Vairakkārt šo rakstu sērijā esam skaidrojuši par pārziņa lomu un pienākumiem datu apstrādē. Šoreiz pievērsīsimies vēl vienai datu apstrādes lomai – apstrādātājam [1], kā arī skaidrosim, kas būtu jāņem vērā pārzinim, izvēloties sev šādu “palīgu” datu apstrādē.
Apstrādātājs ir pārziņa (organizācijas, uzņēmuma) norīkota persona, kas nav darbinieks, vai uzņēmums, kas pārziņa uzdevumā veic datu apstrādi, pamatojoties uz pārziņa noteiktajiem datu apstrādes mērķiem. Lai organizāciju varētu uzskatīt par apstrādātāju, tai jāatbilst diviem pamatnosacījumiem — tai jābūt atsevišķai un neatkarīgai organizācijai un jāapstrādā personas dati pārziņa uzdevumā. [2]
Organizācijas darbinieks nav uzskatāms par apstrādātāju, kamēr tam ir darba tiesiskās attiecības ar organizāciju. Respektīvi - konkrētās organizācijas darbinieks nevar būt apstrādātājs.
Pārzinis parasti norīko apstrādātāju, kad saprot, ka organizācijā ir jāveic ar datu apstrādi saistīti uzdevumi, bet tai trūkst nepieciešamo zināšanu, resursu vai arī kādu citu iemeslu dēļ uzdevumus nevar izpildīt. Tādējādi organizācija izvēlas apstrādātāju, kura rīcībā savukārt ir šie trūkstošie resursi.
Piemērs. Uzņēmums noslēdz līgumu ar ārpakalpojumu grāmatvedības speciālistu darbam ar uzņēmuma ārējām un iekšējām finansēm. Tā kā grāmatvedis uzņēmuma rīcībā esošos personas datus apstrādā uzņēmuma uzdevumā un uz savstarpēja pārziņa-apstrādātāja līguma pamata, tad ārpakalpojuma grāmatveža loma šajā gadījumā ir apstrādātājs, bet uzņēmums ir pārzinis.
Tā kā pamatā par veikto datu apstrādi, tostarp par atbilstoša tiesiskā pamata piemērošanu, atbild pārzinis, tad arī apstrādātāju būtu jāizvēlas tādu, kurš būtu uzticams un neradītu kaitējumu cilvēkiem, kuru personas dati ir pārziņa rīcībā, un nodrošinātu viņu tiesību aizsardzību. Izvēlētajam apstrādātājam ir jāspēj pierādīt, ka tas veiks savas darbības atbilstoši Datu regulas prasībām un piemēros atbilstošus pasākumus apstrādes drošībai. [3]
Lai šādu apstrādātāju atrastu, būtu jāveic priekšizpēte. Izpēte veicama, vērtējot:
- apstrādātāja izvēlēto drošības prasību (ieskaitot kiberdrošību) kopumu atbilstību pārziņa vēlmēm un nepieciešamībai (ieviestās prasības atbilst vai pārsniedz nepieciešamo, lai mazinātu/novērstu riskus datu aizsardzībai);
- reputāciju (piemēram, vai apstrādātājs nav iepriekš cietis no personas datu aizsardzības pārkāpuma);
- atbildību pret cilvēkiem, kuru datus apstrādā (procedūras un gatavība pildīt pienākumus);
- zināšanas par jomu.
Šādu informāciju var ievākt, piemēram, no potenciālā apstrādātāja tīmekļa vietnē iekļautās informācijas un dokumentiem, publiski pieejamās informācijas, kā arī lūdzot to sniegt pašam apstrādātājam. Ir jābūt pārliecībai, ka apstrādātājs neradīs kaitējumu cilvēkiem, kuru dati tiks apstrādāti.
Visbeidzot, lai pārziņa un apstrādātāja attiecības būtu juridiski noteiktas un atbilstošas Datu regulā noteiktajam pienākumam [4], abām pusēm jānoslēdz savstarpējs līgums vai kā citādi rakstveidā jānosaka savstarpējās attiecības. Līguma parakstīšana norāda uz abu pušu gatavību sadarboties, kā arī kalpo par apliecinājumu, ka apstrādātājs savā rīcībā esošos datus apstrādās, ievērojot līgumā un datu aizsardzības normatīvajos aktos noteikto.
Līgumam ir jāsatur skaidra informācija par līguma priekšmetu, apstrādājamiem datiem, mērķi, kādēļ pārzinis nodod šos datu apstrādei apstrādātājam, tāpat arī apstrādes ilgumu, apstrādātāja tiesības un pienākumus konkrētajā apstrādē. [4] Pārziņa tiesības ir regulēt un noteikt apstrādes apjomu un sasniedzamo rezultātu, un apstrādātājam šie nosacījumi ir jāievēro. Jebkurā gadījumā abas puses datu apstrādi veic atbilstoši Datu regulas prasībām.
Kad savstarpējs līgums ir noslēgts, pārzinis nodod apstrādātājam attiecīgo (tikai mērķa sasniegšanai nepieciešamo) datu apjomu un citu informāciju, kas nepieciešama pilnvērtīgai un drošai datu apstrādei. Tāpat pārzinis savlaicīgi informē apstrādātāju, ja apstrāde ir jāpārtrauc ātrāk, nekā noteikts līgumā vai noticis kāds cits gadījums, kādēļ datu apstrādē ir veicamas izmaiņas.
Par apstrādātāja atbildību, apstrādājot pārziņa persona datus un nepieciešamajām darbībām, skaidrosim kādā no nākamajiem #DVIskaidro.
Vairāk informācijas par pārziņa un apstrādātāja lomu noteikšanu un sadali – Eiropas datu aizsardzības kolēģijas vadlīnijās Nr. 07/2020 par pārziņa un apstrādātāja jēdzieniem VDAR.
Būsim pateicīgi, ja skaidrojuma kvalitātes novērtēšanas nolūkos aizpildīsiet šo aptauju - https://www.visidati.lv/aptauja/2103231148/.
Informatīvās atsauces:
[1] Saskaņā ar Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa regulas (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula; tekstā – Datu regula) 4. panta 8. punktu, apstrādātājs ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus.
[2] Eiropas datu aizsardzības kolēģijas vadlīniju Nr. 07/2020 par pārziņa un apstrādātāja jēdzieniem VDAR. 76. punkts.
[3] Datu regulas 28. panta 1. punkts.
[4] Datu regulas 28. panta 3. punkts.
[5] Datu regulas 5. pants.