Atsakymas
Kas nors kitas (fizinis asmuo, juridinis asmuo arba kitas subjektas) gali jūsų vardu tvarkyti asmens duomenis, jeigu yra atitinkama sutartis ar kitas teisės aktas. Svarbu, kad jūsų paskirtas duomenų tvarkytojas pakankamai užtikrintų, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Bendrojo duomenų apsaugos reglamento (BDAR) standartus ir būtų užtikrinta fizinių asmenų teisių apsauga.
Paskirtasis duomenų tvarkytojas negali paskirti kito duomenų tvarkytojo be jūsų išankstinio konkretaus arba bendro rašytinio leidimo. Jūsų įmonės ar organizacijos ir duomenų tvarkytojo sutartyje arba teisės akte turėtų būti nustatyti šie elementai:
- duomenys tvarkomi tik pagal duomenų valdytojo dokumentais įformintus nurodymus;
- duomenų tvarkytojas užtikrina, kad asmenys, įgalioti tvarkyti asmens duomenis, būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatais nustatyta konfidencialumo prievolė;
- duomenų tvarkytojas užtikrina minimalų saugumo lygį, kurį nustato duomenų valdytojas;
- duomenų tvarkytojas padeda užtikrinti, kad būtų laikomasi BDAR.
Pavyzdžiai
Statybos įmonė pasitelkia subrangovą, kuris turi atlikti konkrečius statybos darbus, ir pateikia jam klientų, pas kuriuos tie darbai turi būti atlikti, kontaktinius duomenis. Subrangovas vėliau panaudoja šiuos duomenis siųsdamas rinkodaros medžiagą. Tokiu atveju pagal BDAR subrangovas yra ne tik duomenų tvarkytojas. Jis ne tik tvarko asmens duomenis statybos įmonės vardu, bet ir toliau tvarko tuos duomenis savo tikslais. Taigi, jis veikia kaip duomenų valdytojas.
Jūsų mažmeninės prekybos įmonė nusprendžia debesies serveryje saugoti savo klientų duomenų bazės atsarginę kopiją. Tuo tikslu sudarote sutartį su debesijos paslaugų teikėju, kuris garsėja savo duomenų apsaugos standartais ir turi sertifikuotą duomenų šifravimo sistemą. Debesijos paslaugų teikėjas yra jūsų duomenų tvarkytojas, nes jūsų vardu tvarkys jūsų klientų asmens duomenis, kurie saugomi jo serveriuose.
Nuorodos
Examples
A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’.
You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf.