Deljena odgovornost podizvajalcev

Odlomek iz knjige Bruna DUMAYA: DEŠIFRIRANJE GDPR – Za vodje, strateške oddelke in zaposlene v podjetjih in organizacijah – Predgovor Gaëlle MONTEILLER

V celotnem besedilu se obdelovalci omenjajo skupaj z upravljavci podatkov. V skladu s členom 4-8 je obdelovalec „fizična ali pravna oseba, javni organ, agencija ali drug organ, ki obdeluje osebne podatke v imenu upravljavca.“ Deluje lahko le v okviru pogodbe ali drugega pravnega akta Evropske unije, ki ponovno potrjuje njene obveznosti glede varstva podatkov (člen 28-3).

Septembra 2017 je CNIL objavil Vodnik za podizvajalce, ki pojasnjuje njegovo vlogo in naravo v verigi obdelave in varstva podatkov.

Kljub natančni definiciji se izraz podizvajalec lahko uporablja za številne strukture, naštete so v nadaljevanju:

„– ponudniki IT storitev (gostovanje, vzdrževanje itd.), integratorji programske opreme, podjetja za IT varnost, podjetja za digitalne storitve ali prej podjetja za IT storitve in inženiring (SSII), ki imajo dostop do podatkov;“

– marketinške ali komunikacijske agencije, ki obdelujejo osebne podatke v imenu strank;

– na splošno vsaka organizacija, ki ponuja storitev ali določbo, ki vključuje obdelavo osebnih podatkov v imenu druge organizacije;

– tudi javni organ ali združenje mora pridobiti takšno kvalifikacijo“.

Upoštevajte, da je pri obdelavi podatkov v lastnem imenu (npr. upravljanje s kadri) za obdelavo odgovoren podizvajalec. To velja tudi, če sam določi namen in sredstva obdelave.

V primeru dvoma o statusu – upravljavec ali obdelovalec podatkov – se CNIL sklicuje na mnenje evropskih nadzornih organov z dne 16. februarja 2010, ki navaja niz namigov, ki jih je mogoče uporabiti:

– avtonomija ponudnika storitev pri izvajanju njegove storitve;

– spremljanje storitve;

– dodana vrednost, tj. strokovno znanje, ki ga zagotavlja ponudnik storitev;

– stopnja preglednosti glede uporabe ponudnika storitev (ali je njegova identiteta znana zadevnim osebam, ki uporabljajo storitve stranke?).

V skladu s Splošno uredbo o varstvu podatkov je obdelovalec soodgovoren. »Pomaga upravljavcu pri zagotavljanju skladnosti z obveznostmi« (člen 28-3f). Vodi »register vseh kategorij dejavnosti obdelave, ki se izvajajo v imenu upravljavca« (člen 30-2). Najpogosteje pa mora imenovati tudi pooblaščeno osebo za varstvo podatkov (člen 37), o čemer se bomo vrnili kasneje.

CNIL v svojem priročniku podrobno določa, kaj pomenijo „zadostna jamstva“, ki jih mora podizvajalec zagotoviti, da lahko opravi svoje delo:

– preglednost in sledljivost (pogodba, navodila, register in vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti);

– varstvo podatkov že od samega začetka in privzeto (minimalna obdelava, povezana z namenom in samo s tem namenom, omejeno trajanje);

– varnost obdelanih podatkov (zaupnost, obveščanje v primeru kršitve varnosti podatkov, izbris ali vračilo podatkov ob koncu storitve);

– pomoč, opozorilo in nasvet.

Če podizvajalec odda tudi podizvajalske pogodbe, mora najprej pridobiti pisno dovoljenje upravljavca podatkov (člen 28-2). Za tega drugega podizvajalca veljajo enake obveznosti, tudi če ima sedež zunaj Evropske unije. Če jih ne izpolni, je odgovoren prvi podizvajalec. Z drugimi besedami, v primeru težave se ni mogoče opravičevati s sklicevanjem na lokacijo ponudnika storitev v Maroku ali Singapurju, da bi upravičili obdelavo, ki ni v skladu z GDPR.

CNIL priporoča spremembo veljavnih pogodb z amandmaji, da se vključijo obvezne klavzule, ki jih določa evropska uredba.

Če podizvajalec deluje v več državah EU, je mogoča enotna kontaktna točka. Člen 56-1 določa, da je „vodilni organ“ organ glavnega sedeža. Če podizvajalec nima sedeža v EU, mora imenovati predstavnika, ki bo kontaktna oseba za posameznike, na katere se nanašajo osebni podatki, in nadzorne organe.

Sankcije, ki se uporabijo za podizvajalca v primeru neizpolnitve njegovih obveznosti, so lahko enako hude kot tiste, ki se naložijo upravljavcu podatkov.