Atbilde
Kāds cits (fiziska vai juridiska persona vai jebkāda cita struktūra) drīkst apstrādāt personas datus jūsu vārdā, ja vien ir noslēgts līgums vai cits juridisks akts. Svarīgi, lai jūsu ieceltais apstrādātājs nodrošinātu pietiekamas garantijas, īstenojot tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka datu apstrāde atbilst Vispārīgās datu aizsardzības regulas (VDAR) standartiem, un garantētu fizisko personu tiesību aizsardzību.
Ieceltais apstrādātājs nevar kā apakšuzņēmēju norīkot citu apstrādātāju, ja no jums iepriekš nav saņemta konkrēta vai vispārīga rakstiska atļauja. Līgumā vai juridiskā aktā, kas noslēgts starp jūsu uzņēmumu/organizāciju un apstrādātāju, jābūt iekļautām šādiem elementiem:
- apstrādi drīkst veikt tikai pēc pārziņa dokumentētiem norādījumiem;
- apstrādātājs nodrošina, ka personas, kuras ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai tām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti;
- apstrādātājam jānodrošina minimāls drošības līmenis, ko nosaka pārzinis;
- apstrādātājam jāpalīdz, lai nodrošinātu atbilstību VDAR.
Piemēri
Būvuzņēmums izmanto apakšuzņēmēju konkrētu būvniecības darbu veikšanai un sniedz tam to klientu kontaktinformāciju, pie kuriem jāveic attiecīgie būvdarbi. Apakšuzņēmums šos datus pēc tam izmanto, lai šiem klientiem nosūtītu tirgvedības materiālus. Šajā gadījumā saskaņā ar VDAR apakšuzņēmējs nav uzskatāms tikai par “apstrādātāju”, jo apakšuzņēmējs ne vien apstrādā personas datus būvuzņēmuma vārdā, bet arī veic to papildu apstrādi savām vajadzībām. Tādējādi apakšuzņēmējs darbojas kā “datu pārzinis”.
Jums pieder mazumtirdzniecības uzņēmums, kurš izlemj savu klientu datubāzes dublējumkopiju glabāt mākoņserverī. Šajā nolūkā jūs noslēdzat līgumu ar mākoņdatošanas pakalpojumu sniedzēju, kurš ir zināms savu augsto datu aizsardzības standartu dēļ un kuram ir arī sertificēta datu šifrēšanas sistēma. Mākoņdatošanas pakalpojumu sniedzējs ir jūsu datu apstrādātājs, jo, glabājot jūsu klientu personas datus savos serveros, tas jūsu vārdā apstrādās personas datus.
Atsauces
Examples
A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’.
You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf.