Voditelj i izvršitelj obrade - obveze prije sklapanja ugovora |
Objavljeno: 24.09.2022 / 08:41 |
Autor: Ines i Marko Krečak, Centar Feralis |
KOLUMNA - Poslovni subjekti redovno se u svom poslovanju mogu naći u ulogama voditelja i izvršitelja obrade neovisno radi li se o tvrtkama, obrtima, udrugama ili drugim organizacijama kada govorimo o poslovnim subjektima. |
Kada se nađu u takvom odnosu oni su dužni urediti taj odnos prema zahtjevima Opće uredbe. Pri tome definiranje voditelja i izvršitelja obrade ima presudnu ulogu u primjeni Opće uredbe jer određuju tko je odgovoran za sukladnost s različitim pravilima o zaštiti podataka i kako ispitanici mogu ostvariti svoja prava u praksi. Podsjetimo se, voditelj obrade biti će svaki onaj subjekt koji određuje svrhu i sredstva obrade, dok će izvršitelj obrade biti drugi subjekt kojeg angažira voditelj obrade kako bi obrađivao osobne podatke u njegovo ime. Međutim, pri samom definiranju da li je neki subjekt uistinu naš izvršitelj obrade biti će potrebno uzeti u obzir veći niz elemenata kako bi isto ispravno utvrdilo. Primjer čestih izvršitelja obrade: RADNJE PRIJE SKLAPANJA UGOVORA Voditelj obrade ima dužnost angažirati „jedino izvršitelje obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera”, na način da obrada udovoljava zahtjevima GDPR uključujući sigurnost obrade – i osigurava zaštitu prava ispitanika. Pojednostavljeno, voditelj obrade biti će odgovoran ukoliko angažira izvršitelja obrade koji nema dovoljna jamstva za sigurnost obrade i koji nema uvjerljive dokaze da osobne podatke obrađuje u skladu sa zahtjevima Opće uredbe. Stoga prije sklapanja ugovora s izvršiteljem obrade, voditelj obrade treba: procijeniti sukladnost izvršitelja i PROCJENA DOSTATNOSTI JAMSTAVA Kako bi voditelj obrade dokazao da je razmotrio sve potrebne elemente često će to zahtijevati razmjenu relevantne dokumentacije s izvršiteljem obrade kao što su to npr. politika zaštite privatnosti, uvjeta pružanja usluge, evidencija aktivnosti obrade, pravila upravljanja podatcima, pravila o zaštiti sigurnosti podataka, izvješća o vanjskim revizijama zaštite podataka, priznati međunarodni certifikat poput serije ISO 27000 i drugo. Procjena voditelja obrade o dostatnosti jamstava oblik je procjene rizika koji će uvelike ovisiti o vrsti obrade koja je povjerena izvršitelju obrade. Naime, nema točnog popisa dokumenata ili radnji koje bi izvršitelj obrade trebao predočiti ili dokazati već procjenu treba provesti za svaki pojedinačni slučaj zasebno uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike za prava i slobode fizičkih osoba. Voditelj obrade kod takve procjene treba uzeti u obzir i stručno znanje izvršitelja (npr. tehničko stručno znanje u pogledu sigurnosnih mjera i povrede podataka), njegovu pouzdanost i resurse a također i ugled izvršitelja na tržištu može biti važan čimbenik za razmatranje. No, da li voditelj obrade mora uvijek raditi opsežne provjere radi utvrđivanja dostatnosti jamstava izvršitelja obrade? U situacijama gdje postoji manji rizik za obradu osobnih podataka neće uvijek biti potrebno inzistirati na opsežnim jamstvima ili vršiti dublju analizu i provjeru, ali svakako će određena jamstva izvršitelj obrade uvijek trebat priložiti a koja će voditelj obrade moći opravdano ocijeniti kao dostatna. TRAJNA OBAVEZA VODITELJA OBRADE Važno je imati na umu da obveza voditelja obrade da angažira samo one izvršitelje obrade koji „u dovoljnoj mjeri jamče”, kako je to navedeno u članku 28. stavku 1. Opće uredbe, trajna je obveza voditelja obrade. Ona ne završava u trenutku kada voditelj obrade i izvršitelj obrade sklope ugovor ili drugi pravni akt kojima uređuju obradu osobnih podataka. Stoga voditelj obrade treba, u odgovarajućim intervalima, provjeravati jamstva izvršitelja obrade, uključujući revizije i razne provjere, ističe Europski odbor za zaštitu podataka u svojim smjernicama o voditeljima i izvršiteljima obrade. Naravno, procjenu dostatnih jamstava, provjere i revizije izvršitelja obrade ili drugo, voditelj obrade treba dokumentirati i moći ih dokazati. |
|
Tagovi: voditelj obrade, izvršitelj obrade, GDPR |
PROČITAJ I OVO | ||
Sedam veličanstvenih u tjednu izgubilo na vrijednosti čak 950 milijardi dolara |
KOLUMNA - Geopolitičke napetosti malo su prigušile vrijednosti burzovnih indeksa, ali panike nije bilo. |
Nafta zasad nije pretjerano reagirala na bliskoistočnu krizu |
ANALIZA - Na financijskim tržištima reakcija na nedavni iranski napad na Izrael bila je ograničena jer su se tržišta barem privremeno malo smirila jer iranski osvetnički napad na izraelsko bombardiranje iranskog veleposlanstva u Siriji nije prouzročio pretjeranu štetu. |
Halving ovog puta vjerojatno neće donijeti eksploziju oduševljenja |
KOLUMNA - U sljedeća 24 sata kripto zajednica svjedočit će važnoj prekretnici: četvrti "halving" u povijesti bitcoina. |
Fed će sniziti kamate nakon ECB-a |
KOLUMNA - Dow Jones jučer je prekinuo šestodnevni gubitnički niz, ali neizvjesnost ostaje na Wall Streetu. |
Napad na Izrael intenzivirat će korekciju na tržištima |
KOLUMNA - Energetski sektor je ove godine u lijepom plusu, zaslugom stalno rastućih cijena nafte. |