Ugovor o zaštiti podataka (Data Protection Agreement) ili drugi pravni akti vezani uz zaštitu podataka s partnerima s kojima organizacija ima doticajne točke u prikupljanju, obradi ili arhiviranju osobnih podataka, nužne su mjere koje moraju biti poduzete u osiguravanju preduvjeta vlastite usklađenosti organizacije s GDPR-om. U dosadašnjoj praksi uočili smo sklonost organizacija, kako u prebacivanju odgovornosti drugoj ugovornoj strani, tako i izbjegavanju odgovornosti druge ugovorne strane - ovisno o tome tko je prvi poslao tu vrstu ugovora drugoj strani na potpis. Također smo zamijetili i korištenje predložaka te vrste ugovora koji nisu u skladu sa stvarnim stanjem organizacijskih ili tehničkih mjera unutar organizacije.
U svrhu demistificiranja termina 'voditelj obrade' i 'izvršitelj obrade', koji su početna točka u identifikaciji opsega i vrste odgovornosti koju kao organizacija imate, prenosim vam dio smjernica koje su Agencija za zaštitu podataka (AZOP) i mnoga druga europska nadzorna tijela objavile u svrhu detaljnijeg razumijevanja odgovornosti i obveza obiju strana.
Voditelj obrade određuje svrhu i sredstva obrade, dok kvalifikacija izvršitelja obrade ovisi o dva osnovna uvjeta: (1) da se radi o odvojenoj pravnoj osobi u odnosu na voditelja obrade i (2) da izvršitelj obrade obrađuje osobne podatke u ime voditelja obrade.
Važno je znati da kod nastupa incidenta i determiniranju stvarne odgovornosti ugovorne stavke neće predstavljati odlučujući faktor, već će to biti činjenice koje se utvrđuju u skladu s konkretnim okolnostima slučaja!
Voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samostalno ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka (npr. tvrtke i obrti koji obrađuju osobne podatke svojih zaposlenika; financijske institucije koje obrađuju osobne podatke svojih klijenata; obrazovne ustanove koje obrađuju osobne podatke svojih učenika, studenata, nastavnog osoblja i zaposlenika; bolnice koje obrađuju osobne podatke pacijenata; tijela državne uprave koja obrađuju osobne podatke građana)
Izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koja obrađuje osobne podatke u ime voditelja obrade. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom (npr. knjigovodstveni servis koji obrađuje osobne podatke zaposlenika u vrhu isplate plaća; zaštitarske tvrtke registrirane za obavljanje djelatnosti privatne zaštite; agencije za naplatu potraživanja).
Voditelj obrade nije obvezan imati izvršitelja obrade. Ukoliko Voditelj obrade angažira Izvršitelja obrade, svoje međusobne odnose sukladno čl. 28. GDPR-a uređuju odgovarajućim Ugovorom ili drugim pravnim aktom. Izvršitelj obrade dužan je zaštititi povjerljivost obrade osobnih podataka te implementirati odgovarajuće organizacijske i tehničke mjere kako bi mogao dokazati da se obrada provodi u skladu s GDPR-om.
Temeljne obveze voditelja i izvršitelja obrade prema GDPR-u su:
- pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava (čl. 12.-21.), provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite osobnih podataka (čl. 25. i 32.),
- vođenje evidencije aktivnosti obrade (čl. 30. GDPR),
- imenovanje službenika za zaštitu podataka (čl. 37.)
- procjena učinka na zaštitu podataka (čl. 35.)
Vezano uz pružanje informacija ispitanicima, voditelj obrade dužan je sukladno načelu transparentnosti ispitaniku pružiti sve informacije o obradi njegovih osobnih podataka u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ga upoznati s njegovim pravima koja mu pripadaju sukladno GDPR-u (pravo na informiranje, pravo na pristup, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i automatizirano donošenje odluka).
Svakako u oba slučaja treba procijeniti obvezu imenovanja službenika za zaštitu podataka prema propisanim smjernicama, a ako voditelj ili izvršitelj obrade nisu u obvezi imenovanja tog službenika, ispitaniku su dužni pružiti kontakt podatke putem kojih će mu biti omogućeno ostvarivanje GDPR-om propisanih prava.
Voditelj obrade u trenutku prikupljanja osobnih podataka obvezan je ispitaniku pružiti informacije o:
- svom identitetu,
- službeniku za zaštitu podataka (kontakt podaci službenika),
- upoznati sa svrhom i pravnom osnovom za obradu osobnih podataka,
- primateljima ili kategorijama primatelja osobnih podataka,
- prenošenju osobnih podataka trećoj zemlji ili međunarodnoj organizaciji (koje nisu članice EU),
- legitimnom interesu,
- vremenskom roku pohrane osobnih podataka te kriterijima kojima se utvrđuje razdoblje pohrane,
- postojanju prava da se od voditelja obrade zatraži pristup osobnim podacima, ispravak, brisanje osobnih podataka ili ograničavanje obrade koja se na njega odnose, prava na ulaganje prigovora na obradu takvih podataka te na prenosivost njegovih podataka drugom voditelju obrade,
- pravu da se u bilo kojem trenutku povuče privola, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena,
- pravu na podnošenje prigovora nadzornom tijelu (Agenciji za zaštitu osobnih podataka)
- je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže,
- postojanju automatiziranog donošenja odluka, što uključuje izradu profila te smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.
U uvodnim odredbama GDPR-a 74, 80-86 i 94 te čl. 24. propisana obveza voditelja obrade je provođenje odgovarajućih organizacijskih i tehničkih mjera jer mora biti u mogućnosti dokazati da postupa sukladno njenim odredbama.
Voditelj obrade trebao bi angažirati samo izvršitelje obrade koji u zadovoljavajućoj mjeri jamče, osobito u pogledu stručnog znanja, pouzdanosti i resursa, provedbu mjera koje zahtijeva GDPR. Izvršitelj obrade nije oslobođen odgovornosti za provođenje određene obrade podataka u ime i za račun Voditelja obrade bez obzira na njegove obveze iz ugovornog odnosa jer mora jamčiti zaštitu i povjerljivost obrade osobnih podataka te je dužan provoditi odgovarajuće mjere zaštite kako bi osigurao i mogao dokazati da se obrada provodi u skladu s GDPR-om.