U svakodnevnom radu, jedan od najčešćih izazova je potpisivanje ugovora o obradi osobnih podataka ili standardnih ugovornih klauzula s pružateljima IT usluga. Ove ugovorne obveze igraju ključnu ulogu u osiguravanju zaštite podataka i usklađivanju s GDPR-om.
Prema smjernicama Europskog odbora za zaštitu podataka (EDPB) o voditeljima obrade i izvršiteljima obrade, pružatelje IT usluga definira se kao izvršitelje, s kojima treba urediti odnos u skladu s člankom 28. GDPR-a. Važno je napomenuti je potrebno činiti razliku kada je isto ugovorni odnos npr. ugovorena redovna IT podrška od povremenog, jednokratnog pristupa računalu npr. radi ispravljanja softverske pogreške ili kvara.
Primjer 1. Opća informatička podrška
Trgovačko društvo X angažira pružatelja informatičkih usluga za pružanje opće podrške za svoje informatičke sustave koji uključuju veliku količinu osobnih podataka. Pristup osobnim podatcima nije glavni predmet usluge podrške, ali neizbježno je da pružatelj informatičkih usluga sustavno ima pristup osobnim podatcima pri obavljanju usluge. Trgovačko društvo X stoga zaključuje da se pružatelja informatičkih usluga – koji je zasebno trgovačko društvo i koji neizbježno treba obrađivati osobne podatke čak iako to nije glavni cilj usluge – treba smatrati izvršiteljem obrade. Stoga se s pružateljem informatičkih usluga zaključuje ugovor o obradi osobnih podataka ili potpisuje standardne ugovorne klauzule između voditelja i izvršitelja obrade.
Primjer 2. Informatički savjetnik ispravlja softversku grešku
Trgovačko društvo X angažira informatičkog stručnjaka iz drugog trgovačkog društva da ispravi grešku u softveru kojim se trgovačko društvo koristi. Informatički savjetnik nije angažiran za obradu osobnih podataka, a Trgovačko društvo X određuje da će svaki pristup osobnim podatcima biti isključivo slučajan i stoga vrlo ograničen u praksi. Tvrtka X stoga zaključuje da informatički stručnjak nije izvršitelj obrade (ni voditelj obrade sam po sebi) i da će Trgovačko društvo X poduzeti odgovarajuće mjere u skladu s člankom 32. Opće uredbe o zaštiti podataka da bi spriječilo informatičkog savjetnika da neovlašteno obrađuje osobne podatke (npr. potpisivanje izjave o povjerljivosti i drugo).
Ugovor o obradi osobnih podataka vs. standardne ugovorne klauzule (SCC)
Kako biste osigurali pravednost i ravnotežu između strana u ugovorima o obradi osobnih podataka, preporuka je primijeniti standardne ugovorne klauzule temeljem Provedbene odluke Komisije EU 2021/915 od 4. lipnja 2021. o standardnim ugovornim klauzulama između voditelja i izvršitelja obrade. Na ovaj način, osigurava se jednak tretman i transparentnost u odnosima s različitim pružateljima usluga.
Jedna od ključnih prednosti standardnih ugovornih klauzula je njihova neovisnost o preispitivanju bilo kojeg nadzornog tijela u slučaju nadzora. To znači da, za razliku od drugih ugovora o obradi podataka, u slučaju da se koriste standardne ugovorne klauzule, ugovor neće biti podvrgnut dodatnom preispitivanju nadzornog tijela.
Primjerice, ako hrvatska tvrtka koja je voditelj obrade potpisuje ugovor o obradi osobnih podataka s tvrtkom iz Slovenije koja djeluje kao izvršitelj obrade, a koji koristi standardne ugovorne klauzule, slovensko nadzorno tijelo neće preispitivati taj ugovor u slučaju nadzora ili incidenta. Ovo osigurava pravnu sigurnost i jasnoću za obje strane.
Bitno je napomenuti da standardne ugovorne klauzule ne smiju se mijenjati, dopunjavati ili prepravljati na bilo koji način, već moraju ostati u potpunosti u skladu s onima koje je utvrdila Komisija EU. To osigurava dosljednu primjenu i sprječava eventualne zloupotrebe ili nepravilnosti u obradi osobnih podataka.
U zaključku, primjena standardnih ugovornih klauzula u ugovorima o obradi osobnih podataka pruža pravnu sigurnost, ravnotežu između strana i usklađenost s GDPR-om. Kroz njih se osigurava transparentnost, zaštita podataka i pravedni odnosi između voditelja i izvršitelja obrade u kontekstu pružanja IT usluga.
1) Standardne ugovorne klauzule između voditelja i izvršitelja obrade možete preuzeti: OVDJE
2) Ugovor o obradi osobnih podataka pripremljen od strane AZOP-a možete preuzeti: OVDJE
Povezane teme:
> Voditelj i izvršitelj obrade: obveze prije sklapanja ugovora o obradi osobnih podataka
> Tko je voditelj, izvršitelj i podizvršitelj obrade?
> Održavanje usklađenosti poslovanja tvrtke prema GDPR
Naše kolumne:
Poslovni Puls: Što GDPR kazne u EU znače za poslovne subjekte u Hrvatskoj
Glas Istre Novine: Praktični vodič za uređenje poltike privatnosti web stranice
SEEbiz: najčešći znakovi da poslovanje nije usklađeno s GDPR
