Responsable et sous-traitant : qui engage sa responsabilité ?

Vodja in podizvajalec: kdo je odgovoren?

Pravna ura št. 39 – September 2021

Vodja in podizvajalec: kdo je odgovoren? Mnogi upravljavci podatkov uporabljajo podizvajalce, bodisi pri upravljanju s človeškimi viri, ciljanju oglaševanja ali varnosti podatkov.

Uporaba podizvajalca ni zanemarljiva v smislu GDPR, ki določa in krepi ustrezne odgovornosti različnih akterjev.

Kdaj govorimo o podizvajanju?

CNIL v informativne namene omenja vrsto organizacij:

  • Ponudniki IT storitev (gostovanje, vzdrževanje itd.), integratorji programske opreme, podjetja za IT varnost, podjetja za digitalne storitve,
  • Trženjske ali komunikacijske agencije, ki obdelujejo osebne podatke v imenu strank in
  • Na splošno velja za katero koli organizacijo (javno ali zasebno), ki ponuja storitev ali določbo, ki vključuje obdelavo osebnih podatkov v imenu druge organizacije.

Založniki programske opreme ali proizvajalci strojne opreme (bralniki značek, biometrična oprema, medicinska oprema), ki nimajo dostopa do osebnih podatkov in jih ne obdelujejo, se ne štejejo za podizvajalce.

Odgovornost podizvajalca, okrepljena z GDPR

Namen evropske uredbe je povečati odgovornost vseh deležnikov, vključenih v obdelavo osebnih podatkov, na bolj uravnotežen način.

Zlasti podizvajalci opažajo, da se njihova vloga razvija v smeri večje proaktivnosti: ne sledijo več zgolj navodilom upravljavca, temveč mu morajo v skladu s členom 28 GDPR pomagati pri njihovem tekočem postopku skladnosti: analize vpliva, obveščanje o kršitvah, varnost, uničenje podatkov, sodelovanje pri revizijah.

Kdo je odgovoren? Kakšna so tveganja za upravljavca podatkov?

Preden je GDPR začela veljati, je moral upravljavec podatkov odgovarjati za dejanja svojega podizvajalca: slednji je moral zagotoviti zadostna jamstva za zagotovitev izvajanja ukrepov za varnost in zaupnost podatkov, vendar je bila odgovornost upravljavca podatkov, da zagotovi skladnost s temi obveznostmi: „okoliščina, da je kršitev varnosti podatkov morda nastala zaradi napake podizvajalca, ne vpliva na obveznost upravljavca podatkov, da zagotovi strog nadzor nad dejanji, ki jih izvaja slednji“, kar dokazuje posvetovanje CNIL z dne 6. septembra 2018, ki je upravljavcu podatkov naložilo denarno kazen.

Čeprav GDPR upravljavca podatkov ne odvezuje njegovih obveznosti, pa za podizvajalca določa večjo odgovornost.

To je letos pojasnila CNIL v svoji prvi odločitvi iz januarja 2021.

V primeru zlorabe poverilnic* sta vodja in podizvajalec porabila več kot eno leto za uvedbo orodja za odkrivanje in blokiranje napadov na spletno mesto.

Upravitelj je bil kaznovan s 150.000 evri, podizvajalec pa s 75.000 evri.

CNIL določa, da »mora upravljavec podatkov odločiti o izvedbi ukrepov in dati dokumentirana navodila svojemu podizvajalcu. Vendar mora podizvajalec poiskati tudi najprimernejše tehnične in organizacijske rešitve za zagotovitev varnosti osebnih podatkov ter jih predlagati upravljavcu podatkov.«

Najprej: v pogodbi jasno določite vloge in odgovornosti

Ta pogodba lahko v celoti ali delno temelji na standardnih pogodbenih klavzulah.

Od leta 2019 so trije evropski organi za varstvo podatkov (danski, slovenski in litovski) sprejeli standardne pogodbene klavzule za obdelovalce, o katerih je Evropski odbor za varstvo podatkov (EDPB) izdal mnenje. Evropska komisija je 4. junija 2021 objavila svoje standardne pogodbene klavzule (STK) med upravljavci in obdelovalci v skladu s Splošno uredbo o varstvu podatkov in Uredbo (EU) 2018/1725.

CNIL v svojem priročniku za podizvajalce navaja tudi primere pogodbenih klavzul.

Pogodba mora opredeliti:

  • Namen in trajanje storitve
  • Narava in namen obdelave
  • Vrsta obdelanih osebnih podatkov
  • Kategorije zadevnih oseb
  • Obveznosti in pravice stranke kot upravljavca podatkov
  • Obveznosti in pravice podizvajalca, kot so določene v 28. členu GDPR

Podizvajalca zlasti zavezujejo naslednje obveznosti:

  • Imenovati pooblaščeno osebo za varstvo podatkov, če gre za organ ali javno telo, če redno in sistematično spremlja posameznike v velikem obsegu ali v velikem obsegu obdeluje tako imenovane "občutljive" podatke ali podatke v zvezi s kazenskimi obsodbami in prekrški.
  • Dokumentirajte svoje dejavnosti podizvajalcev in vodite register postopkov obdelave
  • Ponudite orodja, ki spoštujejo osebne podatke (npr. vmesnik za osebne podatke, povezavo za odjavo)
  • Pomagati upravljavcu podatkov pri odzivanju na zahteve za uveljavljanje pravic posameznikov
  • Zagotovite varnost zbranih podatkov.

Varnostna vprašanja so med tistimi, ki najpogosteje povzročajo kršitve in spore. Upravljavcu podatkov se zato svetuje, da:

  • Zahtevati od ponudnika storitev, da sporoči svojo politiko varnosti informacijskih sistemov;
  • Zagotoviti in dokumentirati učinkovitost jamstev, ki jih ponuja podizvajalec v zvezi z varstvom podatkov.
  • Za preverjanje učinkovitosti ukrepov, na primer z varnostnimi pregledi ali obiskom objektov.

* Polnjenje poverilnic je vrsta kibernetskega napada, pri katerem se ukradeni podatki o računu, običajno sestavljeni iz seznamov uporabniških ID-jev in povezanih gesel (pogosto pridobljenih na goljufiv način), uporabljajo za pridobitev nepooblaščenega dostopa do uporabniških računov prek obsežnih avtomatiziranih zahtev za prijavo v spletne aplikacije.

In tudi

Francija:

Tam Uhajanje podatkov iz pariških javnih bolnišnic (AP-HP) CNIL je bil obveščen o 1,4 milijona ljudeh, ki so bili sredi leta 2020 testirani na COVID-19. Komisija in vlada sta objavili informativno sporočilo za zadevne osebe.

ANSSI objavlja priporočila v zvezi z varnost povezanih objektov.

A storitev spremljanja in zaščite pred tujimi digitalnimi motnjami (Viginum) je bil ustanovljen z odlokom 13. julija. Njegovo poslanstvo je odkrivanje in analiziranje vsebin, ki so sovražne do Francije na digitalnih platformah in so orkestrirane iz tujine.

Takojšnje sporočanje je zasebna korespondenca Industrijsko sodišče v Meauxu je v sodbi z dne 23. julija odločilo, da podjetje Eurodisney ne more odpustiti zaposlenega na podlagi pogovora v Messengerju, do katerega ni imelo dovoljenja za dostop, četudi ta storitev sporočanja ni bila zaščitena z geslom.

Evropa:

Evropska komisija je 15. septembra objavila zakonodajna pobuda glede kibernetske varnosti povezanih objektovTo bo dopolnilo predlagano direktivo NIS2 o varnosti omrežij.

Po več kot letu dni pogajanj, Združene države in Evropa še nista dosegli sporazuma o transatlantskem prenosu podatkovNamen teh pogovorov je odpraviti pravno praznino, ki jo je pustila sodba Evropskega sodišča v zadevi Schrems II, s katero je bil razveljavljen zasebnostni ščit.

Vendar pa obstajajo prizadevanja za sodelovanje, na primer na področju umetne inteligence in regulacije platform, ki distribuirajo nezakonite spletne vsebine.

To izhaja iz ustanovnega sporočila za javnost Sveta za trgovino in tehnologijo EU-ZDA z dne 29. septembra.

Od 27. septembra morajo prenosi podatkov v državo zunaj Evropske unije, za katero se šteje, da ne zagotavlja ustrezne ravni varstva, temeljiti na posodobljena različica standardnih pogodbenih klavzul Evropske komisije, objavljeno 4. junija.

Evropski nadzornik za varstvo podatkov je 24. septembra objavil mnenje o predlogu Evropske komisije v zvezi boj proti pranju denarja, v katerem poudarja načeli nujnosti in sorazmernosti zbranih osebnih podatkov.

Belgijski organ je 23. septembra objavil obvestilo o podaljšanju uporabe Varno za Covid Vstopnica za kraje in dogodke vsakdanjega življenja.

Opozarja na obveznost dokazovanja nujnosti in sorazmernosti te „zdravstvene izkaznice“ ter na poseganje v zasebno življenje, ki ga ta implicira.

Irski organ v krogih varstva podatkov še vedno velja za ozko grlo, ko gre za skladnost z GDPR..

Vseeno pa bodimo pozorni na njegovo sporočilo z dne 17. septembra, skupaj z italijanska oblast, gledevpliv funkcij videoposnetkov in fotografij Facebook očal v zadevah zasebnosti.

Hkrati, Norveški organ je sporočil, da za svojo komunikacijo ne bo več uporabljal Facebooka. po oceni učinka na varstvo podatkov.

TA Ministrstvo za obrambo Litve v sporočilu z dne 21. septembra priporočeno, da se ne uporablja Kitajski telefoni kot je Xiaomi Corp, ki integrira programsko opremo za zaznavanje in cenzuriranje določenih sporočil.

Mednarodno:

Prva skupina G7 organov za varstvo podatkov 7. in 8. septembra je pod predsedstvom Združenega kraljestva združila oblasti Francije, Italije, Kanade, Velike Britanije, Nemčije, Japonske in Združenih držav.

Oblasti so razpravljale o mednarodnih vprašanjih varstva podatkov, vključno s čezmejnim pretokom podatkov, vprašanji, povezanimi s pandemijo, in razvojem umetne inteligence.

Urugvaj, ki jo Evropska unija obravnava kot državo, ki zagotavlja ustrezno raven varstva osebnih podatkovje posodobila svojo oceno držav, v katere je prenos podatkov zakonito mogoč.

Ta ocena izključuje Združene države Amerike države z ustrezno ravnjo zaščite.

Prenos podatkov med Urugvajem in Združenimi državami bo moral odslej zagotavljati posebna jamstva, kot je skladnost z ustreznimi pogodbenimi klavzulami.

Anne Christine Lacoste

Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.

Odkrijte Viqtor®
sl_SISL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL