Voditelj i izvršitelj obrade - obveze prije sklapanja ugovora

Kada se nađu u takvom odnosu oni su dužni urediti taj odnos prema zahtjevima Opće uredbe. Pri tome definiranje voditelja i izvršitelja obrade ima presudnu ulogu u primjeni Opće uredbe jer određuju tko je odgovoran za sukladnost s različitim pravilima o zaštiti podataka i kako ispitanici mogu ostvariti svoja prava u praksi.

Podsjetimo se, voditelj obrade biti će svaki onaj subjekt koji određuje svrhu i sredstva obrade, dok će izvršitelj obrade biti drugi subjekt kojeg angažira voditelj obrade kako bi obrađivao osobne podatke u njegovo ime. Međutim, pri samom definiranju da li je neki subjekt uistinu naš izvršitelj obrade biti će potrebno uzeti u obzir veći niz elemenata kako bi isto ispravno utvrdilo.

Primjer čestih izvršitelja obrade:

vanjski knjigovodstveni servis koji vrši obračun plaće
tvrtka koja pruža usluge videonadzora
tvrtka koja pruža usluge fizičke zaštite
tvrtka koja pruža usluge hostinga
tvrtka koja pruža podršku za naše informatičke sustave
marketinške agencije kojima prosljeđujemo našu bazu klijenata npr. za slanje marketinških poruka, raznih pozivnica i slično
pozivni centar koji smo angažirali za pružanje korisničke podrške našim klijentima
agencije za naplatu potraživanja koje smo angažirali na temelju ugovora o poslovnoj suradnji i drugo.

Da bi odnos između voditelja i izvršitelja obrade bio u skladu sa Općom uredbom, on treba udovoljavati više zahtjeva koje navedena regulativa pred voditelja i izvršitelja obrade postavlja. Prije svega takav odnos mora biti uređen ugovorom ili drugim pravnim aktom koji treba sadržavati i sve elemente propisane Općom uredbom bilo da su odredbe o obradi osobnih podataka sastavni ili odvojeni dio tog ugovora. Tako u praksi voditelj i izvršitelj obrade nakon sklapanja osnovnog ugovora najčešće sklapaju posebni ugovor o obradi osobnih podataka ili primjenjuju standardne ugovorne klauzule između voditelja i izvršitelja obrade.

RADNJE PRIJE SKLAPANJA UGOVORA

Voditelj obrade ima dužnost angažirati „jedino izvršitelje obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera”, na način da obrada udovoljava zahtjevima GDPR uključujući sigurnost obrade – i osigurava zaštitu prava ispitanika.

Pojednostavljeno, voditelj obrade biti će odgovoran ukoliko angažira izvršitelja obrade koji nema dovoljna jamstva za sigurnost obrade i koji nema uvjerljive dokaze da osobne podatke obrađuje u skladu sa zahtjevima Opće uredbe.

Stoga prije sklapanja ugovora s izvršiteljem obrade, voditelj obrade treba:

procijeniti sukladnost izvršitelja i
takvu procjenu temeljiti na stvarnim osnovama i dokumentirati.

Naime, voditelj obrade odgovoran je za procjenu dostatnosti jamstava koje pruža izvršitelj obrade i treba moći dokazati da je ozbiljno razmotrio sve elemente propisane Općom uredbom, ističe Europski odbor za zaštitu podataka u svojim smjernicama.

PROCJENA DOSTATNOSTI JAMSTAVA

Kako bi voditelj obrade dokazao da je razmotrio sve potrebne elemente često će to zahtijevati razmjenu relevantne dokumentacije s izvršiteljem obrade kao što su to npr. politika zaštite privatnosti, uvjeta pružanja usluge, evidencija aktivnosti obrade, pravila upravljanja podatcima, pravila o zaštiti sigurnosti podataka, izvješća o vanjskim revizijama zaštite podataka, priznati međunarodni certifikat poput serije ISO 27000 i drugo.

Procjena voditelja obrade o dostatnosti jamstava oblik je procjene rizika koji će uvelike ovisiti o vrsti obrade koja je povjerena izvršitelju obrade. Naime, nema točnog popisa dokumenata ili radnji koje bi izvršitelj obrade trebao predočiti ili dokazati već procjenu treba provesti za svaki pojedinačni slučaj zasebno uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike za prava i slobode fizičkih osoba. Voditelj obrade kod takve procjene treba uzeti u obzir i stručno znanje izvršitelja (npr. tehničko stručno znanje u pogledu sigurnosnih mjera i povrede podataka), njegovu pouzdanost i resurse a također i ugled izvršitelja na tržištu može biti važan čimbenik za razmatranje.

No, da li voditelj obrade mora uvijek raditi opsežne provjere radi utvrđivanja dostatnosti jamstava izvršitelja obrade?

U situacijama gdje postoji manji rizik za obradu osobnih podataka neće uvijek biti potrebno inzistirati na opsežnim jamstvima ili vršiti dublju analizu i provjeru, ali svakako će određena jamstva izvršitelj obrade uvijek trebat priložiti a koja će voditelj obrade moći opravdano ocijeniti kao dostatna.

TRAJNA OBAVEZA VODITELJA OBRADE

Važno je imati na umu da obveza voditelja obrade da angažira samo one izvršitelje obrade koji „u dovoljnoj mjeri jamče”, kako je to navedeno u članku 28. stavku 1. Opće uredbe, trajna je obveza voditelja obrade.

Ona ne završava u trenutku kada voditelj obrade i izvršitelj obrade sklope ugovor ili drugi pravni akt kojima uređuju obradu osobnih podataka. Stoga voditelj obrade treba, u odgovarajućim intervalima, provjeravati jamstva izvršitelja obrade, uključujući revizije i razne provjere, ističe Europski odbor za zaštitu podataka u svojim smjernicama o voditeljima i izvršiteljima obrade.

Naravno, procjenu dostatnih jamstava, provjere i revizije izvršitelja obrade ili drugo, voditelj obrade treba dokumentirati i moći ih dokazati.