Responsable et sous-traitant : qui engage sa responsabilité ?

Manažér a subdodávateľ: kto je zodpovedný?

Právne správy č. 39 – September 2021

Manažér a subdodávateľ: kto je zodpovedný? Mnohí prevádzkovatelia údajov využívajú subdodávateľov, či už v oblasti riadenia ľudských zdrojov, cielenej reklamy alebo bezpečnosti údajov.

Využitie subdodávateľa nie je bezvýznamné z hľadiska GDPR, ktoré špecifikuje a posilňuje príslušné zodpovednosti rôznych aktérov.

Kedy hovoríme o subdodávateľstve?

CNIL pre informačné účely spomína niekoľko organizácií:

  • Poskytovatelia IT služieb (hosting, údržba atď.), softvéroví integrátori, spoločnosti zaoberajúce sa IT bezpečnosťou, spoločnosti poskytujúce digitálne služby,
  • Marketingové alebo komunikačné agentúry, ktoré spracúvajú osobné údaje v mene klientov a
  • Všeobecnejšie povedané, akákoľvek organizácia (verejná alebo súkromná), ktorá ponúka službu alebo ustanovenie zahŕňajúce spracovanie osobných údajov v mene inej organizácie.

Vydavatelia softvéru alebo výrobcovia hardvéru (čítačky odznakov, biometrické zariadenia, zdravotnícke zariadenia), ktorí nemajú prístup k osobným údajom a nespracúvajú ich, sa nepovažujú za subdodávateľov.

Zodpovednosť subdodávateľa posilnená GDPR

Cieľom európskeho nariadenia je zabezpečiť vyváženejším spôsobom väčšiu zodpovednosť všetkých zainteresovaných strán zapojených do spracovania osobných údajov.

Najmä subdodávatelia vnímajú, že ich úloha sa vyvíja smerom k väčšej proaktivite: už nielen dodržiavajú pokyny prevádzkovateľa, ale musia mu podľa článku 28 GDPR pomáhať v ich prebiehajúcom procese dodržiavania predpisov: analýzy vplyvu, oznamovanie porušení, bezpečnosť, ničenie údajov, prispievanie k auditom.

Kto je zodpovedný? Aké sú riziká pre prevádzkovateľa?

Pred nadobudnutím účinnosti GDPR musel prevádzkovateľ zodpovedať za konanie svojho subdodávateľa: ten musel poskytnúť dostatočné záruky na zabezpečenie implementácie opatrení na zabezpečenie bezpečnosti a dôvernosti údajov, ale zodpovednosťou prevádzkovateľa bolo zabezpečiť dodržiavanie týchto povinností: „okolnosť, že porušenie ochrany údajov mohlo vzniknúť v dôsledku chyby spáchanej subdodávateľom, nemá vplyv na povinnosť prevádzkovateľa zabezpečiť prísne monitorovanie činností, ktoré vykonáva“, ako dokazuje rokovanie CNIL zo 6. septembra 2018, ktoré prevádzkovateľovi uložilo finančnú pokutu.

Hoci GDPR nezbavuje prevádzkovateľa údajov jeho vlastných povinností, stanovuje zvýšenú zodpovednosť pre subdodávateľa.

Toto objasnila CNIL tento rok vo svojom prvom rozhodnutí z januára 2021.

V prípade zneužitia prihlasovacích údajov* trvalo manažérovi a subdodávateľovi viac ako rok implementácia nástroja na detekciu a blokovanie útokov na webovú stránku.

Manažér dostal pokutu 150 000 eur a subdodávateľ 75 000 eur.

CNIL špecifikuje, že „prevádzkovateľ údajov musí rozhodnúť o implementácii opatrení a dať svojmu subdodávateľovi zdokumentované pokyny. Subdodávateľ však musí tiež hľadať najvhodnejšie technické a organizačné riešenia na zaistenie bezpečnosti osobných údajov a navrhnúť ich prevádzkovateľovi údajov.“

V prvom rade: jasne stanoviť úlohy a zodpovednosti v zmluve

Táto zmluva môže byť úplne alebo čiastočne založená na štandardných zmluvných doložkách (SDK).

Od roku 2019 prijali tri európske orgány na ochranu údajov (dánsky, slovinský a litovský) štandardné zmluvné doložky týkajúce sa sprostredkovateľov, ku ktorým vydal stanovisko Európsky výbor pre ochranu údajov (EDPB). Európska komisia 4. júna 2021 zverejnila svoje štandardné zmluvné doložky medzi prevádzkovateľmi a sprostredkovateľmi podľa GDPR a nariadenia (EÚ) 2018/1725.

CNIL tiež uvádza príklady zmluvných doložiek vo svojej príručke pre subdodávateľov.

Zmluva musí definovať:

  • Účel a trvanie služby
  • Povaha a účel spracovania
  • Typ spracovávaných osobných údajov
  • Kategórie dotknutých osôb
  • Povinnosti a práva klienta ako prevádzkovateľa údajov
  • Povinnosti a práva subdodávateľa podľa článku 28 GDPR

Subdodávateľ je viazaný najmä nasledujúcimi povinnosťami:

  • Vymenovať zodpovednú osobu, ak ide o orgán alebo verejný orgán, ak vykonáva pravidelné a systematické monitorovanie jednotlivcov vo veľkom rozsahu alebo spracováva vo veľkom rozsahu tzv. „citlivé“ údaje alebo údaje týkajúce sa odsúdení za trestné činy a priestupkov.
  • Dokumentujte svoje subdodávateľské činnosti a vezmite si register spracovateľských operácií
  • Ponúkajte nástroje, ktoré rešpektujú osobné údaje (napr. rozhranie pre osobné údaje, odkaz na odhlásenie)
  • Pomôcť prevádzkovateľovi údajov reagovať na žiadosti o uplatnenie práv jednotlivcov
  • Zabezpečte bezpečnosť zhromaždených údajov.

Bezpečnostné problémy patria medzi tie, ktoré najčastejšie spôsobujú narušenia a spory. Prevádzkovateľovi údajov sa preto odporúča:

  • Požadovať od poskytovateľa služieb oznámenie svojej politiky bezpečnosti informačných systémov;
  • Zabezpečiť a zdokumentovať účinnosť záruk ponúkaných subdodávateľom v oblasti ochrany údajov.
  • Overiť účinnosť opatrení, napríklad prostredníctvom bezpečnostných auditov alebo návštevy zariadení.

* Credential stuffing je typ kybernetického útoku, pri ktorom sa ukradnuté informácie o účtoch, zvyčajne pozostávajúce zo zoznamov používateľských ID a súvisiacich hesiel (často získaných podvodne), používajú na získanie neoprávneného prístupu k používateľským účtom prostredníctvom rozsiahlych automatizovaných požiadaviek na prihlásenie do webových aplikácií.

A tiež

Francúzsko:

Tam Únik údajov z parížskej služby pomoci verejným nemocniciam (AP-HP) Komisia a vláda zverejnili informačnú poznámku pre dotknuté osoby, ktorá podstúpila testy na COVID-19 v polovici roka 2020, o ktorých bolo oznámené CNIL.

ANSSI zverejňuje odporúčania týkajúce sa zabezpečenie pripojených objektov.

A monitorovacia a ochranná služba pred zahraničným digitálnym rušením (Viginum) bola vytvorená dekrétom z 13. júla. Jej úlohou je odhaľovať a analyzovať obsah nepriateľský voči Francúzsku na digitálnych platformách, ktorý je riadený zo zahraničia.

Okamžité správy sú súkromnou korešpondenciou V rozsudku z 23. júla Priemyselný tribunál v Meaux rozhodol, že spoločnosť Eurodisney nemôže prepustiť zamestnanca na základe konverzácie v službe Messenger, ku ktorej nemá oprávnenie na prístup, a to ani v prípade, že táto služba na odosielanie správ nebola chránená heslom.

Európa:

Európska komisia oznámila 15. septembra legislatívna iniciatíva týkajúca sa kybernetickej bezpečnosti prepojených objektovToto doplní navrhovanú smernicu NIS2 o bezpečnosti sietí.

Po viac ako roku rokovaní, Spojené štáty a Európa sa zatiaľ nedohodli na transatlantickom prenose údajov.Cieľom týchto rozhovorov je vyriešiť právne vákuum, ktoré vzniklo po rozhodnutí Európskeho súdneho dvora vo veci Schrems II, ktorým sa zrušil štít na ochranu osobných údajov.

Existujú však snahy o spoluprácu, napríklad v oblasti umelej inteligencie a regulácie platforiem distribuujúcich nelegálny obsah online.

Vyplýva to z inauguračného komuniké Rady EÚ a USA pre obchod a technológie z 29. septembra.

Od 27. septembra musia byť prenosy údajov do krajiny mimo Európskej únie, o ktorých sa predpokladá, že neposkytujú primeranú úroveň ochrany, založené na modernizovaná verzia štandardných zmluvných doložiek Európskej komisie, zverejnené 4. júna.

Európsky dozorný úradník pre ochranu údajov zverejnil 24. septembra stanovisko k návrhu Európskej komisie týkajúcemu sa boj proti praniu špinavých peňazí, v ktorom zdôrazňuje zásady nevyhnutnosti a primeranosti zhromažďovaných osobných údajov.

Belgický úrad zverejnila 23. septembra oznámenie týkajúce sa predĺženia používania Bezpečné pre Covid Vstupenka na miesta a udalosti každodenného života.

Pripomína povinnosť preukázať nevyhnutnosť a primeranosť tohto „zdravotného preukazu“ a zásah do súkromného života, ktorý z neho vyplýva.

Írsky úrad je v kruhoch ochrany údajov stále považovaný za úzke hrdlo, pokiaľ ide o dodržiavanie GDPR..

Všimnime si však jeho oznámenie zo 17. septembra, spolu s taliansky úrad, týkajúci savplyv funkcií videa a fotenia vo Facebook Glasses v záležitostiach súkromia.

Zároveň, Nórsky úrad oznámil svoje rozhodnutie prestať používať Facebook na komunikáciu. po posúdení vplyvu na ochranu údajov.

THE Ministerstvo obrany Litvy v oznámení z 21. septembra odporučil nepoužívať Čínske telefóny ako napríklad Xiaomi Corp, ktorá integruje softvér na detekciu a cenzurovanie určitých správ.

Medzinárodné:

Prvá skupina G7 orgánov na ochranu údajov na ktorej sa 7. a 8. septembra stretli predstavitelia Francúzska, Talianska, Kanady, Veľkej Británie, Nemecka, Japonska a Spojených štátov pod predsedníctvom Spojeného kráľovstva.

Úrady diskutovali o medzinárodných otázkach ochrany údajov vrátane cezhraničných tokov údajov, otázkach súvisiacich s pandémiou a vývojom umelej inteligencie.

Uruguaj, Európska únia ju považuje za krajinu zaručujúcu primeranú úroveň ochrany osobných údajovaktualizovala svoje vlastné hodnotenie krajín, do ktorých je prenos údajov zo zákona možný.

Toto hodnotenie vylučuje Spojené štáty krajiny s primeranou úrovňou ochrany.

Prenosy údajov medzi Uruguajom a Spojenými štátmi budú teraz musieť poskytovať špecifické záruky, ako napríklad dodržiavanie príslušných zmluvných doložiek.

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.

Objavte Viqtor®
sk_SKSK
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sl_SISL sk_SKSK