GDPR і аутсорсинг: що змінилось і як залишатись у комплаєнсі

Загальний регламент із захисту даних (GDPR) встановлює норми щодо захисту фізичних осіб у зв’язку з опрацюванням персональних даних.

У GDPR прямо не згадується про аутсорсинг, проте:

– визначено юридичні зобов’язання, якими наділяються постачальників послуг;

– приділено увагу договірним зобов’язанням між клієнтами та постачальниками послуг щодо обробки даних (service providers).

Зважаючи на принципи щодо обробки персональних даних, які встановлює GDPR, та положення щодо прав суб’єктів даних, можна зробити висновок, що він турбується про сфери відповідальності кожного з учасників договору. Зокрема, це стосується ролей, які мають замовник та виконавець відповідно до GDPR,  регулювання обробки даних сторонами, прав та обов’язків сторін, нюансів міжнародної передачі даних, процедур vendor assessment.

Обов’язки контролера

Контролер відповідальний за всю повноту обробки персональних даних своїх клієнтів, тобто і за ті обробки, що виконуються процесором від імені контролера. Тому обов’язки включають наступне:

  • Дотримання принципів захисту даних, перелічених у статті 5 GDPR.
  • Дотримання прав суб’єктів даних (гарантувати, що особи можуть здійснювати свої права щодо своїх особистих даних, включаючи права на доступ, виправлення, стирання, обмеження, перенесення даних, заперечення та права, пов’язані з автоматизованим прийняттям рішень).
  • Впровадити технічні та організаційні заходи безпеки для забезпечення безпеки персональних даних.
  • Щодо вибору відповідного процесора (який здатний виконати вимоги GDPR).
  • Забезпечити укладення письмового договору з процесором (Data Processing Agreement).
  • Повідомити наглядовий орган/ суб’єктів даних у разі порушення захисту персональних даних.

Обов’язки процесора

Процесори мають меншу автономію щодо даних, які вони обробляють, але вони мають кілька прямих юридичних зобов’язань відповідно до GDPR, серед них:

  • Обов’язки, пов’язані із принципом підзвітності (accountability), такі як проведення оцінки впливу на захист даних (data protection impact assessments) і призначення спеціаліста із захисту даних (data protection officer), робити записи опрацювання даних – RoPA (ст. 30).
  • Відповідальність за GDPR-комплаєнс.
  • Дотримання інструкцій контролера щодо обробки персональних даних.
  • Укладати письмовий договір з контролером (Data Processing Agreement).
  • Не залучати субпроцесора без попереднього письмового дозволу контролера.
  • Впроваджувати відповідні технічні та організаційні заходи для забезпечення безпеки персональних даних, в тому числі захист від випадкового чи незаконного знищення або втрати, зміни, несанкціонованого розкриття або доступу до персональних даних.
  • Повідомити контролера у разі настання data breach.

Загалом, GDPR покладає на процесора низку обов’язків, які він має виконувати незалежно від наявності чи відсутності договірних зобов’язань (ст. ст. 27, 28(2-4), 29, 30(2), 31, 32, 33, 37, 44, 49). Тобто обсяг відповідальності процесора ми встановлюємо, виходячи з норм самого GDPR, і виходячи з договору DPA з контролером.

Якщо процесор знаходиться в третій країні (не в ЄС), то безпосередньо до нього GDPR може і не застосовуватись. І в такому разі у контролера, який хоче його залучити до своєї обробки даних, виникає обов’язок “підтягнути” обов’язки процесора, покладені на нього законом, до рівня GDPR? Яким чином це робиться? Шляхом закріплення їх у договорі (тобто створення додатково до державних ще і контрактних обов’язків, що в сумі даватиме аналогічний GDPR обсяг прав і обов’язків).

Тобто фактично невідповідність процесора вимогам GDPR визначає контролер до укладення договору. Якщо у процесі виконання договору у процесора виникають складнощі з тим, щоб дотримуватися GDPR – він повинен повідомити про це контролерові, щоб він вжив необхідних заходів. Список цих заходів буде залежати від контексту.

Data Processing Agreement – це договір, що укладається між контролерами, контролером та процесором, процесором та суб-процесором, і регулює особливості обробки персональних даних. Зазвичай, такий договір визначає предмет і тривалість обробки, характер та цілі обробки, категорії персональних даних та суб’єктів персональних даних, а також права та обов’язки сторін.

Для Data Processing Agreement, що укладається між контролером та процесором, GDPR передбачає перелік обов’язкових положень, що повинні бути включені до нього. Зокрема, такі:

– обробка персональних даних повинна здійснюватися виключно на підставі письмових вказівок контролера;

– гарантії конфіденційності;

– вжиття належних заходів безпеки;

– право залучати субпідрядників (субпроцесорів) лише на підставі попереднього письмового дозволу контролера;

– обов’язок видалити персональні дані після закінчення строку надання послуг.

Рекомендуємо обов’язково зазначати в договорі обов’язок проводити тренінги для персоналу, щоб працівники процесора чи субпроцесора були обізнані з вимогами щодо обробки персональних даних, а також із наслідками та відповідальністю, якщо вони допустять порушення.

Якщо Ви потребуєте допомоги з data processing agreement, або ж не знаєте як правильно визначити права та обов’язки контрагента, і остерігаєтесь ризиків – наші юристи завжди проконсультують Вас, звертайтесь!

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)