TKO JE VODITELJ OBRADE?
„Svaka fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka.“
VODITELJ OBRADE UTVRĐUJE:
- svrhu osobnih podataka
- sredstva/način obrade osobnih podataka.
Stoga, ako društvo/organizacija odlučuje o tome „zašto” i „kako” se osobni podaci trebaju obrađivati, ono je voditelj obrade.
Voditelj obrade utvrđuje svrhe za koje se podaci obrađuju i načine na koje se obrađuju odnosno odlučuje o tome „zašto” i „kako” se osobni podaci trebaju obrađivati. Pojednostavljeno to su sve pravne osobe ali mogu biti i fizičke osobe onda kada utvrđuju svrhu i način obrade osobnih podataka u poslovne svrhe. U kontekstu Opće uredbe obrti se smatraju pravnim subjektom.
Voditelj obrade odgovoran je za svaku obradu koja se vrši pod njegovim nalogom, neovisno da li za njega tu obradu vrši drugi poslovni subjekt koji je u kontekstu GDPR-a izvršitelj obrade.
PRIMJER VODITELJA
Trgovačka društva ili obrti koji obrađuju podatke svojih radnika; financijske institucije koje obrađuju osobne podatke svojih stranaka/klijenata; udruge koje obrađuju podatke svojih članova; škole ili fakulteti koji obrađuju osobne podatke učenika, studenata ili nastavnika/svojih radnika; bolnice koje obrađuju osobne podatke svojih pacijenata; državna tijela ili tijela jedinica lokalne/regionalne samouprave koja obrađuju osobne podatke građana.
TKO JE IZVRŠITELJ OBRADE?
„Izvršitelji obrade osobnih podataka je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje na temelju ugovora ili drugog pravnog akta obrađuje osobne podatke u ime voditelja obrade.“
Izvršitelj obrade obrađuje osobne podatke samo u ime voditelja obrade i nije potrebno da pritom i prikuplja podatke. Ponekad to radi voditelj obrade, ponekad Izvršitelj obrade, a ponekad se podaci dobivaju od nekog drugog ugovornog partnera.
Izvršitelj je obično treća strana koja je za društvo vanjska strana. No u slučaju grupacija poduzeća, jedno poduzeće može djelovati kao izvršitelj obrade za drugo poduzeće.
Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom. Međutim, isto ne treba mješati s ugovaranjem odredbi o zaštiti podataka. Ne sklapamo “ugovor o zaštiti podataka” već određene odredbe koje zahtjeva Opća uredba da se ugovore trebaju biti sastavni dio poslovnog ugovora ili dodatak istom. Odnosno, voditelj i izvršitelj trebaju imati ugovorenu međusobnu suradnju i pisani akt o tome a unutar kojeg onda uređuju i odnos u dijelu zaštite osobnih podataka. Kada već takav odnos postoji, isto mogu rješavati putem dodatka o zaštiti osobnih podatka tom ugovoru ili drugom aktu.
Bitno je imati na umu da je voditelj obrade taj koji je odgovoran i koji predlaže uređenje i uvjete vezane za zaštitu podataka svom izvršitelju.
PRIMJER IZVRŠITELJA
Knjigovodstveni servis koji obrađuje podatke o plaćama radnika za poslodavca; trgovačka društva ovlaštena za obavljanje privatne zaštite; agencije za naplatu potraživanja temeljem sklopljenog ugovora o poslovnoj suradnji.
Valja imati na umu da sama činjenica što jedna organizacija pruža drugoj neku uslugu ne čini je nužno izvršiteljem obrade, ona može biti voditelj obrade po vlastitom pravu, ovisno o kontroli koju ima nad postupkom obrade. Stoga je u svim onim slučajevima gdje nisu jasne funkcije voditelja i izvršitelja, od velike važnosti utvrditi tko ima kontrolu nad sadržajem osobnih podataka.
TKO SU DRUGI IZVRŠITELJI OBRADE (PODIZVRŠITELJI)?
Izvršitelj obrade uz suglasnost voditelja obrade, može angažirati drugog izvršitelja obrade (podizvršitelja) za provođenje posebnih aktivnosti obrade u ime voditelja, uz iste one obaveza za zaštitu osobnih podataka koje su navedene u ugovoru ili drugom aktu između voditelja i izvršitelja obrade.
Voditelj obrade može dati i opće pisano odobrenje za angažiranje drugih izvršitelja obrade s time da prilikom promjene drugih izvršitelja obrade (podizvršitelja) Izvršitelj je dužan o tome obavijestiti Voditelja kako bi isti mogao istaknuti prigovor.
Izvršitelj obrade u cijelosti odgovara za postupanje podizvršitelja obrade.
NISU IZVRŠITELJI
Primjer, izvršitelji obrade nisu: odvjetnici, liječnici, specijalisti, savjetnici ili konzultanti.
Radna skupina iz članka 29 mišljenja je da kako pružatelj usluge ima „tradicionalnu ulogu i stručno znanje“ koja od njega zahtijeva da utvrdi svrhe i sredstva obrade, to neovisno stručno znanje dovodi ponuditelja usluge u ulogu voditelja obrade.
ODGOVOROST ZA OBRADU
Voditelj obrade odgovara – za svaku štetu prouzročenu obradom kojom se krši GDPR
Izvršitelj obrade odgovora – samo za štetu prouzročenu obradom:
- ako nije poštovao obveze iz GDPR koje su posebno namijenjene izvršiteljima obrade;
- ako nije poštovao obveze iz GDPR koje su posebno namijenjene izvršiteljima obrade;
- ako je djelovao izvan zakonitih uputa voditelja obrade ili protivno njima;
- odgovara voditelju obrade za Podizvršitelja u slučaju da isti ne ispunjava obveze vezane za zaštitu podataka.