Andmekaitseuudised

Loata ja lepinguta andmetöötleja kasutamine tõi kaasa trahvi – 40 000 €.

Postitatud

Itaalia andmekaitse järelevalveasutus Garante per la protezione dei dati personali määras 40 000 euro suuruse trahvi volitatud töötlejale, kes kaasas alltöövõtja andmetöötlusprotsessi ilma vastutava töötleja sellekohase loata.

GDPR artikli 28 rikkumise keskmes olid kolm isikuandmete töötlejat: haiglate ühendus “Azienda ospedaliera di Perugia”  kui vastutav töötleja, veebirakenduste teenuseid pakkuv ettevõte ISWEB S.p.A. kui volitatud töötleja ning majutusteenust (hosting service) pakkuv ettevõte Seeweb S.r.l. kui all-töötleja/alltöövõtja (sub-processor).

ISWEB võimaldas haiglatele rakendust nn. vilepuhujate poolt esitatud info kogumiseks ja haldamiseks. Seeweb palgati alltöövõtjana selle rakenduse majutamiseks, kuid ISWEB ei küsinud alltöövõtja kaasamiseks haiglate ühenduse kui vastutava töötleja luba ja ei sõlminud ka nõutavat lepingut enda kui volitatud töötleja ja alltöövõtja vaheliste suhete reguleerimiseks.

Oma vastuväidetes järelevalveasutusele kirjutas ISWEB, et olenemata eelnevast ta ei töötle vilepuhujate infot, vaid ainult pakub tehnilist infrastruktuuri ning et ei tema ega tema alltöövõtja Seeweb ei töötle andmeid, mida IP aadressiga kombineerides oleks võimalik kasutada vilepuhujate tuvastamiseks. Vilepuhujate info oli krüpteeritud ning võti üksnes haiglate ühenduse käes. ISWEB’i arvates ei olnud seetõttu vajalik küsida vastutava töötleja nõusolekut ega seada alltöövõtjale samu lepingulisi kohustusi nagu vastutav töötleja oli esitanud ISWEB’ile kui volitatud töötlejale.

Järelevalveasutuse hinnangul rikkus ISWEB kui volitatud töötleja siiski GDPR artikli 28 lõikeid 1-4.

GDPR artikli 28 lõige 2 sätestab volitatud töötleja kohustuse mitte kaasata teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse või üldise kirjaliku loata. Lõige 4 seab kohustuse näha alltöövõtja suhtes ette samasugused kohustused töödeldavate isikuandmete kaitseks nagu vastutava ja volitatud töötleja vahelistes suhetes. GDPR artikli 28 lõige 1 kohustab kasutama ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise ja lõige 3 kohustab sõlmima alltöövõtjaga siduva lepingu.

Järelevalveasutus asus seisukohale, et ka krüpteeritud isikuandmed, mille võti on vastutava töötleja käes, on ikkagi isikuandmed, sest nad on seostatavad konkreetse isikuga. Kuigi majutuse pakkujal puudus isikuandmetele otsene juurdepääs, säilitas – seega töötles – ta neid oma infosüsteemis ikkagi.

 

Artikli kirjutamisel kasutatud allikas:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9768387