PROVJERA SUKLADNOSTI IZVRŠITELJA OBRADE
DA LI STE KAO VODITELJ OBRADE IZVRŠILI PROVJERU SUKLADNOSTI IZVRŠITELJA OBRADE?
Znate li da ste kao voditelj obrade odgovorni ako angažirate izvršitelja obrade koji nema adekvatna jamstva kojima dokazuje da obradu koju ste mu povjerili provodii u skladu s GDPR?
Poslovni subjekti redovno se u svom poslovanju mogu naći u ulogama
voditelja i izvršitelja obrade neovisno da li se radi o tvrtkama, obrtima, udrugama ili drugim organizacijama kada govorimo o poslovnim subjektima. Kada se nađu u takvom odnosu oni su dužni urediti taj odnos prema zahtjevima Opće uredbe. Pri tome definiranje voditelja i izvršitelja obrade ima presudnu ulogu u primjeni Opće uredbe jer određuju tko je odgovoran za sukladnost s različitim pravilima o zaštiti podataka i kako ispitanici mogu ostvariti svoja prava u praksi.
Podsjetimo se, voditelj obrade biti će svaki onaj subjekt koji određuje svrhu i sredstva obrade, dok će izvršitelj obrade biti drugi subjekt kojeg angažira voditelj obrade kako bi obrađivao osobne podatke u njegovo ime. Međutim, pri samom definiranju da li je neki subjekt uistinu naš izvršitelj obrade biti će potrebno uzeti u obzir veći niz elemenata kako bi isto ispravno utvrdilo.
Primjer čestih izvršitelja obrade:
- vanjski knjigovodstveni servis koji vrši obračun plaće
- tvrtka koja pruža usluge videonadzora
- tvrtka koja pruža usluge fizičke zaštite
- tvrtka koja pruža usluge hostinga
- tvrtka koja pruža podršku za naše informatičke sustave
- marketinške agencije kojima prosljeđujemo našu bazu klijenata npr. za slanje marketinških poruka, raznih pozivnica i slično
- pozivni centar koji smo angažirali za pružanje korisničke podrške našim klijentima
- agencije za naplatu potraživanja koje smo angažirali na temelju ugovora o poslovnoj suradnji i drugo.
Da bi odnos između voditelja i izvršitelja obrade bio u skladu sa Općom uredbom, on treba udovoljavati više zahtjeva koje navedena regulativa pred voditelja i izvršitelja obrade postavlja. Prije svega takav odnos mora biti uređen
ugovorom ili drugim pravnim aktom koji treba sadržavati i sve elemente propisane Općom uredbom bilo da su odredbe o obradi osobnih podataka sastavni ili odvojeni dio tog ugovora. Tako u praksi voditelj i izvršitelj obrade nakon sklapanja osnovnog ugovora najčešće sklapaju posebni
ugovor o obradi osobnih podataka ili primjenjuju
standardne ugovorne klauzule između voditelja i izvršitelja obrade. 
RADNJE PRIJE SKLAPANJA UGOVORA
Voditelj obrade ima dužnost angažirati „jedino izvršitelje obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera”, na način da obrada udovoljava zahtjevima GDPR uključujući sigurnost obrade – i osigurava zaštitu prava ispitanika.
Pojednostavljeno, voditelj obrade biti će odgovoran ukoliko angažira izvršitelja obrade koji nema dovoljna jamstva za sigurnost obrade i koji nema uvjerljive dokaze da osobne podatke obrađuje u skladu sa zahtjevima Opće uredbe.
Stoga prije sklapanja ugovora s izvršiteljem obrade, voditelj obrade treba:
- procijeniti sukladnost izvršitelja i
- takvu procjenu temeljiti na stvarnim osnovama i dokumentirati.
Naime, voditelj obrade odgovoran je za procjenu dostatnosti jamstava koje pruža izvršitelj obrade i treba moći dokazati da je ozbiljno razmotrio sve elemente propisane Općom uredbom, ističe Europski odbor za zaštitu podataka u svojim smjernicama.
PROCJENA DOSTATNOSTI JAMSTAVA
Kako bi voditelj obrade dokazao da je razmotrio sve potrebne elemente često će to zahtijevati razmjenu relevantne dokumentacije s izvršiteljem obrade kao što su to npr. politika zaštite privatnosti, uvjeta pružanja usluge, evidencija aktivnosti obrade, pravila upravljanja podatcima, pravila o zaštiti sigurnosti podataka, izvješća o vanjskim revizijama zaštite podataka, priznati međunarodni certifikat poput serije ISO 27000 i drugo.
Procjena voditelja obrade o dostatnosti jamstava oblik je procjene rizika koji će uvelike ovisiti o vrsti obrade koja je povjerena izvršitelju obrade. Naime, nema točnog popisa dokumenata ili radnji koje bi izvršitelj obrade trebao predočiti ili dokazati već procjenu treba provesti za svaki pojedinačni slučaj zasebno uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike za prava i slobode fizičkih osoba. Voditelj obrade kod takve procjene treba uzeti u obzir i stručno znanje izvršitelja (npr. tehničko stručno znanje u pogledu sigurnosnih mjera i povrede podataka), njegovu pouzdanost i resurse a također i ugled izvršitelja na tržištu može biti važan čimbenik za razmatranje.
No, da li voditelj obrade mora uvijek raditi opsežne provjere radi utvrđivanja dostatnosti jamstava izvršitelja obrade?
U situacijama gdje postoji manji rizik za obradu osobnih podataka neće uvijek biti potrebno inzistirati na opsežnim jamstvima ili vršiti dublju analizu i provjeru, ali svakako će određena jamstva izvršitelj obrade uvijek trebat priložiti a koja će voditelj obrade moći opravdano ocijeniti kao dostatna.
TRAJNA OBAVEZA VODITELJA OBRADE
Važno je imati na umu da obveza voditelja obrade da angažira samo one izvršitelje obrade koji „u dovoljnoj mjeri jamče”, kako je to navedeno u članku 28. stavku 1. Opće uredbe, trajna je obveza voditelja obrade.
Ona ne završava u trenutku kada voditelj obrade i izvršitelj obrade sklope ugovor ili drugi pravni akt kojima uređuju obradu osobnih podataka. Stoga voditelj obrade treba, u odgovarajućim intervalima, provjeravati jamstva izvršitelja obrade, uključujući revizije i razne provjere, ističe Europski odbor za zaštitu podataka u svojim smjernicama o voditeljima i izvršiteljima obrade.
Naravno, procjenu dostatnih jamstava, provjere i revizije izvršitelja obrade ili drugo, voditelj obrade treba dokumentirati i moći ih dokazati.
