TKO SU IZVRŠITELJI OBRADE
U GDPR terminologiji, izvršitelj obrade je
fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.
Kada taj izraz prevedemo u poslovanje, izvršitelj obrade može biti poslovni partner, suradnik ili bilo koji drugi poslovni subjekt kojeg tvrtka ugovori za izvršavanje određene usluge a koja uključuje osobne podatke u vlasništvu tvrtke. Takvi osobni podaci najčešće uključuju podatke korisnika usluga ili proizvoda voditelja obrade primjerice, tvrtke koje pružaju razna IT rješenja za lakše vođenje poslovanja, ali to mogu biti i podaci njihovih zaposlenika kao primjerice, u slučaju angažiranja vanjskog knjigovodstvenog ureda.
Više o izvršiteljima:
Izvršitelji obradeODNOS IZMEĐU VODITELJA I IZVRŠITELJA OBRADE
Poslovni odnos između voditelja i izvršitelja obrade nije u skladu sa zahjevima GDPR ako ne sadrži sporazum, ugovor ili drugi akt u papirnatom i elektronskom obliku kojim se posebno regulira obrada osobnih podataka koje međusobno razmjenjuju.
Takva regulacija može biti i sastavni dio komercijalnog ugovora ili drugog poslovnog dokumenta između ugovorenih strana. Njime se izvršitelj obrade, između ostalog, obvezuje na slijedeće:
- obrada osobnih podataka samo prema pismenim uputama tvrtke
- osobe koje su ovlaštene za rad s osobnim podacima tvrtke su se obvezale na povjerljivost
- provođenje tehničkih i organizacijskih mjera kako bi se postigla potrebna razina sigurnosti s obzirom na rizik obrade
- odobrenje od voditelja obrade za angažiranje daljnjih partnera/podizvođača izvršitelja obrade u obradi osobnih podataka voditelja obrade
- pomaže voditelju obrade u ostvarivanju sigurnosti obrade, provođenju procjene učinka na zaštitu podtaka te u slučaju povrede osobnih podataka uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade
- pomaže voditelju obrde u ostvarivanju prava ispitanika u svom krugu odgovornosti
- po izboru voditelja, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno zakonskim normama postoji obveza pohrane osobnih podataka
- voditelju obrade stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih u GDPR i koje omogućuju revizije, uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade, te im doprinose i drugo.
UTJECAJ GDPR SPORAZUMA
Premda su takvi dokumenti, popularno nazvani GDPR sporazumi, u očima stručnjaka za privatnost izgledali kao mehanizmi za jačanje povjerenja, značajan broj tvrtki uveo ga je samo kao formalno ispunjavanje regulatornih obveza bez šire predožbe kakav sve utjecaj može imati za njihovo poslovanje.
Osim što se takvim Sporazumom o obradi ispunjava zahtjev koji postavlja GDPR pred voditelje i izvršitelje obrade, postiže određen stupanj kontrole i sigurnosti obrade, isti ima važan utjecaj i u slučaju povrede osobnih podataka. Naime, ukoliko Nadzorno tijelo utvrdi nepravilnosti ili kršenje GDPR kod izvršitelja obrade, a koji uključuje osobne podatke voditelja obrade ili je kod voditelja obrade došlo do povrede osobnih podataka koji su posredno ili neposredno vezani i za obradu kod izvršitelja obrade, Nadzorno tijelo će preispitati da li je sklopljen valjan GDPR sporazum kojim se reguliraju sva pitanja u odnosu izvršitelj-voditelj obrade sukladno odrebama GDPR te da li sporazum odgovara praksi u poslovanju.
Najčešće situacije gdje dolazi do izražaja važnost GDPR sporazuma između voditelja i izvšitelja obrade su prilikom:
- ostvarivanja nekog od prava pojedinaca (npr.zahtjev za brisanjem, ispravkom ili pristupom vlastitim osobnim podacima)
- incidenta (gubitka, povrede ili krađe) osobnih podataka
Zaključno, potpisivanjem GDPR sporazuma tvrtka koja je voditelj obrade nije se ogradila od vlastite odgovornosti kod obrade osobnih podataka izvršitelja obrade.
Njena odgovornost za obradu vlastitih podataka kod izvršitelja obrade traje cijelo vrijeme njihovog poslovnog odnosa.
Uz sve navedeno, treba naglasiti da postoje i segmenti u isključivoj odgovornosti izvršitelja obrade, a to su:
- nepoštivanje GDPR obveza isključivo vezane za izvršitelje obrade
- ako djeluje izvan dogovorenih uputa voditelja obrade
- u slučaju angažmana podizvođača bez odobrenja tvrtke u daljnjoj obradi osobnih podataka tvrtke.
KAKO ODNOS VODITELJ/IZVRŠITELJ OBRADE ODRŽATI U SKLADU SA ZAHTJEVIMA GDPR
Kako bi tvrtka koja je voditelj obrade udovoljila zahtjevima Opće uredbe (GDPR) i pri tome postigla što veću razinu sigurnosti za vlastito poslovanje preporuka je:
- detektirati poslovne procese u kojima su GDPR sporazumi obvezni
- sukladno zahtjevima GDPR, prije sklapanja Sporazuma o obradi osobnih podataka preispitati usklađenost izvršitelja obrade sa GDPR te utvrditi da li u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima GDPR i da se njome osigurava zaštita prava ispitanika
- periodički revidirati postojeću bazu izvršitelja obrade
- sukladno zahtjevima GDPR, periodički preispitati da li Sporazum sa izvršiteljem obrade i njegove utvrđene tehničke i organizacijske mjere zaštite odražavaju stvarno stanje te ih revidirati u skladu s utvrđenim.
Na opisani način, tvrtka u bilo kakvoj situaciji koja može predstavljati rizik , pokazuje visoku razinu brige i provjera u cilju osiguranja vlastitgog poslovanja prema GDPR, što rezultira izostankom ili svođenjem regulatornog rizika na najmanju moguću mjeru.
Autori: Ines i Marko Krečak, Službenik za zaštitu podataka Feralis
Naše kolumne:
Glas Istre Novine - Praktični vodič za uređenje poltike privatnosti web stranice
SEEbiz - najčešći znakovi da poslovanje nije usklađeno s GDPR
Povezane teme:
Održavanje usklađenosti poslovanja tvrtke prema GDPR
Voditelj, izvršitelj i podizvršitelj obrade
Ostvarivanje prava ispitanika kroz poslovni proces u tvrtkama
Povezane usluge:
Usklađivanje poslovanja s GDPR
Službenik za zaštitu podataka: mjesečni angažman profesionalnog DPO-a za tvrtke i druge organizacije
