. Podľa článku 4-8 je spracovateľ „fyzická alebo právnická osoba, verejný orgán, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa“. Môže konať len v rámci zmluvy alebo iného právneho aktu Európskej únie, v ktorom sa opakujú jej povinnosti v oblasti ochrany údajov (článok 28-3).

V septembri 2017 CNIL zverejnila Príručku pre subdodávateľov, ktorá objasňuje jej úlohu a povahu v reťazci spracovania a ochrany údajov.

Napriek svojej presnej definícii sa pojem subdodávateľ môže vzťahovať na mnoho stavieb, ktoré sú uvedené takto:

„– poskytovatelia IT služieb (hosting, údržba atď.), softvéroví integrátori, spoločnosti poskytujúce IT bezpečnosť, spoločnosti poskytujúce digitálne služby alebo predtým spoločnosti poskytujúce IT služby a inžinierstvo (SSII), ktoré majú prístup k údajom;“

– marketingové alebo komunikačné agentúry, ktoré spracúvajú osobné údaje v mene klientov;

– všeobecnejšie akákoľvek organizácia ponúkajúca službu alebo ustanovenie zahŕňajúce spracovanie osobných údajov v mene inej organizácie;

– verejný orgán alebo združenie môžu byť tiež povinné získať takúto kvalifikáciu“.

Upozorňujeme, že pri spracovaní údajov vo vlastnom mene (napr. personálny manažment) je za spracovanie zodpovedný subdodávateľ. To platí aj v prípade, ak si sám určí účel a prostriedky spracovania.

V prípade pochybností o statuse – prevádzkovateľ alebo spracovateľ – sa CNIL odvoláva na stanovisko európskych orgánov dohľadu zo 16. februára 2010, ktoré uvádza súbor indícií, ktoré možno použiť:

– autonómia poskytovateľa služieb pri vykonávaní jeho služieb;

– monitorovanie služby;

– pridaná hodnota, t. j. odborné znalosti, ktoré poskytuje poskytovateľ služieb;

– stupeň transparentnosti, pokiaľ ide o využívanie poskytovateľa služieb (je jeho identita známa dotknutým osobám, ktoré využívajú služby klienta?).

Podľa GDPR je spracovateľ spoločne zodpovedný. „Pomáha prevádzkovateľovi pri zabezpečovaní súladu s povinnosťami“ (článok 28-3f). Vedie „register všetkých kategórií spracovateľských činností vykonávaných v mene prevádzkovateľa“ (článok 30-2). A najčastejšie musí tiež vymenovať zodpovednú osobu (článok 37), k čomu sa vrátime neskôr.

CNIL vo svojej príručke špecifikuje, čo sa rozumie pod pojmom „dostatočné záruky“, ktoré musí subdodávateľ poskytnúť, aby mohol vykonať svoju prácu:

– transparentnosť a sledovateľnosť (zmluva, pokyny, register a všetky informácie potrebné na preukázanie splnenia povinností);

– ochrana údajov od návrhu a štandardne (minimálne spracovanie, súvisiace s účelom a len s týmto účelom, obmedzené trvanie);

– zabezpečenie spracovávaných údajov (dôvernosť, oznámenie v prípade porušenia ochrany údajov, vymazanie alebo vrátenie údajov po ukončení služby);

– pomoc, upozornenie a poradenstvo.

Ak subdodávateľ zadáva aj subdodávateľské služby, musí najprv získať písomné povolenie od prevádzkovateľa údajov (článok 28-2). Tento druhý subdodávateľ podlieha rovnakým povinnostiam, aj keď má sídlo mimo Európskej únie. Ak ich nedodrží, zodpovednosť nesie prvý subdodávateľ. Inými slovami, v prípade problému sa nemožno ospravedlňovať odvolaním sa na sídlo poskytovateľa služieb v Maroku alebo Singapure na odôvodnenie spracovania, ktoré nie je v súlade s GDPR.

CNIL odporúča upraviť súčasné zmluvy prostredníctvom dodatkov s cieľom zahrnúť povinné ustanovenia stanovené v európskom nariadení.

Ak subdodávateľ pôsobí vo viacerých krajinách EÚ, je možné jednotné kontaktné miesto. Článok 56-1 stanovuje, že „vedúcim orgánom“ bude orgán hlavnej prevádzkarne. Ak subdodávateľ nemá prevádzkareň v EÚ, musí potom vymenovať zástupcu, ktorý bude kontaktnou osobou pre dotknuté osoby a dozorné orgány.

Sankcie uložené subdodávateľovi v prípade nesplnenia jeho povinností môžu byť rovnako prísne ako sankcie uložené prevádzkovateľovi údajov.