„izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade."
(Članak 4. stavak 1 točka 8 GDPR)
Izvršitelj obrade obrađuje osobne podatke u ime voditelja obrade i nije potrebno da pritom i prikuplja podatke. Ponekad to radi voditelj obrade, ponekad Izvršitelj obrade, a ponekad se podaci dobivaju od nekog drugog ugovornog partnera. Obrada koju provodi izvršitelj obrade potrebno je da se uređuje ugovorom ili drugim aktom. Isto pri tome ne znači sklapanje "ugovora o obradi osobnih podataka" već da je odnos između voditelja i izvršitelja uređen pisanim putem na priznati način a unutar kojeg je kao sastavni dio ili dodani, uređeno pitanje osobnih podataka.
Primjer izvršitelja obrade:
- Knjigovodstveni servis koji obrađuje podatke o plaćama radnika za poslodavca;
- trgovačka društva ovlaštena za obavljanje privatne zaštite;
- agencije za naplatu potraživanja temeljem sklopljenog ugovora o poslovnoj suradnji.
Valja imati na umu da sama činjenica što jedna organizacija pruža drugoj neku uslugu ne čini je nužno izvršiteljem obrade, ona može biti voditelj obrade po vlastitom pravu, ovisno o kontroli koju ima nad postupkom obrade. Stoga je u svim onim slučajevima gdje nisu jasne funkcije voditelja i izvršitelja, od velike važnosti utvrditi tko ima kontrolu nad sadržajem osobnih podataka.
Primjer, izvršitelji obrade nisu: odvjetnici, liječnici, specijalisti ili savjetnici.
Radna skupina iz članka 29 je mišljenja da kako pružatelj usluge ima „tradicionalnu ulogu i stručno znanje“ koja od njega zahtijeva da utvrdi svrhe i sredstva obrade, to neovisno stručno znanje dovodi ponuditelja usluge u ulogu voditelja obrade.
Npr. kada odvjetnik zastupa svoju stranku na sudu i u vezi s tim poslom obrađuje osobne podatke na temelju zahtjeva stranke, odvjetnik je voditelj obrade. Polazi se od toga da za upute koje stranka daje svojem odvjetniku, isti ne mora nužno i obraditi te podatke, već samostalno o tome odlučuje zastupajući interese klijenta pred sudom. Budući je obrada podataka pomoćna funkcija, koja je u cijelosti (ili djelomično) određena od strane odvjetnika, neovisno o klijentu, obrada podataka treba biti konceptirana kao kod voditelja obrade navodi Radna skupina iz članka 29.
Podizvršitelji obrade
Izvršitelj obrade uz suglasnost voditelja obrade, može angažirati drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime voditelja, uz iste one obaveza za zaštitu osobnih podataka koje su navedene u ugovoru ili drugom aktu između voditelja i izvršitelja obrade.
Izvršitelj obrade u cijelosti odgovara za postupanje podizvršitelja obrade u pitanju zaštite osobnih podataka.
Tko odgovara prema osobi čiji podaci se obrađuju (ispitaniku)?
VODITELJ OBRADE ODGOVARA
- za svaku štetu prouzročenu obradom kojom se krši GDPR;
IZVRŠITELJ OBRADE ODGOVORA
-samo za štetu prouzročenu obradom:
- ako nije poštovao obveze iz GDPR koje su posebno namijenjene izvršiteljima obrade;
- ako je djelovao izvan zakonitih uputa voditelja obrade ili protivno njima;
- odgovara voditelju obrade za Podizvršitelja u slučaju da isti ne ispunjava obveze vezane za zaštitu podatakaKao što je vidljivo iz navedenog
Voditelj obrade uvijek je taj koji odgovara za svaku obradu koja se vrši pod njegovim vodstvom.
Naravno, da onda kada Izvršitelj obrade nije poštovao obveze GDPR koje su posebno namijenjene izvršiteljima ili ako je djelovao izvan uputa voditelja ili protivno njima, kao i za svoje podizvršitelje da isti tada odgovara no ne zaboravimo činjenicu da će i dalje osoba koja smatra da su povrijeđena njezina prava (ispitanik) podnijeti prigovor na obradu kao i zahtjev za ostvarivanje svojih prava, uključujući i naknadu štete najčešće, u prvom redu protiv voditelja obrade. Osoba može podnijeti prigovor i protiv izvršitelja obrade ali u osnovi to će napraviti protiv voditelja koji je odgovoran za konkretnu obradu podataka a voditelj obrade će tada odvojeno od samog ispitanika rješavati pitanje odgovornosti, regresne naplate i ostalo sa svojim izvršiteljem.
Upravo zbog toga potrebno je da je Voditelj obrade svjestan svoje odgovornosti, da u ugovor ili drugi akt kojim regulira odnos s izvršiteljem i pitanje zaštite osobnih podataka ne prepisuje samo već utvrđene odredbe u Općoj uredbi već da se odnos uredi u skladu s tim odredbama a prema zahtjevima i potrebama konkretnog odnosa te se tako zaštiti od odmogućih neugodnosti i svakog potencijalno neodgovornog postupanja izvršitelja obrade ili njegovih podizvršitelja i mogućih posljedica.
Ines Bolkovac, dpo
